網絡會計安全意識思考分析論文

導語：網絡會計安全意識思考分析論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：網絡會計是基于互聯網技術的現代會計模式，互聯網的時空無限性和技術開放性潛存著安全隱患，會計信息有可能被截取或篡改。發展網絡會計必須解決兩個問題：一是提高網絡安全意識，樹立新的信息安全理念，尋求安全解決方案；二是采用有效的安全密鑰技術，實施必要的防火墻措施，建立適應網絡會計系統的控制機制。

關鍵詞：網絡會計安全意識密鑰技術

有人說，網絡會計的安全問題是咽喉中的“惡性腫瘤”，盡管腸胃消化功能很好，可營養豐富的食物無法下咽，也只能通過“導管”維持生命。通俗的比喻，淺顯地道出了一個業界人士最為關心的問題：網絡會計發展的瓶頸——安全問題，更折射出業界人士的心愿：網絡會計發展的明天——摘除“惡性腫瘤”。

一、互聯網絡安全：令人擔憂的網絡會計依托的平臺

眾所周知，國際互聯網絡是一個由數以萬計的不同規模的網絡，通過自愿原則并共同遵守某種協議(如TCP/IP協議)互相連接起來的全球性的計算機網絡，而網絡會計則是以國際互聯網絡為平臺，對會計主體發生的經濟活動引起的會計要素的增減變動進行核算和監督，以求達到管理經濟活動，提高經濟效益，實現會計目標的現代會計模式。

國際互聯網絡時空的無限性和技術的開放性，為實現工作場地虛擬化，資料記錄無紙化，數據傳遞遠程化，信息交流數字化提供了廣闊的空間，在當今時代已經顯現出無比的優越性，但也使一些不法分子常常有機可乘，從而使用戶比以往更有可能暴露有價值的企業信息、關鍵性的商業應用以及公司客戶的各類私人保密信息。惡意的襲擊會侵入網絡會計站點，進行各種可能的破壞，如制造和傳播破壞性病毒或讓服務器拒絕服務等。這些攻擊可引起服務崩潰，保密信息暴露，從而最終導致公眾信心的喪失，網絡會計實施的瓦解。

據媒體報道，去年4月21日，反病毒專家截獲了一種專門盜取某網上銀行用戶名和密碼的木馬病毒，這種病毒會在用戶計算機中創建可執行文件、掛鉤和發信模塊文件，并修改注冊表。一個普普通通的木馬病毒，在重重安全技術防范的網上銀行系統中，竟能繞過Microsoft安全控件和網上銀行的CA（CertificatesAuthorities）證書，輕而易舉地竊取用戶的賬號和密碼？正當人們懷疑的時候，事隔一天，4月23日，江民反病毒專家在采取了嚴密的防范措施后，當場運行了截獲的病毒樣本進行試驗，結果表明病毒成功地截獲了銀行卡號及密碼并向外發送，令人難以置信的事情卻實實在在發生了。有關數據顯示，目前我國網上銀行用戶有近千萬，每年僅通過網上銀行流通的資金超千億，而利用多種安全認證技術的網上銀行系統，在一個小小的木馬病毒面前如此不堪一擊，就如存有千億元的銀行大門，只需輕輕一推就完全敞開，如何保障千萬用戶的千億資金安全？

隨著計算機互聯網絡技術的提高，網絡帶寬影響網絡傳輸速度的問題應該說已基本解決，寬帶接入為實現網絡會計提供了在線操作的保證，但寬帶接入的背后卻隱藏了無限的殺機，有人曾斷言，寬帶將電腦接入了高危地區，斷言雖說有點危言聳聽，但網絡用戶面臨的安全問題卻是客觀存在的。據IT界業內人士介紹，近來有些“間諜軟件”能夠在用戶不知情的情況下偷偷進行安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機密信息發送給第三者，還有一些“廣告軟件”能夠在硬盤上安營扎寨，發作時會不斷彈出廣告，將瀏覽器引導至某些特定網頁，以此盜取用戶的活動信息。據IT業界和美國國土安全部共同成立的“國家互聯網安全聯盟”的估計，90%使用寬帶接入的用戶至少會被一個間諜軟件或廣告軟件所感染，并導致一系列不良后果。專家預計，目前互聯網上流行的間諜軟件和廣告軟件大概有數萬個之多。

美國計算機安全研究中心SANSInstitute曾經專門研究過沒有任何保護措施的計算機在互聯網上的“存活時間”，結果表明，2003年平均存活時間為近1小時，2004年卻不足20分鐘。

如此脆弱的互聯網絡確實讓人擔憂，以互聯網為平臺的網絡會計更讓人擔憂，會計信息能保證不會丟失嗎？商業機密能保證不會被竊取嗎？

二、安全防范意識：網絡會計發展必須淌過的河

網絡會計的信息安全問題是困擾網絡會計發展的核心問題。在傳統的手工操作方式下，會計信息的安全性有著嚴密的措施加以保證，在會計電算化方式下，由于大多是單機用戶或財務局域網或企業局域網，一般未接入國際互聯網絡，再加上安全密鑰的設置等，其安全性相對來說是有保障的，而在網絡會計方式下，其依托的操作平臺就是國際互聯網絡，如何淌過會計信息安全這條河，對網絡會計今后的發展起著舉足輕重的作用。筆者認為，首要的是要強化網絡安全防范意識，正如國際安全巨頭賽門鐵克（symantec）公司中國區執行總裁鄭裕慶分析的，防止網絡威脅“惟一的方法是主動預防，即部署整體的網絡安全解決方案，而不是簡單的反病毒解決方案。”

據國家863反計算機入侵和防病毒研究中心對2004年網絡安全狀況調查資料顯示，近年來，用戶對網絡信息安全管理工作的重視程度普遍提高，在被調查用戶中，80%的配有專職或兼職安全管理員，12%的建立了安全組織，2%的聘請了信息安全服務企業提供專業化的安全服務，但被調查用戶也普遍反映安全觀念薄弱等問題。另據3721在全國范圍內發起的“全民體檢周”公益活動在線檢測結果顯示，很多用戶第一次感覺到網絡安全隱患竟然距離自己如此之近，這從反面折射出網絡用戶安全意識普遍薄弱的問題。其主要表現在：一是用戶對網絡安全防范解決方案上存在技術盲區，面對網絡黑客攻擊方式的多樣化、突發性和隱蔽性的特點，不少用戶不知道采取怎樣的措施才能有效地保護自己的信息安全；二是用戶對網絡安全防范解決方案上存在認識誤區，比如有人認為網絡安全防范可以通過殺毒產品實現，把查殺病毒與防御黑客入侵割裂開來，忽視了網絡病毒的變化趨勢，更有甚者，有的用戶認為安裝了殺毒軟件后就萬事大吉了，沒有及時對殺毒軟件進行升級。

提高網絡安全防范意識，樹立全新的信息安全理念，尋求最佳的安全解決方案，避免因網絡安全防范失誤而可能造成的不必要損失，對于網絡會計來講，就顯得尤其突出。其一，要從宏觀上強化網絡安全防范意識，實行網絡會計信息安全預警報告制度。網絡會計的運行平臺是國際互聯網絡，而且大多數服務器和客戶端都以MicrosoftWindows系統作為操作系統，加上計算機病毒或黑客軟件等破壞程序多數是利用操作系統或應用軟件的安全漏洞傳播，這為實行預警報告制度提供了非常有利的條件。因此，會計主管部門應盡快建立一套完善的網絡會計信息安全預警報告制度，依托國家反計算機入侵和防病毒研究中心及各大殺毒軟件公司雄厚的實力，及時網絡會計信息安全問題及計算機病毒疫情，從而切實有效地防范網絡會計信息安全事件。其二，要增強用戶的網絡安全意識，切實做好網絡會計信息安全防范工作。要針對用戶安全意識薄弱，對網絡安全重視不夠，安全措施不落實的現狀，開展多層次、多方位的信息網絡安全宣傳和培訓，并加大網絡安全防范措施檢查的力度，真正提高用戶的網絡安全意識和防范能力。

三、安全密鑰技術：網絡會計發展必須爬過的坡

網絡會計數據的傳輸是通過國際互聯網絡進行的，會計信息的處理和存儲等工作都集中在網絡系統之內，這就有可能被一些非法入侵者截取，或被一些別有用心者篡改。因此，密鑰技術是網絡會計發展的關鍵環節。試想，如果網絡會計的密鑰技術存在漏洞或隱患，信息的機密性何以保證？數據的安全性從何談起？網絡會計的安全鑰密技術是網絡會計發展必須爬過的坡。

盡管網絡會計目前還沒有一個實質性的發展，但會計電算化已經有了一個長足的進步。就安全密鑰技術來看，會計電算化實施過程中暴露出來的一些問題，對實施網絡會計是有借鑒作用的。目前使用的會計電算化軟件主要包括單機版和網絡版兩大類，由用戶根據其經營規模的大小、會計崗位的設置等情況選擇，單機版僅在單臺計算機上使用，網絡版則在財務局域網或企業局域網內運行，但一般情況下都不與國際互聯網絡鏈接。由此，會計信息在傳輸過程中被“局外人”截取的可能性就小了，可“局內人”非授權訪問或篡改會計信息的案例卻時有發生，盡管是個案，卻也暴露出了電算化會計在安全密鑰技術方面存在的問題。筆者就此曾作過專門調查，歸納起來大致有以下幾種情況：一是加密的密碼或口令過于簡單，僅2-3個至多4-5個字符，這種密碼或口令就如同紙做的門，是防得住大盜還是防得住小偷呢？二是加密的密碼或口令過于統一，包括開機密碼、進入系統密碼、授權口令、屏保密碼等都使用相同的字符，這就如同設了三道門，加了三把鎖，卻使用同一把鑰匙去開啟這三把鎖，這第二道門和第三道門還有什么作用呢？三是加密的密碼或口令過于有規律，如序列碼12345、重復碼66666、電話手機碼138510、顯示器碼Legend、鍵盤碼PHILIPS等等，這對經驗老道的高手來說，一猜九個準；四是淡化密碼或口令的作用，開機進入系統后長時間離開，既不退出系統，也不加設屏保，如入無人之境；五是會計電算軟件本身存在不足，軟件商在開發軟件時片面迎合用戶心理，密鑰模塊設置過于單一。

網絡會計的安全密鑰技術相對于會計電算化來說，既要解決靜態會計信息被非授權訪問或篡改的問題，又要解決動態會計信息在傳輸中被截取的問題。筆者認為，應著重解決三個問題：其一，采用有效的安全密鑰技術。為了防止非法入侵者竊取會計信息和非授權者越權操作數據，必須將客戶端和服務器之間傳輸的所有數據都進行加密。專家們建議，至少應兩層加密，第一層采用標準SSL協議，以有效地防止破譯和篡改等，第二層采用私有加密協議，以有效地防止越權操作。其二，實施必要的防火墻措施。防火墻是一種將內部網和公眾訪問網(如Internet)分開的方法或技術，它保護著內部網絡敏感的數據不被偷竊和破壞，并記錄內外通訊的有關狀態信息。通過防火墻技術，執行安全管理措施。其三，建立適應網絡會計系統的控制機制。網絡會計不同于傳統的手工操作會計，也不同于電算化會計，就控制機制而言，要綜合考慮手工會計及電算化會計下有效的控制機制，還要兼顧網絡會計的自身特點，建立適應網絡會計系統的控制機制，如調用會計信息必須登錄戶名、使用方式以及使用結果；更正會計數據必須留下“痕跡”以備查考；要設置非法用戶登錄或口令錯誤超限次數，并自動鎖定終端，凍結用戶標識；系統要能夠自動識別有效的終端入口，以防非法“物理”接入，等等。

“所有的網絡都有問題，無論你采取多少預防措施都不管用。”盡管福特-倫德吉爾網絡公司的商業智能經理約翰·P·蘇利文的話有點聳人聽聞，但安全意識的淡薄、防火墻技術上的不足、殺毒軟件使用上存在的誤區、操作不當產生死機丟失數據等警示人們：網絡會計必須在一個安全的環境中才能發展和壯大。