摘要:随着计算机以及计算机网络在会计部门内部的广泛应用和不断延伸,计算机安全的重要性越来越引起人们的关注。近年来,全球信息高速公路的建设、Internet和Intranet的发展,给会计行业带来了巨大的推动和冲击,会计电算化也从早期的单机电算化发展到如今的网络会计,但是网络同时也给会计带来了许多新的挑战,如何利用计算机更好地开展工作,确保网络环境下会计工作正常有序地运行,日益成为会计行业所面临的重要问题。文章就会计电算化的安全防范及内控管理方面进行了探讨。

关键词:会计电算化内控管理安全防范

会计电算化的安全问题无非产生自以下两个方面:一是技术上的安全漏洞,二是管理上的安全隐患。只有堵住计算机技术方面的安全漏洞,并严格计算机的内控管理,才能从根本上防范会计电算化犯罪事件的发生。

一、会计电算化技术上的安全问题

计算机技术上的安全主要包括以下几个方面。

1.物理安全。计算机的物理安全是指用一些装置和应用程序来保护计算机硬件和存储介质的安全。主要是防范计算机设备受损的危险和计算机设备及存储介质被盗的危险。在会计电算化中,许多重要的数据都存储在电脑存储设备中,一旦受损或被盗,后果不堪设想,因此,磁盘、磁带等设备要严格保管,并注意数据的多重备份。除存储设备外,其他设备也是十分重要的,如通讯线路的安全、UPS电源的安全(特别注意不能在UPS电源上插入电脑以外的设备)等。

2.操作系统的安全。操作系统是电脑中最基本、最重要的软件,不同的操作系统提供的安全能力也不同。如DOS操作系统,许多用户共用一台电脑的所有资源,文件可以相互修改,容易产生安全问题。而大多数的操作系统如:UNIX、NOVELL、NETWARE就不允许一个用户未经授权修改或删除另一用户的文件。在会计电算化中,就必须注意操作系统的安全,根据不同信息的安全性使用相应操作系统。操作系统的安全性还表现在操作系统的BUG,操作系统本身的程序错误可能会被不良用心的人利用,因此必须关注最新消息,及时下载补丁程序修复。

3.网络互联的安全。由于信息共享的需要,企业内部计算机之间的网络互联日益普遍,企业更是越来越多地通过互联网为客户提供信息披露服务,而在黑客入侵事件屡见不鲜的今天,企业对网络互联的安全尤为关注。资源共享与信息安全历来是一对矛盾,如何面对网络互联所带来的安全问题已是企业在会计网络化过程中所面临的一个重要课题。计算机的入侵破坏活动要么是非法获得计算机的访问权限而进入系统的,要么是利用网络通信上的漏洞,窃取或更改信息而得逞的,因此网络互联的安全必须从访问控制的管理和通信安全的管理(如加密、认证)两方面着手。

4.程序的安全。程序安全除了系统程序的安全、通讯软件的安全外,还包括应用软件的安全,特别是所运行的各类应用软件,由于开发商不同、维护人员不同,有可能存在逻辑陷阱、时间炸弹或系统后门,都有可能损害到安全。

二、会计电算化管理上的安全问题

针对计算机技术的安全问题,企业必须在管理上注意加强防范,建立有效的计算机管理体制。下面着重讨论三方面的管理:

1.口令管理。口令管理是防止计算机的非法入侵最基本也是最重要的要求。遗憾的是,在企业中普遍存在对口令管理不重视的情况,很多电脑系统未设置口令保护,甚至连有些会计系统的主机,也未设置超级用户口令。这是非常严重的系统安全隐患,好多操作员口令也是十分简单脆弱的,有些操作员还把口令写在电脑的周围,这样的口令形同虚设,达不到安全防范的目的。一个安全性高的口令必须有足够的长度,一般在8位以上,最好是字母和数字混合使用,而且不要使用字典中的单词,否则很容易被密码破译程序解开。口令还必须经常更换,这样安全性也会大为增加。

2.物理设备的管理。针对计算机物理安全的内容,企业必须严格计算机物理设备的管理。(1)存储设备管理。企业计算机的存储设备记录着重要的业务数据和账务数据,一旦丢失或损坏,后果不堪设想,因此必须对存储设备进行登记管理、严格保存、数据分散备份。磁盘、磁带等应按业务、时间分类有序地保存,一些重要的数据还应在不同的地点进行双重备份。(2)网络设备管理。网络设备的管理包括网络通讯线路的保护和监控、网络通讯设备的管理,网络接口设备如集线器、机柜的管理和保护措施。(3)电源设备管理。计算机中普遍应用UPS不间断电源,以保证计算机的工作不受突然断电的影响,保障了计算机数据和服务的不间断性。计算机UPS电源应与市电严格区分,不得用于非电脑设备的供电,否则容易烧毁UPS,造成损失。(4)其他设备管理。除了上述几种设备,其他的计算机设备的管理也是十分重要的,应建立健全电脑设备的登记管理工作。

3.人员管理。计算安全的保障是与操作人员的安全素质、安全知识、技术水平密不可分的,重视对人员的管理才能保证计算机的安全。(1)系统管理员的安全培训。系统管理员担负着系统维护和安全监督的责任,因此系统管理员的安全培训工作十分重要,只有系统管理员的安全意识提高,系统管理员的技术水平增强,对系统了然于胸,才能有效地对付各类非法入侵和维护系统的正常运行。(2)操作人员的安全教育。普通的业务操作人员的安全教育也很重要,人人都应重视计算机的安全,严格按照计算机系统的操作规程工作,计算机的安全才有保证。(3)机房实行出入登记制度或IC卡房门管理。机房作为重要的机要场所,放置着许多重要的电脑设备如系统服务器、网络通信设备、局域网接线机柜等,因此要有一套严格的机房管理制度,并实行出入登记制度或IC卡房门管理制度,以保障的机房的安全。

三、常见计算机攻击技术分析

古人云:知己知彼,百战不殆。我们必须了解计算机入侵的攻击技术,才能更好地防范计算机犯罪。有人认为,内部人员技术水平太高了,就有可能发生内部作案事件,其实这是十分片面的。我们看到,大部分的内部作案事件实际上并不是利用很高的技术,而是利用内部管理上的漏洞得逞的,只要加强管理控制(当然包括技术上的如密码的控制),就可大大减少内部作案的情况。而在网络化的当今,外部作案才是防不胜防,只有内部技术人员的水平提高了,才能在防范电脑安全方面走在前面。实际上,大多数的电脑攻击者并非天才,他们大都利用一些别人使用过的并在安全领域广为人知的技术和工具,如STAN、ISS到各类实用短小的网络监听工具。在互联网上,这些工具比比皆是。下面列举分析一些常见的计算机攻击行为。

1.口令攻击。口令攻击是最直接的入侵方式。当用户未设置口令或是十分简单的口令时,就大大增加了攻击的成功率。在企业内部经常使用的UNIX操作系统中,用户的口令以加密的形式存在放在/etc/passwd或者是/etc/shadow文件中,非法用户可能利用匿名ftp或趁操作员离开工作台之机获取密码文件,然后使用一些口令分析程序进行破译。实际上,UNIX系统加密所用的cryptO函数是基于数据加密标准(DES)的,从数学原理上可以保证从加密的密文得到加密前的明文是不可能的或非常困难的。但是,用户常常选择一些容易猜测的口令,从而给入侵者开了方便之门,破译者把常用的单词和数字组合作为一个字典文件,然后对字典文件进行加密并与密文对照,从而获得用户口令,因此一个好的口令是十分重要的。上述两个存放口令的文件是攻击者的首要目标,早期的UNIX版本口令密文就放在/etc/passwd中,而该文件对所有用户都是可读的,危险性较大,新版的UNIX一般把口令密文放在/etc/shadow中,该文件对普通用户是不可读写的,安全性有所提高,但应注意系统管理员的口令安全。

口令破解的另一种方法是网络监听,在下文中将有叙述。

在企业内部,容易发生口令疏忽的地方有:UNIX主机操作员(包括系统管理员)的口令未设或不牢固、路由设备如CISCO路由器未更改初始密码、业务系统的单一密码多人保管制度、对外部参与维护的电脑公司人员所掌握的口令缺乏管理等。对付口令攻击的防范措施:设置好的口令、限制口令文件的读取权限、通讯加密、不定时更换口令,当然最重要的是加强用户的口令管理意识对经常的检查制度。

2.程序攻击。程序攻击就是利用不良的程序或系统程序的错误进行的攻击。下面列举一些常用的程序攻击行为。(1)病毒和蠕虫。我们对病毒都已经并不陌生,从早期的大麻病毒、雨点病毒、黑色星期五病毒到大名鼎鼎的CIH病毒、美丽杀手病毒,各类的病毒层出不穷,给计算机系统造成了极大的破坏。病毒其实是一些程序,它常常修改计算机中的另一些正常程序,并把自己复制到其他程序的代码中,通过修改其他程序的执行流程,以实现自己的隐藏、复制、传播和发作。病毒一般分为引导型病毒、文件型病毒和宏病毒(实际上就是一种特殊的文件型病毒)。现有的病毒绝大多数都是DOS和WINDOWS操作系统下的病毒,这与DOS与WINDOWS对用户权限和系统资源的管理较薄弱有关。对付病毒最有效的办法就是对所有外来程序进行检测、定时查毒、安装防毒程序、加强软件管理等。蠕虫与病毒不同,它是一种可以在网络上不同主机之间传播而不修改目标主机上的其他程序的一类程序,它不一定破坏任何软件和硬件,但其通过在计算机网络之间的不断传播和扩张而严重消耗系统资源和带宽,使系统不胜负荷甚至崩溃。最有名的蠕虫当属1988年由莫里斯释放的Internet蠕虫。(2)特洛伊木马技术。特洛伊木马程序是指那些表面上执行正常指令,而实际上隐藏着一些破坏性的指令,当不小心让这种程序进入系统,就有可能给系统带来危害。特洛伊木马程序常常在用户不知情的情况下拷贝文件或窃取密码。在UNIX系统中,制造一个特洛伊马木程序,即更换常用的一些系统程序和命令,是很容易的事。因此对这类威胁,我们要做好防范工作,首先离开电脑终端时应及时退出注册,系统管理员应定时扫描分析。此外还应了解一些对付特洛伊木马的方法,如数字签名技术、Tripwire工具等。(3)利用处理程序错误的攻击。这种攻击是利用处理程序中存在的错误进行的攻击,由于这类攻击大都可以通过网络发动,给系统安全造成了较大的危害。目前在网上已有一些补丁程序用来对付这类攻击,安装一个PC防火墙也可以有效地防止这类攻击。

3.缓冲区溢出。在许多操作系统和应用软件中,都普遍存在一种非常危险的安全漏洞,这就是缓冲区溢出。对付缓冲区溢出攻击,系统管理员必须经常检查系统的BUG,注意电脑厂商的最新消息,及时安装系统补丁程序,并在编程中对字符串进行操作时注意对字符串长度的检查,以免产生的漏洞。

4.拒绝服务的攻击。拒绝服务的攻击有两种类型:一是试图去破坏或毁坏资源而使无人可以使用该资源,如切断电源或网络线路、删除文件、格式化磁盘等。二是过载一些系统服务或者消耗一些资源,如填满磁盘空间。

5.其他攻击,如电子邮件攻击、IP欺骗等。

参考文献:

1.杨翠环.企业内部网的构建、管理及安全.职业时空,2004(6)

2.邓长红,邓金娥.论会计电算化的安全问题及其管理对策.科技创业月刊,2004(12)

3.刘波.筑起计算机安全保密“防火墙”.武汉金融,2004(12)

4.赵绍光.论当今我国会计电算化应用的问题与对策.中国管理信息化,2004(12)