高校电算化会计信息安全属性及保障措施
高校电算化会计信息安全属性及保障措施
会计信息安全一直是会计工作的重要内容,在手工记账模式下通过借贷记账法、总账明细账核对等方式来保证会计信息的安全。会计电算化实行后,这些做法继续保留了下来,并且根据会计信息系统的特点,制定了保证电算化会计信息安全的制度。近年高校会计信息系统的发展,对电算化会计信息安全性提出了更高的要求。财务信息门户的建立,一卡通系统、企业网银等与会计信息系统的连接使原来封闭在局域网内的会计信息暴露在整个互联网上,面临着更多的网络使用、计算机病毒等方面的风险。无现金支付系统、公务卡的推广应用使电算化会计信息增加了越来越多的职工个人信息、客户信息等新内容,这些信息以前不属于会计信息的范畴,其安全性尚未受到重视。因此,探讨新形势下会计信息安全问题,制定相应的会计信息安全管理办法及措施,是一件紧迫的工作。
一、电算化会计信息安全的基本属性
电算化会计信息安全的内涵十分丰富,外延不断扩展,主要有保密性、完整性和可用性三方面的要求。
保密性是指会计信息不被泄露给未授权的用户。传统会计信息的使用权限,在会计信息系统的设计、日常会计业务操作、会计管理中都有相应的制度及措施,保证未授权人员不接触需保密的信息。会计信息系统发展中新增加的会计信息,如用户密码,职工个人信息、客户信息等,由于系统设计时未明确其显示及传播需求,因此会计信息系统新增加的相关系统模块不能充分保证这类会计信息的安全。根据*工作要求,高校每年的部门预算需要公开,预算中有保密性要求的内容也需要提前进行研究,以明确预算公开的内容及范围。www.11665.CoM
传统的会计信息系统在与外网物理隔绝的局域网上运行,互联网上的各种行为均不能窃取会计数据库中的数据。会计信息系统发展后,运行于校园网上的预算、查询、报账预约等系统,通过互联网连接使用的企业网银的无现金支付系统、与学校一卡通相联系的身份认证系统、通过互联网连接的网上报税系统、公积金管理系统等所使用的会计数据库均暴露在互联网上,通过数据库密码的设置不能保证会计数据的安全。
许多报表在上报过程中,没有进行加密处理,在互联网上使用明文传递;一些高校各部门与财务部门传递的数据中包含着个人信息或其他需要保密的会计信息,也没有进行加密处理,这些数据在互联网上很容易被截获窃取。
完整性是指信息未经授权不能进行更改本文由论文联盟收集整理的特性,即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性,数据完整性的目的是保证会计信息处于一种完整和未受损害的状态。影响会计信息完整性的主要因素有:设备故障、误码、人为攻击、计算机病毒和会计人员的误操作等。在实际业务中,电算化会计信息的完整性区分为当年会计信息的完整性及电算化会计档案的完整性。会计信息系统中一般有相应的设计来保证当前会计信息的完整性,但当前会计数据的备份不当亦会影响其完整性。例如做会计数据的日备份,在当天会计业务结束后进行,通常只保留前一天的备份,但发现数据出现错误时,数据备份中已包含了错误,为此可将日备份保留一周,即周一做的日备份覆盖上周一的备份数据,依此类推。各高校实行会计信息化以来,积累了大量电算化会计档案,维护其完整性难度越来越大,也更加重要。
可用性是信息可被授权实体访问并按需求使用的特性,可用性一般以系统正常使用时间与整个工作时间之比来度量。随着会计信息系统的发展,影响会计信息可用性的因素大大增加。无现金支付系统的使用,要求会计信息系统与银行网银系统连接,这不仅要求会计信息内网的稳定,还需要内网与外网连接的稳定,而通常作为会计人员很难控制会计内网与互联网连接的畅通以及银行网银的运行时间,这必然影响到会计信息的可用性。会计信息系统与一卡通系统的连接,同样也由于一卡通系统及两者连接的稳定性,增加了维护会计信息可用性的难度。财务信息门户的可用性体现了会计信息服务的水平,保障财务信息门户服务器的安全稳定、及时更新会计数据、维护用户信息等可以提高其可用性。
二、会计信息安全保障措施
维护会计信息安全,主要从人员、硬件和软件三个方面进行管理,人员管理是关键,软、硬件管理是基础。
(一)对现有会计信息系统的安全性进行全面评估,编写详细的安全性需求,由软件公司对会计信息系统进行安全性设计
在进行新的功能模块开发时,除编写功能需求及本模块的安全性需求外,还需要评估新的功能模块对整个会计信息系统安全性的影响。《会计电算化工作规范》要求明确上机操作人员对会计软件的操作工作内容和权限,对操作密码要严格管理。但从目前使用的实际情况来看,会计软件在权限管理方面尚不能达到这一要求。这主要是因为规模较大的高校会计人员多,分工较细,而会计信息系统某些角色的权限较多,致使多个用户使用一个角色进行业务操作,不能准确配置每个用户的权限。例如财务长模块包含的会计业务较为重要,且业务种类多,在各高校一般多人同时使用,并且财务长只能使用一个用户代码登录,因此存在着很大的安全隐患,其他一些管理性模块也存在着类似问题。通过在会计信息系统中使用基于角色的访问控制及增加身份认证功能可以解决这一问题,增强会计信息的安全性。
基于角色的访问控制即将权限与角色联系起来,在会计信息系统中根据应用的需要为不同的岗位创建相应的角色,在系统中根据职务和职责授予相应的角色及权限。这需要以最小特权、责任分离为原则,对现有系统中的权限和角色进行分析和细化,使会计信息系统可以进行个性化的权限分配。如将管理员、财务长子系统中日常操作与各种系统设置权限进行规范化,以方便部分功能授权给某一用户。基于角色的访问控制还需与身份认证系统相配合,才能更好地保证会计信息的安全。身份认证系统是使用学校一卡通中心提供的人员信息,在会计信息系统通过一卡通或指纹来确认会计人员及办理会计业务的职工、学生身份,并将身份信息录入相关业务的子系统。会计人员不再是凭借会计信息系统设置的用户名和密码来登录,而是通过指纹来确定其身份进行登录及其他授权操作。会计信息系统不再表现为一个个的功能子系统,而是一个个身份与权限组合的子系统。
(二)硬件安全是电算化会计信息安全的基础
相对于病毒、软件,人们较易忽略硬件对会计信息安全的影响,硬件安全的主要内容是电源、计算机、网络及环境等。电源配置及维护对会计信息系统及会计信息安全至关重要,会计信息系统的设计一般考虑到停电对会计数据的影响,但突然停电也会对信息系统及会计数据造成损害。不间断电源(ups)是保障会计信息安全的必需设备,有“集中式”和“分散式”两种配备方式。“集中式”是用一台较大功率的ups负载所有设备;“分散式”是根据设备的需要分别配备适合的ups。集*电方式便于管理,布线要求高,可靠性低,成本高;分散供电方式,不便于管理,布线要求低,可靠性高,成本低。采取哪一种供电方案,主要取决于会计人员的办公场所,集中办公或新搬迁的办公室可以进行布线设计,采用集中式供电方式,而分散的办公室可采用分散式供电方式。
网络是保障会计信息安全的基础。会计局域网虽然只是小型的局域网,但其稳定性对整个会计信息安全有着很大影响。在会计信息化发展过程中,会计局域网不再是与外界物理隔断的网络,与外网的连接及数据交换也成为影响会计信息安全的一项重要因素。为保证会计信息的安全,会计内网与外网通过防火墙连接,而防火墙是硬件与软件的结合,日常对防火墙软件的维护是保障会计内网安全的重要一环。会计信息系统与外界的数据交换也影响着会计信息的安全,为保证数据交换的安全,会计内网与外界的数据应只能通过一台专用计算机进行,外部数据在专用计算机上检验后才能在会计信息系统使用,并且应交换的数据不能通过优盘传递,以减少病毒传播的机会。
(三)制定会计信息安全管理办法,加强会计信息安全意识
会计信息安全的管理除在软、硬件技术上采取必要的措施外,管理也是非常重要的内容,会计信息安全的保障总的来说是“三分技术,七分管理”。会计信息安全管理制度应包括系统安全设计制度、系统使用及维护制度、机房管理制度、会计数据备份制度、电子档案管理制度、日常操作制度、评估制度、安全审计制度及应急处理制度等。制定会计信息安全管理办法并贯彻执行,将安全责任明确到每一位会计人员,增强会计人员的安全意识,加强人员培训,使会计人员掌握会计信息安全的内容及遭遇安全问题时的处理机制等。为此,在制定会计信息安全管理办法的过程中,采取全员参与的方法,激发全体会计员工的积极性,将制定安全办法的过程作为会计信息安全培训的过程,作为提高安全意识的过程,使会计信息安全办法在制定中落实。
(四)建立会计电子档案管理制度,保障会计电子档案的安全
会计电子档案包括存储在计算机硬盘中的会计数据以及其他磁性介质或光盘存储的会计数据和计算机打印出来的书面等形式的会计数据。会计电子档案管理是会计基础工作,要严格按照财政部有关规定的要求对会计档案进行管理,由专人负责。会计电子档案管理是目前会计信息化的薄弱环节,其重要性往往被忽略。会计电子档案的原始性、完整性及安全性在实际工作中很难保证,这些需要会计管理人员及操作人员认识会计电子档案工作的重要性,提高档案保管人员的素质及完善人员配置结构,切实发挥会计电子档案在现代管理中的特殊作用。维护会计电子档案的原始性,是会计信息安全的重要保证。由于操作系统及会计软件的不断升级,会计历年数据进行升级转换后才能使用,而升级后的历年数据失去了会计档案的原始性,必然会造成信息的损失。保持会计电子档案的原始性,是重现会计电子数据的必要条件,是保证电算化会计信息安全的重要内容。会计电子档案的完整性、真实性是对会计资料最基本的质量要求,是会计工作的生命。相对于传统的纸质会计档案,电子档案有更多的不稳定性,容易更改、丢失或遗漏,因此维护会计电子档案的完整性、真实性对会计信息安全至关重要。
会计信息的保密性、完整性和可用性是其安全性的三个属性,又是有机统一的结合。信息安全不仅是技术问题,也是管理问题。信息安全技术是解决信息安全问题的重要手段,但只依靠技术并不能完全解决,制定会计信息安全制度,提高会计人员信息安全意识,明确安全责任,加强会计电子档案的安全管理,是会计信息安全工作的重要内容。
下一篇:个人信息安全调查问卷