面向信息化的AIS计算机漏洞与控制优化研究.pdfVIP

第33卷 第2期 渤海大学学报(自然科学版) V01．33．No．2 2012年6月 JournalofBohaiUniversity(NaturalScienceEdition) Jun．2012 面向信息化的AIS计算机漏洞与控制优化 刘雪晶 ，潘荣根 ，聂铁铸 (1．渤海大学 管理学院，辽宁锦州 121013；2．中国酒泉卫星发射中心，甘肃 兰州 732750) 摘 要：AIS从构建开始到寿命结束都面临着各种风险，而计算机漏洞已成为信息化下AIS 越来越致命的风险因素之一．针对信息化下AIS在应用程序设计、系统运行、数据库系统、网络系 统等方面面临的计算机漏洞以及应采取的控制 目标进行了分析和探讨． 关键词：信息化；AIS；计算机漏洞；控制优化 中图分类号：C232 文献标志码 ：A 文章编号：1673—0569(2012)02—0174—05 0 引言 AIS是会计信息系统(accountinginformationsystem)的简称，是管理信息系统(MIS)的一个子系统，AIS 向会计使用者提供以财务为主的经济信息．AIS风险是指AIS在生命周期如系统分析、系统设计、系统运 行、系统维护等方面面临的风险．信息化使 AIS的运行环境 由封闭的局域网变为开放的互联网，加剧了 AIS的计算机风险．因此，我们必须加强AIS的风险控制，堵住信息化下AIS的计算机漏洞，对传统的风险 控制体系进行优化，以促进信息化工作的顺利开展． 1 信息化下AIS风险分析 1．1 使企业资产遭受巨大损失 信息化环境下，会计的信息资源实现了共享，会计信息系统可能被不法分子嵌入舞弊程序，他们可 以利用这些舞弊程序大量吞没企业的财产，进行信息泄露与篡改，由此造成的风险损失越来越大，涉及 白g 金额逐年增加，在短短的几年里，从最初的几千元发展到现在的几万元、甚至上亿元，其后果越来越严重． 侵吞企业资产是AIS安全风险的主要形式之一，利用高技术手段窃取企业机密是当今计算机犯罪的重要 形式，常常会对企业造成无法估量的损失． 1．2 会计信息数据处理功能凸现脆弱性 信息化环境下，AIS对会计信息主要依靠 自动数据处理功能．互联网使各种计算机通过网络互相连 接，导致系统间的数据具有很大的流动性，机密信息可能无形中向外开放，很难保证数据在通信网中不被 窃取、篡改或增删．自动数据处理功能又具有集中的特点，一旦数据和程序发生微小的干扰或差错，都会 造成十分严重的后果．此外，信息化下AIS还易遭受网络病毒感染． 1．3 舞弊手法先进 信息化环境下，由于各种信息都存储在磁性介质上，舞弊者可以通过植入各种程序陷阱、非法接入硬 件、不留痕迹的修改软件、网络黑客袭击、释放病毒木马等隐蔽的方法和手段，通过使用网络及通讯设施等 高技术工具，使作案人在任何角落都可以完成犯罪． 收稿 日期 ：2012—03—19． 基金项 目：辽宁省 2011年社会规划 (N0：L11BJL029)． 作者简介 ：刘雪晶(1961一)，女，教授，从事网络会计数据安全研究 通讯作者：Lxj99@sina．corn 第2期 刘雪晶，潘荣根，聂铁铸 ：面向信息化的AIS计算机漏洞与控制优化 175 2 信息化下AIS的计算机漏洞 AIS是一个复杂的系统，信息化下AIS的计算机漏洞可归纳为如下几方面． 2．1 AIS应用程序的漏洞 2．1．1 陷门 AIS的计算机陷门是指舞弊者不经过通常的安全检查访问过程而获得访问，并进入程序的秘密入 口． 也就是采用特殊的用户名和密码登陆系统并进行修改等更新操作，陷门又称为非授权访问．陷门技术原本 是程序设计阶段，程序员为方便调试和测试程序留下的秘密 “机关”．可是，当陷门被程序员用来获得非授 权访问时，陷门就变成了致命的威胁．对陷门进行操作系统的控制是困难的，必须在程序开发和软件更新 方面规范程序员的行为，才能更好地避免这类攻击． 2．1．2 逻辑炸弹 “逻辑炸弹”是指隐藏在AIS中，在特定逻辑条件满足时适时或定期执行并实施破坏的计算机应用程 序块，它是未经授权的有害事件，该程序触发后将造成AIS数据丢失、系统被破坏、计算机不能正常引导， 甚至会使整个系统