网络环境下会计信息系统安全性建设绪论

　　第 1 章 绪论

　　1.1 选题背景与研究意义

　　随着网络信息技术的发展，企业的生产经营活动发生了巨大的变化。近些年来，互联网的飞速发展，企业逐步开展了电子商务业务，利用网络进行交易已成为不可替代的发展趋势。

　　企业会计同样也发生了巨大的变化，网络环境下，会计目标、会计职能、会计操作手段以及会计监督都在朝着适应新型网络经济的方向变革和发展(李端生，2001)。而同时随着网络的发展，会计信息的使用者也变得更加广泛，会计的操作手段以及监督方式都更加先进，基于这种情况，网络会计应运而生。网络会计的出现首先改变了会计的操作方式，即会计由手工操作阶段转变成了计算机操作，而财务软件的出现，改变了手工方式下财务与业务相分离的状态，实现了财务业务一体化的管理、协调；其次，网络环境下，管理者可以随时随地的通过网络会计信息系统了解企业的业务及财务运作情况，能更好、更及时地对企业的经营活动进行全方位的管理，同时也有利于管理者对财务的控制和监督，同时也便于财务主管就其发生的问题快速地作出反应，及时安排相关解决措施；最后，在网络环境下，企业的会计信息不再像手工会计下会计信息所呈现出的信息孤岛形式，其会计信息系统与内部、外部均紧密相连成一个整体，信息使用者可以通过网络获取其所需的会计信息。因此，网络技术的发展给企业会计带来了巨大的便利。

　　但在网络环境给会计带来巨大便利的同时，也给会计信息系统带来了一些不可避免地安全威胁。首先，由于互联网/企业内部网络使用的是 TCP/IP 协议，该协议具备的开放性，容易使企业会计信息系统遭遇窃取密码、伪造用户身份、非法修改或删除会计信息、黑客的非法入侵以及病毒的入侵等威胁。其次，会计信息在传递的过程中，由于网络本身的不稳定性及存在的不安全因素等，容易使会计信息失真或者被窃取；最后，由于内部操作人员可能发生的操作失误或恶意操作等情况，可能会导致企业会计信息系统的硬件、软件或网络系统等发生故障，引起会计数据的丢失，给企业造成不可估量的后果。

　　因此，研究网络环境下会计信息系统的安全与对策分析问题是必要的。本文结合 2011 年财政部关于大型企业会计信息化调查问卷的内容，分析了目前企业网络会计信息系统安全存在的一些问题及其原因，并就此提出了相应的解决对策。

　　具体而言，本文的研究意义在于下面几方面：（1）结合 2011 年财政部对全国大型企业会计信息化开展情况的调查问卷1及网络会计信息系统相关理论，分析了我国大型企业目前网络会计信息系统安全方面存在的问题，并详细分析了各不同分类标准下（国有/非国有企业、上市/非上市企业、农业/非农业企业）企业会计信息系统安全问题存在的差异情况；（2）针对大型企业共有的一些安全隐患问题，进行了原因分析，确定了其深层次的原因，并同时分析了各分类标准下不同企业遭遇的安全问题的差异性原因，为安全对策的提出奠定了一定的基础；（3）针对上述现状、原因的分析，分别就共性问题及各企业的个性问题提出了相应的解决对策。

　　1.2 相关研究评述

　　国内外许多学者就网络会计信息系统的安全问题进行了广泛的研究，研究内容集中在以下几个方面：会计信息系统存在的安全现状、安全隐患以及为增强系统安全所采取的措施。

　　1.2.1 关于网络会计信息系统安全现状的研究

　　随着网络会计信息系统在企业应用中的不断深入，企业对会计信息系统的依赖性也在逐渐提高，但 Coopers & Lybrand 的一项研究分析表明，英国 60%以上的企业曾遭遇了信息系统被控制的问题，且在澳大利亚、美国等国家也经历过类似的系统问题。因此为了提高企业决策的准确性，必须要深入了解会计信息系统自身存在的一些安全隐患，以及目前企业会计系统安全问题的现状。

　　网络环境由于其自身所具有的复杂性和开放性，因此网络会计信息系统也不可避免地存在着一些安全隐患。Robert L.Hurt(2008)讨论了信息系统存在的一些商业风险，包括欺诈、错误、服务崩溃与延迟、信息外泄、非法入侵、信息窃取、信息操纵、恶意软件、拒绝服务攻击、网站污损以及勒索。史红娟,李瑞芳(2005)对网络环境下会计电算化系统可能遇到的安全威胁进行了综述，认为安全隐患一般包括：会计信息泄露、失窃及未经授权使用，会计信息和计算机的欺骗性运用、会计信息的完整性遭到破坏、服务器遭到拒绝服务攻击等。

　　会计信息系统安全现状的理论研究，学者们主要从物理安全、技术安全以及管理安全三方面进行综述。物理安全，即主要是指系统内部机器、设备等可能遭受的损坏情况。梁星，王风华（2008）通过研究对企业调研的样本，发现单机和 C/S 两种应用模式下的系统，都存在自身功能失效、零组件性能限制的可能，这都可能导致会计系统工作混乱或会计数据毁损。陈宏明，杨勇（2002）1认为不正确的操作方式、人为的有意破坏以及不可预测的灾害是影响硬件系统安全的主要风险。张继德，刘盼盼（2010）对硬件系统的安全问题进行分析，其认为电源不稳可能导致某些精密仪器等设备损坏而导致系统出现故障或数据丢失；自然灾害也可能会影响到设备的可靠性和安全性；以及磁场干扰、特殊因素等都会影响硬件系统的使用。

　　技术安全，主要从会计信息系统中的软件可能遭受入侵、病毒等情况而导致会计信息发生泄漏、篡改等情况。张宝丽（2009）从会计系统本身存在的系统漏洞和黑客常借助破译工具对密码的破解两方面论述了企业网络会计存在的安全威胁。王丽艳（2013）从软件的质量、盗版的操作系统和管理系统软件以及网络系统的恶意破坏三方面论述其可能会导致会计系统的瘫痪，进而影响会计信息的安全。潘婧（2008）认为网络环境下信息系统的安全风险远远大于单机情况。这主要涉及到下列三方面：一，跨区域财务系统协同工作的安全；二，来自企业合作方和社会管理部门对网络财务系统的安全威胁；三，数据在传输过程中遭到的非法窃听和截取。臧秀清，何玉芬（2009）主要通过网络病毒、黑客的攻击以及网络结算资金存在的弊端（如网络黑客改变货币账单、银行结算单等）揭示了企业网络会计面临的技术安全风险。罗红（2011）2认为信息系统最容易受到黑客与病毒的攻击，网络环境下，经济发达地区的财务信息面临被窃取的比例会更高，这主要是由于单位缺乏成熟的安全管理机制和目前的操作系统主要由国外研制，很难判断其是否存在缺陷或后门。

　　管理安全，通常是指系统对于操作人员、机器设备、数据等安全情况的管理。许佳（2010）就网络环境下的内部控制和法律环境以及监督机制进行了分析，并指出由于尚未形成完善的内部控制、法律及监控制度，而使企业产生的一些网络风险。陈宏明，杨勇（2002）认为会计数据的不安全因素主要包括操作人员的篡改程序和数据；员工有权和无权的非法操作以及操作人员窃取或篡改商业秘密、非法转移电子资金和数据泄密等。孙静（2009）认为目前实施会计电算化主要存在的安全管理方面问题有：一、职权设置不合理，没有建立岗位责任制以及网络环境下差错不易发现等内部控制安全风险；二、档案管理方面，如缺乏规范的会计电算化档案管理制度；三、人才综合素质低下，如表现在上机时经常出现误操作等情况。

　　上述学者从理论上对企业的网络会计系统的安全现状进行了分析，但是行业、规模不同的公司，其会计信息系统的安全现状可能也存在着不同。王雄，孙晓东，吴维桥（2013）以青海省电力公司为背景，该公司信息网络呈现的是内网、外网相隔开的状态，因此其会计信息系统所遭遇的来自外网的风险大大减小，其主要就内网出现的安全风险（主要是部分员工的无意识行为造成的）进行了详细的分析。丘朝才（2006）按照单位规模的不同对其进行了研究，他认为相比于大型单位而言，中小型单位由于其经营规模、成本费用等的约束，单位在实施会计信息化的过程中对安全方面的投入或重视都不及大型单位，因此其系统存在的风险也与大型单位存在区别，故作者就中小型单位的会计信息系统的安全风险进行了详细的分析。魏姗琳，邓彦（2010）对高校财务系统的运作现状及存在的问题进行分析后，基于模糊综合评判法构建了高校财务系统安全评估指标体系，评估方法表明，评估结果具有可行性和指导性。

　　1.2.2 关于网络会计信息系统安全隐患的研究

　　会计信息系统存在的安全隐患，同样从物理安全、技术安全、管理安全这三个方面进行综述。

　　从物理安全角度上，罗红（2011）对网络会计信息系统安全问题原因进行分析时，指出硬件设备配置的不合理，尤其是网络服务器及路由器等对网络安全有很非常大的影响。臧秀清，何玉芬（2009）认为系统操作人员的非法操作或有意识的破坏，也可能导致硬件设施的损坏并可能使会计数据丢失。

　　从技术安全角度上，钟红英（2006）分析了系统风险产生的技术安全方面的原因主要有：一是由于信息技术在安全方面的“先天不足”；二是人们在运用信息技术时的“后天乏力”。

　　也就是说一方面是由于信息技术的安全性不完善，另一方面是企业对安全方面的重视不够。

　　罗红（2011）认为软件系统的不合理主要表现在软件系统的规划不合理以及软件开发工具选择的不合理两方面。史红娟，李瑞芳（2005）认为系统本身没有提供对数据有效性的检查和控制，因此系统设计的不完善不充分以及应用程序上存在的错误（其认为几乎所有的软件都有错误）是威胁系统的原因。

　　从管理安全角度上，钟红英（2006）从管理角度上认为，企业内部网非法用户使用或合法用户越权使用系统也是系统安全风险存在的原因，并认为，相比于技术问题，制度问题更值得人们的探究。罗红（2011）认为管理制度建设不健全亦是导致信息系统风险存在的原因，尤其是内部控制制度的不完善以及人员的胜任能力和道德风险。史红娟，李瑞芳（2005）对于管理方面，其认为系统对访问权限的控制不严格，很容易使不该接触数据的人非法接触了数据，这就引发了企业对员工监督管理的力度不够，缺乏监督的小错误最终也可能会变成欺诈和盗窃。

　　1.2.3 关于增强网络会计信息系统安全性的研究

　　目前，国内外学者针对会计信息系统的安全问题主要从安全技术和管理两方面提出了一些改进意见和措施。网络安全技术一般包括防火墙、加密、身份认证和数字签名等；安全管理一般包括网络安全管理、运行管理、内部控制管理等。其中：
　　
　　从技术层面分析，美国信息系统审计与控制协会 ISACA 于1996 推出了 IT 治理的控制框架 COBIT（Control Objectives for Information and related Technology）即信息和相关技术控制目标。目前，COBIT 已成为国际上公认的 IT 管理与控制标准，指导着多数重要组织与企业如何有效地利用和管理信息资源。我国的苗连琦(2008)基于 COBIT 4.1对 IT 环境下会计信息系统进行分析，并借鉴了跨国公司（保诚公司）运用 COBIT 的经验，提出了建立我国自己的COBIT 框架的必要性。孙勇（2010）运用 COBIT 信息系统控制标准，将 COBIT 的安装、授权解决方案和变更、运营管理、数据管理、物理环境管理、确保系统安全 IT 流程运用到会计信息系统中，并结合 COSO 企业风险管理要素，构建会计信息系统安全控制框架。

　　技术语言的不断发展完善，为互联网增添了许多丰富的内容，但 Ranum M·J（1997）指出，技术语言同时也给系统带来了很多的安全隐患，如通过邮箱传递的病毒和垃圾邮件。国际信息安全专家（1998）提出了可以量化的、且经数学家证明的基于时间的新的系统安全构建 模 型 TBS(Time Based Security) 。 该 模 型 的 核 心 是 PDRR(Protection—Detection—Reaction—Restore，即防护—检测—反应—恢复)，系统构建的主要环节包括：安全防护、安全监测、安全事件反应与安全回复。

　　信息安全则主要依据对存储或传输中的数据进行加密这一技术，美国国家标准技术研究所（NIST）（2000）公布了高级加密标准—Rijndael 算法。Rijndael 算法的主要优点是：其具有较好的数学理论基础，结构简单、速度快且其密钥能有效抵抗目前已知的攻击算法线性攻击和差分攻击。李卢（2009）在其硕士论文中，将网络环境下会计信息系统面临的风险归类为人、技术和管理三类后，主要基于 AES 加密算法对会计信息安全系统进行了详细地设计，并最终提出了网络环境下会计信息安全管理对策。

　　王信敏，杨兴寿（2013）基于信息系统身份认证安全性评价中指标值的不确定性和模糊性，使用区间数模糊评价原理，建立基于区间数的信息系统身份认证安全性模糊评价模型，并利用该模型对某单位的绩效管理信息系统的身份认证体系进行了评价。臧秀清，何玉芬（2009）总结了网络会计中所使用的安全技术，即防范技术、探测技术、检测技术与认证技术，并就目前网络会计中出现的技术安全问题及其原因进行了分析之后，提出了网络会计系统的技术安全防御体系，包括安全策略、安全管理与安全技术三个方面。

　　从管理层面出发，Juan Jim Tan（2004）从法律及政策的角度上阐述了对网络安全防范的措施。胡玉可（2009）提出了为确保会计信息系统的安全，应从完善法律控制、健全环境控制以及加强组织控制这三方面着手，他认为组织控制是一种统领性的控制，是会计信息系统安全实现的必要基础。倪江陵（2008）界定了会计信息系统的内部控制主要是指会计数据的安全控制、保密性控制以及完整性控制；外部控制主要是指系统的物理控制、存取控制以及网络端口控制。作者从管理和技术两个角度分析了会计信息系统的安全问题及其产生的原因，并针对这些问题，分别从会计信息系统的内部控制和外部控制两个角度提出了相应的安全防范措施。钟红英（2006）从制定相应的法律规范、严格内部控制、加强安全教育和业务培训、建立系统安全报告制度等方面提出了建立会计信息安全系统的具体措施。孙超，刘国峰，刘洪才（2006）在分析了影响网络会计安全因素的基础上，主要从管理制度，即数据管理、法律制度的建设、远程审计及多方监督、网上公证等方面给予了防范措施。陈宏明，杨勇（2002）将内部控制定义为对企业 Intranet 内系统空间进行的控制，又可分为一般控制和应用控制两类；将对企业 Intranet 以外的系统空间进行的控制称为外部控制。作者分别从系统内部控制和外部控制两方面对会计信息系统的安全进行了分析。宫雪冰（2010）利用一般控制方法（泛指各个应用系统均适用的控制）、应用控制方法（专指那些专门为某个应用系统设计且执行的控制）两方面对网络会计信息系统的安全问题提出了详细的控制措施。谷增军（2012）指出，会计信息系统与其他事物一样，都是存在生命周期的，会计信息系统的生命周期通常由系统规划、需求分析、设计运行、维护、废弃组成，作者从这几个阶段出发，提出了具体的系统安全风险防范的措施。

　　通过上述分析，我们可以看出，关于网络会计信息系统安全的讨论有一些但并不是很多，且其多是从理论的角度出发，有些并没有结合目前企业的现状去考虑问题，更没有区分不同类型的企业遇到的不同安全问题，而只是统一的都从技术和管理角度对所有企业给出相同的对策或建议，大多数只停留在理论上，方向性的粗略探讨，可操作性不强，对企业应用的借鉴意义不大。

　　1.3 研究对象与主要研究内容

　　本文主要从威胁企业会计信息系统安全的角度出发，以国内外会计信息系统安全理论与相关成果为依据，结合调查问卷中与企业会计信息系统安全相关的数据，并对样本数据采用统计分析后，我们指出目前影响我国大型企业会计信息系统安全存在的相关问题及其原因，最后分别就全国企业会计信息系统存在的共性问题与各行业企业会计信息系统存在的个性问题提出了相应的改进措施。

　　1.4 研究思路与研究方法

　　本文主要通过对 2011 年财政部对全国省管大型企业会计信息系统安全方面的调查问卷进行研究分析，并结合相关的理论，指出了我国大型企业中会计信息系统安全方面存在的共性问题以及不同分类企业中会计信息系统存在的个性问题及其原因分析，最终以此为基础提出了相关的对策分析。

　　本文主要采用的研究方法有：

　　（1）规范研究法本文对企业会计信息系统的安全要素、安全理论以及安全对策进行了系统的理论阐述，并同时对大型企业按照不同的分类标准进行了分类阐述。

　　（2）统计分析法本文从 2011 年财政部进行的对全国大型企业会计信息化开展情况的调查问卷中提取了与会计信息系统安全相关的数据，运用 SPSS 17.0 统计分析软件、Excel 软件等对样本数据进行实证分析和检验，进而说明目前企业会计信息系统中存在的相关安全问题及其原因。

　　1.5 主要创新点

　　（1）研究思路的创新文献综述中，我们已经列示了诸多学者对会计信息系统的安全理论的研究成果，但其研究对象多是针对所有企业。对于不同规模、不同行业下的企业会计信息系统安全方面研究的甚少，因此本文在前人已有的研究基础上，既有对全国所有大型企业会计信息系统安全的共性问题进行研究，也有对不同行业及所有制下的企业会计信息系统的个性安全问题进行了相关的研究。

　　（2）研究方法的创新如前面文献综述所述，国内外诸多学者对会计信息系统安全的研究，但其主要采用的是规范研究法，采用统计分析法的较少，而本文通过对调查问卷中涉及会计信息系统安全方面的数据利用相关统计软件进行了一定的研究分析，用实证方式对会计信息系统的安全进行了相关的研究分析。