第六章會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制第1頁(yè)，共54頁(yè)。本章討論的四個(gè)問(wèn)題：

一是會(huì)計(jì)信息系統(tǒng)的運(yùn)行管理體系搭建的問(wèn)題；二是安全控制技術(shù)問(wèn)題；三是會(huì)計(jì)信息系統(tǒng)的安全防范制度。第2頁(yè)，共54頁(yè)。一、問(wèn)題的提出第3頁(yè)，共54頁(yè)。

從兩個(gè)案例說(shuō)起案例一：女出納貪污7000萬(wàn)

XX，XX市財(cái)政局綜合計(jì)劃處出納，１９９８年到２０００年的幾年時(shí)間里，她利用職權(quán)，共貪污公款７０００多萬(wàn)元被判處死刑。

案例二：企業(yè)內(nèi)部控制不可或缺——

一家民營(yíng)企業(yè)破產(chǎn)的啟示

巨人集團(tuán)

投資的失誤、資金結(jié)構(gòu)的失誤管理的失誤、企業(yè)文化的失誤

第4頁(yè)，共54頁(yè)。我國(guó)財(cái)務(wù)控制的現(xiàn)狀

總體評(píng)價(jià)：國(guó)有企事業(yè)單位比非國(guó)有企事業(yè)單位的內(nèi)控制度文字寫得好，執(zhí)行得不夠好;國(guó)有大、中型企事業(yè)單位的內(nèi)控制度比國(guó)有小型企業(yè)的要好；股份制單位、外資企業(yè)及民營(yíng)企業(yè)的內(nèi)控制度比國(guó)有企業(yè)執(zhí)行得好。第5頁(yè)，共54頁(yè)。第一節(jié)會(huì)計(jì)信息系統(tǒng)運(yùn)行管理體系第6頁(yè)，共54頁(yè)。

內(nèi)部控制是指在一個(gè)單位內(nèi)部，每一個(gè)崗位，每一個(gè)環(huán)節(jié)，乃至每一個(gè)人之間，都有明確的權(quán)利和責(zé)任，這些權(quán)利和責(zé)任是相互聯(lián)系、相互制約（控制）的一種制度系統(tǒng)。目的在于保護(hù)企業(yè)資產(chǎn)，檢查會(huì)計(jì)數(shù)據(jù)正確性和可靠性，提高經(jīng)濟(jì)效益，促進(jìn)貫徹執(zhí)行既定的管理制度。內(nèi)部會(huì)計(jì)控制是內(nèi)部控制的最重要的、最主要的組成部分，它在內(nèi)部控制中處于核心地位，同時(shí)內(nèi)部會(huì)計(jì)控制是實(shí)現(xiàn)會(huì)計(jì)管理職能的主要手段，也是企業(yè)激勵(lì)、調(diào)動(dòng)部門積極性，抑制、協(xié)調(diào)負(fù)面因素的重要杠桿。在建設(shè)會(huì)計(jì)信息系統(tǒng)過(guò)程中，如何實(shí)現(xiàn)內(nèi)部會(huì)計(jì)控制，關(guān)鍵是通過(guò)建立健全完善的會(huì)計(jì)信息系統(tǒng)運(yùn)行管理體系，保證會(huì)計(jì)資料真實(shí)、完整，及時(shí)發(fā)現(xiàn)漏洞、隱患，及時(shí)發(fā)現(xiàn)、糾正錯(cuò)誤和舞弊行為，達(dá)到保護(hù)單位財(cái)產(chǎn)安全和完整的目的。而建立健全完善的會(huì)計(jì)信息系統(tǒng)運(yùn)行管理體系主要從組織機(jī)構(gòu)、人員管理、工作流程管理和技術(shù)資料管理四大方面入手。第7頁(yè)，共54頁(yè)。一、組織機(jī)構(gòu)

會(huì)計(jì)信息系統(tǒng)一般設(shè)置如下管理崗位：會(huì)計(jì)電算化主管、系統(tǒng)管理崗、系統(tǒng)維護(hù)崗、會(huì)計(jì)核算崗（出納、成本、費(fèi)用、材料等）、授權(quán)審批簽字崗、數(shù)據(jù)處理崗、數(shù)據(jù)管理崗、檔案管理崗。第8頁(yè)，共54頁(yè)。二、人員管理1、職業(yè)道德2、財(cái)務(wù)工作制度3、內(nèi)部牽制制度4、工作交接制度第9頁(yè)，共54頁(yè)。三、工作流程管理

根據(jù)企業(yè)的規(guī)模和內(nèi)部控制的現(xiàn)狀，會(huì)計(jì)信息系統(tǒng)的處理流程可以大致分為三種：第一是基于單機(jī)數(shù)據(jù)處理/財(cái)務(wù)局部網(wǎng)絡(luò)階段的會(huì)計(jì)信息系統(tǒng)處理流程；第二是基于網(wǎng)絡(luò)級(jí)應(yīng)用的會(huì)計(jì)信息系統(tǒng)處理流程；第三是基于集團(tuán)企業(yè)的會(huì)計(jì)信息系統(tǒng)處理流程。第10頁(yè)，共54頁(yè)。單機(jī)數(shù)據(jù)處理/財(cái)務(wù)局部網(wǎng)絡(luò)階段的會(huì)計(jì)信息系統(tǒng)處理流程特點(diǎn)：會(huì)計(jì)處理不是傳統(tǒng)會(huì)計(jì)核算所采用的并行處理方式，而是串行處理方式。從記賬憑證審核后，全部是機(jī)器處理過(guò)程，人員參加的少，人為干擾因素減少，監(jiān)督環(huán)節(jié)也比較少。第11頁(yè)，共54頁(yè)。網(wǎng)絡(luò)級(jí)應(yīng)用的會(huì)計(jì)信息系統(tǒng)處理流程第12頁(yè)，共54頁(yè)。集團(tuán)企業(yè)的會(huì)計(jì)信息系統(tǒng)處理流程第13頁(yè)，共54頁(yè)。四、技術(shù)資料管理

在對(duì)會(huì)計(jì)技術(shù)資料的管理過(guò)程中，主要應(yīng)遵循三條原則：一是實(shí)現(xiàn)技術(shù)資料管理的信息化；二是配置必要的措施，確保技術(shù)資料安全；三是管理要便于社會(huì)各方對(duì)技術(shù)資料的利用。因此，針對(duì)這三條原則，會(huì)計(jì)信息系統(tǒng)的技術(shù)資料管理主要包括日常管理、應(yīng)用管理和安全管理三大方面。第14頁(yè)，共54頁(yè)。1、技術(shù)資料的日常管理打印管理

對(duì)憑證、賬簿和報(bào)表的打印應(yīng)建立相應(yīng)的制度進(jìn)行管理，例如：憑證打?。涸谥谱鲬{證時(shí)同時(shí)打印。由相關(guān)操作員打印。賬簿打?。含F(xiàn)金日記賬和銀行存款日記賬每日打印，總分類賬、明細(xì)賬按季打印?，F(xiàn)金日記賬和銀行存款日記賬由出納員打印?？偡诸愘~、明細(xì)賬由主管會(huì)計(jì)打印。報(bào)表打?。涸谄谀┙Y(jié)賬后打印。由主管會(huì)計(jì)打印。第15頁(yè)，共54頁(yè)。1、技術(shù)資料的日常管理系統(tǒng)備份

根據(jù)實(shí)際情況，可以建立完善的系統(tǒng)備份制度，例如：硬盤備份：每天備份一次。可由系統(tǒng)管理員執(zhí)行備份。磁盤、磁帶或光盤備份：每月備份一次當(dāng)期數(shù)據(jù)，年底備份一次全年數(shù)據(jù)。當(dāng)期數(shù)據(jù)和全年數(shù)據(jù)的備份均按兩套備份，一套作為調(diào)閱存檔盤，一套作為非調(diào)閱存檔盤。由系統(tǒng)管理員執(zhí)行備份。第16頁(yè)，共54頁(yè)。技術(shù)資料的應(yīng)用管理書面檔案按常規(guī)方式歸檔、立卷、成冊(cè)，經(jīng)會(huì)計(jì)主管、系統(tǒng)管理員簽字后，由檔案管理人員保管。磁盤備份的資料一套由電算主管人員保管，一套由檔案管理人員保管，并分別存放在不同的地方。磁盤所儲(chǔ)存的技術(shù)資料保存期與書面形式技術(shù)資料保存期限相同。采用磁性介質(zhì)保存的技術(shù)資料，要定期檢查，定期復(fù)制，防止磁性介質(zhì)損失。技術(shù)資料調(diào)閱要嚴(yán)格辦理手續(xù)，各種技術(shù)資料包括打印出來(lái)的技術(shù)資料以及存儲(chǔ)會(huì)計(jì)資料的軟盤、硬盤、計(jì)算機(jī)設(shè)備和光盤等，未經(jīng)相關(guān)人員批準(zhǔn)，不得外借和拿出單位。因工作需要調(diào)閱技術(shù)資料的須經(jīng)相關(guān)人員批準(zhǔn)，并詳細(xì)登記調(diào)閱資料的名稱、日期、姓名、工作單位和調(diào)閱理由等。第17頁(yè)，共54頁(yè)。技術(shù)資料的安全管理上機(jī)日志管理數(shù)據(jù)安全管理查詢控制管理借閱控制管理

數(shù)據(jù)安全管理主要是指通過(guò)對(duì)數(shù)據(jù)的加密和解密、身份認(rèn)證管理、資料選擇備份等，以保證數(shù)據(jù)使用的安全

實(shí)行會(huì)計(jì)技術(shù)資料查詢認(rèn)證制度、查詢授權(quán)控制制度，按照擁有權(quán)限使用會(huì)計(jì)信息；實(shí)行備份查詢。對(duì)企業(yè)內(nèi)管理人員開放電子技術(shù)資料數(shù)據(jù)庫(kù)，實(shí)行授權(quán)網(wǎng)絡(luò)查詢，嚴(yán)禁拷貝下載；對(duì)查詢信息、查詢時(shí)間及查詢?nèi)说冗M(jìn)行紀(jì)錄登記。

實(shí)行計(jì)算機(jī)輔助填寫資料借閱審批流程。建立用戶信用認(rèn)證確認(rèn)系統(tǒng)，對(duì)于借閱者進(jìn)行可信度審查。進(jìn)行借閱手續(xù)的合法性檢驗(yàn)。加入使用跟蹤程序、閱讀程序、借閱期控制密碼。

第18頁(yè)，共54頁(yè)。第二節(jié)會(huì)計(jì)信息系統(tǒng)安全控制技術(shù)第19頁(yè)，共54頁(yè)。

本節(jié)我們將重點(diǎn)介紹會(huì)計(jì)信息系統(tǒng)安全控制技術(shù)，主要為安全控制的目的與規(guī)劃、硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、數(shù)據(jù)庫(kù)技術(shù)、基于Internet的會(huì)計(jì)信息系統(tǒng)應(yīng)具備的技術(shù)以及會(huì)計(jì)信息系統(tǒng)軟件的安全等內(nèi)容。第20頁(yè)，共54頁(yè)。一、安全控制的目的與規(guī)劃

目的是保護(hù)會(huì)計(jì)信息系統(tǒng)的重要數(shù)據(jù)，同時(shí)保證應(yīng)用的可靠運(yùn)行。而攻擊者則是利用各種技術(shù)、方法和工具來(lái)攻擊系統(tǒng)的弱點(diǎn)，破壞系統(tǒng)或干擾正常運(yùn)行。第21頁(yè)，共54頁(yè)。安全威脅分類圖第22頁(yè)，共54頁(yè)。

計(jì)算機(jī)安全是有關(guān)數(shù)據(jù)安全的技術(shù)的統(tǒng)稱，這些技術(shù)的有機(jī)結(jié)合可以有效地保障企業(yè)網(wǎng)絡(luò)的安全。然而，要達(dá)到這個(gè)目的，企業(yè)必須制訂總體安全規(guī)劃，過(guò)程如下：現(xiàn)在的網(wǎng)絡(luò)應(yīng)用環(huán)境危險(xiǎn)應(yīng)具有一個(gè)清晰的認(rèn)識(shí)（例如，病毒、黑客以及自然災(zāi)害）。對(duì)有危險(xiǎn)的安全漏洞的后果及對(duì)策事先應(yīng)有一個(gè)分析。在這種認(rèn)識(shí)和分析的基礎(chǔ)上，創(chuàng)建一個(gè)經(jīng)過(guò)仔細(xì)規(guī)劃的執(zhí)行策略，將安全措施結(jié)合到企業(yè)網(wǎng)絡(luò)的各個(gè)方面。因此會(huì)計(jì)信息系統(tǒng)的安全防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措施，即一個(gè)完整的會(huì)計(jì)信息系統(tǒng)安全解決方案應(yīng)該覆蓋到整個(gè)系統(tǒng)的各個(gè)層次，并且與安全管理相結(jié)合，第23頁(yè)，共54頁(yè)。安全管理層次圖第24頁(yè)，共54頁(yè)。二、硬件技術(shù)物理安全的重要性機(jī)房建設(shè)磁盤陣列數(shù)據(jù)存儲(chǔ)系統(tǒng)備份系統(tǒng)設(shè)計(jì)第25頁(yè)，共54頁(yè)。物理安全的重要性

物理安全是網(wǎng)絡(luò)信息安全的最基本保障，是整個(gè)安全系統(tǒng)不可缺少和忽視的組成部分。它主要包括三個(gè)方面：環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見(jiàn)國(guó)家標(biāo)準(zhǔn)GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361-88《計(jì)算站場(chǎng)地安全要求》等。設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。第26頁(yè)，共54頁(yè)。機(jī)房建設(shè)機(jī)房總體設(shè)計(jì)的主要任務(wù)是：根據(jù)計(jì)算機(jī)房的工作性質(zhì)、系統(tǒng)規(guī)模大小、任務(wù)等級(jí)以及要求輔助設(shè)備情況，結(jié)合計(jì)算機(jī)系統(tǒng)的安裝、使用、維護(hù)等方面的要求，合理設(shè)計(jì)各類房間，確定設(shè)備布局，同時(shí)，為各專業(yè)設(shè)計(jì)制訂出有關(guān)技術(shù)要求和技術(shù)指標(biāo)。對(duì)于機(jī)房的建設(shè)，主要涉及如下的因素：機(jī)房場(chǎng)地的環(huán)境條件，機(jī)房的供配電系統(tǒng)，機(jī)房的室內(nèi)裝修、防雷、防靜電、防水、防電磁干擾等。第27頁(yè)，共54頁(yè)。機(jī)房建設(shè)

針對(duì)重要程度，對(duì)機(jī)房安全的要求分為三大類：A類：對(duì)機(jī)房的安全有嚴(yán)格的要求，有完善的機(jī)房安全措施；B類：對(duì)機(jī)房的安全有較嚴(yán)格的要求，有較完善的機(jī)房安全措施；C類：對(duì)機(jī)房有基本的要求，有基本的機(jī)房安全措施；對(duì)于會(huì)計(jì)信息系統(tǒng)的機(jī)房建設(shè)，我們建議采用A類標(biāo)準(zhǔn)。第28頁(yè)，共54頁(yè)。機(jī)房建設(shè)

機(jī)房總體設(shè)計(jì)的原則包括以下幾個(gè)方面：必須貫徹執(zhí)行國(guó)家有關(guān)工程建設(shè)的政策法令，符合國(guó)家現(xiàn)行的建設(shè)標(biāo)準(zhǔn)和規(guī)范。對(duì)建筑防火、結(jié)構(gòu)抗震、節(jié)約能源等重要問(wèn)題，設(shè)計(jì)中應(yīng)予以妥善解決。在配備輔助設(shè)備和確定裝修標(biāo)準(zhǔn)時(shí)，應(yīng)堅(jiān)持“功能第一、實(shí)用為主、兼顧美觀”的原則，充分論證其技術(shù)上的先進(jìn)性和經(jīng)濟(jì)上的合理性?？傮w方案的確立，應(yīng)考慮到今后維護(hù)、節(jié)能管理上的方便性，同時(shí)，也應(yīng)考慮到今后發(fā)展擴(kuò)充的可能性。根據(jù)計(jì)算機(jī)系統(tǒng)的安裝要求，為有關(guān)專業(yè)制訂合適的技術(shù)指標(biāo)和技術(shù)要求。第29頁(yè)，共54頁(yè)。磁盤陣列數(shù)據(jù)存儲(chǔ)系統(tǒng)

會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)的完整性要求，對(duì)數(shù)據(jù)的存儲(chǔ)介質(zhì)提出了較高的要求，存儲(chǔ)設(shè)備提供網(wǎng)絡(luò)信息系統(tǒng)的信息存取和共享服務(wù)，其主要特征體現(xiàn)在：超大存儲(chǔ)容量、大數(shù)據(jù)傳輸率以及高系統(tǒng)可用性，從而為會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)存儲(chǔ)提供強(qiáng)有力的保障。下面我們將重點(diǎn)介紹目前使用范圍最廣的磁盤陣列數(shù)據(jù)存儲(chǔ)系統(tǒng)。第30頁(yè)，共54頁(yè)。目前改進(jìn)磁盤存取速度的方式一是磁盤快取控制(diskcachecontroller)，它將從磁盤讀取的數(shù)據(jù)存在快取內(nèi)存(cachememory)中以減少磁盤存取的次數(shù)，數(shù)據(jù)的讀寫都在快取內(nèi)存中進(jìn)行，大幅增加存取的速度，如要讀取的數(shù)據(jù)不在快取內(nèi)存中，或要寫數(shù)據(jù)到磁盤時(shí)，才做磁盤的存取動(dòng)作。二是使用磁盤陣列的技術(shù)。磁盤陣列是把多個(gè)磁盤組成一個(gè)陣列，當(dāng)作單一磁盤使用，它將數(shù)據(jù)以分段(striping)的方式儲(chǔ)存在不同的磁盤中，存取數(shù)據(jù)時(shí)，陣列中的相關(guān)磁盤一起動(dòng)作，大幅減低數(shù)據(jù)的存取時(shí)間，同時(shí)有更佳的空間利用率。磁盤陣列所利用的不同的技術(shù)，稱為RAIDlevel，不同的level針對(duì)不同的系統(tǒng)及應(yīng)用，以解決數(shù)據(jù)安全的問(wèn)題。第31頁(yè)，共54頁(yè)。磁盤陣列原理磁盤陣列中針對(duì)不同的應(yīng)用使用的不同技術(shù)，稱為RAIDlevel，RAID是RedundentArrayofInexpensiveDisks的縮寫，而每一level代表一種技術(shù)，目前業(yè)界公認(rèn)的標(biāo)準(zhǔn)是RAID0~RAID5。這個(gè)level并不代表技術(shù)的高低，level5并不高于level3，level1也不低過(guò)level4，至于要選擇那一種RAIDlevel的產(chǎn)品，純視用戶的操作環(huán)境(operatingenvironment)及應(yīng)用(application)而定，與level的高低沒(méi)有必然的關(guān)系。RAID0及RAID1適用于PC及PC相關(guān)的系統(tǒng)如小型的網(wǎng)絡(luò)服務(wù)器(networkserver)及需要高磁盤容量與快速磁盤存取的工作站等，比較便宜；RAID3及RAID4適用于大型電腦及影像、CAD/CAM等處理；RAID5多用于OLTP，因有金融機(jī)構(gòu)及大型數(shù)據(jù)處理中心的迫切需要，故使用較多而較有名氣，RAID2較少使用，其他如RAID6，RAID7，乃至RAID10等，都是廠商各做各的，并無(wú)一致的標(biāo)準(zhǔn)，在此不作說(shuō)明。第32頁(yè)，共54頁(yè)。磁盤陣列的額外容錯(cuò)功能熱備份(hotspareorhotstandbydriver)的功能，所謂熱備份是在建立(configure)磁盤陣列系統(tǒng)的時(shí)候，將其中一塊磁盤指定為后備磁盤，這塊磁盤在平常并不操作，但若陣列中某一磁盤發(fā)生故障時(shí)，磁盤陣列即以后備磁盤取代故障磁盤，并自動(dòng)將故障磁盤的數(shù)據(jù)重建(rebuild)在后備磁盤之上，因?yàn)榉磻?yīng)快速，加上快取內(nèi)存減少了磁盤的存取，所以數(shù)據(jù)重建很快即可完成，對(duì)系統(tǒng)的性能影響很小。對(duì)于要求不停機(jī)的大型數(shù)據(jù)處理中心或控制中心而言，熱備份更是一項(xiàng)重要的功能，因?yàn)榭杀苊馔黹g或無(wú)人值守時(shí)發(fā)生磁盤故障所引起的種種不便。壞扇區(qū)轉(zhuǎn)移(badsectorreassignment)。當(dāng)磁盤陣列系統(tǒng)發(fā)現(xiàn)磁盤有壞扇區(qū)時(shí)，以另一空白且無(wú)故障的扇區(qū)取代該扇區(qū)，以延長(zhǎng)磁盤的使用壽命，減少壞磁盤的發(fā)生率以及系統(tǒng)的維護(hù)成本。所以壞扇區(qū)轉(zhuǎn)移功能使磁盤陣列具有更好的容錯(cuò)性，同時(shí)使整個(gè)系統(tǒng)有最好的成本效益比。第33頁(yè)，共54頁(yè)。備份系統(tǒng)設(shè)計(jì)

一個(gè)行之有效的存儲(chǔ)備份解決方案，必須做到：要求對(duì)數(shù)據(jù)庫(kù)進(jìn)行在線備份。能夠?qū)崿F(xiàn)自動(dòng)備份。保證數(shù)據(jù)的完整性。備份過(guò)程中出現(xiàn)問(wèn)題能夠自動(dòng)報(bào)告，并能方便地管理備份設(shè)備。常用的存儲(chǔ)介質(zhì)類型有：磁盤、磁帶、光盤和MO（磁光盤）等，其中，磁盤、光盤等存儲(chǔ)介質(zhì)使用的費(fèi)率較高，對(duì)于會(huì)計(jì)信息系統(tǒng)較為頻繁的數(shù)據(jù)備份需求不能很好的滿足，通常情況下，使用光盤及磁帶較多。

第34頁(yè)，共54頁(yè)。目前被采用最多的備份策略主要有以下三種:完全備份、增量備份、差分備份實(shí)例:

實(shí)際應(yīng)用中，備份策略通常是以上三種的結(jié)合。例如每周一至周六進(jìn)行一次增量備份或差分備份，每周日進(jìn)行全備份，每月底進(jìn)行一次全備份，每年底進(jìn)行一次全備份。以下是會(huì)計(jì)信息系統(tǒng)中，針對(duì)數(shù)據(jù)備份的建議：（1）客戶端日常工作備份?？蛻舳说挠?jì)算機(jī)可靠性相比服務(wù)器而言較差，采取在線式的網(wǎng)絡(luò)備份方式，將客戶端工作資料通過(guò)網(wǎng)絡(luò)存儲(chǔ)到NAS或?qū)ｉT的備份服務(wù)器中，實(shí)現(xiàn)網(wǎng)絡(luò)客戶端資源的完整備份。（2）服務(wù)器端備份。建議采用全備份-差分備份方式，也就是說(shuō)在每周末采用完全備份，包含所有的系統(tǒng)和數(shù)據(jù)；在一周的其他工作時(shí)間采用差分備份，一方面可以節(jié)省備份資源，另一方面也保證能夠及時(shí)恢復(fù)數(shù)據(jù)。第35頁(yè)，共54頁(yè)。三、網(wǎng)絡(luò)的安全防范技術(shù)1、解決網(wǎng)絡(luò)安全問(wèn)題的主要方式：網(wǎng)絡(luò)冗余；系統(tǒng)隔離；訪問(wèn)控制；身份鑒別；通訊加密；安全監(jiān)測(cè)；網(wǎng)絡(luò)掃描等。第36頁(yè)，共54頁(yè)。2、網(wǎng)絡(luò)防火墻

防火墻是在兩個(gè)網(wǎng)絡(luò)間實(shí)現(xiàn)訪問(wèn)控制的一個(gè)或一組軟件或硬件系統(tǒng)。防火墻的最主要功能就是屏蔽和允許指定的數(shù)據(jù)通訊，而該功能的實(shí)現(xiàn)又主要是依靠一套訪問(wèn)控制策略，由訪問(wèn)控制策略來(lái)決定通訊的合法性。第37頁(yè)，共54頁(yè)。2、網(wǎng)絡(luò)防火墻

防火墻的選擇要素：能力：作為網(wǎng)絡(luò)的門戶，防火墻的能力直接影響網(wǎng)絡(luò)的安全，因此應(yīng)選擇能力強(qiáng)的防火墻產(chǎn)品。速度：由于進(jìn)出網(wǎng)絡(luò)的每一條信息都要經(jīng)過(guò)防火墻，因此防火墻要處理的信息量是非常大的。為了不致使防火墻成為網(wǎng)絡(luò)的瓶頸，防火墻的處理能力應(yīng)非常高。防火墻產(chǎn)品一般有硬件和軟件兩種，建議采用性能較高的硬件產(chǎn)品。管理：防火墻應(yīng)便于管理、易于管理。安全：防火墻本身應(yīng)是安全的，即其本身未留后門，防火墻本身不易被攻破等。VPN加密：防火墻應(yīng)提供VPN加密功能，經(jīng)過(guò)防火墻出去的信息在需要時(shí)應(yīng)能自動(dòng)加密，接收的防火墻應(yīng)自動(dòng)將其解密，加密解密算法應(yīng)是用戶可選的。這樣在公用信道上傳輸?shù)臄?shù)據(jù)即使被第三方截獲，也可以保證信息不會(huì)丟失、不會(huì)被篡改。從而可以利用公用通信設(shè)施建立虛擬的、安全的行業(yè)內(nèi)部網(wǎng)。第38頁(yè)，共54頁(yè)。3、網(wǎng)絡(luò)主動(dòng)式防御系統(tǒng)系統(tǒng)掃描基于應(yīng)用的檢測(cè)技術(shù)基于主機(jī)的檢測(cè)技術(shù)基于目標(biāo)的漏洞檢測(cè)技術(shù)基于網(wǎng)絡(luò)的檢測(cè)技術(shù)第39頁(yè)，共54頁(yè)。3、網(wǎng)絡(luò)主動(dòng)式防御系統(tǒng)入侵檢測(cè)入侵檢測(cè)的主要功能：監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作。檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞。對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律。檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。如計(jì)算和比較文件系統(tǒng)的校驗(yàn)和能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)。入侵檢測(cè)的種類：基于主機(jī)的入侵檢測(cè)系統(tǒng)：其輸入數(shù)據(jù)來(lái)源于系統(tǒng)的審計(jì)日志，一般只能檢測(cè)該主機(jī)上發(fā)生的入侵?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：其輸入數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)的信息流，能夠檢測(cè)該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。分布式入侵監(jiān)測(cè)系統(tǒng)，上述兩種方式的結(jié)合，適用于規(guī)模較大的網(wǎng)絡(luò)系統(tǒng)第40頁(yè)，共54頁(yè)。4、網(wǎng)絡(luò)病毒防范網(wǎng)絡(luò)化的病毒防護(hù)；為病毒和內(nèi)容提供有效地一次性掃描；病毒防護(hù)和Web過(guò)濾技術(shù)；提高網(wǎng)絡(luò)吞吐量和可用性；全面安全策略管理；第41頁(yè)，共54頁(yè)。5、網(wǎng)絡(luò)操作系統(tǒng)Windows2000的安全特性賬號(hào)策略，包括：口令策略、賬號(hào)鎖定策略、Kerberos驗(yàn)證策略；組策略，包括：增減桌面、控制面板中的項(xiàng)目；自動(dòng)部署軟件；為用戶配置IE瀏覽器的安全區(qū)；配置網(wǎng)絡(luò)如網(wǎng)絡(luò)驅(qū)動(dòng)器映射、對(duì)計(jì)算機(jī)瀏覽的訪問(wèn)權(quán)限的設(shè)置；配置系統(tǒng)設(shè)置如關(guān)閉計(jì)算機(jī)命令是否顯示、是否允許運(yùn)行任務(wù)管理器等。IPSecurity策略：掃描什么IP地址；如何加密包；設(shè)置過(guò)濾器監(jiān)視使用IPSecurity的對(duì)象。第42頁(yè)，共54頁(yè)。5、網(wǎng)絡(luò)操作系統(tǒng)其他安全技術(shù)和和工具公鑰加密系統(tǒng)(PKI)；數(shù)字簽名；安全套接層（SSL）；加密文件系統(tǒng)(EFS)；驗(yàn)證，包括：Kerberos驗(yàn)證、NTLM驗(yàn)證；代碼安全第43頁(yè)，共54頁(yè)。四、數(shù)據(jù)庫(kù)技術(shù)安全基本原則訪問(wèn)控制：用來(lái)決定用戶是否有權(quán)訪問(wèn)數(shù)據(jù)庫(kù)對(duì)象；驗(yàn)證：驗(yàn)證就是保證只有授權(quán)的合法用戶才能注冊(cè)和訪問(wèn)；授權(quán)：對(duì)不同的用戶訪問(wèn)數(shù)據(jù)庫(kù)授予不同的權(quán)限；審計(jì)：監(jiān)視系統(tǒng)發(fā)生的一切事件。第44頁(yè)，共54頁(yè)。2、安全控制策略權(quán)限分配用戶登錄權(quán)限控制審計(jì)服務(wù)(AuditServer)視圖及存儲(chǔ)過(guò)程系統(tǒng)服務(wù)系統(tǒng)驗(yàn)證第45頁(yè)，共54頁(yè)。五、應(yīng)用軟件（電算化軟件的要求）系統(tǒng)運(yùn)行環(huán)境的安全設(shè)置與操作系統(tǒng)的安全機(jī)制相結(jié)合中間層的安全策略數(shù)據(jù)庫(kù)端的安全策略第46頁(yè)，共54頁(yè)。第三節(jié)會(huì)計(jì)信息系統(tǒng)安全防范制度第47頁(yè)，共54頁(yè)。一、安全管理策略

作為整個(gè)安全防范制度的主體框架，安全管理策略主要從管理的角度出發(fā)，考慮以下方面：會(huì)計(jì)信息系統(tǒng)崗位責(zé)任制度：根據(jù)人員崗位性質(zhì)制定相應(yīng)的崗位責(zé)任制，主要有軟件操作、審核記賬、系統(tǒng)維護(hù)、系統(tǒng)審核、會(huì)計(jì)審計(jì)、會(huì)計(jì)檔案管理等。會(huì)計(jì)信息系統(tǒng)人員考核制度：人員考核范圍、考核指標(biāo)及統(tǒng)計(jì)標(biāo)準(zhǔn)、考核執(zhí)行人、考核審查人員、考核結(jié)果處理辦法等。會(huì)計(jì)信息系統(tǒng)權(quán)限管理制度：操作人員范圍、功能模塊權(quán)限、崗位權(quán)限、人員權(quán)限、數(shù)據(jù)訪問(wèn)權(quán)限、授權(quán)流程、授權(quán)過(guò)程記錄、例外控制等。第48頁(yè)，共54頁(yè)。二、硬件安全防范措施

硬件安全防范措施關(guān)系到系統(tǒng)的硬件安全，主要進(jìn)行硬件管理維護(hù)的技術(shù)規(guī)范制定，考慮以下方面：機(jī)房管理制度：主要考慮機(jī)房的運(yùn)行環(huán)境保障，主要有防火、防盜、防潮、防汛、防震、溫濕度控制、日常清潔衛(wèi)生、訪問(wèn)人員控制等。硬件維護(hù)：主要考慮硬件的故障檢測(cè)、故障報(bào)告、維修維護(hù)、運(yùn)行狀態(tài)記錄、存儲(chǔ)介質(zhì)保管等。第49頁(yè)，共54頁(yè)。三、軟件安全防范措施

軟件安全防范措施涉及到整個(gè)系統(tǒng)是否能夠正常運(yùn)行以及數(shù)據(jù)的安全，主要進(jìn)行軟件系統(tǒng)安全防范的技術(shù)規(guī)范制定，考慮以下方面：操作系統(tǒng)安全規(guī)范：操作系統(tǒng)的安裝設(shè)置、安全檢測(cè)（含病毒掃描）、故障報(bào)告、維護(hù)配置、系統(tǒng)升級(jí)、運(yùn)行狀態(tài)記錄、系統(tǒng)配置信息備份、密碼策略等。安全設(shè)施安全規(guī)范：防火墻、入侵檢測(cè)、加密機(jī)、殺毒軟件等軟硬件安全設(shè)施的安裝、配置、安全檢測(cè)、故障報(bào)告、維護(hù)配置、系統(tǒng)升級(jí)、運(yùn)行狀態(tài)記錄、系統(tǒng)配置信息備份、日志審查密碼策略等。會(huì)計(jì)信息軟件安全規(guī)范：會(huì)計(jì)信息軟件的安裝設(shè)置、權(quán)限設(shè)置、故障報(bào)告、系統(tǒng)升級(jí)、系統(tǒng)備份、日志