【中华财税网北京10/22/2004信息】　一、问题的提出　 　　随着计算机技术的飞速发展和企业管理水平的提高，财务软件应用更加广泛，随 之而来的是会计领域计算机犯罪案件也呈上升趋势，给国家财产造成了巨大的损失， 因此必须加强会计电算化的安全监控，切实防范会计风险。防范风险只有知道本身业 务的安全隐患所在，才能制定出相应的防范措施。作为中国财务软件最大供应商之一 的用友以其先进的管理思想、优秀的软件产品、出色的客户服务赢得了广大客户的青 睐，用友财务软件市场占有率非常高。但由于用友财务软件（Ｖ８．１１）的系统管 理员一Ａｄｍｉｎ密码保密存在一个小小的失误，导致潜伏着一个巨大的安全隐患。　 　　二、用友软件操作人员密码的加密原理　 　　密码存储方式有数据库、ＩＮＩ文件、注册表三种，用友采用的是注册表法和数 据库相结合的方式。声ｃ：＼ｓｙｓｔｅｍ＼ｕｆｓｙｓｔｅｍ下有个 ｕｆｓｙｓｔｅｍ．ｍｄｂ数据库，其中的ｕａ．ｕｓｅｒ表存储了Ａｄｍｉｎ和所 设置的操作人员的密码；在注册表ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ Ｓｏｆｔｗａｒｅ＼Ｇｒｏｕｎｄｓｏｆｔ＼Ａｄｍｉｎ下ＳａｖｅＶａｌｕｅｌ子 键和ＳａｖｅＶａｌｕｅ２子键的键值就是Ａｄｍｉｎ的密码。当Ａｄｍｉｎ设置了 密码后（如果不设Ａｄｍｉｎ密码可直接打开ｕｆｓｙｓｔｅｍ．ｍｄｂ数据库，危 险是显而易见的），系统自动给ｕｆｓｙｓｔｅｍ．ｍｄｂ数据库加上密码， ＳａｖｅＶａｌｕｅｌ子键对应的是打开开ｕｆｓｙｓｔｅｍ．ｍｄｂ数据库的密码， ＳａｖｅＶａｌｕｅ２子键对应的是Ａｄｍｉｎ注册密码，与ｕａ．ｕｓｅｒ表中的 ｃｐａｓｓｗｏｒｄ值相同。但由于设置密码时并没有分别设置，所以这三个值一般 是一样的。从理论上讲，这种保密机制是安全的，但由于在注册表的键值没有加密， 安全隐患就出现了，得到了Ａｄｍｉｎ的密码，也就得到了所有操作人员的密码。学 生在上机练习时，总是随便设置Ａｄｍｉｎ的密码，导致了很多麻烦，于是笔者就此 原理编制了一个程序，可以直接读出和修改Ａｄｍｉｎ的密码。由此可知得到 Ａｄｍｉｎ的密码真是太轻松了（现在有很多网站也可以查到Ａｄｍｉｎ的密码破解 法）。　 　　三、危害　 　　电算化系统的内部工作人员为了达到窃取或泄露商业秘密、非法转移资金、掩盖 各种舞弊行为等非法目的，会千方百计寻找各种各样的方法来实现。随着工作人员的 计算机知识不断积累和各种应用软件的使用，注册表的神秘面纱已被揭去，找到注册 表中Ａｄｍｉｎ的密码已经不是件很难的事情了。这样Ａｄｍｉｎ和操作人员的密码 形同虚设，会计数据根本就没有什么安全可言。系统管理员主要负责整个系统的安全 和维护工作，工作主要包括设置操作人员、引入和输出会计账套等。得到了 Ａｄｍｉｎ的密码，也就意味着控制了整个系统，就可以随心所欲地进行各种操作了。　　　用一个账套可以设置多个账套主管的漏洞，新增一操作人员，并设权限为账套主管， 随时利用账套主管的权限进行非法操作；直接找到原账套主管的密码，以账套主管的 身份进行非法操作；找到某操作人员的密码，进行非法操作以陷害某人；窃取商业秘 密、非法篡改、删除数据等等非法活动。操作完后，再利用Ａｄｍｉｎ的身份清除上 机日志，不留下任何操作痕迹。由此可见，其危害是非常巨大的。　 　　四、对策　 　　针对Ａｄｍｉｎ密码保护的漏洞，应采取积极的对策，把风险控制在最低程度。 采取的主要对策有：　 　　１．建立严密科学的计算机风险控制机制。重点要求操作人员上机必须登记，上 机操作记录本必须有专人保管。加强对账务处理的事前、事中、事后监督。　 　　２．制定严格的操作控制制度。凡是上机操作人员必须经过授权；禁止系统开发 人员接触和操作计算机；熟悉计算机的无关人员不得进入机房等。　 　　３．操作人员和系统维护人员应严格界定其职责，系统开发人员和维护人员不得 担任操作工作。系统维护时必须严格按管理制度制定的程序进行维护。　 　　４．加强系统安全控制。主要控制措施是：建立设备、设施安全措施，保证计算 机机房设备的安全和正常运行；建立数据安全保密措施，及时做好数据备份工作，对 磁性介质存放的数据要存双备份，当系统被破坏或数据被修改时及时恢复；建立档案 保管安全措施，保证会计档案的完整与安全。　 　　５．对于单机版的用户可以锁定注册表，禁止使用ＲＥＧ文件，除了系统管理人 员外任何人员不得操作注册表；对于客户／服务器结构的用户可以通过修改注册表， 禁止远程修改注册表。　 　　６．加强网络的安全，安装网络防火墙，防止网络攻击。　 　　７．与用友公司及时联系寻求解决的办法，及时修改此漏洞。　 　　８．条件允许的话，可以开发一个实用程序给注册表的Ａｄｍｉｎ密码的键值加 密。 希望用友公司在以后的版本中能采用新的密码保护技术，改正一个账套可以设置 多个账套主管的错误。　 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　（４）