您的位置:正保會(huì)計(jì)網(wǎng)校 301 Moved Permanently

301 Moved Permanently


nginx
 > 正文

基于互聯(lián)網(wǎng)的會(huì)計(jì)信息系統(tǒng)控制(2.2)

2003-11-26 10:21 來(lái)源:

  三、基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的外部控制

  在互聯(lián)網(wǎng)環(huán)境下,企業(yè)內(nèi)聯(lián)網(wǎng)已不再是獨(dú)立、封閉的系統(tǒng),已成為互聯(lián)網(wǎng)世界的組成部分。因此,內(nèi)部控制也已是一個(gè)相對(duì)的概念。要有效地實(shí)現(xiàn)企業(yè)內(nèi)部控制的四個(gè)目標(biāo),保證企業(yè)網(wǎng)上商務(wù)活動(dòng)的正常進(jìn)行,必須把內(nèi)部控制從企業(yè)網(wǎng)的小內(nèi)部擴(kuò)展到互聯(lián)網(wǎng)的大內(nèi)部,也就是說(shuō),同時(shí)還要對(duì)企業(yè)內(nèi)聯(lián)網(wǎng)以外的系統(tǒng)空間進(jìn)行控制。下面要討論的外部控制,指的就是面向企業(yè)內(nèi)聯(lián)網(wǎng)外部環(huán)境的控制。企業(yè)內(nèi)聯(lián)網(wǎng)與外聯(lián)網(wǎng)、互聯(lián)網(wǎng)的關(guān)系如圖2所示,其外部控制包括周界控制、大眾訪問(wèn)控制、電子商務(wù)控制、遠(yuǎn)程處理控制等。

  圖2 外部控制點(diǎn)示意圖

  1、周界控制。周界控制是通過(guò)對(duì)安全區(qū)域的周界實(shí)施控制來(lái)達(dá)到保護(hù)區(qū)域內(nèi)部系統(tǒng)的安全性目的,它是一切防外措施的基礎(chǔ)。周界控制的主要內(nèi)容包括:(1)設(shè)置外部訪問(wèn)區(qū)域。訪問(wèn)區(qū)域是系統(tǒng)內(nèi)接待外界(關(guān)聯(lián)方、社會(huì)分眾)網(wǎng)上會(huì)計(jì)數(shù)據(jù)訪問(wèn)、與外界進(jìn)行會(huì)計(jì)數(shù)據(jù)交換的邏輯區(qū)域。企業(yè)在建立內(nèi)聯(lián)網(wǎng)時(shí),要對(duì)網(wǎng)絡(luò)的服務(wù)功能和拓?fù)浣Y(jié)構(gòu)的布局進(jìn)行詳細(xì)分析,通過(guò)專用軟件、硬件、管理措施,實(shí)現(xiàn)會(huì)計(jì)應(yīng)用系統(tǒng)與外部訪問(wèn)區(qū)域之間的嚴(yán)密的數(shù)據(jù)隔離、訪問(wèn)限制。(2)建立防火墻。防火墻是指建立在被保護(hù)網(wǎng)絡(luò)周邊的分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一種技術(shù)系統(tǒng)。根據(jù)網(wǎng)絡(luò)系統(tǒng)區(qū)域劃分的不同,可設(shè)置多級(jí)防火墻系統(tǒng)。一般分為兩類:一類是外層防火墻,用來(lái)限制外界對(duì)主機(jī)操作系統(tǒng)的訪問(wèn);第二類是應(yīng)用級(jí)防火墻,用來(lái)邏輯隔離會(huì)計(jì)應(yīng)用系統(tǒng)與外部訪問(wèn)區(qū)域之間的聯(lián)系,限制外界穿過(guò)訪問(wèn)區(qū)域?qū)W(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù)器,尤其是對(duì)會(huì)計(jì)數(shù)據(jù)庫(kù)系統(tǒng)的非法訪問(wèn)。(3)建立周邊監(jiān)控系統(tǒng)。通過(guò)對(duì)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)監(jiān)控和審計(jì)分析,實(shí)時(shí)檢測(cè)來(lái)自外部的入侵行為和內(nèi)部用戶的未授權(quán)活動(dòng),同時(shí)為追究入侵者法律責(zé)任提供線索和證據(jù)。

  2、大眾訪問(wèn)控制。網(wǎng)上大眾訪問(wèn)包括電子郵件傳遞、網(wǎng)上會(huì)計(jì)信息查詢等內(nèi)容。由于網(wǎng)絡(luò)系統(tǒng)是一個(gè)開(kāi)放的系統(tǒng),對(duì)社會(huì)大眾的網(wǎng)上行為實(shí)際上是不可控的。因此,除了加強(qiáng)社會(huì)法律威懾作用外,企業(yè)主要是在系統(tǒng)的外部訪問(wèn)區(qū)域內(nèi)采取防護(hù)控制措施。包括:

     (1)郵件系統(tǒng)控制。一般宜將郵件系統(tǒng)限定在外部訪問(wèn)區(qū)域的服務(wù)器和工作站上比較安全;

     (2)網(wǎng)上會(huì)計(jì)信息查詢控制。社會(huì)大眾可在網(wǎng)上查詢企業(yè)的產(chǎn)品信息、財(cái)務(wù)報(bào)告等內(nèi)容,這類業(yè)務(wù)一般也應(yīng)限制在系統(tǒng)的外部訪問(wèn)區(qū)域內(nèi)。系統(tǒng)要對(duì)提供信息的時(shí)間、內(nèi)容作嚴(yán)格規(guī)定,并通過(guò)安全通道及時(shí)更新訪問(wèn)區(qū)域上的信息資料。

  3、電子商務(wù)控制。就企業(yè)來(lái)說(shuō),可采取下列措施對(duì)電子商務(wù)活動(dòng)進(jìn)行管理與控制:

     (1)分別情況,建立與關(guān)聯(lián)方的電子商務(wù)聯(lián)系模式。一般可分為兩類:一類是數(shù)據(jù)測(cè)覽型模式,企業(yè)通過(guò)WWW向外部企業(yè)提供數(shù)據(jù)和條件檢查功能,外部企業(yè)不能更改數(shù)據(jù);另一類是事務(wù)處理型模式,交易雙方可在網(wǎng)上直接進(jìn)行電子憑證的交換,并更新雙方的事務(wù)處理文件。為保證交易信息的安全可靠性,防止被竊取、被仿冒、被篡改,交易雙方可對(duì)傳輸信息進(jìn)行加密處理,對(duì)穩(wěn)定、密切的合作伙伴還可進(jìn)一步建立虛擬專用網(wǎng),實(shí)現(xiàn)雙方(或多方)之間具有相互操作性的數(shù)據(jù)聯(lián)系;

     (2)建立網(wǎng)上交易活動(dòng)的授權(quán)、確認(rèn)制度,以及相應(yīng)的電子會(huì)計(jì)文件的接收、簽發(fā)、驗(yàn)證制度;

     (3)交易日志的記錄、審計(jì)制度。交易日志用來(lái)自動(dòng)記錄電子商務(wù)每個(gè)步驟的交易時(shí)間和內(nèi)容,對(duì)企業(yè)內(nèi)外部來(lái)說(shuō)都是重要的審計(jì)線索,企業(yè)需要同時(shí)也有義務(wù)保證它的完整性、可靠性。

  4、遠(yuǎn)程處理控制;诨ヂ(lián)網(wǎng)的會(huì)計(jì)信息系統(tǒng)的建立為集團(tuán)型企業(yè)實(shí)現(xiàn)遠(yuǎn)程查帳、遠(yuǎn)程報(bào)表、遠(yuǎn)程審計(jì),以及對(duì)交易事項(xiàng)的遠(yuǎn)程財(cái)務(wù)監(jiān)控創(chuàng)造了條件。建立相應(yīng)的遠(yuǎn)程處理控制系統(tǒng),是開(kāi)展遠(yuǎn)程處理業(yè)務(wù)的前提。主要控制措施包括:

     (1)分支系統(tǒng)安全模式設(shè)計(jì)。分支系統(tǒng)是企業(yè)在異地具有獨(dú)立內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)的會(huì)計(jì)信息系統(tǒng),由于母系統(tǒng)的監(jiān)控和訪問(wèn)直接伸入分支系統(tǒng)內(nèi)部,而不是在通常的外部訪問(wèn)區(qū)域。因此,需要特別考慮由于遠(yuǎn)程處理給雙方增加的風(fēng)險(xiǎn)問(wèn)題。除了通信技術(shù)應(yīng)采取互聯(lián)網(wǎng)上的虛擬專用網(wǎng)外,在保證實(shí)時(shí)會(huì)計(jì)處理和財(cái)務(wù)監(jiān)控有效的前提下,分支系統(tǒng)可采取單獨(dú)設(shè)置母系統(tǒng)訪問(wèn)區(qū)域的做法,以提高其會(huì)計(jì)信息系統(tǒng)的安全可靠性;

     (2)遠(yuǎn)程處理規(guī)程控制。由于遠(yuǎn)程實(shí)時(shí)處理雙方一般不是通過(guò)系統(tǒng)的外部訪問(wèn)區(qū)域連接的,任何一方的安全問(wèn)題很可能給另一方帶來(lái)危害。因此,雙方要制定嚴(yán)格的遠(yuǎn)程處理控制操作規(guī)程,包括操作權(quán)限控制、內(nèi)容授權(quán)控制、處理程序控制、通道及兩端服務(wù)器安全控制等等。對(duì)于需在線實(shí)時(shí)處理的內(nèi)容,如在線財(cái)務(wù)審批、電子轉(zhuǎn)帳等內(nèi)容,應(yīng)在嚴(yán)格的操作規(guī)程下進(jìn)行,確保處理結(jié)果的有效性和可驗(yàn)證性。

  以上從系統(tǒng)風(fēng)險(xiǎn)評(píng)估、弱點(diǎn)分析、控制方案構(gòu)建與實(shí)施等方面比較系統(tǒng)地討論了基于互聯(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)控制的設(shè)計(jì)與實(shí)現(xiàn)。由于信息安全技術(shù)總是落后于信息技術(shù)的發(fā)展,安全的實(shí)現(xiàn)不可能是一成不變的。因此,企業(yè)要把系統(tǒng)風(fēng)險(xiǎn)評(píng)估與管理制度化,以保證系統(tǒng)的控制方案及安全政策不斷隨系統(tǒng)本身的發(fā)展而不斷完善。