影響會(huì)計(jì)信息安全的因素及對(duì)策分析隨著我國(guó)會(huì)計(jì)信息化工作的不斷推進(jìn)，會(huì)計(jì)信息化正逐步從簡(jiǎn)單的電算化應(yīng)用向深層次的網(wǎng)絡(luò)化應(yīng)用演變，由于互聯(lián)網(wǎng)技術(shù)的開(kāi)放性，使得網(wǎng)絡(luò)會(huì)計(jì)的發(fā)展必然會(huì)受到會(huì)計(jì)信息安全的制約，國(guó)家信息化領(lǐng)導(dǎo)小組在第三次信息化會(huì)議中，也將信息安全作為重點(diǎn)問(wèn)題加以討論，因此，如何保證會(huì)計(jì)信息的安全，將成為會(huì)計(jì)信息化發(fā)展的一個(gè)重要課題。一、會(huì)計(jì)信息安全的概念和目標(biāo)1.會(huì)計(jì)信息安全的概念目前，我國(guó)對(duì)會(huì)計(jì)信息安全還沒(méi)有統(tǒng)一的定義。國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。因此，會(huì)計(jì)信息的安全是指會(huì)計(jì)信息具有完整性、可用性、保密性和可靠性的狀態(tài)，它來(lái)自于會(huì)計(jì)數(shù)據(jù)的完整和會(huì)計(jì)數(shù)據(jù)的安全。會(huì)計(jì)數(shù)據(jù)的完整是指與損壞和丟失會(huì)計(jì)數(shù)據(jù)的相對(duì)狀態(tài)，它通常指會(huì)計(jì)數(shù)據(jù)表明的會(huì)計(jì)信息是可靠的、可用的。會(huì)計(jì)數(shù)據(jù)的不安全是指會(huì)計(jì)數(shù)據(jù)被有意竊取或損壞的狀態(tài)。基于網(wǎng)絡(luò)的會(huì)計(jì)數(shù)據(jù)安全來(lái)自于網(wǎng)絡(luò)的安全。根據(jù)國(guó)家計(jì)算機(jī)安全規(guī)范，計(jì)算機(jī)的安全大致包括三類(lèi)：（1）實(shí)體安全，包括機(jī)房、線路、主機(jī)等；（2）網(wǎng)絡(luò)與信息安全，包括網(wǎng)絡(luò)的暢通、準(zhǔn)確以及網(wǎng)上信息的安全；（3）應(yīng)用安全，包括程序開(kāi)發(fā)運(yùn)行、I／O、數(shù)據(jù)庫(kù)等的安全。2.會(huì)計(jì)信息安全的目標(biāo)國(guó)際會(huì)計(jì)師聯(lián)合會(huì)在《信息安全管理》（1998）中提出，信息安全的目標(biāo)是“保護(hù)依靠信息、信息系統(tǒng)和傳送信息的人、通信設(shè)施的利益不因?yàn)樾畔C(jī)密性、完整性和可用性的故障而遭受損失”。任何組織在滿足下面3條準(zhǔn)則時(shí)可以認(rèn)為達(dá)到了信息安全的目標(biāo)：數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人（機(jī)密性）；數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改（完整性）；信息系統(tǒng)在需要時(shí)可用和有用（可用性）。二、影響會(huì)計(jì)信息安全的主要因素影響會(huì)計(jì)信息的安全因素既有內(nèi)部因素，也有外部因素，主要表現(xiàn)在以下幾個(gè)方面：1.內(nèi)部因素（1）人為因素，人的因素在保障會(huì)計(jì)信息安全過(guò)程中起主導(dǎo)作用，會(huì)計(jì)信息系統(tǒng)操作人員出于主觀故意篡改數(shù)據(jù)或不按操作程序操作，均會(huì)直接影響會(huì)計(jì)信息的真實(shí)性和可靠性、可用性；（2）硬件故障，硬件故障包括I/O控制器、內(nèi)存、硬盤(pán)以及其他計(jì)算機(jī)部件，但引起會(huì)計(jì)數(shù)據(jù)丟失的主要問(wèn)題是存儲(chǔ)會(huì)計(jì)數(shù)據(jù)載體的磁盤(pán)物理性損毀所產(chǎn)生的；（3）電源故障，包括計(jì)算機(jī)內(nèi)部供電與外部供電，當(dāng)系統(tǒng)突然失去供電，易失性存儲(chǔ)器中的數(shù)據(jù)將會(huì)丟失，從而威脅會(huì)計(jì)信息的安全；（4）網(wǎng)絡(luò)故障，由于網(wǎng)絡(luò)的原因，使得會(huì)計(jì)數(shù)據(jù)不能正確保存，造成會(huì)計(jì)信息的丟失；（5）軟件系統(tǒng)，會(huì)計(jì)信息系統(tǒng)的運(yùn)行軟件由于程序本身設(shè)計(jì)存在的問(wèn)題，或者對(duì)數(shù)據(jù)校驗(yàn)考慮不周，都將影響到會(huì)計(jì)數(shù)據(jù)的完整性；（6）操作系統(tǒng)漏洞，操作系統(tǒng)作為會(huì)計(jì)信息系統(tǒng)的運(yùn)行平臺(tái)，本身也存在一定的漏洞，極易受到攻擊，從而導(dǎo)致會(huì)計(jì)信息的毀損；（7）身份認(rèn)證和管理，身份認(rèn)證是構(gòu)建企業(yè)會(huì)計(jì)信息安全體系的基礎(chǔ)，目的是為了保證會(huì)計(jì)信息系統(tǒng)中的數(shù)據(jù)只能被授權(quán)的人合理訪問(wèn)，常用的身份認(rèn)證方式主要有用戶名/密碼方式、IC卡認(rèn)證、動(dòng)態(tài)口令、USBKey認(rèn)證、生物識(shí)別技術(shù)。目前，我國(guó)會(huì)計(jì)信息系統(tǒng)應(yīng)用商業(yè)軟件在身份認(rèn)證管理上主要采用用戶名/密碼方式，這種方式過(guò)于簡(jiǎn)單，在密碼驗(yàn)證過(guò)程很容易被木馬程序或網(wǎng)絡(luò)中的監(jiān)聽(tīng)設(shè)備截獲，安全性極差。會(huì)計(jì)信息操作員在設(shè)置密碼時(shí)，為了方便記憶，往往用“123”、“111111”、“666666”、“888888”或是生日號(hào)碼、電話號(hào)碼作為操作員密碼，甚至將密碼設(shè)置為空值，極易破譯。一些企業(yè)對(duì)身份認(rèn)證疏于管理，會(huì)計(jì)信息系統(tǒng)管理員在員工已調(diào)離本企業(yè)后，依然在很長(zhǎng)的一段時(shí)間內(nèi)保留著該員工的賬號(hào)，留下了安全隱患。2.外部因素（1）病毒，據(jù)2001年調(diào)查，我國(guó)約73%的計(jì)算機(jī)用戶曾感染病毒，2003年上半年這一比例升至83%，其中，感染3次以上的用戶高達(dá)59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%，因此，病毒將造成會(huì)計(jì)信息丟失或毀壞，對(duì)企業(yè)會(huì)計(jì)信息安全的影響是重大的；（2）意外事故，雖然出現(xiàn)的機(jī)率相對(duì)其他因素較小，但是一旦發(fā)生，就會(huì)對(duì)會(huì)計(jì)信息系統(tǒng)造成災(zāi)難性損失，例如火災(zāi)、水災(zāi)、工業(yè)事故、蓄意破壞等。三、解決會(huì)計(jì)信息安全的主要對(duì)策在國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》中，提出了關(guān)于信息安全的主導(dǎo)思想：“堅(jiān)持積極防御、綜合防范的方針，在全面提高信息安全防護(hù)能力的同時(shí)，重點(diǎn)保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系，建立信息安全的有效機(jī)制和應(yīng)急處理機(jī)制”。因此，要解決企業(yè)會(huì)計(jì)信息化的安全問(wèn)題，應(yīng)在堅(jiān)持安全等級(jí)、成本效益、預(yù)防為主等原則的基礎(chǔ)上，重點(diǎn)放在預(yù)防和應(yīng)急處理兩個(gè)方面。1.預(yù)防（1）操作人員的定期培訓(xùn)，包括操作人員的職業(yè)道德教育和安全技能培訓(xùn)，影響會(huì)計(jì)信息安全的因素處于不斷變化的形勢(shì)下，會(huì)計(jì)信息的安全保障知識(shí)也需要不斷更新；（2）制度建設(shè)，建立一套完善的會(huì)計(jì)信息安全管理制度是保障會(huì)計(jì)信息安全的基礎(chǔ)，會(huì)計(jì)信息安全管理制度至少包括會(huì)計(jì)信息系統(tǒng)的開(kāi)發(fā)或選購(gòu)制度、會(huì)計(jì)信息系統(tǒng)的維護(hù)制度、計(jì)算機(jī)機(jī)房管理制度、會(huì)計(jì)數(shù)據(jù)訪問(wèn)權(quán)限設(shè)定、會(huì)計(jì)信息的備份制度、會(huì)計(jì)信息載體檔案管理制度、用戶權(quán)限授權(quán)管理制度、會(huì)計(jì)信息員的崗位責(zé)任制度、會(huì)計(jì)信息員的操作規(guī)程、會(huì)計(jì)信息安全日常評(píng)估制度、會(huì)計(jì)信息安全審計(jì)制度、應(yīng)急處理制度等；（3）后備供電系統(tǒng)，為防止突然斷電所引起的數(shù)據(jù)丟失，應(yīng)配置后備供電系統(tǒng)，以保證數(shù)據(jù)的完整、安全；（4）修補(bǔ)系統(tǒng)漏洞，操作系統(tǒng)本身存在的漏洞極容易引起黑客的攻擊，從而導(dǎo)致系統(tǒng)的崩潰和數(shù)據(jù)的丟失，因此要及時(shí)修補(bǔ)系統(tǒng)漏洞；（5）鏡像技術(shù)，將數(shù)據(jù)原樣從一臺(tái)設(shè)備上復(fù)制到另一臺(tái)設(shè)備上，可以采用磁盤(pán)鏡像或磁盤(pán)雙聯(lián)，以保證會(huì)計(jì)數(shù)據(jù)的安全；（6）數(shù)據(jù)加密技術(shù)，通過(guò)數(shù)據(jù)加密技術(shù)，可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩?，保證傳輸數(shù)據(jù)的完