安全与风险控制.pptVIP

会计信息系统安全与风险控制企业综合网络系统主要内容:第一节会计信息系统安全隐患与风险第二节会计信息系统风险控制方法第三节会计信息系统安全解决方案会计信息系统安全与风险控制一、会计信息系统安全隐患与风险安全隐患：是隐藏在系统内部，可能会影响系统运行，破坏系统资源 `的系统缺陷。内部安全隐患与风险:(指来自系统内部的安全隐患与风险:如软硬设备故障\人员操作不当)风险范围：指受安全隐患影响的系统。外部安全隐患与风险(来自系统外部:如恶意的黑客侵入等)硬件因素软件因素人员因素制度因素一个系统投入运行之后,安全问题就会一直与其相伴，主要有：二、产生安全隐患与风险的因素软件因素软件故障是应用系统运行过程中的主要安全隐患。软件故障一般可分成二类系统自身固有的安全隐患外部因素对程序软件的破坏二、产生安全隐患与风险的因素软件故障的三种形式:运行中的程序非法中断程序处理结果与要求不符程序员写入非法代码-----恶意篡改1程序质量问题2二、产生安全隐患与风险的因素二、产生安全隐患与风险的因素人员因素操作人员根据其岗位不同，可以访问的数据内容、功能模块也不同。在会计信息系统中，每一位操作员都必须经过授权才能使用软件。被授权的用户才是合法用户。其表现形式：内部合法用户越权操作；外部用户用一些测试工具等非法获取账号。硬件方法01软件方式02规章制度03控制风险方式：第二节会计信息系统风险控制方法第二节会计信息系统风险控制方法硬件方法 双机系统（镜像服务器） 星型拓扑结构局域网 磁盘冗余阵列RAID的基本目的是把多个小型廉价的磁盘驱动器合并成一组阵列来达到大型昂贵的驱动器所无法达到的性能或冗余性。任何需要使大量数据触手可及的人（如一般的系统管理员）都可以从RAID技术中受益。使用RAID的主要原因包括：加快速度、使用一个虚拟磁盘，增加贮存容量减少磁盘失效带来的不利影响身份验证（每合法用户）数据备份（备份方案）查杀病毒安装防火墙信息加密数字签名会计信息系统审计系统运行安全日志软件方法第二节会计信息系统风险控制方法第二节会计信息系统风险控制方法规章制度的建立建立依据：《中华人民共和国会计法》《会计电算化管理办法》1994年《商品化会计核算软件评审规则》1994年《会计核算软件基本功能规范》1994年《会计电算化工作规范》1996年岗位责任制度（分工明确、责任明确、处理方法明确）1计算机操作制度（操作流程明确、功能授权明确、数据范围明确）2档案管理制度（存档时间明确、存档地点明确、存档份数明确、借阅手续明确）3软硬件维护制度（零部的管理、软件系统的保存和升级管理、备份数据的管理）4建立规章制度的主要：内容第二节会计信息系统风险控制方法01备份内容02备份方式（完整备份，增量备份，差量备份）03备份时间（定期备份）04备份数量（每种方式至少两份）05备份介质（永久性、循环使用）06保存地点（异地保存）07备份人员备份方案单机系统安全解决方案装机地点系统授权使用正版软件定期进行数据备份不安装与工作无关的软件定期清理系统（杀毒）个性化桌面管理第三节会计信息系统安全解决方案第三节会计信息系统安全解决方案局域网系统安全解决方案星型拓扑结构最小特权原则（为各帐号用户设定不同的资源）限制登录的计算机（限制某用户只能从网络上的某台计算机上登录局域网）限制登录时间自动注销到期临时账号第一次登录时修改自己的口令限制错误口令的次数加装备份域控制器（当主域控制器发生故障时，可提升备份域控制器，以恢复系统的运行）第三节会计信息系统安全解决方案国际互联网系统安全方案互联网的三项技术：Http、Ftp、SmtpHttp（超文本传输协议，主要提供浏览服务，可进行小批量的实时数据交换）Ftp（文件传输协议，主要提供大批量数据交换）Smtp（简单邮件传输协议，解决用户与用户之间的数据交换）国际互联网系统接入方式如下：专线接入（关键部门、大型跨国公司）主机托管（大型网站、大型公司）虚拟主机（中小公司、个人网站）第三节会计信息系统安全解决方案企业内部网（Intranet）系统安全方案利用Internet技术、通讯标准和工具，采用TCP/IP协议，将不同位置的计算机通过通信线路相互联接而成，用于管理公司或企业内部信息的计算机网络系统。第三节会计信息系统安全解决方案*