淺談會計電算化資訊系統的安全控制摘 要 採用計算機替代手工記賬、算賬、報賬,以及對會計資料進行電子化分析,其軟件本身的數據安全非常重要,分析了會計電算化資訊系統存在的安全威脅,闡述了安全控制的方法。
關鍵詞 會計電算化 安全控制 內部控制
會計電算化是從以電子計算機爲主的當代電子和資訊技術應用於會計工作中的簡稱,是採用電子計算機替代手工記賬、算賬、報賬,以及對會計資料進行電子化分析和利用的現代記賬手段。開展會計電算化工作,能有效的促進會計基礎工作規範化,提高會計人員的工作效率和工作質量,並最終提高企業的經濟效益。
電算化會計資訊處理具有如下特點:以電子計算機爲計算工具,數據處理代碼化,速度快、精度高;數據處理人機結合,系統內部控制程序化、複雜化;數據處理自動化,賬務處理一體化;資訊處理規範化,會計存儲磁性化;具有選擇判斷及作出合理決定的'邏輯功能。
會計電算化後,由於軟件完成了大部分數據處理工作,所以軟件本身的數據安全非常重要。
1 會計電算化資訊系統的安全威脅
1.1 非預期故障
非預期故障主要包括以下幾個方面:不可控制的自然災害;存儲數據的輔助介質(如磁盤)部分或全部遭到破壞;非預期的、不正常的程序結束操作造成的故障;用戶非法讀取、執行、修改、刪除、擴充和遷移各種數據、索引、模式、子模式和程序等,從而使數據遭到破壞、篡改或泄露;使用、維護人員的錯誤或疏忽。
1.2 計算機舞弊和犯罪
1.2.1 篡改輸入或輸出數據
數據有可能在輸入計算機之前或輸入過程之中被篡改。在數據的採集、記錄、傳遞、編碼、檢查、覈實、轉換並最後進入計算機系統的過程中,任何與之有關的人員,或能夠接觸處理過程的人員,爲了一己之慾或被人利用都有可能篡改數據。如虛構業務數據、修改業務數據、刪除業務數據等。篡改輸出數據,透過非法修改,銷燬輸出報表,將輸出報表送給公司競爭對手利用終端竊取輸出的機密資訊等手段來達到作案的目的。
1.2.2 採用木馬程序獲取數據
在計算機程序中,非法地編進一些指令,使之執行未經授權的功能,這些指令的執行可以在被保護或限定的程序範圍內接觸所有供程序使用的檔案。例如安置邏輯炸彈,即在計算機系統中適時或定期執行一種計算機程序,它能確定計算機中促發未經授權的有害件的發生件。
1.2.3 篡改程序和檔案
一般情況下只有系統程序員和計算機操作系統的維修人員有可能篡改程序和檔案。例如,將小量資金(比如計算中的四捨五入部分)逐筆積累起來,透過暗設程序記到自己的工資帳戶中,表面上卻看不出任何違規之處。又例如開發大型計算機應用系統,程序員一般要插進一些調式手段,編輯完畢時,這些手段應被取消,但有時被有意留下,以用來進行篡改程序和檔案之用。此外,當計算機出現故障、運轉異常時,修改或暴露計算內容。
1.2.4 非法操作
非法操作主要是透過非法手段獲取他人口令或透過隱藏的終端進入被控制接觸的區域從而進行舞弊活動。例如,從計算機中泄露數據,即從計算機系統或計算設施中取走數據。作案人員可以將敏感數據隱藏在沒有問題的輸出報告中,也可採用隱藏數據和沒有問題的數據交替輸出。如系統人員未經批准擅自啓動現金支票簽發程序,生成一張現金支票到銀行支取現金。
1.2.5 其他方法
其他的方法如拾遺、仿造與模擬等等。拾遺是在一項作業完成之後,取得遺留在計算機系統內或附近的資訊。仿造與模擬在個人計算機上仿造其他計算機程序,或對作案計劃方法進行模擬實驗,以確定成功的可能性,然後實施非法操作。此外,還可透過物理接觸、電子偷聽、譯碼、拍照、拷貝等方法來舞弊。