2011年國際內(nèi)審師考試輔導(dǎo):內(nèi)部控制(3)

字號:

(二)基于企業(yè)外部網(wǎng)(extranet)的控制措施
    1.周界控制。是指通過安全區(qū)域的周界實施控制來達(dá)到保護(hù)區(qū)域內(nèi)部系統(tǒng)安全的目的。它是預(yù)防外來攻擊措施的基礎(chǔ),主要內(nèi)容包括:(1)設(shè)置外部訪問區(qū)域,明確企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界,防止“黑客”通過電話網(wǎng)絡(luò)進(jìn)入系統(tǒng);(2)建立防火墻(firewall),在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造保護(hù)屏障, 防止非法入侵、非法使用系統(tǒng)資源,執(zhí)行安全管理措施,記錄所有可疑事件。
    2.大眾訪問控制。大眾訪問包括文件傳遞、電子郵件、網(wǎng)上會計信息查詢等。由于互聯(lián)網(wǎng)絡(luò)系統(tǒng)是一個全方位開放的系統(tǒng),對社會大眾的網(wǎng)上行為實際上是不可控的,因此,企業(yè)應(yīng)在網(wǎng)絡(luò)財務(wù)系統(tǒng)外部訪問區(qū)域內(nèi)采取相應(yīng)防護(hù)措施。外部網(wǎng)絡(luò)的訪問控制主要有:(1)在網(wǎng)絡(luò)財務(wù)系統(tǒng)中設(shè)置多重口令,對用戶的登錄名和口令的合法性進(jìn)行檢查;(2)合理設(shè)置網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限。資源的屬主體現(xiàn)不同用戶對資源的從屬關(guān)系,如建立者、修改者等;資源的屬性表示資源本身的存取特性,如讀、寫或執(zhí)行等;訪問權(quán)限體現(xiàn)用戶對網(wǎng)絡(luò)資源的可用程度;(3)對網(wǎng)絡(luò)進(jìn)行實時監(jiān)視,找出并解決網(wǎng)絡(luò)上的安全問題,如定位網(wǎng)絡(luò)故障點、捉住非法入侵者、控制網(wǎng)絡(luò)訪問范圍等;(4)審計與跟蹤,包括對網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)記賬等方面的記錄和分析。
    3.電子商務(wù)控制。網(wǎng)絡(luò)財務(wù)是電子商務(wù)的基石,是電子商務(wù)的重要組成部分,因此,對電子商務(wù)活動也必須進(jìn)行管理與控制。主要措施有:(1)建立與關(guān)聯(lián)方的電子商務(wù)聯(lián)系模式;(2)建立網(wǎng)上交易活動的授權(quán)、確認(rèn)制度,以及相應(yīng)的電子會計文件的接收、簽發(fā)驗證制度;(3)建立交易日志的記錄與審計制度。
    4.遠(yuǎn)程處理控制。網(wǎng)絡(luò)財務(wù)系統(tǒng)的應(yīng)用為跨國企業(yè)、集團(tuán)企業(yè)實現(xiàn)遠(yuǎn)程報表、遠(yuǎn)程報賬、遠(yuǎn)程查賬、遠(yuǎn)程審計以及財務(wù)遠(yuǎn)程監(jiān)控等遠(yuǎn)程處理功能創(chuàng)造了條件。這些功能的啟用必須采取相應(yīng)的控制措施,主要有:(1)合理設(shè)計網(wǎng)絡(luò)財務(wù)系統(tǒng)各分支系統(tǒng)的安全模式并實施;(2)進(jìn)行遠(yuǎn)程處理規(guī)程控制。
    5.數(shù)據(jù)通訊控制。數(shù)據(jù)通訊控制是企業(yè)為了防止數(shù)據(jù)在傳輸過程中發(fā)生錯誤、丟失、泄密等事故而采取的內(nèi)部控制措施。企業(yè)應(yīng)采取各種有效手段來保護(hù)數(shù)據(jù)在傳輸過程中準(zhǔn)確、安全、可靠。主要措施有:(1)保證良好的物理安全,在埋設(shè)地下電纜的位置設(shè)立標(biāo)牌加以防范,盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡(luò);(2) 采用虛擬專用網(wǎng)(VPN)線路傳輸數(shù)據(jù);(3)對傳輸?shù)臄?shù)據(jù)進(jìn)行加密與數(shù)字簽名。在系統(tǒng)的客戶端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)都進(jìn)行兩層加密保證數(shù)據(jù)的安全性,使用數(shù)字簽名確保傳輸數(shù)據(jù)的保密性和完整性。
    6.防病毒控制。在系統(tǒng)的運(yùn)行與維護(hù)過程中應(yīng)高度重視計算機(jī)病毒的防范及相應(yīng)的技術(shù)手段與措施??梢圆捎萌缦驴刂拼胧海?)對不需要本地硬盤和軟盤的工作站,盡量采用無盤工作站;(2)采用基于服務(wù)器的網(wǎng)絡(luò)殺毒軟件進(jìn)行實時監(jiān)控、追蹤病毒;(3)在網(wǎng)絡(luò)服務(wù)上采用防病毒卡或芯片等硬件,能有效防治病毒;(4)財務(wù)軟件可掛接或捆綁第三方反病毒軟件,加強(qiáng)軟件自身的防病毒能力;(5)對外來軟件和傳輸?shù)臄?shù)據(jù)必須經(jīng)過病毒檢查,在業(yè)務(wù)系統(tǒng)嚴(yán)禁使用游戲軟件;(6)及時升級本系統(tǒng)的防病毒產(chǎn)品。