电商时代网络会计信息安全分析

电子商务是以互联网为主要平台，以交易各方为主体，以银行以及第三方支付和结算为主要手段，以用户交易信息为驱动的商业模式。随着电子商务的发展和应用推广，商务交易主体逐渐从传统会计向电子商务会计，也就是网络会计转变。网络会计是对各种交易事项在网络环境下进行计量、确认和披露的活动，也可以理解为是建立在网络环境下的会计信息系统，是电子商务的重要组成部分。它能够帮助企业实现财务与业务的协同，实现远程报账、查账、报表、审计等工作，实现事中动态会计核算与在线财务管理，支持电子单据与电子货币，通过改变财务信息的获取与利用方式，企业会计核算工作走向无纸化、自动化，并以此为基础逐步走向智能化。由于互联网特有的开放性和共享性，会计信息系统在实践中容易受到人为因素和非人为因素的双重影响，可能会破坏会计信息的真实性、有效性、机密性、完整性、可靠性、不可抵赖性以及可审计性，因此，解决电商环境下的会计信息安全问题已经成为发展网络会计重要的基础工作。

1网络会计信息安全影响因素

网络会计是基于会计核算网络化的思想，基于电子商务时代集约化发展趋势，打破传统的分散式管理模式，构建标准统一、核算规范、程序合规、交易完善、数据一体化、自动灵活生成报表的电子商务核算平台。在电子商务时代，影响网络会计信息安全的因素很多，网络会计面对的安全挑战主要来自4个方面。1.1管理缺失。科学有效的管理在保障网络会计信息安全过程中起主导作用。管理因素主要是人的影响，比如操作人员故意、未经授权篡改数据或者不按操作规程操作，都会直接影响原始会计信息的准确性、真实性和可靠性；又如操作人员设置过于简单的验证密码，导致会计系统易被非法入侵。1.2网络及硬件故障。硬件故障包括电源、输入/输出设备、内存、硬盘等，比如，存储信息的磁盘损毁或系统突然掉电无备份电源接入，都会造成灾难性事故。1.3软件系统不完善。随着大数据应用的深入，人们对信息系统高度依赖，要求会计软件系统必须具有高度的稳定性和安全性，然而，程序本身设计存在的问题或需求不断更新，导致会计软件系统出现适应性和兼容性弱等问题，都会影响到会计数据的完整性和实用性。1.4信息失真。由于互联网的开放性，病毒、木马、黑客程序等在网络肆虐，造成系统内敏感或重要信息在传输和使用过程中被泄漏或恶意修改，存在重大安全隐患。信息安全靠的是“三分技术，七分管理”，管理是信息安全的重中之重，是网络会计系统有效实施的关键。只有通过高效的管理，大量的信息才能被合理组织和运用，发挥其最大效用。

2电子商务环境下的会计信息系统安全策略

在电子商务环境下，会计岗位需要重新划分成数据录入员、审核员、分析员、档案管理员、系统管理员和维护员等，各岗位之间相互关联、相互监督。会计系统涵盖企业的关键数据，由于会计信息的特殊性和敏感性，势必会成为各类攻击的重点。会计信息的安全与会计信息系统互为条件也互为因果，必须做到同时规划，有条件时做到同时建设。2.1原始数据来源安全策略。虽然经过了多年的探索和实践，会计原始数据的采集已实现基本标准化，并且通过公式、定义等方式存储，但由于各种主客观原因造成信息源不准确，信息处理、输出、共享等流程产生错误，都会对后续工作产生不利影响，因此，应该针对信息源头增加识别和审计功能，以防错误或虚假信息进入会计信息系统中。在电子商务环境下，会计信息源来自商务交易主体的内部和外部。会计原始数据量巨大，要保证初始数据准确无误地采集，不仅需要先进的计算机技术和安全措施作支撑，还需要依托正在逐步建立的全社会的诚信系统来维护，以最大限度地从源头减少虚假错误的会计信息，保证原始数据项来源的唯一性和准确性。2.2基础信息录入安全策略。在确定数据来源正确无误后，信息数据录入是一项重要的基础工作，直接影响到后续流程和输出。在电子商务环境下，从信息源获取的数据途径包括两种，一种是通过客户端（或录入页面）直接输入，另一种是通过其他系统同步到服务器数据库。键盘录入在技术上（例如数据格式、转换和比对等）要保证输入正确，防止信息的泄露，那么就需要对录入人员进行专门培训和监督。实践证明，执行录入工作的操作人员的素质很重要，需要通过制定严格、完善的信息安全管理制度，有效地监督和管理操作人员。会计信息系统中还必须包含监控模块或子系统，对信息的输入进行控制和管理。2.3信息处理过程安全策略。数据处理是网络会计管理系统的核心。在数据处理期间，内部网络封闭运行，不连接与业务无关的系统和设备。该过程的安全隐患大部分来自黑客攻击和系统开发的漏洞，需要在信息处理全过程进行全程跟踪监控，根据业务需求不同进行有层次的授权和加密，对大额业务往来进行提示，同时建立严格的复核制度，保证数据准确完整。2.4信息输出安全策略。信息输出对象可能是组织集团或者是具体的相关责任人，也可能是会计信息系统的数据库；输出数据可能涉及公司重要敏感信息甚至是商业秘密，必须有针对性地对输出信息进行内容审计，以防止或追查可能的泄密行为。信息审计系统的使用，可以对输出的信息进行审计并采用严格的规章制度加以规范。2.5数据存储安全策略数据存储安全威胁主要来自黑客的威胁以及计算机病毒或木马对数据的破坏或窃取。除在技术上利用网络杀毒软件进行防护外，针对存储部分的操作必须具备日志功能，同时需要建立相应的管理制度，严格管理具有权限的操作人员，尽可能保证输出信息的安全。在电子商务环境下，企业管理各环节高效协同办公，会计信息利用互联网进行传输，单据、票证等数字信息通过在线传递完成整个商务活动。随着科技的不断进步，网络信息安全变得尤为重要，一旦发生信息安全问题，企业将遭受无法估量的损失。

3网络会计信息安全保障体系框架

按照计算机信息安全管理规范，网络会计信息安全保障体系包括：网络会计信息安全管理体系、网络会计信息安全技术体系和网络会计信息安全运行体系三大部分。其中，安全管理体系明确了信息安全的方针和目标，以及完成这些目标所用的方法；安全技术体系是信息安全工作开展的有力支撑，指明了信息安全建设过程中所需的技术手段，主要包括信息安全产品和工具；信息安全运行体系阐示了日常信息安全工作的主要过程和内容，是信息安全规范要求和控制措施的具体落实，主要包括日常信息安全管理行为和安全管理中心。3.1网络会计信息安全管理体系。网络会计信息安全管理体系含括了在电子商务会计活动中建立信息安全方针、原则和目标，以及完成这些目标所用的方法（如图1）。信息安全不单是指网络安全，还包括业务信息安全、人员安全、组织安全等众多方面的内容。建立网络会计信息安全管理体系，首先应该建立管理机构，明确各部门任务，并在管理机构的领导下，建立信息安全管理制度和保障制度落实的可操作的工作机制，界定相关安全责任，并在实际工作中进行监督和考核。信息安全管理体系提倡在行为规范上严格要求。企业应致力于培养出一批具有标准意识、思维和行为方式，具有信息安全管理知识与技能的网络会计人员，避免发生重大事故。表面上看，建立安全规则对网络会计人员多了一道约束，而事实上是对网络会计人员的保护，许多大事故往往是由小失误累积而成的。3.2网络会计信息安全技术体系。网络会计信息安全技术体系是落实安全管理和运行的核心，企业可以利用各种可靠的安全技术、产品和防护工具，分别从物理层、网络层、系统层和应用层进行防护，具体防护手段主要包括系统身份认证、访问控制、审计和数据备份恢复等。如图2所示。3.3网络会计信息安全运行体系。多年的实践表明，以往“重建设轻运行维护”的思路会给信息系统造成灾难式的后果。在网络会计信息系统的生命周期中，信息安全事件大量发生在运行阶段，通过建立、健全安全运行管理中心，形成有效的安全运行维护体系（如图3），企业最终可以实现动态的、系统化的、制度化的信息安全管理。电子商务环境下，网络会计信息系统的可靠安全运行是保障其完成使命的关键所在。

4结论

综上所述，在电子商务环境下建立和维护完整的网络会计信息安全体系是一项系统工程，信息安全技术只是实现信息安全控制的一种手段，其有效实施还必须依赖于有效的信息安全运作模式和安全管理中心；信息安全策略、标准、制度只是提出了信息安全控制的要求，必须结合有效的信息安全运行系统加以落实才能实现制定的信息安全目标。只有在信息安全管理过程中结合网络会计的特点，制定风险控制方案，实现安全资源有效整合，为各级安全管理人员提供可视化技术平台，为安全管理、安全服务提供分析数据，与安全组织、安全制度和流程相配合，才能确保网络会计信息安全建设的可持续发展。

作者:李可童