亿动网
一、引言
随着互联网技术的飞速发展,网站安全问题日益突出。
保障网站安全对于维护社会稳定、保护用户隐私以及维护企业利益具有重要意义。
因此,构建稳固的防线成为每个网站必须面对的挑战。
本文将详细介绍全方位保障网站安全的关键要素与措施。
二、网站安全的关键要素
1. 数据安全
数据安全是网站安全的核心要素,主要包括数据的保密性、完整性和可用性。
确保用户数据不被泄露、篡改或损坏是网站安全的重要保障。
2. 基础设施安全
基础设施安全包括服务器、网络、电源等硬件设备的安全。
这些设备的安全稳定运行是网站正常运行的基础。
3. 应用安全
应用安全主要关注网站应用程序的安全性,包括防止恶意攻击、漏洞修复以及权限管理等。
4. 访问控制
访问控制是保障网站资源不被非法访问的关键手段,包括身份验证、授权管理等。
三、构建稳固防线的措施
1. 强化数据安全保护
(1)数据加密:采用先进的加密算法对数据进行加密,确保数据在传输和存储过程中的安全性。
(2)数据备份与恢复:建立数据备份机制,确保数据在意外情况下能够迅速恢复。
(3)隐私保护:遵守相关法律法规,明确告知用户数据收集目的,避免过度收集用户信息。
2. 加强基础设施安全防护
(1)硬件设备的选择与部署:选择高性能、安全的硬件设备,确保其能够承受攻击和故障的影响。
(2)设施防护:建立物理安全防护措施,如安装防火墙、监控摄像头等,确保基础设施的安全。
(3)电力保障:采用稳定的电源供应,避免电力中断导致的问题。
3. 提升应用安全性
(1)漏洞扫描与修复:定期对网站进行漏洞扫描,及时发现并修复漏洞,防止攻击者利用漏洞进行攻击。
(2)防范恶意攻击:采用先进的防御技术,如Web应用防火墙、入侵检测系统等,有效防范各类恶意攻击。
(3)权限管理:合理分配用户权限,确保敏感操作只能由授权用户进行。
4. 实施严格的访问控制策略
(1)身份验证:采用多因素身份验证方式,提高账户的安全性。
(2)访问审计:对用户的访问行为进行记录和分析,及时发现异常行为并采取相应的措施。
(3)IP限制:通过限制特定IP地址的访问,降低非法访问的风险。
5. 建立应急响应机制
(1)制定应急预案:根据可能面临的安全风险,制定详细的应急预案,明确应急响应流程和责任人。
(2)培训人员:对应急响应人员进行专业培训,提高他们处理安全事件的能力。
(3)定期演练:定期组织应急演练,检验预案的有效性和可行性。
四、总结
构建稳固的防线是保障网站安全的关键。
通过强化数据安全保护、加强基础设施安全防护、提升应用安全性、实施严格的访问控制策略以及建立应急响应机制等措施,我们可以有效地提高网站的安全性。
随着网络技术的不断发展,网站安全面临的挑战也在不断变化。
因此,我们需要持续关注网络安全动态,不断更新安全措施,以确保网站的安全稳定运行。
Symantec 网络安全特警 2010(2年许可)能有效防止所有威胁吗?
Symantec 网络安全特警 2010(2年许可)是一款强大的保护工具,旨在确保您的在线安全。它具备一系列关键功能,旨在防止敏感信息被盗:
身份防护: Symantec能够有效防止您的个人信息在网络上被窃取,通过先进的安全措施,确保您的身份安全无虞。病毒与恶意软件防护: 该软件能够抵御各种病毒、间谍软件和Bot攻击,为您的电脑提供全方位的防护,确保系统免受恶意软件侵害。入侵防御: 它具有强大的防火墙功能,能够及时识别并阻止攻击者入侵您的电脑,构筑一道坚实的防线。网站安全扫描: 在您进行搜索时,它会智能扫描搜索结果,自动识别并标记出包含不安全链接的网站,帮助您远离潜在风险。智能扫描技术: 采用诺顿智能扫描网络,这款软件显著提高了扫描效率,通过减少扫描次数和时间,减少对您日常工作或娱乐的干扰。
总的来说,Symantec网络安全特警2010(2年许可)是一款功能全面且高效的网络保护工具,为您的在线生活提供了强有力的保障。
去哪里进行信息系统的定级备案工作
一、信息系统安全保护等级的划分与保护
(一)信息系统定级工作原则
信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。
定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。
各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。
同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。
在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
(二)信息系统安全保护等级
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。
(三)信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1.受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
2.对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度有三种:一是造成一般损害;二是造成严重损害;三是造成特别严重损害。
(四)五级保护和监管
信息系统运营、使用单位依据国家信息安全等级保护政策和相关技术标准对信息系统进行保护,国家信息安全监管部门对其信息安全等级保护工作进行监督管理。
定级要素与信息系统安全保护等级的关系如表1-1所示。
表1-1定级要素与安全保护等级的关系
等级
对象
侵害客体
侵害程度
监管强度
第一级
一般系统
合法权益
损害
自主保护
第二级合法权益严重损害指导
社会秩序和公共利益损害
第三级
重要系统
社会秩序和公共利益严重损害监督检查
国家安全损害
第四级社会秩序和公共利益特别严重损害强制监督检查
国家安全严重损害
第五级
极端重要系统
国家安全
特别严重损害
专门监督检查
二、定级工作的主要步骤
信息系统定级是等级保护工作的首要环节和关键环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。
这里先明确一个概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。
信息系统安全级别定级不准,系统备案、建设整改、等级测评等后续工作都会失去基础,信息系统安全就没有保证。
定级工作可以按照下列步骤进行。
(一)开展摸底调查
按照《定级工作通知》确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。
(二)确定定级对象
在全国重要信息系统安全等级保护定级工作(以下简称“定级工作”)中,如何科学、合理地确定定级对象是最关键的问题。
信息系统运营使用单位或主管部门按如下原则确定定级对象。
一是起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。
但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最小单元去定级。
二是用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。
不能将某一类信息系统作为一个定级对象去定级。
三是各单位网站要作为独立的定级对象。
如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。
网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。
四是确认负责定级的单位是否对所定级系统负有业务主管责任。
也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
五是具有信息系统的基本要素。
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。
例如,奥运网络主要包括,“奥组委办公外网”(承载自动化办公、场馆管理、电子邮件、物流、员工之家等16项业务)、“奥组委内部办公局域网”(承载着财务管理、人事管理等3项业务)、“奥运票务网”(票务网站和票务管理系统)、“奥运官方网站”(门户网站和后台数据处理系统)、“奥运互联网接入”、“竞赛网”等六个奥运信息系统。
确定奥组委办公外网、奥组委内部办公局域网、票务网站、票务管理系统、奥运官方网站和竞赛网为定级对象。
(三)初步确定信息系统等级
可以按照下列要求确定信息系统等级:
1.定级责任主体。
各信息系统运营使用单位和主管部门是信息系统定级的责任主体。
2.定级要素。
信息系统的安全保护等级由两个定级的要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息系统的安全保护等级是信息系统本身的客观自然属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法公益的危害程度为依据,确定信息系统的安全保护等级。
定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响,考虑境内外各种敌对势力、敌对分子针对重要信息系统入侵攻击破坏和窃取秘密等因素。
既要防止个别单位版面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。
3.对各类系统定级的处理方法。
一是单位自建的信息系统(与上级单位无关),单位自主定级。
二是跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。
其中:由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一对下各级系统分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业主管部门应对该系统提出定级意见,避免出现同类系统下级定级比上级高的现象。
对于该类系统的等级,下级确定后需报上级主管部门审批。
需特别注意的是:同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级的重要行业的重要系统不能定为一、二级。
4.新建系统的定级工作
对于新建系统,信息系统运营使用单位在规划设计时应确定信息系统安全保护等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
有关信息系统安全保护等级确定的具体办法和要求见1.3节。
(四)信息系统等级评审
信息系统运营使用单位或主管部门在初步确定信息系统安全保护等级后,为了保证定级合理、准确,可以聘请专家进行评审,并出具专家评审意见。
(五)信息系统等级的审批
单位自建的信息系统(与上级单位无关),等级确定后,是否报上级主管部门审批,由各行业自行决定。
信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。
如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。
主管部门一般是指行业的上级主管部门或监管部门。
如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
(六)公安机关审核
公安机关收到信息系统运营使用单位备案材料后,应对信息系统定级的准确性进行审核。
公安机关的审核是定级工作的最后一道防线,应予以高度重视,严格把关。
信息系统定级基本准确的,公安机关颁发由公安部统一监制的《信息系统安全等级保护备案证明》(以下简称《备案证明》)。
对于定级不准的,公安机关应向备案单位发整改通知,并建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。
备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
三、如何确定信息系统安全保护等级
(一)如何理解信息系统的五个安全保护等级
信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。
既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。
信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准,既不就高、不就低。
为了帮助信息系统运营使用单位准确确定信息系统安全保护等级,可以参考下列对五级的说明确定系统等级。
第一级信息系统:一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息统。
第二级信息系统:一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。
例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。
(二)定级的一般流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。
确定信息系统安全保护等级的一般流程如下:确定作为定级对象的信息系统;确定业务信息安全受到破坏时所侵害的客体;根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度,根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;确定系统服务安全受到破坏时所侵害的客体;根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度,根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
上述步骤如图1-1所示。
图1-1确定等级一般流程
1.确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
2.确定对客体的侵害程度
侵害的客观方面。
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。
3.综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。
对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。
由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
4.确定信息系统安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表1-2业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
表1-2业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表1-3系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
表1-3系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
定级对象等级确定后,可参照附录1中的《信息系统安全保护等级定级报告》模版起草定级报告。
例如,“奥组委办公内网”承载奥组委内部的人事、财务等业务,仅在奥组委少数部门内应用,不传输秘密信息和敏感信息。
其受到破坏后,会影响内部办公,会对社会秩序、公共利益造成损害,定为二级;“奥组委办公外网”通过唯一出口与互联网相连,承载奥组委内部的电子邮件、物流、短信平台、场馆管理等业务,在奥组委总部范围应用,其受到破坏后,会对社会秩序、公共利益造成损害,定为二级。
“票务网站”负责提供票务申请、信息填写等业务,采集购票者信息和订票信息,不与“票备管理系统”直接相连,其受到破坏后,会对社会秩序、公共利益造成损害,定为二级。
“票务管理系统”存储处理通过各种方式申请、购买奥运票务的个人数据,是“票备网站”的核心,其受到破坏后,会对社会秩序、公共利益造成严重损害,定为三级。
“奥运官方网站”承担在互联网上对外宣传、报道奥运重大事项,是北京奥运通过互联网对外宣传的门户,其服务器保障性要求很高,受到破坏后,会对社会秩序、公共利益造成严重损害,定为三级。
“竞赛网”承担赛事安排、计时、成绩统计等重大事项,其数据安全和服务保障性要求很高,受到破坏洉,会对社会秩序、公共利益造成严重损害,定为三级。
四、信息系统备案工作的内容和要求
(一)信息系统备案与受理
信息安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。
信息系统运营使用单位和受理备案的公安机关应按照《信息安全等级保护备案实施细则》(公信安〔2007〕1360号)的要求办理信息系统备案工作。
1.备案
第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使用单位或者其主管部门(以下简称“备案单位”)到所在地设区的市级以上公安机关办理备案手续。
办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。
备案时应当提交《信息系统安全等级保护备案表》(以下简称《备案表》,参见附录2)(一式两份)及其电子文档。
第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关资料。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续;其他信息系统向北京市公安局备案。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
各部委统一定级信息系统在各地的分支系统(包括终端连接、安装上级系统运行的没有数据库的分系统),即使是上级主管部门定级的,也要到当地公安网监备案。
2.受理备案
地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案。
隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关公共信息网络安全监察部门受理备案。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。
隶属于中央的非在京单位的信息系统,由当地省级公安机关公共信息网络安全监察部门(或其指定的地市级公安机关公共信息网络安全监察部门)受理备案。
跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的信息系统),由所在地地市级以上公安机关公共信息网络安全监察部门受理备案。
3.备案信息管理
公安部组织开发了重要信息系统安全监察管理系统,配发给各地,搭建一个部、省、市三级公安机关等级保护综合管理平台。
该系统部、省两级公安机关部署,部、省、市三级公安机关应用,为全国信息系统定级、备案和监督检查工作提供支持,为重要信息系统安全监察业务服务。
各地公安机关要按照《关于部署开展等级保护安全监察管理系统建设的通知》要求,组织本地开展系统建设,及时将定级备安和相关数据录入系统,利用该系统开展等级保护工作。
(二)公安机关受理备案要求
1.受理备案的公安机关公共信息网络安全监察部门应该设立专门的备案窗口,配备必要的设备和警力,专门负责受理备案工作,受理备案地点、时间、联系人和联系方式等应向社会公布。
2.接收备案材料后,公安机关应当对下列内容进行审核:备案材料填写是否完整,是否符合要求,其纸质材料和电子文档是否一致;信息系统所定安全保护等级是否准确。
3.公安机关收到备案单位提交的备案材料后,对属于本级公安机关受理范围且备案材料齐全的,应当向备案单位出具《信息系统安全等级保护备案材料接收回执》;备案材料不齐全的,应当当场或者在五日内一次性告知其补正内容;对不属于本级公安机关受理范围的,应当书面告知备案单位到有管辖权的公安机关办理。
4.经审核符合等级保护要求的,公安机关应当自收到备安材料之日起的十个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关公共信息网络安全监察部门应当在十个工作日内通知备安单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
5.《备案表》中表一、表二、表三内容经审核合格的,公安机关出具《信息系统安全等级保护备案证明》(以下简称《备案证明》)。
《备案证明》由公安部统一监制。
6.受理备案的公安机关公共信息网络安全监察部门应当建立管理制度,对备案材料按照等级进行严格管理,严格遵守保密制度,未经批准不得对外提供查询。
(三)对定级不准以及不备案情况的处理
1.公安机关对定级不准的备案单位,在通知整改的同时,应当建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。
2.备案单位仍然坚持原定等级的,公安机关可以受理其备案,但应当书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报备案单位上级主管部门。
3.对拒不备案的,公安机关应当根据《中华人民共和国计算机信息系统安全保护条例》等其他有关法律、法规规定,责令限期整改。
逾期仍不备案的,予以警告,并向其上级主管部门通报。
向中央和国家机关通报的,应当报经公安部同意。
针对经营管理中存在的问题和潜在的风险,提出解决的措施和建设性的建议
给你一篇教材,请慢慢阅读,取其需要吧: 第十章 会计信息系统内部控制与制度建设 由于会计信息系统软件的功能不完善,覆盖范围狭小,传统会计体系打破而新的系统体系又未建立起来,形成新系统的缺口或断链,甚至是个别软件还存在信息陷阱。
在这破旧立新的转折时期,把会计控制系统建设摆在优先位置,具有特别的重要意义。
会计信息系统软件功能的丰富、性能的提高、体系日臻完善是需要逐步解决的。
但是,迫切需要提高认识,加以解决的是下面四个问题:一是会计信息系统中的会计控制问题;二是会计作息系统的档案管理系统;三是会计工作运行管理机制问题,包括,安全体系、运行管理、软件硬件的维护等。
解决上述三方面问题是学习本章的目的。
这些也是摆在政府会计主管部门,企业、业界的会计工作者面前的重要而急迫的大事。
会计控制,是从会计人微言轻定理生产经营的工具产生而产生,伴随会计发展而发展;一部会计发展完善的历史,也是会计控制的发展完善的历史。
随着社会化的大生产的发展,企业由个体的地域型企业发展为全国型、跨国公司,会计管理出了国,会计控制进入国际范围。
随同会计的国际化,会计控制规范也日趋国际化;特别是20世纪计算机网络技术、信息技术的大发展,Internet/Intranet把世界上的各个精兵信息管理系统连接成了一个世界范围的可以信息交换的国际互联网络;它打破了企业的传统疆域、传统数据交换模式,改变了交易流程的时、空、距离观,这使会计工作、会计控制不得不站到国际化的、Internet/Intranet国际互联网络的环境下去构筑会计工作控制体系,实施会计控制。
一、企业内部控制概述 1. 企业内部控制和内部控制体系 企业内部控制体系是随着内部控制理论而发展起来的。
较精辟的概念有两个,一是,“内部控制是企业为保护资产,检查会计数据正确性和可靠性,提高经济 效益,促进贯彻执行既定的管理政策,而在内部所采取的组织规划和一系列相互协调的方法和措施”。
二是,影响最大最具有权威性的是:COSO提出的《内部控制 整体框架》报告,它开创性地提出了一套内部控制整体框架体系。
报告中提出的观点,超越了以往内部控制理论界的内部牵制、内部控制制度和内部控制结构等理论,它几乎成了各国公认标准。
内部控制整体框架。
COSO内部控制整体框架,该报告核心的内容是内部控制的定义、目标和要素。
内部控制的概念。
报告认为,内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。
这里有三层含义: 一是,内部控制是为了确保组织的最高层(董事会、经理会)、管理层及其他人员参与到整个机构的动作过程中,以实现单位组织经营目标。
二是,上述人员为保证财务报告的可靠性,而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。
保证财务报告的可靠性也是为实现单位组织目标。
三是,上述人员的动作过程要提供适用的可以遵循的法律法规性的合理保证。
综合上述两种说法的共性,可以将企业内部控制的概念定义为:内部控制是企业为实现经营目标,保证生产经营活动的高效率运行,保护企业资源的安全完整,确保财务会计信息的正确性、可靠性、一致性,提高经济效益,促进贯彻执行既定的管理政策,而在企业内闻所采取的组织规划和一系列相互协调的方法、措施、程序的总称。
2.内部控制的要素 为了实现内部控制的有效性,需要下列5个方面的要素支持:控制环境(Control Environ-ment)、风险评估(Riskassessment)、控制活动(ControlActivities)、信息与交流(1nformationandCommunication)和监测(Monitoring)。
控制环境,包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。
其特征是先明确定义机构的目标和政策,再以战略计划和预算过程进行支持;然后,清晰定义利于划分职责和汇报路径的组织结构,确立基于合理年度风险评估的风险接受政策;最后,向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性,同时,高级领导层需对内部控制的规章制度的执行作出承诺。
风险评估,是指在既定的经营目标下分析并减少风险。
这一环节是COSO内部控制整体框架的独特之处。
通过对经营目标的风险预测分析和评价,对未来执行过程中可能的出现风险、开销、危害等早有防范,降低损失。
控制活动,它是指确保最高管理层到一般管理者管理指令得以实施的政策、程序及实施过程。
它包括它们的批准、授权;业务事件、确认计量、数据稽核,会计分录审核;处理流程核实(包括内部控制模型);检查业绩;风险披露限制;职责划分;生产安全。
制定控制程序的原则有:避免由“相关人:亡”组成的集团从头到尾控制某个操作或交易。
坚持相悖业务不能一个人兼,任何会计事件不能一人处理的原则。
信息与交流,是经营管理的信息的不断掌握、处理、交流与反馈的动态过程。
它是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。
内控是一个动态的过程,依据环境,制定措施,信息反馈,进行纠错,如此不断改进的过程;是一个循环提高、螺旋上升的无止境过程。
同时,内部控制,是受成本效益原则的约束。
监测,是指对内部控制等评估,贯穿于经营活动之中,具有独立性。
监测的实施途径可以是内部审计,也可以是内部控制自我评估。
前者的实施人是独立的职能部门,而后者是由管理部门和员工完成的。
内部审计的目的是,就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地腥行责任。
它是控制系统的监督机制。
员工是生产经营活的管理者,也是内部控制机制的实施者,受控制者;他们的主动实施和按照控制要求去做,并时时对自己的行动做出评价,对异常做出限制和调整,这是最重要的监测。
为适应经济改革开放和市场经济发展,防范经济风险的需要,我国也制定了一系列法规文件:《加强金融机构内部控制的指导原则》、《独立审汁具体准则第9号内部控制与审汁风险》、《会计法》、《内部会计控制规范——基本规范(试行)》、《内部会计控制规范一一货币资金(试行)》、《证券公司内部控制指引》等。
特别是新《会计法》中提出了我国内部会计控制的法理依据,{会计法》第二十七条规定:“各单位应当建立、健全本单位内部会计监督制度。
单位内部会计监督应当符合下列要求:(1)记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确,并相互分离、相互制约。
(2)重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互!监督、相互制约程序应当明确。
(3)财产清查的范围、期限和组织程序应当明确。
(4)对会计资料定期进行内部审计的办法和程序应当明确。
”上述4个“应当明确”尽管在字面上没有出现内部控制的提法,但其所规定的职责分离、授权批准、相互制约、监督检查等制度却体现了内部控制的核心和精髓,反映了内部控制的基本理念。
这些为我国企业内部控制和内部会计控制奠定了理论与实务基础。
二、内部会计控制概述 内部会计控制是企业内部控制的最重要的、最主要的组成部分,它在内部控制中处于核心地位。
同时,内部会计控制是实现会计管理职能的主要手段,也是企业激励、调动部门积极性,抑制、协调负面因素的重要杠杆。
如何实现内部会计控制,首先,要准确掌握内部会计控制的含义;其次,要界定内部会汁控制的目标、原则;第三,内部会计控制的内容;第四,针对控制目标、环境,过程特点采取的内部会计控制方法。
1.内部会计控制的概念 内部会计控制规范指出,“内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序”。
这里,内部会计控制的定义隐含了大目标——实现单位组织经营目标;隐含了企业等内部会计控制的组织制度等说法,因为内部会计控制是内部控制的——部分,隐含了整体对局部的控制。
只阐述了两层,第一层含意是具体目标:提高会计信息质量,保护资产的安全、完整,确保有关法规和规章制度的贯彻执行等;第二层含意:制定和实施的一系列控制方法、措施和程序,这里指出了实现内部会计控制的途径、手段。
深刻理解内部会计控制规范中揭示的会计控制的概念,应当包括: (1)内部会计控制实现的大目标就是企业的经营目标,具体目标是大目标在这具体部门的分目标,实现内部会计控制的目标是保证总目标实现的重要条件。
(2)内部会计控制要有组织制度条文和职、责、权的授权书。
内部会计控制是授权于企业最高当局(董事会或经理会),受控于最高当局,按照财政、税务等法规、企业规章办事的管理层,处于国家、投资者、企业职工三方利益的直接矛盾的焦点,要使其能担负重任,必须有组织和制度条文保证,否则,难以实行。
这个精神适用于执行内部会计控制职能的各级执行人员。
(3)明确内部会计.控制的目标。
内部会计控制的概念中,提出了“提高会计信息质量,保护资产的安全、完整,确保有关法规和规章制度的贯彻执行”的控制目标。
这个目标至少包括了:提高会计信息质量;保护资产的安全、完整;确保有关法规和规章制度的贯彻执行等三层意思。
(4)实现内部会计控制需要制定达到控制目标的若干规章制度、执行措施、执行程序、执行途径、执行方法等。
这些制度、方法措施、程序是实施内部会计控制的具体保证措施。
(5)实现内部会计控制是一个长期反复提高的过程。
内部会计控制是实现控制具体目标,保证企业经营目标的手段,执行规范是随经营目标实现的一个连续过程;同时,由于执行环境会不断变化,具体控制规范需要不断的修改、完善,执行的方法、程序等需要不断的修订完善。
所以说,实现内部会计控制是一个长期反复改善的过程,不是一朝一日可以完成的。
内部会计控制的基本目标和原则 (1)内部会计控制的基本目标。
如,卜所述,内部会计控制的基本目标包括三个方面: ①保证会计资料真实、完整,这是职业的工作质量目标。
在实施会计行为、完成会汁任务时,做到会计行为规范,合法合规;所提供的会计资料真实、完整,它包括提供的数据资料能如实地计量确认、记录反映完整的业务事件;处理方法得当,并按照规范的格式(电子数字/纸质有形数字)保存和输出。
同时还包括,提供的会计信息是标准的,使用中理解一致,不产生异义;提供的会计信息是及时的,以保持会计信息时效性、有用性。
②堵漏洞、除隐患保护单位资产安全完整。
通过会计工作过程、信息反映、资源变化的动态分析,及时发现漏洞、隐患,予以反映监督、纠正,达到堵塞漏洞、消除隐患,及时发现、纠正错误及舞弊行为,保护单位财产安全、完整目的。
③依法律、规范和企业规定进行会计工作,保证国家和企业法规的贯彻执行。
同时,单位的、企业的经济事件,绝大部分会在财会部门有反映有记录;财会人员虽然管不了多少,但反映、稽查、监督作用的能力强、机会多,对国家有关法律法规和单位内部规章制度的贯彻执行有较强的监督作用。
(2)内部会计控制的基本原则。
基本原则有五条: ①法规性原则。
内部会计控制应当符合国家有关法律法规和内部会计控制基本规范,以及单位的实际情况。
②有效性原则。
内部会计控制的制度、方法、措施和程序,应坚持按照控制环境的实际情况制定,并随着外部环境的变化,单位业务职能的调整和管理要求的提高,不断修订和完善,使其经济有效。
③全面控制原则。
内部会计控制应当涵盖到单位内部涉及会计工作的各项经济业务及相关岗位,并应针对业务处理过程中的关键控制点,落实到决策、执行、监督、反馈等各个环节。
同时,单位内部涉及会计工作的所有人员,任何个人都不得拥有超越内部会计控制的权力,都要接受别人或组织的控制与监督。
④相互制约原则。
内部会计控制应当保证单位内部涉及会计工作的机构、岗位的合理设置及其职责权限的合理划分,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督。
⑤内部会计控制应当遵循成本效益原则,以合理的控制成本达到最佳的控制效果。
3.内部会计控制的内容 根据我们的国情实际和经济有效原则,当前内部会计控制的主要内容是货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等九个方面经济业务的会计控制。
在企业会计信息系统软件中要优先解决。
(1)建立严格货币资金收支、保管的授权批准制度。
单位的货币资金收支和保管业务,应当严格按照授权批准权限,办理货币资金收支、保管业务。
岗位设置、人员职能分工坚持不相容岗位应当分离,相关机构和人员应当相互制约,确保货币资金的安全。
(2)建立健全实物资产管理的岗位责任制度。
对实物资产的验收入库、领用、发出、盘点、保管及处置等关键环节要进行控制,设立资产收、付、存和移动的交验、记录、签字制度,防止各种实物资产被盗、毁损和流失。
(3)建立规范的对外投资决策机制和程序。
企业要实行重大投资决策集体审议联签制,一般投资决策授权负责制,调整投资由原决策者审批决定等责任制度,加强投资项目立项、评估、决策、实施、投资处置等环节的会计控制,严格控制投资风险。
(4)建立规范的工程项目决策、监督、授权机制。
严格按照工程项目决策程序,明确相关机构和人员的职责权限,建立工程项目投资决策的责任制度,加强工程项目的预算、投招标、质量管理等环节的会计控制,防止决策失误及工程发包、承包、施工、验收等过程中的舞弊行为。
(5)建立健全采购与付款业务的岗位责任制及会计控制程序。
企业应当合理设置采购与付款业务的机构和岗位,认真执行采购与付款的会计控制程序,加强请购、审批、合同订立、采购、验收、付款等环节的会计控制,堵塞采购环节的漏洞,减少采购风险。
(6)建立筹资活动的会计控制机制。
企业应加强对筹资活动的会计控制,合理确定筹资规模和筹资结构、选择筹资方式,降低资金成本,防范和控制财务风险,确保筹措资金的合理、有效使用。
(7)建立商品销售、结算上的会计控制机制。
企业应当充分发挥会计机构和人员的作用,加强销售合同订立、商品发出和账款回收的会计控制,避免或减少坏账损失。
(8)建立成本费用控制系统,做好成本费用管理的各项基础工作,制定成本费用标准,分解成本费用指标,控制成本费用差异,考核成本费用指标的完成情况,落实奖罚措施,降低成本费用,提高经济效益。
(9)建立加强对担保业务的会计控制程序。
企业应当严格执行担保业务的控制程序,控制担保行为,加强对担保合同订立的管理,及时了解和掌握被担保人的经营和财务状况,防范潜在的风险,避免或减少可能发生的损失。
上面介绍的内部会计控制的目的、原则、内容,它们既可以应用于手工会计系统,同样适用于电子计算机会计信息系统。
但是,如何实现内部会计控制的方法却有了很大的差别。
三、内部会计控制方法 内部会计控制的方法很多,现在简单介绍以下几个: 1.不相容职务相互分离控制。
不相容职务主要是授权批准、业务经办、会计记录、财产保管、稽核检查等职务。
按照不相容职务相互分离的原则,合理设置这些岗位及人员,明确职责权限,形成相互制约机制。
2.授权批准控制。
要求单位明确规定涉及会汁及相关工作的授权批准的范围、权限、程序、责任等内容,单位内部的各级管理层必须在授权范围内行使职权和承担责任。
经办人员也必须在授权范围内办理业务。
3.会计系统控制。
要求单位依据《会计法》和国家统一的会计制度,制定适合本单位的会计制度,明确会计凭证、会计账簿和财务会计报告的处理程序,建立和完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能。
4.预算控制。
要求单位加强预算编制、执行、分析、考核等环节的管理,明确预算项目,建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,确保预算的执行。
预算内资金业务实行责任人限额审批,限额以上实行集体审批,严格控制无预算资金支出。
5.财产保全控制。
要求单位限制未经授权的人员对财产的直接接触,采取定期盘点、财产记录、账实核对、财产保险等措施,确保各种财产的安全完整。
6.风险控制。
要求单位树立风险意识,针对各个风险控制点,建立有效的风险管理系统,通过风险识别、风险预警、风险评估、风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制。
7.内部报告控制。
要求单位建立和完善内部报告制度,全面反映经济活动情况,及时提供业务活动中的重要信息,增强内部管理的时效性和针对性。
8.电子信息技术控制。
要求运用电子信息技术手段建立内部会计控制系统,减少和消除人为操纵因素,确保内部会计控制的有效实施;同时,要加强对财务会计电子信息系统开发与维护、数据输入与输出,文件储存与保管、网络安全等方面的控制。
上述内部会计控制的一般化方法,其原则都适用于会计信息系统,但具体实现技术式、方法、有很大差别。
四、会计信息系统及内部会计控制的现状 目前我国会计信息系统及内部会计控制的现状,可以分为四种情况。
1.处于单机数据处理阶段,功能上仅能完成会计的记账凭证数据采集、账务处理、常规财务报告的编制、账表资料的打印输出、查询输出等。
与各业务系统无在线联系。
目前这样单位占电算化单位,从个数说是多数。
处于该阶段的系统,在内部会计控制上,只是模拟了传统会计审核对制单的简单控制,殊不知,这对单式录入,单线程处理的会计信息系统已经失去了手工复式记账的控制监督作用。
对处理流程中可能发生的侵犯,还处于盲目迷信不出问题阶段,而无防范。
会计系统工作流程、岗位设置、人员职能分工、相互制约控制,虽然有口令级控制,但因为认识不足,存在相互调用等情况,系统本身没有更好的措施;致使口令级控制形同虚设,控制作用甚微。
特别是将会计业务范围上移到记账凭证制做录入作起点,抛弃了原始凭证作为记明细账的依据,使会计工作失去了对业务事件的及时控制时机,造成了业务过程的失控。
内部会计控制的漏洞多多。
2.处于初级网络财务会计信息系统阶段,功能上除了完成会计的记账凭证数据采集、账务处理、常规财务报告的编制、账表资料的打印输出、查询输出外,扩大到简单的统计分析、预测决策的辅助、关联查询,具有较丰富的输出展现形式等。
与各业务系统有了在线联系,但,是单向联系状态,很少或不存在网络数据的共享。
目前这样单位占网络电算化单位的大多数。
处于该阶段的系统,在内部会计控制上,只是在技术上实现了网络化,在内部会计控制上没有大进展,只是各会计岗位的工作结果能处于财务主管、总会计师、财务总监的监督下,内部会计控制有所加强。
会计信息系统内部控制系统还未启动。
3.处于企业网络级的企业财务会计信息系统,是企业管理信息系统的子系统。
功能上除完成会计的记账凭证数据采集、账务处理、常规财务报告的编制、账表资料的打印输出、查 询输出外,扩大到统计分析、预测决策的辅助、关联查询,具有较丰富的输出展现形式等,有了与各业务系统的内在数据关联,实现了有控制的网络数据的共享。
处于该阶段的会计信息系统,在内部会计控制建设上,具备了建立企业级内部会计控制系统的条件,但是认识不足,缺乏理论指导,缺乏立法支持、缺乏实践借鉴,仍处于探索阶段。
像这样的单位应该积极探索,建立覆盖企业会计全部过程的、适应网络化会计信息系统的内部会计控制系统,担负起内部会计控制的任务,实现内部会计控制的目标。
同时,也为全国企业创造借鉴的经验。
4.实现了Internet/Intranet级互联网财务会计信息系统,实行了全国、世界范围的集中式财务会计信息系统,支持电子商务和企业ERP系统,实现了一体化无纸化企业经营管理信息系统。
这种高级形式还只是个别的试验品,还有许多问题待解决。
还只能说是一个正在发育期的婴儿,是一个飞速成长的未来用户群体。
处于该阶段的会计信息系统,面对的是全球开放的、激烈竞争的、会计风险更多更复杂的大环境,要求有功能更加强大的内部会计控制系统。
然而,更是“缺乏理论、缺乏立法、缺乏借鉴”的三缺状态。
综合上述,现在会计信息系统中有的一点会计控制功能,基本上是按照内部会计控制的目标、原则要求,利用电子技术,加密技术,结合企业信息化的实际环境,实现内部会计控制的简单功能。
例如,会计信息系统中,只采用了手工会计复式记账系统的制证与审核,而且往往仅限于数据采集阶段,对于以后的可能的修改根本没有防范措施,对于系统内外数据的一致性问题、会计信息系统数据和业务数据的关联核校问题等、电子档案信息一致性、共享问题、系统安全管理,防止会计风险等,基本上无系统考虑,更无系统解决方案。
上述现状,基本上不适应目前的会计信息系统要求。
面对财务会计信息系统的当前状态,内部会计控制虽然已经制定了部分法规,也正在试行、正在探索。
但是,如何在计算机会计信息系统中试行,如何变成实现内部会计控制功能的软件和现行各级层的会计信息系统软件融合在一起,这是一个大课题,恐怕比实现电算化会计还艰难
