会计信息系统安全与风险防范.ppt

会计信息系统 主讲人 方水明集美大学工商管理学院会计系6181112 第十二章信息系统安全与风险防范 本章内容 信息系统安全面临风险 会计信息系统计划和建立过程中的风险防范 会计信息系统使用和维护过程中的风险防范 企业信息系统的监管和评价 第一节信息系统安全面临的风险 一 信息系统安全面临的风险风险是指可能发生的危险 风险是潜在的或可能的损失 一旦受到触发 即具备了一定的条件 风险就会变成真正的损失 随着信息技术的不断发展 信息系统面临的威胁也越来越大 越来越复杂 信息系统的安全受到了来自内部和外部的严重威胁 甚至造成了巨大损失 这些威胁主要包括电脑病毒 特洛伊木马 黑客和垃圾邮件等来自信息系统外部的威胁 以及内部黑客和人为操作失当等来自信息系统内部的威胁 会计信息系统安全面临的风险 1 不适当的系统开发 2 会计流程变化引起的错误的连续性与重复性 3 会计人员的分工变化以及数据和责任的高度集中 4 会计档案存储形式的变化使数据易于丢失和被篡改 5 未经授权的应用软件调用和修改 6 应用软件系统缺乏对不合理业务的识别能力 7 一些人力不可抗拒因素造成的火灾 水灾 地震等灾害 计算机硬件的故障或损失 网络上黑客对数据的拦截 计算机病毒的侵袭等 2 会计信息失真的类型 1 硬件风险 2 软件风险删除 修改 逻辑炸弹 特洛尹木马术 泄密术 陷阱术 截尾术 盗窃会计软件 3 会计数据的风险破坏数据的秘密性 完整性 可用性 4 系统人员道德风险 5 系统技术更新风险有人预测 在今后5年 每一次新的科技浪潮将抛弃现存的信息安全准则 增加新的安全问题 主机系统 PC LAN 客户 服务器结构 Internet 系统的安全性一次又一次地降到了零 二 信息系统安全简介信息系统安全可以理解为 在计算机单机系统和网络系统的环境下 保护计算机和网络设备设施以及数据不受偶然或恶意的侵入和破坏 检测 防范和抵御来自系统内部和系统外部的各种风险 确保信息传输 信息处理和信息存储全过程的正常运作 保证信息系统功能正确可靠的实现 一 计算机单机安全在计算机单机环境下 硬件系统和软件系统不受恶意或意外的破坏和损坏 得到物理上的保护 二 计算机网络安全计算机网络系统环境下的安全问题 1 信息系统自身即内部网络的安全问题 2 信息系统与外部网络连接情况下的安全问题 根据国际标准化组织 ISO 提出的 开放系统互连 OSI 参考模型 网络体系结构划分为三组 七个层次 P315图12 4 ISO OSI参考模型是一个抽象的网络体系结构 并不是一个具体的网络 它是设计计算机网络所作的原则性和概括性的说明 远东和标准 这个七层网络体系结构 可从三个方面理解 1 在ISO OSI网络体系中 七个层次从最底层到最高层依次为物理层 数据链路层 网络层 传输层 会话层 表示层和应用层 每个层次都有不同的功能 这七个层次可以分为三组 下面三层 物理层 数据链路层和网络层 是传输控制组 解决网络的通信问题 上面三层 会话层 表示层和应用层 是应用控制组 处理应用的访问问题 中间一层 传输层 是传输控制组和应用控制组的中间接口 解决两之间的连接和传输问题 2 这七个层次都有各自的接口 上层通过接口向下层发出服务请求 下层通过接口向上层提供服务 3 两主机之间的数据传输 实际上是数据由最上层传递到最下层 通过物理层进行真正的数据通信 其他六个层次在对等层之间只是通过相应的协议进行虚拟的数据通信 网络安全就是贯穿于这七个层次的安全问题 具体包括以下五个方面 1 物理层的安全 确保网络物理连接和设备的安全 防止物理通道受到损坏 攻击和干扰 2 数据链路层的安全 采用数据加密等技术确保数据链路传输数据的保密 防止信息的泄密 保证数据链路层的政常运行及其功能的正常发挥 3 网络层的安全 保证路由选择的正确运行 防止通过网络传输的数据被非法或未经授权的监听 拦截和窃取 4 传输层的安全 这一层次常用的协议是传输控制协议 TCP 和用户数据报文协议 UDP 确保各个传输连接的可靠和顺畅 5 应用控制组的安全 即保证运行在操作系统上的WEB服务 电子邮件等各种网络应用服务的安全 主要包括操作系统的安全 应用平台的安全和应用系统的安全等 三 计算机信息安全信息安全是指信息在传输 处理和存储过程中 没有被非法或恶意窃取 篡改和破坏 信息的安全通常应具备以下五个属性 1 可信性 Authentication 这一属性要求对信息输入 输出和处理的全过程都进行必要的识别和验证 确保信息的真实可靠 2 完整性 Integrity 这一属性要求信息没有在未经授权的情况下被篡改 确保信息在传输过程中保持一致 3 保密性 Confidentiality 这一属性要求信息在未经授权的情况下被泄露出去 只有经过认证的人员才可以获取保密的信息 4 可用性 Availability 这一属性要求合法用户可以及时 正确地取得所需的信息 5 不可否认性 Non repudiation 这一属性要求信息的传输 处理和存储过程有据可查 不能否认过去真实发生的对信息的访问和操作 三 信息系统安全等级划分根据我国国家质量技术监督局于1999颁布的 计算机信息系统安全保护等级划分准则 GB17859 1999 信息系统安全保护能力划分为用户自主保护级 系统审计保护级 安全标记保护级 结构化保护级 访问验证保护级等五个由低到高的等级 一 几个重要的概念 1 计算机信息系统可信计算基 TCB 是指计算机系统内部保护装置的总体 包括硬件 软件和负责执行安全策略的组合体 2 安全策略 SecurityPolicy 是指有关管理 保护和发布敏感信息的法律 规定和实施细则 3 隐蔽通道 CovertChannel 是指允许进程以危害系统安全策略的方式 来传输信息的通信信道 4 访问监视器 ReferenceMonitor 是指监控主体和客体之间授权访问关系的部件 5 主体 Subject 是指引起信息在客体之间流动的人 进程或设备等 客体是指信息的载体 二 信息系统安全等级的内容第一级 用户自主保护级 这一等级的TCB 通过隔离用户与数据 使用户具备自主安全保护的能力 第二级 系统审计保护级 这一等级的TCB 实施了比用户自主保护级精度更细的自主访问控制 通过登录规程 审计安全性相关事件和隔离资源 使用户对自己的行为负责 第三级 安全标记保护级 这一等级的TCB 具有系统审计保护级的所有功能并有所扩展 提供了基本的强制访问功能 这一级的信息系统应提供安全策略模型 数据标记以及主体对客体强制访问控制的非形式化描述 具有准确地标记输出信息的能力 并能消除通过测试发现的任何错误 第四级 结构化保护级 这一等级的TCB 建立在一个明确定义的形式化安全策略模型之上 要求将第三级中的自主和强制访问控制扩展到所有主体与客体 并考虑隐蔽通道 这一等级加强了鉴别机制 支持系统管理员和操作员的职能 提供可信设施管理 增强了配置管理控制 系统具有相当的抗渗透能力 第五级 访问验证保护级 这一等级的TCB 应能够满足访问控制器的需求 访问控制器负责仲裁主体对客体的全部访问 这一等级的信息系统应支持安全管理员职能 扩充审计机制 当发生与安全相关的事件时发出信号 并提供系统恢复机制 系统具有很高抗渗透能力 四 我国信息安全的发展态势 1 国内需求与日俱增 防火墙 智能卡安全产品 网络安全检测产品 身份认证产品 CA产品 网络监视产品 特别是网络安全的综合解决方案 网络安全集成系统等市场生机勃勃 2 政府日益重视 加大支持力度 3 一门新兴学科已经崛起 4 计算机信息系统安全保护等级划分准则的实施 五 信息安全发展的走向 1 Internet的发展态势 优质服务 2 新技术不断涌现 密码学 3 控制还是放开 4 立法问题更加突出 电子签名法 加密立法 电子证据立法 高科技犯罪立法等 5 呼吁标准先行 有关Internet安全协议和标准 电子商务安全协议和标准 CC标准以及我国金卡工程安全规范等 6 螺旋式前进 六 会计信息系统的安全性评价 1 安全问题是多方位的 2 安全问题是动态的 3 安全问题不能仅由安全产品来解决 4 安全产品的安全悖论 一般安全产品需要产品开发的安全保证和产品认证的安全保证两层保证 5 没有100 的安全性 第二节会计信息系统计划和建立过程中的风险防范 Ernest Young于2001年10月至11月间 对世界上17个地区的459名首席财务官 IT主管和经理人员进行调查发现 有56 的受访者认为信息系统故障是由于计算机硬件和软件问题造成的 一 选择计算机硬件的风险防范 一 存在的风险1 计算机硬件由于性能和配置太低 无法支持会计软件的正常运行2 购买了过于高档和昂贵的计算机硬件系统 造成资源的闲置和资金的浪费3 选择了质量低劣的计算机硬件 严重影响日后会计信息系统的实施 二 选择计算机硬件应遵循的原则1 以商品化会计软件的硬件最低配置要求或对硬件的建议配置为标准2 计算机硬件的选择要具有一定的前瞻性3 在选择和购买太高档与一定的前瞻性之间找到一个恰当的平衡点4 可向会计软件的开发商 技术人员和相关的顾问公司进行咨询5 应尽量选择规模大 信誉好的硬件提供商的产品 二 选择会计软件的风险防范为了最大限度地降低风险 会计软件的选择应遵循 分析企业自身的需求在先 选择产品在后 的基本原则 1 仔细分析企业自身的需求通用会计软件一般可以满足用户70 的需求 若设计良好的通用会计软件则可满足用户85 至90 的需求 而定制或自行开发的会计软件能够满足用户90 以上的需求 2 企业要制定合理的成本预算 购买成本 执行成本 3 应该 货比三家 了解和评价不同会计软件的特点和缺陷 三 会计软件的评价体系简介 P325图12 51 可靠度会计软件对会计信息完整性 真实性和准确性的保证程度 这是评价会计软件最为重要的指标 可靠度可用追踪力 控制力 持续力三个二级指标来衡量 2 易用度指会计软件是否易学易用 便于用户掌握 3 灵活度称为会计软件的弹性 包括集成力 报告力和参数设置三个方面 4 支持度 1 软件设计语言便于用户自行对会计软件进行更新和维护 2 软件开发商提供的售后技术支持5 功能度指会计软件除了通常的会计核算功能以外 还具有哪些其他拓展的功能 第三节会计信息系统使用和维护过程中的风险防范 一 内部风险及其防范1 公司内部人员未经授权进入或使用会计信息系统 以及更为严重的内部黑客行为根据有关调查发现 约有84 的信息系统舞弊是公司内部人员 包括经理等高级管理人员 未经授权篡改会计信息数据造成的防范措施 1 设置良好的用户名称和密码保护系统 2 终端操作人员的招聘应有严格的程序 并且定期进行培训和诚信教育 提高员工的道德素质 3 设立系统监督人员 2 计算机硬件和会计软件的技术故障 1 谨慎选择计算机硬件和会计软件 2 用户自行对软件程序进行修改和更新必须经过严格授权 只能由胜任的人员进行 3 备份会计软件以前所有的版本3 人为使用和操作不当 1 招聘合格的员工 进行上岗培训 并定期进行后续教育 2 选择和使用具有清晰明了的用户友好界面的会计软件 并且有充分的输入控制 保证数据输入的准确性 4 与会计信息系统相关的重要岗位人员的离职 将对公司造成重大的影响 1 挽留重要岗位人员 2 应培训后备人员 二 外部风险及其防范1 计算机病毒感染 1 购买并安装防病毒软件 2 当系统通过互联网与外界连接时 最好要设置病毒 防火墙 3 运行软盘或可移动磁盘上的文件时应先经过病毒检查 或者甚至禁止使用这些设备2 通过互联网从系统外部非法侵入会计信息系统 即所谓的黑客侵入和攻击利用防火墙技术进行用户访问控制是较为常用和有效的安全防范手段防火墙一般有数据包过滤防火墙和应用级网关防火墙P360图12 4Intranet中会计信息系统的控制模型 MAISI 3 自然灾害和突发风险 1 计算机房的位置应处于较高的楼层 2 计算机房的一个墙面最好应为防水的玻璃 并设置烟雾检测装置和消防设备 3 关键的计算机设备应配备不间断电源供应装置 UPS 4 日常应对重要的数据进行备份 建立自动备份系统或手动备份系统 乃至网络备份系统在会计信息系统从计划 建立到使用 维护过程中 执行这些风险防范时 应当考虑成本效益原则 同时 不同的企业还应该根据自身的具体情况 采取适合的风险防范措施 保证会计信息系统的正常 顺利运行 会计信息系统风险的防范 1 技术性的防范2 有效的内部控制体系3 开展计算机审计4 员工职业道德与素质的培养5 计算机安全与犯罪的立法 思考题 ABC制造公司有一个大型的计算机部门 X为公司内部审计主管 在调查日常事务时发现以下问题 几个顾客账目是假冒的 一些余额超过10000元的账户在账户列表中无法找到匹配的姓名和地址 例如 一个账户列示为戴洁的人 当X试着联系戴洁这个人时 发现那人地址是当地公墓的地址 另外电话号码也是伪造的 此外当地的电话簿上并没有戴洁这个人 额外的调查显示 文档中没有这个人的信用卡申请 使事情变得更加复杂的是 所有这些账户都是超过12个月仍未付款 由于一些未确定的原因 这些账户没有一个出现在应收账款报告中 要求 1 这里很可能存在哪些欺骗罪行 犯罪的人很可能包括哪些人 2 应如何解决这类问题 变更程序是存在问题最有可能的原因 1 很可能有人修改了应收账款程序 使未通过信用验证者的交易得到许可 这个人用选定账龄程序忽视这些账户的办法来掩盖一切 也有一种可能是程序员和信用部门的某些人串通 程序员可能在程序中设置了一个陷门 可以使某些人通过信用认证 尽管这些人不在经核准的顾客数据库中 这可以在没有信用部门人员帮助的情况下完成 2 程序也可能被系统操作员更改 系统操作员有时能够接触到计算机系统的所有文档 系统操作员可能用改变的版本替换应收账款程序的合法版本 解决这类问题的方法是建立一个安装和维护软件的正式系统 1 所有对软件做出的改变应该有文件证明 包括全套的审查和批准 2 程序员不应该得到访问软件工作版本的权力 他们应该在核实的基础上有限制地修改工作软件副本 被修改的备份应该在正式安装以前得到检验 3 软件的主要备份应该保存在安全的地方 应该使用合适的工具 将这些主要的备份与运行中的版本定期进行比较 设计分析讨论题2 一 企业概述艾诺仪器公司是按照国际惯例组建的高新技术股份制公司 成立于1993年 专业从事电测仪器 变频电源和智能控制器等产品的研发和制造 1995年与外方合资成立了青岛艾诺智能仪器有限公司 并在济南成立了山东艾诺分公司 在深圳设立了办事处 公司持续投入大量资金引进国外先进技术 潜心研究并加以消化吸收 技术水平和企业规模一直处于行业领先地位 公司在1998年顺利通过ISO9001质量保证体系认证的基顾上 于2001年在同行业首家率先升级通过了2000版质量管理体系认证 公司凭借雄厚的技术实力 严谨的产品质保体系和专业技术服务队伍 赢得了海尔 海信 联想 春兰 长虹等各行业几千家客户的信赖 艾诺产品不仅出口至俄罗斯 阿根廷 马来西亚 意大利 伊朗等国家 也为大量来华投资企业 如LG PHILIPS PANASONIC ELECTROLUX等提供了优质的产品和服务 随着市场竞争的加剧 客户的个性化需求越来越高 企业的快速反应能力和柔性制造能力成为克敌制胜的关键 这就对管理提出了更高的要求 信息要更加及时和准确 管理控制更加到位 企业的信息化迫在眉睫 二 公司在经营中存在的问题随着企业规模的不断扩大和市场竞争的加剧 在艾诺的经营过程中暴露出如下的问题 1 信息不能共享 各部门不能及时传递由于采取手工操作 各部门的信息只有部门内部掌握 在部门间无法共享或传递速度缓慢 形成部门的信息孤岛 2 手工的采购需求计算不能适应市场变化艾诺公司生产的是电测仪器 智能控制器等设备 属多品种小批量生产 每次接到客户订单后开始组织生产过程 由于产品品种多 很多订单还要研发部门进行个性化的设计 产品的物料清单变化频繁 需要的配件和原材料品种繁多 因此采购计划的制定很复杂 每次计算采购需求往往需要很长时间 3 流程不畅 业务与财务分离由于没有采用信息化管理 加之沟通不畅 财务与业务数据是分离的 不能有效控制 4 管理成本过高由于手工操作 为了加强管理和控制 保证数据的准确反映 势必增加人员 引起管理成本增加 库存管理仍然处在手工状态 劳动强度大 而准确性低 会出现多余采购和多余存储的风险 三 讨论议题假设你被公司聘为信息技术部经理 CIO 明天要向公司高层陈述一项公司信息策略计划 以推动公司管理规范化 精细化的需要 运用你所掌握的系统开发知识 介绍一套适合艾诺公司的信息系统开发策略 信息系统实施的六大致命问题 1 没有搭建一个好的班子2 培训缺乏有效的方法3 缺乏一个有影响力的主导者4 领导重视程度不够5 缺乏沟通与协作6 主体意识不强 第四节企业信息系统的监管和评价企业信息系统是比会计信息系统集成度更高 功能更强大的信息系统 涵盖了企业经营的全过程 会计信息系统成为其中的一个重要子系统 如 SAP公司开发的ERP软件SAPR 3 该系统由物料管理 生产计划 质量管理 销售与分销 财务会计 管理会计 资产管理 工厂管理 人力资源 项目系统 工作流 工业解决方案等十二个标准应用模块组成 企业信息系统的监管是会计信息系统风险防范的延续和拓展 更为复杂 难度更大 一 会计信息系统发展为企业信息系统的必然性和必要性1 从信息技术的发展状况看2 从会计软件的发展状况看3 从企业自身发展的过程看 二 企业信息系统监管的标准2007年5月 信息系统审计和控制协会 InformationSystemAuditandControlAssociation ISACA 下属的信息技术治理研究院发布了 信息及相关技术控制目标 第4 1版 它是国际上公认的最先进 最权威的安全与信息技术管理和控制标准 COBIT由综述 框架 控制目标 审计指导原则 执行工具箱和管理指导原则六个部分组成 三 企业信息系统监管的评价在COBIT中 提出了信息系统监管的自我评价体系 P364 365 从纵向看 列出了信息系统实施和使用全过程的四个阶段 计划与组织购买与执行传递与支持监控从横向看 列出了六个方面的评价内容 第五节电子商务与网络会计信息系统 一 电子商务1 电子商务 Web IT联合国国际贸易法委员会指出 电子商务是通过电子数据交换 EDI 和及其他通讯手段进行的日益增长的国际贸易的功能之一 其主要功能包括 网上的广告 订货 付款 客户服务和货物递交等销售 售前和售后服务 以及市场调查分析 财务核计及生产安排等多项Internet开发的商业活动 2 电子商务的网络计算环境 因特网 企业内部网和企业外部网 3 电子商务的优越性 1 大大提高了通信速度 尤其是国际范围内的通信速度 2 节省了潜在开支 如电子邮件节省了通信邮费 而电子数据交换节省了管理和人员环节的开销 3 增加了客户与供货方的联系 电子数据交换意味着企业间的合作得到了加强 4 提高了服务质量 能以一种快捷方便的方式提供企业及其产品的信息及客户所需的服务 5 提供了交互式的销售渠道 4 电子商务的功能 广告宣传 咨询洽谈 网上订购 网上支付 电子账户 服务传递 意见征询 交易管理等5 企业电子商务的解决方案网上黄页 简单电子商务解决方案 完整电子商务解决方案6 电子商务的标准 1 UN EDIFACT标准 是联合国推荐使用的电子商务国际标准 为各国进行跨国商务交流提供了一个统一的商业语言标准 2 国际数字保证商务通则 GUIDEC GeneralUsageforInternationalDigitallyEnsuredCommerce 3 RosettaNet提出 全球电子商务标准 为供应链管理创立 开放式电子内容和交易标准 4 亚洲建立电子商务标准的努力 二 电子商务与会计信息系统 一 电子商务对传统会计的影响1 会计组织的演变 使企业管理的许多层次不再显得那么重要 2 会计计量的发展 在电子商务环境下 一个网址即代表一个企业 无论是 虚拟企业 还是 实体企业 只有通过域名网址 企业方可在网上进行国内国际交流 从事跨国经营 3 会计信息的披露 披露范围不仅包括财务信息本身 而且覆盖所有与企业经营有关的方面 包括非货币信息 4 会计信息的传递 财务停息的发送和财务信息资源的索取 具有高效 经济的特点 5 会计信息系统的安全性 二 电子商务条件下会计发展的新趋势 1 电子商务对会计提出了新的要求 1 电子商务要求会计服务范围更加广泛 形成全球统一 规范竞争的有序的大市场 2 电子商务要求会计系统多样化和现代化 在电子商务中 企业运用各种现代化的电子信息工具 诸如EOS 电子货币 EDI 电子数据交换 E MAIL BBS 电子公共系统 等系列化 系统化的工具 使得各主体间的交易得以迅速 准确地进行 3 电子商务要求会计市场国际化 2 在电子商务环境下会计呈现的发展趋势 1 诉讼会计 它把会计知识与法律知识有机结合起来 保障电子商务活动在合法化的环境下进行 2 安全会计 黑客袭击网站 用户的误操作 计算机病毒和计算机本身的机械性故障等都为电