在电算化条件下会计信息系统的安全所受到的威胁主要有:不可控制的自然灾害;非预期的、不正常的程序结束操作造成的故障;存储数据的辅助介质(如磁盘)部分或全部遭到破坏;用户非法读取、执行、修改、删除、扩充和迁移各种数据、索引、模式、子模式和程序等,从而使数据遭到破坏、篡改或泄露;使用、维护人员的错误或疏忽;利用计算机舞弊和犯罪;计算机病毒侵入等。
会计信息系统的安全控制,是指采用各种方法保护数据和计算机程序,以防止数据泄密、更改或破坏,主要包括:实体安全控制、硬件安全控制、内部控制、软件安全控制、网络安全控制和病毒的防范与控制等。
1.实体安全控制。实体安全涉及到计算机主机房的环境和各种技术安全要求、光和磁介质等数据存贮体的存放和保护。计算机机房应该符合技术要求和安全要求,应充分满足防火、防水、防潮、防盗、恒温等技术条件;机房应配有空调和消防设置等。对用于数据备份的磁介质存贮媒体进行保护时应注意防潮、防尘和防磁,对每天的业务数据备双份,建立目录清单异地存放,长期保存的磁介质存贮媒体应定期转贮。
2.硬件安全控制。计算机会计信息系统的可靠运行主要依赖于硬件设备,因此硬件设备的质量必须有充分保证。同时,为防万一,关键性的硬件设备可采用双系统备份。此外,机房内用于动力、照明的供电线路应与计算机系统的供电线路分开,配置UPS(不间断电源)、防辐射和防电磁波干扰等设备。
3.内部控制。会计信息系统的内部控制分为制度控制和程序控制两类。1制度控制一般是以管理制度的形式实行的,即由主管部门制定一系列规章制度强制或监督会计部门执行,从而保证会计系统软件正常和安全运行,免遭外界干扰和破坏。制度控制包括组织控制、开发和操作控制、档案资料控制和系统维护控制等。2程序控制是靠软件本身尤其是会计系统软件来实现的内部控制机制,这种内部控制机制往往比通过各种管理制度实现的控制更为有效。程序控制一般由数据输入控制、处理过程控制、数据输出控制等组成。
4.软件安全控制。1会计系统软件的开发,必须进行全面的市场调查,严格遵循财政部颁布的《会计核算软件管理的几项规定(试行)》,科学系统地分析和设计。系统软件完成后必须与提交的原程序清单保持一致,减少软件开发时可能埋下的安全隐患。2应分析研究各应用软件的兼容性、统一性,使各业务系统成为基于同一种操作系统平台的大系统,各种业务之间能相互衔接,相关数据能够自动核对、校验,数据备份应统一完成。3系统软件应尽量减少人机对话窗口,必要的窗口如凭证输入窗口应力求界面友好,防错能力强,做到非正确输入不接受。4增强系统软件现场保护和自动跟踪能力,提供“黑匣子”模块,记录一切非正常操作。
5.网络安全控制。网络对会计信息系统的安全性提出了比单机系统更高的要求。如果安全控制设计不好,会带来比单机系统更大的损失。针对网络的特点,需加强以下几个方面的控制:1用户权限设置。从业务范围出发,将整个网络系统分级管理,设置系统管理员、数据录入员、数据管理员和专职会计员等岗位,层层负责,对各种数据的读、写、修改权限进行严格限制,把各项业务的授权、执行、记录以及资产保管等职能授予不同岗位的用户,并赋予不同的操作权限,拒绝其他用户的访问。2密码设置。每一用户按照自己的用户身份和密码进入系统,对密码进行分级管理,避免使用易破译的密码。3对存储在网络上的重要数据进行有效加密。在网络中传播数据前对相关数据进行加密,接收到数据后作相应的解密处理,并定期更新加密密钥。
6.病毒的防范与控制。防范病毒最为有效的措施是加强安全教育,健全并严格执行防范病毒管理制度,具体包括:软件、软盘及计算机系统的采购和更新要通过计算机病毒检测后才可使用;专机专用,绝对禁止在工作机上玩游戏;建立软盘管理制度,同时防止乱拷贝软盘;安装防病毒卡和反病毒软件,定期检测并清除计算机病毒。由于许多病毒是通过网络进行传播的,所以应采用网上防火墙技术。