[摘要]会计电算化软件作为一款应用软件,具备了相当的UI友好性,这种特性对于没有过多IT技术的会计人员来说很有帮助,因为他们在经过简单的培训的情况下,就可以迅速上手相应的会计软件,实现会计工作的电子化,提高工作效率。然而,随着教育的程度日益提高,一般的计算机技术对于普通人来说并不困难,同时财务软件的更新趋势也是进一步提高用户友好,这就缩减了非财务人员操纵财务软件的难度,为会计信息及会计信息系统带来了巨大的风险。
[关键词]用户友好;会计信息安全;可变式UI设计体系
不可否认财务软件在会计工作中的应用,可以提高会计工作的效率,同时由于计算机独有的校验功能也可以使原本纷繁复杂的会计信息无论从记录的准确度还是处理的合理程度上提高不止一个层次。然而,会计电算化软件为我们提供如此之多的便利的同时,储存在会计软件中的会计信息也变得更加的容易被获取、篡改、或者破坏。因而,会计电算化的安全问题作为社会价值、利益问题一再的被社会公众和学术界提出就显得不无道理。笔者认为,单机系统下的会计电算化软件的安全风险,并非来自与软件本身,即数据加密,流程控制等技术层面的细节,恰恰来自于社会,也就是对财务软件的使用者进行社会攻击。
1现状
一般的财务软件在进入操作页面时都需要输入账户和密码,系统校验正确才能登录,这是防止财务软件遭到社会攻击的第一道,也是唯一一道防线,一旦非法人员获得了正确的账户和密码,那么会计信息就无可避免的会受到侵害。社会攻击很难避免,会计人员受到攻击就难保证在不自觉得情况下将账号和密码泄露。同时会计人员在设置密码的时候很可能以诸如:111111、123456这样简单的数字组合作为密码,然而这些信息都是非常容易获取的。很多电算化软件的开发商也并没有考虑到软件的社会安全,而仅仅是将安全的重点放在了技术层面。而且由于电算化系统本身所具有的友好性,一旦进入到电算化软件的操作页面,很多非财务相关的人员都可以在短时间内完成既定的侵害目标。然而,财务软件的友好性本身是对会计工作有利的特性,用户友好性也是一般软件好坏的衡量标准,只是财务软件的特点使这个属性变得难以把握。如果UI过于友好,那么侵害会计信息的所需的时间就会缩短,如果UI不够友好,财务软件对于简化会计工作,提高工作效率的作用就会削弱。
2假设
为了研究用户友好与系统安全的关系,提出两个假设:1、电算化软件的用户友好程度影响陌生用户对软件的操作速度。2、用户对电算化软件的熟悉程度影响用户的操作速度。为了研究上述两个假设最终结果,我们进行了两轮实验:1、从三个会计专业的班级中,挑选出已经取得会计从业资格证,并且只使用过高信版电算化软件的学生60名,让他们分别使用高信、金蝶、用友三种不同的电算化软件完成15个操作小题,统计他们最终完成这些题目的时间,获取原始数据。2、在进行过第一轮实验以后,再让这60名学生使用金蝶电算化软件,完成15个操作小题。
60名学生使用高信、金蝶、用友电算化软件完成规定题目的时间分布情况如图(单位:分钟):
60名学生使用三种电算化软件完成的规定题目的平均时间时间分别是20.47、30.52、34.83,且所用时间的分布情况也接近于正态分布。这些学生都学习过并且能够熟练地运用高信版的软件完成指定要求,而金蝶和用友两种财务软件,对于他们的友好程度要偏低。同时,他们完成题目的平均时间也有更长。因此我们提出假设:使用其他版本的财务软件完成题目所用的平均时间与高信版存在显著差异。
对两个实验组数据进行显著性检验结果如下:
使用金蝶和用友,实验者的平均完成时间明显长于高信。由此,电算化软件的用户友好程度可以显著地影响使用者的上手速度,并且友好程度越高,速度越快。
第二轮实验的目的是研究熟练程度对操作速度的影响。实验的数据情况如图:
第二次完成题目的平均时间为28.1。对两组数据进行显著性分析。
第一轮实验的的平均时间确实要显著大于第二轮,随着对软件的熟悉度上升,相应的操作速度也会变快。如果非法人员事先调查过被破坏者使用的财务软件,并且进行相应的练习,一旦获得软件的账号密码,就能够迅速对整个会计系统造成破坏。
3应对措施
對于上述安全风险,可以通过四个途径进行解决:1、建立完善的财务专用计算机管理制度。2、财务软件提供复杂校验登录方式。3、不定时身份验证系统。4、可变式UI设计体系。下面笔者进行逐一阐述。
设立财务专用计算机,安装财务软件的计算机应有专人管理,设置安全程度较高的密码。严格按照公司工作制度开关机,非工作时间该计算机不得处于运行状态。开机关机有专人监督并操作,非财务人员不得使用该计算机。杜绝非法人员私自使用计算机登录财务软件。此外,还应划分使用时间,严格按照时间表操作,避免责任不明的情况发生。
提供较复杂的校验方式,比如人脸识别,在财务软件中使用这样的登录校验方式能够降低被非法登陆的可能性。对于简易的财务软件来说,可以采取提供长密码或者随机提问的方式进行校验。随机提问是指,使用者在初始化系统时,设置一个“问题池”,在登录的时候,系统会随机从这些问题中提问,登录者回答的答案与预先设置的相同便可以登录,这样可以有效的降低社会攻击对财务软件危害。
不定时身份验证建立在随机提问的基础之上,用户在登录使用财务软件的过程中,系统会不定时的对使用者的身份进行核实:当用户在进行非法操作,或者正常使用一段时间后,系统会自动从预先设置好的“问题池”中随机抽取问题提问,使用者必须在正确回答问题以后才能继续使用软件,否则系统会自动退出。当然,合法的财务人员在使用时也会被随机提问,会相应影响工作效率。而且随机时间的长短也很难界定,因此需要大量的实践验证才能确定一个相对合理的值。
可变式UI设计体系是指用户在初始化财务软件的时候,可以自行对默认界面、工具按钮进行修改,使之形成独树一帜的用户风格。降低财务软件对非用户的友好程度。由于用户自行改变的UI与任何一款财务软件均存在区别,非法人员无法事先准备,同时用户友好度的降低,也使得非法人员的破坏难度进一步上升。每个用户的UI体系,与用户相关联,即同一台机器上的同一款软件随着登录用户的不同会呈现不同的UI体系。合法的用户不会因为自行设置的UI体系而降低工作效率,由于UI是自行设置的,在前期使用软件时,工作效率反而要高于固定UI的财务软件。
4结束语
任何一种软件的安全使用都要建立在合规的使用基础上,如果使用规章不完善,使用人员不谨慎,那么再好的防护措施都将形同虚设。建立完善使用制度,对财务人员进行必要的培训,能从根本上减少隐患,保护会计信息的安全。
参考文献:
[1]樊珊珊.目前我国会计电算化存在的问题及对策[J].会计之友,2011.
[2]盛国杰.浅论会计电算化目前的问题及对策[J].开发研究,2009.
[3]刘宁.会计电算化风险及防范[J].人口与经济,2013.
[4]李承,周潞.促进软件安全的路径选择[J].中国科技论坛,2014.
作者简介:杨欢,男,汉,山东青岛,硕士,青岛理工大学,财务管理。
友情链接: |
免责声明:本网站部分资源、信息来源于网络,完全免费共享,仅供学习和研究使用,版权和著作权归原作者所有 如有不愿意被转载的情况,请通知我们删除已转载的信息。 联系方式:电子邮件:1053406363@qq.com 豫ICP备2023024751号-1 |