试论会计网络化系统的安全风险和防范策略
发布时间:2015-08-13 09:34
任何一个信息系统无论其安全控制功能多么完善,运行环境多么安全,都存在着安全风险。但是,每一个系统的安全,风险的大小又由于系统控制功能和运行环境的不同而不同,所以,如何提高系统的安全程度,降低安全风险成了系统设计者和系统用户都关心和考虑的问题。
一、会计信息系统安全风险的形式
会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计信息系统的安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱,从而造成系统的信息失真、失窃,企业资金财产损失,系统硬件、软件无法正常运行等结果发生的可能性。保护系统的安全就是保护系统免遭破坏或遭到损害后系统能够较容易再生、会计信息系统的安全风险主要表现在几方面:
1、会计信息失真。会计信息的真实、完整、准确是对会计信息处理的基本要求,由于会计信息是企业生产经营活动的综合、全面的反映,企业的各个职能部门几乎都不同程度的需要、利用会计信息,因此,会计信息的质量不仅仅关系到会计信息系统,还影响企业管理的其他子系统乃至企业的整个管理决策。一旦会计信息系统的安全受到侵害,最直接的影响就是会计数据错误、数据丢失或被篡改使会计信息失真,从而不同程序地影响会计信息的使用者进行有关决策。
2、企业资产损失。利用非法手段侵吞企业资财是会计信息系统安全风险的主要形式之一。其手段主要有:未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窈银行存款等。比如,深圳一家证券公司的经理利用工作之便,通过电脑盗走了某证券部门的200多万元保证金;广东省某市中国银行在一宗信用卡犯罪案件中损失了近干亿元等等,造成了极大的资财损失。随着犯罪技术的日趋多样化、复杂化,信息系统犯罪更加隐蔽,更加难以发现,涉及的金额也从最初的几千元发展到几万元,甚至上亿元,安全风险损失越来越大,后果越来越严重。
3、企业重要信息泄露。信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,成为企业的一项重要资本,甚至决定了企业在激烈的市场竞争中的成败。因此利用高技术手段窃取企业机密是当今计算机犯罪的主要目的之一,也是构成系统安全风险的重要形式。比如:窃取企业重要的会计信息并泄露给竞争对手以达到某种非法目的等,常常会对企业造成无法估量的损失。
4、系统无法正常运行。无论是无法避免的自然灾害,还是出于非法目的而输入破坏性程序、操作者有意、无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使会计信息系统的软件、硬件无法正常工作,甚至系统瘫痪,造成巨大损失。
二、影响会计信息系统安全风险的因素
影响网络化会计信息系统安全风险的因素可以从硬件系统、软件系统、会计数据三个方面考虑:
(一)影响硬件系统安全的因素
1、不正确的操作。计算机系统的操作人员对硬件设备的不正确操作可以引起系统的损坏,从而危害系统的安全。不正确的操作主要是指操作人员不按规定的程序使用硬件设备,例如不按顺序开机、关机,有可能烧毁计算机的硬盘,从而造成数据的全部丢失。
2、人为的有意破坏。有意破坏系统硬件设备者可能是系统内部操作人员,也可能是系统外部人员。破坏者出于某种目的(如发泄私愤或谋取不法利益)而破坏计算机硬件,致使系统运行中断或毁灭。这种破坏行为可能是以暴力的方式破坏计算机设备,也可能通过盗窈等手段破坏计算机系统,例如窃走存有数据的磁带或磁盘;或者计算机病毒的发作造成硬件损坏等。
3、不可预测的灾害。不可预测的灾害虽然发生的概率非常小、但对信息系统的破坏性极大,所以必须引起足够的重视,例如火灾或元件的突然损坏,可能造成整个系统的毁灭、
(二)软件系统的不安全因素
l、操作人员的有意破坏计算机系统的操作人员可以通过对程序作非法改动来篡改程序文件,或者利用非法操作即操作员或其他人不按操作规程或不经允许上机操作,改变计算机的运行路径等手段修改系统软件,从而破坏软件系统安全。
2、计算机病毒计算机病毒实际上是一段小程序,它具有自我复制功能,常驻留于内存、磁盘的引导扇区或磁盘文件,在计算机系统之间传播,常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。据统计,全世界发现的各种计算机病毒已经超过了24000种,并且正以每月300一500种的速度疯狂增长。目前出现了一种叫CIH的恶性病毒,是由台湾某大学毕业生所设计,由于能直接攻击、破坏硬件系统,主要传染windows95/98可执行程序,极大的威胁着系统安全。以前计算机病毒主要靠磁盘或光盘传播,但在网络化系统中,计算机病毒升始通过网络来传播,时下有一种“梅利沙”病毒,隐藏在word文件中,通过电子邮件传播、破坏电子邮件服务器。由于病毒的隐蔽性强、传播范围广、破坏力大等特点,对远程网络会计信息传输的安全构成了极大的威胁。查杀病毒已成为系统安全保护的一个重要内容。
3、网络黑客黑客是指非授权侵入网络的用户或程序。黑客最常用的诡计有以下几种:第一,捕获,许多程序能够使破坏者捕获到个人信息、,尤其是口令。第二,查卡,这种程序是“捕获”程序的一部分,它主要捕获信用卡密码。第三、即时消息轰炸,利用即时消息功能,黑客可以采用多种程序,以极快的速度用无数的消息“轰炸”某个特定用户。第四,电了邮件轰炸,用数百条消息、填塞某人的E一mail信箱,是一种确实可靠的在线袭扰的方法。第五,违反业务条款,这种诡计相当于在网上陷害某人,有些程序可使这种欺骗活动看起来就好象是某个用户向黑客发送了一条攻击性的E一mail消息。第六,病毒和“特洛伊木马”,这些程序看起来像一种合法的程序,但是它静静地记录着用户输人的每个口令,然后把它们发送给黑客的Internet信箱,从而通过盗窃系统合法用户的口令,然后以此口令合法登陆系统实现非法目的。
(三)会计数据的不安全因素
1、操作人员篡改程序和数据文件。通过对程序作非法改动,导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,如,转移单位资金到指定的个人账户等。
2、有权和无权用户的非法操作。主要是操作员或其他人员不按操作规程或非法操作系统,改变计算机系统的执行路径从而破坏数据的安全。
一、会计信息系统安全风险的形式
会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计信息系统的安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱,从而造成系统的信息失真、失窃,企业资金财产损失,系统硬件、软件无法正常运行等结果发生的可能性。保护系统的安全就是保护系统免遭破坏或遭到损害后系统能够较容易再生、会计信息系统的安全风险主要表现在几方面:
1、会计信息失真。会计信息的真实、完整、准确是对会计信息处理的基本要求,由于会计信息是企业生产经营活动的综合、全面的反映,企业的各个职能部门几乎都不同程度的需要、利用会计信息,因此,会计信息的质量不仅仅关系到会计信息系统,还影响企业管理的其他子系统乃至企业的整个管理决策。一旦会计信息系统的安全受到侵害,最直接的影响就是会计数据错误、数据丢失或被篡改使会计信息失真,从而不同程序地影响会计信息的使用者进行有关决策。
2、企业资产损失。利用非法手段侵吞企业资财是会计信息系统安全风险的主要形式之一。其手段主要有:未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窈银行存款等。比如,深圳一家证券公司的经理利用工作之便,通过电脑盗走了某证券部门的200多万元保证金;广东省某市中国银行在一宗信用卡犯罪案件中损失了近干亿元等等,造成了极大的资财损失。随着犯罪技术的日趋多样化、复杂化,信息系统犯罪更加隐蔽,更加难以发现,涉及的金额也从最初的几千元发展到几万元,甚至上亿元,安全风险损失越来越大,后果越来越严重。
3、企业重要信息泄露。信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,成为企业的一项重要资本,甚至决定了企业在激烈的市场竞争中的成败。因此利用高技术手段窃取企业机密是当今计算机犯罪的主要目的之一,也是构成系统安全风险的重要形式。比如:窃取企业重要的会计信息并泄露给竞争对手以达到某种非法目的等,常常会对企业造成无法估量的损失。
4、系统无法正常运行。无论是无法避免的自然灾害,还是出于非法目的而输入破坏性程序、操作者有意、无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使会计信息系统的软件、硬件无法正常工作,甚至系统瘫痪,造成巨大损失。
二、影响会计信息系统安全风险的因素
影响网络化会计信息系统安全风险的因素可以从硬件系统、软件系统、会计数据三个方面考虑:
(一)影响硬件系统安全的因素
1、不正确的操作。计算机系统的操作人员对硬件设备的不正确操作可以引起系统的损坏,从而危害系统的安全。不正确的操作主要是指操作人员不按规定的程序使用硬件设备,例如不按顺序开机、关机,有可能烧毁计算机的硬盘,从而造成数据的全部丢失。
2、人为的有意破坏。有意破坏系统硬件设备者可能是系统内部操作人员,也可能是系统外部人员。破坏者出于某种目的(如发泄私愤或谋取不法利益)而破坏计算机硬件,致使系统运行中断或毁灭。这种破坏行为可能是以暴力的方式破坏计算机设备,也可能通过盗窈等手段破坏计算机系统,例如窃走存有数据的磁带或磁盘;或者计算机病毒的发作造成硬件损坏等。
3、不可预测的灾害。不可预测的灾害虽然发生的概率非常小、但对信息系统的破坏性极大,所以必须引起足够的重视,例如火灾或元件的突然损坏,可能造成整个系统的毁灭、
(二)软件系统的不安全因素
l、操作人员的有意破坏计算机系统的操作人员可以通过对程序作非法改动来篡改程序文件,或者利用非法操作即操作员或其他人不按操作规程或不经允许上机操作,改变计算机的运行路径等手段修改系统软件,从而破坏软件系统安全。
2、计算机病毒计算机病毒实际上是一段小程序,它具有自我复制功能,常驻留于内存、磁盘的引导扇区或磁盘文件,在计算机系统之间传播,常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。据统计,全世界发现的各种计算机病毒已经超过了24000种,并且正以每月300一500种的速度疯狂增长。目前出现了一种叫CIH的恶性病毒,是由台湾某大学毕业生所设计,由于能直接攻击、破坏硬件系统,主要传染windows95/98可执行程序,极大的威胁着系统安全。以前计算机病毒主要靠磁盘或光盘传播,但在网络化系统中,计算机病毒升始通过网络来传播,时下有一种“梅利沙”病毒,隐藏在word文件中,通过电子邮件传播、破坏电子邮件服务器。由于病毒的隐蔽性强、传播范围广、破坏力大等特点,对远程网络会计信息传输的安全构成了极大的威胁。查杀病毒已成为系统安全保护的一个重要内容。
3、网络黑客黑客是指非授权侵入网络的用户或程序。黑客最常用的诡计有以下几种:第一,捕获,许多程序能够使破坏者捕获到个人信息、,尤其是口令。第二,查卡,这种程序是“捕获”程序的一部分,它主要捕获信用卡密码。第三、即时消息轰炸,利用即时消息功能,黑客可以采用多种程序,以极快的速度用无数的消息“轰炸”某个特定用户。第四,电了邮件轰炸,用数百条消息、填塞某人的E一mail信箱,是一种确实可靠的在线袭扰的方法。第五,违反业务条款,这种诡计相当于在网上陷害某人,有些程序可使这种欺骗活动看起来就好象是某个用户向黑客发送了一条攻击性的E一mail消息。第六,病毒和“特洛伊木马”,这些程序看起来像一种合法的程序,但是它静静地记录着用户输人的每个口令,然后把它们发送给黑客的Internet信箱,从而通过盗窃系统合法用户的口令,然后以此口令合法登陆系统实现非法目的。
(三)会计数据的不安全因素
1、操作人员篡改程序和数据文件。通过对程序作非法改动,导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,如,转移单位资金到指定的个人账户等。
2、有权和无权用户的非法操作。主要是操作员或其他人员不按操作规程或非法操作系统,改变计算机系统的执行路径从而破坏数据的安全。
上一篇:财务信息化迈向高端专业型
下一篇:中小企业实施会计电算化的原则