会计信息系控制.ppt

第八章会计信息系统控制 第一节网络会计信息系统的安全问题 一、网络安全问题 网络安全性威胁 表现 黑客袭击 计算机犯罪 二、基于互联网会计信息系统的风险分析 系统故障的风险 内部人员道德风险 系统关联方道德风险 社会道德风险 三、网络会计信息系统的安全保护措施 不断完善计算机安全立法 建立和完善计算机技术控制体系 建立完善的单位内部控制和管理体系 第二节网络会计信息系统的技术控制体系 主要关键技术 防火墙技术 信息加密技术 漏洞扫描技术 入侵检测技术 病毒检测与消除技术 第三节网络会计信息系统的内部控制体系 内部控制是指企业为保护资产安全、保证会计记录的正确性和可靠性、提高经营管理效率、保障经营管理政策的执行而采取的全部方法和措施。 一般控制 它是对会计信息系统环境的控制 应用控制 它是对系统运行过程的控制 基于互联网会计信息系统的应用模式 独立内联网结构的应用系统 异地内联网结构的应用系统 适合于具有异地分支机构的集团企业 外联网结构的应用系统 适合于联盟型虚拟企业，所组成的实体企业本身可能具有异地内联网结构 一、操作系统控制 用户定义 由系统管理员为系统中的每个用户设置一个安全级别和身份标识。对进入系统的用户，系统除进行身份和口令判断外，还进行安全等级判别，以保证进入系统的用户具有合法的身份和合法的权限。 日志审计制度 日志是用来监视和记录系统中有关安全性活动的，包括对系统运行的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录，并对日志文件定期进行安全检查和评估。 存取控制 也称计算机资源授权表制度，是对系统资源进行分类管理的一种制度。 自主存取控制 它是通过存取控制表形式，由系统管理员定义系统中每个用户对具体资源的存取方式。 强制存取方式 它是通过对用户和资源的分级、分类管理，强制限制信息的共享和流动，每个用户只能访问系统规定范围内的信息。 特权管理 特权管理是使系统由若干个系统管理员和操作员共同管理系统，使其具有完成其任务的最少特权，并相互制约，以提高系统安全可靠性。 设备管理 根据设备的物理位置、安全管理条件确定具体设备的安全等级，严格控制低级别设备输入、处理、输出高级别信息的权利。 二、数据库控制 数据库安全的威胁 系统内外人员对数据库的非法访问 由于系统故障、误操作或认为破坏造成数据库的物理损坏 措施 子模式定义 子模式是指全部数据资源中面向某一特定用户或应用项目的一个数据子集。 在网络环境下，为了限制合法用户或非法访问者轻易获取全部数据资源，应根据不同的应用项目（功能）分别定义面向用户操作的数据界面，做到用到什么数据，就开放什么数据。 数据资源访问授权制度 根据定义的子模式，明确每一具体的用户对数据资源访问的范围和内容，并进一步规定对数据库的查阅、修改、删除、插入等操作权限。 可通过数据资源授权表形式来实现。 数据备份和恢复制度 备份文件 业务日志文件 用来记录系统处理过程的具体步骤、处理内容 检查点文件 检查点是指数据处理过程中，作业内容信息能被完整记录下来，并可重新启动该作业的一个时间点。 三、系统开发控制 系统开发控制是一种预防性控制，目的是确保系统开发过程及其开发的内容符合内部控制的要求。 措施 开发方案控制 按企业再造的要求全面分析和重构企业管理过程、业务过程、生产经营过程。 开发过程控制 按工程规范要求开发系统有利于系统的管理与维护，可以避免因开发维护人员的变更而对系统带来的负面影响。 包括 开发过程的规范化 开发工具、开发文档编制的标准化和规范化 每个阶段的工作结束后，要形成阶段开发报告，经论证审定后才能进入下一阶段，并作为下一阶段的依据。 系统测试控制 由业务专家、内审人员组成的用户小组不仅要积极参与系统开发方案的分析设计，同时在系统测试阶段，除了要测试系统业务功能外，还要对会计控制功能的有效性进行测试。 四、系统维护控制 日常维护 可通过软件功能本身完成，其控制可在操作控制中实现。 系统修改 包括源程序修改、代码结构修改、数据库文件结构修改 可采用系统开发控制的方法，即对维护方案、维护过程、维护测试要参照系统开发控制的方法进行严格控制。 五、应用控制 应用控制是指具体的应用系统中用来预防、检测和更正错误，以及处置不法行为的内部控制措施。 措施 输入控制 目的 在网络环境下确保数据采集的合法性、准确性和完整性 重点 对网上电子数据合法性、准确性和完整性的检测控制 内容 包括对电子数据的审查、电子数据与电子签名一致性的检查等。 处理控制 目的 确保数据处理过程的正确可靠性 内容 除了做好会计期间控制、正确性控制、数据一致性控制、预留审计线索控制等工作外，重点做好实时数据备份恢复工作。 输出控制 目的 确保系统信息输出没有被意识、错发、截留，秘密没有被泄