烟草行业信息安全风险分析与控制策略研究

烟草行业信息安全风险分析与控制策略研究（精选3篇）

烟草行业信息安全风险分析与控制策略研究 篇1

烟草行业信息安全风险分析与控制策略研究

[摘 要]烟草行业作为我国经济的主要来源之一，在我国社会经济发展过程中占有举足轻重的地位。随着经济全球化与市场信息化的不断深入，烟草行业信息系统的安全性也将面临着巨大挑战。本文分析了信息化时代背景下，烟草行业信息安全风险的特征以及在信息安全方面所存在的风险，并提出了控制烟草行业信息安全的几点策略，旨在提升信息系统安全性和可靠性。

[关键词]烟草行业；信息安全；风险分析；控制策略

doi：10.3969/j.issn.1673-0194.2015.24.140

[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194（2015）24-0-01

信息化时代，信息是各行业发展所需的重要资源和资产，而信息安全性在企业经营发展中的地位变得越来越高。所谓信息安全，指的是企业信息、企业信息系统及其所处环境安全性的综合。它包括企业信息的安全性、完整性、可靠性和真实性等。近年来，信息技术在烟草行业得到了普遍应用，并对烟草行业的信息整合、资源优化配置、管理理念更新等发挥了无可比拟的作用。然而其信息安全性却存在着很多风险，如何控制好这些风险已成为烟草行业当前所迫切需要解决的一个问题。信息安全风险的特征

信息安全风险主要具有以下几地特征。第一，动态性与可变性。信息安全风险在其生命周期内是动态进行着变化的，所以其具有动态性与可变性。第二，多样性与多层次。信息安全风险既有管理方面的，也有技术和环境方面的，因而具有多样性；同时，网络层、物理层、链路层、应用层等都是信息安全风险作用的层面，所以又具有多层次特点。第三，可预测性。信息安全风险可以通过各种定量、定性分析方法来进行预测和判断。第四，客观性与不确定性。信息安全风险客观存在于信息系统生命周期的各个阶段和各个层级中，且会随着各种不确定因素的变化而变化。烟草行业存在的信息安全风险

2.1 内部安全存在隐患

随着信息技术应用的日益普遍和成熟，各烟草企业已建立起属于自己的内部局域网，并开发出各种所需信息系统，包括信息管理系统、生产销售系统、办公系统、综合服务系统、决策系统等。这些系统共同支撑起企业经营决策管理，大大提高了企业办公的效率。然而，信息系统在给企业带来巨大便利的同时，也给企业信息安全带来了更多、更大的风险，如不良信息对员工思想的冲击，员工结构频繁的变化流动等，都给企业的内部安全控制造成了很大隐患。

2.2 易受外部干扰和攻击

通常，烟草企业为方便基层员工，要求基层部门通过VPN来访问企业内部信息系统，同时企业内部网络经常会有存储设备和电脑供应商的介入。企业内部网络与外部网络的频繁连接，为外部网络中病毒、木马、黑客等对企业内部网络的干扰、攻击与破坏创造了便利的通道。一旦企业内部网络遭受外部干扰和攻击，将很可能导致企业信息系统遭受不良影响而中断，甚至造成整个网络系统瘫痪和计算机的崩溃，给企业造成巨大的经济损失。烟草行业信息安全风险的控制策略

3.1 加强数据备份与恢复，提高数据安全

数据安全是信息系统最为核心的一个部分，它具有两种含义。其一，数据本身的安全，指通过数据完整性、数据加密等现代使用较为广泛的加密算法对数据进行主动保护，提高数据本身的安全性。其二，数据防护的安全，指以现代数据存储为主要工具对数据进行安全防护，如数据备份、数据恢复、磁盘阵列等。对于烟草行业而言，宜采用统一的数据备份系统和性能良好的数据备份软件，以提高数据的备份和恢复功能，并按照备份策略对所有需要备份的数据进行增量和完全备份，以提高数据的安全性。此外，应指派专业人员对数据备份情况进行定期检查，以确保数据备份进行的及时准确、可靠完整。同时对数据进行定期恢复测试，对其可用性进行检验，根据数据可用性情况和备份、恢复情况对数据备份策略和恢复策略进行及时恰当的调整，保障数据备份策略与恢复策略可以满足数据备份与恢复需要。

3.2 提高信息系统的物理安全

在信息系统当中，物理安全指的是系统运行时所需的各种硬件设备及硬件环境的安全，这些硬件设备主要有机房及机房中的各种计算机、设备、数据存储所需的各种介质等。信息系统具备良好的物理安全是企业内部控制安全中的一项重要内容，是网络与计算机设备硬件自身安全及信息系统各种硬件安全稳定运行的可靠保障。提高烟草企业信息系统的物理安全，需要企业对系统硬件运行状态进行定期检查，及时排除硬件故障，为硬件运行提供安全可靠的外界环境。

3.3 提高系统运维安全

为确保信息系统可以长期安全稳定运行，需要对信息系统进行定期维护，需要对系统内各相关软件进行升级。在这一环节当中，信息部门作为信息系统运行与维护的主要承担者和主要责任者，应对其职责范围内的信息安全有所了解，并以此为基础做好系统运维记录，做好系统资料与各种软件程序的防护工作，建立完整详细的软硬件资源库。在强化运维人员对信息安全重要性认识的同时，对信息系统中可能存在的安全风险进行定期检查与排除，及时获得相应的漏洞补丁，及时修复信息系统出现的各种安全问题。结 语

通过上文分析可知，若想要烟草企业信息系统处于相对安全的运行状态下，就需要采取各种有效的对策来对信息系统中存在的各种安全风险进行有效控制，确保全方位提高信息系统的安全性。只有信息安全风险得到了有效控制，只有信息系统的安全性得到了切实提高，烟草行业才会快速稳定、可持续发展下去，才会为我国经济发展贡献一份力量。

主要参考文献

[1]肖峰.烟草信息安全风险分析及策略控制[J].现代商业，2015（23）.[2]周肖肖.烟草行业电子政务项目建设中的风险管理实践[D].北京：北京邮电大学，2009.[3]陈永泰.安全域在甘肃烟草安全防护体系中的应用研究[D].兰州：兰州理工大学，2012.

烟草行业信息安全风险分析与控制策略研究 篇2

关键词：烟草行业,信息安全风险,防控策略

0 引言

满足烟草企业应用信息技术要求, 做好企业信息安全工作, 具有显著价值作用[1]。从目前我国烟草行业的信息技术水平来看, 受传统因素影响较为严重, 存在较多问题, 亟待解决。

1 烟草行业的信息安全风险

1.1 内部安全隐患

随着信息技术的应用范围不断扩大, 行业内各企业间均建立了属于企业内部的局域网络。同时, 各类应用系统层出不穷, 如综合办公平台、物流系统、综合业务平台及生产经营决策系统等, 不仅给企业不同程度的技术支持, 还增强了企业内部间的信息交流, 有助于提高工作质量及效率[2]。同时, 也存在不同程度的内部安全隐患。受企业员工结构、数量及岗位变化的影响, 以及企业规模的不断扩大, 企业信息量不断增多, 信息安全设备功能复杂化, 加剧了信息被破坏、复杂及丢失、篡改的风险性。

1.2 外部干扰攻击

从目前我国企业的信息技术水平来看, 企业内部网络与介入服务的供方电脑, 甚至储存设备, 存在密切联系。因此, 造成企业内部网络与外部网络的来往密切, 增加了来自外部干扰攻击的可能性, 如网络病毒、木马及地址解析协议攻击, 造成信息泄密、信息系统的服务中断, 甚至导致企业整体局域网瘫痪, 影响企业正常运转及日常事务管理[3]。

1.3 信息系统的整体安全性偏低

近年来, 我国企业的信息系统主要以自行研发为主, 以积极引进为辅, 造成信息系统的整体安全性偏低。尤其是自主研发的信息系统, 存在不同程度的安全隐患, 主要包括:信息系统设计存在缺陷, 部分信息系统的数据传输、交换及储存仍以传统明文方式。其中, 明文信息, 指无论在存储方式上, 还是在传输过程中, 安全性较低, 易被窃取, 造成不可预估的损失。信息系统的用户认证方式也过于简单, 以口令认证为主, 不存在相应的加密渠道。

1.4 员工的信息安全意识薄弱

随着信息技术应用的不断深化, 传统管理人才已无法满足现阶段企业的发展。同时, 缺乏专业的信息安全管理团队, 部分工作人员对于信息安全的意识不强, 重视程度不足, 认识存在一定误区和侥幸心理, 造成企业信息泄密, 引发不同程度的信息安全事故。

2 烟草行业的信息防控策略

2.1 加大资金投入力度

要求烟草企业坚持可持续发展的原则, 重视烟草行业的信息安全工作, 加大资金投入力度, 及时更新相应的信息硬件设备, 增强企业信息系统的物理安全性, 保障网络设备硬件及计算机处于稳定运转状态。如要求烟草企业, 结合企业发展情况, 重视信息安全工作, 加大资金投入, 及时更新老旧信息硬件设备。同时, 针对企业现有信息设备, 做好相应的统计建档工作, 确立设备责任人, 定期检修, 发现设备问题及时上报, 便于相关技术人员及时作出调整。

2.2 强化PC机端的安全性能

据相关统计资料发现, 我国局域网内的绝大部分信息安全风险源自个人计算机用户端口, 即PC机端。PC机端, 是企业信息传输、处理及储存的基础设备, 其安全性能直接决定了企业局域网络的安全, 与企业网络、系统及数据安全存在密切联系。因此, 要求烟草企业强化PC机端的安全性能, 有利于增强对外抗干扰攻击能力, 最大程度保证系统安全。例如, 要求烟草企业结合企业的信息技术水平, 积极引进国际PC机端管理模式, 构建具有企业特色的PC机端管理体系。具体措施主要包括:统一安装恶意软件防护工具及防病毒软件;定期更新补丁程序;实行企业内局域网实名认证制度。同时, 要求相关技术人员统一回收异常用户权限, 定期进行PC机端维护。

2.3 丰富加密手段, 构建加密渠道

要求相关技术人员丰富加密手段, 构建加密渠道, 强化信息系统的安全性, 重视系统内数据及应用系统的备份[4]。例如, 要求相关技术人员采取数字签名、控制访问、身份认证及安全加密等加密手段, 满足企业对于信息系统的严格要求。同时, 要求相关工作人员, 妥善保管各类密码, 禁止使用空密码、出场密码及默认密码, 具体规定密码长度即复杂程度, 利用信息系统设置, 提醒工作人员定期更换密码, 甚至可利用VPN技术, 构建加密渠道, 对企业信息进行阶段式管理。

3 结语

信息作为企业的无形资产, 一旦发生盗取, 造成不可预估的损失。因此, 烟草行业企业应坚持可持续发展原则, 加大资金投入力度, 消除企业内部的安全隐患, 增强企业信息安全系统的防护能力。同时, 工作人员树立信息安全意识, 构建健全的信息安全管理体系, 重视信息安全系统的维护, 摸索出具有烟草企业特色的信息安全管理模式, 进一步为推进我国烟草行业的发展奠定坚实的基础。

参考文献

[1]张克伟, 曹兴强, 刘贵阳, 白书超, 杨光露.烟草工业控制系统安全防护分析与对策[J].电子测试, 2014 (2) :144-145.

[2]侯杰华, 申玉华, 邹暾, 等.信息安全运维服务一体化管理平台的技术设计[J].烟草科技, 2014 (3) :29-32.

[3]罗琪, 颜海.烟草行业电子政务建设中的风险管理[J].长江大学学报 (自科版) , 2014 (11) :102-106.

烟草行业信息安全风险分析与控制策略研究 篇3

教案

Ⅰ 本章教学目的和要求

通过本章的学习，使学生了解会计信息系统可能遇到的风险，掌握内部控制的概念、作用、功能和分类，掌握会计信息系统的控制技术，了解网络会计信息系统的安全技术。

II 本章重点

IT环境下信息系统的风险分析；会计信息系统的内部控制重点及其措施；会计信息系统的一般控制基本类型介绍；会计信息系统的应用控制；网络信息时代的内部控制理论。

III 本章难点

会计信息系统的一般控制与应用控制的区别；网络信息时代的内部控制理论；事件驱动会计信息系统的风险识别与控制；会计信息系统的安全策略。

Ⅳ 本章计划使用教学课时：7课时（课堂讲授5课时，实践2课时）

V 教学内容及教学过程的组织

教学方法：采用课堂讲授与实践调查相结合的方式

〖教学内容引入〗信息技术是一把双刃剑，随着企业信息系统的应用和会计信息系统的普及，信息技术帮助企业改善了经营管理、强化了会计的反映和监控职能、整体提高了企业的营运效率和信息质量水平，这些都显现出了信息技术的有利一面；但与此同时，恶意的数据窃取、计算机舞弊、病毒侵袭、黑客的肆意妄为、非法的程序变更等现象屡见不鲜，这又折射出了信息技术的不利一面。严峻的现实告诉我们，信息系统安全问题已经成为企业实施信息化战略时不得不重视的一大问题，如何对信息系统的安全进行评价、如何对信息系统的风险进行科学评估并以此为基础构建高效、合理的风险控制体系已然成为每一个建立信息系统的企业首先要面对的重大问题。

第一节 风险与控制之间的关系

信息系统的使用提高了工作效率和经济效益，充分发挥了信息资源的作用,但信息系统在发挥其作用的同时也导致了众多不安全因素的潜入,具有受到严重侵扰和损坏的风险，所以必须采取相应的策略进行系统控制，保证系统的安全。

一、IT环境下信息系统的风险分析

这里着重要讲清楚三个问题：到底什么是风险；信息系统可以防范手工系统下可能面临的哪些风险；IT环境下信息系统到底面临哪些风险。第一个问题已是老生常谈的问题，因此简单介绍即可，抓住关键两点：风险具有不确定性，风险可能导致损失。第二和第三个问题才是此处讲解的重点。

由于采用了信息系统，它可以防范手工系统下可能面临的以下风险：人工操作错误的风险、所加工的信息不能充分满足管理需求的风险以及数据传递慢容易出现差错的风险。

但与此同时，信息系统也可能带来与手工环境下不同来源不同性质的风险，主要包括：

1、信息安全风险，具体表现4个方面：

（1）在信息系统环境下，如果对信息不加以特别保护，信息比较容易被非法修改、删除、转移和伪造且不留任何痕迹；

（2）通过网络传输的信息比较容易被非法拦截、窃取和窜改；

（3）数据档案往往存储在磁、光介质中，这些设备对环境要求较高，如果环境不能满足要求，比较容易遭受损害，并且如果不经常备份的话，也有可能会面临数据丢失的风险；

（4）容易遭受计算机病毒的侵害与干扰从而导致信息系统中的数据被破坏。

2、信息处理差错反复所带来的风险。

这主要是基于计算机程序控制错误或者根本就不起作用所导致的风险。讲解此点时，有必要提前简单提一下信息系统环境下的信息系统内部控制的主要方式。

3、计算机交易授权风险。

4、IT本身带来的风险。

IT无论多么先进，难免有其自身的局限性或者缺陷，人们在这方面的教训也是深刻的。

〖课堂提问〗如何看待IT的利与弊？既然IT会导致新风险，那我们为何还要热衷于运用IT改造传统会计？

二、内部控制概述

此处主要是回顾以前已经在其他课程上学过的一些基本概念，比如控制概念、内部控制的涵义、内部控制的组成要素。

〖教学建议〗这些概念可以简单介绍一下其要点，比如理解控制概念必须涉及到控制要素（控制标准、偏差识别、纠正差异），理解内部控制概念则必须知道其欲达成的目标（保护公司资产、提高公司营运效率、保证财务报告的准确可靠、保证严格遵循相关法令），而理解内部控制的组成要素则要结合COSO的内部控制要素模型来理解。

三、会计信息系统内部控制

此处需要讲解4个问题：第一个问题，如何理解会计信息系统内部控制这一概念，其目的和功能到底是什么？第二个问题，会计信息系统的内部控制到底呈现出了哪些新问题，其控制重点在哪里？；第三个问题，会计信息系统内部控制如何分类；第四个问题，会计信息系统内部控制固有的局限性表现在哪些方面。

〖教学建议〗结合实际例子来讲解会计信息系统的内部控制的具体目的以及主要功能，重点讲解第二个问题和第三个问题，适当了解第四个问题。

第二节 会计信息系统的一般控制与应用控制

〖教学内容引入〗计算机信息处理环境下内部控制分类从“控制如何执行”的观点来看，可分为人工控制（即使用者控制）和程序控制；而从“控制执行的范围”来看，则可分为一般控制（general control）与应用控制（application control）。那么，到底什么是一般控制？一般控制又可细分为哪些控制类型？应用控制又是指的什么控制？它又包括哪些细分的控制类型呢？其控制目的与措施又是什么呢？ 一、一般控制

一般控制通常是指各个应用系统均通用的控制，也叫基础控制或者环境控制，而应用控制则专指那些专为某个应用系统设计且执行的控制。

（一）组织控制

组织控制的基本目标是减少发生错误和舞弊的可能性，其基本要求是职责分离，主要内容包括3个方面，即电算部门与用户部门的职责分离、电算部门内部的职责分离以及人事控制。电算部门主要负责业务记录及对数据进行处理和控制，而用户部门主要负责批准执行各种业务交易。电算部门与用户部门的具体职责分离可从5个方面去理解，而电算部门内部职责分离主要是做好两个方面的职责分离（对系统开发职能与数据处理职能进行分离、对数据处理职能进行适当分离）。

组织控制一方面可以规章制度的形式明确每个部门及人员的职责，另一方面可通过会计软件中口令控制和授权管理防止越权行为的发生。

〖教学建议〗教师可引导学生去理解电算部门与用户部门为何要进行职责分离？怎样进行职责分离？电算部门内部又为何要进行一定的职责分离？应如何分离？

（二）操作控制

操作控制实际上是对会计信息系统的使用操作进行规范控制的制度设计，通常，可采取以下一些具体操作控制措施：制定工作计划并严格按章操作；管理人员和操作人员都应严格遵守相关规定（包括上机守则和操作规程等）；作好日志记录的登记；制定应急预案和物理安全规则。

〖教学建议〗这方面实践性很强，授课时只需操作控制的主要目的以及主要控制措施，引起学生今后在实际工作中对此问题加以重视。

（三）硬件及系统软件控制

〖教学建议〗这方面的内容可不作详细讲解。

（四）系统开发控制

〖教学建议〗授课时，要讲清楚系统开发控制主要用于什么场合，可采取哪些具体的控制措施。

（五）系统文档控制

系统文档包括计算机会计信息系统中的证、账、表以及所有系统开发中产生的数据文档，如系统说明书，数据流程图，源程序、系统使用手册及编程说明等。系统文档控制就是指要建立文档管理制度及安全保密制度。系统文档控制的主要规则包括4个方面。

〖教学建议〗这方面内容可着重点讲解。

二、应用控制

应用控制应结合具体的业务，但由于会计数据处理都是由输入、处理和输出三个阶段构成，所以一般将应用控制分为输入控制、处理控制和输出控制。应用控制由手工控制和程序化控制构成，但以程序化控制为主。

（一）输入控制

这里，可适当介绍完整的数据输入过程（包括数据产生阶段、数据传递阶段、数据准备阶段以及数据输入阶段）；重点介绍输入控制可以采取的典型方法（可从数据采集方面和数据输入方面分别讲解）。

〖教学建议〗输入控制是应用控制中的非常重要的一类控制，因此，它是计算机会计处理区别于手工会计处理的一个重要方面，正因为输入控制的重要性，在会计信息系统程序设计时，通常会把基本的输入控制关系考虑进去，这样既方便用户操作，又可提高输入数据的正确性和可靠性。因此，输入控制措施也必要在实践教学中去运用，通过运用加深理解。

（二）处理控制

数据输入计算机后，按照预定的程序进行加工处理，在数据处理过程中极少人工干预，一般控制和输入控制对保证数据处理的正确和可靠起着非常重要的作用。但是针对计算错误、用错文件、用错记录、用错程序、输入数据错误在输入过程中没检查出来等情况，还必须在处理过程中设置处理控制。这些处理控制措施大都为纠正性和检查性控制，而且多是程序控制。

处理控制包括的主要内容（即处理控制包括的具体控制措施或手段）：业务时序控制、数据有效性检验、程序化处理有效性检验、错误更正控制、断点技术、数据合理性检查、平衡及钩稽关系校验等。

〖教学建议〗注意区别输入控制中的某些控制措施与处理控制的某些控制措施之间的不同。

（三）输出控制

适当讲解输出控制的目的，重点讲解输出控制的内容。

输出控制主要包括对输出内容和格式的控制和对输出信息的传送过程的控制。具体可以采取的手段包括：输出授权控制；输入过程的控制总数与输出得到的控制总数相核对；审校输出结果，检查正确性、完整性；将正常业务报告与例外报告中有关数据做分析对比；设置输出报告发送登记簿，记录报告发送份数、时间、接受人等事项；制订输出错误纠正和对重要数据进行处理的规定；在会计报表输出前，由计算机检查报表间应有的钩稽关系是否满足，若不满足，则给出错误信息。

〖教学建议〗输出控制作适当介绍即可。

不同的单位和不同的计算机会计信息系统内部控制的技术方法会有很大差异。应用控制大部分通过程序实现，所以选用的会计软件不同，应用控制的实现方式也不同。但是，不管系统的应用控制采用哪种技术方法，都必须保留审计线索。

第三节 网络信息时代的内部控制理论 〖教学内容引入〗对传统内部控制进行回顾。

传统的会计和审计控制观点是基于以下的概念和实践：

1.大量使用硬拷贝文档来收集会计交易的信息,频繁打印会计过程中会计交易的中间结果。大量使用纸张来记录、处理和维护历史信息。这种做法符合大多数人的习惯,因为他们可以看到处理过程。

2.职责分离,使一个人检查另一个人的工作。只要业务活动和信息处理都由人来执行,这种方法就是可行的。

3.会计数据的重复记录和重复数据的大量调整工作。现行的信息系统中充满着重复数据。同样的销售事件信息记录在销售发票、销售日志中,并在总账中汇集,若该销售涉及信用,则分类账中也记录了该销售信息。而且,销售部门常常在自己的系统中按产品和地区保留销售记录。另外,人事部门也保留了同样的销售数据,以便于准确支付销售人员的佣金。

4.注册会计师认为其角色是独立的、反映性的和检查性的。独立的概念正日益深入到会计的各个领域,这对会计师的验证职能非常重要。会计师的反映性要多于主动性,检查性要多于预防性。

5.严重依赖年末对财务报表的检查,所需控制较多。

6.相对于运行效率而言，更加注重内部控制。这主要是由于外部财务报表审计的要求，促使会计师们主要考虑影响财务报表准确性的财务控制。

7.避开信息技术的进步。尽管会计首先大量使用计算机,使会计处理自动化,会计师们在开发IT的应用能力方面仍落在了后面。

传统的控制观点没有考虑IT对与业务运行、对规则的复合程度和信息过程相关的风险的影响。在网络信息时代，需要建立起一种新的控制观念，将IT有效的集成到业务和信息过程中，把保护组织和促进组织有机结合起来。为此，可从以下几方面加以落实。

一、明确预防商业风险是会计师的首要职责

二、正确对待风险和特定控制程序之间的关系

三、内部控制程序的设计应达到保护与高效并重的效果

四、IT可能带来风险，但它更是控制风险的工具

五、信息的可见性与风险水平无关

六、小型组织同样也可充分运用信息技术强化内部控制

七、网络信息时代内部控制观点总结

八、事件驱动会计信息系统的风险识别与控制

〖教学建议〗此八点是本章的学习重点，也是学习难点，授课时，需要进行较为深入的讲解分析。

第四节

一、信息系统安全的含义

此处关键是理解信息系统安全的具体含义，适当与信息安全这个概念加以区分。从系统过程与控制角度看，信息系统安全就是信息在存取、处理、集散和传输中保持其机密性、完整性、可用性、可审计性和抗抵赖性的系统识别、控制、策略和过程。

信息系统安全是一个多维、多层次、多因素、多目标的体系，虽然信息系统安全的唯一和最终目标是保障信息内容在系统内的任何地方、任何时间和任何状态下的机密性，完整性和可用性，但是离开了信息系统安全的体系，孤立的和单纯的寻求直接保护信息内容的方法，显然是舍本逐末。

二、影响信息系统安全性的主要因素

信息系统本身由于系统主体和客体的原因可能存在不同程度的脆弱性，这就为各种动机的攻击提供了入侵、骚扰和破坏信息系统可利用的途径和方法。影响信息系统安全的因素要有以下几个方面：硬件组织、软件组织、网络和通信协议以及管理者。

信息系统的安全影响因素分析

〖教学建议〗授课时，需要分别讲清楚上述四个方面的影响因素是如何影响信息系统的安全性的。

第五节 会计信息系统的安全问题及保障技术

一、会计信息系统安全问题的具体表现 会计信息系统是一种特殊的信息系统，它除了一般信息系统的安全特征外，还具有自身的一些安全特点。会计信息系统的安全风险是指由于人为的或非人为的因素使会计信息系统保护安全的能力的减弱，从而产生系统的信息失真、失窃，使单位的财产遭受损失，或系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面：会计信息的真实性、可靠性得不到保证；企业重要的数据泄密；会计信息存在被窜改的可能性。

〖教学建议〗实际上，会计信息系统的安全风险表现在许多方面，这里只是择其重要方面进行介绍，教师可引导学生思考是否有其他方面的表现。

二、会计信息系统的安全策略 所谓对症下药，会计信息系统的安全策略当然要针对其所面临的主要安全问题以及安全风险的具体表现来采取相应策略，概括起来就是从内部控制制度和技术控制手段两方面着手解决影响会计信息系统的安全问题，具体来说，就是一方面要健全内部控制制度，另一方面加强实施技术控制手段。技术控制手段主要包括防火墙、密匙技术、数字签名等。

〖教学建议〗授课时，健全内部控制制度只需简单介绍一下，对实施技术控制手段中的防火墙和数字签名技术可详细讲解，以便学生真正明白这些技术的用途和工作原理，今后在实际工作中能够主动运用这些技术确保会计信息系统的安全可靠。

三、网络会计信息系统的安全性评估指标

此处的网络会计信息系统是指建立在互联网环境基础上的会计信息系统，是电子商务的重要组成部分；它将帮助企业实现财务与业务的协同远程报表、报账、查账、审计等远程处理，事中动态会计核算与在线财务管理，支持电子单据与电子货币，改变财务信息的获取与利用方式。

影响网络会计信息系统安全性的因素很多，对其惊醒评价时，主要考虑以下10个指标： 安全方针；安全组织；人员安全；物理与环境安全；计算机与网络管理；系统访问控制；系统开发与维护；业务持续管理；合规性。

〖教学建议〗网络会计信息系统所面临的安全问题显然与普通的会计信息系统是不一样的，教师在授课时，可引导学生思考网络会计信息系统的环境与一般会计信息系统的环境有何不同，从信息系统所处环境出发来理解上述10个指标的评价作用和影响程度。

VI 本章小结

参见本章教学课件

VII 复习思考题

参见本章教学大纲

VIII 阅读资料