会计信息系统控制

第八章会计信息系统控制第一节网络会计信息系统的安全问题一、网络安全问题网络安全性威胁表现黑客袭击计算机犯罪二、基于互联网会计信息系统的风险分析系统故障的风险内部人员道德风险系统关联方道德风险社会道德风险三、网络会计信息系统的安全保护措施不断完善计算机安全立法建立和完善计算机技术控制体系建立完善的单位内部控制和管理体系第二节网络会计信息系统的技术控制体系主要关键技术防火墙技术信息加密技术漏洞扫描技术入侵检测技术病毒检测与消除技术第三节网络会计信息系统的内部控制体系内部控制是指企业为保护资产安全、保证会计记录的正确性和可靠性、提高经营管理效率、保障经营管理政策的执行而采取的全部方法和措施。一般控制它是对会计信息系统环境的控制应用控制它是对系统运行过程的控制基于互联网会计信息系统的应用模式独立内联网结构的应用系统异地内联网结构的应用系统适合于具有异地分支机构的集团企业外联网结构的应用系统适合于联盟型虚拟企业，所组成的实体企业本身可能具有异地内联网结构一、操作系统控制用户定义由系统管理员为系统中的每个用户设置一个安全级别和身份标识。对进入系统的用户，系统除进行身份和口令判断外，还进行安全等级判别，以保证进入系统的用户具有合法的身份和合法的权限。日志审计制度日志是用来监视和记录系统中有关安全性活动的，包括对系统运行的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录，并对日志文件定期进行安全检查和评估。存取控制也称计算机资源授权表制度，是对系统资源进行分类管理的一种制度。自主存取控制它是通过存取控制表形式，由系统管理员定义系统中每个用户对具体资源的存取方式。强制存取方式它是通过对用户和资源的分级、分类管理，强制限制信息的共享和流动，每个用户只能访问系统规定范围内的信息。特权管理特权管理是使系统由若干个系统管理员和操作员共同管理系统，使其具有完成其任务的最少特权，并相互制约，以提高系统安全可靠性。设备管理根据设备的物理位置、安全管理条件确定具体设备的安全等级，严格控制低级别设备输入、处理、输出高级别信息的权利。二、数据库控制数据库安全的威胁系统内外人员对数据库的非法访问由于系统故障、误操作或认为破坏造成数据库的物理损坏措施子模式定义子模式是指全部数据资源中面向某一特定用户或应用项目的一个数据子集。在网络环境下，为了限制合法用户或非法访问者轻易获取全部数据资源，应根据不同的应用项目（功能）分别定义面向用户操作的数据界面，做到用到什么数据，就开放什么数据。数据资源访问授权制度根据定义的子模式，明确每一具体的用户对数据资源访问的范围和内容，并进一步规定对数据库的查阅、修改、删除、插入等操作权限。可通过数据资源授权表形式来实现。数据备份和恢复制度备份文件业务日志文件用来记录系统处理过程的具体步骤、处理内容检查点文件检查点是指数据处理过程中，作业内容信息能被完整记录下来，并可重新启动该作业的一个时间点。三、系统开发控制系统开发控制是一种预防性控制，目的是确保系统开发过程及其开发的内容符合内部控制的要求。措施开发方案控制按企业再造的要求全面分析和重构企业管理过程、业务过程、生产经营过程。开发过程控制按工程规范要求开发系统有利于系统的管理与维护，可以避免因开发维护人员的变更而对系统带来的负面影响。包括开发过程的规范化开发工具、开发文档编制的标准化和规范化每个阶段的工作结束后，要形成阶段开发报告，经论证审定后才能进入下一阶段，并作为下一阶段的依据。系统测试控制由业务专家、内审人员组成的用户小组不仅要积极参与系统开发方案的分析设计，同时在系统测试阶段，除了要测试系统业务功能外，还要对会计控制功能的有效性进行测试。四、系统维护控制日常维护可通过软件功能本身完成，其控制可在操作控制中实现。系统修改包括源程序修改、代码结构修改、数据库文件结构修改可采用系统开发控制的方法，即对维护方案、维护过程、维护测试要参照系统开发控制的方法进行严格控制。五、应用控制应用控制是指具体的应用系统中用来预防、检测和更正错误，以及处置不法行为的内部控制措施。措施输入控制目的在网络环境下确保数据采集的合法性、准确性和完整性重点对网上电子数据合法性、准确性和完整性的检测控制内容包括对电子数据的审查、电子数据与电子签名一致性的检查等。处理控制目的确保数据处理过程的正确可靠性内容除了做好会计期间控制、正确性控制、数据一致性控制、预留审计线索控制等工作外，重点做好实时数据备份恢复工作。输出控制目的确保系统信息输出没有被意识、错发、截留，秘密没有被泄露等内容包括打印程序控制、分发控制、废报告控制、最终用户控制等。六、计算中心控制目的通过对系统物理环境及设备可靠性的控制，以确保系统设备能实时地、连续地运转。困难如何确保系统实时运转如何防止外界通过网络对计算中心的威胁计算中心物理环境的控制中心安全控制包括中心物理位置、机房结构设置控制；进入机房控制；电源、防火、防磁、温度、湿度控制；设备日常检测制度等。群集系统控制所谓群集系统实际上是一种针对网络环境下的多机热备份制度，平时各服务器运行各自的应用项目，并保持系统和数据的共享联系，当一台服务器发生故障时，群集系统中的另一台服务器会立即承担故障服务器的工作，并保证数据的连续性，待服务器故障排除后自动加入群集系统恢复正常状态适用范围对不间断运行要求很高的应用系统七、组织控制计算机系统结构集中处理模式分布处理模式网络系统组织控制措施工作站设置控制工作站是企业所有部门的计算机应用中心，根据各业务部门的实际需要，各工作站还可进一步建立分布式的计算机操作终端。首先应对企业的组织结构、业务流程进行优化设置，在此基础上分布设置各级网络工作站；并通过操作系统、数据库管理系统等技术控制措施实现对各工作站的职责分工控制。内审制度企业要专门设置由内审人员、风险分析评估人员、系统维护人员组成的内审小组，运用软件技术实时监控系统运行情况，随时分析系统运行日志文件和各种安全检测记录，及时发现系统的安全漏洞，并采取相应的安全对策措施。企业还应建立风险评估制度，由用户、内审人员、维护人员、风险分析员等组成的风险评估小组应定期对系统环境、功能进行全面的风险评估和弱点分析，并据此完善系统的会计控制体系。人事管理控制‘实行业务培训、安全操作考核制度。对特殊企业（如金融企业）的重要岗位可实行轮岗制度等。八、工作站控制目的不仅要保证其自身的安全，而且要消除通过工作站对整个系统带来的安全风险。措施工作站内部控制是互联网信息系统内部控制的基础内容工作站物理环境控制操作权限控制操作规程控制故障处理控制工作站对整个系统访问的控制数据通讯控制第四节网络会计信息系统的外部控制体系一、周界控制目的通过对安全区域的周界实施控制来达到保护区域内部系统安全性，是一切防外措施的基础。内容设置外部访问区域所谓外部访问区域是系统内接待外界（关联方、社会公众）网上会计数据访问、与外界进行会计数据交换的逻辑区域，它是内联网应用系统与外界系统联系的缓冲区域。企业在建立内联网时，要对网络的服务功能和拓扑结构进行详细分析，通过专用软件、硬件、管理措施，实现会计应用系统与外部访问区域之间的严密的数据隔离、访问限制。建立防火墙防火墙是指建立在被保护网络周边的分隔被保护网络与外部网络的一种技术系统。类别外层防火墙用来限制外界对主机操作系统的访问应用级防火墙用逻辑隔离应用系统与外部访问区域之间的联系限制外界穿过访问区域对网络应用系统服务器，尤其是对应用数据库系统的访问。建立周界监控制度目的通过对系统日志文件和网络数据包的实时监控和审计分析，实时来自外部的入侵行为和内部用户的未授权活动，同时为追究入侵者法律责任提供线索和证据。内容技术措施通过一定的安全技术产品、软件功能实施对周界的实时监控和情况记录。管理措施企业要设置专门的内审小组，负责对系统周界监控系统的管理，实时检查记录资料，及时发现和解决问题，同时还要开展定期的风险评估分析活动。二、大众访问控制网上大众访问包括电子邮件传递、网上信息查询等内容。措施邮件系统控制一般宜将邮件系统限定在外部访问区域的服务器和工作站上比较安全。网上信息查询控制一般也应限制在系统的外部访问区域内，并且只提供查询和检索功能。三、电子商务控制电子商务安全首先是一个复杂的法律问题，其次是一个复杂的技术问题。措施电子商务关联方控制数据浏览型模式企业通过向外部企业提供信息和条件检查功能，外部企业不能更改数据。事务处理型模式交易双方可在网上直接进行电子凭证的交换，并更新双方的事务处理文件。网上交易控制网上交易涉及电子合同的签订与确认、电子凭单的传递与确认、电子货币的支付与确认以及商品或劳务的提供等业务环节；涉及到交易双方、银行、电子货币服务公司、认证中心等经济实体；在企业内部也要涉及到进、销、财务等部门。企业要根据网上交易流程，建立严密的网上交易规范，包括网上交易活动的授权、确认制度，以及相应的电子文件、电子货币的接收、签发、验证制度等。交易文件控制交易文件是在电子商务活动中产生的电子凭单、电子合同等原始交易材料。包括备份制度、不能删除和修改制度等措施。交易日志控制交易日志用来自动记录电子商务每个步骤的交易时间和内容。四、远程处理控制措施分支系统安全系统模式设计分支系统是企业在异地具有独立内联网结构的会计信息系统。要实现母系统与分支系统之间的远程处理，尤其是远程实时处理，首先必须解决会计数据借口的安全问题。数据通信控制远程处理规程控制操作权限控制内容授权控制处理程序控制通道及两端服务器安全控制返回