杜天宇
摘要：ERP管理软件技术的发展，有效地促进了企业“管理一体化”，但也引发了新的安全问题。本文以网络会计软件的技术结构为切入点，分析其数据安全机制，揭示其存在的隐患，以促进会计软件技术不断提高，使企业能够有针对性地加强内部管理。
关键词：技术结构；安全机制；对策
从网络会计软件构架的特征来看，当前软件相关技术上的不完善使企业内部的安全隐患表现得十分突出。本文以会计软件的技术结构为切入点，分析其普遍采用的安全机制，进而揭示来自企业内部的安全隐患，为完善会计软件安全控制技术和强化企业内部管理提供依据。
一、ERP管理软件的技术结构特征
在网络通讯日益繁忙的情况下，传统网络通讯方式已无法满足当今的网络计算量。为适应网络分布式计算和减轻服务器运算压力的要求，提高网络数据处理能力和效率，在软件开发中运用了组件技术，在客户机和服务器之间加入中间层服务器的逻辑设备，将C/S(客户机/服务器)网络模式扩展为3层结构的应用模型。
在3层结构应用模型中，中间层服务器是整个系统的应用主体，其主要功能是：传输数据、安全检查和重要数据处理。3层结构的会计软件技术，极大地减少了客户机和数据库服务器的数据运算量，使网络分布式计算的能力均衡问题得以改善，降低了对网络带宽、数据库服务器和客户机的数据处理压力。
会计软件的3层结构只是逻辑结构分布，用户要根据网络建设的实际情况来决定其物理布局。它并不强制要求网络硬件的物理结构具有同样的3层构架。在小型的网络中，网络运算量不大，可将中间层服务器和数据库服务器集合在同一台物理网络服务器上，甚至可以将逻辑上的客户端、中间层、数据库服务器放在同一台计算机上运行。在大、中规模的网络中，由于网络运算量相应增大，一般将中间层单独安装在一台网络服务器上，形成物理中间层服务器；若仍无法满足网络运算的要求，可安装多台物理中间层服务器，形成一个服务器集群，作为逻辑上的中间层服务器。安装有多个中间层物理服务器的应用模型，也被称为N层结构。这种结构，在逻辑上仍属3层结构。
网络会计软件引入3层结构技术，符合企业管理网络化、集团化、国际化的客观需要。它从基本技术上促进了企业财务系统与企业ERP信息系统整合，使企业能够通过Intranet和Internet对远程机构实行财务上的集中控制，实现企业外出人员的移动办公，并通过多种报表动态显示企业供应链、资金流信息，为企业的管理决策提供依据。
二、ERP管理软件的安全机制
目前，我国开发商提供的网络会计软件，实际上只是中间层和客户端上的应用程序系统，而与会计软件匹配的数据库管理系统则由用户按照开发商要求，从第三方供应商手中取得(我国目前使用的数据库系统主要有MSSQLServer、Sybase、DB2、Oracle、Informix等)。与此相适应，开发商对会计软件的安全管理仅局限于对中间层、客户端上应用程序使用权限的控制，而数据库的安全则完全依赖于数据库管理系统自身的管理机制。
MSSQLServer是与我国网络化会计软件匹配较多的数据库管理系统，故本文以此为例来分析网络数据库系统的安全机制。MSSQLServer系统的安全机制主要包括用户管理、使用SSL协议加密、数据文件的备份和加密等，其中系统关于用户对数据库访问权限的控制是最为基础的安全设置。MSSQLServer系统的用户管理可以按用户、角色以及Windows操作系统的分组来规划用户的访问权限。
MSSQLServer系统关于用户对数据库访问权限的控制，可扩展到操作系统以至相应的网络，包含域、计算机、数据库管理系统和数据库4个层次。事实上，MSSQLServer的安全控制策略是一个层次结构系统的集合，只有满足上一层系统的安全性要求之后，才可以进入下一层。各层MSSQLServer安全控制策略通过相应安全控制系统的身份验证实现。
MSSQLServer系统具体的访问登录控制，有身份验证和身份验证模式之分。身份验证是指系统确认用户的方式，即用户登录身份由谁负责验证：由MSSQLServer管理系统进行验证时，称为SQLServer身份验证；由Windows操作系统进行验证时，称为Windows身份验证。身份验证模式是指允许由谁定义的用户账户可以访问：仅许可Windows系统用户登录时，称为Windows身份验证模式；既许可Windows用户又许可MSSQLServer用户登录时，称为混合身份验证模式。
在数据库管理系统中，数据库以文件的形式保存数据。MSSQLServer的数据库文件可以存放在FAT或NTFS文件系统之中，当存储在NTFS文件系统之中时，可以使用NTFS的文件加密功能进行加密。
当前网络会计软件应用程序系统的安全机制主要包括：操作员管理、会计账套数据备份、日志管理以及版权维护等。
会计人员职责分工的基本原则是不相容的职务、岗位及业务处理必须分离。为了贯彻会计分工“不相容”原则，保证会计软件系统及数据的安全，客观要求系统提供操作员设置和授权功能，以便在计算机系统上进行操作分工和权限控制。按会计软件应用程序系统的技术结构，可将会计软件的操作人员分为：应用服务器(中间层)的系统管理人员(包括账套主管或会计主管)、客户端的会计业务处理人员(会计软件无法控制数据库系统的管理权限)。系统管理人员可以设置会计人员的权限，但不能处理会计业务；会计人员只能依据自己的权限处理相应的会计业务。
会计软件中对于会计人员权限设置的主要方法有两种：一种是按操作模块来划分操作权限；另一种是先按分组(角色)设置权限，组内再进一步划分权限。系统管理员(或账套主管)通过对会计业务操作人员分工和权限管理，一方面防止与业务无关人员进行非法操作，另一方面对系统所含的各个子系统的操作进行协调，以保证系统的安全。