公務(wù)員期刊網(wǎng) 論文中心 正文

網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題探討

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題探討范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題探討

摘要:電子信息技術(shù)應(yīng)用范圍不斷拓展,網(wǎng)絡(luò)會(huì)計(jì)電算化也隨之進(jìn)入了高速發(fā)展時(shí)代?,F(xiàn)階段會(huì)計(jì)電算化已初步完成了由手工操作模式向網(wǎng)絡(luò)操作模式的轉(zhuǎn)換,但是仍然存在較多的問(wèn)題。根據(jù)網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題,對(duì)網(wǎng)絡(luò)會(huì)計(jì)電算化安全管理策略進(jìn)行了簡(jiǎn)單的分析。

關(guān)鍵詞:網(wǎng)絡(luò)會(huì)計(jì),電算化,安全

網(wǎng)絡(luò)的開(kāi)放性、共享性特征使會(huì)計(jì)電算化系統(tǒng)存在極大的信息風(fēng)險(xiǎn),如網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部?jī)?chǔ)存介質(zhì)安全隱患、軟件的可變性、網(wǎng)絡(luò)通信傳導(dǎo)脆弱性等。為保證企業(yè)財(cái)務(wù)會(huì)計(jì)信息安全,對(duì)軟件開(kāi)發(fā)中網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題及解決策略進(jìn)行深入研究與分析具有非常重要的意義。

一、網(wǎng)絡(luò)會(huì)計(jì)電算化安全風(fēng)險(xiǎn)

1.從業(yè)人員主觀風(fēng)險(xiǎn)

會(huì)計(jì)電算化系統(tǒng)最終操作人員為會(huì)計(jì)工作人員。這種情況下,會(huì)計(jì)工作人員的責(zé)任心、綜合素質(zhì)就直接影響了最終財(cái)務(wù)數(shù)據(jù)錄入的正確性;加上經(jīng)濟(jì)利益誘惑的存在,會(huì)計(jì)工作人員可能做出竊取商業(yè)秘密或破壞會(huì)計(jì)電算化系統(tǒng)內(nèi)部數(shù)據(jù)的行為,最終對(duì)企業(yè)發(fā)展造成嚴(yán)重的影響。[1]

2.計(jì)算機(jī)病毒風(fēng)險(xiǎn)

社會(huì)科技的進(jìn)步,促使企業(yè)間實(shí)現(xiàn)了實(shí)時(shí)信息交互。而網(wǎng)絡(luò)環(huán)境的開(kāi)放性,也加劇了會(huì)計(jì)電算化系統(tǒng)集中管理難度。再加上計(jì)算機(jī)病毒的存在,會(huì)計(jì)電算化系統(tǒng)內(nèi)數(shù)據(jù)具有較大的被修改、被復(fù)制、被刪除的風(fēng)險(xiǎn),對(duì)會(huì)計(jì)電算化系統(tǒng)穩(wěn)定運(yùn)行造成了極大的威脅。

3.網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)

會(huì)計(jì)電算化系統(tǒng)主要由硬件設(shè)備、操作規(guī)程、數(shù)據(jù)、軟件等多個(gè)部分組成。而軟件的可變性、儲(chǔ)存介質(zhì)安全隱患的存在及信息的可讀取性,導(dǎo)致會(huì)計(jì)電算化系統(tǒng)內(nèi)部出現(xiàn)了較大的安全隱患。

二、網(wǎng)絡(luò)會(huì)計(jì)電算化安全管理策略

1.加強(qiáng)會(huì)計(jì)工作人員管理

在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的背景下,對(duì)會(huì)計(jì)電算化工作也提出了更高的要求。一方面,企業(yè)應(yīng)將會(huì)計(jì)電算化財(cái)務(wù)工作人員綜合素質(zhì)培養(yǎng)作為重要工作,在定期培訓(xùn)的基礎(chǔ)上,制定更加嚴(yán)格的管理規(guī)程。[2]同時(shí)為保證內(nèi)部財(cái)務(wù)工作人員可適應(yīng)新時(shí)代工作要求,企業(yè)應(yīng)將操作誤差控制作為階段工作核心,實(shí)施審計(jì)輪換制度。從根本上解決因?qū)徲?jì)獨(dú)立性過(guò)高導(dǎo)致的財(cái)務(wù)主觀風(fēng)險(xiǎn)。另一方面,企業(yè)可建立注冊(cè)會(huì)計(jì)師懲處制度。結(jié)合崗位責(zé)任制度的細(xì)化設(shè)置,全面控制會(huì)計(jì)電算化系統(tǒng)內(nèi)部注冊(cè)會(huì)計(jì)師違規(guī)、違法或者其他不良行為,為會(huì)計(jì)電算化系統(tǒng)穩(wěn)定運(yùn)行營(yíng)造良好的環(huán)境。

2.優(yōu)化病毒防控體系

木馬是現(xiàn)階段會(huì)計(jì)電算化系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)頻率較高的計(jì)算機(jī)病毒,其大多隱藏在常規(guī)計(jì)算機(jī)軟件中,具有用戶信息竊取、用戶行為監(jiān)控、計(jì)算機(jī)攻擊、計(jì)算機(jī)操控等風(fēng)險(xiǎn)。因此,針對(duì)木馬病毒植入導(dǎo)致的會(huì)計(jì)電算化系統(tǒng)風(fēng)險(xiǎn),可在會(huì)計(jì)電算化系統(tǒng)內(nèi)部設(shè)置木馬病毒實(shí)時(shí)監(jiān)控模塊,利用啟發(fā)式掃描技術(shù),在特征代碼提取前的一段時(shí)間,檢測(cè)具有破壞作用的惡意軟件,達(dá)到事前預(yù)防木馬病毒的目的。

在實(shí)際運(yùn)行過(guò)程中,基于行為特征分析的木馬檢測(cè)模型主要包括木馬病毒規(guī)則庫(kù)、惡意軟件行為特征采集、軟件行為特征分析、木馬病毒處理幾個(gè)模塊。首先,木馬病毒規(guī)則庫(kù)主要是根據(jù)已發(fā)現(xiàn)木馬特征碼,結(jié)合木馬病毒特征行為,構(gòu)建集關(guān)鍵字特征庫(kù)、行為字特征庫(kù)為一體的木馬病毒規(guī)則庫(kù)。其次,軟件行為特征采集主要是利用數(shù)據(jù)挖掘、分析技術(shù),以會(huì)計(jì)電算化系統(tǒng)進(jìn)程、啟動(dòng)項(xiàng)目、網(wǎng)絡(luò)端口、文件操作及系統(tǒng)服務(wù)為要點(diǎn),對(duì)相關(guān)模塊行為信息進(jìn)行采集。

再次,軟件行為特征分析主要是以木馬規(guī)則庫(kù)為依據(jù),通過(guò)軟件行為特征匹配,可確定木馬病毒信息。反之則需利用閾值判別算法對(duì)其進(jìn)行進(jìn)一步分析。閾值判別算法主要是通過(guò)預(yù)先設(shè)定木馬程序的閾值,對(duì)會(huì)計(jì)電算化系統(tǒng)軟件行為特征采集數(shù)據(jù)、木馬病毒規(guī)則庫(kù)進(jìn)行比對(duì)分析。針對(duì)不匹配的數(shù)據(jù),對(duì)木馬程序預(yù)先設(shè)定閾值與行為特征數(shù)據(jù)進(jìn)行比對(duì)分析。即設(shè)定可疑軟件行為出現(xiàn)次數(shù)為m,則可疑軟件特征值為xq(q=1,2,3,……,m),可疑特征值權(quán)重值為ai(i=1,2,……,m)。[3]經(jīng)權(quán)重值計(jì)算、樣本均值計(jì)算、比較值計(jì)算、閾值比較等過(guò)程,可得出木馬病毒程序。其中權(quán)重值計(jì)算需要采用指數(shù)平均數(shù)指標(biāo)法,針對(duì)與樣本數(shù)值相關(guān)的計(jì)算結(jié)果進(jìn)行逐步推導(dǎo)分解,最終可得出相關(guān)樣本數(shù)值權(quán)重。若假定樣本數(shù)為m,則平滑洗漱為2/(1-m),設(shè)b=2/(1-m),則可得出截至當(dāng)前樣本數(shù)均值。通過(guò)對(duì)均值逐一展開(kāi),可得出可疑特征值樣本權(quán)重計(jì)算公式為:bq=(1-b)m-1*b。

最后,根據(jù)軟件行為特征分析結(jié)果,可將軟件類別劃分為可疑、危險(xiǎn)。對(duì)于行為類別為危險(xiǎn)的軟件行為,可直接將其刪除;而對(duì)于行為類別為可疑的會(huì)計(jì)電算化系統(tǒng),可進(jìn)行人工處理。并出具會(huì)計(jì)電算化系統(tǒng)監(jiān)測(cè)報(bào)告。

3.完善會(huì)計(jì)電算化系統(tǒng)內(nèi)部管理體系

針對(duì)現(xiàn)階段會(huì)計(jì)電算化系統(tǒng)運(yùn)行階段存在的軟件風(fēng)險(xiǎn)或儲(chǔ)存介質(zhì)安全風(fēng)險(xiǎn),相關(guān)企業(yè)可利用身分認(rèn)證技術(shù),在靜態(tài)密碼(用戶名+密碼)簡(jiǎn)便認(rèn)證方式實(shí)施的基礎(chǔ)上,利用USBKey內(nèi)置CPU加密、解密及數(shù)字簽名功能,設(shè)置以USBKey為基礎(chǔ)的數(shù)字證書(shū)身分認(rèn)證方案,實(shí)現(xiàn)客戶端、服務(wù)器端相互認(rèn)證及雙對(duì)話密匙分配。在這個(gè)基礎(chǔ)上,利用USBKey雙因子認(rèn)證功能,可對(duì)會(huì)計(jì)電算化系統(tǒng)設(shè)置USBKey、PIN碼雙重登陸模式,可有效避免PIN碼被破解或者USBKey被盜用導(dǎo)致的會(huì)計(jì)電算化系統(tǒng)內(nèi)部管理風(fēng)險(xiǎn)。在實(shí)際運(yùn)行過(guò)程中,基于USBKey的會(huì)計(jì)電算化系統(tǒng)內(nèi)部控制體系主要包括客戶端、服務(wù)器兩個(gè)模塊。[4]

首先,為服務(wù)器對(duì)客戶端進(jìn)行身分認(rèn)證,在PIN碼輸入正確的基礎(chǔ)上,用戶在會(huì)計(jì)電算化系統(tǒng)客戶端可讀取USBKey私匙,隨后調(diào)用USBKey,在獲得隨機(jī)數(shù)后使用證書(shū)密匙,以隨機(jī)數(shù)+服務(wù)器身分的模式,獲得簽名信息。并將簽名信息、隨機(jī)數(shù)同時(shí)發(fā)送到服務(wù)器。

其次,會(huì)計(jì)電算化系統(tǒng)客戶端對(duì)服務(wù)器的身分認(rèn)證主要是在服務(wù)器接收到客戶端發(fā)送的簽名信息后,對(duì)簽名信息進(jìn)行驗(yàn)證。簽名信息確認(rèn)無(wú)誤后,服務(wù)器會(huì)產(chǎn)生隨機(jī)數(shù),利用服務(wù)器端證書(shū)密匙,以隨機(jī)數(shù)+會(huì)計(jì)電算化系統(tǒng)客戶端身份的模式,生成另外的簽名信息,并將所生成的簽名信息及服務(wù)器端生成的隨機(jī)數(shù)、客戶端生成的隨機(jī)數(shù)發(fā)送給會(huì)計(jì)電算化系統(tǒng)客戶端。

最后,在會(huì)計(jì)電算化系統(tǒng)客戶端、服務(wù)器信息相互認(rèn)證之后,需要對(duì)身分認(rèn)證過(guò)程進(jìn)行抗重放攻擊,即針對(duì)攻擊者發(fā)送目的機(jī)器已接收完畢的數(shù)據(jù)包對(duì)會(huì)計(jì)電算化系統(tǒng)運(yùn)行穩(wěn)定行造成影響。在會(huì)計(jì)電算化系統(tǒng)客戶端接收到服務(wù)器發(fā)送簽名信息后,可對(duì)簽名信息進(jìn)行驗(yàn)證。隨后對(duì)發(fā)送的兩個(gè)隨機(jī)數(shù)進(jìn)行對(duì)比,若接收的兩個(gè)隨機(jī)數(shù)相同,則可使用證書(shū)密匙,對(duì)后一個(gè)隨機(jī)數(shù)生成簽名信息,并將所生成的簽名信息與后一個(gè)隨機(jī)數(shù)同時(shí)發(fā)送給服務(wù)器。服務(wù)器接收到會(huì)計(jì)電算化系統(tǒng)客戶端發(fā)送的簽名信息及隨機(jī)數(shù)后。需要對(duì)隨機(jī)數(shù)前后信息對(duì)比,待兩個(gè)隨機(jī)數(shù)據(jù)信息一致后,則確定身分認(rèn)證成功。

三、結(jié)語(yǔ)

綜上所述,會(huì)計(jì)電算化系統(tǒng)是現(xiàn)代化生產(chǎn)、技術(shù)革命結(jié)合的新產(chǎn)物。會(huì)計(jì)電算化系統(tǒng)的合理應(yīng)用,不僅可以降低財(cái)務(wù)會(huì)計(jì)工作人員的工作強(qiáng)度,而且可以提高財(cái)務(wù)會(huì)計(jì)信息傳播速度。因此,針對(duì)會(huì)計(jì)電算化系統(tǒng)運(yùn)行階段出現(xiàn)的安全風(fēng)險(xiǎn),相關(guān)技術(shù)人員應(yīng)從人員、信息系統(tǒng)內(nèi)部、病毒管理等模塊,進(jìn)行全面網(wǎng)絡(luò)安全管制平臺(tái)的設(shè)置,保證會(huì)計(jì)電算化系統(tǒng)安全、穩(wěn)定運(yùn)行。

參考文獻(xiàn):

[1]傅一旺.解決網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題的對(duì)策[J].農(nóng)村經(jīng)濟(jì)與科技,2016,27(17):136-137.

[2]孔媛.企業(yè)會(huì)計(jì)電算化系統(tǒng)的網(wǎng)絡(luò)化和安全性[J].中國(guó)新通信,2016,18(9):287.

[3]陳羽舒.網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題及對(duì)策探索[J].產(chǎn)業(yè)與科技論壇,2018(1):205-206.

[4]鄭曉敏.網(wǎng)絡(luò)會(huì)計(jì)電算化的信息安全風(fēng)險(xiǎn)分析及防范策略[J].納稅,2017(7):38.

作者:劉永清 單位:益陽(yáng)職業(yè)技術(shù)學(xué)院