會(huì)計(jì)信息系統(tǒng)控制

第八章

會(huì)計(jì)信息系統(tǒng)控制第一節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的平安問(wèn)題一、網(wǎng)絡(luò)平安問(wèn)題網(wǎng)絡(luò)平安性要挾表現(xiàn)黑客襲擊計(jì)算機(jī)犯罪二、基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析系統(tǒng)缺點(diǎn)的風(fēng)險(xiǎn)內(nèi)部人員品德風(fēng)險(xiǎn)系統(tǒng)關(guān)聯(lián)方品德風(fēng)險(xiǎn)社會(huì)品德風(fēng)險(xiǎn)三、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的平安維護(hù)措施不斷完善計(jì)算機(jī)平安立法建立和完善計(jì)算機(jī)技術(shù)控制體系建立完善的單位內(nèi)部控制和管理體系第二節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的技術(shù)控制體系主要關(guān)鍵技術(shù)防火墻技術(shù)信息加密技術(shù)破綻掃描技術(shù)入侵檢測(cè)技術(shù)病毒檢測(cè)與消除技術(shù)第三節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制體系內(nèi)部控制是指企業(yè)為維護(hù)資產(chǎn)平安、保證會(huì)計(jì)記錄的正確性和可靠性、提高運(yùn)營(yíng)管理效率、保證運(yùn)營(yíng)管理政策的執(zhí)行而采取的全部方法和措施。普通控制它是對(duì)會(huì)計(jì)信息系統(tǒng)環(huán)境的控制運(yùn)用控制它是對(duì)系統(tǒng)運(yùn)轉(zhuǎn)過(guò)程的控制基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的運(yùn)用方式獨(dú)立內(nèi)聯(lián)網(wǎng)構(gòu)造的運(yùn)用系統(tǒng)異地內(nèi)聯(lián)網(wǎng)構(gòu)造的運(yùn)用系統(tǒng)適宜于具有異地分支機(jī)構(gòu)的集團(tuán)企業(yè)外聯(lián)網(wǎng)構(gòu)造的運(yùn)用系統(tǒng)適宜于聯(lián)盟型虛擬企業(yè)，所組成的實(shí)體企業(yè)本身能夠具有異地內(nèi)聯(lián)網(wǎng)構(gòu)造一、操作系統(tǒng)控制用戶定義由系統(tǒng)管理員為系統(tǒng)中的每個(gè)用戶設(shè)置一個(gè)平安級(jí)別和身份標(biāo)識(shí)。對(duì)進(jìn)入系統(tǒng)的用戶，系統(tǒng)除進(jìn)展身份和口令判別外，還進(jìn)展平安等級(jí)判別，以保證進(jìn)入系統(tǒng)的用戶具有合法的身份和合法的權(quán)限。日志審計(jì)制度日志是用來(lái)監(jiān)視和記錄系統(tǒng)中有關(guān)平安性活動(dòng)的，包括對(duì)系統(tǒng)運(yùn)轉(zhuǎn)的事件類型、用戶身份、操作時(shí)間、系統(tǒng)參數(shù)和形狀以及系統(tǒng)敏感資源進(jìn)展實(shí)時(shí)監(jiān)視和記錄，并對(duì)日志文件定期進(jìn)展平安檢查和評(píng)價(jià)。存取控制也稱計(jì)算機(jī)資源授權(quán)表制度，是對(duì)系統(tǒng)資源進(jìn)展分類管理的一種制度。自主存取控制它是經(jīng)過(guò)存取控制表方式，由系統(tǒng)管理員定義系統(tǒng)中每個(gè)用戶對(duì)詳細(xì)資源的存取方式。強(qiáng)迫存取方式它是經(jīng)過(guò)對(duì)用戶和資源的分級(jí)、分類管理，強(qiáng)迫限制信息的共享和流動(dòng)，每個(gè)用戶只能訪問(wèn)系統(tǒng)規(guī)定范圍內(nèi)的信息。特權(quán)管理特權(quán)管理是使系統(tǒng)由假設(shè)干個(gè)系統(tǒng)管理員和操作員共同管理系統(tǒng)，使其具有完成其義務(wù)的最少特權(quán)，并相互制約，以提高系統(tǒng)平安可靠性。設(shè)備管理根據(jù)設(shè)備的物理位置、平安管理?xiàng)l件確定詳細(xì)設(shè)備的平安等級(jí)，嚴(yán)厲控制低級(jí)別設(shè)備輸入、處置、輸出高級(jí)別信息的權(quán)益。二、數(shù)據(jù)庫(kù)控制數(shù)據(jù)庫(kù)平安的要挾系統(tǒng)內(nèi)外人員對(duì)數(shù)據(jù)庫(kù)的非法訪問(wèn)由于系統(tǒng)缺點(diǎn)、誤操作或以為破壞呵斥數(shù)據(jù)庫(kù)的物理?yè)p壞措施子方式定義子方式是指全部數(shù)據(jù)資源中面向某一特定用戶或運(yùn)用工程的一個(gè)數(shù)據(jù)子集。在網(wǎng)絡(luò)環(huán)境下，為了限制合法用戶或非法訪問(wèn)者隨便獲取全部數(shù)據(jù)資源，應(yīng)根據(jù)不同的運(yùn)用工程〔功能〕分別定義面向用戶操作的數(shù)據(jù)界面，做到用到什么數(shù)據(jù)，就開(kāi)放什么數(shù)據(jù)。數(shù)據(jù)資源訪問(wèn)授權(quán)制度根據(jù)定義的子方式，明確每一詳細(xì)的用戶對(duì)數(shù)據(jù)資源訪問(wèn)的范圍和內(nèi)容，并進(jìn)一步規(guī)定對(duì)數(shù)據(jù)庫(kù)的查閱、修正、刪除、插入等操作權(quán)限?？山?jīng)過(guò)數(shù)據(jù)資源授權(quán)表方式來(lái)實(shí)現(xiàn)。數(shù)據(jù)備份和恢復(fù)制度備份文件業(yè)務(wù)日志文件用來(lái)記錄系統(tǒng)處置過(guò)程的詳細(xì)步驟、處置內(nèi)容檢查點(diǎn)文件檢查點(diǎn)是指數(shù)據(jù)處置過(guò)程中，作業(yè)內(nèi)容信息能被完好記錄下來(lái)，并可重新啟動(dòng)該作業(yè)的一個(gè)時(shí)間點(diǎn)。三、系統(tǒng)開(kāi)發(fā)控制系統(tǒng)開(kāi)發(fā)控制是一種預(yù)防性控制，目的是確保系統(tǒng)開(kāi)發(fā)過(guò)程及其開(kāi)發(fā)的內(nèi)容符合內(nèi)部控制的要求。措施開(kāi)發(fā)方案控制按企業(yè)再造的要求全面分析和重構(gòu)企業(yè)管理過(guò)程、業(yè)務(wù)過(guò)程、消費(fèi)運(yùn)營(yíng)過(guò)程。開(kāi)發(fā)過(guò)程控制按工程規(guī)范要求開(kāi)發(fā)系統(tǒng)有利于系統(tǒng)的管理與維護(hù)，可以防止因開(kāi)發(fā)維護(hù)人員的變卦而對(duì)系統(tǒng)帶來(lái)的負(fù)面影響。包括開(kāi)發(fā)過(guò)程的規(guī)范化開(kāi)發(fā)工具、開(kāi)發(fā)文檔編制的規(guī)范化和規(guī)范化每個(gè)階段的任務(wù)終了后，要構(gòu)成階段開(kāi)發(fā)報(bào)告，經(jīng)論證審定后才干進(jìn)入下一階段，并作為下一階段的根據(jù)。系統(tǒng)測(cè)試控制由業(yè)務(wù)專家、內(nèi)審人員組成的用戶小組不僅要積極參與系統(tǒng)開(kāi)發(fā)方案的分析設(shè)計(jì)，同時(shí)在系統(tǒng)測(cè)試階段，除了要測(cè)試系統(tǒng)業(yè)務(wù)功能外，還要對(duì)會(huì)計(jì)控制功能的有效性進(jìn)展測(cè)試。四、系統(tǒng)維護(hù)控制日常維護(hù)可經(jīng)過(guò)軟件功能本身完成，其控制可在操作控制中實(shí)現(xiàn)。系統(tǒng)修正包括源程序修正、代碼構(gòu)造修正、數(shù)據(jù)庫(kù)文件構(gòu)造修正可采用系統(tǒng)開(kāi)發(fā)控制的方法，即對(duì)維護(hù)方案、維護(hù)過(guò)程、維護(hù)測(cè)試要參照系統(tǒng)開(kāi)發(fā)控制的方法進(jìn)展嚴(yán)厲控制。五、運(yùn)用控制運(yùn)用控制是指詳細(xì)的運(yùn)用系統(tǒng)中用來(lái)預(yù)防、檢測(cè)和更正錯(cuò)誤，以及處置不法行為的內(nèi)部控制措施。措施輸入控制目的在網(wǎng)絡(luò)環(huán)境下確保數(shù)據(jù)采集的合法性、準(zhǔn)確性和完好性重點(diǎn)對(duì)網(wǎng)上電子數(shù)據(jù)合法性、準(zhǔn)確性和完好性的檢測(cè)控制內(nèi)容包括對(duì)電子數(shù)據(jù)的審查、電子數(shù)據(jù)與電子簽名一致性的檢查等。處置控制目的確保數(shù)據(jù)處置過(guò)程的正確可靠性內(nèi)容除了做好會(huì)計(jì)期間控制、正確性控制、數(shù)據(jù)一致性控制、預(yù)留審計(jì)線索控制等任務(wù)外，重點(diǎn)做好實(shí)時(shí)數(shù)據(jù)備份恢復(fù)任務(wù)。輸出控制目的確保系統(tǒng)信息輸出沒(méi)有被認(rèn)識(shí)、錯(cuò)發(fā)、截留，沒(méi)有被泄露等內(nèi)容包括打印程序控制、分發(fā)控制、廢報(bào)告控制、最終用戶控制等。六、計(jì)算中心控制目的經(jīng)過(guò)對(duì)系統(tǒng)物理環(huán)境及設(shè)備可靠性的控制，以確保系統(tǒng)設(shè)備能實(shí)時(shí)地、延續(xù)地運(yùn)轉(zhuǎn)。困難如何確保系統(tǒng)實(shí)時(shí)運(yùn)轉(zhuǎn)如何防止外界經(jīng)過(guò)網(wǎng)絡(luò)對(duì)計(jì)算中心的要挾計(jì)算中心物理環(huán)境的控制中心平安控制包括中心物理位置、機(jī)房構(gòu)造設(shè)置控制；進(jìn)入機(jī)房控制；電源、防火、防磁、溫度、濕度控制；設(shè)備日常檢測(cè)制度等。群集系統(tǒng)控制所謂群集系統(tǒng)實(shí)踐上是一種針對(duì)網(wǎng)絡(luò)環(huán)境下的多機(jī)熱備份制度，平常各效力器運(yùn)轉(zhuǎn)各自的運(yùn)用工程，并堅(jiān)持系統(tǒng)和數(shù)據(jù)的共享聯(lián)絡(luò)，當(dāng)一臺(tái)效力器發(fā)生缺點(diǎn)時(shí)，群集系統(tǒng)中的另一臺(tái)效力器會(huì)立刻承當(dāng)缺點(diǎn)效力器的任務(wù)，并保證數(shù)據(jù)的延續(xù)性，待效力器缺點(diǎn)排除后自動(dòng)參與群集系統(tǒng)恢復(fù)正常形狀適用范圍對(duì)不延續(xù)運(yùn)轉(zhuǎn)要求很高的運(yùn)用系統(tǒng)七、組織控制計(jì)算機(jī)系統(tǒng)構(gòu)造集中處置方式分布處置方式網(wǎng)絡(luò)系統(tǒng)組織控制措施任務(wù)站設(shè)置控制任務(wù)站是企業(yè)一切部門的計(jì)算機(jī)運(yùn)用中心，根據(jù)各業(yè)務(wù)部門的實(shí)踐需求，各任務(wù)站還可進(jìn)一步建立分布式的計(jì)算機(jī)操作終端。首先應(yīng)對(duì)企業(yè)的組織構(gòu)造、業(yè)務(wù)流程進(jìn)展優(yōu)化設(shè)置，在此根底上分布設(shè)置各級(jí)網(wǎng)絡(luò)任務(wù)站；并經(jīng)過(guò)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)等技術(shù)控制措施實(shí)現(xiàn)對(duì)各任務(wù)站的職責(zé)分工控制。內(nèi)審制度企業(yè)要專門設(shè)置由內(nèi)審人員、風(fēng)險(xiǎn)分析評(píng)價(jià)人員、系統(tǒng)維護(hù)人員組成的內(nèi)審小組，運(yùn)用軟件技術(shù)實(shí)時(shí)監(jiān)控系統(tǒng)運(yùn)轉(zhuǎn)情況，隨時(shí)分析系統(tǒng)運(yùn)轉(zhuǎn)日志文件和各種平安檢測(cè)記錄，及時(shí)發(fā)現(xiàn)系統(tǒng)的平安破綻，并采取相應(yīng)的平安對(duì)策措施。企業(yè)還應(yīng)建立風(fēng)險(xiǎn)評(píng)價(jià)制度，由用戶、內(nèi)審人員、維護(hù)人員、風(fēng)險(xiǎn)分析員等組成的風(fēng)險(xiǎn)評(píng)價(jià)小組應(yīng)定期對(duì)系統(tǒng)環(huán)境、功能進(jìn)展全面的風(fēng)險(xiǎn)評(píng)價(jià)和弱點(diǎn)分析，并據(jù)此完善系統(tǒng)的會(huì)計(jì)控制體系。人事管理控制‘實(shí)行業(yè)務(wù)培訓(xùn)、平安操作考核制度。對(duì)特殊企業(yè)〔如金融企業(yè)〕的重要崗位可實(shí)行輪崗制度等。八、任務(wù)站控制目的不僅要保證其本身的平安，而且要消除經(jīng)過(guò)任務(wù)站對(duì)整個(gè)系統(tǒng)帶來(lái)的平安風(fēng)險(xiǎn)。措施任務(wù)站內(nèi)部控制是互聯(lián)網(wǎng)信息系統(tǒng)內(nèi)部控制的根底內(nèi)容任務(wù)站物理環(huán)境控制操作權(quán)限控制操作規(guī)程控制缺點(diǎn)處置控制任務(wù)站對(duì)整個(gè)系統(tǒng)訪問(wèn)的控制數(shù)據(jù)通訊控制第四節(jié)

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的外部控制體系一、周界控制目的經(jīng)過(guò)對(duì)平安區(qū)域的周界實(shí)施控制來(lái)到達(dá)維護(hù)區(qū)域內(nèi)部系統(tǒng)平安性，是一切防外措施的根底。內(nèi)容設(shè)置外部訪問(wèn)區(qū)域所謂外部訪問(wèn)區(qū)域是系統(tǒng)內(nèi)接待外界〔關(guān)聯(lián)方、社會(huì)公眾〕網(wǎng)上會(huì)計(jì)數(shù)據(jù)訪問(wèn)、與外界進(jìn)展會(huì)計(jì)數(shù)據(jù)交換的邏輯區(qū)域，它是內(nèi)聯(lián)網(wǎng)運(yùn)用系統(tǒng)與外界系統(tǒng)聯(lián)絡(luò)的緩沖區(qū)域。企業(yè)在建立內(nèi)聯(lián)網(wǎng)時(shí)，要對(duì)網(wǎng)絡(luò)的效力功能和拓?fù)錁?gòu)造進(jìn)展詳細(xì)分析，經(jīng)過(guò)公用軟件、硬件、管理措施，實(shí)現(xiàn)會(huì)計(jì)運(yùn)用系統(tǒng)與外部訪問(wèn)區(qū)域之間的嚴(yán)密的數(shù)據(jù)隔離、訪問(wèn)限制。建立防火墻防火墻是指建立在被維護(hù)網(wǎng)絡(luò)周邊的分隔被維護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一種技術(shù)系統(tǒng)。類別外層防火墻用來(lái)限制外界對(duì)主機(jī)操作系統(tǒng)的訪問(wèn)運(yùn)用級(jí)防火墻用邏輯隔離運(yùn)用系統(tǒng)與外部訪問(wèn)區(qū)域之間的聯(lián)絡(luò)限制外界穿過(guò)訪問(wèn)區(qū)域?qū)W(wǎng)絡(luò)運(yùn)用系統(tǒng)效力器，尤其是對(duì)運(yùn)用數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)。建立周界監(jiān)控制度目的經(jīng)過(guò)對(duì)系統(tǒng)日志文件和網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)監(jiān)控和審計(jì)分析，實(shí)時(shí)來(lái)自外部的入侵行為和內(nèi)部用戶的未授權(quán)活動(dòng)，同時(shí)為清查入侵者法律責(zé)任提供線索和證據(jù)。內(nèi)容技術(shù)措施經(jīng)過(guò)一定的平安技術(shù)產(chǎn)品、軟件功能實(shí)施對(duì)周界的實(shí)時(shí)監(jiān)控和情況記錄。管理措施企業(yè)要設(shè)置專門的內(nèi)審小組，擔(dān)任對(duì)系統(tǒng)周界監(jiān)控系統(tǒng)的管理，實(shí)時(shí)檢查記錄資料，及時(shí)發(fā)現(xiàn)和處理問(wèn)題，同時(shí)還要開(kāi)展定期的風(fēng)險(xiǎn)評(píng)價(jià)分析活動(dòng)。二、群眾訪問(wèn)控制網(wǎng)上群眾訪問(wèn)包括電子郵件傳送、網(wǎng)上信息查詢等內(nèi)容。措施郵件系統(tǒng)控制普通宜將郵件系統(tǒng)限定在外部訪問(wèn)區(qū)域的效力器和任務(wù)站上比較平安。網(wǎng)上信息查詢控制普通也應(yīng)限制在系統(tǒng)的外部訪問(wèn)區(qū)域內(nèi)，并且只提供查詢和檢索功能。三、電子商務(wù)控制電子商務(wù)平安首先是一個(gè)復(fù)雜的法律問(wèn)題，其次是一個(gè)復(fù)雜的技術(shù)問(wèn)題。措施電子商務(wù)關(guān)聯(lián)方控制數(shù)據(jù)閱讀型方式企業(yè)經(jīng)過(guò)WWW向外部企業(yè)提供信息和條件檢查功能，外部企業(yè)不能更改數(shù)據(jù)。事務(wù)處置型方式買賣雙方可在網(wǎng)上直接進(jìn)展電子憑證的交換，并更新雙方的事務(wù)處置文件。網(wǎng)上買賣控制網(wǎng)上買賣涉及電子合同的簽署與確認(rèn)、電子憑單的傳送與確認(rèn)、電子貨幣的支付與確認(rèn)以及商品或勞務(wù)的提供等業(yè)務(wù)環(huán)節(jié)；涉及到買賣雙方、銀行、電子貨幣效力公司、認(rèn)證中心等經(jīng)濟(jì)實(shí)體；在企業(yè)內(nèi)部也要涉及到進(jìn)、銷、財(cái)務(wù)等部門。企業(yè)要根據(jù)網(wǎng)上買賣流程，建立嚴(yán)密的網(wǎng)上買賣規(guī)范，包括網(wǎng)上買賣活動(dòng)的授權(quán)、確認(rèn)制度，以及相應(yīng)的電子文件、電子貨幣的接納、簽發(fā)、驗(yàn)證制度等。買賣文件控制買賣文件是在電子商務(wù)活動(dòng)中產(chǎn)生的電子憑單、電子合同等原始買賣資料。包括