2023年計算機信息系統(tǒng)的控制及其審計

計算機信息系統(tǒng)的控制及其審計

［內容提要］當信息處理的方式由手工轉向計算機后，為了確保輸出信息的及時、準確

和完整，為防止或及時發(fā)現(xiàn)差錯及舞弊行為的發(fā)生，信息系統(tǒng)的控制就顯得尤為重要。本章

專門研究計算機信息系統(tǒng)的一般控制及應用控制的各種控制措施和管理制度及其審計問題。

本章最后還介紹了控制矩陣及其在信息系統(tǒng)控制審計中的應用。

第一節(jié)信息系統(tǒng)控制的重要性

信息系統(tǒng)所提供的信息是投資者、債權人及企業(yè)經營管理者作出投資決策以及生產經營

決策的重要依據，因此，如何才能確保信息的有效、準確、及時、完整和安全，是我們在設

計和運行信息系統(tǒng)時所需考慮的一個重要問題，而這一問題的關鍵在于如何完善信息系統(tǒng)的

控制。

一、控制的定義

對一個企業(yè)來說，所謂控制是指企業(yè)經營管理者為了維護企業(yè)資產的安全、資源的有效

利用和提高企業(yè)財會和管理信息的真實、正確性，確保企業(yè)方針政策的貫徹執(zhí)行，促進各項

工作與企業(yè)經營效率的提高而實施的各項措施。內部控制由控制環(huán)境、風險評估、控制活動、

信息與溝通和監(jiān)督五部分構成。一個良好的企業(yè)控制系統(tǒng)應具有以下4個方面的功能：

1.確保企業(yè)各種經濟資源的安全。一個企業(yè)，如果沒有一套良好的控制企業(yè)經濟資源

的措施，就會發(fā)生各種經濟資源的損毀、貪污、浪費、盜竊、丟失等現(xiàn)象，使企業(yè)蒙受損失。

所以，要采取有力的控制措施，有效地提高企業(yè)各種經濟資源的安全，保護企業(yè)所有者的利

益。

2.確保各種經濟信息、尤其是財會信息的準確、完整和及時性。只有及時、準確、完

整的經濟信息，才能引導企業(yè)經營管理者正確地作出各種經濟預測和決策，圓滿實現(xiàn)企業(yè)的

經營目標；反之，則會對企業(yè)的生產經營起誤導作用，使企業(yè)在面臨各種問題時，作出錯誤

的選擇?？梢?，建立良好的信息系統(tǒng)控制，是保證信息質量的重要途徑。

3.促進企業(yè)各部門工作效率的提高，使企業(yè)保持良好的運行效率。提高企業(yè)各部門工作

效率是保證企業(yè)良好運行，順利實現(xiàn)企業(yè)經營目標的重要途徑。因此，在企業(yè)內建立一套有

效的業(yè)績考核和評估體系，使企業(yè)內形成一種相互激勵，相互約束的競爭機制，可以大大提

高企業(yè)對各種經濟資源、人力資源的利用率，使企業(yè)保持良好的運行效率。

4.確保企業(yè)方針政策的貫徹執(zhí)行，促進企業(yè)經濟效益的提高。設計企業(yè)的控制系統(tǒng)，

其最終目的是為了促進企業(yè)經營管理活動的合理化，促進企業(yè)經濟效益的提高。因此，一個

有效的控制系統(tǒng)，應能確保企'也方針政策的貫徹執(zhí)行，促進經濟效益的提高。

一個企業(yè)的控制包括對經營子系統(tǒng)、管理子系統(tǒng)和信息子系統(tǒng)的控制。本章主要是討論

對信息系統(tǒng)的控制，也有時涉及一些經營、管理系統(tǒng)的相關控制。

二、計算機信息系統(tǒng)控制所面臨的新問題

當信息處理的方式由手工處理向計算機處理轉變后，信息處理工作所面臨的環(huán)境發(fā)生了

很大的變化，給信息系統(tǒng)的控制帶來了許多新的課題。歸納起來，主要有以下幾個方面：

(-)如何對使川者進行身份識別和權限控制

當信息系統(tǒng)由手工處理數(shù)據轉化為計算機進行數(shù)據處理后，原來人與人之間的聯(lián)系在很

多方面會轉變?yōu)槿伺c計算機之間的聯(lián)系。為了有效地防止數(shù)據被篡改、破壞、竊取等現(xiàn)象的

發(fā)生，就要求信息系統(tǒng)具有識別使用者身份并對其進行權限控制的能力。只有具有特定權限

的使用者才能接觸信息系統(tǒng)，執(zhí)行相應的操作，從而達到有力地保護系統(tǒng)信息安全的目的。

因此，如何才能對使用者進行身份識別和權限控制，是由手工處理數(shù)據轉變?yōu)橛嬎銠C分理數(shù)

據后所帶來的新的課題之一。

(二)業(yè)務授權問題

業(yè)務授權(TransactonAuthorization)是保證員工處理的僅是他們職權內有權處理

的業(yè)務的控制措施。在計算機信息系統(tǒng)中，許多授權往往是由程序進行控制的。例如，采購

系統(tǒng)中可設計好存貨低于多少就自動打印訂單，訂多少、向那個供應商訂貨理論上計算機都

可全部自動按程序執(zhí)行，無需人工的參與。但是，如果沒有良好的控制，可能會出現(xiàn)不合理

的訂貨，浪費企業(yè)大量的資金。因此，信息系統(tǒng)中的業(yè)務授權處理程序的準確性、完整性十

分重要，只有這樣，才能保證業(yè)務的自動授權是可以接受的、可行的。

(三)職責分離(SegregationofDuties)問題

不相容任務的職責分離，即應由不同的人員分擔不相容的工作任務或職務，是手工系統(tǒng)

計中十分重要的控制措施。其一般原則是：業(yè)務審批、執(zhí)行人員與業(yè)務記錄人員職責分離；

資產記錄人員和資產保管人員職責分離；根據業(yè)務處理過程和記錄的性質，再按不同的賬、

不同的處理進一步分離，例如，記明細賬的和記總賬的職貨分離、材料訂購與材料驗收的職

責分離，等等。通過恰當?shù)穆氊煼蛛x，實現(xiàn)互相牽制、互相核對，使有作弊企圖者必須串通

多人才能作弊。

在計算機信息系統(tǒng)中，原有的一些分工沒有了。例如，啟動、批準、處理采購訂單，收

到發(fā)票后登記應付賬款，自動打印付款憑證和支票等業(yè)務全都可由計算機自動完成。信息系

統(tǒng)的應用程序一般在系統(tǒng)的整個生命周期內都在使用，影響很大。因此，在計算機信息處理

環(huán)境下，既然有些業(yè)務的處理不能分離，應轉而把職責分離的著眼點放到計算機系統(tǒng)的開發(fā)、

使用和維護工作上。

(四)監(jiān)督(Supervision)問題

監(jiān)督對于小單位或者大單位的小部門十分重要，因為這些部門的職員往往一人擔負了多

個不相容的職責。在手工條件下，監(jiān)督通常是部門負責人的責任之一，且職員都在同一個地

方工作，相互之間也有監(jiān)督作用。在計算機環(huán)境下，監(jiān)督的任務更復雜了，因為計算機技術

人員計算機知識水平高，有些人負責了重要的工作崗位，可直接訪問系統(tǒng)的程序和數(shù)據，且

人員的流動性比較大，有些人還可能單獨在很遠的終端上工作，管理人員與同事不能直接看

到他們在做什么，難以進行直接有效的監(jiān)督。因此在計算機環(huán)境下，應把許多在人工環(huán)境下

的直接監(jiān)督融合到系統(tǒng)程序中去，由程序來實現(xiàn)監(jiān)督和控制。

(五)會計記錄與信息安全問題

手工的會計資料包括原始憑證、日記賬、明細分類賬、總賬和會計報表，這些資料給審

計提供了審計線索。在計算機條件下，有些系統(tǒng)并沒有日記賬和明細賬文件，而只是把原始

憑證上的重要數(shù)據項保存在數(shù)據文件中，有關的會計信息可能通過分散在多個不同磁盤、不

同文件的數(shù)據臨時加工得到，文件之間通過關鍵字、指針、索引等發(fā)生聯(lián)系。要審查這些信

息的正確性，審計人員要十分熟悉系統(tǒng)所用的數(shù)據庫管理系統(tǒng)，給審計帶來了較大的困難。

而且，計算機信息系統(tǒng)中的各種數(shù)據文件是以肉眼不可見的，很容易被篡改或刪去而不留下

任何痕跡。因此，信息的安全可癥性有很多隱患。如何確保系統(tǒng)信息的安全，是我們在設計

和運行信息系統(tǒng)時所需考慮的又一重要問題。

（六）訪問控制（AccessControl）的問題

企業(yè)資產的接觸控制分為直接接觸控制和間接接觸控制。建圍墻、設保安、自動報警系

統(tǒng)、房間加鎖等是直接接觸控制。間接接觸指通過閱讀或篡改會計資料而獲得有關資產的情

況，甚至侵吞有關資產，例如通過破壞、涂改相關的銷售業(yè)務和應收賬款記錄而實現(xiàn)貪污。

在手工條件下，這樣的問題可通過防止隨便接觸賬簿記靈、對登記這些賬簿的人員實行職責

分離，如銷售明細賬、應收賬款明細賬、總賬由不同的人員登記進行控制。在計算機環(huán)境下，

所有會計資料均集中存儲在數(shù)據處理中心的大存儲容量的設備上，從而容易作弊或受到災害

的損毀；另外，對程序的非法訪問也危及到用戶資產和信息的安全。因此，限制對計算機數(shù)

據和程序的訪問，對機房或數(shù)據處理中心提供物理安全措施，保證正確的數(shù)據備份等，都十

分重要。有些訪問控制是技術性的，有些靠職責分離實現(xiàn)，但其基本原則是：無論允途或限

制一個人訪問什么程序或什么數(shù)據，都必須根據其所分配的工作的需要來作出決定。

（七）獨立復核（IndependentVerification）問題

監(jiān)督是事中控制，而復核是一種事后的控制。獨立復核是由不直接參與該業(yè)務處理的人

員進行好核。通過更核，管理人員可以評估工作人員的業(yè)績，評估處理的完整性和會計信息

的準確性。在計算機信息系統(tǒng)中，原來經多道手續(xù)由多人完成的業(yè)務處理變?yōu)橛捎嬎銠C集中

統(tǒng)一進行處理，原來在手工處理中所存在的相互核對的約束機制不復存在。所以，我們在設

計信息系統(tǒng)時，必須著重考慮如何才能提高信息系統(tǒng)自身對經濟業(yè)務處理的審查、復核能力,

以減少信息系統(tǒng)在處理數(shù)據時發(fā)生錯誤的可能性。如果在設計信息系統(tǒng)時忽略了這一點，則

可能會由于采集或輸入數(shù)據的錯誤，或軟件本身的錯誤而導致輸出信息的錯誤，從而誤導信

息使用者。因此，在計算機信息系統(tǒng)中，兔核控制的重點變?yōu)橄到y(tǒng)的開發(fā)和維護審計以及程

序的邏輯審查。

（A）電子商務和網絡經營中的特殊的安全問題

電子商務給企業(yè)帶來了前所未有的商機，同時也帶*了前所未有的風險。在傳統(tǒng)的經營

條件下，企業(yè)資產和經營的安全可以通過建立健全的內部控制得以保證。在電子商務條件下,

企業(yè)的計算機信息系統(tǒng)是-一個開放系統(tǒng)，計算機病毒和黑客隨時可以通過Internet威脅到企

業(yè)資產和經營的安全。囚為電磁信息可以刪改且不留痕跡，企業(yè)在電子商務中要面對如何解

決交易的確認、經確認的文件不可修改和不可否認、網上信息傳遞的保密等問題。這些安全

問題不是企業(yè)內部所能完全控制的，必須針對其固有的風險建立全新的控制。

（九）軟件開發(fā)的質量問題

一個信息系統(tǒng)能否正常運轉，合法、正確地處理各項經濟業(yè)務，保持較高的運行效率，

節(jié)省運行成本等，很大程度上取決于所開發(fā)軟件的質量。在信息系統(tǒng)中，計算機擔負著企業(yè)

絕大部分的信息處理任務，一旦軟件中某個環(huán)節(jié)出現(xiàn)問題而無法正常工作，或者被人為破壞,

就有可能導致整個信息系統(tǒng)數(shù)據處理的一連串錯誤，甚至導致系統(tǒng)停止運轉，給企業(yè)的經營

和管理帶來不可估量的損失。因此，企業(yè)應對信息系統(tǒng)的開發(fā)工作進行有效的控制，以確保

所開發(fā)軟件的質量。

三、加強信息系統(tǒng)控制的重要意義

通過上面的闡述我們可以看出，當信息的處理方式由手工處理轉變?yōu)橛嬎銠C處理之后，

就給信息系統(tǒng)的控制帶來了許多新的問題，使得信息系統(tǒng)所潛在的風險比手T.系統(tǒng)更大、更

復雜。同時，由于信息系統(tǒng)所產生的信息日益增多，沒有健全的控制措施，就很難保證信息

的收集、傳遞、處理能夠及時、準確、完整和不會出現(xiàn)無意的差錯或有意的舞弊。事實證明，

如果計算機信息系統(tǒng)的控制出現(xiàn)漏洞，將會對企業(yè)造成比手工系統(tǒng)更為嚴重的損失，這種例

子屢見不鮮。所以，當我們在設計和運行信息系統(tǒng)時，必須把加強對信息系統(tǒng)的控制放在十

分重要的地位，認真抓緊抓好這項工作，以保證信息系統(tǒng)能安全、可靠地工作。

當然，最完善的控制系統(tǒng)也有其固有的局限，如：企業(yè)在制訂控制制度時，要考慮成本

效益原則；控制制度可能會由于執(zhí)行人員的錯誤理解、疏忽大意或串通舞弊而失效等。所以，

盡管我們強調要加強信息系統(tǒng)的控制，但也應清楚知道絕對的安全是沒有的，控制也不是越

多越嚴密越好。衡量控制系統(tǒng)的恰當性最根本的標準是考慮企業(yè)的經濟效益和社會效益，應

以此作為掌握控制制度寬嚴的尺度。

四、計算機信息系統(tǒng)的控制的總框架

在電子商務與網絡經營環(huán)境下，企業(yè)計算機信息系統(tǒng)的構成和總的控制框架如圖3-1所

示：

圖3-1信息系統(tǒng)總的控制框架

針對計算機信息系統(tǒng)的構成和控制框架，可把信息系統(tǒng)的控制劃分為以下八個方面:

1.組織控制。

2.數(shù)據資源控制。

3.系統(tǒng)開發(fā)與維護控制。

4.計算中心的安全控制。

5.數(shù)據通信控制。

6.電子商務的安全控制。

7.微機系統(tǒng)的控制。

8.各個應用系統(tǒng)的控制。

在第三節(jié)將對它們逐一進行較詳細的討論。

第二節(jié)計算機信息系統(tǒng)控制的分類

平常人們講到信息系統(tǒng)的控制常會有很多不同的提法，往往是按不同的分類來討論信息

系統(tǒng)的控制。為了讓讀者明確各種控制的關系，切實掌握計算機信息系統(tǒng)應有的控制，在具

體討論信息系統(tǒng)的控制措施前，我們先簡單介紹一下信息系統(tǒng)內部控制的分類。信息系統(tǒng)的

控制可以按不同的方式進行分類，最常見的有下列幾種分類方法。

一、按實施的范圍和對象分類

按控制實施的范圍和對象分，信息系統(tǒng)的內部控制可分為一般控制（generalcontrol）

和應用控制（applicationcontrol）。國際上常見的教科書在討論信息系統(tǒng)的控制時多按這

種分類，本書在下一節(jié)也將按這種分類來討論信息系統(tǒng)的控制措施。

一般控制是指對計算機信息系統(tǒng)的構成要素（包括人、計算機、通信線路、系統(tǒng)軟件、

應用程序、數(shù)據文件等）和系統(tǒng)環(huán)境（包括組織結構、系統(tǒng)開發(fā)與維護、環(huán)境安全等）實施

的控制。一般控制適用于整個計算機信息系統(tǒng)，它為信息系統(tǒng)提供良好的工作條件和必要的

安全保證，是應用控制的基礎。

應用控制是指針對信息系統(tǒng)的各功能子系統(tǒng)（或稱功能模塊）的輸入、處理和輸出過程

中的敏感環(huán)節(jié)和控制要求所實施的控制，上一節(jié)所述的控制框架中的第8項就是應用控制。

應用控制包括輸入控制、處理控制和輸出控制。不同的計算機應用（如帳務處理、工資核算、

固定資產管理等等），其敏感環(huán)節(jié)和控制要求不同，因此應用控制也不盡相同。應用控制用

以確保特定的子系統(tǒng)（或稱功能模塊）的輸入、處理和輸出的安全、正確。應用控制必須在

有效的一般控制基礎上才能發(fā)輝作用。

二、按控制的目標分類

按控制實施的目標進行分類，計算機信息系統(tǒng)的內部控制乂可以分為預防性控制

（preventivecontrol探測性控制（detectivecontrol）以及糾正性控制（corrective

control）o

預防性控制是指為預防和阻止信息系統(tǒng)可能出現(xiàn)的各種差錯或舞弊行為的發(fā)生而采用

的各種控制措施。其控制目標在防止錯弊的發(fā)生。例如，在計算中心設置門衛(wèi)和大門上鎖，

終端加鎖，系統(tǒng)用戶要經注冊，設置密碼權限控制，系統(tǒng)程序員、操作員、數(shù)據庫管理員、

文檔保管員要職責分離等等，都是預防性控制的一些典型例子。

探測性控制是指為及時發(fā)現(xiàn)系統(tǒng)內正在或已經發(fā)生的各種差錯和舞弊行為，以便能及時

制止和糾正之而采取的各種控制措施。其控制目標不是預防而是及時探測并發(fā)現(xiàn)錯弊的情況。

例如裝設電子探測器；對處理結果進行平衡檢驗、合理性檢驗；系統(tǒng)設置操作日志，井有安

全員經常檢杳日志等，都是探測性控制措施的例子。

糾正性控制是指為了對于各種已經發(fā)生于系統(tǒng)內的差錯和舞弊，在檢測出來后能及時予

以糾正而采取的控制措施。其控制目標主要是及時發(fā)現(xiàn)并糾正系統(tǒng)中已發(fā)生的差錯。例如，

使用UPS電源，煙霧探測器與自動滅火系統(tǒng)，系統(tǒng)狀態(tài)檢測與數(shù)據自動恢復等都是糾正性控

制措施中的例子。

三、按控制實現(xiàn)的方法分類

按控制實現(xiàn)的方法來分，計算機信息系統(tǒng)的內部控制可分為程序控制和人工控制。

程序控制又常稱程序化控制，是指編寫在系統(tǒng)程序中，由計算機運行時自動執(zhí)行的控制。

內部控制程序化是計算機信息系統(tǒng)的一個重要特點。例如，密碼權限的檢驗、在輸入、處理

和輸出各環(huán)節(jié)由計算機執(zhí)行的記錄數(shù)點計、控制總數(shù)核對、平衡檢驗、合理性檢驗、順序檢

驗、完整性檢驗等都是程序控制控制的例子。

所謂人工控制是指由有關的人員按制度的規(guī)定執(zhí)行的、無需通過計算機系統(tǒng)執(zhí)行的控制。

要特別說明的是，即使在電子商務與網絡經營的條件下，信息系統(tǒng)的內部控制也并非全部為

程序控制，還有一些重要的控制是不通過計算機系統(tǒng)執(zhí)行的制度控制，例如組織控制、系統(tǒng)

的開發(fā)與維護控制、系統(tǒng)的檔案管理控制等都屬人工控制。

人工控制往往是通過?系列的控制制度來規(guī)范和約束，所以有時又叫制度控制。各單位

可根據內部控制的目標和構成，根據自己的具體情況制定各種控制制度。一般來說，會計電

算化的內部管理制度應包括崗位責任制、系統(tǒng)操作管理制度、計算機硬軟件和數(shù)據管理制度

和電算化會計檔案管理制度等。

第三節(jié)計算機信息系統(tǒng)的控制措施

本節(jié)將詳細地討論計算機信息系統(tǒng)應有的控制措施。盡管計算機信息系統(tǒng)的內部控制有

多種分類方法，下面我們還是按國際上教科書常見的分類方法，分別就一般控制和應用控制

討論信息系統(tǒng)的具體控制措施。

一、一般控制（GeneralControl）

在上一節(jié)所述的控制愜架中8個方面的控制中的項屬于一般控制，下面我們逐一討

論這些控制的控制措施。

（一）組織控制（OrganizationalControl）

一般控制中的組織控制是指信息系統(tǒng)在進行'業(yè)務處理時，必須保證系統(tǒng)內不相容職責的

相互分離以及信息處理部門與企業(yè)其它業(yè)務部門的相互獨立，以有效地減少信息系統(tǒng)內發(fā)生

錯誤和舞弊的可能性。但在計算機信息處理環(huán)境中，由于業(yè)務的授權、處理、記錄等同一個

業(yè)務的多個任務都是由一個計算機程序來完成的，其職責分離比手工的差了。因此，計算機

環(huán)境下的職責分離的重點己不是在業(yè)務處理層次上，而是放在組織結構這一更高的層次上，

以實現(xiàn)系統(tǒng)開發(fā)、系統(tǒng)維護、系統(tǒng)操作、數(shù)據庫管理這些大的工作任務之間的分離。這些組

織結構的分離對于不同處理模式的企業(yè)又有所不同。

1.集中式處理企業(yè)的職責分離

此類企業(yè)設有計算中心或電子數(shù)據處理部門（EDP部門），所有與計算機信息處理有關的

工作都集中由該部門負責為實現(xiàn)一定的職責分離，其通常的組織結構如圖3-2所示。由圖

可見，主要從組織結構上保證了以下的重要分離：

（1）信息系統(tǒng)部門與其它業(yè)務部門的職責分離。

業(yè)務部門負責批準和執(zhí)行手工處理業(yè)務和保管企業(yè)財產，而信息處理有關的工作交由計

算機信息部門去完成。

(2)計算機信息處理部門內部的職責分離。

由于集中式處理的特點之一是把一個企業(yè)大量的信息集中起來統(tǒng)一進行處理，使得原來

在手工處理時相互分高的不相容職責沒有得到恰當?shù)姆謲彙Ｒ虼?，在信息處理部門內部，應

有適當?shù)姆止ぃ杂行Х乐乖跀?shù)據處理過程中越權行為的發(fā)生，避免舞弊、犯罪行為以及差

錯的出現(xiàn)，保證系統(tǒng)安全可靠地運行?？偟膩碚f，信息系統(tǒng)內部的職責分離主要包括五個方

面的內容：即系統(tǒng)分析設計、系統(tǒng)維護、系統(tǒng)操作、文檔資料保管以及系統(tǒng)數(shù)據庫管理的相

互分離。

圖3-2集中式處理企業(yè)的職責分離

口系統(tǒng)的開發(fā)人員在系統(tǒng)正式投入運行后，未經批準不得擅自接觸系統(tǒng)，更不能兼任系統(tǒng)

的操作人員。因為系統(tǒng)開發(fā)人員對系統(tǒng)的邏輯結構、程序編碼非常了解，其在系統(tǒng)使用中要

作弊非常容易，作弊后還可以再把有關參數(shù)改回去，不留任何痕跡。

II系統(tǒng)的維護和開發(fā)也要分離。如果不分離，有可能系統(tǒng)開發(fā)人員在系統(tǒng)開發(fā)時就嵌進一

些作弊程序，有人來審查時他可以把這些作弊程序暫時去掉，審查完后又把它們恢復。另外，

由于其對系統(tǒng)邏輯和程序很熟悉，也可能會在進行系統(tǒng)維護時把作弊程序加進去。再者，如

果系統(tǒng)的開發(fā)人員也是維護人員，很可能在開發(fā)時懶得騙寫完整規(guī)范的系統(tǒng)文檔資料，一旦

其離開該單位，沒有完整的系統(tǒng)資料，接手的維護人員將很難正確地維護系統(tǒng)，給系統(tǒng)安全

和正常使用帶來隱患。如果系統(tǒng)開發(fā)人員是獨立的，就會比較自覺地編好各種文檔資料并移

交給用戶，才能結束開發(fā)的任務。

』系統(tǒng)操作人員只負責使用、操作系統(tǒng)，不能接觸除操作手冊以外的系統(tǒng)文檔資料，操作

人員可以提出對系統(tǒng)改進的建議和要求，但不得修改系統(tǒng)。

系統(tǒng)文檔資料的保管和系統(tǒng)操作人員也必須分離。如果沒有專職的資料保管人員，系

統(tǒng)大量的資料很難正確地;呆管好。例如備份的磁盤、磁帶非常之多，每一卷都應正確編號、

標上外部文件名、寫上正確的備份口期、時間、內容，借還要詳細登記、及時追收，經常檢

查、整理保持其正確的存放位置，以防用時拿錯。如果由一個操作員兼任保管工作，很可能

工作一忙，許多該做的登記、整理、檢查工作都免了，月完后不能及時送回，隨手放在機房

的某個角落，容易損壞、被盜、別人要用時找不著。另外，由于不是專職的保管，對于那些

磁帶磁盤已過時，那些備份可以洗掉了，往往記得不準確，很容易把不該清洗的洗去，國外

曾發(fā)生過一次錯誤地清洗掉上百盤磁帶的事故。

~數(shù)據庫管理員與其它人員分離。數(shù)據庫管理員的職責包括建立數(shù)據庫模式、創(chuàng)建用戶

了?模式、分配用戶權限、監(jiān)視數(shù)據庫的使用、規(guī)劃數(shù)據庫未來的獷展等。為了數(shù)據庫的安全，

應有專職的人員負責。

2.分散式處理企業(yè)的組織控制

一個企業(yè)的計算機處理業(yè)務不是集中于計算中心，而是分散在各個職能部門，是為分散

處理模式，是目前許多單位的實際處理模式。在這種模式中，計算機的服務是由各部門的用

戶自己控制的。分散模式容易產生以下的控制問題：

(1)不兼容性(Incompatibility)o分散模式會使各部門購買的硬軟件不兼容。如機

型、技術平臺、操作系統(tǒng)、字處理軟件、表處理軟件、數(shù)據庫等。這將大大削弱各部門間數(shù)

據傳送和工作協(xié)調的能力C

(2)冗余(Reduntancy)。許多相同的程序會在不同部門中重復編制，許多相同的數(shù)據

各部門重復輸入，容易產生冗余和數(shù)據不一致性。

(3)不相容活動的合并(ConsolidatingIncompatibleactivities)。特別是在小單

位中，合理的職責分離難以做到，幾乎是同一人既是程序員，又是操作員，又是維護人員。

(4)高質量專業(yè)人員的聘用問題(AcquiringQualifiedProfessionals)。各部門中專

業(yè)人員職位不象集中式的那么多，因而晉升機會少，不容易招聘到合格的專業(yè)人才。

(5)缺乏標準(LackofStandards)。各分散部門可能很少制訂完整的系統(tǒng)開發(fā)、文檔

資料騙制、系統(tǒng)評價等各種標準。即使有也很簡單.，不規(guī)范。

針對這些問題，企業(yè)可以成立一個較集中式小的企業(yè)級的計算機服務中心，其主要職責

是：

(1)集中規(guī)劃和測試要購買的硬軟件。評估各供應商的硬軟件的質量，按行業(yè)和企業(yè)

本身的標準評估其系統(tǒng)特性，控制好壞和兼容性。評估或測試的結果可分發(fā)到各部門，作為

各部門購買硬軟件的指引性標準。

(2)用戶服務。對用戶硬軟件的購買、安裝、調試提供指導幫助，處理硬、軟件重大

故障而產生的嚴重問題，為用戶提供培訓，發(fā)布公共信息，推薦用戶開發(fā)的好程序給大家共

享等。

(3)制訂標準。如系統(tǒng)開發(fā)、程序設計、文檔資料編制等標準，供各部門遵照執(zhí)行。

(4)人員審查。如各部門要招進計算機技術人才歸，可由企業(yè)的計算機服務部門從技

術資格角度進行評估。

(二)數(shù)據資源控制(DataResourceControl)

信息系統(tǒng)的數(shù)據資源是用戶的重要資源，為保證系統(tǒng)數(shù)據資源的安全可靠必須要作好數(shù)

據備份和數(shù)據的訪問控制C

1.備份控制(BackupControl)

備份控制是指對系統(tǒng)的軟件和數(shù)據文件必須建立備份，以防萬一系統(tǒng)或有關文件被損毀

時，可以利用備份文件把系統(tǒng)恢復到正常的工作狀態(tài)。

系統(tǒng)至少應建立兩份后備拷貝，并分別存放在不同的地點，有一份必須遠離機房存放，

最好能放在另一幢樓內保管。

對系統(tǒng)數(shù)據要定期備份。一般每天結束時對已經修改過的數(shù)據進行備份，每周、每月再

做一次全面的備份，重要的數(shù)據要保留三代。有些重要的處理過程，如過賬或結帳等，在開

始處理前也要先備份，以便在處理過程中出現(xiàn)意外時，系統(tǒng)可自動恢復到處理前的狀態(tài)，重

新進行處理。備份文件要做好保管工作。

2.訪問控制(AccessControl)

訪問控制指在信息系統(tǒng)內建立嚴格的控制措施，禁I二未經批準的人員讀寫系統(tǒng)的數(shù)據文

件。常用的訪問控制措施有：

(1)密碼與權限控制。通過對使用者進行身份識別和權限控制，可以有效地防止無關

人員使用系統(tǒng)，不同權限的人只能使用限定的功能模塊和使用數(shù)據庫的某?部分的數(shù)據。

(2)建立操作日志。對進入系統(tǒng)的人員、其所調用的功能模塊、所訪問的文件、所作

的操作等情況進行詳細記錄，以留下審計線索。若日后發(fā)現(xiàn)錯弊現(xiàn)象、數(shù)據丟失或被竊取，

通過操作日志的檢查可幫助追查與發(fā)現(xiàn)問題。

(3)職責分離。系統(tǒng)分析、設計、文檔資料管理及系統(tǒng)的專職運行管理人員不得兼任

系統(tǒng)的操作員，不得訪問系統(tǒng)的數(shù)據資源。

(4)對高度敏感的數(shù)據，如產品配方、密碼文件、人員基本工資等，可以加密的方式

存儲。有些高敏感數(shù)據的訪問要求驗證用戶簽字手跡或指紋、聲音等，以確保這些數(shù)據的安

全。

(三)系統(tǒng)開發(fā)與維護控制(SystemDevelopment&MaintenanceControl)

信息系統(tǒng)的開發(fā)控制是指系統(tǒng)開發(fā)從授權、執(zhí)行到系統(tǒng)測試和驗收等開發(fā)的全過程各方

面的控制。只有做好信息系統(tǒng)的開發(fā)控制，才能保證開發(fā)出來的系統(tǒng)合規(guī)合法，滿足用戶的

要求，具有及時發(fā)現(xiàn)和修正錯誤及防止舞弊行為，保證信息準確、完整等功能。信息系統(tǒng)正

式投入使用后就一成不變是少有的，若要對系統(tǒng)進行修改、完善，即對系統(tǒng)進行維護，必須

要有嚴格的控制，才能防止系統(tǒng)被無意修改的錯誤或有意的非法篡改。

1.系統(tǒng)開發(fā)授權

用戶要開發(fā)一個新系統(tǒng)時，應呈交正式的開發(fā)申請也告，由企業(yè)領導和專家一起審查、

論證。對目標系統(tǒng)的開發(fā)進行可行性分析?，在技術、經濟和管理實施各方面條件都具備，且

能取得較好效益的情況下，經正式批準立項，以保證系統(tǒng)開發(fā)的合法性、權威性、可靠性。

2.用戶代表參與

不管什么系統(tǒng)，不管所用技術如何先進復雜，在系統(tǒng)的開發(fā)的各階段中，都應有用戶的

代表參與，從用戶實際需求的角度提出對系統(tǒng)的需求說明，以便系統(tǒng)開發(fā)人員設計時結合技

術考慮最優(yōu)的系統(tǒng)實現(xiàn)方法和設計出全面、完整的系統(tǒng)功能，使所開發(fā)的系統(tǒng)軟件能夠充分

滿足用戶的需求。

3.內審人員參與

內審人員參與系統(tǒng)開發(fā)十分重要，特別是在用戶缺乏系統(tǒng)開發(fā)的相關知識的情況下，內

審人員可充當用戶和專業(yè)人員的中介作用，把用戶需求轉變?yōu)閷I(yè)設計的相關規(guī)定。內審人

員除要向系統(tǒng)開發(fā)人員提出審計部門對系統(tǒng)功能的需求外，還要就系統(tǒng)控制功能和保留審計

線索提出合理建議.此外，內審人員要在系統(tǒng)開發(fā)的各個階段監(jiān)督檢查系統(tǒng)開發(fā)控制的執(zhí)行。

4.程序與模塊測試

對編好的程序，針對其應有的功能假設一些業(yè)務數(shù)據逐個進行測試，其結果應與預計的

結果相一致。如有差異，應找到原因，予以糾正。當整個功能模塊（或子系統(tǒng)）的程序都編

寫并測試過后，要把它們聯(lián)起來，進行模塊（或子系統(tǒng)）的分調。?般來說，程序的測試由

程序員負責，而模塊（或子系統(tǒng)）的分調必須要有用戶代表和內審人員的參加。

5.系統(tǒng)的統(tǒng)調和驗收

在每個功能模塊（或子系統(tǒng)）測試全部通過后，要進行系統(tǒng)各模塊間的統(tǒng)調。由用戶、

開發(fā)人員、審計人員一起進行系統(tǒng)的總體測試。測試應在與實際應用盡可能相同的條件下進

行，應包括手工準備、計算機處理和人機的聯(lián)接。經檢測滿意的新系統(tǒng)，要經過與原系統(tǒng)并

行試運行規(guī)定的時間（通常是3-6個月），考核系統(tǒng)運行的結果是否令人滿意，實際運行結

果與原設計指標間的差異是否合理或可以接受。如果發(fā)現(xiàn)錯誤或系統(tǒng)功能、性能不符合要求，

要由系統(tǒng)開發(fā)人員檢查修改，直到一切均符合要求，用戶的系統(tǒng)開發(fā)領導小組可組織系統(tǒng)的

正式驗收工作，驗收除由用戶代表、開發(fā)人員、審計人員參加外，可以邀請財政與稅務部門

代表和有關專家參加。系統(tǒng)通過試運行和驗收后才能正式投入使用。系統(tǒng)的總體測試和驗收

被許多人視為最重要的系統(tǒng)開發(fā)控制之一。

6.系統(tǒng)文檔資料的檢查與控制

系統(tǒng)開發(fā)的每一階段都應有相應規(guī)范的文檔資料，包括技術設計文檔資料，編寫與審

批有關的文檔是對系統(tǒng)開發(fā)的一種控制。系統(tǒng)的文檔資料可為日后系統(tǒng)的維護改進以及審計

人員對系統(tǒng)的認以和審查泥供必要的資料，也可以為系統(tǒng)使用人員的培訓提供必要的資料。

在系統(tǒng)通過驗收前，一定要檢查系統(tǒng)文檔資料的完整規(guī)范性，文檔資料不全，系統(tǒng)不能通過

驗收。

系統(tǒng)的文檔資料對系統(tǒng)的處理與控制作了詳盡的描述，因此，它是極重要和機密的，一

定要由專人妥善保管，只有經授權的人且工作需要時才能接觸這些資料。操作人員只能接觸

操作手冊或用戶手冊，不得接觸此外的系統(tǒng)設計文檔。否則，操作員利用工作之便篡改程序

或數(shù)據的可能性較大。當系統(tǒng)維護后編制了新的文檔，舊的文檔應妥善保管或銷毀，不可隨

便丟棄。

7.系統(tǒng)維護控制

正式投入運行的系統(tǒng)，若要進行維護修改，必須經日請、批準后才能進行；維護修改后

必須進行嚴格的測試、作好文檔記錄，并經批準后方可正式投入使用。維護人員應獨立于系

統(tǒng)操作人員，最好也能獨立于系統(tǒng)開發(fā)員。實用的系統(tǒng)中只保留經編譯的程序，系統(tǒng)的源程

序要有嚴格的控制和妥善的保管，只有經授權且工作需要的人經登記才能接觸系統(tǒng)的源程序。

程序經維護修改后，要注意復制并保存最新版本的源程序，以免下次修改時用到的不是最新

的源程序版本。

（四）計算中心的安全和控制（ComputerCenterSecurityandControl）

日常重要業(yè)務由計算機處理的單位是不能承受數(shù)據處理中心受到災難性事故破壞的?；?/p>

災、水災、風暴、人為破壞、地震和掉電等均可產生災難性的破壞，使得資產和數(shù)據損失，

嚴重的可使企業(yè)無法生存下去。計算中心應有的安全控制措施如下：

（1）物理位置的選擇。計算中心應遠離人造和自然災害多發(fā)的地方，例如加油站、儲

氣站、蓄水池、機場、低洼地帶、高犯罪率地區(qū)等。

（2）建筑最好是單層的堅固建筑（防地震），電線電纜等應埋入地卜，窗戶應緊閉，裝

上空氣過濾器以防塵，安裝空調機、抽濕機等。

（3）訪問控制。要鎖門及設門衛(wèi)，進出登記，有閉路電視或攝像系統(tǒng)、報警系統(tǒng)等監(jiān)

視，防止未經授權的人進入。

（4）火災監(jiān)控。安裝煙霧探測器和自動報警系統(tǒng)，并連到專職防火責任人或消防站，

火災一旦發(fā)生，即有救火人員知道。重要之處放上滅火裝置。

（5）電源控制。計算中心應配備穩(wěn)壓電源和配備不間斷電源，以保證系統(tǒng)電壓的穩(wěn)定，

以及萬一外電路掉電或電壓低于一定值時，不間斷電源能自動向系統(tǒng)以額定電壓供電，保證

系統(tǒng)正常運行。

（6）災難恢復計劃。災難恢復計劃是一些成文的、經過試驗可行的在災難發(fā)生之前、

之中和之后應采取的行動的詳細的陳述。事先做好計劃與指引，能保證計算中心受到災難性

損毀后能繼續(xù)經營，可使損失降到最低。其基本內容包括：

①后備的第二工作場所。建立后備的第二工作場所對于重要的企業(yè)和重:要的業(yè)務是必要

的，可采取的形式有：

A）互助合約（MutualAidPact）.幾個業(yè)務和計算機設備相近的單位之間訂立合約，當

一個單位發(fā)生災難時可利用另一個單位的計算機設備和場所繼續(xù)重要的業(yè)務。這時，提供場

所和設備的單位可能需把自己原來的一些較次要的工作暫停。但這種方式在平時成本是低的,

沒有場地和設備閑置。

B）空殼（TheEmptyShell）<,幾個企業(yè)合買或租用一個建筑，改建成計算中心模式，但

不安裝計算機設備。一旦災難發(fā)生，則可利用此場所裝上必要的設備恢復重要的工作。這需

要相關的硬件供應商承諾，一旦災難發(fā)生時保證及時供應所需的硬件設備。另一個問題是當

水災地震等大范圍的災害發(fā)生時，可能幾個公司同時受災，都要使用這個空殼，形成競爭和

沖突。因此，事先必須訂好協(xié)議，合用空殼的單位不要太多。

C）恢復運作中心中heRecoveryOperationsCenter）。與空殼不同,這種中心安裝了必

要的計算機硬軟件，成本較高?？梢暂^多的公司合建一人恢復中心，或者大家按月交費。這

種方式的優(yōu)點是遇到災害時短時間內即可恢復工作。

D）內部后備（InternalProvidedBackup）o單位內部有多個計算中心的，可在各中心適

當增加某一應用的處理能力的硬軟件，其中一個計算中心災難發(fā)生時即可在另外的計算中心

上進行有關的業(yè)務處理。

②確定重要的應用。災難發(fā)生時短時間內只能先恢復一些最重要的應用系統(tǒng)，因此事前

必須確定好本單位的重要應用是什么。通常，應是一些對現(xiàn)金流入影響較大的應用，以保證

有足夠的現(xiàn)金支付各種所需。如銷售、應收賬款管理、生產和促銷決策、采購、各分公司間

的通信系統(tǒng)等。一個企業(yè)的重要應用會隨企業(yè)的發(fā)展而改變，因此應由領導、計算機專業(yè)人

員、用戶一起經常審查確定企業(yè)的重要業(yè)務，在發(fā)生災難時首先恢復這些應用。

③后備物品并遠離機房存放。用于恢復的后備物品包括備份的數(shù)據文件、程序、系統(tǒng)開

發(fā)的文檔資料、必要的辦公用品、空白單據等。這些都應該在遠離機房的地方保管。

④建立災難恢復隊伍。事先必須建立好災難恢復隊伍，一旦發(fā)生災難，可以有條不紊地

指揮和進行恢復工作。一個企業(yè)的恢復隊伍可參考圖3-3所列。

這里沒有控制部門和某些職責分離。在災難發(fā)生時職責分離不是最重要的，重要的是能

盡快正確地恢復工作。因之隊伍成員應是專家、專業(yè)人員，平時經常實踐過相應的工作。

圖3-3災難恢復隊伍組成

（五）數(shù)據通信控制（DataCommunicationsControls）

網絡環(huán)境下數(shù)據通信所受到的威脅可歸于兩大類：一是人為的破壞，二是設備故隨。前

者如有意竊取所傳送的信息，黑客的進攻，通過Internet等未經許可的入侵訪問，傳播病

毒等；后者如通信線路、設備的故障等。為防止或及時發(fā)現(xiàn)這些問題，可采用下列控制措施：

1.針對人為破壞的控制

（1）防火墻（Fire幄11）。它是置于一個單位內部網與外部網之間，用于防止外部訪問

者入侵系統(tǒng)的軟件或硬軟件組合，可檢查內部網外來的訪問者的權限級別而自動堵塞或引導

到相應的程序、數(shù)據和服務器上，也可分隔局網內不同部分之間的訪問。防火墻一般分過濾

型和代理服務器型c過濾型防火墻通過截獲要進入本單，'立內部網的信息包，檢查其源如址、

目的地址、路由和數(shù)據內容等特性，過濾出可疑的東西，拒絕一切未經授權的信息與訪問的

企圖。但黑客可以通過IP地址的循詢方法而把自己偽裝成合法的用戶攻入內部網。代理服

務器型防火墻不允許外部信息直接進入內部網，而只能到達代理服務器，數(shù)據通過時代理服

務器要求要完成準確的注冊與鑒定，對訪問提供控制與過濾作用，生成報告以報告非授權的

活動，從而提高內部網的安全性。防火墻的控制授權功能越復雜、高級，靈活性就越差，影

響對外來信息訪問的方便性，嚴重的會影響企業(yè)的電子商務能力，所以必須全面考慮安裝何

種級別的防火墻為宜。

防火墻能提高內部網的安全性，但不能防范內部用戶的誤操作產生的威脅，也不能防范

因口令、賬號等泄密被外部用戶攻擊，不能完全防止病毒的傳播。

(2)一次性口令(One-timePassword)o采用這種控制，訪問網絡的用戶需使用一個

智能卡，它與存儲在服務器上的相應軟件同步地每6。秒產生一個相同的密碼，不同的用戶

的智能卡有不同的同步密瑪，且每次產生的密碼是不同的。當用戶訪問網絡時，首先必須輸

入用戶標識PIN(PersonalIdentificationNumber),然后輸入自己智能卡上當前顯示

的密碼。這樣黑客即使使用循詢方法，也很難得到你當時的準確密碼。某人即使檢到了你的

智能卡，但他不知道你的mIN,也無法冒充你。

另一種一次性口令的產生方法是所謂挑戰(zhàn)/應戰(zhàn)方式。當用戶登錄網絡時，網絡防火」嗇

的授權軟件發(fā)出一個6位的挑戰(zhàn)字給用戶的計算機，用戶的智能卡可接收挑戰(zhàn)字，經智能卡

的內置密碼生成程序產生?個即時應戰(zhàn)密碼于顯示屏上，用戶鍵入此密碼即可登錄網絡。

(3)對轟炸式進攻的控制(ControllingDenial-of-ServiceAttacks)0Internet上通

過TCP/IP協(xié)議訪問一個目標時其應答過程是這樣的：訪問者首先發(fā)出一個同步信號SYN給

被訪者，被訪服務器發(fā)回?個SYN/ACK的確認信號，最后訪問者再發(fā)一個ACK信號確認，開

始通信。如果一個黑客一直發(fā)送SYN信號給某目標服務器，但總不發(fā)ACK確認信號給該服務

器，則該服務器一直發(fā)SYN/ACK信息給黑客所在服務器，使其他用戶的訪問請求無法進入該

服務器，形成堵塞狀態(tài)。被炸的服務器端的防火墻很難套出黑客所在地址，因為他會使用不

斷變更的IP地址(已有這種軟件)，使轟炸似乎是來自整個Internet的。解決的辦法是安

裝半開放的連接軟件，當檢查到只有SYN信號而沒有ACK回音的訪問者時，屏蔽其訪問。

(4)數(shù)據加密(DataEncription)。數(shù)據加密是重要數(shù)據傳輸中必用的控制方法，以防

止中途被人竊取。今天Internet上的電子商務活動往往涉及許多高度保密的信息，如身份

證號碼、信用卡號碼、個人簽名等，通常都要加密傳送。常用的數(shù)據加密方法是標準數(shù)據加

密DES(DataEncriptionStandard)和公共密鑰加密(PublicKeyEncription)和混合加密

法。

11標準數(shù)據加密DES。又稱通用密碼體制或單密碼體制、對稱加密法，是加密和解密鑰匙

(即密碼字)相同的密碼體制。通信的雙方用相同的加容、解密密鑰，但接收方的解密算法

是發(fā)送方加密算法的逆運算。它是美國商業(yè)部1977年制定的，是目前普遍應用的加密方法。

它把明文按64位分組，經加密算法變?yōu)?4位的密文，接收方用相反變換解密。如圖3-4所

示：

發(fā)方??收方

加密鑰K解密鑰K

圖3-4對稱加密法

因為一個發(fā)信者與不同的收信者通信應使用不同的密鑰，所以他必須保存有許多不同的

密鑰，以便能跟許多用戶通信(如供應商對客戶)。同樣，每一個收信者要接收許多不同信

源發(fā)來的信息，他也必須保存有每一個發(fā)信者的密鑰（如客戶必須有每一個供應商的加密密

鑰）。就是說，網絡上的每個用戶都要記住許多密鑰，并且不能泄露出去，這是單密鑰體制

的致命缺點。

II公共密鑰加密。典型的是RSA（Revest,Shamir,Adleman三人所共同發(fā)明）非對稱密

碼體制或稱雙鑰體制。這種加密體制加密與解密的密鑰不同，其加密鑰匙Ke為e,n兩個整

數(shù)，解密鑰匙Kd為d,n兩個整數(shù),n足夠大。明文M加密的算法為:密文C=M°MOD（n）,解

密算法為：明文M:dMOD：n）。由此兩式可見，若用d,n作為加密匙對明文C進行加密得密

文M,用。,n對密文M解密，也會得到明文C。公共密鑰體制正是利用了這種互換性，使兩

個不相同的密鑰，用一個加密，則另外一個可以解密，反之亦然。實用上每個用戶擁有自己

的一對密鑰，把其中?個密鑰公開作為公共密鑰，而另一個則由用戶自己保管成為私鑰。若

發(fā)信方不想別人知道其所發(fā)的信息，可以用收信方的公開密鑰對發(fā)送的信息加密，接收方收

到密文后可用自己的私鑰解密，別人由于不掌握私鑰，將無法竊取傳送的信息。如果不僅要

防止信息失密，而且要證實發(fā)送方的身份，發(fā)送方可先用自己的私鑰對要發(fā)送的信息加密，

然后再用接收方的公鑰對密文再次加密后發(fā)送。接收方收到密文后先用自己的私鑰進行第一

層解密，再用發(fā)送方的公鑰再次解密得到明文，如圖3-5所示：

發(fā)方

圖3-5實用的非對稱加密法

這樣，由于私鑰是唯一的，上圖的過程保證了一個網上傳送的信息只有唯一的一個用戶

?'J以對其解密，其他人即使截獲/這個信息也尢法對其解密，同時也保證。刑攵到的信息必

然是擁有發(fā)方私鑰的用戶所發(fā)出的，實現(xiàn)了兩個用戶之間的保密通信，但又不必保管很多密

碼，僅需保管好自己的私有密鑰，再在自己的網頁或其他媒體上公布一個自己的公開密鑰即

可與任何一個伙伴進行秘密通信。

11混合加密法。上述的雙鑰加密的公鑰體制在加解密速度上比單鑰的對稱加解密方法要慢,

不適宜對長文件加密。為克服兩者的缺點，充分利用兩者的優(yōu)點，可把兩種方法結合起來，

用對稱的單鑰加密法加密要傳送的主信息，用非對稱的雙鑰體制加密單鑰制的加密鑰匙本身。

接收方收到信息后先用自己的私鑰解密，得到對稱加密的解密鑰匙，再用它解出傳送的主信

息，如圖3-6所示。

發(fā)方收方

圖3-6混合加密法

(5)信息順序編號(MessageSequenceNumbering),>信息破壞者可能會改變、復制或

刪除正在線路上傳輸?shù)男畔⒃?，以破壞接收方收到的正確信息元順序，使其無法閱讀，達到

破壞信息的目的。通過對每?信息元加上順序號，接收方則可知道收到的信息是否完整，順

序是否正確。如不完整，可通知發(fā)送方重發(fā)。

(6)信息收發(fā)記錄(MessageTransactionLog)。入侵者往往能成功侵入企業(yè)的系統(tǒng)中

竊取機密。通過自動登記收發(fā)業(yè)務，把每次的收發(fā)信息和入侵者的用戶名、終端地址、電話

號碼、入侵時間等自動記錄下來，可抓住惡意的入侵者。

(7)回叫機制(Call-backDevice)o一旦入侵者攻入了企業(yè)的內部網絡,上述的許多

控制方法都無效了。回叫機制是當發(fā)信息者呼叫時，接收方收到呼叫信號后暫時斷開與呼叫

方的連接通路，審杳其用戶名、口令、終端地址都無誤后再回叫原呼叫方:建立一個新的連

接進行通信。這種控制可防止別人盜用賬號、口令在其他終端上作案。

2.對線路故障問題的控制

線路上設備故障通常是由于線路上的躁音等引起信號位改變、信號丟失等，通常用探測

收到數(shù)據是否正確來控制，常用的控制方法有：

(1)回波檢測(EchoCheck)。接收方收到信息后立即把收到的信息發(fā)回給發(fā)送方，發(fā)

送方把對方發(fā)回來的與發(fā)送時留下的發(fā)送副本比較，如有不一致，則說明信息傳送有誤，重

發(fā)該信息。

(2)奇偶校驗(ParityCheck)o每個信息元設置校驗位，根據每個信元中的1的個數(shù)

若是奇數(shù)則校驗位值為0,是偶數(shù)則校驗位為U接收方收到信息時以同樣的算法檢驗之，

以確定傳輸過程中有無改變了信元中一個位的值。

(六)電子商務的控制(ElectronicCommerceControl)

電子商務按其網絡平臺分，可分為基于電子數(shù)據交換(ElectronicDataInterchange

-EDI)的電了?商務和基于Internet的電了?商務。前者是雙方通過直接連接的專用線路或通過

第三方的增值網VAN(Value-addedNetwork)進行商務數(shù)據(訂貨單、發(fā)貨單、付款單等)

通信的商務方式。后者是通過Internet進行類似的商務活動。兩者有許多相同或相似的控

制問題。電子商務除要有上述的通信控制外，還要有下列主要控制：

1.業(yè)務授權和有效性控制(TransactionAuthorizationandvalidationControl)(>

網上交易雙方都必須詢信對方是合法有效的交易伙伴，并且所收到和正在處理的交易業(yè)

務是完整和有效的，不可篡改和抵賴的。確認方法有：

(1)數(shù)字簽名技術。紙性文件可通過簽名蓋章的方式作為發(fā)方時文件有效性、文件內

容完整正確性的一種承諾、證明。在電子商務中，由于所有商務文件(如采購單、付款單、

發(fā)票等)以電子方式傳送，為了使收方確信收到的文件是發(fā)方有效的、承擔法律責任的不可

抵賴的文件，并確信傳輸過程中文件內容沒有受到增、刪、改，廣泛使用數(shù)字簽名技術。這

種技術是圖3-5中的非對稱加密傳送技術加上文件Hash函數(shù)技術的綜合運用。其要點是:

11發(fā)文方用HASH函數(shù)對待發(fā)文件產生一個位數(shù)不長(如128位)的文件摘要；II把文件

摘要用私鑰加密后即是數(shù)字簽名，再與文件正文一起用對稱加密法加密傳給收方；11同時把對

稱加密的密鑰用收方公鑰加密傳給收方；收方用自己的私鑰對對稱加密密鑰的密文解密后

得到對稱加密密鑰，再用它對文件正文的密文解密后得到文件正文和數(shù)字簽名：~對數(shù)字簽

名用發(fā)方公鑰解密，得文件摘要；~對文件正文用HASH函數(shù)作用后再產生一個文件摘要;

~對兩個文件摘要進行比較，如果一樣，則說明文件內容沒有被修改過,是原發(fā)的有效文件。

數(shù)字簽名是用發(fā)送方的私鑰加密的，象紙上簽名一樣，確認了發(fā)送方在發(fā)送文件中的承諾。

數(shù)字簽名原理如圖3-7所示：

圖3-7數(shù)字簽名原理

（2）認證中心和數(shù)字證書。埋論上，上述的圖3-5或圖3-7的加密方法和數(shù)字簽名技

術可保證發(fā)文單位的確認，保證收到的文件是該單位發(fā)出的，不可抵賴的。但是如果發(fā)方單

位的公開密鑰的可靠性不能肯定，則發(fā)方單位是否真實存在、合法可信，是否有法律責任能

力等就不那么確定了。為了使交易各方得以確定對方確是客觀存在的、合法的、有法律責任

能力的單位，要求設立權威的獨立機構對此作出確認，這個權威機構稱為認證中心（CA-

CertificateAuthority）。它負責證實申請者的身份，并為其頒發(fā)數(shù)字證書（DigitalCertificate）。

數(shù)字證書的內容包括：11證書所有者的姓名。II證書所有者的公鑰。］］公鑰及證書的有效期。

頒發(fā)證書的單位名稱。~數(shù)字證書的序列號。?頒發(fā)證書單位的數(shù)字簽名。數(shù)字證書發(fā)布于

用戶自己的網頁上，供交易對手查閱，從而確信交易對手的合法性。

（3）VAN網和Extranet均有檢查客戶ID和密碼的功能,合法的客戶ID和口令存儲在

一個有效的客戶文件中，如不匹配的客戶，則業(yè)務被拒絕。

（4）對于電子購物中的個人客戶，也可以向認證中心申請認證，領取自己的數(shù)字證書。

但更多的是購物前先向商家注冊登記，通常商家會要求客戶把自己的真實姓名、地址、電話、

電子郵件地址、身份證號、工作單位等特征信息提供給商家存儲起來，并通過電話、郵件等

對客戶身份進行確認，以魂保個人客戶是有效的。

2.業(yè)務處理控制(TransactionsProcessingcontrol)

業(yè)務處理控制指收到交易伙伴業(yè)務文件，對文件處理的控制，主要包括：

(1)企業(yè)數(shù)據庫中應保存著交易伙伴的ID和口令，在把收到的業(yè)務文件進行翻譯處理

時苜先檢查其ID和口令，如不匹配，不進行翻譯處理。

(2)'業(yè)務處理應用程序在正式處理該業(yè)務時也先檢查客戶ID和口令，如不匹配，不進

行該業(yè)務的正式處理。

3.電子商務的安全協(xié)議與網上付款的安全控制

通過網上自動支付交易款項，是電子商務?項重要的內容，但必須有嚴密的安全控制才

能順利實施。一要保證收付雙方收、付的是準確的應收、應付款數(shù)；二要保證雙方的機密信

息，如銀行的賬號、密碼，信用卡密碼等不會泄露；三要保證付款后能及時收到所購的商品。

為網上支付的安全，目前電子商務系統(tǒng)常用的安全控制也,議有：

(1)SSL(SecureSocketsLayer)安全套接層協(xié)議。采用此安全協(xié)議，客戶首先把購

物意向通知商家，得到商家的確定回應后，客戶把正式訂單和自己的銀行信息發(fā)往商家；商

家再把客戶信息發(fā)往銀行要求銀行付款，銀行驗證客戶身份并劃款后通知商家；商家再通知

客戶購買成功并發(fā)貨給客戶。顯然，這種安全協(xié)議保障了商家的利益，但對客戶沒有,呆障。

其基點是商家承諾對客戶信息保密且收到款項后要發(fā)貨。它是電子商務發(fā)展初期，商家是信

譽較高的大公司，客戶基于對商家的信賴而采用。隨著進入電子商務的商家增加，SSL協(xié)議

的缺點已充分暴露，SSL協(xié)議正逐步被SET協(xié)議取代。

(2)SET(SecureElectronicTransferProtoco)安全電子交易協(xié)議。該協(xié)議由兩大

信用卡組織VISA和Mastercard聯(lián)合開發(fā)。采用此協(xié)議的交易過程如下：

(A)消費者提出電子訂貨。

(B)商家應答消費者請求。

(C)消費者把自己的信用卡號、密碼等支付授權費料用發(fā)卡公司的公鑰加密，與正式

訂單加上自己的數(shù)字簽名發(fā)給商家。

(D)商家接受訂單后，通過支付網關向自己的開戶銀行傳送消費者支付授權資料，開

戶行把資料送到發(fā)卡行請求支付認可，發(fā)卡行審核后把確認信息返回商家開戶行，開戶行再

把確認信息返回商家。

(E)商家確認訂單并發(fā)貨，同時把發(fā)貨證明送開戶銀行通知請求付款。

(F)開戶銀行把有關資料通知發(fā)卡行，發(fā)卡行根據授予權劃款。

此協(xié)議可保證客戶資料加密打包后通過商家到銀行，但商家看不到客戶的帳戶和密碼；

可保證信息在網上安全傳輸；不僅對商家進行保障，對消費者也有保障。它可在不同的硬件

與操作平臺上運行。

(3)網上支付系統(tǒng)及其控制原理

在上述電子商務安全協(xié)議的基礎上，一些公司建立了自己的網上支付系統(tǒng)，以解決電子

商務的網上支付問題。下面是目前流行的一些網上支付系統(tǒng)及其控制原理。

UCyberCash網上結算公司。該公司給客戶一個專用的加密軟件?？蛻糍徫飼r把給商家的

訂單和用該軟件加密的信用卡信息和支付授權一起發(fā)送給商家，商家要把客戶信用卡信息和

支付授權轉送至CyberCasn服務器解密后發(fā)往商家開戶銀行，銀行再把客戶信用卡信息和支

付授權送發(fā)卡銀行請求支付，發(fā)卡行核對確認后把支付（或拒絕）指令發(fā)給Cybcrcash服務

器，由它通知商家發(fā)貨和通知客戶已付款。采用此結算方法，商家不可能知道客戶的信用卡

信息，付款安全性較好。

IlCyberCharge網上收費公司。CyberCharge的作用象銀行網絡和微軟商家服務器

（MicrosoftMerchantServer）之間的中介，是微軟為Web上銷售而開發(fā)的。有了它，消

費者不需專門的客戶軟件,CyberCharge使用高速連接技術把安裝有微軟商家服務器軟件的

用戶（商家）與聯(lián)邦銀行網絡連接起來。當消贄者通過商家網站購物并輸入支付信息后，自

動被加密送到CyberCharge服務器，再送往銀行網絡，通過CyberCharge主干網實現(xiàn)按授權

直接把資金從客戶帳戶轉入商家的銀行帳戶，并通知商家發(fā)貨。

JlDigiCash數(shù)字現(xiàn)金支付。采用此支付方式，首先客戶要告知銀行把一定金額轉為電子

現(xiàn)金，銀行按要求把客戶一定數(shù)額的銀行存款轉為電子現(xiàn)金（有銀行的數(shù)字簽字），裝入電

子信封（即用客戶的公鑰加密）發(fā)送給客戶?？蛻艟W上購物時以電子現(xiàn)金付款給商家，就象

用現(xiàn)金或支票購物一樣，無需給信用卡號碼和密碼了。商家可以把電子現(xiàn)金向銀行換回實際

貨幣。

FirstVirtualInternetPaymentSystem第一網上虛擬支付系統(tǒng)。使用此支付系統(tǒng)，

客戶和商家首先都要申請一個唯一的身份識別號碼（VirtualPIN）,與他們自己的信用卡

號碼一起存于FirstVirtual公司才能訪問的計算機上。顧客購物時，發(fā)給商家的除匯單外

是自己的VirtualPIN號碼,不是信用卡號碼。商家把自己的和客戶的VirtualPIN一起發(fā)

給FirstVirtual公司,FirstVirtual核對后從客戶帳上劃出貨款存入商家?guī)ぬ?并通知

顧客款項已支付，通知供應商發(fā)貨。

4.訪問控制（AccessControl）

在電子數(shù)據交換中，往往有時需要訪問對方的數(shù)據庫，如客戶向供應商下訂單前，可能

要查找供應商的存貨數(shù)據庫中有關存貨編號、名稱、規(guī)格型號、價格等資料，有些經常向該

供應商訂貨的資料客戶可能會想下載到自己數(shù)據庫中，以方便以后訂貨時查閱。這樣，當供

應商的某些參數(shù)（如價格〕改變后他可能希望能自動及時地讓客戶知道，因而想直接把數(shù)據

送到客戶的數(shù)據庫上并修改之。雙方能訪問對方的那些數(shù)據，有何種訪問權限，需要雙方事

前訂好合同，按合同設置好訪問參數(shù)。

5.審計線索（AuditTrai1）

EDI或Internet上的電子商務由于沒有了紙性的原始憑證，審計線索沒有了，這對審計、

稅收征管等都帶來風險。解決的辦法是在電子商務的接收、處理軟件中加上自動登記收到業(yè)

務和各階段業(yè)務處理的記錄，存于業(yè)務登記文件中，以各查閱，并保證了收到的業(yè)務都能及

時完整地進行處理。

（七）微機系統(tǒng)的控制

微機可以單用戶、單任務地獨立使用，或者裝上多用戶多任務的操作系統(tǒng)作為獨立平臺

供多用戶使用，更多的是連接到網絡上作為終端使用。這里提的微機系統(tǒng)包括微機或微機局

域網應用系統(tǒng)，其主要控制為：

1.訪問控制

微機的設計理念是方便用戶使用，因此其數(shù)據安全性控制功能較弱，任何人都可為問、

修改硬盤上的程序、數(shù)據c因此，要用數(shù)據加密、微機加鎖、運行程序需要密碼LI令等方法

加以控制。

2.對缺乏恰當?shù)穆氊煼蛛x的控制

在許多小單位，采用微機進行業(yè)務處理，由于單位小，職責分離很不嚴格，往往系統(tǒng)開

發(fā)人員乂是操作人員，不相容的業(yè)務（如處理訂單、應付、應收、總賬等）都可能是同一人

操作，這會產生很多作弊機會。對缺乏恰當?shù)穆氊煼蛛x，控制方法主要是使用品質好的員工。

另外設置多級口令，有些重要目錄、文件、數(shù)據的口令日管理人員自己掌握，限制員工對某

些程序和數(shù)據的訪問。

3.程序與數(shù)據的后備控制

完善的主機和網絡系統(tǒng)中，備份是由系統(tǒng)管理員通過專門的硬軟件定期或由系統(tǒng)自動進

行的。微機系統(tǒng)的備份則是由用戶自己執(zhí)行，往往有些用戶對備份的重要性和正確方法認識

不足，微機也常會由于硬盤故障而引起數(shù)據或程序的破壞。只有做好程序與數(shù)據備份，才能

事后補救。微機系統(tǒng)常用的備份方法有：①軟盤備份。②內部硬盤備份。同一硬盤上不同的

目錄上備份或者安裝一個專用的備份硬盤。③外部可拆卸硬盤備份。其優(yōu)點是速度快、滿了

可更換、可保管在遠離機房的地方。④磁帶備份。便宜、容量大。用戶應根據業(yè)務量的多少

和處理的時間進行備份，至少應有一份備份保存在機房以外的地方。

4.對缺乏恰當?shù)南到y(tǒng)開發(fā)與維護控制的補償

由于微機操作系統(tǒng)性能的局限和開發(fā)、使用、維護分工的不嚴格，微機應用系統(tǒng)的開發(fā)、

維護控制通常較差，管理者可用下面的技術方法予以補償：

（1）購買商品化軟件。其開發(fā)控制、程序控制都會較好。選購商品化軟件應按以下步

驟以加強控制：11認真分析要解決的問題和所需軟件的功能。II向供應商招標。11比較各供應商

產品適合企業(yè)需要的程度，請專家?guī)椭治?。向使用過此種軟件的用戶了解使用情況。~

了解供應商售后服務的情況。~評分、排隊選擇之。

（2）選用品質好的人開發(fā)、使用、維護。

（3）管理者或內審人員經常審查輸出的報表等。

二、應用控制（ApplicationControl）

應用控制是針對某個具體應用系統(tǒng)（如工資系統(tǒng)、興購系統(tǒng)、銷售系統(tǒng)等）的敏感環(huán)節(jié)

和控制要求，為加強具體應用的輸入、處理和輸出的正確可靠性而建立的控制。應用控制依

系統(tǒng)或應用項目和具體數(shù)據處理方式的不同而不同。但是，任何應用系統(tǒng)，不管其應用領域，

數(shù)據處理的方式是多么不同，其應用控制按其特性都可劃分為輸入控制、處理控制和輸出控

制三個部分。應用控制措施雖然也有手工控制和程序控制，但與一般控制相比，其程序控制

更多。

（一）輸入控制

輸入控制的FI的是要防止未經審核的、無效的數(shù)據輸入計算機系統(tǒng)內，并保證經審核的

數(shù)據能完整、準確地輸入并轉換為機器可讀的形式。常見的輸入控制措施主要有以下幾利n

1.憑證的審核與輸入準備。使用事先順序編號的憑證，不用時鎖好，只有經授權的人

才能接觸、使用憑證，定期審核已用、未用、作廢的憑證數(shù)，如不符應及時報告、追查。

切業(yè)務憑證輸入前必須經必要的審核，經審核的業(yè)務要按操作手冊的規(guī)定準備就緒。經過審

核和準備，可以有效地保證輸入信息系統(tǒng)內的原始數(shù)據的有效性、正確性，盡可能地把差錯

消除在輸入之前。

2.輸入操作及核對控制。此控制要求只有經批準的人才能進行輸入操作并要作操作記

錄，輸入數(shù)據要經及核才能處理。常用的核對方法有二次輸入核對（即把要輸入的資料兩個

人分別輸入，由計算機對兩次輸入的資料進行核對）、把已輸入資料打卬輸出與應輸入資料

核對、由另一操作員在屏幕顯示的已輸入資料與應輸入資料核對等。

3.計算機校驗。由計算機對輸入的數(shù)據進行檢查，以發(fā)現(xiàn)數(shù)據輸入的錯誤，這是重要

的程序控制。常見的計算磯校驗技術有：業(yè)務數(shù)點計，控制總數(shù)核對，代碼的有效性臉驗，

借貸平衡檢驗，編號順序檢驗，數(shù)據合理性檢驗、數(shù)據類型與完整性檢驗等等。

（1）業(yè)務數(shù)點計。此檢驗技術主要用于批輸入的系統(tǒng)。在數(shù)據準備時，每批要輸入的

業(yè)務憑單先由人工點計，并填在批首表上。數(shù)據輸入后，由計算機再次點計輸入的業(yè)務數(shù)或

憑單數(shù)，并與批首表上的業(yè)務數(shù)核對，若發(fā)現(xiàn)差異，計算機將給出錯誤信息。這種控制能防

止憑證在輸入過程中的遺漏、丟失或重復等錯誤。

（2）控制總數(shù)核對。此控制主要用于批輸入的系統(tǒng)。在數(shù)據準備時，每批要輸入的憑

單先由人工計算批控制總數(shù)（一般用金額總數(shù)，也可用非金額的重要字段如憑證號、支票號、

客戶編號等的總數(shù)），并填在批首表上。數(shù)據輸入后，由計算機再次匯總輸入憑單的控制總

數(shù)，并與批首表上的控制總數(shù)核對，若發(fā)現(xiàn)差異，計算機將給出錯誤信息。這種控制能防止

數(shù)據在輸入過程中的遺漏、丟失、重復或作為控制總數(shù)的數(shù)據項輸錯。

（3）代碼的有效性