【关键词】内部控制;信息系统;一般控制;应用控制
一、信息系统的一般控制
(一)概念定义
对于信息系统的一般控制,存在着不同的理解。
国内有学者认为:信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。有效的一般控制是保证应用控制有效的一个重要因素,它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱,将会严重地削弱相关的具体应用控制的可靠性。
《日本内部控制评价与审计准则》在基本沿袭COSO报告框架的同时,结合日本实际情况,在COSO报告三个目标和五项基本要素的基础上各增加一项,规定为四个目标和六项基本要素。其第六项基本要素为“信息技术的应对”,并把对信息技术的控制活动分为信息技术相关的全面控制和业务处理控制。《日本内部控制评价与审计准则》认为:信息技术相关的全面控制,意味着为保证业务处理控制有效运行的环境而进行的控制活动,通常是指与多项业务处理控制相关的政策和手续。信息技术相关的全面控制,通常是以支持业务管理系统的信息技术基础(硬件、软件、网络等)作为单位构建的。
综合借鉴国内外学者的意见,笔者认为:信息系统的一般控制是指为保证各信息系统有效执行业务处理控制而对信息系统开发和应用环境进行的控制活动。包括职责分工与授权审批,信息系统开发、运行维护与变更控制,信息安全、硬件管理等,它作用于所有的信息系统。
(二)重要风险
在分析信息系统一般控制面临的风险时,可以从信息系统生命周期的角度分析信息系统开发和应用环境需要关注的重要风险。信息系统的生命周期大致可分为战略规划、计划、设计和开发、运行维护几个阶段,企业应该在对各阶段面临的风险进行风险评估的基础上,建立关键的信息系统和数据清单,确定其所有人和负责人,对其实施信息系统一般控制。
战略规划和计划阶段对应于COBIT框架中的策划和组织过程域;设计和开发阶段对应于COBIT框架中的获取与实施过程域;运行维护阶段对应于COBIT框架中的交付与支持过程域。COBIT框架中的监控与评价过程域所关注的风险和控制活动,贯穿于信息系统的生命周期。
在战略规划阶段,重要风险是由于缺乏信息战略规划或战略规划不当,导致信息战略规划与业务战略规划不匹配,容易出现信息系统重复建设、信息孤岛等问题,信息系统不能经济有效地支撑业务发展,影响企业目标的实现。
在计划阶段,重要风险是缺乏具体计划或者计划不合理,导致信息战略规划不能有效落实。
在设计和开发阶段,重要风险是没有有效实现业务处理和业务控制要求,出现汇总、排序、应计、待摊等计算错误,程序算法不够优化、系统响应时间和吞吐量达不到要求,处理环节间的钩稽验证机制缺失等问题,导致信息系统不能有效支持业务开展,不能有效预防和发现错误和舞弊。
在运行和维护阶段,重要风险包括信息安全风险、信息系统服务质量风险、信息系统的可持续性风险。信息安全风险主要是由于身份管理、用户账号管理、密钥管理、恶意软件的检测和纠正、网络传输安全、数据存储安全等方面缺乏有效控制而导致信息的真实完整、安全保密无法有效保证,恶意用户非法操作和舞弊;信息系统服务质量风险主要是由于系统性能、容量不能适应业务发展,或者用户培训不够,导致IT服务交付的质量级别不符合业务需要;信息系统的可持续性风险主要由于缺乏容灾和应急措施而导致信息系统的持续运行能力缺乏保障。
(三)关键控制活动
1.不相容职责定义
在定义不相容职责时,从信息系统生命周期的角度,不仅要考虑不同阶段之间的不相容职责,也要考虑同一阶段内的不同职责。主要有以下不相容职责。
系统开发与验收测试是不相容职责。系统开发主要是IT服务部门的工作职责;而验收测试则是检验系统是否满足用户需求的测试,要验证用户需求是否得到满足,就只能由用户部门执行测试。系统开发与验收测试不相容,体现了IT服务部门和业务部门的职责分离。
数据管理和应用程序管理是不相容职责。数据管理不局限于数据库管理,也包括excel文件之类的文档管理。应用程序管理不局限于源代码和开发文档管理,也包括可执行程序版本的管理。应用程序和数据是信息系统的核心,为保证数据的完整性和一致性,用户应尽量避免直接访问后台数据,而应通过应用程序提供的功能读写其访问权限内的数据。如果同一岗位既能通过修改代码或者替换运行程序版本等方式调整应用程序运行,也能直接控制后台数据,就很容易在信息系统中舞弊而不被察觉。
系统管理职责和业务操作是不相容职责。系统管理职责关注的是信息系统的性能调优、安全防护、运行监控等技术方面的工作,而业务操作职责关注的是利用信息系统的功能完成业务处理、辅助决策。如果系统管理职责和业务操作职责合二为一,就可能发生系统管理员赋予自己极高的业务操作权限,发生不经业务管理者实际授权批准就自行执行非法业务操作、消除操作痕迹等舞弊行为。
开发职责和业务操作是不相容职责。系统开发者熟悉系统内部细节,如果允许系统开发者操作信息系统处理业务,就可能发生系统开发者利用预设于系统中的后门执行非法业务操作的舞弊行为。
2.授权管理
为了实现有效的信息系统控制,需要建立并执行必要的组织机构、授权管理制度。
企业可以指定专门部门或岗位(以下统称归口部门)对信息系统实施归口管理,负责信息系统开发、运行维护和变更等工作。用户部门应当根据本部门职能定位参与信息系统建设。
3.系统开发和应用过程控制
(1)信息系统开发阶段
信息系统开发阶段最大的风险就是没有规范、可行的开发流程管理制度,导致信息系统开发成本、质量、时间进度失控,因此有必要制定并不断修订完善开发流程管理制度。虽然信息系统的开发方式有自行开发、外购调试、外包开发等多种方式,但基本流程都包含需求分析、设计、编程、测试、上线、评价与维护等环节。
在需求分析环节,重要风险是需求本身是否合理、需求文档表述是否准确、完整。需求本身是否合理,是指对信息系统提出的功能、性能、安全性等方面的要求能否满足业务处理和控制的需要,技术上是否可行,经济上是否有益,法律规章方面是否合法合规。用户部门应当对信息系统的功能、性能、安全性等提出明确需求,形成规范文档,建立并执行有效的需求评审制度。
在设计环节,重要风险是设计方案不能满足用户对系统的功能和性能需求。因此,系统设计方应当就总体设计方案与用户部门进行沟通和讨论,说明方案对用户需求的响应情况。如果存在多种设计方案,应当详细说明各方案在成本、建设时间和用户需求响应上的差异。归口部门和用户部门应当对选定的设计方案予以书面确认。
在编程和测试环节,重要风险是编程与设计不符。为了控制这方面的风险,需要加强测试工作。信息系统上线前应当进行系统测试和用户验收测试,测试方应对测试结果予以书面确认。
在系统上线环节,重要风险是没有完整可行的上线计划导致人员培训不足、数据准备不合格,系统上线混乱无序,质量和进度无法保证。因此,企业应当制定信息系统上线计划,并经归口部门和用户部门审核。企业应当制定培训计划,对企业高管、业务操作人员、系统管理人员等进行培训。如果信息系统上线涉及数据迁移,企业应当制定详细的数据迁移计划,并对迁移结果进行测试。用户部门应当参与数据迁移过程,对迁移前、后的数据予以书面确认。
在系统评价环节,重要风险是未能及时有效掌握系统运行情况,不能及时发现系统的错误和不足,当问题暴露出来时,已是积重难返。因此,信息系统上线后,企业应当对系统运行中的问题和系统未能满足用户需求的情况进行记录,定期总结和分析,对系统进行调整和完善。
为了加强信息系统开发过程管理,企业可采用项目管理的方式对开发全过程监控。
如果企业将信息系统的开发外包,应对外包服务进行管理。
(2)信息系统运行维护阶段
1)保证信息系统安全的控制活动。在信息系统运行维护阶段,信息系统安全方面的首要风险是没有系统安全等级的概念或者未能合理确定系统安全等级,没有分等级的系统安全控制措施,导致不能抓住重点,以有效成本保障系统安全。因此,企业应当根据信息系统业务性质、重要性程度、部署方式、涉密情况等确定系统的安全等级,针对不同等级采用相应的制度和技术手段确保系统安全。
用户身份被假冒造成非授权访问,或者用户对操作进行事后抵赖,是常见的安全问题。提高用户的安全保密意识,做好用户身份识别和授权管理,是系统安全控制的重点。因此,企业应当对重要岗位员工进行信息系统安全保密培训,与其签署安全保密协议。企业应当采用密码控制、数字证书、生物识别等技术手段进行用户身份识别。企业应当建立用户管理制度,加强访问权限管理,避免将不相容职责授予同一用户,定期对系统中的用户进行审查,避免有授权不当或非授权用户存在。例如:工商银行的网上银行系统采用U盾或者电子银行口令卡,配合用户自设的网银密码,完成用户身份认证。
网络应用消除了地理空间的阻隔,对企业拓展业务地域贡献很大,但也把企业暴露于新的风险:数据可能在传输中泄漏、丢失、篡改;对来自互联网的入侵攻击缺乏综合防范。因此,对于存在网络应用的企业,应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术,以及远程访问安全策略等手段加强网络安全,防范来自互联网的攻击和非法侵入。对于在互联网传输的涉密或者关键业务数据,企业应当采取必要的技术手段确保信息传递的保密性、准确性、完整性。
为了有效控制系统安全风险,需要有效利用IT技术手段提供的安全机制和功能,并对硬件配置调整、软件参数修改严加控制。因此,企业应当充分利用操作系统、数据库系统、应用系统提供的安全机制设置安全参数,加强系统访问安全。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件感染和破坏。对于重要的计算机设备,企业应当禁止并利用技术手段防止用户擅自安装、卸载软件或者改变软件系统配置,并定期对上述情况进行检查。
2)保证信息系统服务质量的控制活动。信息系统服务质量风险主要是由于系统性能、容量不能适应业务发展的需要。为了控制性能和容量不足的风险,需要监控系统负荷,及时进行硬件设备扩容、软件系统性能优化等工作。
3)保证信息系统可持续性的控制活动。信息系统的可持续性风险主要由于缺乏容灾和应急措施,而导致信息系统的持续运行能力缺乏保障。为了控制系统中止运行的风险,企业应当采用日常检测、设立容错冗余、编制应急预案等预防性措施,确保信息系统的持续运行。企业应当根据业务性质和风险程度,编制信息系统灾难恢复计划,并定期复核、修正该计划;需要制定并落实合理的备份制度,明确备份范围、备份频度、备份方法、备份责任人、备份存放地点、备份有效性检查等内容。
4)对信息系统变更的控制活动。企业可能由于系统开发不完善、用户需求变动或者应用环境的变化而对已经上线实施的信息系统进行变更。对于信息系统的变更,企业应当按照系统开发的控制要求实施控制。
二、信息系统的应用控制
(一)概念定义
对于信息系统的应用控制,存在着不同的理解。
国内有学者认为:信息系统应用控制是被用于具体应用系统的控制,一个应用系统一般由多个相关计算机程序组成,有些应用系统可能是复杂的综合系统,牵涉到多个计算机程序和组织单元。与此相应,应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。
《日本内部控制评价与审计准则》认为:信息技术相关的业务处理控制,是指在管理业务的系统中,为确保经批准的业务全部正确地进行处理、记录,内含于业务流程之中的信息技术相关的全部控制。这些业务处理控制,也可以采用手工操作来实施,但由于其内含于系统之中,使更高效率且准确的处理成为可能。
综合借鉴国内外学者的意见,笔者认为:信息系统的应用控制是为保证特定业务流程正常运转而对具体应用系统进行的控制活动,包括业务处理流程整体控制、输入控制、处理控制和输出控制等。应用控制既可通过程序编码将控制规则固化于应用系统中以自动化控制方式实现,也可通过手工方式实现。
(二)重要风险
在分析信息系统应用控制面临的风险时,可以从信息处理流程的角度考虑。信息系统应用控制所面临的风险,首先是贯穿于业务处理各环节的风险,包括业务流程本身设计不合理,业务处理授权、职责分离不当;然后是输入、处理、输出各环节的风险。
信息系统中的业务处理流程设计不合理通常表现为:业务处理因人设事,审批环节臃肿而流于形式,处理效率低下;业务处理仅有一条执行线索,未充分考虑某些处理环节可合并执行的可能性,业务流程耗时过长;业务处理环节间缺乏反馈控制机制,不能及时调整以应对出现的问题和异常情况。
业务处理授权、职责分离不当通常表现为:没有在信息系统中执行合理、有效的业务处理环节授权管理,可能导致同一用户具有不相容业务环节或功能的操作权限,影响企业业务数据的正确性,并可能导致舞弊行为出现,进而对企业造成损失。
输入环节的风险主要是没有严格的系统录入控制和数据源头控制,可能导致进入系统中的数据不准确和不完整。
处理环节的风险主要是信息系统处理不正确,例如汇总、过滤、排序、应计、分摊等处理计算错误,可能导致企业业务不能正常运转,对企业造成重大损失。例如:2009年2月12日,南京市鼓楼区法院接到诉状,南京市民王萍将中国建设银行南京市鼓楼支行告上法庭。理由是:建行江苏省分行因利息计算系统错误侵占了自己的利益。
输出环节的风险主要是信息输出的内容、方式、时间、频度、接收者缺乏控制,可能导致信息缺乏决策相关性或信息泄密。
(三)关键控制活动
应用控制可手工执行,也可由应用系统自动执行。为了提高效率,应尽可能地把业务处理规则、控制规则嵌入应用系统,实现自动控制。对于可以完全由计算机处理的事项,企业应当设计为信息系统控制。
业务流程整体控制。业务流程全局合理性的控制,在信息系统中通过工作流的定义、执行、调度、监控实现。业务流程模板等主数据、流程参数对业务流程优化至关重要。要控制业务处理流程设计不合理的风险,就需要企业识别信息系统中的重要主数据和控制参数,建立规范的管理流程,对重要主数据和控制参数的创建、维护进行审批控制,确保其正确性、完整性和一致性。
业务处理授权和不相容职责分离的控制。这种控制在信息系统中主要通过用户权限管理和操作日志实现。权限管理需要实现功能权限管理和数据权限管理相结合。功能权限决定了用户是否可以执行某项功能,通常表现为不同职权的用户所能使用的菜单项、按钮组合不同。数据权限决定了用户可处理的数值范围,例如不同职权用户可处理的订单金额上限不同、可给予客户的折扣金额上限不同。操作日志功能可详细记录系统每个账户的登录时间、操作内容,从而确保操作的可审计性。
输入(源头)控制。输入控制确保只有有效的、经授权的信息才能进入系统,确保数据的准确性、有效性和完整性。在信息系统中通过各种输入校验实现,例如使用循环冗余校验码、检查数据取值的合理性、参照完整性检查、合计数与明细数一致性检查、借贷平衡检查等。企业开发信息系统,应当针对手工录入、批量导入、接收其他系统数据等不同数据来源,采取针对性的控制手段。
系统处理控制。处理控制确保系统按规定对数据进行处理,包括:能够对经济业务进行正常处理;业务数据在处理过程中没有丢失、增加、重复或不恰当的改变;处理中错误能够发现并得到及时更正。常用的控制措施有:处理权限控制,合理性检验控制,业务时序控制,审计跟踪控制,备份及恢复控制。处理控制主要依赖于程序自身的算法正确性,需要加强系统测试。
输出控制。输出控制可分为输出正确性控制、输出权限控制和输出资料分发控制。常用的输出正确性控制措施有:合计数控制、抽样统计控制、数据稽核控制等。输出权限控制使只有特定的、经过授权的用户才可以执行输出操作,而且不同权限的人应该只能输出相应权限的内容。输出资料分发控制使资料只能分发给有权接受资料的人。输出控制也主要依赖于程序自身的算法正确性,需要加强系统测试。
参考文献
[1]审计署审计科研所.信息系统内部控制测评研究[EB/OL].http://www.audit.gov.cn/n1057/n1102/n619286/n619304/
1289617.html.
[2]李玉环,译.日本内部控制评价与审计准则[M].东北财经大学出版社,2007.
[3]中国工商银行.中国工商银行网上银行安全策略[EB/OL].http://www.icbc.com.cn/ICBC//工行学苑/网上安全/default.htm.
关键词:会计电算化风险安全控制
一、前言
在科技飞速发展的今天,电子信息技术即为会计电算化提供了机遇,也带来了挑战。会计电算化代替传统会计的手工的数据采集、处理和输出,减少了会计的劳动量,大大提高了劳动生产率,节约了成本。但是,有利必有弊,与传统手工会计相比,会计电算化的安全控制正将面临着严峻的挑战,如何加强会计电算化信息系统的安全控制,已经迫在眉睫。
二、会计电算化信息系统的防范措施
1.加强实体安全建设
一般来说实体安全是涉及到环境、技术、光和磁介质等因素,具体是指那部分有关于计算机机房内环境与技术规范以及光和磁介质特殊性数据存贮体保护及保存要求的统称。从本质上来说,实体安全控制更多的倾向于一种预防性控制。计算机机房应该符合安全要求和技术要求,需要有防潮、恒温、防火、防水以及防盗等环境条件。对于光、磁性备份数据的储存工作应当特别从注意防潮、防尘以及防磁这三个方面。
2.加强对会计电算化设备的安全控制
(1)弥补硬件的缺失
硬件设备是计算机运行所必不可少的核心部分,计算机会计系统也不例外,因此必须要充分保证会计电算化信息系统硬件设备的完善,但是基于自然和认为的原因,计算机硬件系统会存在固有缺陷。会计信息系统的硬件在设计、制造和组装过程中可能留下各种隐患,严重的影响了网络传输介质和服务器等硬件设施的稳定性和运行速度。
(2)减少软件的风险
软件系统为计算机的运行注入了新的活力,但对软件系统的不重视,极易产生安全隐患,严重的影响了会计电算化信息系统的安全,不容忽视。软件设计与安装阶段都会对信息系统造成隐患,如软件安全等级较低,在设计中的疏忽造成安全漏洞等;另外,软件使用的技术过于复杂引起实施者未恰当理解,也对信息系统造成威胁。笔者认为减少软件的风险可以从以下三个方面入手:
第一,充分检测软件与系统的兼容性和统一性,加强业务之间的衔接,尽可能统一的完成数据的自动核对、校验,数据备份。
第二,加强计算机系统的保密措施,减少人机对话,提高安全性。
第三,增强软件的自动跟踪能力,记录所有的非正常操作现象。
3.加强对内部岗位的牵制力
会计电算化信息系统的应用,大量的减少了操作人员的数量,计算机统一执行了各种业务,打破了传统手工会计与企业之间的管理模式,缺乏了那种以岗位分离的方式来实现各种业务环节的相互制约的牵制力。这是会计电算化信息系统的一个极大的隐蔽风险,因此必须要对内部岗位加强管理,使其相互监督制约,从源头上控制风险。
4.病毒的防范控制
病毒是计算机信息系统的严重威胁,而防范病毒最好的方式就是加强教育,提高预防意识,使病毒防范的管理制度能够严格的执行。在计算机软件更新时要先经过专业的计算机病毒检测,然后才能安装使用。而且要经常或定期性的由专业人士对计算机病毒进行检测与清除。并要加强网络防火墙建设,防止病毒的网络传播。
三、加强会计电算化信息系统处理过程中的安全控制
1.电力设备保障
在会计电算化处理过程中,极易发生意外,而这些意外往往是不可期其中断电便是其中之一,因此在发生停电或意外断电时,必须要保证电力的供应,避免数据的丢失。
2.对数据的备份
在系统正常运行过程中,要定时或不定时地进行数据备份,或由系统提供强制备份措施,只有经常进行数据的备份,才可能在数据发生丢失或损坏时,及时进行修复。否则,数据不能得到及时修复,对企业会造成不可弥补的损失。
3.数据输入、输出的控制
会计信息系统主要是由数据整理,数据输入,数据处理,数据通讯,数据保存,数据输出几个部分构成。在这些环节中分析出现风险的可能性,分析系统设计过程中是否在实现各个功能时嵌入相应的内部控制措施,嵌入的内部控制措施是否发挥作用,对于一些潜在的可预见风险是否在系统中采取预防措施,是否对不可预见风险的处理留有挽救的余地等对于加强会计电算化信息系统的安全又这什么重要的意义。在会计信息系统工作中,可以说,电子计算机信息系统处理数据的准确性与数据输入时的准确息相关,计算机的原始数据是先由人工事先进行审核和确认,然后在输入计算机内,如果输入错误,计算机数据处理必将出现偏差,因此,企业应该建立起一整套内部控制制度以便对输入的数据进行严格的控制,保证数据输入的准确性。而在数据输出过程中,由于计算机信息系统中磁性介质的可复制性,使会计资料极易泄露而不被发现,因此,对于数据输出的资料,不论是磁性文件还是打印资料,输出后均应立即受到严格管理,以防被人窃取或篡改,造成机密泄露,给企业带来不必要的损失。
四、结束语
会计电算化是电子信息技术在金融领域的具体应用,对企业的管理和企业的效益有着十分直观的影响。虽然会计电算化作为科技时代的新兴产物,与传统手工会计相比有着无可比拟的优越性但其风险也是大大提高了,可谓是基于与挑战并存,因此,我们要抓准机遇,迎接挑战,加强会计电算化信息系统的安全控制,是企业形成良性的管理模式,促进经济和谐发展。
参考文献:
[1]陈金仓.会计电算化软件应用[M].黑龙江人民出版社,2002.
[2]鲜军.企业实施网络财务的安全风险与对策[J].商业研究,2002,(2).
[3]耿文莉.谈会计电算化信息系统的安全控制问题[J].商业研究,2004(301)
课题研究主要内容包括智慧信息化整体架构特征、安全框架,安全保障管理要求、技术要求及保障机制等。
概述
智慧信息化整体架构与主要特征
智慧信息化整体架构模型主要包括物联感知层,网络通信层,计算与存储层,数据及服务支撑层,智慧应用层,安全保障体系,运维管理体系,建设质量管理体系等。具有开放性、移动化、集中化、协同化、高渗透等主要特征。
智慧信息系统安全风险分析
根据智慧信息化特征,结合信息安全体系层次模式,逐层分析智慧信息化带来新的安全风险。
物理屏障层,主要包括场地门禁、设备监控、警卫等。移动性特点带来物理介质的安全新风险。移动设备和智能终端自身防御能力弱、数量大、分布散、采用无线连接、缺少有效监控等带来的风险。
安全技术层,主要包括防火墙、防病毒、过滤等安全技术。云计算、物联网、移动互联网等技术的开放性、协同性等特征带来的安全新风险。
管理制度层,主要包括信息安全人事、操作和设备等。智慧信息化环境下信息资源高度集中、服务外包等新模式带来的管理制度上的新风险。
政策法规层,主要包括信息安全法律、规章和政策等。对各类海量数据整合、共享和智能化的挖掘利用等深度开发带来的信息管理政策法规上的新风险。
安全素养层,主要包括民众信息安全意识、方法、经验等。智慧信息化带来威胁快速传播、波及范围倍增扩大的风险,信息安全威胁的主体发生转换,社会公众的高度参与,用户、技术与管理人员的安全意识和素养带来的风险比传统系统更大。
智慧信息系统安全框架
智慧信息系统安全框架如图2所示。管理终端和其他经过认证授权的可信终端作为智慧信息系统可信组成部分,需要进行边界防护,防止越权访问,互联网用户等非可信组成部分,要采取安全隔离措施,使其只能访问受限资源,防止内部数据非法流出。对数据区域、物联网感知区域、物联网控制区域以及基础设施的管理区域进行严格的安全域划分,针对不同的安全域实施安全产品的监测、防护、审计等不同的安全策略以保护数据安全,再配合同步进行的体系建设、安全培训等安全服务措施,实现智慧信息系统的深度防御。
管理要求
安全保障规划。信息化主管部门负责智慧信息化发展总体安全保障规划,各相关领域主管部门负责专项领域安全保障规划。确定安全目标,提出与业务战略相一致的安全总体方针及方案。
安全保障需求分析。项目单位分析系统的安全保护等级并通过论证、审核、备案;根据安全目标,分析系统运行环境、潜在威胁、资产重要性、脆弱性等,找出现有安全保护水平的差距,提出安全保障需求。
安全保障设计。项目单位根据系统总体安全方案中要求的安全策略、安全技术体系结构、安全措施和要求落实到产品功能、物理形态和具体规范上。并形成指导安全实施的指导性文件。
安全保障实施。建立安全管理职能部门,通过岗位设置、授权分工及资源配备,为系统安全实施提供组织保障。对项目质量、进度和变更等进行全过程管控及评估。
安全检测验收。系统运行前进行安全审查,关注系统的安全控制、权限设置等的正确性、连贯性、完整性、可审计性和及时性等。上线进行安全测试和评估,包括安全符合性查验,软件代码安全测试,漏洞扫描,系统渗透性测试等,确保系统安全性。
运维安全保障。建立系统安全管理行为规范和操作规程,包括机房安全管理制度,资产安全管理制度,介质安全管理制度,网络安全管理制度,个人桌面终端安全管理制度等并严格按照制度监督执行。
优化与持续改进。在系统运行一段时间或重大结构调整后进行评估,对系统各项风险控制是否恰当,能否实现预定目标提出改进建议。
技术要求
计算环境安全要求
服务器、网络设备、安全设备、终端及机房安全、操作系统、数据库管理系统应遵循GB/T22239-2008对应安全保护等级中相关安全控制项要求,并对重要设备的安全配置和安全状态等进行严格的监控与检测。
网络虚拟化资源池应支持基于虚拟化实例的独立的安全管理。多租户环境下,租户之间的网络支持虚拟化安全隔离,各个租户可以同时对自身的安全资源进行管理。
应提供以密码技术为前提的安全接入服务,保证终端能够选择加密通信方式安全接入云计算平台。
通信网络安全要求
对应安全保护等级中网络安全控制项要求,覆盖结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制项要求。
虚拟网络资源间的访问,应实施网络逻辑隔离并提供访问控制手段。从区域边界访问控制、包过滤、安全审计及完整性保护等方面保护虚拟边界安全。
智慧网络应具备网络接入认证能力,确保可信授权终端接入网络。采取数据加密、信道加密等措施加强无线网络及其他信道的安全,防止敏感数据泄漏,保证传输数据完整性。
终端安全要求
对应安全保护等级中终端安全及GAT671-2006的安全控制项要求,覆盖物理安全、身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等内容。
建设统一的终端安全管理体系,规范终端的各类访问、操作及使用行为,确保接入终端的安全合规、可管理、可控制、可审计。在重要终端中嵌入带有密码性安全子系统的终端芯片。
应用安全要求
满足对应安全保护等级中应用安全控制项要求,覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
进行可信执行保护,构建从操作系统到上层应用的信任链,实现可执行程序的完整性检验,防范恶意代码等攻击,并在受破坏时恢复。建立统一帐号、认证授权和审计系统,实现访问可溯。
遵循安全最小化原则,关闭未使用服务组件和端口;加强内存管理,防止驻留剩余信息被非授权获取;加强安全加固,对补丁与现有系统的兼容性进行测试;限制匿名用户的访问权限,支持设置用户并发连接次数、连接超时限制等,采用最小授权原则。
数据安全要求
满足对应安全保护等级中数据安全控制项要求,覆盖数据完整性、数据保密性、备份与恢复等内容。
将信息部署或迁移到云计算平台之前,明确信息类型及安全属性进行分类分级,对不同类别信息采取不同保护措施,重点防范用户越权访问、篡改敏感信息。
在多租户云计算环境下,通过物理隔离、虚拟化和应用支持多租户架构等实现不同租户之间数据和配置安全隔离,保证每个租户数据安全隐私。确保法律监管部门要求的数据可被找回。
虚拟存储系统应支持按照数据安全级别建立容错和容灾机制,防止数据损失;建立灾备中心,保证数据副本存储在合同法规允许的位置。
全面有效定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。
密码技术要求
物理要求。在系统平台基础设施方面使用密码技术。
网络要求。在安全访问路径、访问控制和身份鉴别方面使用密码技术。
主机要求。在身份鉴别、访问控制、审计记录等方面使用密码技术。
应用要求。在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
数据要求。在数据传输安全、数据存储安全和安全通信协议方面使用密码技术。
安全域划分与管理研究
智慧信息系统安全域可以分为安全计算域、安全用户域、安全网络域。
安全计算域:由一个或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域,是需要进行相同安全保护的主机/服务器的集合。安全计算域可以细分为核心计算域和安全支撑域。
安全用户域:由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。
安全网络域:支撑安全域的网络设备和网络拓扑,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。连接安全计算域和安全计算域、安全计算域和安全用户域之间的网络系统组成的区域。安全网络域可以进一步细分为感知网接入域、互联网接入域、外联网接入域、内联网接入域、备份网络接入域。
安全管理平台技术要求
对安全事件进行集中收集、高度聚合存储及分析,实时监控全网安全状况,并可根据需求提供各种网络安全状况审计报告。
智慧监测。针对大数据,通过预警平台对流量监测分析,为管理者提前预警,避免安全事件扩大化;监听无线数据包,进行网络边界控制,对智慧信息系统内部网络实施安全保护。
智慧审计。通过运维审计与风险控制系统对系统运维人员的集中账号和访问通道管控;通过数据库审计系统对数据库访问流量进行数据报文字段级解析操作,应对来自运维人员或外部入侵的数据威胁;通过综合日志审计系统实现对违规行为监控,追踪非法操作的直接证据,推动监测防护策略、管理措施的提升,实现信息安全闭环管理;针对应用层的实时审计、监测及自动防护。
智慧日志分析。对海量原始日志,按照策略进行过滤归并,减轻日志数据传输存储压力。对来自各资源日志信息,提供多维关联分析功能,包括基于源、目的、协议、端口、攻击类型等多种统计项目报表。多租户环境支持,支持虚拟化实例,能够区分不同租户的日志以及为不同租户提供统计报表。
智慧协同。根据开放性及应急响应技术要求,安全管理平台需考虑和周边系统互联互通,支持开放的API,相互传递有价值安全信息,以进行协同联动。
除了以上八个技术方面的要求外,智慧信息化安全保障体系还对安全产品、产品安全接口等方面也做出了相关要求。
保障机制
建立责任人体制。建设单位指定信息安全保障第一责任人,明确各环节主体责任,制定安全保障岗位责任制度,并监督落实。
建立追溯查证体系。建立全流程追溯查证体系,对存在的违法入侵进行有效取证,保证证据数据不被改变和删除。参照ISO/IEC27037:2012、ISO/IEC27042。
建立监督检查机制。由信息安全监管部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督。
建立应急处理机制。参照GB/Z20986-2007将安全事件依次进行分级,按照分级情况制定应急预案,定期对应急预案进行演练。
建立服务外包安全责任机制。安全服务商的选择符合国家有关规定,确保提供服务的数据中心、云计算服务平台等设在境内。
建立风险评估测评机制。对总体规划、设计方案等的合理性和正确性以及安全控制的有效性进行评估。委托符合条件的风险评估服务机构,对重要信息系统检查评估。定期对系统进行安全自查与测评。
关键词会计电算化安全控制内部控制
会计电算化是从以电子计算机为主的当代电子和信息技术应用于会计工作中的简称,是采用电子计算机替代手工记账、算账、报账,以及对会计资料进行电子化分析和利用的现代记账手段。开展会计电算化工作,能有效的促进会计基础工作规范化,提高会计人员的工作效率和工作质量,并最终提高企业的经济效益。
电算化会计信息处理具有如下特点:以电子计算机为计算工具,数据处理代码化,速度快、精度高;数据处理人机结合,系统内部控制程序化、复杂化;数据处理自动化,账务处理一体化;信息处理规范化,会计存储磁性化;具有选择判断及作出合理决定的逻辑功能。
会计电算化后,由于软件完成了大部分数据处理工作,所以软件本身的数据安全非常重要。
1会计电算化信息系统的安全威胁
1.1非预期故障
非预期故障主要包括以下几个方面:不可控制的自然灾害;存储数据的辅助介质(如磁盘)部分或全部遭到破坏;非预期的、不正常的程序结束操作造成的故障;用户非法读取、执行、修改、删除、扩充和迁移各种数据、索引、模式、子模式和程序等,从而使数据遭到破坏、篡改或泄露;使用、维护人员的错误或疏忽。
1.2计算机舞弊和犯罪
1.2.1篡改输入或输出数据
数据有可能在输入计算机之前或输入过程之中被篡改。在数据的采集、记录、传递、编码、检查、核实、转换并最后进入计算机系统的过程中,任何与之有关的人员,或能够接触处理过程的人员,为了一己之欲或被人利用都有可能篡改数据。如虚构业务数据、修改业务数据、删除业务数据等。篡改输出数据,通过非法修改,销毁输出报表,将输出报表送给公司竞争对手利用终端窃取输出的机密信息等手段来达到作案的目的。
1.2.2采用木马程序获取数据
在计算机程序中,非法地编进一些指令,使之执行未经授权的功能,这些指令的执行可以在被保护或限定的程序范围内接触所有供程序使用的文件。例如安置逻辑炸弹,即在计算机系统中适时或定期执行一种计算机程序,它能确定计算机中促发未经授权的有害件的发生件。
1.2.3篡改程序和文件
一般情况下只有系统程序员和计算机操作系统的维修人员有可能篡改程序和文件。例如,将小量资金(比如计算中的四舍五入部分)逐笔积累起来,通过暗设程序记到自己的工资帐户中,表面上却看不出任何违规之处。又例如开发大型计算机应用系统,程序员一般要一些调式手段,编辑完毕时,这些手段应被取消,但有时被有意留下,以用来进行篡改程序和文件之用。此外,当计算机出现故障、运转异常时,修改或暴露计算内容。
1.2.4非法操作
非法操作主要是通过非法手段获取他人口令或通过隐藏的终端进入被控制接触的区域从而进行舞弊活动。例如,从计算机中泄露数据,即从计算机系统或计算设施中取走数据。作案人员可以将敏感数据隐藏在没有问题的输出报告中,也可采用隐藏数据和没有问题的数据交替输出。如系统人员未经批准擅自启动现金支票签发程序,生成一张现金支票到银行支取现金。
1.2.5其他方法
其他的方法如拾遗、仿造与模拟等等。拾遗是在一项作业完成之后,取得遗留在计算机系统内或附近的信息。仿造与模拟在个人计算机上仿造其他计算机程序,或对作案计划方法进行模拟实验,以确定成功的可能性,然后实施非法操作。此外,还可通过物理接触、电子窃听、译码、拍照、拷贝等方法来舞弊。
1.3计算机病毒侵入
网络财务是会计电算化的一个发展趋势,网络是计算机病毒传播的一个重要途径,因此计算机病毒也是会计电算化安全的一大威胁。
2会计电算化安全防范与控制
2.1加强电算化法制建设
目前,由于法规的不健全使电算化犯罪的控制很困难,例如,对未经许可接触电算化会计信息系统或有关数据文件的行为,在许多国家法律上不认为是偷窃行为,因此就无法对拷贝重要机密数据的行为治罪。我们必须看到,对电算化会计信息系统的开发和管理,不能仅靠现有的一些法规,如会计法、企业会计准则等,因为会计电算化犯罪毕竟是高科技、新技术下的一种新型犯罪,为此制定专门的法规对此加以有效控制就很有必要。
电算化犯罪法制建设,可从三个方面入手:建立针对利用电算化犯罪活动的法律;建立电算化系统保护法;加强会计人员的信用体系建设和职业道德教育。
2.2完善内部控制系统
2.2.1组织与管理控制
(1)机构和人员的管理控制。会计核算软件投入正式使用后,对原有会计机构必须做相应调整,对各类人员制定岗位责任制度。通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约、防止或减少错弊发生的目的。
(2)实体安全控制。实体安全涉及到计算机主机房的环境和各种技术安全要求、光和磁介质等数据存贮体的存放和保护。计算机机房应该符合技术要求和安全要求,应充分满足防火、防水、防潮、防盗、恒温等技术条件;机房应配有空调和消防设置等。对用于数据备份的磁介质存贮媒体进行保护时应注意防潮、防尘和防磁,对每天的业务数据备双份,建立目录清单异地存放,长期保存的磁介质存贮媒体应定期转贮。
(3)硬件安全控制。计算机关键性的硬件设备应采用双系统备份。此外,机房内用于动力、照明的供电线路应与计算机系统的供电线路分开,配置UPS(不间断电源)、防辐射和防电磁波干扰等设备。
(4)网络安全控制。针对网络的特点,需加强以下几个方面的控制。①用户权限设置:从业务范围出发,将整个网络系统分级管理,设置系统管理员、数据录入员、数据管理员和专职会计员等岗位,层层负责,对各种数据的读、写、修改权限进行严格限制,把各项业务的授权、执行、记录以及资产保管等职能授予不同岗位的用户,并赋予不同的操作权限,拒绝其他用户的访问。②密码设置:每一用户按照自己的用户身份和密码进入系统,对密码进行分级管理,避免使用易破译的密码。③对重要数据加密:在网络中传播数据前对相关数据进行加密,接收到数据后作相应的解密处理,并定期更新加密密钥。④病毒的防范与控制:防范病毒最为有效的措施是加强安全教育,健全并严格执行防范病毒管理制度,具体包括软件、软盘及计算机系统的采购和更新要通过计算机病毒检测后才可使用;专机专用,绝对禁止在工作机上玩游戏;建立软盘管理制度,同时防止乱拷贝软盘;安装防病毒卡和反病毒软件,定期检测并清除计算机病毒;采用网上防火墙技术等。
2.2.2应用控制
(1)数据输入控制。输入控制的主要内容有:由专门录入人员、录入人员除录入数据外,不允许将数据进行修改、复制或其他操作;数据输入前必须经过有关负责人审核批准;对输入数据进行校对;对更正错误的控制等。
(2)处理控制。是指对计算机系统进行的内部数据处理活动(数据验证、计算、比较、合并、排序、文件更新和维护、访问、纠错等等)进行控制。处理控制是通过计算机程序自动进行的。其措施有:输出审核处理;数据有效件件验;通过重运算、逆运算法、溢出检查等进行处理有效性检测;错误纠正控制;余额核对;试算平衡等。
(3)数据输出控制。主要措施有:建立输出记录;建立输出文件及报告的签章制度;建立输出授权制度;建立数据传送的加密制度;严格减少资产的文件输出,如开支票、发票、提货单要经过有关人员授权,并经过有关人员审核签章。
2.2.3充分发挥审计人员的作用
会计审计准则的建设是会计信息行业健康发展的重要步骤。企业信息系统的电子化和网络化使审计重点转向对明细信息的验证和对系统的复核验证,因此,审计人员还要加大传统的实物牵制、体制牵制、簿籍牵制力度,还要通过开展计算机系统的事前审计,对于内部控制系统的完善性系统的可审性及系统的合法性作出评价,以保证系统运行后数据处理的真实、准确、防止和减少舞弊行为的发生;通过定期的对计算机内部控制系统的审查与评价促进企业加强和完善内部控制;通过对计算机系统的事后审计,对系统的处理实施有效的监督。
参考文献
1李玉萍,尚英梅.浅谈会计电算化在实际工作中的应用[J].吉林师范大学学报(自然科学版),2003(2)
随着我国电力需求的快速增长,地区电网与主网之间的功率交换将越来越频繁,交换功率也将日益增大,输电线路将长期处于稳定极限边缘,同时一部分可再生能源以分布式电源的方式接入低压配电网,电源运行方式变化幅度大、速度快,一旦发生故障,可能发生由潮流转移而导致的连锁故障,进而演化成大停电事故。为防止大停电事故的发生,保证地区电网安全稳定运行,快速恢复区域电网供电,如何建立安全有效的地区电网安全稳定控制系统具有重要意义。
围绕保护电力系统安全稳定运行这个重要问题,继电保护系统、安全控制系统分别扮演着不同的重要角色。继电保护属于发生故障时确保系统安全运行的第一道防线,能在第一时间切除系统故障元件,保护电气设备的安全。而安全控制系统属于确保系统安全运行的第二道防线,当故障发生后,系统功率不平衡导致出现频率或者电压偏差,或因暂态问题导致系统功角失稳,这时,安全控制系统通过切机、切负荷、解列等手段使得系统建立起新的平衡状态,保证整个系统的安全稳定运行。然而,现有继电保护系统和安全控制系统之间缺乏配合,对系统的安全经济运行造成了严重的影响。
现有安全控制系统无法取得继电保护动作信息,因此不能区别不同出线故障,不能判断故障类型,不能获悉故障持续时间,而且逻辑判断简单,可能存在严重的过切问题。随着通信技术的发展,故障发生后,包括故障位置、故障类型、保护动作时间、重合闸时间等继电保护的全息动作行为能够快速地上传到故障信息系统(FIS:Faultinformationsystem)。如果能在故障信息系统和安全控制系统间建立起有效的通信,安全控制系统就能够对非正常运行状态下的系统进行精确、有效地控制,减小系统负荷损失,保证系统安全经济运行。
二、继电保护全息动作技术分析
(一)继电保护全息动作原理
基于继电保护全息动作行为的地区电网安全控制系统,主要实现继电保护信息的本地切机切负荷控制、基于继电保护全息动作行为的全局优化紧急控制方案和快速供电恢复策略等三个方面的目标。
1.基于继电保护信息的本地切机切负荷控制
根据站内所有电气量信息和继电保护动作信息,区分潮流转移过负荷和故障过负荷,对潮流转移过负荷进行快速的切机切负荷策略,避免后备保护误动作,并将继电保护全息动作行为和本地控制结果上传至区域安全控制系统。
2.基于继电保护全息动作行为的全局优化紧急控制方案
充分挖掘继电保护全息动作行为带来的暂态信息,从全局角度综合考虑系统功角稳定、电压频率稳定问题,通过电气制动、快关气门、切机、切负荷、解列等措施进行优化协调控制,使得系统建立起新的平衡状态,保证整个系统的安全稳定运行。
3.快速供电恢复策略
通过对继电保护动作信息的记录,利用备自投和网络重构方法快速地制定供电恢复策略,尽量减少负荷损失,帮助地区电网在故障后迅速恢复到正常状态。
(二)继电保护全息动作技术实施方案
1.基于继电保护信息的本地切机切负荷控制
目前继电保护信息的来源除了本站所有继电保护装置的动作信息,还包括通过广域继电保护系统获取的广域继电保护信息,通过二者结合而产生的潮流转移过负荷\故障过负荷区分方法能够有效地调整后备保护定值,制定快速的本地切机切负荷策略,使系统避免因潮流转移而导致的连锁跳闸行为,使得系统可靠性大大提升。
2.基于继电保护全息动作行为的全局优化紧急控制方案
随着通信技术的发展,包括故障位置、故障切除时间、故障类型、重合闸动作情况等继电保护全息动作行为能够快速地从子站上传至安全控制主站。该技术变革使得安全控制主站能够对故障造成的稳定性影响进行精确的定量分析,通过能量函数法或EEAC指标对故障进行快速的定量分析后可以通过电气制动、快关气门、切机切负荷、解列等紧急控制手段对系统进行主动有效的优化协调控制从而使系统尽早恢复安全稳定运行。
3.快速供电恢复策略
继电保护信息可以提供故障后完整的线路开断信息、网络拓扑信息,将负荷恢复策略和继电保护信息有效地结合在一起可以实现快速的备自投方案和网络重构方案。
4.试验仿真
在提出基于继电保护全息动作行为的安全控制策略后,首先利用BPA、PSCAD等仿真工具,对不同的IEEE标准系统,验证控制策略的有效性和正确性。在此基础上,利用RTDS仿真器,结合实际地区电网模型,通过闭环仿真实验,验证基于继电保护全息动作行为的地区电网安全控制系统的有效性和可行性。
三、结论
江苏省根据工信部的相关文件精神,按照江苏经信委领导的有关要求,结合工作实际,就加强工业控制系统信息安全管理问题谈点看法。
(一)1、情况不明。绝大部分省市从事信息安全工作的管理人员,目前既不知道本地区工业控制系统的数量,也不清楚工业控制系统的类型,更不了解重要工业控制系统的运营单位和设备、组网情况以及重要程度。
2、联系不紧。工业控制系统涉及各行各业,建设规模大小不一、技术水平参差不齐、经济效益差别不小,建设单位既有政府组成部门或国务院国有资产监督管理委员会等专设直属机构,又有企事业单位。投资主体不但有中国大陆的,又有外资及港澳台投资企业。以上建设单位或投资主体各自为政,与信息安全主管部门目前在工业控制系统规划、建设、运营等工作方面基本上没有什么联系。
3、管理不顺。各级网络与信息安全协调小组是辖区内信息安全工作的主要协调机构,其具体办事的办公室设在当地经信部门。由于各级经信部门成立时间不长,工作头绪多、压力大,加上各地、各部门和各单位在工业控制系统建设上的经费投入、建设运维等方面的自主性,减弱了信息安全主管部门目前对工业控制系统信息安全管理的力度。
(二)1、开展调查。一是思想认识不到位,重视不够,存在该报的不报;二是工业控制系统应列为重要工业控制系统;三是具体办事人员对数据采集与监控系统、分布式控制系统和可编程控制器等工业控制系统的类型了解不多,理解不透,也较难于正常填写上报。
加强对重要工业控制系统运营单位和设备、组网情况以及事故可能导致后果等调查内容的整理汇总,统计出产品的品牌、系统国产化率等综合数据,并建立江苏重要工业控制系统数据库。
2、管理试点。在对重要工业控制系统基本情况调查分析的基础上,开展信息安全管理试点工作,摸索行之有效的管理办法。
3、安全检查。建立工业控制系统信息安全检查制度,定期开展信息安全检查活动。检查内容以工信部提出的连接、组网、配置、设备选择与升级、数据和应急六个管理项为准。
(三)1、制定审查规范,明确安全控制。应采用基于漏洞库的匹配技术、插件技术等进行漏洞扫描,开展信息安全风险评估,并采取纵深防御的安全策略。在此基础上,结合日常管理的内容、方法、程序等,制定工业控制系统信息安全管理审查规范,明确管理、技术和运行控制的目标。
2、出台管理办法,实行备案制度。随着计算机和网络技术的快速发展,特别是近年来两化融合的深化和物联网的推进,工业控制系统的产品越来越多地采用通用协议、通用硬件和通用软件,并以各种方式与互联网等恶意代码威胁着工业控制系统。