会计信息系统控制

1、第八章会计信息系统控制第一节网络会计信息系统的安全问题一、网络安全问题n网络安全性威胁n表现n黑客袭击n计算机犯罪二、基于互联网会计信息系统的风险分析n系统故障的风险n内部人员道德风险n系统关联方道德风险n社会道德风险三、网络会计信息系统的安全保护措施n不断完善计算机安全立法n建立和完善计算机技术控制体系n建立完善的单位内部控制和管理体系第二节网络会计信息系统的技术控制体系主要关键技术n防火墙技术n信息加密技术n漏洞扫描技术n入侵检测技术n病毒检测与消除技术第三节网络会计信息系统的内部控制体系n内部控制是指企业为保护资产安全、保证会计记录的正确性和可靠性、提高经营管理效率、保障经营管理政策的执

2、行而采取的全部方法和措施。n一般控制n它是对会计信息系统环境的控制n应用控制n它是对系统运行过程的控制n基于互联网会计信息系统的应用模式n独立内联网结构的应用系统n异地内联网结构的应用系统n适合于具有异地分支机构的集团企业n外联网结构的应用系统n适合于联盟型虚拟企业，所组成的实体企业本身可能具有异地内联网结构一、操作系统控制n用户定义n由系统管理员为系统中的每个用户设置一个安全级别和身份标识。对进入系统的用户，系统除进行身份和口令判断外，还进行安全等级判别，以保证进入系统的用户具有合法的身份和合法的权限。n日志审计制度n日志是用来监视和记录系统中有关安全性活动的，包括对系统运行的事件类型、用户

3、身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录，并对日志文件定期进行安全检查和评估。n存取控制n也称计算机资源授权表制度，是对系统资源进行分类管理的一种制度。n自主存取控制n它是通过存取控制表形式，由系统管理员定义系统中每个用户对具体资源的存取方式。n强制存取方式n它是通过对用户和资源的分级、分类管理，强制限制信息的共享和流动，每个用户只能访问系统规定范围内的信息。n特权管理n特权管理是使系统由若干个系统管理员和操作员共同管理系统，使其具有完成其任务的最少特权，并相互制约，以提高系统安全可靠性。n设备管理n根据设备的物理位置、安全管理条件确定具体设备的安全等级，严格控制低级别

4、设备输入、处理、输出高级别信息的权利。二、数据库控制n数据库安全的威胁n系统内外人员对数据库的非法访问n由于系统故障、误操作或认为破坏造成数据库的物理损坏n措施n子模式定义n子模式是指全部数据资源中面向某一特定用户或应用项目的一个数据子集。n在网络环境下，为了限制合法用户或非法访问者轻易获取全部数据资源，应根据不同的应用项目（功能）分别定义面向用户操作的数据界面，做到用到什么数据，就开放什么数据。n数据资源访问授权制度n根据定义的子模式，明确每一具体的用户对数据资源访问的范围和内容，并进一步规定对数据库的查阅、修改、删除、插入等操作权限。n可通过数据资源授权表形式来实现。n数据备份和恢复制度n

5、备份文件n业务日志文件n用来记录系统处理过程的具体步骤、处理内容n检查点文件n检查点是指数据处理过程中，作业内容信息能被完整记录下来，并可重新启动该作业的一个时间点。三、系统开发控制n系统开发控制是一种预防性控制，目的是确保系统开发过程及其开发的内容符合内部控制的要求。n措施n开发方案控制n按企业再造的要求全面分析和重构企业管理过程、业务过程、生产经营过程。n开发过程控制n按工程规范要求开发系统有利于系统的管理与维护，可以避免因开发维护人员的变更而对系统带来的负面影响。n包括n开发过程的规范化n开发工具、开发文档编制的标准化和规范化n每个阶段的工作结束后，要形成阶段开发报告，经论证审定后才能进

6、入下一阶段，并作为下一阶段的依据。n系统测试控制n由业务专家、内审人员组成的用户小组不仅要积极参与系统开发方案的分析设计，同时在系统测试阶段，除了要测试系统业务功能外，还要对会计控制功能的有效性进行测试。四、系统维护控制n日常维护n可通过软件功能本身完成，其控制可在操作控制中实现。n系统修改n包括源程序修改、代码结构修改、数据库文件结构修改n可采用系统开发控制的方法，即对维护方案、维护过程、维护测试要参照系统开发控制的方法进行严格控制。五、应用控制n应用控制是指具体的应用系统中用来预防、检测和更正错误，以及处置不法行为的内部控制措施。n措施n输入控制n目的n在网络环境下确保数据采集的合法性、准

7、确性和完整性n重点n对网上电子数据合法性、准确性和完整性的检测控制n内容n包括对电子数据的审查、电子数据与电子签名一致性的检查等。n处理控制n目的n确保数据处理过程的正确可靠性n内容n除了做好会计期间控制、正确性控制、数据一致性控制、预留审计线索控制等工作外，重点做好实时数据备份恢复工作。n输出控制n目的n确保系统信息输出没有被意识、错发、截留，秘密没有被泄露等n内容n包括打印程序控制、分发控制、废报告控制、最终用户控制等。六、计算中心控制n目的n通过对系统物理环境及设备可靠性的控制，以确保系统设备能实时地、连续地运转。n困难n如何确保系统实时运转n如何防止外界通过网络对计算中心的威胁n计算中

8、心物理环境的控制n中心安全控制n包括中心物理位置、机房结构设置控制；进入机房控制；电源、防火、防磁、温度、湿度控制；设备日常检测制度等。n群集系统控制n所谓群集系统实际上是一种针对网络环境下的多机热备份制度，平时各服务器运行各自的应用项目，并保持系统和数据的共享联系，当一台服务器发生故障时，群集系统中的另一台服务器会立即承担故障服务器的工作，并保证数据的连续性，待服务器故障排除后自动加入群集系统恢复正常状态n适用范围n对不间断运行要求很高的应用系统七、组织控制n计算机系统结构n集中处理模式n分布处理模式n网络系统组织控制措施n工作站设置控制n工作站是企业所有部门的计算机应用中心，根据各业务部门

9、的实际需要，各工作站还可进一步建立分布式的计算机操作终端。n首先应对企业的组织结构、业务流程进行优化设置，在此基础上分布设置各级网络工作站；并通过操作系统、数据库管理系统等技术控制措施实现对各工作站的职责分工控制。n内审制度n企业要专门设置由内审人员、风险分析评估人员、系统维护人员组成的内审小组，运用软件技术实时监控系统运行情况，随时分析系统运行日志文件和各种安全检测记录，及时发现系统的安全漏洞，并采取相应的安全对策措施。n企业还应建立风险评估制度，由用户、内审人员、维护人员、风险分析员等组成的风险评估小组应定期对系统环境、功能进行全面的风险评估和弱点分析，并据此完善系统的会计控制体系。n人事

10、管理控制n实行业务培训、安全操作考核制度。对特殊企业（如金融企业）的重要岗位可实行轮岗制度等。八、工作站控制n目的n不仅要保证其自身的安全，而且要消除通过工作站对整个系统带来的安全风险。n措施n工作站内部控制n是互联网信息系统内部控制的基础n内容n工作站物理环境控制n操作权限控制n操作规程控制n故障处理控制n工作站对整个系统访问的控制n数据通讯控制第四节网络会计信息系统的外部控制体系一、周界控制n目的n通过对安全区域的周界实施控制来达到保护区域内部系统安全性，是一切防外措施的基础。n内容n设置外部访问区域n所谓外部访问区域是系统内接待外界（关联方、社会公众）网上会计数据访问、与外界进行会计数据

11、交换的逻辑区域，它是内联网应用系统与外界系统联系的缓冲区域。n企业在建立内联网时，要对网络的服务功能和拓扑结构进行详细分析，通过专用软件、硬件、管理措施，实现会计应用系统与外部访问区域之间的严密的数据隔离、访问限制。n建立防火墙n防火墙是指建立在被保护网络周边的分隔被保护网络与外部网络的一种技术系统。n类别n外层防火墙 用来限制外界对主机操作系统的访问n应用级防火墙 用逻辑隔离应用系统与外部访问区域之间的联系限制外界穿过访问区域对网络应用系统服务器，尤其是对应用数据库系统的访问。n建立周界监控制度n目的n通过对系统日志文件和网络数据包的实时监控和审计分析，实时来自外部的入侵行为和内部用户的未授

12、权活动，同时为追究入侵者法律责任提供线索和证据。n内容n技术措施n通过一定的安全技术产品、软件功能实施对周界的实时监控和情况记录。n管理措施n企业要设置专门的内审小组，负责对系统周界监控系统的管理，实时检查记录资料，及时发现和解决问题，同时还要开展定期的风险评估分析活动。二、大众访问控制n网上大众访问包括电子邮件传递、网上信息查询等内容。n措施n邮件系统控制n一般宜将邮件系统限定在外部访问区域的服务器和工作站上比较安全。n网上信息查询控制n一般也应限制在系统的外部访问区域内，并且只提供查询和检索功能。三、电子商务控制n电子商务安全首先是一个复杂的法律问题，其次是一个复杂的技术问题。n措施n电子

13、商务关联方控制n数据浏览型模式n企业通过WWW向外部企业提供信息和条件检查功能，外部企业不能更改数据。n事务处理型模式n交易双方可在网上直接进行电子凭证的交换，并更新双方的事务处理文件。n网上交易控制n网上交易涉及电子合同的签订与确认、电子凭单的传递与确认、电子货币的支付与确认以及商品或劳务的提供等业务环节；涉及到交易双方、银行、电子货币服务公司、认证中心等经济实体；在企业内部也要涉及到进、销、财务等部门。n企业要根据网上交易流程，建立严密的网上交易规范，包括网上交易活动的授权、确认制度，以及相应的电子文件、电子货币的接收、签发、验证制度等。n交易文件控制n交易文件是在电子商务活动中产生的电子凭单、电子合同等原始交易材料。n包