用友软件首页

议电子数据安全审计

2019-4-10 8:0:0 wondial

议电子数据安全审计

议电子数据安全审计

  一、对电子数据安全的基本认识

  电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。

  二、电子数据安全的性质

  电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。

  (一)电子数据安全的多元性

  在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。

  (二)电子数据安全的动态性

  由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。

  (三)电子数据安全的复杂性

  安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。

  (四)电子数据安全的安全悖论

  目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。

  (五)电子数据安全的适度性

  由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。

  三、电子数据安全审计

  电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。

  电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。

  (一)审计技术

  电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。

  1.了解系统技术

  审计人员通过查阅各种文件如程序表、控制流程等来审计。

  2.验证处理技术

  这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:

  (1)事务选择

  审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。

  (2)测试数据

  这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。

  (3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。

  (4)验证处理结果技术

  这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:

  一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。

  二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。

  (二)审计范围

  在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。

  操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。

  应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。

  (三)审计跟踪

  通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。

  审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。

  按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。

  (四)审计的流程

  电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。

  常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。

  审计人员可以查询、检查审计日志以形成审计报告。检查的内容包括:审计事件类型;事件安全级;引用事件的用户;报警;指定时间内的事件以及恶意用户表等,上述内容可结合使用。

  审计有人工审计,计算机手动分析、处理审计记录并与审计人员最后决策相结合的半自动审计,依靠专家系统作出判断结果的自动化的智能审计等。为了支持审计工作,要求数据库管理系统具有高可靠性和高完整性。数据库管理系统要为审计的需要设置相应的特性。

如果您的问题还没有解决,可以到 T+搜索>>上找一下答案

分享到:

微博关注

bj用友软件

最新信息

热点文章

新闻资讯

  • 【新年首签】天津用友&通广集团签署战略协议

    【新年首签】天津用友&通广集团签署战略协议

    天津用友软件技术有限公司(以下简称天津用友)和天津通信广播集团有限公司(以下简称通广集团)就企业信息化建设事宜进行战略签约。

    参加此次会议有天津用友总经理赵永春,天津用友副总经理王成岩、通广集团副总经理马严、通广集团科技质量部部长尹刚、七一二公司技术质量部部长门国梁、七一二公司技术中心主任黄建尧等。

    image

  • 会计职场堪比宫斗剧

    会计职场堪比宫斗剧

     近几年,各种宫斗剧火爆,《甄嬛传》《芈月传》等等都脍炙人口,许多人经常打趣自己像某个人物,若是在古代能活到第几集。让人不禁想起,会计职场又何尝不是一场宫斗,每天要察言观色,明了领导的内心,就像后宫谁也不敢惹皇后一样。但当你坐上领导位置的时候,盯着你的眼睛就会很多,稍有不慎就会被取代。就像后宫的嫔妃一样,就算坐上了皇后的位置也要时刻担心有没有人觊觎。

    image

知 识 库

  • 浅议电算化会计中若干会计方法

    浅议电算化会计中若干会计方法

    浅议电算化会计中若干会计方法浅议电算化会计中若干会计方法

      一、电算会计中借贷记账法是否不适用
      在借贷记账法中,“借”既可以表示增,也可以表示减,而“贷”既可以表示减,也可以表示增,卢卡?帕乔利提出的复式借贷簿记方法之所以几百年来一直为人们所推崇,正是因为其“有借必有贷,借贷必相等”的锱铢必较、泾渭分明的科学原理。尽管我国会计实务也曾一段时间对增减记账法和收付记账法情有独钟,但最终仍达成共识,采用了国际上通用的借贷记账法。有人以会计软件常以正、负号分别替代借、贷符号为由,企图说服人们相信这一记账法已经难以胜任新形势。应当注意的是,即使借、贷符号在数据库中不采用“借”和“贷”加以表示,也并不表明借贷记账法就可放弃。不可否认,在将借贷记账凭证的发生额登录到总账之后,对于登账后所结计的期末余额往往以正数表示借方余额,而以负数表示贷方余额,甚至在借贷库文件中只设一个金额字段,在该字段中分别以正负号表示借贷方。但所有这些标记都没能改变“有借必有贷,借贷必相等”的规则,其实质仍然是借贷记账法。这里的正、负号与增减记账法的增减符号的属性风马牛不相及。
      从长远来看,随着原始凭证的逐步电子化,记账凭证的自动生成势在必行,届时,何种记账方法使自动生成更可行,当然要根据其科学性而定。智能软件的设计凭借的是科学的方法和严密的思维与推断,而经过了数百年磨练的借贷记账法,无疑是未来智能专家设计会计软件的最佳选择。当然,一味否定增减记账法的科学性也是错误的。在计算机之中,当采用增减记账法填制记账凭证之后,我们完全可以编写一段简短的程序将其转换为借贷记账法下的相应记账凭证。其转换的主要依据是各该科目的记账符号与所属科目类别。以从银行提取现金为例,在增减记账法下,增记“现金”,减记“银行存款”。现金和银行存款都是资产类科目,对资产类科目,其增加就转换为“借”,其减少就转换为“贷”。依此,也可将借贷记账法下的凭证转换为增减法下的凭证。

      二、“反结账、反记账、取消审核”的可行性
      至今,尚有不少会计核算软件设置“取消审核”、“反记账”、“反结账”的功能。在实际工作中,这些设置的确给会计人员的会计处理带来许多方便,尽管许多学者对此提出异议,但不少实务工作者却对其依依不舍。有的学者甚至认为,在计算机特定的工作环境中,反记账的作用不可替代。其理由是,在实际工作中存在大量错误的记账凭证,如果不施行反记账的做法,则将导致账簿中存在大量无用的冗余信息,影响对会计信息的使用。
      所谓电算化会计中“反记账”,事实上也就是将一批原先已经登录到账簿上的发生额从各该账户再予以扣减,使各该账簿恢复至该批凭证登账之前账簿的发生额和余额状态。毋庸置疑,没有人会赞同手工会计下采用“反记账”。对手工的账簿记录,为了保证其有案可稽,当其发生错误时,不准涂改、挖补、刮擦或者用药水消除字迹,不准重新抄写。同时,对两种出错情况的更正应当分别加以严格处理:一是登记账簿时所发生的错误,“应当将错误的文字或者数字划红线注销,但必须使原有字迹仍可辨认”;在实际工作中,由于记账凭证出错而导致账簿记录发生差错时而发生。一般采用两种方式进行相应的修改:一是红字冲销法,二是补充更正法。这些详细而又具体的规定所强调的一点,那就是对出错之处必需留有修改的痕迹。
      在电算会计之中,记账错误和记账凭证填制错误仍然在所难免。虽然红线注销法在电算会计中难以操作,但对出错的电子数据,却不能不留下修改的痕迹。解决的办法只有一个,保留错误电子数据,另作更改的记账凭证,并据以登录账簿,换言之,要将正与误两张凭证同存于会计档案之中,同时,其所登录的正与误两处账簿记录并存于同一账簿之中。《会计核算软件基本功能规范》第十八条也作出与上相同的规定:“发现已经输入并审核通过或者登账的记账凭证有错误的,可以采用红字冲销法或者补充凭证法进行更正;记账凭证输入时,红字可用‘-’号或者其他标记表示”。
      由上可见,不管是手工会计,还是电算化会计,对出错的修改均强调留有痕迹。事实上,电算化会计中,由于电子数据的修改在技术上可不留痕迹,因而更需要对留有痕迹予以强调。

  • 让信息化给管理会计的推广插上双翼

    让信息化给管理会计的推广插上双翼

    让信息化给管理会计的推广插上双翼让信息化给管理会计的推广插上双翼

      管理会计自西方引入我国以来, 在企业中的实践不尽人意。管理会计本身的决策、控制、预测等功能并未发挥出来,也不能与企业战略较好融合。造成这种局面的原因,一方面是管理会计理论与实践的脱节;另一方面是大部分企业信息处理方式的落后及信息化使用率不高。的确,我国会计信息化起步较晚,在许多中小企业中信息化技术的使用处于较低层次。大部分中小企业虽用会计软件记账,但都是仅从减轻会计人员负担、提高核算效率方面考虑,忽视了管理会计软件的使用,无法为管理会计创造一个良好的推广应用外部环境。
      具体来说,企业信息化程度低下对管理会计实践的负面影响表现在两个方面:一是信息处理方式的落后,信息管理存在不集中、不及时、信息不能共享等缺陷,影响了管理会计实时分析和控制作用;二是管理会计软件开发的严重滞后影响了管理会计决策和预测职能的发挥,无法使企业管理层体会到管理会计的重要作用,导致管理层在主观上轻视对管理会计的应用,并形成一种恶性循环。因此,提高企业的信息化程度是管理会计广泛应用的必要条件,企业信息化程度的高低是管理会计实施效果好坏的重要影响因素。
      用友软件总裁王文京认为,在当今经济和技术环境下,管理会计的开展,需要信息技术和软件系统的支持。目前,很多大型集团企业正在逐步探索建立财务共享中心,这将有助于推进管理会计在企业的运用。其中决策支持信息化包括预算预测、内部控制、决策支持、风险管理、成本分析等管理会计方面的信息化。
      王文京进而指出,包括大型企业成本精细化核算、管理与控制,费用全面管理与控制,全面预算管理,企业内部责任核算及报告等,构成了我国软件企业新的信息化市场机遇与空间。管理会计信息化时代已经来临。
      建立完善的管理会计信息化系统,首先是最大限度整合各类信息和资源,实现资源“共享”。 各部门想从财会部门得到信息,需要有一个可以共享的管理会计信息数据平台,使各个部门都可以在这个共享的信息数据平台寻找到自己所需要的信息,可以集中整合企业的信息资源,有效降低企业收集、加工、分析信息的成本,提高整体效益。其次,管理会计涉及较多的模型和数理统计方法,也需要有较高程度的信息化提供保障。 因此,要推广管理会计在企业中的实践,全面提高企业管理会计信息化程度是非常必要的,将企业的信息化与管理会计融合,让信息化给管理会计的推广插上双翼,管理会计才能在企业中所向披靡。具体来讲,管理会计信息化实现的路径为:
       (一)结合企业战略,明确自身需求,并对自身合理定位,这是有效实施管理会计信息化的前提条件。企业只有认清自身需求和所处的状况,才能开展科学合理、符合实际情况的管理会计信息化建设。对企业财务人员而言,要充分参与企业的决策活动、企业的价值链分析、企业资源规划、供应链管理和企业流程重组等工作,充分发挥管理会计的作用。
      (二)优化企业的管理机制,简化各项工作流程,制定信息规范。企业应优化人力、物力、财力配置,破除各部门之间不合理的壁垒并减少管理层次,制定相应的信息规范,确保原始数据和信息的真实性、准确性、一致性和适用性,建立相关的信息化标准。
      (三)统一规划,设计和建立完善的管理会计信息系统,提高企业的管理效率。在实施管理会计信息化时,设计和建立的管理会计信息系统应能提供企业运行所需的各项功能,包括客观准确的成本核算、及时有效的风险防范、安全的资金集中管理、完善的全面预算管理、严格的内部控制、操作性强的业绩评价体系等功能模块。但不是所有功能模块都需要详尽全面,由于企业所处的信息化发展阶段不同,目标不同,因此,各功能模块的重要程度也应有所不同,应遵循既要全面系统,又要有所侧重的原则。
      (四) 建立起以管理会计为核心的内部管理系统,推进管理会计与业务一体化。加强以计算机管理为基础的管理会计与业务一体化建设,使各部门能及时得到相关管理会计信息。
      除此之外,还应吸收消化国外先进的管理思想,逐步引进到使用先进的管理会计软件,使会计工作由核算型向管理型过渡。
      当然,管理会计信息化实施过程,要分阶段进行,从低级到高级,由简单到复杂发展,要有层次、有步骤地循序渐进,处理好待建各个应用系统或模块间的轻重缓急、先后顺序,决不能脱离实际,盲目操作。管理会计信息化实施是一项长期的、复杂的、综合的系统工程,不能一蹴而就。 

  • 最新文章排行
  • 热门文章排行

管理软件

  • T3卸载就会跳到安装界面去,用360工具也卸载不了。请问这种情况哪位老师遇见过,我们应该如何处理。谢谢、在线等。

    T3卸载就会跳到安装界面去,用360工具也卸载不了。请问这种情况哪位老师遇见过,我们应该如何处理。谢谢、在线等。

    T3卸载就会跳到安装界面去,用360工具也卸载不了。请问这种情况哪位老师遇见过,我们应该如何处理。谢谢、在线等。 T3卸载就会跳到安装界面去,用360工具也卸载不了。请问这种情况哪位老师遇见过,我们应该如何处理。谢谢、在线等。[]

    备份好账套,这种情况只能强制删除了,请备份好账套之后,停止数据库服务和T3产品服务,自动备份服务;然后删除T3安装路径以及C盘下ufcomsql文件夹,然后使用360清除无用注册表,最后重启电脑即可;

  • 用友T3-业务通在11.0的软件中点击打印软件就自动退出

    用友T3-业务通在11.0的软件中点击打印软件就自动退出

    用友T3-业务通在11.0的软件中点击打印软件就自动退出 用友T3-业务通在11.0的软件中点击打印软件就自动退出

    其他的操作都正常,就是某个单据如销货单,点击“打印”—“预览”,或者是“打印”—“打印模板设置”,就自动退出软件了,再登入的时候提示:“该用户已登录,是否重新登录”。该单据的默认打印模板异常,导致一点“打印模板设置”或者是“打印”就自动退出了。1.先登入产品,然后在同一浏览器里输入网址:
    http://127.0.0.1/YWTPRO/CommonPage/printservices/DesignFrame.aspx (新一代业务通);
    2.将异常的模板删除;
    3.点击“新建”按钮,重新建立“打印模板”即可。
    备注:如果是系统模板也是异常的话,可以将系统模板删除再重建。
    如有其它问题,请在下面回复。也可以联系用友畅捷通专业服务商-用友天龙瑞德。
    用友天龙瑞德专业销售用友软件,用友财务软件,维护用友T3用友T6用友U8畅捷通T+。我们将竭诚为您服务。
    联系电话:010-59798025。网址:http://www.kuaiji66.com

关于我们 | 公司动态 | 获奖记录 | 联系我们 | 招聘信息 | 用友产品中心 | 用友云基地
Copyright ©  www.kuaiji66.com  All Rights Reserved 天龙瑞德
京ICP备11046295号-1 技术支持 北京天龙瑞德信息技术有限责任公司   北京海淀上地十街辉煌国际大厦3号楼6层 总机:010-59798025   售后:4009908488
北京天龙瑞德信息技术有限责任公司