网络环境下会计信息安全问题研究.docx
- 文档编号:11040032
- 上传时间:2023-02-24
- 格式:DOCX
- 页数:14
- 大小:92.46KB
网络环境下会计信息安全问题研究.docx
《网络环境下会计信息安全问题研究.docx》由会员分享,可在线阅读,更多相关《网络环境下会计信息安全问题研究.docx(14页珍藏版)》请在冰豆网上搜索。
网络环境下会计信息安全问题研究
本科生毕业论文
网络环境下会计信息安全问题研究
学院 经管学院
专业 工商管理
2015年5月
独创性声明
本人郑重声明:
所呈交的毕业论文(设计)是本人在指导老师指导下取得的研究成果。
除了文中特别加以注释和致谢的地方外,论文(设计)中不包含其他人已经发表的研究成果。
与本研究成果相关的所有人所做出的任何贡献均已在论文(设计)中作了明确的说明并表示了谢意。
签名:
__________________
________年______月_____日
授权声明
本人完全了解许昌学院有关保留、使用本科生毕业论文(设计)的规定,即:
有权保留并向国家有关部门或机构送交毕业论文(设计)的复印件和磁盘,允许毕业论文(设计)被查阅和借阅。
本人授权许昌学院可以将毕业论文(设计)的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编论文(设计)。
本人论文(设计)中有原创性数据需要保密的部分为(如没有,请填写“无”):
学生签名:
年 月 日
指导教师签名:
年 月 日
网络环境下会计信息安全问题研究
摘要
随着信息技术的发展,网络技术在企业中的应用越来越广泛,企业越来越依赖信息技术的应用来提升自身的竞争优势和运转效率,然而由于内部应用与管理存在的风险,外部侵入与破坏造成的风险以及计算机自身存在的硬件与软件风险,使得企业经常遭受到重大的经济损失。
本文针对以上风险提出下列几点策略:
通过加强内部应用与管理,消除企业自身漏洞;转移部分系统风险,减小漏洞被发现的概率;做好应急预案,消减因漏洞造成的损失;限制不可防止漏洞造成的损失。
这些策略能够有效防范网络环境下的会计信息安全风险,为网络会计的顺利发展提供一个安全的保障。
关键词:
网络环境;会计信息;安全
AnalysisonSecurityofAccountingInformationunderNetworkEnvironment
Abstract
Withthedevelopmentofinformationtechnology,internettechnologyapplicationsintheenterprisehasmadewidespreadincreasingly.Companiesincreasinglyrelyoninformationtechnologytoenhancetheircompetitiveadvantageandoperationalefficiency.However,enterprisesalwayssufferhugelossduetotheriskofinternalapplicationandmanagement,theriskofoutsideintrudingandhardwareandsoftwareaboutcomputer,makestheenterpriseoftensufferedgreateconomiclosses.Theauthorofthispaperputsforwardthefollowingstrategiesformtheabove:
Throughstrengtheningtheapplicationandmanagementtoeliminatetheirownvulnerability;Transferpartriskofthesystemandreducetheprobabilityofholeswhichisfound.Makeemergencyplansandreducethelosscausedbyholes;Thesestrategiescaneffectivelyprotectenvironmentaccountinginformationsecurityandprovidethesafeguaranteeforthesmoothdevelopmentofthenetworkaccounting.Keywords:
networkenvironment;accountinginformation;secure
目录
摘要1
Abstract2
一、前言4
二、网络环境下企业会计信息风险来源分析5
(一)公司内部应用与管理存在的风险5
(二)公司外部侵入与破坏造成的风险6
(三)计算机自身存在的硬件与软件风险7
三、确保网络环境下会计信息安全的四个策略8
(一)加强内部应用与管理,消除企业自身漏洞8
(二)转移部分系统风险,减小漏洞被发现的概率9
(三)做好应急预案,消减因漏洞造成的损失10
(四)限制不可防止漏洞造成的损失12
结语13
参考文献14
致谢15
网络环境下会计信息安全问题研究
一、前言
在二十一世纪的今天,由于信息技术和网络技术的飞速发展,人类已经从产业经济时代跨越到了信息经济时代,这就使信息的重要性的越来越高,甚至关系到企业是否能够在日益激烈的市场竞争中存活下来。
纵观世界上新兴的超级巨头企业,如谷歌,苹果,XX等公司,他们无一不是从事信息技术或者和信息技术有密切关系的行业,他们的成功,更是从侧面反应了信息对现代企业有多么重要的影响力,可以毫不客气地说现在的信息直接关乎企业的生命线。
在今天,信息的重要性使得信息安全问题尤为突出,例如当你买辆车,没上牌就有人打电话来,刚上牌,什么退税的骗子跟着电话就到了,买栋房,已经住了两年多,天天还有装修公司的电话打来,刚离开工商部门,代帐公司就打电话来问需不需要服务等等,当你遇到这种问题,只说明了一个问题,你的信息被泄露了!
据经济参考报报道:
社保系统已成个人信息泄露“重灾区”。
重庆、上海、山西、沈阳、贵州、河南等30省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。
补天漏洞响应平台数据显示,围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息,这就说明了我们对信息安全认识不够,因此无论是政府还是企业,都应该加强信息安全知识学习,提高信息安全认识。
在企业或组织的众多信息中,有一种信息尤为特殊和重要,它就是会计信息。
说它特殊是应为它主要是由企业或者组织的会计人员所掌握和监控的,被不是有企业的信息安全部门,说它重要是因为是因为从某种意义上来说,企业的会计信息等同于企业的财务信息,财务是什么?
如果把企业比作人的话,那么财务就是人的血液,试想,没有血液,人还是人吗?
正是因为会计信息如此重要,所以针对会计信息的黑客犯罪越来越多,同时利用某些企业或组织中的漏洞盗取其会计信息的事件发生的频率也呈逐年增加趋势。
此外天然的不可抗逆的因素也会造成会计信息的丢失,如台风地震等自然灾害。
现代企业的高速发展,离不开网络环境下会计信息的支持,而会计信息自身固有的易损毁性和易丢失性有增加了公司运行的风险,因此想要使企业或组织又快又好的健康发展下去,就必须重视和保护企业的会计信息,确保其安全。
二、网络环境下企业会计信息风险来源分析
网络环境下会计信息安全风险依照来源可以分为以下三类:
公司内部应用与管理存在的风险,公司外部侵入与破坏造成的风险,计算机本身存在的硬件与软件风险。
(一)公司内部应用与管理存在的风险
(1)由于个别公司的迅猛发展,需要招聘大量人员,这就使得的公司员工的素质参差不齐,职业道德相对低下。
俗话说家贼难防,坚固的城堡都是从内部瓦解的,一个公司的内部如果出现了问题,那么它就离关门大吉不远了。
所以说我们在考量一个公司或者组织的会计信息安全安全系统是不是安全,首先要了解的不是该公司或组织是不是采用了先进的技术和昂贵的设备,而是要了解该公司或者组织是不是有优良职业道德的员工。
正如著名企业家牛根生所说:
有德有才,破格重用,有德无才,培养使用,有才无德。
限制录用,无德无才,坚决不用。
这句话就告诉我们,保证会计信息安全的第一要素是选拔和培训有良好职业道德的员工。
由于中国改革开放的时间较晚,这就使得中国的会计信息安全系统建设晚于世界上其他发达国家。
中国的会计信息安全体系建设落后主要体现在没有统一的标准来指导公司或组织进行会计信息安全系统建以及没有完备的法律法规为其充当坚实的后盾。
不法分子通过没有密码电脑里文件的盗取,以及对没有处理的草稿进行偷窥,这些行为就会导致企业安全措施的效果降低。
许多公司为防止他人非法获取本公司信息,通常对一些会计软件设置了等陆密码,可令人遗憾的是,这些等陆密码并没有有效保护会计信息的安全。
导致这一结果的主要原因可能是由于某些等陆密码不便于记忆,用户一般会将其修改为简易或者和自己密切关系的一组数字,这就使得口令的保密性降低。
有时有些用户可能为求作业便利,把口令告诉其他作业职工,使口令失去其重要意义,盗取信息者有时仅仅需要花费很少的金钱和时间,和某些企业的员工建立关系,就能轻松获取所需要的等陆密码等信息。
所以说许多体系遭入侵略的首要原因是他们过份依赖用户口令。
(2)对于企业来说,重要的财务会计数据通常是采用加密的方法来阻止非授权用户来访问的,假设员工在各方面都能够进行及时的防范,就能够消减不少漏洞。
非法授权访问会致使信息体系内部的信息被修改或删去,与此同时,一些未经过培训或者欠缺会计信息安全认识的员工的错误操作,同样会导致相关信息被修改或删除。
因此公司内部的所有员工都要做到先培训,后上机!
这样才能够保证会计信息安全系统不出错,少出错。
另外就是政府和大部分公司对保障会计信息安全没有具体可执行的明文规定,这就让有些居心不良的人有机可乘。
(二)公司外部侵入与破坏造成的风险
只要在网络覆盖的地方,大家都能够访问到已经连接上网络的计算机,这就使的整个世界变成了一个广域网。
由于利益的驱使,骇客利用那些未经发现的漏洞对某些公司进行网络攻击,破坏该公司的会计信息安全系统,盗取机密信息。
例如,索尼公司2015年1月23日宣布,受在美子公司索尼影视娱乐公司(SPE)遭到网络攻击一事的影响,公司2014年4至12月财报的确定值将推迟至2月17日以后公布。
可见,防范黑客等外来攻击,对保证企业财务信息安全有至关重要的意义。
在互联网时代ISP或其他服务器供应商都够获得相关公司的财务会计信息,各个孤立的计算机系统经过网络连为一体,而公司通常由于低效的监测系统、不完善或者过时的应对方针等原因,使得公司在没有做好充分的准备的情况下就不得不去应对这种“非常态”的新环境,这必然会导致信息安全隐患的发生。
(1)电子商务的迅猛发展,给运用电子商务系统的用户和企业都带来了新的威胁。
例如某些不法分子利用电子商务的快捷性,将其他人或公司的资产转移至特定的账户内,进而在线下运用多个匿名账户对其窃取来的财产进行洗白。
由于电子商务的时效性,使得别害人最后自己财产的难道大大增加。
(2)网络包含局域网和互联网,一个公司内部的所有电脑通常是由内部的局域网所连接的,骇客在外部互联网上盗取公司信息难度通常比在公司内部局域网上难一个数量级,因此,我们更要注意内部局域网的安全,以防止其被被入侵。
(3)恶意修改信息指的是不法分子在掌握相关信息的发送途径和接受方法时,非法接受一手信息,在经过自己的加工,发送给信息的正当接受人,这是一种诈骗行为,会给企业带来不可估量的损失。
未选用任何加密方式的数据信息在网络上以明文形式传递,这无异于将自己的底牌让竞争对手随意所欲的查看,所以以明文形式传递的数据信息面临的安全风险是直接的。
无论怎样,这些问题的发生会给会计数据和会计信息带来的巨大损失,这种威胁也许来自于体系外部,也许来自于体系内部。
(4)病毒风险是一个不可忽略的风险,随时可能爆发的病毒袭击是企业不得不面临的问题,但这一点经常被企业忽略掉。
从以上四条来自于公司外部的侵入与破坏可以看出,在络环境中,外部组织或个人由于受到利益的驱使,很容易就充当骇客对公司内部的信息系统进行破坏和盗取相关信息。
而正如前文所阐述的那样,信息已经成为企业的血液,要是企业存活下来并发展,我们就不能对来自于企业外部的入侵听之任之,我们一定要想方设法的防止来自于外部的入侵,确保企业会计信息安全。
(三)计算本身存在的硬件与软件风险
(1)硬件风险不仅来自计算机硬件本身的日常运行,还来自于计算机硬件所在的环境。
假如计算机硬件处于高温或者潮湿的环境中,就会影响零件的使用寿数。
计算机硬件还会受到到零件机能的约束,进而影响整体的使用年限,当然,不可抗逆的自然灾害如洪水地震台风等,永远是对硬件的最大威胁。
计算机硬件一旦出现问题,就会导致各种会计信息丢失,从而导致公司无法继续运营。
(2)会计信息体系必须是硬件和软件的结合才能运行并发挥出效果,假如会计信息体系遭到安全的损害,直接会影响到会计数据的正确性、真实性和完整性,进而影响会计信息使用者的决议方案。
如操作体系软件及会计应用软件存在着bug,当员工因工作需要运行到有bug的地方时,轻则会导致系统重启,重则会直接导致信息安全系统的瘫痪。
三、确保网络环境下会计信息安全的四个策略
经过上文对会计信息风险来源的了解,企业的预期会计信息安全目标应该己经完成了初步任务,即将会计信息安全风险来源于哪里,可能造成的影响是什么做到了心中有数,但这显然是还不够的。
公司要想做到会计信息安全,运营系统不出故障,就必须采用一些措施对相关系统进行控制。
企业想要确保其会计信息安全,就必须把企业的信息安全计划付诸实际行动。
信息安全计划主要包含为加强内部应用与管理,消除企业自身漏洞,防止信息安全事故发生,转移部分系统风险,减小漏洞被发现的概率,做好应急预案,消减信息安全事故造成的损失,限制不可防止漏洞带来的损失。
如果企业已经建立了完善的信息安全管理体统和长效的管理机制,就要能够熟练的运用下列手段来避免或降低损失:
(1)加强内部应用与管理,消除企业自身漏洞。
(2)转移部分系统风险,减小漏洞被发现的概率。
(3)做好应急预案,消减信息安全事故造成的损失。
(4)隔离不可消除漏洞,限制其造成的损失。
(一)加强内部应用与管理,消除企业自身漏洞
加强企业内部的应用与管理,防止信息安全事故发生,就是要求我们做好企业内部的安全措施,防患于未然,我们称这种策略为避免风险策略。
它最大的特点就是想要把威胁消灭在襁褓之中,例如聘请安全技术专家对公司的信息技术系统进行细致的彻底的排查,争取做到消灭所有已知的漏洞,从而确保公司财务会计信息的安全,保证企业平稳的发展。
假设企业管理者希望这种控制策略能够有效的发挥作用,那么认识、训练和教学是必不可少的。
避免风险策略的实行具体有下列几种办法:
运用制度来避免,运用训练和教学来避免,以及运用技术来避免等。
(1)运用制度来避免就是针对管理层和普通员工颁布一些特定的方针或办法,设置奖惩制度,促进企业信息安全措施的实施。
(2)训练和教学是在授权企业内部职工访问和享用信息体系之前进行的,这是因为一些体系管理员仅仅为了作业利便没有运用体系密码,所以企业必需使内部职工了解信息体系,了解信息体系运用方法,只有这样企业的信息系统才能安全的运行。
(3)运用技术避免风险在信息安全的实际操作中,一般需要采用最新的技术填补漏洞从而保证消灭风险。
它应当包含更改被人熟知的算法,更新项目方案,改进一切有必要改进的进程。
(4)阻止特殊财务威胁风险就是阻止一项重要财物所面对的威胁,它是靠消除一种特殊财物被露出来完成的。
例如,当一个企业防护信息被窃取能力薄软时,他可以只对特定的财务进行保护。
但是仅仅有计划还是不行的,这种方法一般需要训练,高效的管理人员应随时可以将计划的改变与训练和教学,以及技术的运用悉数结合起来。
如果公司的领导层在平日里注重这方面的事情的话,事先制定好优先保护计划,被通知员工,那么在危急情况下,员工就能正确选择优先保护什么,从而使这中策略获得成功。
这种避免策略是靠扫除财物中的漏洞,限制关于财物信息的访问,并加强安全保护措施来完成的,它可以使系统对外来入侵产生免疫力,因此这种方法能将进犯成功的可能性降低到最小。
(二)转移部分系统风险,减小漏洞被发现的概率
我们把转移部分风险,减少漏洞被发现概率的策略叫做转移策略,它是一种试图将威胁改变到其他信息资产、其他过程或其他组织中的控制方法。
例如当需要一个信息平台时,我们选择外购而不是自建,如果这样做的话我们就能够将信息安全威胁转移到别的公司中去。
当公司的信息安全发展处于瓶颈状态时,我们聘用外部更有经验的咨询公司,这样它便能被另一个信息系统外部的实体所管理,从而将风险迁移。
特定的合同协议的优点就是供应商必须从头到尾恪守合同条款,承担对灾祸的还原任务,确保服务器网站的可用性。
一般情况下,转移部分系统风险并不是说将风险完全消除了而再也不用去面对,而是将风险降低,降低到企业可以接受的范围内。
运用外部顾问能够将技术风险搬运到公司外部,由于要聘用外部顾问就必须付出对应的薪酬,这必然会加重企业财务负担,但这样做的好处是公司可将那些与杂乱体系管理有关的风险搬运到有处理这些风险经验的另一个公司或组织中,例如体系管理员,专业的安全专家。
精明的公司通常都雇佣一个ISP或者一个网络咨询师来为他们供给咨询或服务,而不是运用它们的服务器,自己雇佣Web管理员。
风险转移不意味着风险消除。
假如公司没有会计信息安全管理人员和这方面的管理经验,就应当雇佣优秀人才来服务该公司。
这个经验应当牢记,不论何时一个公司想要扩展它的事务,会计信息体系乃至信息安全体系的建立和管理,都是必不可少的。
(三)做好应急预案,消减因漏洞被利用造成的损失
我们把做好应急预案和事中控制的,消减因漏洞造成的损失的策略称知之为减轻策略。
我认为一个完整的减轻策略至少应该包括三方面的内容:
1、事先防备2、事中控制3、事后反思,这三个方面缺一不可,只有对这三个方面统一进行运用,才能是企业在面对突发性事件时所受到的损失将为最低,达到企业能够接受的程度。
这里的减轻策略和上文中的避免策略并不是重复的,他们两个有着本质的不同:
避免策略意在防患于未然,努力做到在灾难性事故未发生前,就把它消灭掉,而减轻策略则不同,它考虑的是如何将已经发生的灾难性事件所造成的损失降至最低,两者的前提是不同的。
(1)事前防备:
所谓事前防备,就是我们在日常的安全的状态下,去思考一旦有突发事件来袭时我们应该做什么,怎么做。
其实这个策略考察侧重于考察我们的想象力,因为要做安全的环境下,去制定应对灾难事件的办法,想要制定完备的方案,只有经验是不够的,我们必须要有想象力,并通过理性思维来思考,才能制定出比较实际合理的计划,以便防止突发性事件的发生,另外,事先防备策略并不是仅仅做出计划,它还包括建立健全公司内部情报信息监控机制,这样做的目标是一旦公司内部发生了会计信息灾难性事件,公司会计信息安全部门就能第一时间得到消息,俗话说“早发现,早治疗”,一个人得病是是这个样子,一个公司得病了同样是一个道理,发现的越早,能避免的损失就越大。
最后,事先准备的常用手段还包括软件备份,系统备份,会计信息备份,有了这些备份,我们就能在灾难过去之后,迅速地把公司的状态恢复到灾难事故发生之前的状态,有了这个方法我们就能够保证公司在发生会计信息安全事故之后,能以最快的速度恢复过来。
(2)事中控制:
什么事事中控制呢,举个简单例子,假设在战争年月,你是一名前线指挥官,总司令给了你人,给了你枪,你现在要做的是如何指挥你的人拿着枪冲向敌人的阵地,获得战争的胜利,那么你现在所做的事情在企业或公司里就叫做事中控制。
事中控制的重要性不言而喻,“台下十年工,台上一分钟”有很多时候,事前准备的很好,但是到了灾难事故发生的时候,由于心里素质等原因,导致了公司领导在面临紧急问题是不能够做好事中控制工作,是企业受到不应该有的损失。
面对这种情况我们应该怎么办呢?
首先,我们一定要做好选拔考核工作,选拔那样心里素质过硬能够独挡一面的人员进入管理层作为关键领导,对于那些心理素质一般工作能力突出的人员可以任用,但不能委以关键位置。
其次,在日常企业工作中,公司应该注重对员工心理素质的培养,职工的良好心理素质对企业信息安全起到至关重要的作用。
最后,事中控制能不能发挥到良好做效果,还要看事前防备做的是否完善,例如,当公司发生财务丢失时,我们的第一反应不是打电话告诉公司CEO,而是打电话告诉警察。
还如我们在做事前准备时,应当标注应急的指挥点,以及路线,以防我们在慌乱中无法到达。
(3)事后反思:
当一切的灾难事故尘埃落定时,公司或企业上下又呈现出了一片欣欣向荣的景象,但是我们不能够好了伤疤忘了痛,灾难事故带给我们带来损失的同时,也给我们带来了金钱买不到的东西,那就是教训,我们一定要认真总结它,防止类似事件的再度发生。
(四)限制不可防止漏洞带来的损失
有一些漏洞是这样的,它不能直接的经过有效的防止或调整办法来处理或者运用防止和调整的方法的成本远远大于这些漏洞所能带来的威胁。
当企业遇到类似漏洞时,我们所要做就是将这个漏洞隔离开来以便防止其造成更大的损失。
它的前提是公司对漏洞的威胁程度有着准确的认识。
上述四种策略运用流程图
图3-5策略运用流程图
设计这个流程图的目的就是让公司和读者更清楚的明白何种情况下采用何种战略,才能够避免风险或者将损失降到最低。
举个例子就是说当我们考量一项会计信息是,首先思考他有没有漏洞,如果没有漏洞,那它就不存在风险,如果有漏洞就要思考这个漏洞是不是能被利用,如果不能够被利,用那必然不存在风险,如果漏洞能被利用,那么接下来就要思考这个漏洞会带来多大的损失。
经过系统的评估,如果该漏洞造成的风险小与防护它所需要的代价,我们不妨采取接受的态度,只要阻止其继续扩大即可,如果该漏洞导致的损失过大,我们就应当根据实际情况采用其他三种战略了。
结语
在企业中,信息安全管理存在的最根本问题是认识与实践的差距。
信息安全管理的组织结构建设应当从企业战略出发,进行策略制定,然后按照策略组成信息安全组织,并依照企业的战略目标和业务目标,将信息安全任务划分到信息安全组织中的各个层级进行落实,保持企业最高战略层到最低操作之间的一致性。
参考文献
[1]徐丽.W公司会计信息系统内部控制研究[D].浙江工商大学,2014.
[2]王培培.网络会计信息系统安全对策研究[D].山西财经大学,2014.
[3]朱亚林.互联网环境下高校会计信息化安全问题研究[D].首都经济贸易大学,2013.
[4]李卢.网络环境下的会计信息安全问题研究[D].燕山大学,2010.
[5]李昕.互联网环境下中小企业会计信息系统存在的安全问题及解决方法[J].电子测试,2013,12:
201-202.
[6]程平,周欢,杨周南.云会计下会计信息安全问题探析[J].会计之友,2013,26:
28-31.
[7]孙晶玮.网络会计环境下内部控制的研究[D].首都经济贸易大学,2010.
[8]徐海含,田海霞.会计信息安全问题研究——基于电子商务视角[J].中国管理信息化,2015,07:
64-65.
[9]王恒晖.网络环境下会计信息系统安全性探析[D].江西财经大学,2010.
[10]常颖.具有可实施性的信息安全风险管理体系[J].科技信息.2009,24:
572-574.
[11]尹长囡.DF公司网络环境下会计信息系统内部控制研
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 环境 会计信息 安全问题 研究