在今天,计算机系统网络被广泛应用。各个孤立的计算机系统通过网络连为一体。只要在网络覆盖的地方,人们都可以访问到已经连入到网络的计算机,加上网络漏洞和计算机软件漏洞不断被人利用,使得网络安全威胁日益严重。
局域网与互联网风险。无论是局域网,还是互联网,网络是一个开放的环境,在这个环境中一切信息在理论上都是可以被访问到的。互联网供应公司或企业以外的第三者均可以获得有关公司的内部讯息。而局域网则是企业内部的网络,企业内的每一个工作人员都可能使用到。因此无论在企业内或外,第三者有意或无意的攻击网络,都可令公司或企业蒙受到金钱或公司商誉上的损失。
电子网络交易风险电子商务网络理财带来新的风险,网络电子交易买卖双方均存在信息安全威胁。这些威胁包括系统中心安全威胁、竞争者威胁、商业机密的安全威胁、假冒的威胁、虚假订单、机密性数据丧失等威胁。黑客的袭击、安全媒体的拦截,潜在的不道德事件,客户欺诈等风险,令信息技术安全受到不同层次的威胁。而企业往往由于低效的监测系统、信息技术运用政策的失败、对信息技术环境的变化缺乏及时的反应等情况,被迫重新定义传统的目标和文化去被动适应这种“非持续”环境。因此基于Internet/Intranet的电子商务理财必须从技术上对整个信息系统的各个层次(通信平台、网络平台、系统平台、应用平台)都要采取安全防范措施和规则,建立综合的多层次安全防范体系,应用防火墙技术、数据加密技术、身份认证技术等的网络安全技术。
(一)网络实体的安全风险
对于网络财务而言,由于支撑整个业务流转的关键点在网络机房,所以机房的安全至关重要,要着重考虑诸如水灾、火灾、地震、电磁辐射等对机房的影响。另外,计算机及大量网络设备的安全也非常重要。
硬件风险不仅来自计算机硬件自身的功能失效的可能,也来自计算机硬件所处的环境。计算机硬件可能受到零件性能的限制,影响零件的寿命。同时,如果计算机硬件处于高温,潮湿的环境中也会影响零件的使用寿命。火灾和机房漏水是对计算机硬件破坏力最大的风险。计算机硬件风险会造成会计工作信息化的重大混乱,使全部或部分电子化的会计数据及信息永久损失或损毁。
(二)人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与他人共享等,都会给网络安全带来威胁。
(三)黑客的恶意攻击
黑客的恶意攻击是计算机网络所面临的主要的和最大的威胁。此类攻击又可以分为两种,一种是主动攻击,主要是指以各种方式有选择地破坏信息,如修改、删除、伪造、添加、重放、乱序、冒充、设置病毒等;另一种是被动攻击,是指在不影响网络正常工作的情况下,进行监听、截获、窃取、破译和业务流量分析等。这两种攻击均可对计算机网络造成极大的危害,并会导致机密数据的泄露。主要的网络攻击手段有如下几种。
1.间谍软件
所谓间谍软件,是指在不知会计算机主人、未获得计算机主人许可的情况下,就偷偷安装在系统中的软件。根据反间谍软件生产商Webroot software公司有关间谍软件的统计报告,每10台连到因特网的计算机中,就有9台受到过间谍软件的侵染;而在公司计算机中,大约有87%感染过各种类型的间谍软件。间谍软件侵入用户计算机的方法有很多种,它可以通过电子邮件中的可执行附件,也可以通过网站上的“恶意代码”,还可以通过其他软件自身的安全漏洞,将其自身埋藏到其他软件的安装盘上,或者是隐藏到其他软件的下载程序中。间谍软件轻则使系统性能大幅降低,重则对系统造成蓄意破坏。它还可通过监控记录用户的键盘输入或者对用户文件进行检查,以偷取文件密码、金融账号信息及其他敏感数据等。
2.混合攻击
顾名思义,混合攻击集合了多种不同类型的攻击方式。它集病毒、蠕虫及其他恶意代码于一身,针对服务器或者因特网的漏洞进行快速攻击、传播、扩散,从而会产生极大范围内的破坏。
3.各种软件的漏洞和后门
任何软件都不可能完全无缺陷和漏洞,而这些缺陷和漏洞恰恰是黑客进行攻击的突破口。另外,软件所存在的后门也为黑客攻击提供了可能。
4.网页及浏览器漏洞攻击
网页漏洞攻击试图通过Web服务器来破坏信息系统的安全防护,它可以完全控制系统,且可不经授权访问目录列表并建立新的账号,或者对数据进行读取、修改或者删除。
浏览器漏洞攻击试图利用用户的网页浏览器自身所带的漏洞进行攻击,尤其是在用户的网页浏览器没有打上最新补丁,或者没有进行相关安全配置时。恶意的Java脚本,ActiveX及Java小程序可以使用户的计算机瘫痪。它还会自动下载“后门程序”或者其他恶意代码,使入侵者获得对计算机的完全访问权限。成功的攻击可以偷取用户的私密信息及其他敏感数据,并危及用户的计算机。
5.网络欺诈(www.daowen.com)
网络欺诈是指企图欺骗用户,使用户相信那些虚假的电子邮件、电话或网站,并认为它们是合法的。这些网站往往和网上银行或支付服务相关,而其意图则是让用户提交自己的私人信息,或是下载恶意程序来感染用户的计算机。在电子商务企业中,这类攻击后果尤为严重。
6.击键记录
击键记录或者输入记录,指的都是那些对用户键盘输入(可能还有鼠标移动)进行记录的程序,它们以此来获取用户的用户名、密码、电子邮件地址,即时通信相关信息,以及其他员工的活动等。击键记录程序一般会将这些信息保存到某个文件中,然后悄悄地将这些文件转发出去,供记录者进行不法活动。最常见的按键记录方式,是利用间谍软件,或者在用户计算机上使用其他未经授权的相关软件进行记录。其他方式则包括在键盘或者计算机的UsB端口中安装电子窃听的硬件设备等。
7.即时通信软件漏洞
和电子邮件一样,即时通信也是病毒和间谍软件肆虐传播的一个常见途径。病毒和间谍软件主要是在用户之间传递文件时进行传播的。一旦用户打开了这些文件,即时通信软件病毒立刻就会将其自身转发给用户好友列表上的每个人,同时在系统中安装间谍软件。
(四)计算机病毒
计算机病毒是一种能够自我复制的程序。通常,病毒还会带有其他意图不好的功能,但是自我复制和快速传播是病毒的两个标志。这种自我复制和快速传播对一个受感染的网络来说本身就是一个问题。任何快速传播的病毒都会降低网络的功能和响应速度,仅仅利用流量超负荷就可以使网络暂时瘫痪。
病毒通常主要以两种方式传播。第一种就是通过扫描与本机相连的网络,然后自我复制到对端的计算机,这通常也是最有效的病毒传播机制。然而,这种传播机制需要更高的编程技巧。更常用的方式是读取电子邮件通讯簿,病毒把自己发送给所有联系人。编写这样的程序更容易,这也是为什么这种方法更常见的原因。
通过投递一个下载的方法就更简单了,如果病毒利用这种方法传播,与其说是病毒制造者水平高,还不如说是用户太粗心了。通过网页下载打开一个文件来传播病毒应该不是常用的方法,这根本不需要任何编程技巧。
不管什么方法,只要病毒进了家门,它就要做些坏事了,同时只要病毒进入了系统,它就会同其他合法程序一样为所欲为了。这就意味着病毒可以在后台删除一些文件,改变一下系统设置,从而危害系统。
虽然在非网络环境下会计信息安全也面临这些风险,但因为没有网络环境,这些风险对会计信息安全不能构成主要威胁。非网络环境下的会计信息安全的主要风险还是来自于人与计算机的互动,数据的存储和保护。这些非网络环境下会计信息安全风险与网络环境下的会计信息安区风险最大的不同之处。
(五)非授权访问
没有预先经过同意,就使用网络或计算机资源的行为被视为非授权访问,如对网络设备及资源进行非正常使用等。该行为主要包括假冒身份攻击,非法用户进入网络系统进行违法操作,合法用户以未授权方式进行操作等。
大部分会计信息系统都有口令来防止非授权人士非法访问系统。但是事实上,口令在防止非授权访问这方面起到的作用却并不是很显著。这是因为,有些计算机信息系统用户求其方便,将口令简单化或写在明显的地方。有时,有些用户可能为求工作便利,把口令告知其他工作人员。这些做法和行为使口令的作用降低。非授权的访问会导致信息系统内部的信息被修改或被删除。
(六)信息泄露或去失
信息泄露或丢失是指敏感数据被有意或无意地泄露出去或者丢失,通常也包括信息在传输中的丢失或泄露。
(七)破坏数据完整性
破坏数据完整性是指以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,恶意添加、修改数据,以干扰用户的正常使用。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。