1、作员等各个环节,这些环节其实都存在着相对的薄弱点,这就使得会计电算化信息系统在各个环节都有可能遭受攻击和破坏。那么,威胁会计电算化安全的主要体现为什么形式呢?它的安全威胁主要包括:会计信息泄密、会计信息失窃、会计信息未经授权使用、会计信息和计算机信息的欺骗性运用、会计信息完整性遭到破坏。计算机的普及以及互联网的涌现,使得计算机犯罪已经常态化。会计电算化系统如何保证网上财务信息安全可靠,成为各企业和单位关注的焦点。对于任何一个信息系统来说,无论其功能的完善,环境的稳定,都存在着一定的安全风险。在网络化用户的状态下发生计算机故障、黑客攻击等造成数据资源被破坏所带来的危害将更大。如果在计算机被的 U
2、FDATA.MD、UtErInf.md 以及UtErAct.Lst 等文件丢失或破坏,恢复数据就需要一点的过程了。第二章 会计电算化的安全分析2.1 会计电算化的内部控制随着会计电算化的普及,企业会计核算和会计管理的环境也发生了变化,它们的准确性和可靠性得到了极大的提高,减少了因疏忽大意及计算失误造成的差错。但是,这也为企业内部控制带来了许多新的问题,所以建立一套完整的适合电算化的内部控制就势在必行。会计内部控制包括两个方面:内部管理控制和内部会计控制。会计电算化的内部控制是内部会计控制的一种特殊形式。但是随着计算机和互联网技术的飞速发展,会计电算化既给企业带来了巨大的- 6 -效益,也使内部
3、会计控制出现了一些新的问题和挑战。会计电算化内部控制一般包括以下几点。一、组织与管理控制。基本要求是权责的划分和职能的分离。包括点算部门与用户部门的职责分离,电算部门内部的职责分离,人事控制,业务授权。二、会计电算化软件系统。根据调查,市场上的会计软件如网络财务软件、会计信息化软件、在线财务软件、会计决策软件多达几十种。许多企业和单位在购买软件时,会考虑买最新的、先进产品却忽视自身需求,对软件的使用性、人员使用缺乏培训,因此致使软件的适应性较差、初始参数设置难度大、软件运行环境不熟悉、操作复杂等等一系列问题,对资源是一项浪费。三、计算机操作系统。用于控制系统的操作,记录流程,日志。四、硬件和软
4、件控制。企业应对硬件设备的质量有很高的要求,因计算机会计信息系统的可靠运行主要依赖硬件设备。为防万一,关键性的硬件设备可采用双系统备份。企业在完善了硬件设备后还应建立软件系统。首先,应谨慎分析研究各应用软件的兼容性、统一性,使各业务系统成同一种操作系统平台的大系统,各种业务之间能相互衔接,相应数据能自动校对、数据备份同意完成。并且,系统软件应尽量减少人机对话窗口,必要的窗口如凭证出入窗口应力求界面友好、容错能力强,做到非正确输入不接受。最后,增强制动跟踪能力,可以对一切非正常操作进行记录。五、系统安全控制。企业和单位对系统安全的控制不健全。比如设置系统安全指标,数据加密,身份识别等。并未对系统
5、进行分级管理,设置系统管理、数据记录、数据管理等专业岗位,这反映在用户的权限设置。六、系统文档控制。建立文档管理制度及安全保密制度。会计电算化内部控制的现状令人担忧。首先,会计电算化人员素质有待提高。电算化人员素质较低,使会计软件的许多功能得不到充分利用,更别说二次开发,这样就使得一些内部控制措施得不到落实。其次,软件的安全控制功能不完善。体现在软件安全性与保密性差,各核算模块缺乏衔接导致内部控制难度大,已有的功能不符合内部控制的要求,软件的实用性不足。电算化会计基础管理工作薄弱,体现在职责分离执行不力;操作过程中存在风险;维护过程中存在风险;档案保管中存在的问题。缺乏电算化内部审计监督。-
6、7 -2.2 会计电算化的外部安全隐患由于存储载体的变化,处理方式的变更,使会计信息的安全性受到了严重的威胁挑战。具体体现在以下几点。一、电脑黑客。电脑黑客是指非法入侵计算机的用户或程序。在会计工作中的电脑黑客指竞争对手和专门进行窃取商业秘密的机构或者组织。通过捕获、查卡、消息轰炸、电子邮件轰炸、违反业务条款等方法非法入侵,窃取数据或破坏数据。二、计算机病毒。计算机病毒除了可以通过优盘、光盘等途径进行传播,还可以通过网络环境进行传播,并且,在网络环境下隐蔽性更强、破坏了更大、传播速度更快。计算机病毒不仅能对会计业务的数据进行毁灭性的破坏,还可以对正确的业务信息进行删除、修改、甚至破坏计算机硬件
7、。三、人为的舞弊或疏忽。系统的内部工作人员为了达到窃取或泄露商业秘密、非法转移资金、掩盖各种舞弊行为等非法目的。有意协助竞争对手获取和破坏会计数据,从而对会计软件、数据等进行非法篡改、删除。或责任心不强等原因造成的数据录入错误、操作步骤失误、监控力度不够等,使会计数据录入或处理出现错误,从而导致会计信息的不真实、不可靠、不完整和不真实。四、周界安全。由于未对对安全区域的周界实施控制来达成保护区域内部系统的安全,未采用二层式客户机/服务器模式组件内部网,实现中间代理服务器隔离客户与数据库服务器的联系,甚至没有设立防火墙,对内网实行保护,很容易被非法入侵。五、数据通讯。数据通讯控制是为了防止数据在
8、传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施,可采取各种有效手段来保护数据在传输过程中准确、安全、可靠。- 8 -第三章 会计电算化网络安全防范电算化会计系统信息的安全防护,包括两个内容:静态数据安全和动态安全。前者指系统中集中存储在中央数据库和各分布式数据库中数据的安全,后者指数据在通信过程中对完整性、保密性、有效性和真实性的保证。因此技术上安全防范涉及到三个内容:系统的防护技术,将安全和系统管理进行有机结合;系统保护技术,包括数据备份、异地存储和远程控制等;数据加密算法和数字签名技术3.1 如何加强系统自身的安全性的问题?加强系统自身安全即计算机的软件和硬件安全,只有做好软件和
9、硬件的维护工作才能保证电算化工作的顺利进行。软件维护是指会计业务发生变化时进行的软件修改和软件操作过程中出现故障时进行的排除修复工作,硬件维护是指在系统运行过程中,出现硬件故障时的检查修复,以及在设备更新、扩充、修复后的调试等工作。实体安全涉及到计算机主机房的环境和各种技术安全要求、光和磁介质等数据存贮体的存放和保护。计算机机房建设应符合技术要求和安全要求,应充分满足防电磁干扰、防火、防水、防潮、防盗、恒温等技术条件,机房内用于动力、照明的供电线路应与计算机系统的供电线路分开,应配有空调和消防设置、UPS( 不间断电源)、防辐射和防电磁波干扰等设备。对用于数据备份的磁介质存贮媒体进行保护时应注
10、意防潮、防尘和防磁,尽量定期对业务数据备多份,作好文字记载并异地存放,长期保存的磁介质存贮媒介应定期转贮。 计算机会计信息系统的可靠运行主要依赖于硬件设备,因此硬件设备的质量必须有充分保证。因此对硬件建设必须进行科学的规划设计,并把安全问题作为重要问题给予评估,使会计电算化系统在正常运行后有一个稳定可靠的硬件平台- 9 -3.2 是否要加强人员的安全意识培训?首先培养电算化人员的会计和计算机专长,组织以提高网络安全及高级程序语言方面的培训,大力开展计算机技术的培训。加强对网络安全部分的意识,提高会计电算化人员对计算机犯罪的认识和防范。一方面要通过教育,提高财会人员特别是系统操作人员的思想认识,
11、提高安全防范意识和职业道德水准,严格执行各种操作规章制度和操作规程,防止工作中出现不必要的失误;另一方面要加强计算机、通讯和网络理论等专业知识的的学习和培训,不断提高系统操作人员电算化系统的安全防范手段应用水平。有条件的大型企业应立足于国际水准,培养或聘用一批掌握国际先进技术,精通信息技术,熟练应用会计电算化的高级技术人才,推动企业电算化事业由“核算型”向“管理型” 、 “智能型”转变。中小企业应积极支持和组织会计人员学习和提高会计电算化知识,掌握计算机先进技术,培养复合型人才,为尽快建立高效的会计信息系统创造条件。3.4 怎样强化使用网络和上机操作相关管理制度?建立科学有效的制度保障机制是防
12、止会计信息失真,防范和化解风险的重要手段和有效途径。要求每一项技术应用都有相应的安全防范制度出台,做到技术开展和制度建设并举、技术应用和制度保障同步;做到制度建设为业务开展保驾护航、制度建设和业务创新相适应,在技术创新的同时不断补充和完善各项制度,使制度更加科学和规范化。重点在完善内部控制制度和建立以安全审计为核心的风险评估和应急处理机制上下功夫。内部控制制度主要包括组织控制制度,主要是通过内部分工,实现互相牵制;开发和维护控制制度,主要是体现全程控制的思想,从电算化系统组建伊始,开始实施安全控制,确保给定控制功能的实现;数据访问权限控制和重要数据备份制度,在对数据划分重要性前提下,确定各类人
13、员对不同数据的访问权限,确保数据的准确性和保密性;应用控制制度,包括输入、输出和处理控制制度,以便检测、预防和更正错误;日常管理制度,包括机房管理、并发控制和安全锁定等制度。 定期安排专业审计人员,对会计电算化系统的相关活动或行为进行全面的、系统的安全审计,并对系统的安全状况作出相应的评价。它包括安全控制目标审核、安全漏洞评估、安全控制措施检验和安全性测试等四个方面。通过安全测试可以全面评估系统的安全状况,预测会计信息失真的风险,并有针对性地指导企业完善相应的安全措施,建立应急处理机制。- 10 -为了保证信息处理质量,减少产生的差错,保障资料的安全性和准确性,企业应该强化使用网络和上机的操作
14、管理制度。可以包括以下几点。a、 禁止无关人员随意进出机房b、 操作中,不得擅自离开工作现场,离开后必须关闭工作界面c、 录入数据应核对清楚,不得擅自更改d、 移动存储设备必须首先进行杀毒工作e、 及时做好数据的备份工作参考文献1 信息技术学院实习日志年级:2010 级专业:软件工程班级:专升本班学号:101162003姓名:孔文婕2011年 7月 20日今天我来到了位于洛阳西工区的金城信息产业园的洛阳沃客网络科技有限公司。开始了我为期半年的实习生活。洛阳沃客网络科技有限公司正式成立于 2010 年 2 月,是一家以技术研发为主导,专业从事企业信息化咨询服务,软件研发、销售、实施与技术支持服务
15、的高新技术企业。公司以“态度决定一切,细节决定成败!” “言必行,行必果!”的企业精神谋求长远的发展。这是来到公司的第一天,简单地熟悉了公司的一些运营模式,以及员工工作方式。对公司有了一个大致了解。呵呵迎接正式实习的第一天吧。2011年 7月 21日经过昨天一天对公司的大致了解,本以为自己会很快适应公司模式。但是在实习主要负责人的带领下了解公司分配的主要任务,还是感觉心里空空的。毕竟昔日在学校的作息时间,一下子被工作所取代,还真有点不适应。其实在此之前我也作好了进入社会的准备,以前经历过一次毕业,现在总比第一次毕业时“无所适从”的感觉要好很多,心态也放得更为平和。如果真要说点与众不同的话,那就
16、是明显感觉到:多了一些信心与实在。2011年 7月 24日下班回来,躺在床上,感觉这两天的工作量也不算大,主要就是负责人给了一些项目案例,让进行分析以及总结,然后给出一个总的方案文档。可能是自己的心态在作怪吧,老感觉自己是大学生。来实习不是负责文档整理工作的,老想接触些实质性的工作。可是突然发现自己就是做一些整理文档的基本工作也不一定能做好。唉,还是脚踏实地,慢慢来吧。2011年 7月 28日哈哈,今天比较开心,自己整理的文档终于通过审核了,那就意味着自己可以开始慢慢接触一些编程相关工作了。通过这几天的文档整理,自己感觉工作没有什么高低贵贱之分,每个步骤都很重要。比如文档吧,编程人员就是通过文
17、档了解用户需求,然后根据用户需求进行建模设计。如果一份文档不能表达出用户的需求意图和需要,那么你做出的系统再好,对客户来说都是废物一个。以后自己在进行设计之前一定要充分了解了用户需求再开始进行设计。2011年 8月 2日今天在师傅的指导下,重新全面学习了网络服务器的相关知识。服务器的配置是系统运行的重要一个环节。网络服务器是局域网的核心,根据它在网络中所起的作用,还可以进一步分为文件服务器、打印服务器和通信服务器。文件服务器能讲大容量磁盘空间提供给网上客户机使用,接收客户机提出的数据处理和文件存取请求,向用户(客户机)提供各种服务。打印服务器接收来自客户机的打印任务。通信服务器主要负责网与网之
18、间的通信和提供各种调制解调器等多种接口。2011年 8月 10日忽然发现好几天没记日志了。这两天自己参与公司网站的制作。自己被分配到的主要任务时装相关系统、装应用软件、并配置网站在本地的运行环境。然而自己顺利装了系统,安装了 IIS 组件,并在 IIS 上设置了默认网站的主目录地址。却出现了问题:地址栏中输入网址后发现无法察看网页。最后查阅相关资料才找到解决方法:由于是在本地电脑上虚拟访问网站,要设置 Internet 来宾账户的权限(由于今后网站建设中进行后台管理,要勾选“修改”权限),并且发现,仅当磁盘格式化为 NTFS 格式时才可在xp 环境下看到安全选项卡,进行设置2011年 8月 1
19、3日今天下班后回宿舍上机调试程序,一个 java 网站,用 Tomcat 作服务器, 在被浏览器加载的时候总是无法显示出来,页面提示出错信息:500错误。到服务器日志查找原因,有一个“数据加载失败”的提示。数据库用的是 SQL Server2000,原以为是 Tomcat 配置文件的问题,到网上查了很多相关资料,改了又改一直没搞定,头都大了,算了还是明天回公司请假别人吧,请教别人不丢人。2011年 8月 18日工作也一个月了,员工也已熟悉,我也可以直接向他们问一些我在做网站时遇到的难题了。唉,唯一感觉不开心的事情还得做就是与客户交谈,打电话询问相关事宜,遇到好心的客户还好,不会刁难你,要是来了
20、一个挑三检四的就不好应付了,至少你得耍点小聪明,当然不能惹客户不高兴,要不过后会接到老板的“呼叫”的。其实最简单的对付办法也很简单:你只管顺着客户的意思,点头即可!2011年 9月 5日最近到网上找了些视频资料,看后很过瘾,可看归看,一动手写代码就伤神了。忘说内容了,其实看的就几个与 Java 编程相关的开源框架(Struts+Spring+Hibernate)而已,不过涉及到的东西就多了,开发平台用的是 Eclipse+MyEclipse,这个还好应付,装上设一下环境变量就搞定,跟 JDK 差不多。难的是在这之上的插件的应用,要知道开源的东西特多,很多其实多差不多,但你却不得不花时间去了解,
21、而且版本的兼容性问题有时会让你不知从哪处理是好。开源而且集成的东西用起来是好,感觉就是复杂了一点!尤其是面对一大堆英文文档或者官方英文指导手册时候,砸电脑的冲动都有呀! 2011年 9月 20日这两天自己的任务主要是熟悉已有的网站, ,大致认识已有网站的功能、结构。我所实习的虽然是软件公司,但是并没有人从事过网站建设。于是采用了更为方便省时的方法,直接采用已有网站模型,这样便直接有了网站的大体框架。经过讨论采用了动易系统网站模型,该网站系统已经建好了“文章中心”、 “图片中心”、 “下载中心”“软件商城” 几个系统频道,还有一个链接在外的留言板。这些功能基本就满足一个软件制作销售公司的基本要求
22、了。只是在工作过程中有些不和谐的音符就是,各个员工意见不一,导致气氛不和谐。还好最后达成一致。与人协作也是一门学问啊!2011年 10月 1 日公司放假了,估计假期也不能松懈,刚分配了个新系统,要我负责后台设计和数据库的设计。赶紧趁假期补习吧,这样开始工作的时候才能顺手。对了,顺便说下这个系统是 java 框架 J2EE 编写的“网上办公自动化” 。加油!2011年 10月 8日实习又开始了。呵呵忽然发现自己习惯了实习,感觉自己是在上班,就算放假后开始上班,也不像在学校时候的那样,懒洋洋的。假期过后第一天的实习,自己也不像开学那样不在状态,自己也能很快进入自己的实习角色。呵呵努力,加油!201
23、1年 10月 13日这几天为了新项目学习了框架相关知识,呵呵简单介绍下,就当做巩固了吧。Struts 代表:表示层; Spring 代表:业务逻辑层;Hibernate 则代表持久层。他们是目前在 Java Web 编程开发中用得最多的框架,其实这样区分是为了适应软件开发过程中各个分工部门之间保持一致性的需要。说得简单点就是大家都在一个模式下写代码,这样就能保证写出来的程序能被每一个人都能够读懂,而且有些基本的东西它可以自动帮你生成,不用你自己一个一个的敲了,达到了代码复用。这样保证可读性的同时也提高了开发效率,从而降低了成本。Struts 这个框架其实就是 Java MVC 设计模式中(简称
24、 Model1 与 Model2)Model2 的一个具体实现,Spring 则通过提供 ICO(控制反转,也称依赖注入)实现了对对象甚至事务(如声明式事务)的集中管理,此外还引入了 AOP(对向切面编程) ,当然也完全兼容其它框架。Hibernate 吗,就是一个实现对象与关系映射的中间件,大家知道,现在的主流数据库还是关系型的,但编程却已经采用了面向对象的思想,如何让编程人员能像操作对象一样,操纵数据库里的数据呢?Hibernate 就是这样一种框架。以前 Java 程序员与数据库打交道都是通过JDBC,还要写 SQL 语句,不过 Hibernate 彻底改变了这一切,它在 JDBC 之上
25、又作了一次封装,从而实现了不用写 SQL 语句就可以实现操作数据库。值得提醒的是,这三个框架都是轻量级的,没有侵入性或者侵入性很低,不像 EJB 这样的重量级框架,它们都能最大限度的实现代码的可复用。2011年 10月 25日一直忙着做后台设计了,动手做了才发现,后台设计也并不简单。不仅要解决界面问题还要考虑到数据库问题,同时也要注意管理员权限问题。真是头疼,还好慢慢来自己进行的也不算慢了。多亏了我们团队的队员的帮助。2011年 11月 7日数据库的设计也终于完成了,只是调试的时候还有一些小问题。自己尝试慢慢修改吧,不能老是麻烦别人啊!2011年 11月 10日转眼几天又过去了,工作的感觉也渐
26、渐好了起来。值得高兴的是,前些天说的网站数据库加载失败的问题也解决了。多亏了论坛朋友的解答与同学的指导,总结一下主要有以下几个原因:没给 SQL Server2000 打补丁;数据库连接文件中写的密码与 SA 用户登陆数据库时的密码没保持一致;我用的是 Tomcat 的最新版本 6,估计有兼容性问题,所以换了版本 5;还有就是一开始没安装微软 JDBC for SQL Server2000 的驱动程序,导致无法加载驱动类库。几天的工夫总归没白费!2011年 11月 29日今天装了 MySQL 数据库,想给网站换个数据库管理系统。说实话,用惯了 SQL Server2000 感觉没什么意思了,就
27、像总是用 Windows 操作系统一样,用久了就腻了!虽然 SQL 语句两者相差不大,但初次使用起来还是有点具有挑战性,至少有新鲜感,并促使你不断学习。遇到的最头痛的要属数据库的备份与还原了。在 SQL Server2000 中,这非常简单,点击菜单即可。可在 MySQL 里,就不一样了,可能我刚学,还没上手吧。按照书上的操作把数据文件拷到 Mysql 安装目录的 Data/数据库名 文件夹下,重启 MySQL,用客户端连接上,能显示出来有表了,可执行 Select 语句里就出错了:ERROR 1034 (HY000): Incorrect key file for table ebs_boo
28、k; try to repair itGoogle 百度了一上午都没解决。只得到一些大概信息,如下:frm、MYI、MYD 分别对应 MyISAM 表的表结构索引数据文件;frm,myd,myi 是属于 MySQL 存储数据的文件,phpMyAdmin 是无法导入的。phpMyAdmin 支持的文件格式为 sql 文件。frm 格式 MYD 格式 MYI 格式文件导入 MySQL 中的方法:导入到 sql 的 data 目录直接复制到新的数据库下就可以了,这样的文件是 mysql 用来存放表的文件,所以只能放到 mysql 的安装目录的 data 目录下,而且如果你是要传到空间上的话,基本上是
29、无法恢复了,除非你把这些数据给空间商要他帮你恢复。感觉像是判了“死缓”一样,难道数据真的无法恢复了?尝试新的东西还是挺有意思的。2011年 12月 15日哈哈今天挺开心的,近两个月,新系统终于上线了。感觉就像系统全部是自己做的一样,自恋下吧!2011年 12月 26日呵呵下班回来,打开电脑继续自己今天未完成的工作,突然瞥了一眼日历,才发现昨天原来是自己生日。看来自己是真正的在实习中长大了,不再像以前一样,天天惦记自己生日,然后借口回家了。好好实习吧,可以实习的时间不多了。2012年 1月 1日今天元旦,可是一点也不开心。前两天维护部的人通知说,上次的系统数据库方面出现了点问题,让当时的负责人处
30、理一下。唉,自己突然听到自己做的部分出现了问题,心里惶惶的。还好问题不大,最后也解决了,可是感觉就像劫后余生。2012年 1月 10日这两天自己的任务突然就轻松了很多,可能是考虑到我实习期马上就要到了,同事们想让我轻松一下吧。不过自己还是很自觉的下载了一些代码进行调试和测试,然后研究,上线系统可能会出现的漏洞。希望实习结束前一切顺利吧。2012年 1月 20日今天是实习的最后一天,马上就要离开工作六个月的单位,很有些恋恋不舍,十分感谢师傅对我的谆谆教诲,在这六个月期间,让我对于专业知识有了更深的了解,同时明白事情不是一蹴而就的,要日积月累,才能有所成就, “不积跬步,无以至千里;不积小流,无以至千里。 ”正是说的这意思。同时,一个项目不是一个人两个人可以完成的,需要多人团队协作,我们要有团队精神和合作精神,才能顺利完成一个项目并且使项目完美。我想这次实习,会是我学生生涯的一次难忘经历。同时非常感谢在实习过程中对我给予帮助的那些人,谢谢你们!测试篇(1475 件)七、诉讼与非诉讼法题库及测试篇(3418 件)八、国际法题库及测试篇(1106 件)九、法理和法制史题库及测试篇(767 件)十、法律职业道德题库及测试题(728 件)第十二部分 最高人民法院公报
