邵金鵬

[摘 要] 本文首先界定了會(huì)計(jì)軟件安全機(jī)制的基本含義，然后進(jìn)一步分析了會(huì)計(jì)軟件安全機(jī)制的構(gòu)成要素以及各個(gè)要素之間的關(guān)系，并從硬件、軟件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、人員、制度六個(gè)方面對(duì)會(huì)計(jì)軟件安全機(jī)制進(jìn)行了深層次的解析。

[關(guān)鍵詞] 會(huì)計(jì)軟件；安全機(jī)制；解析

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 17. 020

[中圖分類(lèi)號(hào)] F232 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2018）17- 0047- 03

0 引 言

隨著計(jì)算機(jī)、網(wǎng)絡(luò)信息技術(shù)在會(huì)計(jì)領(lǐng)域的普及與深入應(yīng)用，會(huì)計(jì)信息化已成為會(huì)計(jì)理論界與實(shí)務(wù)界備受關(guān)注的問(wèn)題。影響會(huì)計(jì)信息化實(shí)施質(zhì)量的重要因素便是會(huì)計(jì)軟件，現(xiàn)代系統(tǒng)軟件的開(kāi)放性與復(fù)雜性使得會(huì)計(jì)軟件的安全問(wèn)題格外突出，成為困擾會(huì)計(jì)理論與實(shí)務(wù)研究者的難題。本文將以會(huì)計(jì)軟件系統(tǒng)為對(duì)象分析其安全機(jī)制問(wèn)題。

1 會(huì)計(jì)軟件安全機(jī)制

機(jī)制一詞最早起源于希臘文中，用來(lái)特指機(jī)器的構(gòu)造及其動(dòng)作原理。后來(lái)，理論與實(shí)務(wù)界不斷地將機(jī)制一詞的本義引申到了其他不同的領(lǐng)域，也就相應(yīng)產(chǎn)生了不同的機(jī)制。如“機(jī)制”應(yīng)用到生物學(xué)科和醫(yī)學(xué)學(xué)科時(shí)被稱(chēng)之為“生物機(jī)制”，此時(shí)“機(jī)制”是用來(lái)表示生物有機(jī)體內(nèi)發(fā)生的生理、病理變化時(shí)，各個(gè)器官之間相互聯(lián)系、相互作用和相互調(diào)節(jié)的方式；“機(jī)制”應(yīng)用到經(jīng)濟(jì)學(xué)科的研究時(shí)被稱(chēng)之為“經(jīng)濟(jì)機(jī)制”，用以表示特定的經(jīng)濟(jì)體內(nèi)各構(gòu)成要素之間相互聯(lián)系和相互作用的關(guān)系與功能。本文中筆者將嘗試把“機(jī)制”一詞引入到會(huì)計(jì)軟件的安全方面，即“會(huì)計(jì)軟件安全機(jī)制”。在此，“會(huì)計(jì)軟件安全機(jī)制”可以解釋為在會(huì)計(jì)軟件系統(tǒng)中，影響其安全的各個(gè)構(gòu)成要素以及各個(gè)構(gòu)成要素之間的關(guān)系及功能。

2 會(huì)計(jì)軟件安全機(jī)制的構(gòu)成要素及其關(guān)系

2.1 會(huì)計(jì)軟件安全機(jī)制的構(gòu)成要素

會(huì)計(jì)軟件是一個(gè)人機(jī)結(jié)合的信息系統(tǒng)，因此，會(huì)計(jì)軟件安全機(jī)制除了應(yīng)考慮計(jì)算機(jī)方面的安全因素外，還應(yīng)同時(shí)考慮人員方面的安全因素。筆者認(rèn)為會(huì)計(jì)軟件安全機(jī)制的構(gòu)成要素應(yīng)包括硬件、軟件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、人員、制度六個(gè)方面。

（1）計(jì)算機(jī)硬件。計(jì)算機(jī)硬件是指會(huì)計(jì)軟件系統(tǒng)中由電子組件、機(jī)械和光電元件等組成的物理裝置的總稱(chēng)，是會(huì)計(jì)軟件系統(tǒng)正常運(yùn)行的物理基礎(chǔ)。

（2）軟件系統(tǒng)。軟件是指會(huì)計(jì)軟件系統(tǒng)中的程序及相關(guān)文檔。用戶與計(jì)算機(jī)直接的交流主要是通過(guò)軟件作為接口界面。文中會(huì)計(jì)軟件安全機(jī)制中的軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件。

（3）數(shù)據(jù)庫(kù)系統(tǒng)。數(shù)據(jù)庫(kù)系統(tǒng)是按照一定的數(shù)據(jù)結(jié)構(gòu)來(lái)采集、加工、存儲(chǔ)和管理數(shù)據(jù)的倉(cāng)庫(kù)。在日常的經(jīng)營(yíng)管理中，企業(yè)將所有的相關(guān)信息都存儲(chǔ)在數(shù)據(jù)庫(kù)中，同時(shí)按照需要從數(shù)據(jù)庫(kù)中獲取信息、加工信息。

（4）網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)技術(shù)、通信技術(shù)在會(huì)計(jì)領(lǐng)域應(yīng)用的深入，網(wǎng)絡(luò)已成為會(huì)計(jì)軟件傳輸、接收、共享信息的虛擬平臺(tái)，通過(guò)將各個(gè)點(diǎn)上的信息鏈接在一起實(shí)現(xiàn)會(huì)計(jì)及相關(guān)信息的共享。

（5）人員。人員是會(huì)計(jì)軟件安全機(jī)制中的主導(dǎo)因素，是構(gòu)建、實(shí)施會(huì)計(jì)軟件安全機(jī)制的主體。人員的素質(zhì)、操作技能等各個(gè)方面都會(huì)對(duì)會(huì)計(jì)軟件安全機(jī)制產(chǎn)生主觀方面的安全問(wèn)題。

（6）制度。制度是要求系統(tǒng)、相關(guān)人員共同遵循的辦事程序或行動(dòng)的規(guī)則，是會(huì)計(jì)軟件安全機(jī)制有效實(shí)施的保障。古語(yǔ)云“沒(méi)有規(guī)矩不成方圓”，任何主體行為的實(shí)施都必須要有相應(yīng)的制度作為行動(dòng)指導(dǎo)與約束，會(huì)計(jì)軟件安全機(jī)制的實(shí)施也不例外。

2.2 會(huì)計(jì)軟件安全機(jī)制構(gòu)成要素的關(guān)系

會(huì)計(jì)軟件安全機(jī)制的六個(gè)構(gòu)成要素相輔相成，缺一不可。計(jì)算機(jī)硬件是會(huì)計(jì)軟件安全機(jī)制實(shí)施的前提，沒(méi)有計(jì)算機(jī)硬件的支持，會(huì)計(jì)軟件根本無(wú)從運(yùn)行。計(jì)算機(jī)軟件是有效連接會(huì)計(jì)軟件使用者與計(jì)算機(jī)硬件的橋梁，沒(méi)有軟件的計(jì)算機(jī)硬件是無(wú)法發(fā)揮其作用的。數(shù)據(jù)庫(kù)是會(huì)計(jì)軟件信息的保管員，沒(méi)有數(shù)據(jù)庫(kù)對(duì)信息的加工、存儲(chǔ)與輸出，會(huì)計(jì)軟件無(wú)法獲取信息、加工信息、輸出信息。網(wǎng)絡(luò)是有效連接不同地域乃至全球會(huì)計(jì)主體信息的媒介，是信息共享的重要保障，同時(shí)網(wǎng)絡(luò)的正常實(shí)施也離不開(kāi)硬件、軟件、數(shù)據(jù)庫(kù)、人員、制度方面的支持。人員是會(huì)計(jì)軟件安全機(jī)制中的執(zhí)行者，其他任何一個(gè)因素沒(méi)有了人員的參與都形同虛設(shè)。制度是規(guī)范會(huì)計(jì)軟件安全機(jī)制運(yùn)行的行動(dòng)指南，更是會(huì)計(jì)軟件安全機(jī)制有效實(shí)施的有力保證?？傊?，會(huì)計(jì)軟件安全機(jī)制是一項(xiàng)復(fù)雜的系統(tǒng)，各個(gè)構(gòu)成要素之間不是孤立的，不同要素之間必須互相呼應(yīng)、相互補(bǔ)充、相輔相成，這樣整合起來(lái)才能發(fā)揮作用。值得注意的是，要特別重視人員要素，計(jì)算機(jī)硬件性能再好，軟件設(shè)計(jì)再合理，數(shù)據(jù)庫(kù)系統(tǒng)再穩(wěn)定，執(zhí)行的人員不行，會(huì)計(jì)軟件安全機(jī)制還是到不了位。

3 會(huì)計(jì)軟件安全機(jī)制解析

3.1 硬件解析

在會(huì)計(jì)軟件安全機(jī)制的六個(gè)構(gòu)成要素中，計(jì)算機(jī)硬件影響會(huì)計(jì)軟件安全的主要原因是計(jì)算機(jī)硬件使用環(huán)境與硬件性能方面，而硬件性能等硬件問(wèn)題與當(dāng)前計(jì)算機(jī)技術(shù)的先進(jìn)水平有關(guān)，因此，對(duì)于硬件構(gòu)成要素來(lái)講，在特定的計(jì)算機(jī)硬件技術(shù)條件下主要是保證會(huì)計(jì)軟件所依托的計(jì)算機(jī)硬件的正常使用、日常維護(hù)。

3.2 軟件解析

從軟件的視角審視會(huì)計(jì)軟件的安全問(wèn)題，關(guān)鍵是會(huì)計(jì)軟件功能設(shè)計(jì)導(dǎo)致的不安全，即會(huì)計(jì)軟件中的反向操作功能。眾所周知，目前企業(yè)使用的會(huì)計(jì)軟件都設(shè)置有反向操作功能，包括反結(jié)賬、反記賬和反審核等。反結(jié)賬指的是在已經(jīng)結(jié)賬的期間，通過(guò)取消結(jié)賬的操作解除結(jié)賬狀態(tài)，恢復(fù)到結(jié)賬前的狀態(tài)；反記賬指的是將已記賬狀態(tài)的憑證通過(guò)反記賬的反向操作恢復(fù)到未記賬的狀態(tài)；反審核指的是將已經(jīng)審核完的記賬憑證進(jìn)行取消審計(jì)的操作，恢復(fù)到未審核的狀態(tài)。在不存在主觀故意舞弊的情況下，反向操作在一定程度上方便了會(huì)計(jì)軟件用戶的操作。但同時(shí)也給會(huì)計(jì)軟件帶來(lái)了安全問(wèn)題，一是通過(guò)反向操作修改信息可以不保留任何痕跡，對(duì)會(huì)計(jì)軟件使用單位內(nèi)部的監(jiān)督以及外部審計(jì)在查找審計(jì)線索、收集審計(jì)證據(jù)等方面都提出了極大的挑戰(zhàn)。二是反向操作本身會(huì)由于數(shù)據(jù)的多次正向操作、反向操作而產(chǎn)生單一數(shù)據(jù)錯(cuò)誤甚至是數(shù)據(jù)連鎖反應(yīng)導(dǎo)致的數(shù)據(jù)混亂。此外，即使沒(méi)有反向操作功能，會(huì)計(jì)軟件用戶也可以通過(guò)使用“數(shù)據(jù)備份”“數(shù)據(jù)恢復(fù)”功能，或是直接復(fù)制、粘貼賬套的數(shù)據(jù)庫(kù)文件來(lái)實(shí)現(xiàn)記賬前數(shù)據(jù)庫(kù)的恢復(fù)，從而實(shí)現(xiàn)無(wú)痕跡的修改操作。

因此，應(yīng)該從兩個(gè)方面對(duì)會(huì)計(jì)軟件安全方面進(jìn)行完善。首先，應(yīng)從會(huì)計(jì)軟件的設(shè)計(jì)方面進(jìn)行控制。會(huì)計(jì)軟件應(yīng)當(dāng)提供對(duì)已經(jīng)輸入但未登賬記賬憑證的審核功能以及對(duì)已經(jīng)審核但未記賬憑證的記賬功能，但是對(duì)已審核、已記賬憑證不能再提供對(duì)機(jī)內(nèi)憑證的無(wú)痕跡修改。確實(shí)需要對(duì)已審核、已記賬憑證進(jìn)行修改的，應(yīng)采用紅字憑證沖銷(xiāo)法或者補(bǔ)充憑證法進(jìn)行更正。其次，應(yīng)積極利用過(guò)程挖掘技術(shù)對(duì)會(huì)計(jì)軟件系統(tǒng)進(jìn)行過(guò)程審計(jì)。過(guò)程挖掘技術(shù)可以從信息系統(tǒng)的事務(wù)日志中抽取業(yè)務(wù)過(guò)程的各方面信息。因此，利用過(guò)程挖掘技術(shù)獲取的日志信息可以有效地得到哪些用戶進(jìn)行過(guò)什么操作以及該操作的前導(dǎo)活動(dòng)與后續(xù)活動(dòng)，從而有效地控制操作人員利用反向操作、“數(shù)據(jù)備份”、“數(shù)據(jù)恢復(fù)”等功能達(dá)到無(wú)痕跡修改會(huì)計(jì)軟件數(shù)據(jù)信息的安全隱患。

3.3 數(shù)據(jù)庫(kù)解析

數(shù)據(jù)庫(kù)存在的安全問(wèn)題包括兩個(gè)方面，一是系統(tǒng)運(yùn)行安全，即數(shù)據(jù)庫(kù)系統(tǒng)的本身的安全問(wèn)題；二是系統(tǒng)信息安全，即數(shù)據(jù)庫(kù)系統(tǒng)存儲(chǔ)的信息的安全問(wèn)題。因此，對(duì)于數(shù)據(jù)庫(kù)方面的安全策略也應(yīng)從兩個(gè)方面進(jìn)行。首先，應(yīng)該對(duì)計(jì)算機(jī)的操作系統(tǒng)以及數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全配置，包括密碼設(shè)置、協(xié)議加密、TCP/IP端口設(shè)置等，以保證數(shù)據(jù)庫(kù)系統(tǒng)本身的運(yùn)行安全。其次，要從數(shù)據(jù)庫(kù)信息安全方面進(jìn)行安全設(shè)置。一是要保證會(huì)計(jì)軟件數(shù)據(jù)的獨(dú)立性、安全性與完整性；二是要針對(duì)并發(fā)事件①進(jìn)行有效的并發(fā)控制，避免當(dāng)一個(gè)會(huì)計(jì)軟件用戶取出數(shù)據(jù)進(jìn)行修改，在修改存入數(shù)據(jù)庫(kù)之前其他用戶提取正在修改未保存的數(shù)據(jù)導(dǎo)致的數(shù)據(jù)錯(cuò)誤；三是要建立會(huì)計(jì)軟件數(shù)據(jù)庫(kù)系統(tǒng)的故障修復(fù)系統(tǒng)，以保證及時(shí)發(fā)現(xiàn)、修復(fù)數(shù)據(jù)庫(kù)系統(tǒng)中物理方面或邏輯方面的數(shù)據(jù)故障。

3.4 網(wǎng)絡(luò)解析

網(wǎng)絡(luò)安全是指在特定的運(yùn)行環(huán)境下會(huì)計(jì)軟件系統(tǒng)中的網(wǎng)絡(luò)系統(tǒng)可以連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)的服務(wù)功能不中斷。從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)系統(tǒng)中的信息安全。網(wǎng)絡(luò)安全方面的問(wèn)題主要集中在網(wǎng)絡(luò)物理安全、網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、網(wǎng)絡(luò)管理安全四個(gè)方面。因此，筆者認(rèn)為在網(wǎng)絡(luò)方面應(yīng)該從以下幾個(gè)方面著手實(shí)施會(huì)計(jì)軟件的安全控制：第一，盡量保證網(wǎng)絡(luò)的物理安全，這是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，也是四個(gè)方面中相對(duì)容易控制的；第二，進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)時(shí)必須將會(huì)計(jì)軟件系統(tǒng)的服務(wù)器（WEB、DNS、EMAIL等）與外網(wǎng)以及會(huì)計(jì)軟件系統(tǒng)內(nèi)部其他業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)進(jìn)行必要的隔離，盡量避免網(wǎng)絡(luò)結(jié)構(gòu)方面的信息外泄或被篡改；第三，網(wǎng)絡(luò)系統(tǒng)安全要求會(huì)計(jì)軟件用戶盡量保證整個(gè)網(wǎng)絡(luò)的操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)可靠并且值得信任，但每個(gè)軟件開(kāi)發(fā)商都有其Backdoor②，沒(méi)有完全安全的操作系統(tǒng)。因此，基于網(wǎng)絡(luò)安全的考慮應(yīng)從多個(gè)角度，采用多種評(píng)價(jià)指標(biāo)綜合評(píng)價(jià)會(huì)計(jì)軟件的網(wǎng)絡(luò)系統(tǒng)以選用盡可能可靠的硬件平臺(tái)和操作系統(tǒng)，同時(shí)必須對(duì)操作系統(tǒng)進(jìn)行安全配置，包括用戶登錄的安全設(shè)置、用戶登錄后操作權(quán)限的設(shè)置等；第四，網(wǎng)絡(luò)管理是網(wǎng)絡(luò)安全中最重要的部分，必須設(shè)計(jì)責(zé)權(quán)明晰、獎(jiǎng)懲結(jié)合、具有可操作性的網(wǎng)絡(luò)管理制度。

3.5 人員解析

在整個(gè)會(huì)計(jì)軟件安全機(jī)制中，人員是唯一的主觀個(gè)體。由于人員的主觀能動(dòng)性，其存在客觀無(wú)意行為和主觀故意行為，客觀無(wú)意行為通過(guò)制度的約束等可以避免或消除，而主觀故意行為卻難以完全避免。在會(huì)計(jì)軟件的安全問(wèn)題中，最難以控制的便是人員利用軟件、網(wǎng)絡(luò)等技術(shù)進(jìn)行主觀故意的不安全行為。因此，必須加強(qiáng)對(duì)人員主觀故意行為的監(jiān)督控制。首先，從會(huì)計(jì)軟件的使用主體角度，應(yīng)設(shè)計(jì)合理的會(huì)計(jì)軟件系統(tǒng)監(jiān)督控制制度，從內(nèi)部控制個(gè)別人員的不安全行為；其次，從會(huì)計(jì)軟件的外部主體角度，審計(jì)應(yīng)結(jié)合會(huì)計(jì)軟件系統(tǒng)的新特性從多個(gè)方面運(yùn)用新的審計(jì)技術(shù)對(duì)會(huì)計(jì)軟件使用主體的集體不安全行為進(jìn)行監(jiān)督控制。

3.6 制度解析

由于個(gè)體自利的本性、個(gè)體與個(gè)體之間的溝通協(xié)調(diào)等多方面的原因，會(huì)計(jì)軟件安全機(jī)制的運(yùn)行離不開(kāi)制度的規(guī)范。會(huì)計(jì)軟件安全機(jī)制中的制度設(shè)計(jì)必須立足于會(huì)計(jì)軟件設(shè)計(jì)與實(shí)施過(guò)程中涉及的計(jì)算機(jī)信息技術(shù)。第一，綜合考慮軟件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全方面的安全設(shè)置會(huì)計(jì)軟件操作人員的登錄與權(quán)限；第二，基于會(huì)計(jì)軟件系統(tǒng)運(yùn)行的新特點(diǎn)重新進(jìn)行業(yè)務(wù)部門(mén)的劃分及業(yè)務(wù)流程的設(shè)計(jì)；第三，針對(duì)會(huì)計(jì)軟件安全方面的問(wèn)題設(shè)計(jì)合理的獎(jiǎng)懲制度；第四，由專(zhuān)人負(fù)責(zé)會(huì)計(jì)軟件安全機(jī)制的構(gòu)建、維護(hù)與實(shí)施，并定期或不定期地對(duì)會(huì)計(jì)軟件操作人員進(jìn)行會(huì)計(jì)軟件相關(guān)知識(shí)的培訓(xùn)，提高人員的信息化素養(yǎng)。

主要參考文獻(xiàn)

[1]孟娟.企業(yè)會(huì)計(jì)軟件及其應(yīng)用中存在的問(wèn)題與對(duì)策[J].財(cái)會(huì)學(xué)習(xí)，2017（23）：94-95.

[2]孟祥東，劉清慈.財(cái)務(wù)會(huì)計(jì)軟件現(xiàn)狀及發(fā)展趨勢(shì)研究[J].商業(yè)經(jīng)濟(jì)，2016（1）107-108.