第10講安全與風(fēng)險控制

第10講安全與風(fēng)險控制企業(yè)綜合網(wǎng)絡(luò)系統(tǒng)第10講安全與風(fēng)險控制主要內(nèi)容:第一節(jié)會計信息系統(tǒng)安全隱患與風(fēng)險第二節(jié)會計信息系統(tǒng)風(fēng)險控制方法第三節(jié)會計信息系統(tǒng)安全解決方案下一張上一張會計信息系統(tǒng)安全與風(fēng)險控制

第10講安全與風(fēng)險控制一、會計信息系統(tǒng)安全隱患與風(fēng)險安全隱患：是隱藏在系統(tǒng)內(nèi)部，可能會影響系統(tǒng)運行，破壞系統(tǒng)資源 `的系統(tǒng)缺陷。風(fēng)險范圍：指受安全隱患影響的系統(tǒng)。內(nèi)部安全隱患與風(fēng)險:(指來自系統(tǒng)內(nèi)部的安全隱患與風(fēng)險:如軟硬設(shè)備故障\人員操作不當(dāng))外部安全隱患與風(fēng)險(來自系統(tǒng)外部:如惡意的黑客侵入等)下一張上一張第10講安全與風(fēng)險控制二、產(chǎn)生安全隱患與風(fēng)險的因素

一個系統(tǒng)投入運行之后,安全問題就會一直與其相伴，主要有：硬件因素軟件因素人員因素制度因素下一張上一張第10講安全與風(fēng)險控制二、產(chǎn)生安全隱患與風(fēng)險的因素軟件因素

軟件故障是應(yīng)用系統(tǒng)運行過程中的主要安全隱患。

軟件故障一般可分成二類（一）、系統(tǒng)自身固有的安全隱患（二）、外部因素對程序軟件的破壞

下一張上一張第10講安全與風(fēng)險控制二、產(chǎn)生安全隱患與風(fēng)險的因素

軟件故障的三種形式:

運行中的程序非法中斷程序處理結(jié)果與要求不符

程序員寫入非法代碼-----惡意篡改下一張上一張程序質(zhì)量問題第10講安全與風(fēng)險控制二、產(chǎn)生安全隱患與風(fēng)險的因素人員因素操作人員根據(jù)其崗位不同，可以訪問的數(shù)據(jù)內(nèi)容、功能模塊也不同。在會計信息系統(tǒng)中，每一位操作員都必須經(jīng)過授權(quán)才能使用軟件。被授權(quán)的用戶才是合法用戶。其表現(xiàn)形式：（1）內(nèi)部合法用戶越權(quán)操作；（2）外部用戶用一些測試工具等非法獲取賬號。下一張上一張第10講安全與風(fēng)險控制第二節(jié)會計信息系統(tǒng)風(fēng)險控制方法控制風(fēng)險方式：硬件方法軟件方式規(guī)章制度下一張上一張第10講安全與風(fēng)險控制第二節(jié)會計信息系統(tǒng)風(fēng)險控制方法硬件方法 雙機系統(tǒng)（鏡像服務(wù)器） 星型拓撲結(jié)構(gòu)局域網(wǎng) 磁盤冗余陣列

RAID的基本目的是把多個小型廉價的磁盤驅(qū)動器合并成一組陣列來達到大型昂貴的驅(qū)動器所無法達到的性能或冗余性。任何需要使大量數(shù)據(jù)觸手可及的人（如一般的系統(tǒng)管理員）都可以從RAID技術(shù)中受益。

使用RAID的主要原因包括：

加快速度、使用一個虛擬磁盤，增加貯存容量減少磁盤失效帶來的不利影響下一張上一張第10講安全與風(fēng)險控制第二節(jié)會計信息系統(tǒng)風(fēng)險控制方法軟件方法 （1）身份驗證（每合法用戶） （2）數(shù)據(jù)備份（備份方案） （3）查殺病毒 （4）安裝防火墻 （5）信息加密 （6）數(shù)字簽名 （7）會計信息系統(tǒng)審計 （8）系統(tǒng)運行安全日志下一張上一張第10講安全與風(fēng)險控制第二節(jié)會計信息系統(tǒng)風(fēng)險控制方法規(guī)章制度的建立建立依據(jù)：《中華人民共和國會計法》《會計電算化管理辦法》1994年《商品化會計核算軟件評審規(guī)則》1994年《會計核算軟件基本功能規(guī)范》1994年

《會計電算化工作規(guī)范》1996年下一張上一張第10講安全與風(fēng)險控制第二節(jié)會計信息系統(tǒng)風(fēng)險控制方法建立規(guī)章制度的主要：內(nèi)容崗位責(zé)任制度（分工明確、責(zé)任明確、處理方法明確）計算機操作制度（操作流程明確、功能授權(quán)明確、數(shù)據(jù)范圍明確）檔案管理制度（存檔時間明確、存檔地點明確、存檔份數(shù)明確、借閱手續(xù)明確）軟硬件維護制度（零部的管理、軟件系統(tǒng)的保存和升級管理、備份數(shù)據(jù)的管理）下一張上一張第10講安全與風(fēng)險控制備份方案備份內(nèi)容備份方式（完整備份，增量備份，差量備份）備份時間（定期備份）備份數(shù)量（每種方式至少兩份）備份介質(zhì)（永久性、循環(huán)使用）保存地點（異地保存）備份人員返回第10講安全與風(fēng)險控制第三節(jié)會計信息系統(tǒng)安全解決方案單機系統(tǒng)安全解決方案裝機地點系統(tǒng)授權(quán)使用正版軟件不安裝與工作無關(guān)的軟件定期清理系統(tǒng)（殺毒）定期進行數(shù)據(jù)備份個性化桌面管理下一張上一張第10講安全與風(fēng)險控制第三節(jié)會計信息系統(tǒng)安全解決方案局域網(wǎng)系統(tǒng)安全解決方案星型拓撲結(jié)構(gòu)最小特權(quán)原則（為各帳號用戶設(shè)定不同的資源）限制登錄的計算機（限制某用戶只能從網(wǎng)絡(luò)上的某臺計算機上登錄局域網(wǎng)）限制登錄時間自動注銷到期臨時賬號第一次登錄時修改自己的口令限制錯誤口令的次數(shù)加裝備份域控制器（當(dāng)主域控制器發(fā)生故障時，可提升備份域控制器，以恢復(fù)系統(tǒng)的運行）下一張上一張第10講安全與風(fēng)險控制第三節(jié)會計信息系統(tǒng)安全解決方案國際互聯(lián)網(wǎng)系統(tǒng)安全方案互聯(lián)網(wǎng)的三項技術(shù)：Http、Ftp、SmtpHttp（超文本傳輸協(xié)議，主要提供瀏覽服務(wù)，可進行小批量的實時數(shù)據(jù)交換）Ftp（文件傳輸協(xié)議，主要提供大批量數(shù)據(jù)交換）Smtp（簡單郵件傳輸協(xié)議，解決用戶與用戶之間的數(shù)據(jù)交換）下一張上一張第10講安全與風(fēng)險控制國際互聯(lián)網(wǎng)系統(tǒng)接入方式如下： 專線接入（關(guān)鍵部門、大型跨國公司） 主機托管（大型網(wǎng)站、大型公司） 虛擬主機（中小公司、個人網(wǎng)站）第三節(jié)會計信息系統(tǒng)安全解決方案第10講安全與風(fēng)險控制第三節(jié)會計信息系統(tǒng)安全解決方案企業(yè)內(nèi)部網(wǎng)（Intranet）系統(tǒng)安全方案利用Internet技術(shù)、通訊標(biāo)準(zhǔn)和工具，采用TCP/IP協(xié)議，將不同位置的計算機通過通信線路相互聯(lián)接而成，用于管理公司或企業(yè)內(nèi)部信息的計算機網(wǎng)絡(luò)系統(tǒng)。下一張上一張第10講安全與風(fēng)險控制第三節(jié)會計信息系統(tǒng)安全解決方案企業(yè)外部網(wǎng)（Extranet）安全方案利用Internet技術(shù)、通訊標(biāo)準(zhǔn)和工具，采用TCP/IP協(xié)議，將企業(yè)與企業(yè)協(xié)作伙伴的計算機通過通信線路連接在一起，用于管理客戶、供應(yīng)商等外部協(xié)作伙伴信息的計算機網(wǎng)絡(luò)系統(tǒng)。下一張上一張第10講安全與風(fēng)險控制第三節(jié)會計信息系統(tǒng)安全解決方案Extranet信息