试论会计信息系统运行阶段的风险与控制(2)
2017-09-03 06:25
导读:会计信息系统控制的根本目的就是在信息系统风险分析基础上消除或降低风险危害。其控制目标主要有以下几点: 1.及时提供正确的、完整的、可靠的和
会计信息系统控制的根本目的就是在信息系统风险分析基础上消除或降低风险危害。其控制目标主要有以下几点:
1.及时提供正确的、完整的、可靠的和合理的会计信息。
2.保证会计处理符合会计制度和会计原则的要求。这就要求无论在设计阶段还是运行阶段,都必须建立适当的内部控制体系,确保系统及其所处理的经济业务合规、合法。
3.保护资产和资源,提高系统的安全性。
4.提高系统效率和效益,提高企业的竞争能力,辅助管理者提高管理决策的正确性。
二、会计信息系统风险分析
会计信息系统是一个复杂的系统,本文将会计信息系统的风险因素归纳为技术、应用和管理、舞弊几个方面。
(一)信息系统固有的脆弱性和缺陷
信息系统的组件在设计、制造和组装中,由于人为和自然的原因,可能留下各种隐患。如网络传输速度,服务器等硬件设施的稳定性和运行速度,软件设计中的缺陷,不同信息子系统的接口等。
1. 硬件的脆弱性
信息系统硬件组件的安全隐患多数来源于设计,主要表现为物理安全方面(如物理可存取和电磁兼容方面等)的问题。由于这种问题是设计时所遗留的固有问题,因此在自制硬件和选购硬件时应尽可能减少或消除这类安全隐患。
2. 软件系统的脆弱性
软件系统的安全隐患来源于设计和
软件工程实施中的遗留问题。软件设计中的疏忽可能留下安全漏洞;软件设计中不必要的功能冗余以及软件过长过大,不可避免地存在安全脆弱性;软件设计不按信息系统安全等级要求进行模块化设计,导致软件的安全等级不能达到应有的安全级别;软件尤其是自制应用软件编程时程序员暗地编进指令,使之执行未经授权的功能等。这些问题一般不易被防止和发现。
(科教作文网 zw.nseac.com整理) 3. 网络和通信协议
由于互联网本身是一个没有明确物理界限的网际,而支持互联网运行的TCP/IP协议栈在设计的当初主要考虑了互联互通和资源共享的问题,无法兼容解决来自网际的大量安全问题。比如,缺乏对通信双方真实身份的鉴别,TCP/IP在IP层上缺乏对路由协议的安全认证,应用层处于最顶部,下层的安全缺陷必然导致应用层的安全出现漏洞甚至崩溃,同时各种应用层协议本身也存在一些安全隐患等等。
(二)信息系统的舞弊
1. 针对硬件系统的舞弊
有意破坏系统硬件设备,致使系统运行中断或毁灭;计算机系统的操作人员不按规定的程序使用硬件设备可以引起系统的损坏,从而危害系统的安全直至系统完全毁灭。例如,不按正确的顺序开启设备致使硬件系统被烧,系统无法正常运行等,其后果是非常严重的;通过盗窃等手段破坏计算机系统,例如窃走竞争对手存有数据的磁带或磁盘,从而非法获得对方企业的重要信息;在原有的计算机系统中,非法加入硬件设备以达到窃取口令和重要信息的目的。
2. 针对软件系统的舞弊
软件系统是威胁、攻击、舞弊的主要对象,其方法和手段多种多样。常用的方法:截尾术、越级法、程序天窗、逻辑炸弹、冒名顶替等。
3. 针对数据的舞弊
计算机舞弊中最简单、最常用的方法是篡改输入,即数据在输入计算机之前或输入过程中篡改数据,使舞弊数据进入系统,达到非法目的的作弊方法。此外还有指操作员或其他人员不按操作规程或非法操作系统,改变计算机系统的执行路径从而破坏数据、通过篡改输出,以输出正确数据以蒙蔽检查、存储在软磁盘、硬盘、光盘等介质上的信息泄露、通信的某一方对发出或接收信息的行为进行抵赖。比如事后否认已经发送过的订货申请信息等。
(科教作文网 zw.nseac.com整理)
4. 计算机病毒
计算机病毒实际上是一段小程序,它具有自我复制功能,常驻留于内存、磁盘的引导扇区或磁盘文件中,在计算机系统之间传播,常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。虽然绝大多数病毒并不是针对某个系统设计,但是由于其隐蔽性强、传播范围广、破坏力大,对网络信息传输的安全构成了极大的威胁,逐渐成为威胁系统安全的重要因素。
