9-会计信息系统安全与风 险控制.pptVIP

系统安全与控制的必要性 人们对计算机的依赖越来越强，有增无减 会计工作处于单位工作的核心地位 为实现会计目标，会计工作向规范化、系统化、标准化方向发展 会计数据、硬件设备、软件程序、操作人员、规章制度等任何部分不能出现问题，否则可能会使会计信息扭曲，会计工作目标发生偏离 因此，必须保证AIS在一个相对安全的环境下运行，做到不出问题、少出问题；出现问题能够及时发现、及时解决，使得由此产生的风险处在可控的范围，损失降到最低。 安全隐患 安全隐患的类别 1.内部安全隐患与风险：来自系统内部，如内部人员操作不当、设备故障、软件错误等，影响面有限，局限于某一单位或部门。原因排查、责任人确认比较容易。 2.外部安全隐患与风险：来自系统外部，主要是外部人员对系统的攻击，如黑客，影响面广，危害性大，不易确认责任人。 恶意黑客：非法入侵系统，获取账号、密码等关键数据，删除修改重要程序、数据文件，摧毁系统致使系统瘫痪，远程控制计算机。对攻击者很难确认。 非恶意黑客：手段和方法与恶意黑客基本相同，但不破坏系统资源，不摧毁应用系统，主要目的是展示自己，黑客之间进行交流。对完善系统、发现漏洞有积极作用。 产生安全隐患与风险的因素 1.硬件因素：系统硬件故障导致运行故障，如部件破损、元器件故障、连接不畅、接口变形等。特点：临时性、恢复快。 2.软件因素：应用系统运行中产生的，如删除数据文件、修改应用程序、窃取关键数据、干扰系统正常运行等。特点：危害大（系统瘫痪、破坏系统资源）。该类故障分固有风险和外部风险。 产生安全隐患与风险的因素 3.人员因素：人员不同权限不同（功能权限、数据权限、金额权限），因此有合法用户和非法用户。隐患与风险的表现形式主要是：内部合法用户越权操作、窃取账号登录系统、破坏数据、盗用重要信息；外部用户非法登录获取合法用户账号后，登录系统，获取重要信息，破坏系统资源。 4.制度因素：会计工作的内容、流程、顺序、范围有严格规定，不得越权，否则可能被追究责任。因此，需要完善制度，以便发生问题时查清责任。 控制风险的方法 1.硬件方法 双机系统：工作服务器+工作服务器的镜像服务器 星型拓扑结构局域网：稳定性、安全性、可维护性最高。一台计算机出现问题，系统不会瘫痪，只需从节点开始逐级向上追溯。 廉价磁盘冗余阵列（RAID0，RAID1）： 控制风险的方法 2.软件方法 2.1身份验证：检验使用者身份是否合法的过程。通常采取用户名和口令的方式。 2.2数据备份（备份方案）：对一组数据定期进行拷贝，得到多个数据内容完全相同的文件，然后将其存储到系统以外的存储设备上。备份应按计划进行，该计划主要包括： 备份内容： 备份方式：完整备份，增量备份，差量备份 备份时间：定期备份 备份数量：每种方式至少两份 备份介质：永久性、循环使用 保存地点：异地保存 备份人员：执行人 控制风险的方法 2.软件方法 2.3查杀病毒：病毒是指在计算机程序中插入的，破坏计算机功能或者数据，影响计算机使用并且能自我复制、感染其他程序的一组计算机指令或程序代码，它具有传染性、破坏性、隐蔽性、潜伏性、衍生性等特征。病毒危害系统的方式有：干扰输出、预留后门程序、植入木马程序、修改文件、获取关键数据、记录键盘输入、占有系统资源、摧毁硬件等。 控制风险的方法 2.软件方法 2.4安装防火墙：在内网和外网之间架设防火墙，P525。防止内部用户任意访问外部系统，阻止外部用户入侵内部系统以及对内部系统进行攻击。一般采取包过滤、应用程序过滤、入侵检测、门禁管制、整体安全性等。 2.5信息加密：对数据按照一定的算法进行变换的过程，防止信息被交换双方以外的第三方“搭线”监听、截获。一般采取“对称加密解密”的方式，如著名的DES（加密算法公开，但使用的密匙必须秘密保存）。 控制风险的方法 2.软件方法 2.6数字签名（RSA）：如签字一样防篡改、抗抵赖，防止文档所有者以外的他人对文档进行任何修改，使文档所有者无法抵赖属于自己的文档。采取非对称加密技术：加密密匙与解密密匙不对称。 2.7对会计信息系统核算过程的连续性、数据处理审计：审计的正确性、功能设置的合法性、会计数据的完整性、内部控制的有效性、会计信息的安全性。 2.8系统运行安全日志：记录计算机系统被使用的过程，以及系统状态。前者是应用系统日志，后者是计算机系统日志。 控制风险的方法 3.建立健全规章制度： 岗位责任制度：分工明确、责任明确、处理方法明确 计算机操作制度：操作流程明确、功能授权明确、数据范围明确 档案管理制度：存档数据明确、存档份数明确、存档地点明确、借阅手续明确 软硬件维护制度：零部件的保管、软件系统的