會(huì)計(jì)信息系統(tǒng)控制課件

第八章

會(huì)計(jì)信息系統(tǒng)控制第八章

會(huì)計(jì)信息系統(tǒng)控制1第一節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題第一節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題2一、網(wǎng)絡(luò)安全問(wèn)題網(wǎng)絡(luò)安全性威脅表現(xiàn)黑客襲擊計(jì)算機(jī)犯罪一、網(wǎng)絡(luò)安全問(wèn)題網(wǎng)絡(luò)安全性威脅3二、基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析系統(tǒng)故障的風(fēng)險(xiǎn)內(nèi)部人員道德風(fēng)險(xiǎn)系統(tǒng)關(guān)聯(lián)方道德風(fēng)險(xiǎn)社會(huì)道德風(fēng)險(xiǎn)二、基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析系統(tǒng)故障的風(fēng)險(xiǎn)4三、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全保護(hù)措施不斷完善計(jì)算機(jī)安全立法建立和完善計(jì)算機(jī)技術(shù)控制體系建立完善的單位內(nèi)部控制和管理體系三、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全保護(hù)措施不斷完善計(jì)算機(jī)安全立法5第二節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的技術(shù)控制體系第二節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的技術(shù)控制體系6主要關(guān)鍵技術(shù)防火墻技術(shù)信息加密技術(shù)漏洞掃描技術(shù)入侵檢測(cè)技術(shù)病毒檢測(cè)與消除技術(shù)主要關(guān)鍵技術(shù)防火墻技術(shù)7第三節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制體系第三節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制體系8內(nèi)部控制是指企業(yè)為保護(hù)資產(chǎn)安全、保證會(huì)計(jì)記錄的正確性和可靠性、提高經(jīng)營(yíng)管理效率、保障經(jīng)營(yíng)管理政策的執(zhí)行而采取的全部方法和措施。一般控制它是對(duì)會(huì)計(jì)信息系統(tǒng)環(huán)境的控制應(yīng)用控制它是對(duì)系統(tǒng)運(yùn)行過(guò)程的控制基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的應(yīng)用模式獨(dú)立內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)的應(yīng)用系統(tǒng)異地內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)的應(yīng)用系統(tǒng)適合于具有異地分支機(jī)構(gòu)的集團(tuán)企業(yè)外聯(lián)網(wǎng)結(jié)構(gòu)的應(yīng)用系統(tǒng)適合于聯(lián)盟型虛擬企業(yè)，所組成的實(shí)體企業(yè)本身可能具有異地內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)內(nèi)部控制是指企業(yè)為保護(hù)資產(chǎn)安全、保證會(huì)計(jì)記錄的正確性和可靠性9一、操作系統(tǒng)控制用戶定義由系統(tǒng)管理員為系統(tǒng)中的每個(gè)用戶設(shè)置一個(gè)安全級(jí)別和身份標(biāo)識(shí)。對(duì)進(jìn)入系統(tǒng)的用戶，系統(tǒng)除進(jìn)行身份和口令判斷外，還進(jìn)行安全等級(jí)判別，以保證進(jìn)入系統(tǒng)的用戶具有合法的身份和合法的權(quán)限。日志審計(jì)制度日志是用來(lái)監(jiān)視和記錄系統(tǒng)中有關(guān)安全性活動(dòng)的，包括對(duì)系統(tǒng)運(yùn)行的事件類型、用戶身份、操作時(shí)間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進(jìn)行實(shí)時(shí)監(jiān)視和記錄，并對(duì)日志文件定期進(jìn)行安全檢查和評(píng)估。一、操作系統(tǒng)控制用戶定義10存取控制也稱計(jì)算機(jī)資源授權(quán)表制度，是對(duì)系統(tǒng)資源進(jìn)行分類管理的一種制度。自主存取控制它是通過(guò)存取控制表形式，由系統(tǒng)管理員定義系統(tǒng)中每個(gè)用戶對(duì)具體資源的存取方式。強(qiáng)制存取方式它是通過(guò)對(duì)用戶和資源的分級(jí)、分類管理，強(qiáng)制限制信息的共享和流動(dòng)，每個(gè)用戶只能訪問(wèn)系統(tǒng)規(guī)定范圍內(nèi)的信息。特權(quán)管理特權(quán)管理是使系統(tǒng)由若干個(gè)系統(tǒng)管理員和操作員共同管理系統(tǒng)，使其具有完成其任務(wù)的最少特權(quán)，并相互制約，以提高系統(tǒng)安全可靠性。設(shè)備管理根據(jù)設(shè)備的物理位置、安全管理?xiàng)l件確定具體設(shè)備的安全等級(jí)，嚴(yán)格控制低級(jí)別設(shè)備輸入、處理、輸出高級(jí)別信息的權(quán)利。存取控制11二、數(shù)據(jù)庫(kù)控制數(shù)據(jù)庫(kù)安全的威脅系統(tǒng)內(nèi)外人員對(duì)數(shù)據(jù)庫(kù)的非法訪問(wèn)由于系統(tǒng)故障、誤操作或認(rèn)為破壞造成數(shù)據(jù)庫(kù)的物理?yè)p壞措施子模式定義子模式是指全部數(shù)據(jù)資源中面向某一特定用戶或應(yīng)用項(xiàng)目的一個(gè)數(shù)據(jù)子集。在網(wǎng)絡(luò)環(huán)境下，為了限制合法用戶或非法訪問(wèn)者輕易獲取全部數(shù)據(jù)資源，應(yīng)根據(jù)不同的應(yīng)用項(xiàng)目（功能）分別定義面向用戶操作的數(shù)據(jù)界面，做到用到什么數(shù)據(jù)，就開(kāi)放什么數(shù)據(jù)。二、數(shù)據(jù)庫(kù)控制數(shù)據(jù)庫(kù)安全的威脅12數(shù)據(jù)資源訪問(wèn)授權(quán)制度根據(jù)定義的子模式，明確每一具體的用戶對(duì)數(shù)據(jù)資源訪問(wèn)的范圍和內(nèi)容，并進(jìn)一步規(guī)定對(duì)數(shù)據(jù)庫(kù)的查閱、修改、刪除、插入等操作權(quán)限?？赏ㄟ^(guò)數(shù)據(jù)資源授權(quán)表形式來(lái)實(shí)現(xiàn)。數(shù)據(jù)備份和恢復(fù)制度備份文件業(yè)務(wù)日志文件用來(lái)記錄系統(tǒng)處理過(guò)程的具體步驟、處理內(nèi)容檢查點(diǎn)文件檢查點(diǎn)是指數(shù)據(jù)處理過(guò)程中，作業(yè)內(nèi)容信息能被完整記錄下來(lái)，并可重新啟動(dòng)該作業(yè)的一個(gè)時(shí)間點(diǎn)。數(shù)據(jù)資源訪問(wèn)授權(quán)制度13三、系統(tǒng)開(kāi)發(fā)控制系統(tǒng)開(kāi)發(fā)控制是一種預(yù)防性控制，目的是確保系統(tǒng)開(kāi)發(fā)過(guò)程及其開(kāi)發(fā)的內(nèi)容符合內(nèi)部控制的要求。措施開(kāi)發(fā)方案控制按企業(yè)再造的要求全面分析和重構(gòu)企業(yè)管理過(guò)程、業(yè)務(wù)過(guò)程、生產(chǎn)經(jīng)營(yíng)過(guò)程。三、系統(tǒng)開(kāi)發(fā)控制系統(tǒng)開(kāi)發(fā)控制是一種預(yù)防性控制，目的是確保系統(tǒng)14開(kāi)發(fā)過(guò)程控制按工程規(guī)范要求開(kāi)發(fā)系統(tǒng)有利于系統(tǒng)的管理與維護(hù)，可以避免因開(kāi)發(fā)維護(hù)人員的變更而對(duì)系統(tǒng)帶來(lái)的負(fù)面影響。包括開(kāi)發(fā)過(guò)程的規(guī)范化開(kāi)發(fā)工具、開(kāi)發(fā)文檔編制的標(biāo)準(zhǔn)化和規(guī)范化每個(gè)階段的工作結(jié)束后，要形成階段開(kāi)發(fā)報(bào)告，經(jīng)論證審定后才能進(jìn)入下一階段，并作為下一階段的依據(jù)。系統(tǒng)測(cè)試控制由業(yè)務(wù)專家、內(nèi)審人員組成的用戶小組不僅要積極參與系統(tǒng)開(kāi)發(fā)方案的分析設(shè)計(jì)，同時(shí)在系統(tǒng)測(cè)試階段，除了要測(cè)試系統(tǒng)業(yè)務(wù)功能外，還要對(duì)會(huì)計(jì)控制功能的有效性進(jìn)行測(cè)試。開(kāi)發(fā)過(guò)程控制15四、系統(tǒng)維護(hù)控制日常維護(hù)可通過(guò)軟件功能本身完成，其控制可在操作控制中實(shí)現(xiàn)。系統(tǒng)修改包括源程序修改、代碼結(jié)構(gòu)修改、數(shù)據(jù)庫(kù)文件結(jié)構(gòu)修改可采用系統(tǒng)開(kāi)發(fā)控制的方法，即對(duì)維護(hù)方案、維護(hù)過(guò)程、維護(hù)測(cè)試要參照系統(tǒng)開(kāi)發(fā)控制的方法進(jìn)行嚴(yán)格控制。四、系統(tǒng)維護(hù)控制日常維護(hù)16五、應(yīng)用控制應(yīng)用控制是指具體的應(yīng)用系統(tǒng)中用來(lái)預(yù)防、檢測(cè)和更正錯(cuò)誤，以及處置不法行為的內(nèi)部控制措施。措施輸入控制目的在網(wǎng)絡(luò)環(huán)境下確保數(shù)據(jù)采集的合法性、準(zhǔn)確性和完整性重點(diǎn)對(duì)網(wǎng)上電子數(shù)據(jù)合法性、準(zhǔn)確性和完整性的檢測(cè)控制內(nèi)容包括對(duì)電子數(shù)據(jù)的審查、電子數(shù)據(jù)與電子簽名一致性的檢查等。五、應(yīng)用控制應(yīng)用控制是指具體的應(yīng)用系統(tǒng)中用來(lái)預(yù)防、檢測(cè)和更正17處理控制目的確保數(shù)據(jù)處理過(guò)程的正確可靠性內(nèi)容除了做好會(huì)計(jì)期間控制、正確性控制、數(shù)據(jù)一致性控制、預(yù)留審計(jì)線索控制等工作外，重點(diǎn)做好實(shí)時(shí)數(shù)據(jù)備份恢復(fù)工作。輸出控制目的確保系統(tǒng)信息輸出沒(méi)有被意識(shí)、錯(cuò)發(fā)、截留，秘密沒(méi)有被泄露等內(nèi)容包括打印程序控制、分發(fā)控制、廢報(bào)告控制、最終用戶控制等。處理控制18六、計(jì)算中心控制目的通過(guò)對(duì)系統(tǒng)物理環(huán)境及設(shè)備可靠性的控制，以確保系統(tǒng)設(shè)備能實(shí)時(shí)地、連續(xù)地運(yùn)轉(zhuǎn)。困難如何確保系統(tǒng)實(shí)時(shí)運(yùn)轉(zhuǎn)如何防止外界通過(guò)網(wǎng)絡(luò)對(duì)計(jì)算中心的威脅六、計(jì)算中心控制目的19計(jì)算中心物理環(huán)境的控制中心安全控制包括中心物理位置、機(jī)房結(jié)構(gòu)設(shè)置控制；進(jìn)入機(jī)房控制；電源、防火、防磁、溫度、濕度控制；設(shè)備日常檢測(cè)制度等。群集系統(tǒng)控制所謂群集系統(tǒng)實(shí)際上是一種針對(duì)網(wǎng)絡(luò)環(huán)境下的多機(jī)熱備份制度，平時(shí)各服務(wù)器運(yùn)行各自的應(yīng)用項(xiàng)目，并保持系統(tǒng)和數(shù)據(jù)的共享聯(lián)系，當(dāng)一臺(tái)服務(wù)器發(fā)生故障時(shí)，群集系統(tǒng)中的另一臺(tái)服務(wù)器會(huì)立即承擔(dān)故障服務(wù)器的工作，并保證數(shù)據(jù)的連續(xù)性，待服務(wù)器故障排除后自動(dòng)加入群集系統(tǒng)恢復(fù)正常狀態(tài)適用范圍對(duì)不間斷運(yùn)行要求很高的應(yīng)用系統(tǒng)計(jì)算中心物理環(huán)境的控制20七、組織控制計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)集中處理模式分布處理模式七、組織控制計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)21網(wǎng)絡(luò)系統(tǒng)組織控制措施工作站設(shè)置控制工作站是企業(yè)所有部門的計(jì)算機(jī)應(yīng)用中心，根據(jù)各業(yè)務(wù)部門的實(shí)際需要，各工作站還可進(jìn)一步建立分布式的計(jì)算機(jī)操作終端。首先應(yīng)對(duì)企業(yè)的組織結(jié)構(gòu)、業(yè)務(wù)流程進(jìn)行優(yōu)化設(shè)置，在此基礎(chǔ)上分布設(shè)置各級(jí)網(wǎng)絡(luò)工作站；并通過(guò)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等技術(shù)控制措施實(shí)現(xiàn)對(duì)各工作站的職責(zé)分工控制。網(wǎng)絡(luò)系統(tǒng)組織控制措施22內(nèi)審制度企業(yè)要專門設(shè)置由內(nèi)審人員、風(fēng)險(xiǎn)分析評(píng)估人員、系統(tǒng)維護(hù)人員組成的內(nèi)審小組，運(yùn)用軟件技術(shù)實(shí)時(shí)監(jiān)控系統(tǒng)運(yùn)行情況，隨時(shí)分析系統(tǒng)運(yùn)行日志文件和各種安全檢測(cè)記錄，及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞，并采取相應(yīng)的安全對(duì)策措施。企業(yè)還應(yīng)建立風(fēng)險(xiǎn)評(píng)估制度，由用戶、內(nèi)審人員、維護(hù)人員、風(fēng)險(xiǎn)分析員等組成的風(fēng)險(xiǎn)評(píng)估小組應(yīng)定期對(duì)系統(tǒng)環(huán)境、功能進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和弱點(diǎn)分析，并據(jù)此完善系統(tǒng)的會(huì)計(jì)控制體系。人事管理控制‘實(shí)行業(yè)務(wù)培訓(xùn)、安全操作考核制度。對(duì)特殊企業(yè)（如金融企業(yè)）的重要崗位可實(shí)行輪崗制度等。內(nèi)審制度23八、工作站控制目的不僅要保證其自身的安全，而且要消除通過(guò)工作站對(duì)整個(gè)系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)。措施工作站內(nèi)部控制是互聯(lián)網(wǎng)信息系統(tǒng)內(nèi)部控制的基礎(chǔ)內(nèi)容工作站物理環(huán)境控制操作權(quán)限控制操作規(guī)程控制故障處理控制工作站對(duì)整個(gè)系統(tǒng)訪問(wèn)的控制數(shù)據(jù)通訊控制八、工作站控制目的24第四節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的外部控制體系第四節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的外部控制體系25一、周界控制目的通過(guò)對(duì)安全區(qū)域的周界實(shí)施控制來(lái)達(dá)到保護(hù)區(qū)域內(nèi)部系統(tǒng)安全性，是一切防外措施的基礎(chǔ)。內(nèi)容設(shè)置外部訪問(wèn)區(qū)域所謂外部訪問(wèn)區(qū)域是系統(tǒng)內(nèi)接待外界（關(guān)聯(lián)方、社會(huì)公眾）網(wǎng)上會(huì)計(jì)數(shù)據(jù)訪問(wèn)、與外界進(jìn)行會(huì)計(jì)數(shù)據(jù)交換的邏輯區(qū)域，它是內(nèi)聯(lián)網(wǎng)應(yīng)用系統(tǒng)與外界系統(tǒng)聯(lián)系的緩沖區(qū)域。企業(yè)在建立內(nèi)聯(lián)網(wǎng)時(shí)，要對(duì)網(wǎng)絡(luò)的服務(wù)功能和拓?fù)浣Y(jié)構(gòu)進(jìn)行詳細(xì)分析，通過(guò)專用軟件、硬件、管理措施，實(shí)現(xiàn)會(huì)計(jì)應(yīng)用系統(tǒng)與外部訪問(wèn)區(qū)域之間的嚴(yán)密的數(shù)據(jù)隔離、訪問(wèn)限制。一、周界控制目的26建立防火墻防火墻是指建立在被保護(hù)網(wǎng)絡(luò)周邊的分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一種技術(shù)系統(tǒng)。類別外層防火墻用來(lái)限制外界對(duì)主機(jī)操作系統(tǒng)的訪問(wèn)應(yīng)用級(jí)防火墻用邏輯隔離應(yīng)用系統(tǒng)與外部訪問(wèn)區(qū)域之間的聯(lián)系限制外界穿過(guò)訪問(wèn)區(qū)域?qū)W(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù)器，尤其是對(duì)應(yīng)用數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)。建立周界監(jiān)控制度目的通過(guò)對(duì)系統(tǒng)日志文件和網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)監(jiān)控和審計(jì)分析，實(shí)時(shí)來(lái)自外部的入侵行為和內(nèi)部用戶的未授權(quán)活動(dòng)，同時(shí)為追究入侵者法律責(zé)任提供線索和證據(jù)。內(nèi)容技術(shù)措施通過(guò)一定的安全技術(shù)產(chǎn)品、軟件功能實(shí)施對(duì)周界的實(shí)時(shí)監(jiān)控和情況記錄。管理措施企業(yè)要設(shè)置專門的內(nèi)審小組，負(fù)責(zé)對(duì)系統(tǒng)周界監(jiān)控系統(tǒng)的管理，實(shí)時(shí)檢查記錄資料，及時(shí)發(fā)現(xiàn)和解決問(wèn)題，同時(shí)還要開(kāi)展定期的風(fēng)險(xiǎn)評(píng)估分析活動(dòng)。建立防火墻27二、大眾訪問(wèn)控制網(wǎng)上大眾訪問(wèn)包括電子郵件傳遞、網(wǎng)上信息查詢等內(nèi)容。措施郵件系統(tǒng)控制一般宜將郵件系統(tǒng)限定在外部訪問(wèn)區(qū)域的服務(wù)器和工作站上比較安全。網(wǎng)上信息查詢控制一般也應(yīng)限制在系統(tǒng)的外部訪問(wèn)區(qū)域內(nèi)，并且只提供查詢和檢索功能。二、大眾訪問(wèn)控制網(wǎng)上大眾訪問(wèn)包括電子郵件傳遞、網(wǎng)上信息查詢等28三、電子商務(wù)控制三、電子商務(wù)控制29網(wǎng)上交易控制網(wǎng)上交易涉及電子合同的簽訂與確認(rèn)、電子憑單的傳遞與確認(rèn)、電子貨幣的支付與確認(rèn)以及商品或勞務(wù)的提供等業(yè)務(wù)環(huán)節(jié)；涉及到交易雙方、銀行、電子貨幣服務(wù)公司、認(rèn)證中心等經(jīng)濟(jì)實(shí)體；在企業(yè)內(nèi)部也要涉及到進(jìn)、銷、財(cái)務(wù)等部門。企業(yè)要根據(jù)網(wǎng)上交易流程，建立嚴(yán)密的網(wǎng)上交易規(guī)范，包括網(wǎng)上交易活動(dòng)的授權(quán)、確認(rèn)制度，以及相應(yīng)的電子文件、電子貨幣的接收、簽發(fā)、驗(yàn)證制度等。交易文件控制交易文件是在電子商務(wù)活動(dòng)中產(chǎn)生的電子憑單、電子合同等原始交易材料。包括備份制度、不能刪除和修改制度等措施。交易日志控制交易日志用來(lái)自動(dòng)記錄電子商務(wù)每個(gè)步驟的交易時(shí)間和內(nèi)容。網(wǎng)上交易控制30四、遠(yuǎn)程處理控制措施分支系統(tǒng)安全系統(tǒng)模式設(shè)計(jì)分支系統(tǒng)是企業(yè)在異地具有獨(dú)立內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)的會(huì)計(jì)信息系統(tǒng)。要實(shí)現(xiàn)母系統(tǒng)與分支系統(tǒng)之間的遠(yuǎn)程處理，尤其是遠(yuǎn)程實(shí)時(shí)處理，首先必須解決會(huì)計(jì)數(shù)據(jù)借口的安全問(wèn)題。數(shù)據(jù)通信控制遠(yuǎn)程處理規(guī)程控制操作權(quán)限控制內(nèi)容授權(quán)控制處理程序控制通道及兩端服務(wù)器安全控制返回四、遠(yuǎn)程處理控制措施返回31第八章

會(huì)計(jì)信息系統(tǒng)控制第八章

會(huì)計(jì)信息系統(tǒng)控制32第一節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題第一節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題33一、網(wǎng)絡(luò)安全問(wèn)題網(wǎng)絡(luò)安全性威脅表現(xiàn)黑客襲擊計(jì)算機(jī)犯罪一、網(wǎng)絡(luò)安全問(wèn)題網(wǎng)絡(luò)安全性威脅34二、基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析系統(tǒng)故障的風(fēng)險(xiǎn)內(nèi)部人員道德風(fēng)險(xiǎn)系統(tǒng)關(guān)聯(lián)方道德風(fēng)險(xiǎn)社會(huì)道德風(fēng)險(xiǎn)二、基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析系統(tǒng)故障的風(fēng)險(xiǎn)35三、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全保護(hù)措施不斷完善計(jì)算機(jī)安全立法建立和完善計(jì)算機(jī)技術(shù)控制體系建立完善的單位內(nèi)部控制和管理體系三、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全保護(hù)措施不斷完善計(jì)算機(jī)安全立法36第二節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的技術(shù)控制體系第二節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的技術(shù)控制體系37主要關(guān)鍵技術(shù)防火墻技術(shù)信息加密技術(shù)漏洞掃描技術(shù)入侵檢測(cè)技術(shù)病毒檢測(cè)與消除技術(shù)主要關(guān)鍵技術(shù)防火墻技術(shù)38第三節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制體系第三節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制體系39內(nèi)部控制是指企業(yè)為保護(hù)資產(chǎn)安全、保證會(huì)計(jì)記錄的正確性和可靠性、提高經(jīng)營(yíng)管理效率、保障經(jīng)營(yíng)管理政策的執(zhí)行而采取的全部方法和措施。一般控制它是對(duì)會(huì)計(jì)信息系統(tǒng)環(huán)境的控制應(yīng)用控制它是對(duì)系統(tǒng)運(yùn)行過(guò)程的控制基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的應(yīng)用模式獨(dú)立內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)的應(yīng)用系統(tǒng)異地內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)的應(yīng)用系統(tǒng)適合于具有異地分支機(jī)構(gòu)的集團(tuán)企業(yè)外聯(lián)網(wǎng)結(jié)構(gòu)的應(yīng)用系統(tǒng)適合于聯(lián)盟型虛擬企業(yè)，所組成的實(shí)體企業(yè)本身可能具有異地內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)內(nèi)部控制是指企業(yè)為保護(hù)資產(chǎn)安全、保證會(huì)計(jì)記錄的正確性和可靠性40一、操作系統(tǒng)控制用戶定義由系統(tǒng)管理員為系統(tǒng)中的每個(gè)用戶設(shè)置一個(gè)安全級(jí)別和身份標(biāo)識(shí)。對(duì)進(jìn)入系統(tǒng)的用戶，系統(tǒng)除進(jìn)行身份和口令判斷外，還進(jìn)行安全等級(jí)判別，以保證進(jìn)入系統(tǒng)的用戶具有合法的身份和合法的權(quán)限。日志審計(jì)制度日志是用來(lái)監(jiān)視和記錄系統(tǒng)中有關(guān)安全性活動(dòng)的，包括對(duì)系統(tǒng)運(yùn)行的事件類型、用戶身份、操作時(shí)間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進(jìn)行實(shí)時(shí)監(jiān)視和記錄，并對(duì)日志文件定期進(jìn)行安全檢查和評(píng)估。一、操作系統(tǒng)控制用戶定義41存取控制也稱計(jì)算機(jī)資源授權(quán)表制度，是對(duì)系統(tǒng)資源進(jìn)行分類管理的一種制度。自主存取控制它是通過(guò)存取控制表形式，由系統(tǒng)管理員定義系統(tǒng)中每個(gè)用戶對(duì)具體資源的存取方式。強(qiáng)制存取方式它是通過(guò)對(duì)用戶和資源的分級(jí)、分類管理，強(qiáng)制限制信息的共享和流動(dòng)，每個(gè)用戶只能訪問(wèn)系統(tǒng)規(guī)定范圍內(nèi)的信息。特權(quán)管理特權(quán)管理是使系統(tǒng)由若干個(gè)系統(tǒng)管理員和操作員共同管理系統(tǒng)，使其具有完成其任務(wù)的最少特權(quán)，并相互制約，以提高系統(tǒng)安全可靠性。設(shè)備管理根據(jù)設(shè)備的物理位置、安全管理?xiàng)l件確定具體設(shè)備的安全等級(jí)，嚴(yán)格控制低級(jí)別設(shè)備輸入、處理、輸出高級(jí)別信息的權(quán)利。存取控制42二、數(shù)據(jù)庫(kù)控制數(shù)據(jù)庫(kù)安全的威脅系統(tǒng)內(nèi)外人員對(duì)數(shù)據(jù)庫(kù)的非法訪問(wèn)由于系統(tǒng)故障、誤操作或認(rèn)為破壞造成數(shù)據(jù)庫(kù)的物理?yè)p壞措施子模式定義子模式是指全部數(shù)據(jù)資源中面向某一特定用戶或應(yīng)用項(xiàng)目的一個(gè)數(shù)據(jù)子集。在網(wǎng)絡(luò)環(huán)境下，為了限制合法用戶或非法訪問(wèn)者輕易獲取全部數(shù)據(jù)資源，應(yīng)根據(jù)不同的應(yīng)用項(xiàng)目（功能）分別定義面向用戶操作的數(shù)據(jù)界面，做到用到什么數(shù)據(jù)，就開(kāi)放什么數(shù)據(jù)。二、數(shù)據(jù)庫(kù)控制數(shù)據(jù)庫(kù)安全的威脅43數(shù)據(jù)資源訪問(wèn)授權(quán)制度根據(jù)定義的子模式，明確每一具體的用戶對(duì)數(shù)據(jù)資源訪問(wèn)的范圍和內(nèi)容，并進(jìn)一步規(guī)定對(duì)數(shù)據(jù)庫(kù)的查閱、修改、刪除、插入等操作權(quán)限?？赏ㄟ^(guò)數(shù)據(jù)資源授權(quán)表形式來(lái)實(shí)現(xiàn)。數(shù)據(jù)備份和恢復(fù)制度備份文件業(yè)務(wù)日志文件用來(lái)記錄系統(tǒng)處理過(guò)程的具體步驟、處理內(nèi)容檢查點(diǎn)文件檢查點(diǎn)是指數(shù)據(jù)處理過(guò)程中，作業(yè)內(nèi)容信息能被完整記錄下來(lái)，并可重新啟動(dòng)該作業(yè)的一個(gè)時(shí)間點(diǎn)。數(shù)據(jù)資源訪問(wèn)授權(quán)制度44三、系統(tǒng)開(kāi)發(fā)控制系統(tǒng)開(kāi)發(fā)控制是一種預(yù)防性控制，目的是確保系統(tǒng)開(kāi)發(fā)過(guò)程及其開(kāi)發(fā)的內(nèi)容符合內(nèi)部控制的要求。措施開(kāi)發(fā)方案控制按企業(yè)再造的要求全面分析和重構(gòu)企業(yè)管理過(guò)程、業(yè)務(wù)過(guò)程、生產(chǎn)經(jīng)營(yíng)過(guò)程。三、系統(tǒng)開(kāi)發(fā)控制系統(tǒng)開(kāi)發(fā)控制是一種預(yù)防性控制，目的是確保系統(tǒng)45開(kāi)發(fā)過(guò)程控制按工程規(guī)范要求開(kāi)發(fā)系統(tǒng)有利于系統(tǒng)的管理與維護(hù)，可以避免因開(kāi)發(fā)維護(hù)人員的變更而對(duì)系統(tǒng)帶來(lái)的負(fù)面影響。包括開(kāi)發(fā)過(guò)程的規(guī)范化開(kāi)發(fā)工具、開(kāi)發(fā)文檔編制的標(biāo)準(zhǔn)化和規(guī)范化每個(gè)階段的工作結(jié)束后，要形成階段開(kāi)發(fā)報(bào)告，經(jīng)論證審定后才能進(jìn)入下一階段，并作為下一階段的依據(jù)。系統(tǒng)測(cè)試控制由業(yè)務(wù)專家、內(nèi)審人員組成的用戶小組不僅要積極參與系統(tǒng)開(kāi)發(fā)方案的分析設(shè)計(jì)，同時(shí)在系統(tǒng)測(cè)試階段，除了要測(cè)試系統(tǒng)業(yè)務(wù)功能外，還要對(duì)會(huì)計(jì)控制功能的有效性進(jìn)行測(cè)試。開(kāi)發(fā)過(guò)程控制46四、系統(tǒng)維護(hù)控制日常維護(hù)可通過(guò)軟件功能本身完成，其控制可在操作控制中實(shí)現(xiàn)。系統(tǒng)修改包括源程序修改、代碼結(jié)構(gòu)修改、數(shù)據(jù)庫(kù)文件結(jié)構(gòu)修改可采用系統(tǒng)開(kāi)發(fā)控制的方法，即對(duì)維護(hù)方案、維護(hù)過(guò)程、維護(hù)測(cè)試要參照系統(tǒng)開(kāi)發(fā)控制的方法進(jìn)行嚴(yán)格控制。四、系統(tǒng)維護(hù)控制日常維護(hù)47五、應(yīng)用控制應(yīng)用控制是指具體的應(yīng)用系統(tǒng)中用來(lái)預(yù)防、檢測(cè)和更正錯(cuò)誤，以及處置不法行為的內(nèi)部控制措施。措施輸入控制目的在網(wǎng)絡(luò)環(huán)境下確保數(shù)據(jù)采集的合法性、準(zhǔn)確性和完整性重點(diǎn)對(duì)網(wǎng)上電子數(shù)據(jù)合法性、準(zhǔn)確性和完整性的檢測(cè)控制內(nèi)容包括對(duì)電子數(shù)據(jù)的審查、電子數(shù)據(jù)與電子簽名一致性的檢查等。五、應(yīng)用控制應(yīng)用控制是指具體的應(yīng)用系統(tǒng)中用來(lái)預(yù)防、檢測(cè)和更正48處理控制目的確保數(shù)據(jù)處理過(guò)程的正確可靠性內(nèi)容除了做好會(huì)計(jì)期間控制、正確性控制、數(shù)據(jù)一致性控制、預(yù)留審計(jì)線索控制等工作外，重點(diǎn)做好實(shí)時(shí)數(shù)據(jù)備份恢復(fù)工作。輸出控制目的確保系統(tǒng)信息輸出沒(méi)有被意識(shí)、錯(cuò)發(fā)、截留，秘密沒(méi)有被泄露等內(nèi)容包括打印程序控制、分發(fā)控制、廢報(bào)告控制、最終用戶控制等。處理控制49六、計(jì)算中心控制目的通過(guò)對(duì)系統(tǒng)物理環(huán)境及設(shè)備可靠性的控制，以確保系統(tǒng)設(shè)備能實(shí)時(shí)地、連續(xù)地運(yùn)轉(zhuǎn)。困難如何確保系統(tǒng)實(shí)時(shí)運(yùn)轉(zhuǎn)如何防止外界通過(guò)網(wǎng)絡(luò)對(duì)計(jì)算中心的威脅六、計(jì)算中心控制目的50計(jì)算中心物理環(huán)境的控制中心安全控制包括中心物理位置、機(jī)房結(jié)構(gòu)設(shè)置控制；進(jìn)入機(jī)房控制；電源、防火、防磁、溫度、濕度控制；設(shè)備日常檢測(cè)制度等。群集系統(tǒng)控制所謂群集系統(tǒng)實(shí)際上是一種針對(duì)網(wǎng)絡(luò)環(huán)境下的多機(jī)熱備份制度，平時(shí)各服務(wù)器運(yùn)行各自的應(yīng)用項(xiàng)目，并保持系統(tǒng)和數(shù)據(jù)的共享聯(lián)系，當(dāng)一臺(tái)服務(wù)器發(fā)生故障時(shí)，群集系統(tǒng)中的另一臺(tái)服務(wù)器會(huì)立即承擔(dān)故障服務(wù)器的工作，并保證數(shù)據(jù)的連續(xù)性，待服務(wù)器故障排除后自動(dòng)加入群集系統(tǒng)恢復(fù)正常狀態(tài)適用范圍對(duì)不間斷運(yùn)行要求很高的應(yīng)用系統(tǒng)計(jì)算中心物理環(huán)境的控制51七、組織控制計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)集中處理模式分布處理模式七、組織控制計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)52網(wǎng)絡(luò)系統(tǒng)組織控制措施工作站設(shè)置控制工作站是企業(yè)所有部門的計(jì)算機(jī)應(yīng)用中心，根據(jù)各業(yè)務(wù)部門的實(shí)際需要，各工作站還可進(jìn)一步建立分布式的計(jì)算機(jī)操作終端。首先應(yīng)對(duì)企業(yè)的組織結(jié)構(gòu)、業(yè)務(wù)流程進(jìn)行優(yōu)化設(shè)置，在此基礎(chǔ)上分布設(shè)置各級(jí)網(wǎng)絡(luò)工作站；并通過(guò)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等技術(shù)控制措施實(shí)現(xiàn)對(duì)各工作站的職責(zé)分工控制。網(wǎng)絡(luò)系統(tǒng)組織控制措施53內(nèi)審制度企業(yè)要專門設(shè)置由內(nèi)審人員、風(fēng)險(xiǎn)分析評(píng)估人員、系統(tǒng)維護(hù)人員組成的內(nèi)審小組，運(yùn)用軟件技術(shù)實(shí)時(shí)監(jiān)控系統(tǒng)運(yùn)行情況，隨時(shí)分析系統(tǒng)運(yùn)行日志文件和各種安全檢測(cè)記錄，及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞，并采取相應(yīng)的安全對(duì)策措施。企業(yè)還應(yīng)建立風(fēng)險(xiǎn)評(píng)估制度，由用戶、內(nèi)審人員、維護(hù)人員、風(fēng)險(xiǎn)分析員等組成的風(fēng)險(xiǎn)評(píng)估小組應(yīng)定期對(duì)系統(tǒng)環(huán)境、功能進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和弱點(diǎn)分析，并據(jù)此完善系統(tǒng)的會(huì)計(jì)控制體系。人事管理控制‘實(shí)行業(yè)務(wù)培訓(xùn)、安全操作考核制度。對(duì)特殊企業(yè)（如金融企業(yè)）的重要崗位可實(shí)行輪崗制度等。內(nèi)審制度54八、工作站控制目的不僅要保證其自身的安全，而且要消除通過(guò)工作站對(duì)整個(gè)系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)。措施工作站內(nèi)部控制是互聯(lián)網(wǎng)信息系統(tǒng)內(nèi)部控制的基礎(chǔ)內(nèi)容工作站物理環(huán)境控制操作權(quán)限控制操作規(guī)程控制故障處理控制工作站對(duì)整個(gè)系統(tǒng)訪問(wèn)的控制數(shù)據(jù)通訊控制八、工作站控制目的55第四節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的外部控制體系第四節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的外部控制體系56一、周界控制目的通過(guò)對(duì)安全區(qū)域的周界實(shí)施控制來(lái)達(dá)到保護(hù)區(qū)域內(nèi)部系統(tǒng)安全性，是一切防外措施的基礎(chǔ)。內(nèi)容設(shè)置外部訪問(wèn)區(qū)域所謂外部訪問(wèn)區(qū)域是系統(tǒng)內(nèi)接待外界（關(guān)聯(lián)方、社會(huì)公眾）網(wǎng)上會(huì)計(jì)數(shù)據(jù)訪問(wèn)、與外界進(jìn)行會(huì)計(jì)數(shù)據(jù)交換的邏輯區(qū)域，它是內(nèi)聯(lián)網(wǎng)應(yīng)用系統(tǒng)與外界系統(tǒng)聯(lián)系的緩沖區(qū)域。企業(yè)在建立內(nèi)聯(lián)網(wǎng)時(shí)，要對(duì)網(wǎng)絡(luò)的服務(wù)功能和拓?fù)浣Y(jié)構(gòu)進(jìn)行詳細(xì)分析，通過(guò)專用軟件、硬件、管理措施，實(shí)現(xiàn)會(huì)計(jì)應(yīng)用系統(tǒng)與外部訪問(wèn)區(qū)域之間的嚴(yán)密的數(shù)據(jù)隔離、訪問(wèn)限制。一、周界控制目的57建立防火墻防火墻是指建立在被保護(hù)網(wǎng)絡(luò)周邊的分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一種技術(shù)系統(tǒng)。類別外層防火墻用來(lái)