24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

基于XBRL的無縫化網(wǎng)上報告安全體系之構(gòu)想

來源: 福州大學(xué)管理學(xué)院 編輯: 2008/08/19 16:23:25  字體:

  眾所周知,相比傳統(tǒng)紙質(zhì)財務(wù)報告,網(wǎng)絡(luò)財務(wù)報告(以下簡稱“網(wǎng)上報告”)的出現(xiàn)和發(fā)展在很大程度上提高了公司財務(wù)報告服務(wù)的效率和質(zhì)量。然而,公司網(wǎng)絡(luò)財務(wù)信息量的增長又引發(fā)了信息過濾等問題,電子商務(wù)的發(fā)展使得數(shù)據(jù)交換、數(shù)據(jù)搜索和多視窗數(shù)據(jù)的生成顯得愈發(fā)重要。可擴展標(biāo)記語言(XML)的開發(fā)克服了目前廣泛運用于網(wǎng)上報告的超文本標(biāo)記語言(HTML)可擴展性差的缺陷,而基于X M L的可擴展的企業(yè)報告語言(XBRL)正作為一種全球的、數(shù)字的新型商業(yè)語言,力圖使全球財務(wù)機構(gòu)實現(xiàn)自動交換和可靠匯總多語言、多種公認(rèn)會計原則編制的財務(wù)信息。這意味著信息使用者幾乎可以在鼠標(biāo)點擊瞬間獲取所需的信息。然而,XBRL仍然存在可靠性和安全性方面的隱患。在網(wǎng)絡(luò)信息安全問題日益凸現(xiàn)的今天,財務(wù)信息的可靠性還取決于對信息所進(jìn)行的驗證,以及保護(hù)信息在網(wǎng)上傳遞過程中的安全措施,XBRL對此卻束手無策。針對XBRL無法提供驗證信息的弱點,國外學(xué)者在XBRL基礎(chǔ)上提出了可擴展驗證報告語言(ExtensibleAssuranceReportingLanguage,以下簡稱XARL),試圖使記錄于XBRL文檔中的信息可靠性得到增強。另外,國外研發(fā)成功的一整套全新的網(wǎng)絡(luò)服務(wù)安全模式(Web Services Security Model,以下簡稱WSSM)初步解決了數(shù)據(jù)交換實際運作中遇到的安全問題。

  一、網(wǎng)上報告服務(wù)面臨的安全威脅與WSSM

  網(wǎng)上報告服務(wù)的目的是為網(wǎng)絡(luò)中處于各種系統(tǒng)下的合法信息使用者及時提供安全可靠的財務(wù)信息。網(wǎng)絡(luò)財務(wù)信息的可靠性既取決于產(chǎn)生XBRL文檔的過程的可靠性,又取決于對信息進(jìn)行驗證的程序、程度和及時性,還取決于保證信息在網(wǎng)上完整傳遞的安全程度。就網(wǎng)絡(luò)技術(shù)而言,雖然XML與HTML相比已經(jīng)顯現(xiàn)出較大的先進(jìn)性,但它與其他網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)(如SOAP、WSDL和UDDI)一樣,本身在設(shè)計時并沒有太多地考慮安全性問題。因此,以這些網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的網(wǎng)上報告服務(wù)存在固有的不安全隱患。目前網(wǎng)上報告服務(wù)面臨的安全威脅主要包括信息篡改、信息泄露、中間人攻擊(MessageSubstitution)、IP地址欺騙(IP Spoofing)、數(shù)據(jù)包監(jiān)測(Packet Sniffing)、計算機病毒等。它們對網(wǎng)上報告服務(wù)的安全要求提出了嚴(yán)峻的挑戰(zhàn)。

  當(dāng)前,針對網(wǎng)絡(luò)信息傳輸安全問題的主要解決措施,如要求使用者提供授權(quán)的ID號和密碼,以及點對點的安全傳輸模式(如SSL/TLS,S-HTTP和VPN)等,都存在較大缺陷。譬如,SSL/TLS,S-HTTP和VPN不僅不能保證跨多個中介體的XBRL和XARL傳輸?shù)亩说蕉说陌踩?,而且也無法解決僅為文檔的某個特定的部分進(jìn)行加密的問題。而對以XML為基礎(chǔ)的網(wǎng)絡(luò)服務(wù)提出的包括XML加密術(shù)(XML Encryption)、XML數(shù)字簽名(XML Signature)等在內(nèi)的安全方案盡管能在一定程度上有效改善財務(wù)報告服務(wù)的安全性,但商業(yè)環(huán)境的復(fù)雜性以及各方案基礎(chǔ)構(gòu)造要求的不盡相同,卻使得要將這些方法整合使用非常困難,只要在由這些方案所構(gòu)建的安全體系中出現(xiàn)了一個易受攻擊的環(huán)節(jié),剩余部分的安全保障即將遭受蠶食。

  為了使網(wǎng)絡(luò)服務(wù)能夠真正達(dá)到安全可靠且易于操作,IBM、Microsoft和VeriSign在其聯(lián)合發(fā)布的《Web服務(wù)安全白皮書》中給出了一系列安全性規(guī)范,并于2004年初成功研發(fā)了WSSM,以期解決數(shù)據(jù)交換在實際運作中遇到的問題。WSSM建立在SOAP標(biāo)準(zhǔn)規(guī)范上,并且能夠確保SOAP信息在傳輸過程中的保密性、完整性、真實性、可驗證性及可靠性。WSSM具體包括以下幾種規(guī)范:網(wǎng)絡(luò)服務(wù)安全(WS-Security)、網(wǎng)絡(luò)服務(wù)端點策略(WS-Policy)、網(wǎng)絡(luò)服務(wù)信任(WS-Trust)、網(wǎng)絡(luò)服務(wù)隱私(WS-Privacy)、網(wǎng)絡(luò)服務(wù)安全會話(WS-SecureConversation)、網(wǎng)絡(luò)服務(wù)聯(lián)盟規(guī)范(WS-Federation)和網(wǎng)絡(luò)服務(wù)授權(quán)(WS-Authorization)等。鑒于WSSM提供了一種端到端的安全方案,并且能處理網(wǎng)絡(luò)信息服務(wù)中的大多數(shù)安全問題,我們相信,將XARL與WSSM兩種技術(shù)相結(jié)合,必能構(gòu)建一種可滿足之前所提到的網(wǎng)上報告服務(wù)安全要求的安全體系。

  二、信息流程再造:基于XBRL的無縫化網(wǎng)上報告安全體系

  作為基于XBRL的網(wǎng)上報告信息鏈的兩端,上市公司和信息使用者的利益與信息鏈的穩(wěn)固程度密切相關(guān)。當(dāng)網(wǎng)上報告面臨的可靠性(信息生成)和安全性(信息傳輸)威脅頻繁地考驗信息鏈的穩(wěn)固性時,XARL和WSSM的提出和開發(fā)無疑為我們創(chuàng)建保障XBRL網(wǎng)上報告的安全體系提供了嶄新的思路。我們依循XARL的設(shè)計理念,結(jié)合WSSM,嘗試構(gòu)建一種基于XBRL的無縫化網(wǎng)上報告安全體系。在我們構(gòu)想的這個網(wǎng)絡(luò)財務(wù)報告安全體系中主要涉及到XBRL及XARL分類標(biāo)準(zhǔn)制定機構(gòu)(提供XBRL及XARL分類標(biāo)準(zhǔn)),上市公司(對外提供XBRL服務(wù)),專門的驗證公司(對外提供XARL服務(wù)),公共的UDDI注冊中心(提供UDDI注冊與發(fā)現(xiàn)等服務(wù)),獨立的第三方認(rèn)證機構(gòu)(提供身份核實服務(wù)),以及信息用戶這幾方。具體流程如下:

  1. XBRL及XARL分類標(biāo)準(zhǔn)制定機構(gòu)分別使用安全令牌對XBRL及XARL分類標(biāo)準(zhǔn)進(jìn)行數(shù)字簽名(WS-Security),然后以經(jīng)SOAP編碼的XML消息方式(WSDL文檔)分別傳送給上市公司及驗證公司。

  2.上市公司應(yīng)用其會計信息系統(tǒng)對公司的業(yè)務(wù)或事項進(jìn)行確認(rèn)、計量、記錄,并生成財務(wù)信息。通過財務(wù)會計軟件將這些財務(wù)信息與接收到的XBRL分類標(biāo)準(zhǔn)進(jìn)行匹配,生成XBRL文檔。經(jīng)核查軟件自動核對并確認(rèn)有效后,XBRL文檔將被自動存放于公司的數(shù)據(jù)庫中。由于公司內(nèi)外的財務(wù)信息需求都要從數(shù)據(jù)庫中得到滿足,因此數(shù)據(jù)庫應(yīng)該分別就隱私信息和可公開信息設(shè)定訪問權(quán)限(WS-Privacy)。相應(yīng)地,數(shù)據(jù)庫中的文檔被區(qū)分為隱私XBRL文檔和可公開XBRL文檔。

  3.當(dāng)上市公司收到來自驗證公司的XBRL服務(wù)請求時,公司會通過第三方認(rèn)證機構(gòu)核實驗證公司的合法性,即該驗證公司是否擁有進(jìn)行X A R L驗證的授權(quán)(W S -Authorization)。之后,上市公司將使用某種安全令牌對其可公開XBRL文檔進(jìn)行數(shù)字簽名(如使用上市公司的私人密匙進(jìn)行數(shù)字簽名,再用驗證公司的公開密匙加密),以WSDL文檔傳送給合法的驗證公司(WS-Trust)。當(dāng)然,驗證公司也將通過第三方認(rèn)證機構(gòu)來核實上市公司的合法性。

  4.驗證公司對收到的XBRL信息實施驗證程序,包括確認(rèn)信息生成過程的可靠性;利用程序?qū)?shù)據(jù)進(jìn)行分析并收集其他證據(jù),以支持財務(wù)報表中的披露的數(shù)據(jù);檢查XBRL代碼的有效性等。然后,驗證公司將XBRL文檔中和財務(wù)報告要素相關(guān)的驗證信息與接收到的XARL分類標(biāo)準(zhǔn)元素進(jìn)行匹配,生成XARL文檔。其中,包含在XARL文檔中的驗證信息可以是針對整個財務(wù)報告或個別財務(wù)報表的,也可以是針對財務(wù)報表中的某個項目的,還可以是對以財務(wù)信息為基礎(chǔ)的公司信息系統(tǒng)和控制系統(tǒng)進(jìn)行的驗證。驗證公司生成的XARL文檔也將被自動核對,并存放于驗證公司的數(shù)據(jù)庫中。

  5.驗證公司通過UDDI界面向公共的UDDI注冊中心公布經(jīng)SOAP編碼的XARL服務(wù)描述(servicedescription),該服務(wù)描述是使用安全令牌加密過的WSDL文檔。

  6.當(dāng)信息用戶需要XARL信息時,需要向公共的UDDI注冊中心發(fā)送經(jīng)安全令牌加密的SOAP服務(wù)請求。注冊中心接受請求后進(jìn)行相應(yīng)搜索,并將搜索到的適當(dāng)?shù)腦ARL服務(wù)描述返回給信息用戶。信息用戶可以據(jù)此向發(fā)布該XARL服務(wù)描述的驗證公司發(fā)送SOAP請求,直接綁定和調(diào)用XARL服務(wù)。在向驗證公司提供從第三方認(rèn)證機構(gòu)獲得的公開密匙,核實用戶的身份之后,用戶最終將獲得附有正確樣式單的XARL文檔。該XARL文檔利用PGP密匙體系(對稱密匙加密和不對稱密匙加密相結(jié)合的加密方法)加密,進(jìn)一步確保財務(wù)信息在傳輸過程中的安全性。

  7.信息用戶可以通過第三方認(rèn)證機構(gòu)來核實驗證公司的合法性。最后,信息用戶根據(jù)PGP加密法用私人密匙即可對XARL文檔解密并使用。用戶完全可以將財務(wù)報表導(dǎo)入到Excel表來計算一些財務(wù)比率,也可以通過格式轉(zhuǎn)換軟件將文檔轉(zhuǎn)換成HTML格式文檔、電子表或數(shù)據(jù)庫。一旦在XARL服務(wù)的需求方與提供方之間建立起一種綁定關(guān)系,Excel中的財務(wù)信息就能夠持續(xù)地更新(WSSecureConversation)。

  有了WS-Policy描述,信息用戶還能核實一些特定的個人安全要求是否得到滿足。另外,WS-Policy、WS-Trust和WS-Privacy能夠用于確保信息已經(jīng)過認(rèn)證,以及使企業(yè)明確信息如何與他人共享。值得特別指出的是,在WSTrust、WS-Authorization、WS-Federation、和WSSecureConversation的共同作用下,網(wǎng)上報告服務(wù)還能夠與其他的網(wǎng)絡(luò)服務(wù)建立起聯(lián)合的信任關(guān)系(甚至與一些可能采用了不同安全技術(shù)支持的計算機系統(tǒng)),這使信息用戶在使用網(wǎng)上報告服務(wù)時,還可以方便地同時使用其它的網(wǎng)絡(luò)服務(wù)(如股票投資服務(wù))。

  如以上流程所述,專門的驗證公司在流程中扮演重要的角色,包括對報告XBRL文檔在內(nèi)的財務(wù)信息進(jìn)行驗證,檢查XBRL代碼的有效性,匹配并生成XARL文檔等等。從現(xiàn)階段以及將來XBRL的發(fā)展來看,會計師事務(wù)所可以飾演專門的驗證公司的角色對外提供XARL服務(wù)。如此,注冊會計師不僅需要對公司財務(wù)報表的合法性、公允性以及會計政策的一貫性進(jìn)行審計,還需要對報告XBRL文檔在內(nèi)的財務(wù)信息進(jìn)行驗證,并據(jù)此提出XARL文檔等服務(wù)。可以說,XBRL的發(fā)展擴大了傳統(tǒng)的驗證業(yè)務(wù)的范圍,審計功能得到了進(jìn)一步的提升。XBRL還將促進(jìn)注冊會計師執(zhí)業(yè)模式的多樣化,使注冊會計師利用網(wǎng)絡(luò)快速及時地獲取和使用信息成為可能。

  本文系國家自然科學(xué)基金資助項目<批準(zhǔn)號:70372024 >的階段性研究成果,作者單位:福州大學(xué)管理學(xué)院。

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - yinshua168.com.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號