《XrML在会计信息系统中的运用》由会员分享,可在线阅读,更多相关《XrML在会计信息系统中的运用(56页珍藏版)》请在金锄头文库上搜索。
1、LOGO可扩展权限标记语言的权利可扩展权限标记语言的权利 什么是XrML?XrML(ExtensibleRightMarkupLanguage)是一种基于XML的语言,它决定了决定了数字内容使用的权限和条件,可以防止非法用数字内容使用的权限和条件,可以防止非法用户的使用。户的使用。XrML以许可的形式列出了数字内容的访问和使用策略,许可定义了谁可以访问内容,如何保护和分配内容,并控制了详细的使用权限来实施某些操作,如授权打印和时间许可等。内容保护包括通过浏览器或E-mail传输的Word文档、电子表格数据或Web报告等,通常会将这些内容加密以防止非内容加密以防止非法用户的访问或修改法用户的访问
2、或修改。加密程序内部是一个许可或指向策略服务器许可的指示器,当用户试图打开文档时,应用程序收到来自企业许可服务器的许可,验证用户的权限,并执行为这个用户定义的使用权限。支持XrML标准的任何权限管理软件,后来都可以对XrML许可进行管理。XrML还能让用户开发自己的权限来满足某些特殊的需要可扩展权限标记语言的权利可扩展权限标记语言的权利 XrML背景背景XrML是由ContentGuard公司研制的一种基于XML的REL,目前它在使用上是免费的,但必须向ContentGuard提出许可证申请,因为XrML是ContentGuard注册的专利。2005年3月15日,ContentGuard被微软
3、(Microsoft)、时代华纳(TimeWarner)和法国汤姆逊(Thomson)三方联合收购,但对XrML不具有太大影响。XrML中定义了3个主要的概要,包括核心的(Core)、标准的(Standard)和内容扩展的(Contendextension)概要。和ODRL相比,XrML可能过于复杂,但XrML有其官方的SDK,这降低了使用它的难度。XrML源自于XeroxPARC在1996年公开DPRL(DigitalPropertyRightsLanguage),为MarkStefik所研发。-DPRL第一版。1998年DPRL授权给微软与全录所赞助的一家新公司ContentGuard-第
4、二版2001年DPRL不符SGML/XML与IETF的相关标准,故由ContentGuard公司将DPRL的Lisp改写成XML-XrML第一版:XrML1.0XrML背景背景2002年XrML第二版实现:XrML2.02003年XrML被使用为MPEG-21发展版权描述语言的基础采用该描述语言作为基础来发展个别标准包括有MPEG-21、OASISRightsLanguageTechnicalCommittee和OpeneBookForum(OeBF)。采用XrML的产商有Microsoft(美国微软)、Adobe、sony、HP、Xerox(施乐)。XrML背景背景 XrML的基本资料模型为
5、授权(grant),它是由四个实体,以及实体之间的关系所组成,如图:Principal(Principal(主体主体) ):标明被授权人认证标明被授权人认证。Right(Right(权利权利) ):指定了:指定了某种条件某种条件下,所下,所允许开放允许开放的的行为动作行为动作。Resource(Resource(资源资源) ):指定了:指定了授权授权的的数位数位物件。物件。Condition(Condition(条件条件) ):权利被行驶权利被行驶之前的之前的先决条件先决条件。资料模型资料模型XrML定义了四种基本类的关系模如图,及有关的商业应用:主体(主体(Principal)资源资源(Re
6、source)权利(权利(Right)条件条件(Condition)发布遵守关联权利描述的基本结构权利描述的基本结构 XrML许可证许可证以上四要素组成权益描述即XrML文档被封装成授权(Grant),每个授权有专门命名。每份许可包含一份或多份授权。每个授权应是一个最基本但完整的权益,而许可可以认为是一组权益,因此XrML实现的数字权益保护体系中用四元素四元素来表述形成授权、授权来表述形成授权、授权组成许可,系统运作也组成许可,系统运作也就是许可就是许可(申请)获得获得许可许可(确认)的动态过的动态过程。程。许可的基本流程如图所示:创建者出版者分发者使用者使用者分发者上行权利:申请(reque
7、st)下行权利:许可(Licenses)(转让)许可申请 XrML许可证许可证许可基本流程许可基本流程 体系的基本流程是对文档的许可解释许可解释,及对解释的条件验证的过程。下图阐述了用户申请执行权利时的基本流程,其中许可(包含一份或多份授权)、权利、主体、资源和条件都使用XrML文档表示:权利主体资源xrml框架主体、资源、权利条件验证器条件许可解释器许可可信环境中的可信系统可以使用权限表示语言XrML来表示数字信息策略。用户可以将XrML许可证应用于任何格式的可信信息,例如电子邮件、办公室效率工具、数据库内容、电子商务下载资料、业务方案和客户关系管理系统等等。然后,可以通过任何采用XrML标
8、准的可信权限管理系统来应用XrML许可证。 要管理的权限将在文件所附带的要管理的权限将在文件所附带的 XrML 发布许可证中指明。发发布许可证中指明。发布许可证表明了信息所有者希望他人使用、保护和分发信息的方式。布许可证表明了信息所有者希望他人使用、保护和分发信息的方式。发布许可证和用户的身份被传递给建立许可证的权限管理系统。发布许可证和用户的身份被传递给建立许可证的权限管理系统。这些许可证很容易由各种可互操作的权限管理系统解释和管理,因这些许可证很容易由各种可互操作的权限管理系统解释和管理,因为它们都采用为它们都采用 XrML 标准。通过使用许可证来联机管理信息,以便标准。通过使用许可证来联
9、机管理信息,以便从任何位置都可轻松进行访问。只要下载了许可证,无论是联机还从任何位置都可轻松进行访问。只要下载了许可证,无论是联机还是脱机都可实现权限管理,这是因为是脱机都可实现权限管理,这是因为不管文件位于何处,权限跟文不管文件位于何处,权限跟文件始终是不可分的件始终是不可分的。 XrML支持许多种权限。此外,应用程序还可定义其他的权限以满足特定的需求。通过定义其他的权限,企业可根据其特定要求建立多种业务、用途和工作流程模型。XrML XrML 的工作原理的工作原理XrML的的特征特征信赖模型:决定该授权与发行单位可否信任机密性:隐藏授权被适当的第三者发现网路服务说明:定义位子、语义、参数样
10、本比对:假使样本用正式的表达语言来撰写,但是这种表达语言又非XrML的話,可以用合并的方式来加以定义。XrMLXrML优点优点 开放的标准XrML是一个开放性的标准标识语言。提供了开放的结构,具有一定的可伸縮性和可扩充性。基本上除了能应用在描述数位內容版权的权利事项外,还能让这些与权利事项有关的咨询能在不同的应用与系统之间互通有无。适用于所有同媒体类型、平台、格式、资源、产品与服务。 可扩展性及可互通性XrML的语法和结构和用XML概要描述,這使得XrML可以进一步扩展来支持新的商业模式,並且能够和其他系统连接。提供一个框架,可以在整个工作流程或数位资源生命周期的各个阶段表达不同的权限。透过语
11、法规则和唯一解释语言的处理规则以保证语言的精确性。具有延伸性,未来可降低更换成本;容易应用与发展。XrMLXrML优点优点适用于任何一种商业模式 例如: 1、远距学习:可以识别与限定有注册的学生观 看远距学习材料。 2、数位内容的零星贩售:可依据不同状况设定 使用权利及费用。 3、公司的产品咨询:必须透过及登录公司內部 的Intranet才能看到产品 內容的文献。 4、顾客取得:即便顾客取得咨询並传送给他 人,也仅能阅读或浏览该文献。提供SDKSDK (Software Development Kit) 一套全面支持XrML 2.0版的软件开发工具包。XrMLXrML优点优点复杂度XrML虽具
12、有强大的表达能力,除核心的概要外,使用者亦随其需求而定义所需的模型,如此的扩展机制满足了不同的商业模型,所以需要强大的系统来支援其复杂性运用。移动性因复杂性过高难以使用与理解之外,且需强大的系统支援,此劣势成为未来在移动式权利管理发展上最大的阻碍。XrMLXrML缺点缺点应用领域应用领域:电子书电子书、音乐音乐采用者采用者: 1.1.OeBFOeBFOeBFOeBF (Open eBook Forum) (Open eBook Forum) 会员会员包括包括AdobeAdobe、Microsoft 、McGraw-Hill McGraw-Hill 、 netLibrary netLibrary
13、 、SonySony等。等。 2.2.MPEGMPEGMPEGMPEG (moving Picture Experts Group) (moving Picture Experts Group) 成员成员有有IBMIBM、MicrosoftMicrosoft、PhilipsPhilips、 Panasonic Panasonic 、Universal Music Group Universal Music Group 等。等。 3.3.OASISOASISOASISOASIS (Organization for the Advancement (Organization for the Adv
14、ancement of Structured Information Standards)of Structured Information Standards) 专利拥有者专利拥有者:ContentGrardContentGrardXrMLXrML应用现状应用现状19XrML在会计信息系统的运用在会计信息系统的运用运行管理体系运行管理体系安全控制技术安全控制技术安全防范技术安全防范技术运行管理体系的四大方面运行管理体系的四大方面v建立会计信息系统运行管理体系的四大方建立会计信息系统运行管理体系的四大方面面:组织机构组织机构,人员管理人员管理,工作流程管理工作流程管理和和技术技术资料管理资料管
15、理.2021在组织结构中的运用在组织结构中的运用v会计信息系统一般设置如下管理岗位会计信息系统一般设置如下管理岗位:会计电算化主管会计电算化主管系统管理岗系统管理岗系统维护岗系统维护岗会计核算岗会计核算岗授权审批签字岗授权审批签字岗数据处理岗数据处理岗档案管理岗档案管理岗在人员管理中的运用在人员管理中的运用v在会计信息系统中,操作员及权限管理角色管理中,对操作员的职能权限进行统一的划分;帐套角色的增加、删除、修改等维护工作;设置操作员的权限(如:会计信息系统中数据和金额的操作权限)。2223在流程管理工作中的运用在流程管理工作中的运用XrML在会计信息系统的三种处理流程中的运用:在会计信息系统
16、的三种处理流程中的运用: 单机数据处理单机数据处理/财务局部网财务局部网络阶段的会计信息系统处络阶段的会计信息系统处理流程理流程网络级应用的会计信息系网络级应用的会计信息系统处理流程统处理流程集团企业的会计信息系统集团企业的会计信息系统处理流程处理流程24在技术资料管理中的运用在技术资料管理中的运用v会计技术资料管理包括三大方面会计技术资料管理包括三大方面:日常管理日常管理,应用管应用管理理,安全管理安全管理.25在日常管理中的运用在日常管理中的运用v日常管理主要是对会计技术资料的及时收集日常管理主要是对会计技术资料的及时收集,做做好数据的备份和管理记录好数据的备份和管理记录.有两种方式有两种
17、方式:a)打印管理打印管理凭证打印凭证打印:制作的同时打印制作的同时打印,由相关操作员打印由相关操作员打印.账簿打印账簿打印:现金日记账和银行存款日记账每日打印现金日记账和银行存款日记账每日打印,总总分类账和明细账按季打印分类账和明细账按季打印.报表打印报表打印:在期末结帐后打印在期末结帐后打印,由主管会计打印由主管会计打印.b)系统备份系统备份硬盘备份硬盘备份:每天备份一次每天备份一次,由系统管理员执行由系统管理员执行.磁盘磁盘,磁带或光盘备份磁带或光盘备份:每月备份一次当期数据每月备份一次当期数据,年底备年底备份一次全年数据份一次全年数据.均备份两套均备份两套,一套为调阅存档盘一套为调阅存
18、档盘,一套一套为非调阅存档盘为非调阅存档盘.由系统管理员执行由系统管理员执行.26在应用管理中的运用在应用管理中的运用v会计技术资料被应用于企业高层管理的各个方面会计技术资料被应用于企业高层管理的各个方面,为保障其有效利用为保障其有效利用,可采取以下措施可采取以下措施:l书面档案按常规方式归档、立卷、成册,经会计主管、书面档案按常规方式归档、立卷、成册,经会计主管、系统管理员签字后,有档案管理人员保管。系统管理员签字后,有档案管理人员保管。l磁盘备份资料一套电算主管人员保管,一套档案保管磁盘备份资料一套电算主管人员保管,一套档案保管人员保管,分别存放。人员保管,分别存放。l磁介质保存期与书面资
19、料保存期一致磁介质保存期与书面资料保存期一致l磁介质资料要定期检查定期复制。磁介质资料要定期检查定期复制。l调阅资料要办理手续,未经批准不得外借。调阅时要调阅资料要办理手续,未经批准不得外借。调阅时要登记相关信息。登记相关信息。l到期后按规定处理。到期后按规定处理。27在安全管理中的运用在安全管理中的运用v会计技术资料要执行安全和保密制度,严防毁损、会计技术资料要执行安全和保密制度,严防毁损、泄密、篡改等。从相关手段中可以看到运用:泄密、篡改等。从相关手段中可以看到运用:上机日志管理上机日志管理:可以查看哪些用户登录到了系统,从:可以查看哪些用户登录到了系统,从那台计算机登录,做了哪些操作,什
20、么时间做的;实那台计算机登录,做了哪些操作,什么时间做的;实施监控,确保安全;通过日志对使用情况进行统计分施监控,确保安全;通过日志对使用情况进行统计分析。析。数据安全管理:数据加密解密,身份认证,资料选择数据安全管理:数据加密解密,身份认证,资料选择备份备份查询控制管理:查询认证制度、查询授权控制制度;查询控制管理:查询认证制度、查询授权控制制度;实行备份查询;授权网络查询,严禁拷贝下载;登记实行备份查询;授权网络查询,严禁拷贝下载;登记查询信息。查询信息。借阅控制管理:资料借阅审批流程;对借阅者进行可借阅控制管理:资料借阅审批流程;对借阅者进行可信度审查;借阅手续合法性检验;加入使用跟踪程
21、序、信度审查;借阅手续合法性检验;加入使用跟踪程序、阅读程序、借阅期控制密码。阅读程序、借阅期控制密码。28会计信息系统安全控制技术会计信息系统安全控制技术v会计信息系统包括会计核算、管理、决策三个系会计信息系统包括会计核算、管理、决策三个系统。系统的安全解决方案应覆盖到整个系统的各统。系统的安全解决方案应覆盖到整个系统的各个层次,并与安全管理相结合。其中,物理实体个层次,并与安全管理相结合。其中,物理实体安全是整个会计信息系统安全的基础,其他安全安全是整个会计信息系统安全的基础,其他安全控制技术在此至上而构建。控制技术在此至上而构建。29安全控制技术安全控制技术v会计信息系统安全:会计信息系
22、统安全:在物理介质层次上对存贮和传输的网络信息的安全保在物理介质层次上对存贮和传输的网络信息的安全保护。保护其免受环境事故、人为误操作及犯罪行为的护。保护其免受环境事故、人为误操作及犯罪行为的破坏。物理安全是基本保障。包括三方面:破坏。物理安全是基本保障。包括三方面:a.环境安全:计算机场地、机房环境安全:计算机场地、机房b.设备安全设备安全c.媒体安全媒体安全不安全因素包括三大类:不安全因素包括三大类:a.自然灾害、物理损坏、设备故障自然灾害、物理损坏、设备故障。突发性、自然。突发性、自然性、非针对性。对信息的完整性和可用性威胁最性、非针对性。对信息的完整性和可用性威胁最大,对保密性威胁最小
23、。措施:防护措施,安全大,对保密性威胁最小。措施:防护措施,安全规章,数据备份规章,数据备份30安全控制技术安全控制技术v会计信息系统安全:会计信息系统安全:b.电磁辐射、乘机而入、痕迹泄露等。电磁辐射、乘机而入、痕迹泄露等。隐蔽性、人隐蔽性、人为实施的故意性、信息的无意泄露性。主要破坏为实施的故意性、信息的无意泄露性。主要破坏信息的保密性。措施:辐射防护、屏幕口令、隐信息的保密性。措施:辐射防护、屏幕口令、隐蔽销毁。蔽销毁。c.操作失误、意外疏漏。操作失误、意外疏漏。人为实施的无意性和非针人为实施的无意性和非针对性。主要破坏信息的完整性和可用性,对保密对性。主要破坏信息的完整性和可用性,对保
24、密性影响不大。措施:状态检测、报警确认、应急性影响不大。措施:状态检测、报警确认、应急恢复。恢复。另外,还要防止系统信息的空间扩散。另外,还要防止系统信息的空间扩散。31安全控制技术安全控制技术正常的防范措施主要在三个方面:正常的防范措施主要在三个方面:1.对主机房及重要信息存储、收发部门进行屏蔽处对主机房及重要信息存储、收发部门进行屏蔽处理理-屏蔽室,其与外界的各项联系连接要采取相屏蔽室,其与外界的各项联系连接要采取相应的隔离措施(符合国家标准、放火抗震、技术应的隔离措施(符合国家标准、放火抗震、技术先进经济合理、维护管理方便,利于发展扩充、先进经济合理、维护管理方便,利于发展扩充、系统安装
25、符合要求)系统安装符合要求)2.对本地网、局域网传输线路传导辐射的抑制:光对本地网、局域网传输线路传导辐射的抑制:光缆传输缆传输3.对终端设备辐射的防范:订购设备是选择低辐射对终端设备辐射的防范:订购设备是选择低辐射产品、干扰机、装饰性屏蔽室产品、干扰机、装饰性屏蔽室32安全控制技术安全控制技术v备份系统设计备份系统设计1.备份的目的备份的目的在于预防突发事件。对备份数据的存取速在于预防突发事件。对备份数据的存取速度没有要求,但关注备份的可管理性及存储介质的容度没有要求,但关注备份的可管理性及存储介质的容量。量。2.备份设备的选择备份设备的选择。常见的存储介质类型有:磁盘、磁。常见的存储介质类
26、型有:磁盘、磁带、光盘和磁光盘。通常情况下,使用光盘及磁带较带、光盘和磁光盘。通常情况下,使用光盘及磁带较多。多。3.备份策略:备份策略:完全备份:对整个系统进行备份。优:恢复数据很方完全备份:对整个系统进行备份。优:恢复数据很方便;缺:每天对整个系统进行备份造成备份数据大量便;缺:每天对整个系统进行备份造成备份数据大量重复,占据磁盘空间,成本加大,同时备份时间长。重复,占据磁盘空间,成本加大,同时备份时间长。对业务繁忙、时间有限的企业不适用。对业务繁忙、时间有限的企业不适用。33安全控制技术安全控制技术v备份系统设计备份系统设计增量备份:第一天完全备份,以后增量备份:第一天完全备份,以后6天
27、对新增或修改天对新增或修改数据进行备份。优:节省磁盘空间,缩短时间;缺:数据进行备份。优:节省磁盘空间,缩短时间;缺:数据恢复麻烦,备份的可靠性差(其中一个磁盘出现数据恢复麻烦,备份的可靠性差(其中一个磁盘出现问题,整个备份瘫痪)问题,整个备份瘫痪)差分备份:第一天完全备份,以后差分备份:第一天完全备份,以后6天比照第一天进天比照第一天进行新增备份。同时具有前两种备份的优点,并避免了行新增备份。同时具有前两种备份的优点,并避免了缺陷。缺陷。4.数据备份策略实例:通常是上述三种方法结合,如周数据备份策略实例:通常是上述三种方法结合,如周一至周六增量备份或差分备份,每周日(每月底,每一至周六增量备
28、份或差分备份,每周日(每月底,每年底)完全备份。年底)完全备份。34网络的安全防范技术网络的安全防范技术v网络安全主要解决方式简介网络安全主要解决方式简介1.网络冗余网络冗余:对关键性的网络线路、设备通常采用双备份:对关键性的网络线路、设备通常采用双备份或多备份的方式。或多备份的方式。2.系统隔离系统隔离:分为物理隔离和逻辑隔离,划分合理的网络:分为物理隔离和逻辑隔离,划分合理的网络安全边界,不同安全级别不能相互访问。在会计信息系安全边界,不同安全级别不能相互访问。在会计信息系统中将业务系统网络与内部办公网络进行物理隔离。统中将业务系统网络与内部办公网络进行物理隔离。3.访问限制访问限制:对于
29、网络不同信任域实现双向控制或有限访:对于网络不同信任域实现双向控制或有限访问原则。网络资源问原则。网络资源有限访问;信息流向有限访问;信息流向单向或单向或双向双向4.身份鉴别身份鉴别,三种方式:,三种方式:主体了解的秘密;主体了解的秘密;主体携带主体携带的物品;的物品;主体特征或能力。在会计信息系统中,主要主体特征或能力。在会计信息系统中,主要是前两种方式。是前两种方式。35网络安全防范技术网络安全防范技术v网络方式主要解决方式简介网络方式主要解决方式简介5.通讯加密通讯加密:链路层加密,网络层加密,应用层加密:链路层加密,网络层加密,应用层加密6.安全监测安全监测:采取信息侦听的方式寻找未授
30、权的网络访问:采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,其中网络扫描监测系统是对付电脑黑尝试和违规行为,其中网络扫描监测系统是对付电脑黑客最有效的技术手段。客最有效的技术手段。7.网络扫描网络扫描:针对网络设备的安全漏洞进行检测和分析,:针对网络设备的安全漏洞进行检测和分析,识别网络漏洞,使网管能检测和管理安全风险信息。识别网络漏洞,使网管能检测和管理安全风险信息。36网络安全防范技术网络安全防范技术v网络防火墙网络防火墙防火墙主要用来屏蔽和允许指定的数据通讯防火墙主要用来屏蔽和允许指定的数据通讯防火墙的选择要素:防火墙的选择要素:能力,应选择能力强的;能力,应选择能力强的;速速度
31、,信息处理速度要快,建议采用高性能硬件产品;度,信息处理速度要快,建议采用高性能硬件产品;管理,应便于管理;管理,应便于管理;安全,本身不易被攻破;安全,本身不易被攻破;VPN加密,信息出去加密,接收解密,防止被第三加密,信息出去加密,接收解密,防止被第三方截获。方截获。警惕误区:一次配置,永远运行;审计是可有可无的;警惕误区:一次配置,永远运行;审计是可有可无的;配置无需改动配置无需改动37网络安全防范技术网络安全防范技术v网络主动式防御系统网络主动式防御系统:系统扫描系统扫描:预防性检查,及时发现问题并解决,判断是否:预防性检查,及时发现问题并解决,判断是否存在漏洞。主要手段有:存在漏洞。
32、主要手段有:(1)基于应用的检测技术:采用攻击性的办法检查应用软)基于应用的检测技术:采用攻击性的办法检查应用软件的设置件的设置(2)基于主机的检测技术:采用非破坏性的办法对系统进)基于主机的检测技术:采用非破坏性的办法对系统进行检测行检测(3)基于目标的漏洞检测技术:采用非攻击性的办法检查)基于目标的漏洞检测技术:采用非攻击性的办法检查系统属性和文件属性系统属性和文件属性(4)基于网络的检测技术:采用非攻击性的办法来检验系)基于网络的检测技术:采用非攻击性的办法来检验系统是否有可能被攻击崩溃统是否有可能被攻击崩溃38网络安全防范技术网络安全防范技术入侵检测入侵检测:从计算机网络系统中的关键点
33、收集信息,并分:从计算机网络系统中的关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。是安全防御体系中一个重要的组成部分。到袭击的迹象。是安全防御体系中一个重要的组成部分。主要功能主要功能:查找非法用户和合法用户的越权操作;检测安:查找非法用户和合法用户的越权操作;检测安全漏洞;发现入侵行为的规律;检查系统程序和数据的一全漏洞;发现入侵行为的规律;检查系统程序和数据的一致性与正确性。致性与正确性。入侵检测的种类入侵检测的种类:基于主机的入侵检测系统,基于网络的:基于主机的入侵检测系统,基于网络的入侵检测系统,分
34、布式入侵检测系统。入侵检测系统,分布式入侵检测系统。39网络安全防范技术网络安全防范技术v网络病毒防范:病毒防护和内容过滤网络病毒防范:病毒防护和内容过滤1.网络化的病毒防护网络化的病毒防护:对传统病毒实行清除,对:对传统病毒实行清除,对新型病毒实时网络监控及清除,发现并响应病新型病毒实时网络监控及清除,发现并响应病毒入侵警告毒入侵警告2.一次性扫描一次性扫描:高性能一次性扫描:高性能一次性扫描3.病毒防护和病毒防护和Web过滤技术过滤技术:具备自动病毒探测和具备自动病毒探测和防护功能防护功能4.提高网络吞吐量和可用性提高网络吞吐量和可用性:病毒防护及内容的过病毒防护及内容的过滤应减少穿越防火
35、墙和通过网络滤应减少穿越防火墙和通过网络Web的流量的流量5.全面安全策略管理全面安全策略管理:可定制过滤设置可定制过滤设置,使用向导使用向导,借借助一整套特性来监控和分析助一整套特性来监控和分析40数据库技术数据库技术v安全控制策略安全控制策略l权限分配权限分配:所有权限分配给系统管理者,只有其有权:所有权限分配给系统管理者,只有其有权增加注册者(可以登陆服务器但不能访问数据库)。增加注册者(可以登陆服务器但不能访问数据库)。数据库属主有权增加用户(可以使用分配的数据库)。数据库属主有权增加用户(可以使用分配的数据库)。首先以注册者的身份登陆,系统自动打开默认数据库,首先以注册者的身份登陆,
36、系统自动打开默认数据库,其身份即转化为用户。其身份即转化为用户。l用户登录用户登录:通过口令验证,注册与验证同步进行,需:通过口令验证,注册与验证同步进行,需要用户名和口令同时正确。要用户名和口令同时正确。l权限控制:用户的活动范围限制在小范围内。对象的权限控制:用户的活动范围限制在小范围内。对象的所有者或创建者自动被授予对象的许可权,所有者再所有者或创建者自动被授予对象的许可权,所有者再将许可权授予(或取消)用户。数据库所有者(所拥将许可权授予(或取消)用户。数据库所有者(所拥有数据库中一切对象的全部许可权)有数据库中一切对象的全部许可权)&系统管理者(服系统管理者(服务期内所有数据库的一切
37、对象的全部许可权)务期内所有数据库的一切对象的全部许可权)41数据库技术数据库技术v安全控制策略安全控制策略l审计服务审计服务:全面审计跟踪服务器上一切活动的工具,:全面审计跟踪服务器上一切活动的工具,监视非法操作,采取跟踪措施,并找出非法操作的人。监视非法操作,采取跟踪措施,并找出非法操作的人。l视图及存储过程视图及存储过程:也要进行权限设定,限制用户能查:也要进行权限设定,限制用户能查询的数据列的种类。询的数据列的种类。l系统服务系统服务:停止所有不必要的服务并删除不必要的程:停止所有不必要的服务并删除不必要的程序。序。l系统验证系统验证42数据库技术数据库技术v安全基本原则安全基本原则l
38、访问控制:决定用户是否有权访问数据库访问控制:决定用户是否有权访问数据库l验证:保证只有授权的合法用户来能注册和访问验证:保证只有授权的合法用户来能注册和访问l授权:对不同的用户访问数据库授予不同的权限授权:对不同的用户访问数据库授予不同的权限l审计:监视系统发生的一切事件审计:监视系统发生的一切事件长期以来,如何快速、方便、准确、有效地采集会计电子数据一直成为审计人员的一个难题。审计数据接口已经成为解决会计数据采集的一种行之有效的方法。审计数据接口的数量直接取决于这样几个因素:审计数据的采集(1)会计软件的种类和版本 目前流行的会计软件很多,如用友、安易、金蝶软件等等。根据软件工程的原理与实
39、践证明,软件需要不断地实施修正、完善和适应性的维护,因为在软件运行的过程中可能会发现一些问题,或者用户提出新的要求,或者环境发生变化,这样,软件就需要不断地升级。升级后的财务软件其数据存储的形式往往会发生改变。不同类型的会计软件其数据存储格式不一定相同,即使是出自同一公司的软件,由于版本不同,其后台数据库也可能不同,例如用友软件80版本采用Access数据库,821版本采用SQLserver数据库等等。 审计数据的采集(2)会计软件采用的数据库类型 基于不同的开发目的和开发技术,会计软件采用的数据库类型多种多样,小到用于单机版的桌面数据库Microsoft ACCESS,dbase,FoxPr
40、off等,大到用于大型应用的Informix,Microsoft SQL Server,Oracle数据库等等。 审计数据的采集(3)数据库结构与表结构 由于不同单位开发的软件系统,使用的语言平台、总体设计方案、数据结构及关键字等都不太可能相同,在数据库结构、表结构、数据类型、数据表示上也可能会有较大的差异,这样,在软件系统间直接进行数据交换变得十分困难。例如,同样用于存储凭证信息的表文件,有些软件中将凭证信息存储在一张表文件中,而有些软件将凭证内容分别存放在两个相关联的表文件中:凭证信息表和分录信息表。 审计数据的采集电算化会计与审计信息交换的设想电算化会计与审计信息交换的设想XML作为一种
41、新兴的技术,首先我们需要去深刻地研究它。然后,分析计算机会计与审计中的数据信息进行理论探讨并研究,对审计工作有价值的财务数据进行界定,对审计工作中电子文档也需要制定标准格式形成初步的词汇表:遵循初步的词汇表,利用相关的XML编程技术,实现会计软件与XML文档以及XML文档与审计软件之间自由的交换数据。最后,总结经以预见:1)审计软件的电子数据采集过程变得很方便,可以将计算机审计工作从繁琐的数据采集转换工作中解放出来。2)不同审计软件之间的数据具有通用性。用A软件生成的审计工作底稿可在B软件中正常地打开、操作。3)审计软件可以从WEB上获取数据,也可发布数据到WEB上,这种数据所有审计软件均可处
42、理,并且不受限制地进行转换而不造成任何语义上的改变。4)计算机会计与审计信息交换的研究及其应用,将会促进计算机审计事业的发展,促进审计工作信息化、电子化,适应新时期的发展需要,最终提高我国的审计水平。电算化会计与审计信息交换的设想电算化会计与审计信息交换的设想 XML,即可扩展标记语言(eXtetlsible Markup Language),是一种用于描述数据的与平台无关的语言,它是一门新兴的面向Internet应用的标记语言, 是由W3C组织于1998年2月制定的一种通用语言规范。XML最大的特点是可扩展性,它也是一种界定文本数据的简便而标准的方法。XML不仅可以描述结构化数据,还可以有效
43、描述半结构化,甚至是非结构化的数据。什么是XMLXML作为一种新的网络资料交换标准是面向内容的并具有更多的结构和语义、良好的可扩展性、自描述性、开放性等特点。XML可以将用户接口和结构化资料相分离允许不同来源的资料无缝集成并可以对同一资料进行多种处理既满足了不同用户的信息需求具有资料的安全性。从资料描述语言的角度来看XML是灵活的、可扩展的,具有强大的描述能力:从数据处理的角度来看XML足够简单并易于阅读,同时又易于被应用程序处理。用XML技术实现电算化会计审计信息的交换是完全可行的。什么是XML主体(Principal)行为方的标识,它包括:(1)一般有资源的提供者、使用者、传播者和管理者,
44、对于每种不同的对象将封装不同的行为和属性; (2)当XrML基于非对称密钥体系中,把对象定义为密钥的持有者(keyHolder),或多种验证的对象(allPrinciples)。通常这一信息与主体能证明其身份的某些验证机制相关联 主体条件(Condition)“条件”指定了权利约束。它包括:指定了权利得以执行的时间约束:指定了权利得以执行的时间约束: 合法时间间隔,定义了权利有效的时间间隔、 合法持续时间,指权利一旦开始执行后所能持续的时间、 合法累计时间,指权利可以执行的累计时间、 合法时间周期,指权利执行的合法时间周期、 执行次数,指定权利能够执行的最大次数、 撤销开始,指检验许可是否被撤
45、销的最大时间间隔等等;指定了权利得以执行的空间约束:指定了权利得以执行的空间约束: 目的地,指作品可以移至的目的库、 发源地,指执行权利时使用的源头库或设备、 地域,限制权利执行的地理或实际位置等等;条件指定了权利得以执行的其他先决条件:播放器,指播放作品的设备;水印,指当作品副本产生时由设备嵌入的一组标识信息;现有权利,指需要事先经指定授权方直接发布许可;先决权利,指定了相关权利得以执行所必须具备的另一项权利,(超过这一时间间隔,授权失效);费用,指权利执行前必须缴纳的费用;寻求认可,指执行相关权利之前必须与特定服务联系并取得其认可;跟踪查询,追踪由跟踪报告更新的状态;跟踪报告,指权利的执行
46、必须由指定的跟踪服务监控等等。条件 权利(Right)“权利”是主体对某些资源执行的动作即主体对于相关资源可以执行的一种或一类行为。XrML基本模式定义了如下常用权利:发布(issue);拥有特性(possessProperty);撤销(revoke);获取(obtain);XrML内容扩展模式定义了传播和使用数字内容的特定权利,这些权利包括以下几种:呈现权(RenderRights传送权(TransportRights);作品派生权(DerivativeWorkRights);配置权(ConfigurationRights);文件管理权(FileManagementRights)权利资源(Resource)“资源”是授权主体执行权利的对象:一份数字作品(digitalWork)(如电子书、音频或视频文件或图片);一项服务(serviceReference)指web网服务实例或特定的执行一定功能的网络端点(邮件服务或交易服务);其他信息。资源
