定义
客户机/服务器环境至少要有一台服务器计算机和一台客户机计算机。前者负责提供数据和文件管理、打印、通信接口等标准化服务。客户机运行前端应用程序,同时还可以通过网络获得服务器的服务,使用服务器上的共享资源。这些计算机被网络联结成一个互相协作的系统。他们在同一个网络上协同工作以完成一项任务,即客户机/服务器系统是能把工作任务交给客户机和服务器共同分担的系统,是把用户接口、事务处理、数据管理等功能恰当地进行划分的一整套方法。一流的客户机/服务器系统设计应当能够给系统中的每个组成部分分配最合适的工作任务,配置合适的软件模块。它还必须使应用程序中数据的存取对用户透明,即用户不必知道各种资源在网络中的逻辑位置和物理位置。
客户机/服务器结构中数据库服务器和客户机的关系
用 户
客 户 应 用 系 统
服 务 器 API 客户机
连 接 性 软 件
网 络 协 议
SQL 网络 结果
网 络 协 议
连 接 性 软 件
数据库服务器软件 服务器
服务器操作系统
数 据 库
客户机应用程序使用SQL语言访问服务器上的数据库,数据库服务器得到SQL指令后开始进行数据库处理,处理完毕后再将处理结果返回给客户机。
(二)数据库系统的选择
目前,在国内外较流行的数据库系统主要包括:ORACLE、SYBASE、IBM DB2和Microsoft SQL Server等。从本系统要求的数据处理能力和数据库安全的角度来说,以上任何一种数据库系统均满足要求。基于以下原因选用ORACLE数据库系统:
ORACLE数据库系统支持多种平台,并且ORACLE还提供了与其它类型数据库系统的接口。
ORACLE数据库系统在中国乃至世界的市场占有率强于其他数据库,另外,ORACLE公司在全世界提供了多种形式的技术支持和服务。
便于以后与其它系统的数据整合成数据仓库,便于以后通过JAVA技术以WEB方式发布信息。
ORACLE是一大型关系型数据库系统,它能充分利用无限能力的行级封锁和无竞争的读写操作,减少甚至消除并发操作引起的资源竞争和等待。
ORACLE在内核中,采用了高性能、高吞吐量的多线索服务器结构。用户的请求形成先进先出的队列,服务器进程从先进先出的队列中按顺序处理用户请求,将所有I/O处理交由其他进程或线索完成,这样使得服务器进程以较快的速度和较大吞吐量完成队列中的请求。
ORACLE是一个非常先进、非常精巧的信息管理系统。在ORACLE中存储着大量的数据,用户可以快速存取这些数据。多个应用程序可以共享ORACLE,信息存储在同一个位置,它可以有多个系统使用。
(三)前端开发工具的选择
目前,基于客户/服务器方式的前端开发工具种类繁多,根据本系统报表多以及报表中的数据要能方便转成其他格式的数据以便二次处理的特点和要求,采用POWERBUILDER作为前端开发工具。
PowerBuilder是美国著名的Sybase公司推出的成功产品。是完全按C/S体系结构研制,采用面向对象的技术,图形化的应用开发环境,是数据库的前端开发工具。其特点有:
PowerBuilder采用了面向对象技术,开发人员不需要精通专用语言就可以直接转向面向对象的软件开发中,从而加速了开发进程,改进了代码的质量和有效性。
提供名为Datawindow的智能对象。通过它可操纵关系型数据库而无需编写SQL语句,这是Powersoft的专利产品。Datawindow就象一个数据窗口,通过它修改、插入、删除、更新后台数据库的数据。它能把利用SQL语句查询到的结果可视地展现出来。Datawindow里的数据可以用十多种文件格式中的任何格式保存。
全面支持Window的特性:DDE、DLL、OLE、MDI
通过Library Manger提供程序共享,对象重用,明显地提高了软件开发的效率。PowerBuilder不仅是个人使用的软件开发工具,还支持团体开发,允许多个人员并行地开发一个应用,他们之间的协调,借助PowerBuilder的自身工具可以完成。
四、航空公司收入结算系统的内部控制
(一)开发过程的内部控制。
系统开发控制是一种预防性控制,目的是确保系统开发过程及内容符合内部控制的要求。
1、制度控制。采用生命周期法进行软件开发,这种方法将软件工程学和系统工程的理论和方法引入软件配制开发中,将软件开发的全过程视为一个生命周期,严格地划分为系统调查、系统分析、系统设计、系统程序、系统测试、系统运行与维护六个阶段,使软件开发分阶段分步骤地进行,强调软件开发的全过程。并为保障软件开发的顺序进行,要建立健全有效的系统开发制度,包括开发计划制订,其内容主要包括目标、系统的整体结构、开发方面的组织结构和管理体制以及人员培训与配置等。以及对系统在正式投入运行之前,应经过的测试审批手续以及在系统开发、测试和审批的过程中对文档资料记录的规定。
组织控制。组织控制的目的主要是减少电子数据处理部门发生错误和舞弊行为的可能性,其原则是不相同职责不能由相同的人员或部门来承担。在系统从建立、运行起的整个生命周期中,可根据职能划分为两个专职部门:一个是系统开发部门,承担系统的研制和维护工作;另一个是系统应用部分,负责日常收入结算处理工作。系统开发人员和系统应用人员严格分开,切忌交叉使用,特别要禁止系统开发人员使用系统,因为他们对系统采用的控制技术、保密措施和系统结构非常了解,可以很容易地不留痕迹地修改系统中的数据。
(二)系统的安全保密的内部控制
1、密码管理。建立健全用户开立、取消和变更管理制度。收入结算系统中的各层处理应层层设防、严加防范,既要防止操作失误造成的数据破坏,又要防止有意的数据破坏。为每个用户设立单独的用户,用户的设立必须进行相关审批。登录系统必须输入密码,防止无关人员的非法进入,同时规定密码不能少于6位,不能全部是数字,90天内强制修改且最近5次不能修改,密码连续输入错误三次封锁用户,对用户登录进行记录,对应用程序和数据库登录密码加密转换,确保登录系统途径单一。
2、权限管理。权限的管理由非业务人员负责,并且要经过业务部门负责人授权。系统实现基于业务分工的权限设置,未授权用户无法访问相关功能和操作相关业务,同时系统对权限变更进行记录,包括人员、权限名称、变更时间,做到有据可查。
3、日志管理。对重要信息建立“操作日志”,记录所有人员对系统的所有操作,包括操作时间、操作方式、查询和修改的数据等,实现留有痕迹的修改。
这些内部控制技术的应用避免了系统数据被恶意修改的可能,增强了系统防御灾难的能力,使系统具有很高的安全性。同时要在制度中规定维护必须经过严格的审批手续,所有的系统文档资料、数据结构形式、程序说明书和源程序清单均应按机密文件管理。
(三)、输入控制。系统所处理的原始数据是由操作人员通过键盘输入的,“输入垃圾,输出垃圾”,说明输入过程的控制非常重要,因此在输入每一个原始数据时都应根据该原始数据的特点加入适当的控制功能,以保证数据的准确性。例如:输入客票信息时,系统设定乘机日期必须迟于出票日期,建立票价维护,在输入时自动检查,手续费比例必须在一定范围内。输入的客票号码必须在库存内等,且有检查号控制。另外还可采用二次输入、校验码控制、手续控制等来保证输入数据的准确性。
(四)、处理控制。处理是由计算机系统程序指令执行的内部功能,包括数据验证、计算、比较、合并、排序等内部处理活动。数据处理是否准确,其结果是否可靠,在很大程度上依赖于输入数据的正确性和可靠性以及应用程序的合理性。但即使这些方面有了保证,仍然可能会出现一些问题,如用错文件、事务处理不完整、用错记录、程序逻辑错误、处理非法数据等,因此必须设置处理控制措施。可进行文件标签检验:即检查文件的内部首签(即文件的第一条记录,包括文件的名称、文件号、建立日期以及其它的识别密码等),判断是否为所需文件;检查文件的内部尾签(即文件的最后一条记录,包括文件的记录书、控制总数等内容),判断所有的数据是否都已处理完毕;数据合理性检测,检查得到的结果是否在合理有效的范围内;计算检查,根据某些数据之间的关系进行交叉汇总检验等。在系统开发时都应把这些控制措施加入到程序指令中,以进行处理过程的自动控制。
(五)、输出控制。收入结算实现电算化以后,将产生大量输出信息,包括打印的资料、存储在磁盘中的资料和通过传输设备传送的资料。虽然输入控制和处理控制已经基本上保证了数据的准确性,但是这仍然不能保证数据输出是完全正确的,因此还有必要设置数据输出的控制。输出控制是应用中最后一道控制措施,其目的是为了防止信息资料的输出遗漏、数据篡改和机密泄漏。因输出结果都是有用的信息,在输出过程中出现以上任何一种情况,都可能给企业带来财务上和经营上的重大损失。例如,向其他航空公司收款的清单中若遗漏其中某些客票,可能造成少收款。又如,有些票证信息涉及公司商业机密,一旦被非法输出,将造成无法估量的损失。因此,企业必须高度重视电算部门的信息输出控制,建立相关的内部控制制度。
(六)、业务处理的内部控制。要根据现有业务规则融入系统,成成常态控制措施。比如系统自动检查配比同一张客票的会计联和乘机联金额等信息,预防和检查阴阳票。确保票证销售款的的完整回收,是收入结算的首要工作。系统性通过维护销售单位资料、票证领用数量、结算周期以及库存周期,并实时监控超期的已乘机未结算票证,一旦出现超期未结算、超量库存、协议到期等情况,就向销售结算人员及管理人员发出显眼的飘红预警,把可能发生的协议过期、销售单位欠款等的风险发现在萌芽状态,实现事前的预警和事中的控制,保证销售资金的安全及时回收。
参 考 文 献
1、陈戈止,王道清,《管理信息系统》,西南财经大学出版社,2005年
2、王亚平,《数据库系统工程师教程》,清华大学出版社,2004年
3、薛祖云,《会计信息系统》,厦门大学出版社,2003
4、(美国)Treadway委员会发起组织委员会(COSO),译者:方红星 《内部控制》,东北财经大学出版社,2008年
