會計信息系統(tǒng)控制

第八章

會計信息系統(tǒng)控制第1頁第一節(jié)

網(wǎng)絡(luò)會計信息系統(tǒng)安全問題第2頁一、網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)安全性威脅表現(xiàn)黑客攻擊計算機犯罪第3頁二、基于互聯(lián)網(wǎng)會計信息系統(tǒng)風(fēng)險分析系統(tǒng)故障風(fēng)險內(nèi)部人員道德風(fēng)險系統(tǒng)關(guān)聯(lián)方道德風(fēng)險社會道德風(fēng)險第4頁三、網(wǎng)絡(luò)會計信息系統(tǒng)安全保護辦法不停完善計算機安全立法建立和完善計算機技術(shù)控制體系建立完善單位內(nèi)部控制和管理體系第5頁第二節(jié)

網(wǎng)絡(luò)會計信息系統(tǒng)技術(shù)控制體系第6頁主要關(guān)鍵技術(shù)防火墻技術(shù)信息加密技術(shù)漏洞掃描技術(shù)入侵檢測技術(shù)病毒檢測與消除技術(shù)第7頁第三節(jié)

網(wǎng)絡(luò)會計信息系統(tǒng)內(nèi)部控制體系第8頁內(nèi)部控制是指企業(yè)為保護資產(chǎn)安全、確保會計統(tǒng)計正確性和可靠性、提升經(jīng)營管理效率、保障經(jīng)營管理政策執(zhí)行而采取全部方法和辦法。普通控制它是對會計信息系統(tǒng)環(huán)境控制應(yīng)用控制它是對系統(tǒng)運行過程控制基于互聯(lián)網(wǎng)會計信息系統(tǒng)應(yīng)用模式獨立內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)應(yīng)用系統(tǒng)異地內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)應(yīng)用系統(tǒng)適合于含有異地分支機構(gòu)集團企業(yè)外聯(lián)網(wǎng)結(jié)構(gòu)應(yīng)用系統(tǒng)適合于聯(lián)盟型虛擬企業(yè)，所組成實體企業(yè)本身可能含有異地內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)第9頁一、操作系統(tǒng)控制用戶定義由系統(tǒng)管理員為系統(tǒng)中每個用戶設(shè)置一個安全級別和身份標(biāo)識。對進入系統(tǒng)用戶，系統(tǒng)除進行身份和口令判斷外，還進行安全等級判別，以確保進入系統(tǒng)用戶含有正當(dāng)身份和正當(dāng)權(quán)限。日志審計制度日志是用來監(jiān)視和統(tǒng)計系統(tǒng)中相關(guān)安全性活動，包含對系統(tǒng)運行事件類型、用戶身份、操作時間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進行實時監(jiān)視和統(tǒng)計，并對日志文件定時進行安全檢驗和評定。第10頁存取控制也稱計算機資源授權(quán)表制度，是對系統(tǒng)資源進行分類管理一個制度。自主存取控制它是經(jīng)過存取控制表形式，由系統(tǒng)管理員定義系統(tǒng)中每個用戶對詳細資源存取方式。強制存取方式它是經(jīng)過對用戶和資源分級、分類管理，強制限制信息共享和流動，每個用戶只能訪問系統(tǒng)要求范圍內(nèi)信息。特權(quán)管理特權(quán)管理是使系統(tǒng)由若干個系統(tǒng)管理員和操作員共同管理系統(tǒng)，使其含有完成其任務(wù)最少特權(quán)，并相互制約，以提升系統(tǒng)安全可靠性。設(shè)備管理依據(jù)設(shè)備物理位置、安全管理條件確定詳細設(shè)備安全等級，嚴(yán)格控制低級別設(shè)備輸入、處理、輸出高級別信息權(quán)利。第11頁二、數(shù)據(jù)庫控制數(shù)據(jù)庫安全威脅系統(tǒng)內(nèi)外人員對數(shù)據(jù)庫非法訪問因為系統(tǒng)故障、誤操作或認(rèn)為破壞造成數(shù)據(jù)庫物理損壞辦法子模式定義子模式是指全部數(shù)據(jù)資源中面向某一特定用戶或應(yīng)用項目標(biāo)一個數(shù)據(jù)子集。在網(wǎng)絡(luò)環(huán)境下，為了限制正當(dāng)用戶或非法訪問者輕易獲取全部數(shù)據(jù)資源，應(yīng)依據(jù)不一樣應(yīng)用項目（功效）分別定義面向用戶操作數(shù)據(jù)界面，做到用到什么數(shù)據(jù)，就開放什么數(shù)據(jù)。第12頁數(shù)據(jù)資源訪問授權(quán)制度依據(jù)定義子模式，明確每一詳細用戶對數(shù)據(jù)資源訪問范圍和內(nèi)容，并深入要求對數(shù)據(jù)庫查閱、修改、刪除、插入等操作權(quán)限?？山?jīng)過數(shù)據(jù)資源授權(quán)表形式來實現(xiàn)。數(shù)據(jù)備份和恢復(fù)制度備份文件業(yè)務(wù)日志文件用來統(tǒng)計系統(tǒng)處理過程詳細步驟、處理內(nèi)容檢驗點文件檢驗點是指數(shù)據(jù)處理過程中，作業(yè)內(nèi)容信息能被完整統(tǒng)計下來，并可重新開啟該作業(yè)一個時間點。第13頁三、系統(tǒng)開發(fā)控制系統(tǒng)開發(fā)控制是一個預(yù)防性控制，目標(biāo)是確保系統(tǒng)開發(fā)過程及其開發(fā)內(nèi)容符合內(nèi)部控制要求。辦法開發(fā)方案控制按企業(yè)再造要求全方面分析和重構(gòu)企業(yè)管理過程、業(yè)務(wù)過程、生產(chǎn)經(jīng)營過程。第14頁開發(fā)過程控制按工程規(guī)范要求開發(fā)系統(tǒng)有利于系統(tǒng)管理與維護，能夠防止因開發(fā)維護人員變更而對系統(tǒng)帶來負面影響。包含開發(fā)過程規(guī)范化開發(fā)工具、開發(fā)文檔編制標(biāo)準(zhǔn)化和規(guī)范化每個階段工作結(jié)束后，要形成階段開發(fā)匯報，經(jīng)論證審定后才能進入下一階段，并作為下一階段依據(jù)。系統(tǒng)測試控制由業(yè)務(wù)教授、內(nèi)審人員組成用戶小組不但要主動參加系統(tǒng)開發(fā)方案分析設(shè)計，同時在系統(tǒng)測試階段，除了要測試系統(tǒng)業(yè)務(wù)功效外，還要對會計控制功效有效性進行測試。第15頁四、系統(tǒng)維護控制日常維護可經(jīng)過軟件功效本身完成，其控制可在操作控制中實現(xiàn)。系統(tǒng)修改包含源程序修改、代碼結(jié)構(gòu)修改、數(shù)據(jù)庫文件結(jié)構(gòu)修改可采取系統(tǒng)開發(fā)控制方法，即對維護方案、維護過程、維護測試要參考系統(tǒng)開發(fā)控制方法進行嚴(yán)格控制。第16頁五、應(yīng)用控制應(yīng)用控制是指詳細應(yīng)用系統(tǒng)中用來預(yù)防、檢測和更正錯誤，以及處置不法行為內(nèi)部控制辦法。辦法輸入控制目標(biāo)在網(wǎng)絡(luò)環(huán)境下確保數(shù)據(jù)采集正當(dāng)性、準(zhǔn)確性和完整性重點對網(wǎng)上電子數(shù)據(jù)正當(dāng)性、準(zhǔn)確性和完整性檢測控制內(nèi)容包含對電子數(shù)據(jù)審查、電子數(shù)據(jù)與電子署名一致性檢驗等。第17頁處理控制目標(biāo)確保數(shù)據(jù)處理過程正確可靠性內(nèi)容除了做好會計期間控制、正確性控制、數(shù)據(jù)一致性控制、預(yù)留審計線索控制等工作外，重點做好實時數(shù)據(jù)備份恢復(fù)工作。輸出控制目標(biāo)確保系統(tǒng)信息輸出沒有被意識、錯發(fā)、截留，秘密沒有被泄露等內(nèi)容包含打印程序控制、分發(fā)控制、廢匯報控制、最終用戶控制等。第18頁六、計算中心控制目標(biāo)經(jīng)過對系統(tǒng)物理環(huán)境及設(shè)備可靠性控制，以確保系統(tǒng)設(shè)備能實時地、連續(xù)地運轉(zhuǎn)。困難怎樣確保系統(tǒng)實時運轉(zhuǎn)怎樣預(yù)防外界經(jīng)過網(wǎng)絡(luò)對計算中心威脅第19頁計算中心物理環(huán)境控制中心安全控制包含中心物理位置、機房結(jié)構(gòu)設(shè)置控制；進入機房控制；電源、防火、防磁、溫度、濕度控制；設(shè)備日常檢測制度等。群集系統(tǒng)控制所謂群集系統(tǒng)實際上是一個針對網(wǎng)絡(luò)環(huán)境下多機熱備份制度，平時各服務(wù)器運行各自應(yīng)用項目，并保持系統(tǒng)和數(shù)據(jù)共享聯(lián)絡(luò)，當(dāng)一臺服務(wù)器發(fā)生故障時，群集系統(tǒng)中另一臺服務(wù)器會馬上負擔(dān)故障服務(wù)器工作，并確保數(shù)據(jù)連續(xù)性，待服務(wù)器故障排除后自動加入群集系統(tǒng)恢復(fù)正常狀態(tài)適用范圍對不間斷運行要求很高應(yīng)用系統(tǒng)第20頁七、組織控制計算機系統(tǒng)結(jié)構(gòu)集中處理模式分布處理模式第21頁網(wǎng)絡(luò)系統(tǒng)組織控制辦法工作站設(shè)置控制工作站是企業(yè)全部部門計算機應(yīng)用中心，依據(jù)各業(yè)務(wù)部門實際需要，各工作站還可深入建立分布式計算機操作終端。首先應(yīng)對企業(yè)組織結(jié)構(gòu)、業(yè)務(wù)流程進行優(yōu)化設(shè)置，在此基礎(chǔ)上分布設(shè)置各級網(wǎng)絡(luò)工作站；并經(jīng)過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等技術(shù)控制辦法實現(xiàn)對各工作站職責(zé)分工控制。第22頁內(nèi)審制度企業(yè)要專門設(shè)置由內(nèi)審人員、風(fēng)險分析評定人員、系統(tǒng)維護人員組成內(nèi)審小組，利用軟件技術(shù)實時監(jiān)控系統(tǒng)運行情況，隨時分析系統(tǒng)運行日志文件和各種安全檢測統(tǒng)計，及時發(fā)覺系統(tǒng)安全漏洞，并采取對應(yīng)安全對策辦法。企業(yè)還應(yīng)建立風(fēng)險評定制度，由用戶、內(nèi)審人員、維護人員、風(fēng)險分析員等組成風(fēng)險評定小組應(yīng)定時對系統(tǒng)環(huán)境、功效進行全方面風(fēng)險評定和弱點分析，并據(jù)此完善系統(tǒng)會計控制體系。人事管理控制‘實施業(yè)務(wù)培訓(xùn)、安全操作考評制度。對特殊企業(yè)（如金融企業(yè)）主要崗位可實施輪崗制度等。第23頁八、工作站控制目標(biāo)不但要確保其本身安全，而且要消除經(jīng)過工作站對整個系統(tǒng)帶來安全風(fēng)險。辦法工作站內(nèi)部控制是互聯(lián)網(wǎng)信息系統(tǒng)內(nèi)部控制基礎(chǔ)內(nèi)容工作站物理環(huán)境控制操作權(quán)限控制操作規(guī)程控制故障處理控制工作站對整個系統(tǒng)訪問控制數(shù)據(jù)通訊控制第24頁第四節(jié)

網(wǎng)絡(luò)會計信息系統(tǒng)外部控制體系第25頁一、周界控制目標(biāo)經(jīng)過對安全區(qū)域周界實施控制來到達保護區(qū)域內(nèi)部系統(tǒng)安全性，是一切防外辦法基礎(chǔ)。內(nèi)容設(shè)置外部訪問區(qū)域所謂外部訪問區(qū)域是系統(tǒng)內(nèi)接待外界（關(guān)聯(lián)方、社會公眾）網(wǎng)上會計數(shù)據(jù)訪問、與外界進行會計數(shù)據(jù)交換邏輯區(qū)域，它是內(nèi)聯(lián)網(wǎng)應(yīng)用系統(tǒng)與外界系統(tǒng)聯(lián)絡(luò)緩沖區(qū)域。企業(yè)在建立內(nèi)聯(lián)網(wǎng)時，要對網(wǎng)絡(luò)服務(wù)功效和拓撲結(jié)構(gòu)進行詳細分析，經(jīng)過專用軟件、硬件、管理辦法，實現(xiàn)會計應(yīng)用系統(tǒng)與外部訪問區(qū)域之間嚴(yán)密數(shù)據(jù)隔離、訪問限制。第26頁建立防火墻防火墻是指建立在被保護網(wǎng)絡(luò)周圍分隔被保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)一個技術(shù)系統(tǒng)。類別外層防火墻用來限制外界對主機操作系統(tǒng)訪問應(yīng)用級防火墻用邏輯隔離應(yīng)用系統(tǒng)與外部訪問區(qū)域之間聯(lián)絡(luò)限制外界穿過訪問區(qū)域?qū)W(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù)器，尤其是對應(yīng)用數(shù)據(jù)庫系統(tǒng)訪問。建立周界監(jiān)控制度目標(biāo)經(jīng)過對系統(tǒng)日志文件和網(wǎng)絡(luò)數(shù)據(jù)包實時監(jiān)控和審計分析，實時來自外部入侵行為和內(nèi)部用戶未授權(quán)活動，同時為追究入侵者法律責(zé)任提供線索和證據(jù)。內(nèi)容技術(shù)辦法經(jīng)過一定安全技術(shù)產(chǎn)品、軟件功效實施對周界實時監(jiān)控和情況統(tǒng)計。管理辦法企業(yè)要設(shè)置專門內(nèi)審小組，負責(zé)對系統(tǒng)周界監(jiān)控系統(tǒng)管理，實時檢驗統(tǒng)計資料，及時發(fā)覺和處理問題，同時還要開展定時風(fēng)險評定分析活動。第27頁二、大眾訪問控制網(wǎng)上大眾訪問包含電子郵件傳遞、網(wǎng)上信息查詢等內(nèi)容。辦法郵件系統(tǒng)控制普通宜將郵件系統(tǒng)限定在外部訪問區(qū)域服務(wù)器和工作站上比較安全。網(wǎng)上信息查詢控制普通也應(yīng)限制在系統(tǒng)外部訪問區(qū)域內(nèi)，而且只提供查詢和檢索功效。第28頁三、電子商務(wù)控制電子商務(wù)安全首先是一個復(fù)雜法律問題，其次是一個復(fù)雜技術(shù)問題。辦法電子商務(wù)關(guān)聯(lián)方控制數(shù)據(jù)瀏覽型模式企業(yè)經(jīng)過WWW向外部企業(yè)提供信息和條件檢驗功效，外部企業(yè)不能更改數(shù)據(jù)。事務(wù)處理型模式交易雙方可在網(wǎng)上直接進行電子憑證交換，并更新雙方事務(wù)處理文件。第29頁網(wǎng)上交易控制網(wǎng)上交易包括電子協(xié)議簽署與確認(rèn)、電子憑單傳遞與確認(rèn)、電子貨幣支付與確認(rèn)以及商品或勞務(wù)提供等業(yè)務(wù)步驟；包括到交易雙方、銀行、電子貨幣服務(wù)企業(yè)、認(rèn)證中心等經(jīng)濟實體；在企業(yè)內(nèi)部也要包括到進、銷、財務(wù)等部門。企業(yè)要依據(jù)網(wǎng)上交易流程，建立嚴(yán)密網(wǎng)上交易規(guī)范，包含網(wǎng)上交易活動授權(quán)、確認(rèn)制度，以及對應(yīng)電子文件、電子貨幣接收、簽發(fā)、驗證制度等。交易文件控制交易文件是在電子商務(wù)活動中產(chǎn)生電子憑單、電子協(xié)議等原始交易材料。包含備份制度、