內部控制制度之檢核

陳渭淳

Unknown Date

溯自工業革命之後，產銷技術進步，經濟趨於繁榮，為適應實際需要，工商企業之規模不斷擴張，組織日臻龐雜。各企業管理當局無法事必躬親直接參預每一細節，而不得不將事權分別下授到各個部門或人員．透過分層負責與制衡程序。實施內部控制制度，以獲致以簡馭繁、提綱挈領之效。然而，內部控制因企業之性質、組織規模及管理階層構成份子之不同而互異，尚無劃一的標準控制制度可供各企業一致採用。故除制度之設計應適應其特性外，制度之是否適當與是否有效，尤需仰賴專家之檢核。 內部控制制度之檢核，一般而言，可由企業內部檢核人員及由業外專業人員為之。企業內部檢核人員從事檢核業務之方法，本所余標勇碩士在其"內部管理檢核業務之研究"論文中已詳為論述。至於業外專業人員如會計師及其他管理顧問機構人員，由於經驗之累積及專業學識之豐富，若從事企業內部控制制度之檢查與評核，常較一股內部人員更能提出客觀而深入均見解。因各企業的內部檢核人員，或囿於工作上的主觀成見，有積非成是的趨向；或因對外接觸機會不多，故經驗較為窄狹；或對管理方面新的理論與實務瞭解不夠，無力就其內部控制制度從事合理的檢核。因此，基於客觀環境的需要與主觀條件的具備，會計師及其他管理顧問機構乃自然而然受託承擔此項檢核任務。尤其近三十年來，工商企業規模更趨龐大，投資人與企業家之分離益臻明顯。企業家為有效運用資源，達成獲致合理利潤的職責，投資人為了維護本身的權益，保障投資的安全，雙方對於聘請會計師或其他管理顧問機構檢核企業內部控制制度之要求乃更為殷切。 就我國而言，政府目前正積極提倡會計師稅務簽證制度及鼓勵證券公關上市，並透過法令之頒行，加強會計師查核簽證的功能，賦予會計師更重大之責任，而會計師在查核過程中，不僅常以檢核內部控制制度作為重要審查方法之一，並且亦為會計師謀求減輕責任及取信於政府所不可缺少的一種手段。 面對看這種局勢，會計師或其他管理顧問機構應如何針對各該企業內部控制制度的特質，予以適當及有效之檢核，以順應時代潮流之需要，乃為本論文研究之重心所在。 由於內部控制制度之檢核在國內尚未普遍推行，有關之文獻與資料並不多觀，因此在撰寫本論文時，除儘可能參考有關內部控制制度之檢核的文獻以外，並輔以個人實際之工作心得，整理而成十四章，除第一章緒論為一般性概括介紹外，第二章至第四章研究內部控制制度之檢核方法，第五章至第十二章討論個別項目之檢核分別為現金收入、現金支出、銷貨及應收客帳、購貨及應付客帳、薪工、存貨、證券及固定資產、負債及股東權益等項，第十三章以專章介紹小規模企業內部控制制度之檢核，第十四章結論則為綜合性之研討，並針對我國現階段的情形加以檢討並作展望。 渭淳才疏學淺，疏漏之處在所難免，敬祈諸位師長不吝賜正焉。

內部控制制度

檢核

企業

運用使用者輸入欄位屬性偵測防禦資料隱碼攻擊 / Preventing SQL Injection Attacks Using the Field Attributes of User Input

賴淑美, Lai, Shu Mei

Unknown Date

在網路的應用蓬勃發展與上網使用人口不斷遞增的情況之下，透過網路提供客戶服務及從事商業行為已經是趨勢與熱潮，而伴隨而來的風險也逐步顯現。在一個無國界的網路世界，威脅來自四面八方，隨著科技進步，攻擊手法也隨之加速且廣泛。網頁攻擊防範作法的演進似乎也只能一直追隨著攻擊手法而不斷改進。但最根本的方法應為回歸原始的程式設計，網頁欄位輸入資料的檢核。確實做好欄位內容檢核並遵守網頁安全設計原則，嚴謹的資料庫存取授權才能安心杜絕不斷變化的攻擊。但因既有系統對於輸入欄位內容，並無確切根據應輸入的欄位長度及屬性或是特殊表示式進行檢核，以致造成類似Injection Flaws[1]及部分XSS（Cross Site Scripting）[2]攻擊的形成。 面對不斷變化的網站攻擊，大都以系統原始碼重覆修改、透過滲透測試服務檢視漏洞及購買偵測防禦設備防堵威脅。因原始碼重覆修改工作繁重，滲透測試也不能經常施行，購買偵測防禦設備也相當昂貴。 本研究回歸網頁資料輸入檢核，根據輸入資料的長度及屬性或是特殊的表示式進行檢核，若能堅守此項原則應可抵禦大部分的攻擊。但因既有系統程式龐大，若要重新檢視所有輸入欄位屬性及進行修改恐為曠日費時。本文中研究以側錄分析、資料庫SCHEMA的結合及方便的欄位屬性定義等功能，自動化的處理流程，快速產生輸入欄位的檢核依據。再以網站動態欄位檢核的方式，於網站接收使用者需求，且應用程式尚未處理前攔截網頁輸入資料，根據事先明確定義的網站欄位屬性及長度進行資料檢核，如此既有系統即無須修改，能在最低的成本下達到有效防禦的目的。 / With the dynamic development of network application and the increasing population of using internet, providing customer service and making business through network has been a prevalent trend recently. However, the risk appears with this trend. In a borderless net world, threaten comes from all directions. With the progress of information technology, the technique of network attack becomes timeless and widespread. It seems that defense methods have to develop against these attack techniques. But the root of all should regress on the original program design – check the input data of data fields. The prevention of unceasing network attack is precisely check the content of data field and adhere to the webpage security design on principle, furthermore, the authority to access database is essential. Since most existing systems do not have exactly checkpoints of those data fields such as the length, the data type, and the data format, as a result, those conditions resulted in several network attacks like Injection Flaws and XSS. In response to various website attack constantly, the majority remodify the system source code, inspect vulnerabilities by the service of penetration test, and purchase the equipment of Intrusion Prevention Systems(IPS). However, several limitations influence the performance, such as the massive workload of remodify source code, the difficulty to implement the daily penetration test, and the costly expenses of IPS equipment. The fundamental method of this research is to check the input data of data fields which bases on the length, the data type and the data format to check input data. The hypothesis is that to implement the original design principle should prevent most website attacks. Unfortunately, most legacy system programs are massive and numerous. It is time-consuming to review and remodify all the data fields. This research investigates the analysis of network interception, integrates with the database schema and the easy-defined data type, to automatically process these procedures and rapidly generates the checklist of input data. Then, using the method of website dynamic captures technique to receive user request first and webpage input data before the system application commences to process it. According to those input data can be checked by the predefined data filed type and the length, there is no necessary to modify existing systems and can achieve the goal to prevent web attack with the minimum cost.

跨站腳本攻擊

注入弱點

網站攻擊

動態攔截檢核

檢查網頁輸入資料

Injection Flaws

Cross Site Scripting

website attack

website dynamic captures technique

check the input data of data fields