網(wǎng)絡(luò)會(huì)計(jì)信息安全評(píng)析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)會(huì)計(jì)信息安全評(píng)析范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

一、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)面臨的安全問題

（一）會(huì)計(jì)系統(tǒng)存在被攻擊、竊取的風(fēng)險(xiǎn)信息系統(tǒng)最容易受到的是病毒與黑客攻擊，都會(huì)對(duì)計(jì)算機(jī)或信息系統(tǒng)構(gòu)成安全威脅目前，金融、零售等信息化高度集中的行業(yè)很容易遭受到黑客攻擊；政府、軍隊(duì)、教育科研等機(jī)構(gòu)也成為黑客攻擊的重要對(duì)象；會(huì)計(jì)信息系統(tǒng)，由于涉及到機(jī)構(gòu)的核心機(jī)密，更容易受到攻擊。據(jù)瑞星估算，僅2010年，針對(duì)涉密網(wǎng)絡(luò)的攻擊就高達(dá)10萬次以上，主要來源于美、日、韓等國。一般來講，經(jīng)濟(jì)發(fā)達(dá)地區(qū)受攻擊的比例會(huì)更高。網(wǎng)絡(luò)環(huán)境下，財(cái)務(wù)信息將面臨被竊取的風(fēng)險(xiǎn)。一方面，許多機(jī)構(gòu)沒有成熟的安全管理機(jī)制，甚至僅依靠瀏覽器或Web服務(wù)器中的SSL安全協(xié)議；另一方面，目前的操作系統(tǒng)主要由國外研制，企業(yè)很難判斷其中是否存在后門或缺陷，極可能導(dǎo)致財(cái)務(wù)信息外泄。此外，大型企業(yè)的會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)主要集中在服務(wù)器上，如果服務(wù)器管理人員不小心泄露密碼，甚至內(nèi)外勾結(jié)，則所有財(cái)務(wù)信息都可能被竊取。

（二）會(huì)計(jì)數(shù)據(jù)真實(shí)、完整、可靠性面臨考驗(yàn)會(huì)計(jì)數(shù)據(jù)有可能會(huì)失真，主要有數(shù)據(jù)篡改和數(shù)據(jù)偽造兩種形式。數(shù)據(jù)篡改是指入侵者從網(wǎng)上將信息截獲，按照數(shù)據(jù)的格式和規(guī)律，修改數(shù)據(jù)信息，然后發(fā)送給目的地，數(shù)據(jù)篡改破壞了數(shù)據(jù)的完整性。數(shù)據(jù)偽造則是指入侵者偽裝成“商家”或“合法用戶”，給對(duì)方發(fā)送郵件、訂單等虛假信息，從而竊取個(gè)人密碼或商業(yè)信息。會(huì)計(jì)數(shù)據(jù)一旦失真，企業(yè)將面臨巨大的安全隱患。網(wǎng)絡(luò)環(huán)境下，會(huì)計(jì)檔案的存儲(chǔ)介質(zhì)不再是以前的紙質(zhì)文檔，而變成了電子數(shù)據(jù)。電子數(shù)據(jù)存儲(chǔ)，極大提高了存儲(chǔ)效率，也為管理數(shù)據(jù)帶了便利，但有其天然缺陷。當(dāng)存儲(chǔ)介質(zhì)遇到劇烈振動(dòng)，或突然遇到停電、火災(zāi)等情況時(shí)，很可能導(dǎo)致存儲(chǔ)的數(shù)據(jù)失效。當(dāng)被非法修改時(shí)，有可能沒有任何痕跡；此外，當(dāng)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)升級(jí)的時(shí)候，可能不兼容以前的版本，或者數(shù)據(jù)格式、數(shù)據(jù)接口等發(fā)生了變化，使得以前的信息不能進(jìn)入當(dāng)前的會(huì)計(jì)信息系統(tǒng)，都有可能導(dǎo)致會(huì)計(jì)檔案失效。信息化會(huì)計(jì)與傳統(tǒng)會(huì)計(jì)存在很大差別，很多企業(yè)由于未能及時(shí)建立與信息化方式匹配的內(nèi)部控制機(jī)制，容易導(dǎo)致內(nèi)部控制失效。如操作人員錄入了不正確的字段、使用了無效的代碼、或從財(cái)務(wù)的紙質(zhì)憑證轉(zhuǎn)錄了數(shù)據(jù)等，都可能影響數(shù)據(jù)質(zhì)量，如果缺乏相應(yīng)的監(jiān)督檢查機(jī)制很可能導(dǎo)致內(nèi)部控制失效。此外，由于網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)集中存放于數(shù)據(jù)庫，信息交叉程度提高，依靠帳薄及憑證相互核對(duì)錯(cuò)誤的機(jī)制可能也會(huì)失效，傳統(tǒng)會(huì)計(jì)中某些職工分權(quán)、相互牽制和約束的機(jī)制可能失去作用，信息管理人員或?qū)I(yè)人員舞弊會(huì)給企業(yè)帶來不可估量的損失，也是會(huì)計(jì)信息化面臨的破壞力最大的隱患。如有些數(shù)據(jù)庫管理員通過篡改數(shù)據(jù)獲取不當(dāng)利益，網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)可能連痕跡都沒留下。

二、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問題原因分析

（一）網(wǎng)絡(luò)系統(tǒng)的開放性和共享性網(wǎng)絡(luò)系統(tǒng)的重要特點(diǎn)是開放性和共享性，使網(wǎng)上信息安全存在先天不足，可能會(huì)帶來一些安全問題。一方面,由于互聯(lián)網(wǎng)的開放性,網(wǎng)絡(luò)上所有用戶均可共享信息資源,給一些非法訪問者提供了可趁之機(jī)。另一方面，互聯(lián)網(wǎng)上的數(shù)據(jù)往往是沒有加密的，這使得用戶密碼及其他重要數(shù)據(jù)可能在傳輸過程中被監(jiān)聽和竊取。此外，在諸多信息系統(tǒng)中實(shí)行了分級(jí)權(quán)限管理，某些部門的操作人員被賦予了太高的權(quán)限，可以接觸到整個(gè)企業(yè)的財(cái)務(wù)會(huì)計(jì)系統(tǒng)，增加了財(cái)務(wù)信息被盜的風(fēng)險(xiǎn)。

（二）硬件設(shè)備配置不合理網(wǎng)絡(luò)信息系統(tǒng)中硬件的配置非常重要，尤其是網(wǎng)絡(luò)服務(wù)器及路由器等設(shè)備，對(duì)網(wǎng)絡(luò)安全有很大的影響。如果選擇了不合理的服務(wù)器型號(hào)，不僅網(wǎng)絡(luò)可能不順暢，網(wǎng)絡(luò)的穩(wěn)定性及擴(kuò)充性也會(huì)受到影響；如果選用的路由器緩沖區(qū)過小，則在網(wǎng)絡(luò)延時(shí)過程中，可能會(huì)流失數(shù)據(jù)包；如果路由器緩沖區(qū)過大，則可能會(huì)增加網(wǎng)絡(luò)延時(shí)，這些都會(huì)導(dǎo)致網(wǎng)絡(luò)不安全。

（三）軟件系統(tǒng)不合理主要包括兩個(gè)方面：一是軟件系統(tǒng)規(guī)劃不合理，開發(fā)的系統(tǒng)本身存在缺陷；二是軟件開發(fā)工具選擇不合理。（1）軟件系統(tǒng)的不合理規(guī)劃與開發(fā)。在規(guī)劃過程中，系統(tǒng)分析人員沒有與會(huì)計(jì)工作人員及相關(guān)用戶充分溝通，從而系統(tǒng)的需求分析可能并不能完全反映真實(shí)要求?；谶@種規(guī)劃開發(fā)的會(huì)計(jì)信息系統(tǒng)，可能會(huì)引起一系列不安全的后果。另外，用戶自行開發(fā)軟件數(shù)據(jù)常常無法與購買的財(cái)務(wù)軟件數(shù)據(jù)交流,從而造成資源浪費(fèi)。（2）軟件開發(fā)工具的不合理使用。以數(shù)據(jù)庫工具為例，SQLserver、Oracle、Sybase等主要適用于大型系統(tǒng)；Acess、FoxPro等則主要適用于小型系統(tǒng)。值得注意的是，各類數(shù)據(jù)庫工具的安全機(jī)制有所不同，所以必須根據(jù)系統(tǒng)的規(guī)模大小及安全性要求合理選擇數(shù)據(jù)庫工具。

（四）制度建設(shè)不健全網(wǎng)絡(luò)環(huán)境中，會(huì)計(jì)系統(tǒng)往往要和業(yè)務(wù)系統(tǒng)，如采購系統(tǒng)、銷售系統(tǒng)、存貨管理系統(tǒng)等相關(guān)聯(lián)，實(shí)現(xiàn)信息共享，提高會(huì)計(jì)系統(tǒng)的自動(dòng)化處理程度。為了讓信息安全共享，必須建立內(nèi)部控制制度，分配角色并賦予權(quán)限。此外，股東、銀行、稅務(wù)等機(jī)構(gòu)也可能通過網(wǎng)絡(luò)與企業(yè)的財(cái)務(wù)會(huì)計(jì)系統(tǒng)連接，也需要建立相應(yīng)的內(nèi)部控制制度。

（五）人員風(fēng)險(xiǎn)人員風(fēng)險(xiǎn)主要分為勝任能力風(fēng)險(xiǎn)及道德風(fēng)險(xiǎn)。勝任能力要求從業(yè)人員既要熟練掌握國家會(huì)計(jì)準(zhǔn)則及會(huì)計(jì)制度，掌握相應(yīng)的信息技術(shù)，而且要具備較強(qiáng)的學(xué)習(xí)能力。道德風(fēng)險(xiǎn)，則要求財(cái)務(wù)人員面對(duì)誘惑時(shí)，能夠堅(jiān)守職業(yè)操守。

三、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全管理的策略

（一）安全管理的目標(biāo)對(duì)于會(huì)計(jì)信息系統(tǒng)來說，信息安全主要是要保證信息的保密性、完整性、可用性、真實(shí)性、可控制性、可審查性、不可抵賴性等。數(shù)據(jù)保密性是指數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)臅r(shí)候不被非法竊取，或者雖然被竊取但竊取者不能破解其真正意義；數(shù)據(jù)完整性是指數(shù)據(jù)的精確性和可靠性，指數(shù)據(jù)在傳輸過程中不被增加、刪除、修改內(nèi)容；可用性是指對(duì)于合法用戶的正常使用，要保證能夠?qū)崿F(xiàn)而不被拒絕；真實(shí)性是指鑒別數(shù)據(jù)來源，消除非法數(shù)據(jù)源，確保進(jìn)入系統(tǒng)的數(shù)據(jù)是真實(shí)可靠的；可控制性是指數(shù)據(jù)的輸入、輸出、處理過程是可以控制的；可審查性是指對(duì)數(shù)據(jù)的任何訪問與操作（增加、刪除、修改）均被紀(jì)錄下來，便于“信息”追蹤或?qū)彶?；不可抵賴性是指隨所有用戶的操作進(jìn)行紀(jì)錄并存檔，防止用戶否認(rèn)已作過的操作。

（二）安全管理的基本思想為了保證會(huì)計(jì)信息系統(tǒng)的安全，在規(guī)劃系統(tǒng)時(shí)候要全面考慮，按照“全網(wǎng)安全”的思想，實(shí)現(xiàn)多層面控制。（圖1）是基于該思想的安全體系框架。可以看出，該架構(gòu)主要由三部分組成：技術(shù)體系、組織體系、管理體系。（1）技術(shù)體系：技術(shù)體系安全架構(gòu)主要是為系統(tǒng)安全提供技術(shù)保障，包括安全技術(shù)和技術(shù)管理這兩大部分。安全技術(shù)又分為網(wǎng)絡(luò)環(huán)境安全及信息環(huán)境安全兩部分。網(wǎng)絡(luò)環(huán)境安全主要指物理安全和環(huán)境安全。為防范物理安全問題而導(dǎo)致會(huì)計(jì)信息安全隱患，要將計(jì)算機(jī)及相關(guān)設(shè)施受到物理保護(hù)，免于被破壞、丟失等；信息環(huán)境安全主要是指系統(tǒng)安全和信息安全。技術(shù)管理又分為三大部分：符合ISO標(biāo)準(zhǔn)的技術(shù)管理，從安全服務(wù)、體系規(guī)范、實(shí)施細(xì)則、安全評(píng)估幾個(gè)側(cè)面分別對(duì)會(huì)計(jì)信息系統(tǒng)安全進(jìn)行管理；審計(jì)監(jiān)測(cè)方面進(jìn)行技術(shù)管理，會(huì)計(jì)信息系統(tǒng)實(shí)時(shí)的狀態(tài)監(jiān)測(cè)、非法入侵時(shí)的監(jiān)控；實(shí)施策略方面進(jìn)行技術(shù)管理，財(cái)務(wù)系統(tǒng)的安全策略、密鑰管理。（2）組織體系：組織體系主要為系統(tǒng)安全提供組織人員保障。從機(jī)構(gòu)設(shè)置、崗位設(shè)置、人事設(shè)置三方面進(jìn)行構(gòu)建。（3）管理體系：管理體系主要為系統(tǒng)安全提供制度保障。從國家法律立法、企業(yè)規(guī)章制度、企業(yè)業(yè)務(wù)培訓(xùn)三方面對(duì)系統(tǒng)安全給予保障。

（三）安全管理的整體解決方案基于的“全網(wǎng)安全”思想，可以從如下方面對(duì)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)進(jìn)行整體安全保護(hù)：平臺(tái)安全、硬件安全、軟件安全、安全管理制度、人力資源素質(zhì)。（圖2）是基于該思想的網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問題整體解決方案。

（1）平臺(tái)安全。保證網(wǎng)絡(luò)辦公平臺(tái)安全，是網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)中最重要的部分。本方案中采用三種技術(shù)保證平臺(tái)安全：防火墻、虛擬專用網(wǎng)（VPN）、入侵檢測(cè)技術(shù)。防火墻充當(dāng)屏障作用，合理使用防火墻能保護(hù)企業(yè)會(huì)計(jì)信息安全有效。主要作用在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，過濾不安全服務(wù)，防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)；限定用戶訪問特殊網(wǎng)站；對(duì)內(nèi)外部網(wǎng)絡(luò)進(jìn)行有效隔離。所有外部網(wǎng)絡(luò)的訪問請(qǐng)求都要通過防火墻檢查，使得企業(yè)內(nèi)部網(wǎng)的會(huì)計(jì)信息系統(tǒng)相當(dāng)安全。當(dāng)然，企業(yè)會(huì)計(jì)信息系統(tǒng)應(yīng)保持相對(duì)封閉狀態(tài)，不能連接與業(yè)務(wù)無關(guān)的終端，更不能連接互聯(lián)網(wǎng)，僅能與業(yè)務(wù)相關(guān)部門實(shí)現(xiàn)資源共享。VPN（VirtualPrivateNetwrok）是利用公共網(wǎng)絡(luò)資源形成企業(yè)專用網(wǎng)，它融合了防火墻和Ipsec隧道加密技術(shù)的優(yōu)點(diǎn)，可以為整個(gè)集團(tuán)內(nèi)部通信提供安全的信息傳輸通道，還可以簡(jiǎn)化網(wǎng)絡(luò)管理、節(jié)約成本。VPN有隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)四項(xiàng)核心技術(shù)，為網(wǎng)絡(luò)安全提供了一定保障。入侵檢測(cè)是指通過對(duì)行為、審計(jì)數(shù)據(jù)、安全日志或其它網(wǎng)絡(luò)上可獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)技術(shù)是為了彌補(bǔ)防火墻的不足，主動(dòng)檢測(cè)來自系統(tǒng)外部的入侵、監(jiān)視防火墻內(nèi)部的異常行為。實(shí)時(shí)監(jiān)控是會(huì)計(jì)信息系統(tǒng)必備的措施。通過建立操作日志,對(duì)日常會(huì)計(jì)活動(dòng)中進(jìn)行全程跟蹤,對(duì)大額的、異常的經(jīng)濟(jì)業(yè)務(wù)單獨(dú)列示,詳細(xì)反映，及時(shí)提醒。

（2）硬件安全。硬件系統(tǒng)安全，會(huì)計(jì)信息系統(tǒng)的正常運(yùn)行必須要有良好的硬件設(shè)備，從硬件系統(tǒng)的配置和管理兩方面提出保證。配置方面，選用合適的輸入輸出設(shè)備、調(diào)制解調(diào)器（MODEM）、路由器等互聯(lián)設(shè)備、及適當(dāng)?shù)木W(wǎng)絡(luò)服務(wù)器。同時(shí)，硬件設(shè)備必須有過硬的質(zhì)量和性能，并且數(shù)據(jù)安裝雙硬盤，數(shù)據(jù)雙重備份；管理方面，制定機(jī)房相關(guān)設(shè)備的定期檢查制度，做好機(jī)房防火、防塵、防水、防盜及恒溫等保障措施，使用UPS電源（防止停電導(dǎo)致信息中斷），重要數(shù)據(jù)遠(yuǎn)程備份，安裝機(jī)房報(bào)警系統(tǒng)等。

（3）軟件安全。操作系統(tǒng)是整個(gè)信息系統(tǒng)安全的基礎(chǔ)。一方面，要盡量選擇擁有自主知識(shí)產(chǎn)權(quán)的操作系統(tǒng)，減少“暗門”等對(duì)系統(tǒng)安全的影響。目前，我國計(jì)算機(jī)所使用的操作系統(tǒng)基本上是舶來品，因?yàn)槿鄙僮灾鞯募夹g(shù)，會(huì)計(jì)信息資料網(wǎng)絡(luò)安全性較低，不能滿足會(huì)計(jì)信息所要求達(dá)到的保密程度，對(duì)高水平的國產(chǎn)化軟件有著迫切的需求；另一方面，會(huì)計(jì)信息從業(yè)人員要注意對(duì)操作系統(tǒng)的正確使用，如實(shí)時(shí)掃描漏洞并進(jìn)行修補(bǔ)，對(duì)帳號(hào)、密碼及權(quán)限進(jìn)行管理，紀(jì)錄安全日志并進(jìn)行審計(jì)，下載補(bǔ)丁等，都可以提高操作系統(tǒng)的安全性。數(shù)據(jù)庫軟件，會(huì)計(jì)信息系統(tǒng)的核心就是存儲(chǔ)在數(shù)據(jù)庫中的數(shù)據(jù)，這是一切應(yīng)用的基礎(chǔ)，故需要對(duì)數(shù)據(jù)的安全性、完整性、保密性等方面采取保護(hù)措施。在開發(fā)數(shù)據(jù)庫軟件時(shí)，要考慮數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性、可擴(kuò)展性和高效性，以及安全性。各種外部數(shù)據(jù)信息導(dǎo)入之前，必須要經(jīng)過病毒檢測(cè)程序，同時(shí)對(duì)財(cái)務(wù)數(shù)據(jù)的導(dǎo)出，必須嚴(yán)格控制，防止信息外泄。對(duì)財(cái)務(wù)軟件系統(tǒng)的修改維護(hù)必須報(bào)經(jīng)相當(dāng)領(lǐng)導(dǎo)批準(zhǔn)同意。數(shù)據(jù)備份和數(shù)據(jù)容災(zāi)是保護(hù)數(shù)據(jù)庫的重要措施，數(shù)據(jù)備份是指在遠(yuǎn)程網(wǎng)絡(luò)設(shè)備上保存數(shù)據(jù)，防止數(shù)據(jù)的丟失和損壞；數(shù)據(jù)容災(zāi)是指在異地建立兩套或多套功能相同的IT系統(tǒng)，相互進(jìn)行狀態(tài)監(jiān)視和功能切換，當(dāng)一處系統(tǒng)因意外停止工作時(shí)，整個(gè)應(yīng)用系統(tǒng)可以切換到另一處，使系統(tǒng)功能可以繼續(xù)正常工作。

（4）安全管理制度。包括應(yīng)用控制、數(shù)據(jù)控制、訪問控制、安全管理體系、內(nèi)部審計(jì)五個(gè)方面。應(yīng)用控制是指在會(huì)計(jì)信息系統(tǒng)中，應(yīng)用控制指的是對(duì)具體的數(shù)據(jù)處理活動(dòng)進(jìn)行控制，包括數(shù)據(jù)的輸入、輸出和處理控制。數(shù)據(jù)輸入時(shí)，會(huì)計(jì)信息系統(tǒng)要能達(dá)到糾正數(shù)據(jù)合理性、重復(fù)輸入校驗(yàn)、邏輯關(guān)系測(cè)試等工作。網(wǎng)絡(luò)環(huán)境下，會(huì)計(jì)資料的輸入由多人承擔(dān)，可設(shè)置不同的復(fù)核方式，由系統(tǒng)對(duì)存在差異的數(shù)據(jù)進(jìn)行比較。多用戶同時(shí)進(jìn)行操作時(shí)，系統(tǒng)自動(dòng)生成連續(xù)的憑證號(hào)，使數(shù)據(jù)有效清晰。嚴(yán)格限制財(cái)務(wù)數(shù)據(jù)的修改權(quán)限，對(duì)修改數(shù)據(jù)的操作，應(yīng)提供可打印備查界面。電子數(shù)據(jù)發(fā)放及接收都有認(rèn)證機(jī)構(gòu)提供的記錄清單，以保證雙方權(quán)益。數(shù)據(jù)控制又稱數(shù)據(jù)保護(hù)，可分為安全性控制、完整性控制、并發(fā)控制和恢復(fù)。安全性控制主要是為了防止數(shù)據(jù)泄密和破壞，主要措施是授權(quán)和收回授權(quán)。對(duì)企業(yè)前內(nèi)部人員，一定要及時(shí)收回授權(quán)；完整性控制是為了保證數(shù)據(jù)的正確性和相容性。數(shù)據(jù)通信傳輸過程中保證數(shù)據(jù)的完整，如果有被篡改的情況，接收方能通過軟件及時(shí)檢測(cè)出來。數(shù)據(jù)輸入能否正確進(jìn)入系統(tǒng)，與數(shù)據(jù)庫軟件的輸入方式、數(shù)據(jù)格式及相關(guān)數(shù)據(jù)導(dǎo)入兼容轉(zhuǎn)換有著很大關(guān)系。我國很多企業(yè)有結(jié)合自身特色的會(huì)計(jì)信息系統(tǒng)，為提高會(huì)計(jì)信息系統(tǒng)的管理層次，還需將財(cái)務(wù)信息系統(tǒng)與企業(yè)其他管理信息進(jìn)行有機(jī)結(jié)合。同時(shí)，各不同的財(cái)務(wù)軟件之?dāng)?shù)據(jù)交換，制定統(tǒng)一并規(guī)范的標(biāo)準(zhǔn)。并發(fā)控制是確保在多個(gè)事務(wù)同時(shí)存取數(shù)據(jù)庫中同一數(shù)據(jù)時(shí)不破壞數(shù)據(jù)庫的統(tǒng)一性?；謴?fù)這是指數(shù)據(jù)庫系統(tǒng)發(fā)生故障后，能夠自動(dòng)恢復(fù)到正常的機(jī)制。訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。會(huì)計(jì)計(jì)信息數(shù)據(jù)的訪問僅限于經(jīng)過授權(quán)的用戶，并且層層加密,禁止處理未經(jīng)授權(quán)的業(yè)務(wù)。對(duì)關(guān)鍵財(cái)務(wù)信息資源,授權(quán)范圍應(yīng)盡可能小。按照網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的需要，設(shè)定各級(jí)崗位責(zé)任及權(quán)限，防止非法操作；對(duì)不相容的職務(wù)要注意分離，不同崗位之間設(shè)定一定的制約機(jī)制。如系統(tǒng)管理員不能從事日常會(huì)計(jì)處理業(yè)務(wù)，記帳憑證一定要復(fù)核員復(fù)核才能生成帳簿。安全管理體系，嚴(yán)格完善的法律、法規(guī)與規(guī)章制度是網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息安全的制度保證。我國目前還沒有專門的網(wǎng)絡(luò)會(huì)計(jì)信息安全的法律法規(guī)，暫時(shí)還不能滿足現(xiàn)有信息安全的需求。因而應(yīng)逐步制定出符合我國國情的網(wǎng)絡(luò)會(huì)計(jì)法律體系，規(guī)范網(wǎng)絡(luò)交通購銷支付以及核算行為，為網(wǎng)絡(luò)會(huì)計(jì)的發(fā)展提供良好的法制環(huán)境。另一方面，企業(yè)自身也應(yīng)建立安全管理部門，制定安全管理制度對(duì)操作人員實(shí)行安全技能培訓(xùn)。使會(huì)計(jì)信息系統(tǒng)從開發(fā)、用戶管理、業(yè)務(wù)操作、數(shù)據(jù)存儲(chǔ)、檔案管理等各方面都有章可循。內(nèi)部審計(jì)是指審計(jì)人員要熟悉企業(yè)會(huì)計(jì)信息系統(tǒng)的運(yùn)行機(jī)制，不僅要對(duì)數(shù)據(jù)的輸入、輸出結(jié)果進(jìn)行審查，而且也要對(duì)各種規(guī)章制度進(jìn)行審查，確保符合當(dāng)前會(huì)計(jì)準(zhǔn)則和會(huì)計(jì)制度。對(duì)關(guān)鍵崗位人員，必須進(jìn)行嚴(yán)格的審查和監(jiān)督,以防止泄密或?qū)ν獗淮鄹牡臄?shù)據(jù)或信息。企業(yè)應(yīng)定期及不定期實(shí)行安全審計(jì)，及時(shí)發(fā)現(xiàn)系統(tǒng)及用戶存在的異常行為。網(wǎng)絡(luò)環(huán)境下也可積極推進(jìn)遠(yuǎn)程審計(jì)工作，以審計(jì)分析軟件進(jìn)行輔助分析判斷，通過網(wǎng)絡(luò)遠(yuǎn)程審計(jì)及時(shí)發(fā)現(xiàn)問題，公布審計(jì)報(bào)告，及時(shí)糾正錯(cuò)誤作法，促進(jìn)企業(yè)會(huì)計(jì)信息的真實(shí)性、完整。

（5）人力資源素質(zhì)。通過對(duì)從業(yè)人員思想道德建設(shè)，加強(qiáng)員工的職業(yè)操守水平，樹立職業(yè)道德情感，來提高判斷是非的能力，使之自覺遵守企業(yè)關(guān)于信息系統(tǒng)安全的各種規(guī)定。選拔會(huì)計(jì)信息化從業(yè)人員時(shí)，要進(jìn)行專業(yè)素養(yǎng)考察，使其具備相應(yīng)的專業(yè)能力。同時(shí)，建立嚴(yán)格的繼續(xù)教育及培訓(xùn)制度，提高從業(yè)人員勝任能力。加大對(duì)現(xiàn)有財(cái)務(wù)人員的培養(yǎng)力度，盡量培養(yǎng)復(fù)合型人才。對(duì)于因客觀條件的限制，現(xiàn)有企業(yè)財(cái)務(wù)人員不能解決的會(huì)計(jì)信息系統(tǒng)安全隱患，應(yīng)咨詢相應(yīng)的企業(yè)信息安全機(jī)構(gòu)，得出解決方案，通過逐步改進(jìn)，提高財(cái)務(wù)人員的安全技能。

（四）構(gòu)建整體解決方案中應(yīng)該注意的問題在構(gòu)建會(huì)計(jì)信息系統(tǒng)安全問題整體解決方案中,必須注意以下問題。

（1）進(jìn)行成本/效益分析。構(gòu)建信息系統(tǒng)安全解決方案需要消耗大量企業(yè)資源,故在實(shí)施前必須作成本效益分析,才能保證信息安全構(gòu)建的進(jìn)展順利。成本/效益分析有利于企業(yè)內(nèi)部統(tǒng)一認(rèn)識(shí)，共同推進(jìn)信息系統(tǒng)的建設(shè)與維護(hù)。

（2）全局觀原則。站在系統(tǒng)工程的角度，對(duì)信息系統(tǒng)安全的具體措施錯(cuò)進(jìn)行詳細(xì)分析。一般情況下，可以采取的安全措施包括：專業(yè)技術(shù)措施、行政措施和各項(xiàng)管理制度。其中專業(yè)技術(shù)措施包括認(rèn)證識(shí)別、存取控制、加密技術(shù)防火墻等；管理制度包括所有工作流程處理、系統(tǒng)維護(hù)等方面。一個(gè)周全的安全管理方案應(yīng)該是由多種方法綜合起來發(fā)揮作用的。

（3）一貫性原則。對(duì)網(wǎng)絡(luò)安全的防范應(yīng)該貫穿會(huì)計(jì)信息系統(tǒng)的整個(gè)生命周期，采取的安全措施必須與存在的問題對(duì)應(yīng)。會(huì)計(jì)信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、系統(tǒng)實(shí)現(xiàn)等都需要相應(yīng)的安全制度和措施。一般來講，系統(tǒng)的安全是從規(guī)劃開始的，而不是建設(shè)完成后才考慮的。

（4）方便易用。系統(tǒng)所采用的安全措施應(yīng)該盡量簡(jiǎn)單易用，便于操作。無論定義多少安全措施，最終需要人來執(zhí)行，如果安全措施過于復(fù)雜，操作人員失誤及舞弊的概率就會(huì)加大。同時(shí)，如果安全控制過于復(fù)雜，可能會(huì)影響會(huì)計(jì)信息系統(tǒng)的運(yùn)行功能。

（5）適應(yīng)性原則。當(dāng)網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)庫環(huán)境或者用戶的安全需求變化時(shí)，安全架構(gòu)要能夠適應(yīng)這種變化，并能夠進(jìn)行相應(yīng)的修改。