第10讲 安全与风险控制

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,会计信息系统安全与风险控制,企业综合网络系统,主要内容,:,第一节 会计信息系统安全隐患与风险,第二节 会计信息系统风险控制方法,第三节 会计信息系统安全解决方案,下一张,上一张,会计信息系统安全与风险控制,一、会计信息系统安全隐患与风险,安全隐患：,是隐藏在系统内部，可能会影响系统运行，破坏系统资源,的系统缺陷。,风险范围,：,指受安全隐患影响的系统。,内部安全隐患与风险,:,(,指来自系统内部的安全隐患与风险,:,如软硬设备故障,人员操作不当,),外部安全隐患与风险,(,来自系统外部,:,如恶意的黑客侵入等,),下一张,上一张,二、产生安全隐患与风险的因素,一个系统投入运行之后,安全问题就会一直与其相伴，主要有：,硬件因素,软件因素,人员因素,制度因素,下一张,上一张,二、产生安全隐患与风险的因素,软件因素,软件故障是应用系统运行过程中的主要安全隐患。,软件故障一般可分成二类,（一）、系统自身固有的安全隐患,（二）、外部因素对程序软件的破坏,下一张,上一张,二、产生安全隐患与风险的因素,软件故障的三种形式,:,运行中的程序非法中断,程序处理结果与要求不符,程序员写入非法代码,-,恶意篡改,下一张,上一张,程序质量问题,二、产生安全隐患与风险的因素,人员因素,操作人员根据其岗位不同，可以访问的数据内容、功能模块也不同。,在会计信息系统中，每一位操作员都必须经过授权才能使用软件。,被授权的用户才是合法用户。,其表现形式,：,（,1,）内部合法用户越权操作；,（,2,）外部用户用一些测试工具等非法获取账号。,下一张,上一张,第二节 会计信息系统风险控制方法,控制风险方式：,硬件方法,软件方式,规章制度,下一张,上一张,第二节 会计信息系统风险控制方法,硬件方法,双机系统（,镜像服务器,）,星型拓扑结构局域网,磁盘冗余阵列,RAID,的基本目的是把多个小型廉价的磁盘驱动器合并成一组阵列来达到大型昂贵的驱动器所无法达到的性能或冗余性。,任何需要使大量数据触手可及的人（如一般的系统管理员）都可以从,RAID,技术中受益。,使用,RAID,的主要原因包括：,加快速度、使用一个虚拟磁盘，增加贮存容量,减少磁盘失效带来的不利影响,下一张,上一张,第二节 会计信息系统风险控制方法,软件方法,（,1,）,身份验证（每合法用户）,（,2,）数据备份（,备份方案,）,（,3,）查杀病毒,（,4,）安装防火墙,（,5,）信息加密,（,6,）数字签名,（,7,）会计信息系统审计,（,8,）系统运行安全日志,下一张,上一张,第二节 会计信息系统风险控制方法,规章制度的建立,建立依据：,中华人民共和国会计法,会计电算化管理办法,1994,年,商品化会计核算软件评审规则,1994,年,会计核算软件基本功能规范,1994,年,会计电算化工作规范,1996,年,下一张,上一张,第二节 会计信息系统风险控制方法,建立规章制度的主要：内容,岗位责任制度（分工明确、责任明确、处理方法明确）,计算机操作制度（操作流程明确、功能授权明确、数据范围明确）,档案管理制度（存档时间明确、存档地点明确、存档份数明确、借阅手续明确）,软硬件维护制度（零部的管理、软件系统的保存和升级管理、备份数据的管理）,下一张,上一张,备份方案,备份内容,备份方式（完整备份，增量备份，差量备份）,备份时间（定期备份）,备份数量（每种方式至少两份）,备份介质（永久性、循环使用）,保存地点（异地保存）,备份人员,返回,第三节 会计信息系统安全解决方案,单机系统安全解决方案,装机地点,系统授权,使用正版软件,不安装与工作无关的软件,定期清理系统（杀毒）,定期进行数据备份,个性化桌面管理,下一张,上一张,第三节 会计信息系统安全解决方案,局域网系统安全解决方案,星型拓扑结构,最小特权原则（为各帐号用户设定不同的资源）,限制登录的计算机（限制某用户只能从网络上的某台计算机上登录局域网）,限制登录时间,自动注销到期临时账号,第一次登录时修改自己的口令,限制错误口令的次数,加装备份域控制器（当主域控制器发生故障时，可提升备份域控制器，以恢复系统的运行）,下一张,上一张,第三节 会计信息系统安全解决方案,国际互联网系统安全方案,互联网的三项技术：,Http,、,Ftp,、,Smtp,Http,（超文本传输协议，主要提供浏览服务，可进行小批量的实时数据交换）,Ftp,（文件传输协议，主要提供大批量数据交换）,Smtp,（简单邮件传输协议，解决用户与用户之间的数据交换）,下一张,上一张,国际互联网系统接入方式如下：,专线接入（关键部门、大型跨国公司）,主机托管（大型网站、大型公司）,虚拟主机（中小公司、个人网站）,第三节 会计信息系统安全解决方案,第三节 会计信息系统安全解决方案,企业内部网（,Intranet,）系统安全方案,利用,Internet,技术、通讯标准和工具，采用,TCP/IP,协议，将不同位置的计算机通过通信线路相互联接而成，用于管理公司或企业内部信息的计算机网络系统。,下一张,上一张,第三节 会计信息系统安全解决方案,企业外部网（,Extranet,）安全方案,利用,Internet,技术、通讯标准和工具，采用,TCP/IP,协议，将企业与企业协作伙伴的计算机通过通信线路连接在一起，用于管理客户、供应商等外部协作伙伴信息的计算机网络系统。,下一张,上一张,第三节 会计信息系统安全解决方案,Extranet,信息交换模型,主动采集,被动采集,主动发布,被动发布,下一张,上一张,主动采集,返回,被动采集,返回,如设置电子邮箱，用于接收邮件,主动发布,返回,主动发送信息至网上，或其它群发工具发送信息,被动发布,返回,信息提供方将自己掌握的信息以守侯的方式在互联网上发布，,等待协作方（需求方）下载数据,