【网络环境下会计信息安全风险研究】您的信息存在安全风险

　　【摘 要】在计算机网络技术不断发展的同时，传统的会计科学在会计电算化的基础上又带来了一场新的变革——网络会计，网络会计是会计发展过程中一次质的飞跃，其网络性决定了信息安全是网络会计取得成功的关键。通过对会计信息风险进行检查分析得出会计信息面临多方面的威胁，从计算机软、硬件、网络、管理与应用等五个方面分析了现行网络会计发展中存在的安全风险问题。
　　【关键词】网络会计；信息安全；风险分析
　　引言
　　近几年来，随着信息技术的迅速发展，计算机网络系统的应用普及到社会的各行各业，建立在计算机网络上的各类经济信息管理系统也得到广泛运用。特别是由于经济信息量的猛增，财务会计信息的需求也越来越大，为满足大量的会计信息需求，会计信息也不可避免要借助网络来传递和共享，使得电算会计面临又一次变改，网络会计成为必然。但由于计算机及其网络本身固有的脆弱性，给信息管理系统的安全带来了潜在的危险，这种安全表现在计算机病毒严重威胁，以及利用计算机进行以窃取金钱和物资为目的的犯罪活动，在很多企事业单位财务会计信息泄密问题频频发生，这使现代财务信息系统的安全面临十分严峻的形势。面对关系企业财经重要信息的数据，怎样确保其安全稳定是值得思考和分析的问题。
　　1.会计信息安全风险分析概述
　　1.1 会计信息安全概念
　　国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。作为一种特殊的新信息，我国对会计信息安全还没有统一的定义。更多的资料认为，会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态，它来自于会计数据的完整和会计数据的安全[1]。
　　会计数据的完整是指与损坏和丢失会计数据的相对状态，它通常指会计数据表明的会计信息是可靠的、可用的。而会计数据的安全是指会计数据在载体介质上不会被窃取或损坏的状态[2]。
　　网络会计的信息安全其核心是网络的安全。根据国家计算机安全规范，计算机的安全大致包括三类：（1）实体安全，包括机房、线路、主机等；（2）网络与信息安全，包括网络的畅通、准确以及网上信息的安全；（3）应用安全，包括程序开发运行、I/O、数据库等的安全，因此在网络会计信息中，网络安全是第一位。
　　1.2 风险分析
　　风险通常是指由于当事者主观上不能控制的一些因素的影响，使得实际结果与当事者的事先估计有较大的背离而带来可能的经济损失[2]。这些背离产生的原因，一方面当事者对有关因素和未来情况缺乏足够情报而无法作出精确估计，另一方面是由于考虑的因素不够全面而造成预期效果与实际效果之间的差异。进行风险分析，有助于确定有关因素的变化对决策的影响程度，有助于确定方案对某一特定因素变动的敏感性。若一种因素在一定范围内发生变化，但对决策没有引起很大影响，则所采取的决策对这种因素是不敏感的；若一个因素的大小稍有变化就会引起投资决策的较大变动，则决策对这一因素便是高度敏感的。了解在给定条件下的风险对这些因素的敏感程度，有助于正确地作出决策。
　　风险分析是找出行动方案的不确定性（主观上无法控制）因素，分析其环境状况和对方案的敏感程度；估计有关数据，包括行动方案的费用，在不同情况下得到的收益以及不确定性因素各种机遇的概率，计算各种风险情况下的经济效应；作出正确判断，等等。
　　2.会计信息风险分析
　　目前，在研究现有基于网络的会计信息系统和信息安全理论的基础上，提出网络环境下会计信息的安全策略会计信息风险管理对策，对网络环境下会计信息安全的研究可以丰富和拓展现有会计信息安全理论方面的研究很多。那么在现行网络环境下会计信息安全到底存在哪些风险，这些风险又是怎样产生的呢？这是本文研究的主要问题。
　　按照会计信息安全事故类型将风险分为两大类，即基于计算机介质本身的风险以及会计信息的特殊性的风险。具体讲基于计算机介质本身的风险指计算机硬件及软件风险、网络使用风险、计算机病毒三类，会计信息特殊的风险指计算机犯罪、应用和管理风险两类，下面将具体进行分析。
　　2.1 管理风险
　　当前，我国虽然也建立了一定的计算机安全管理制度，但尚未形成一套完整的安全体系，但一直以来会计电算化信息系统的建设的安全设计方面很多就缺乏总体考虑和统一规划部署，各会计使用单位根据自己的理解进行规划建设，技术要求不规范，随着网络技术的不断向前推进，网络环境的会计信息就更谈不上安全管理体系，因此风险问题也就越加严重，具体来来讲从两个方面来分析。
　　2.1.1 管理人员自身素质风险
　　作为任何一名财务管理人员来讲，基本的财经制度、会计基本职业道德均能牢记，但他们在实际工作中，恰恰本身又是一个不容忽视的问题，由于各行各业的会计工作人员中，素质上的差异对系统的安全是一种威胁。无论系统本身有多完备的防护措施，这都是防不胜防的问题，也是会计信息安全中的最大的风险。
　　一方面，外来攻击者一般通过各种方式和各种渠道可以取得会计信息，如信息文档的存放、稿件的处理流程等环节中。攻击者不需花费一点气力，也不必用太高明的手法就可以取得其所需要的会计信息。如果管理人员在各方面都加紧防范，就可以杜绝不少漏洞。另一方面，还有许多系统遭人为入侵的主要原因是因为它们过份依赖用户的口令。由于口令不便于记忆，用户通常选择跟自己有关的数字为密码，使保密性通常比较低。有部分管理人员为求方便，将自己的口令告诉他人，使口令失去了保密工作的重要的意义。再一方面，有的管理人员或其它人员不按操作规程或不经合法授权就上机操作，不经易地改变了计算机执行路径，也会对会计信息安全造成的一定的危害。
　　2.1.2 非授权访问
　　大部分会计信息系统都有口令来防止非授权人士非法访问系统。但是事实上，口令在防止非授权访问这方面起到的作用却并不是很显著。这是因为，有时，有些用户有时可能为求工作中的方便，把口令告知其他工作人员，请其代操作，有些计算机信息系统用户求其方便，将口令简单化或写在明显的地方。这些做法和行为使口令的作用降低。非授权的访问会导致信息系统内部的信息被修改或被删除。