网络会计安全问题的理性思考

摘 要：网络会计是基于互联网技术的现代会计模式，互联网的时空无限性和技术开放性潜存着安全隐患，会计信息有可能被截取或篡改。发展网络会计必须解决两个问题：一是提高网络安全意识，树立新的信息安全理念，寻求安全解决方案；二是采用有效的安全密钥技术，实施必要的防火墙措施，建立适应网络会计系统的控制机制。

关键词：网络会计 安全意识 密钥技术

有人说，网络会计的安全问题是咽喉中的“恶性肿瘤”，尽管肠胃消化功能很好，可营养丰富的食物无法下咽，也只能通过“导管”维持生命。通俗的比喻，浅显地道出了一个业界人士最为关心的问题：网络会计发展的瓶颈——安全问题，更折射出业界人士的心愿：网络会计发展的明天——摘除“恶性肿瘤”。

一、互联网络安全：令人担忧的网络会计依托的平台

众所周知，国际互联网络是一个由数以万计的不同规模的网络，通过自愿原则并共同遵守某种协议(如TCP/IP协议)互相连接起来的全球性的计算机网络，而网络会计则是以国际互联网络为平台，对会计主体发生的经济活动引起的会计要素的增减变动进行核算和监督，以求达到管理经济活动，提高经济效益，实现会计目标的现代会计模式。

国际互联网络时空的无限性和技术的开放性，为实现工作场地虚拟化，资料记录无纸化，数据传递远程化，信息交流数字化提供了广阔的空间，在当今时代已经显现出无比的优越性，但也使一些不法分子常常有机可乘，从而使用户比以往更有可能暴露有价值的企业信息、关键性的商业应用以及公司客户的各类私人保密信息。恶意的袭击会侵入网络会计站点，进行各种可能的破坏，如制造和传播破坏性病毒或让服务器拒绝服务等。这些攻击可引起服务崩溃，保密信息暴露，从而最终导致公众信心的丧失，网络会计实施的瓦解。

据媒体报道，去年4月21日，反病毒专家截获了一种专门盗取某网上银行用户名和密码的木马病毒，这种病毒会在用户计算机中创建可执行文件、挂钩和发信模块文件，并修改注册表。一个普普通通的木马病毒，在重重安全技术防范的网上银行系统中，竟能绕过Microsoft安全控件和网上银行的CA（Certificates Authorities ）证书，轻而易举地窃取用户的账号和密码？正当人们怀疑的时候，事隔一天，4月23日，江民反病毒专家在采取了严密的防范措施后，当场运行了截获的病毒样本进行试验，结果表明病毒成功地截获了银行卡号及密码并向外发送，令人难以置信的事情却实实在在发生了。有关数据显示，目前我国网上银行用户有近千万，每年仅通过网上银行流通的资金超千亿，而利用多种安全认证技术的网上银行系统，在一个小小的木马病毒面前如此不堪一击，就如存有千亿元的银行大门，只需轻轻一推就完全敞开，如何保障千万用户的千亿资金安全？

随着计算机互联网络技术的提高，网络带宽影响网络传输速度的问题应该说已基本解决，宽带接入为实现网络会计提供了在线操作的保证，但宽带接入的背后却隐藏了无限的杀机，有人曾断言，宽带将电脑接入了高危地区，断言虽说有点危言耸听，但网络用户面临的安全问题却是客观存在的。据IT界业内人士介绍，近来有些“间谍软件”能够在用户不知情的情况下偷偷进行安装（安装后很难找到其踪影），并悄悄把截获的一些机密信息发送给第三者，还有一些“广告软件”能够在硬盘上安营扎寨，发作时会不断弹出广告，将浏览器引导至某些特定网页，以此盗取用户的活动信息。据IT业界和美国国土安全部共同成立的“国家互联网安全联盟”的估计，90%使用宽带接入的用户至少会被一个间谍软件或广告软件所感染，并导致一系列不良后果。专家预计，目前互联网上流行的间谍软件和广告软件大概有数万个之多。

美国计算机安全研究中心SANS Institute 曾经专门研究过没有任何保护措施的计算机在互联网上的“存活时间”，结果表明，2003年平均存活时间为近1小时，2004年却不足20分钟。

如此脆弱的互联网络确实让人担忧，以互联网为平台的网络会计更让人担忧，会计信息能保证不会丢失吗？商业机密能保证不会被窃取吗？

二、安全防范意识：网络会计发展必须淌过的河

网络会计的信息安全问题是困扰网络会计发展的核心问题。在传统的手工操作方式下，会计信息的安全性有着严密的措施加以保证，在会计电算化方式下，由于大多是单机用户或财务局域网或企业局域网，一般未接入国际互联网络，再加上安全密钥的设置等，其安全性相对来说是有保障的，而在网络会计方式下，其依托的操作平台就是国际互联网络，如何淌过会计信息安全这条河，对网络会计今后的发展起着举足轻重的作用。笔者认为，首要的是要强化网络安全防范意识，正如国际安全巨头赛门铁克（symantec）公司中国区执行总裁郑裕庆分析的，防止网络威胁“惟一的方法是主动预防，即部署整体的网络安全解决方案，而不是简单的反病毒解决方案。”

据国家863反计算机入侵和防病毒研究中心对2004年网络安全状况调查资料显示，近年来，用户对网络信息安全管理工作的重视程度普遍提高，在被调查用户中，80%的配有专职或兼职安全管理员，12%的建立了安全组织，2%的聘请了信息安全服务企业提供专业化的安全服务，但被调查用户也普遍反映安全观念薄弱等问题。另据3721在全国范围内发起的“全民体检周”公益活动在线检测结果显示，很多用户第一次感觉到网络安全隐患竟然距离自己如此之近，这从反面折射出网络用户安全意识普遍薄弱的问题。其主要表现在：一是用户对网络安全防范解决方案上存在技术盲区，面对网络黑客攻击方式的多样化、突发性和隐蔽性的特点，不少用户不知道采取怎样的措施才能有效地保护自己的信息安全；二是用户对网络安全防范解决方案上存在认识误区，比如有人认为网络安全防范可以通过杀毒产品实现，把查杀病毒与防御黑客入侵割裂开来，忽视了网络病毒的变化趋势，更有甚者，有的用户认为安装了杀毒软件后就万事大吉了，没有及时对杀毒软件进行升级。

提高网络安全防范意识，树立全新的信息安全理念，寻求最佳的安全解决方案，避免因网络安全防范失误而可能造成的不必要损失，对于网络会计来讲，就显得尤其突出。其一，要从宏观上强化网络安全防范意识，实行网络会计信息安全预警报告制度。网络会计的运行平台是国际互联网络，而且大多数服务器和客户端都以Microsoft Windows系统作为操作系统，加上计算机病毒或黑客软件等破坏程序多数是利用操作系统或应用软件的安全漏洞传播，这为实行预警报告制度提供了非常有利的条件。因此，会计主管部门应尽快建立一套完善的网络会计信息安全预警报告制度，依托国家反计算机入侵和防病毒研究中心及各大杀毒软件公司雄厚的实力，及时发布网络会计信息安全问题及计算机病毒疫情，从而切实有效地防范网络会计信息安全事件。其二，要增强用户的网络安全意识，切实做好网络会计信息安全防范工作。要针对用户安全意识薄弱，对网络安全重视不够，安全措施不落实的现状，开展多层次、多方位的信息网络安全宣传和培训，并加大网络安全防范措施检查的力度，真正提高用户的网络安全意识和防范能力。

三、安全密钥技术：网络会计发展必须爬过的坡

网络会计数据的传输是通过国际互联网络进行的，会计信息的处理和存储等工作都集中在网络系统之内，这就有可能被一些非法入侵者截取，或被一些别有用心者篡改。因此，密钥技术是网络会计发展的关键环节。试想，如果网络会计的密钥技术存在漏洞或隐患，信息的机密性何以保证？数据的安全性从何谈起？网络会计的安全钥密技术是网络会计发展必须爬过的坡。

尽管网络会计目前还没有一个实质性的发展，但会计电算化已经有了一个长足的进步。就安全密钥技术来看，会计电算化实施过程中暴露出来的一些问题，对实施网络会计是有借鉴作用的。目前使用的会计电算化软件主要包括单机版和网络版两大类，由用户根据其经营规模的大小、会计岗位的设置等情况选择，单机版仅在单台计算机上使用，网络版则在财务局域网或企业局域网内运行，但一般情况下都不与国际互联网络链接。由此，会计信息在传输过程中被“局外人” 截取的可能性就小了，可“局内人” 非授权访问或篡改会计信息的案例却时有发生，尽管是个案，却也暴露出了电算化会计在安全密钥技术方面存在的问题。笔者就此曾作过专门调查，归纳起来大致有以下几种情况：一是加密的密码或口令过于简单，仅2-3个至多4-5个字符，这种密码或口令就如同纸做的门，是防得住大盗还是防得住小偷呢？二是加密的密码或口令过于统一，包括开机密码、进入系统密码、授权口令、屏保密码等都使用相同的字符，这就如同设了三道门，加了三把锁，却使用同一把钥匙去开启这三把锁，这第二道门和第三道门还有什么作用呢？三是加密的密码或口令过于有规律，如序列码12345、重复码66666、电话手机码138510、显示器码Legend、键盘码PHILIPS等等，这对老道的高手来说，一猜九个准；四是淡化密码或口令的作用，开机进入系统后长时间离开，既不退出系统，也不加设屏保，如入无人之境；五是会计电算软件本身存在不足，软件商在开发软件时片面迎合用户心理，密钥模块设置过于单一。

网络会计的安全密钥技术相对于会计电算化来说，既要解决静态会计信息被非授权访问或篡改的问题，又要解决动态会计信息在传输中被截取的问题。笔者认为，应着重解决三个问题：其一，采用有效的安全密钥技术。为了防止非法入侵者窃取会计信息和非授权者越权操作数据，必须将客户端和服务器之间传输的所有数据都进行加密。专家们建议，至少应两层加密，第一层采用标准SSL协议，以有效地防止破译和篡改等，第二层采用私有加密协议，以有效地防止越权操作。其二，实施必要的防火墙措施。防火墙是一种将内部网和公众访问网(如Internet)分开的方法或技术，它保护着内部网络敏感的数据不被偷窃和破坏，并记录内外通讯的有关状态信息。通过防火墙技术，执行安全管理措施。其三，建立适应网络会计系统的控制机制。网络会计不同于传统的手工操作会计，也不同于电算化会计，就控制机制而言，要综合考虑手工会计及电算化会计下有效的控制机制，还要兼顾网络会计的自身特点，建立适应网络会计系统的控制机制，如调用会计信息必须登录户名、使用方式以及使用结果；更正会计数据必须留下“痕迹”以备查考；要设置非法用户登录或口令错误超限次数，并自动锁定终端，冻结用户标识；系统要能够自动识别有效的终端入口，以防非法“物理”接入，等等。

“所有的网络都有问题，无论你采取多少预防措施都不管用。”尽管福特-伦德吉尔网络公司的商业智能经理约翰·P·苏利文的话有点耸人听闻，但安全意识的淡薄、防火墙技术上的不足、杀毒软件使用上存在的误区、操作不当产生死机丢失数据等警示人们：网络会计必须在一个安全的环境中才能发展和壮大。