網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)系統(tǒng)的安全審計(jì)

時(shí)間:2022-10-08 11:30:00

導(dǎo)語(yǔ):網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)系統(tǒng)的安全審計(jì)一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)系統(tǒng)的安全審計(jì)

計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)處理后,由于系統(tǒng)的入口增多,操作人員和信息使用者干預(yù)系統(tǒng)的機(jī)會(huì)增大,系統(tǒng)面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應(yīng)用,外部日益擴(kuò)大的網(wǎng)絡(luò)環(huán)境對(duì)會(huì)計(jì)信息系統(tǒng)本身及其安全又將產(chǎn)生更大的影響,不僅影響傳統(tǒng)的會(huì)計(jì)業(yè)務(wù)處理及信息的披露方式,而且安全方面會(huì)產(chǎn)生更多的不確定因素。除了計(jì)算機(jī)軟硬件的不安全因素之外,會(huì)計(jì)信息系統(tǒng)還將面臨人文方面的更大風(fēng)險(xiǎn),例如來(lái)自不法之徒的風(fēng)險(xiǎn)就有:

1利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子帳號(hào),冒充合法用戶作案,篡改磁性介質(zhì)記錄竊取資產(chǎn)。

2利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢(qián)財(cái),或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞企業(yè)的信息系統(tǒng)。

3建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)上的電子商貿(mào)使貿(mào)易趨向“無(wú)紙化”,越來(lái)越多的經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過(guò)改變電子貨幣帳單、銀行結(jié)算單及其它帳單,就有可能將公私財(cái)產(chǎn)的所有權(quán)進(jìn)行轉(zhuǎn)移。

計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)會(huì)計(jì)系統(tǒng)的開(kāi)放與數(shù)據(jù)共享,而開(kāi)放與共享的基礎(chǔ)則是安全。企業(yè)一方面通過(guò)網(wǎng)絡(luò)開(kāi)放自己,向全世界推銷自己的形象和產(chǎn)品,實(shí)現(xiàn)電子貿(mào)易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財(cái)務(wù)秘密,而其中已實(shí)現(xiàn)了電子化且具有貨幣價(jià)值的會(huì)計(jì)秘密、理財(cái)秘密是最重要的。我們有必要為它創(chuàng)造一個(gè)安全的環(huán)境,抵抗來(lái)自系統(tǒng)內(nèi)外的各種干擾和威協(xié),做到該開(kāi)放的放開(kāi)共享,該封閉的要讓黑客無(wú)奈。

一、網(wǎng)絡(luò)安全審計(jì)及基本要素

安全審計(jì)是一個(gè)新概念,它指由專業(yè)審計(jì)人員根據(jù)有關(guān)的法律法規(guī)、財(cái)產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的、獨(dú)立的檢查驗(yàn)證,并作出相應(yīng)評(píng)價(jià)。

沒(méi)有網(wǎng)絡(luò)安全,就沒(méi)有網(wǎng)絡(luò)世界。任何一個(gè)建立網(wǎng)絡(luò)環(huán)境計(jì)算機(jī)會(huì)計(jì)系統(tǒng)的機(jī)構(gòu),都會(huì)對(duì)系統(tǒng)的安全提出要求,在運(yùn)行和維護(hù)中也都會(huì)從自己的角度對(duì)安全作出安排。那么系統(tǒng)是否安全了呢?這是一般人心中無(wú)數(shù)也最不放心的問(wèn)題。應(yīng)該肯定,一個(gè)系統(tǒng)運(yùn)行的安全與否,不能單從雙方當(dāng)事人的判斷作出結(jié)論,而必須由第三方的專業(yè)審計(jì)人員通過(guò)審計(jì)作出評(píng)價(jià)。因?yàn)榘踩珜徲?jì)人員不但具有專門(mén)的安全知識(shí),而且具有豐富的安全審計(jì)經(jīng)驗(yàn),只有他們才能作出客觀、公正、公平和中立的評(píng)價(jià)。

安全審計(jì)涉及四個(gè)基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試。其中,控制目標(biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方??刂拼胧┦侵钙髽I(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度??刂茰y(cè)試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對(duì)漏洞的防范是否有效,評(píng)價(jià)企業(yè)安全措施的可依賴程度。顯然,安全審計(jì)作為一個(gè)專門(mén)的審計(jì)項(xiàng)目,要求審計(jì)人員必須具有較強(qiáng)的專業(yè)技術(shù)知識(shí)與技能。

安全審計(jì)是審計(jì)的一個(gè)組成部分。由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全將不僅涉及國(guó)家安危,更涉及到企業(yè)的經(jīng)濟(jì)利益。因此,我們認(rèn)為必須迅速建立起國(guó)家、社會(huì)、企業(yè)三位一體的安全審計(jì)體系。其中,國(guó)家安全審計(jì)機(jī)關(guān)應(yīng)依據(jù)國(guó)家法律,特別是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身的各種安全技術(shù)要求,對(duì)廣域網(wǎng)上企業(yè)的信息安全實(shí)施年審制。另外,應(yīng)該發(fā)展社會(huì)中介機(jī)構(gòu),對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全提供審計(jì)服務(wù),它與會(huì)計(jì)師事務(wù)所、律師事務(wù)所一樣,是社會(huì)對(duì)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全作出評(píng)價(jià)的機(jī)構(gòu)。當(dāng)企業(yè)管理當(dāng)局權(quán)衡網(wǎng)絡(luò)系統(tǒng)所帶來(lái)的潛在損失時(shí),他們需要通過(guò)中介機(jī)構(gòu)對(duì)安全性作出檢查和評(píng)價(jià)。此外財(cái)政、財(cái)務(wù)審計(jì)也離不開(kāi)網(wǎng)絡(luò)安全專家,他們對(duì)網(wǎng)絡(luò)的安全控制作出評(píng)價(jià),幫助注冊(cè)會(huì)計(jì)師對(duì)相應(yīng)的信息處理系統(tǒng)所披露信息的真實(shí)性、可靠性作出正確判斷。

二、網(wǎng)絡(luò)安全審計(jì)的程序

安全審計(jì)程序是安全監(jiān)督活動(dòng)的具體規(guī)程,它規(guī)定安全審計(jì)工作的具體內(nèi)容、時(shí)間安排、具體的審計(jì)方法和手段。與其它審計(jì)一樣,安全審計(jì)主要包括三個(gè)階段:審計(jì)準(zhǔn)備階段、實(shí)施階段以及終結(jié)階段。

安全審計(jì)準(zhǔn)備階段需要了解審計(jì)對(duì)象的具體情況、安全目標(biāo)、企業(yè)的制度、結(jié)構(gòu)、一般控制和應(yīng)用控制情況,并對(duì)安全審計(jì)工作制訂出具體的工作計(jì)劃。在這一階段,審計(jì)人員應(yīng)重點(diǎn)確定審計(jì)對(duì)象的安全要求、審計(jì)重點(diǎn)、可能的漏洞及減少漏洞的各種控制措施。

1了解企業(yè)網(wǎng)絡(luò)的基本情況。例如,應(yīng)該了解企業(yè)內(nèi)部網(wǎng)的類型、局域網(wǎng)之間是否設(shè)置了單向存取限制、企業(yè)網(wǎng)與Internet的聯(lián)接方式、是否建立了虛擬專用網(wǎng)(VPN)?

2了解企業(yè)的安全控制目標(biāo)。安全控制目標(biāo)一般包括三個(gè)方面:第一,保證系統(tǒng)的運(yùn)轉(zhuǎn)正常,數(shù)據(jù)的可靠完整;第二,保障數(shù)據(jù)的有效備份與系統(tǒng)的恢復(fù)能力;第三,對(duì)系統(tǒng)資源使用的授權(quán)與限制。當(dāng)然安全控制目標(biāo)因企業(yè)的經(jīng)營(yíng)性質(zhì)、規(guī)模的大小以及管理當(dāng)局的要求而有所差異。

3了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計(jì)人員應(yīng)充分取得目前企業(yè)對(duì)網(wǎng)絡(luò)環(huán)境的安全保密計(jì)劃,了解所有有關(guān)的控制對(duì)上述的控制目標(biāo)的實(shí)現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。

安全審計(jì)實(shí)施階段的主要任務(wù)是對(duì)企業(yè)現(xiàn)有的安全控制措施進(jìn)行測(cè)試,以明確企業(yè)是否為安全采取了適當(dāng)?shù)目刂拼胧?這些措施是否發(fā)揮著作用。審計(jì)人員在實(shí)施環(huán)節(jié)應(yīng)充分利用各種技術(shù)工具產(chǎn)品,如網(wǎng)絡(luò)安全測(cè)試產(chǎn)品、網(wǎng)絡(luò)監(jiān)視產(chǎn)品、安全審計(jì)分析器。

安全審計(jì)終結(jié)階段應(yīng)對(duì)企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評(píng)價(jià),并提出改進(jìn)和完善的方法和其他意見(jiàn)。安全審計(jì)終結(jié)的評(píng)價(jià),按系統(tǒng)的完善程度、漏洞的大小和存在問(wèn)題的性質(zhì)可以分為三個(gè)等級(jí):危險(xiǎn)、不安全和基本安全。危險(xiǎn)是指系統(tǒng)存在毀滅性數(shù)據(jù)丟失隱患(如缺乏合理的數(shù)據(jù)備份機(jī)制與有效的病毒防范措施)和系統(tǒng)的盲目開(kāi)放性(如有意和無(wú)意用戶經(jīng)常能闖入系統(tǒng),對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行查閱或刪改)。不安全是指系統(tǒng)尚存在一些較常見(jiàn)的問(wèn)題和漏洞,如系統(tǒng)缺乏監(jiān)控機(jī)制和數(shù)據(jù)檢測(cè)手段等?;景踩侵父鱾€(gè)企業(yè)網(wǎng)絡(luò)應(yīng)達(dá)到的目標(biāo),其大漏洞僅限于不可預(yù)見(jiàn)或罕預(yù)見(jiàn)性、技術(shù)極限性以及窮舉性等,其他小問(wèn)題發(fā)生時(shí)不影響系統(tǒng)運(yùn)行,也不會(huì)造成大的損失,且具有隨時(shí)發(fā)現(xiàn)問(wèn)題并糾正的能力。

三、網(wǎng)絡(luò)安全審計(jì)的主要測(cè)試

測(cè)試是安全審計(jì)實(shí)施階段的主要任務(wù),一般應(yīng)包括對(duì)數(shù)據(jù)通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據(jù)資源以及安全產(chǎn)品的測(cè)試。

下面是對(duì)網(wǎng)絡(luò)環(huán)境會(huì)計(jì)信息系統(tǒng)的主要測(cè)試。

1數(shù)據(jù)通訊的控制測(cè)試

數(shù)據(jù)通訊控制的總目標(biāo)是數(shù)據(jù)通道的安全與完整。具體說(shuō),能發(fā)現(xiàn)和糾正設(shè)備的失靈,避免數(shù)據(jù)丟失或失真,能防止和發(fā)現(xiàn)來(lái)自Internet及內(nèi)部的非法存取操作。為了達(dá)到上述控制目標(biāo),審計(jì)人員應(yīng)執(zhí)行以下控制測(cè)試:(1)抽取一組會(huì)計(jì)數(shù)據(jù)進(jìn)行傳輸,檢查由于線路噪聲所導(dǎo)致數(shù)據(jù)失真的可能性。(2)檢查有關(guān)的數(shù)據(jù)通訊記錄,證實(shí)所有的數(shù)據(jù)接收是有序及正確的。(3)通過(guò)假設(shè)系統(tǒng)外一個(gè)非授權(quán)的進(jìn)入請(qǐng)求,測(cè)試通訊回叫技術(shù)的運(yùn)行情況。(4)檢查密鑰管理和口令控制程序,確認(rèn)口令文件是否加密、密鑰存放地點(diǎn)是否安全。(5)發(fā)送一測(cè)試信息測(cè)試加密過(guò)程,檢查信息通道上在各不同點(diǎn)上信息的內(nèi)容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業(yè)內(nèi)部網(wǎng)之間建立一道屏障,其有效性主要包括靈活性以及過(guò)濾、分離、報(bào)警等方面的能力。例如,防火墻應(yīng)具有拒絕任何不準(zhǔn)確的申請(qǐng)者的過(guò)濾能力,只有授權(quán)用戶才能通過(guò)防火墻訪問(wèn)會(huì)計(jì)數(shù)據(jù)。

2硬件系統(tǒng)的控制測(cè)試

硬件控制測(cè)試的總目標(biāo)是評(píng)價(jià)硬件的各項(xiàng)控制的適當(dāng)性與有效性。測(cè)試的重點(diǎn)包括:實(shí)體安全、火災(zāi)報(bào)警防護(hù)系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災(zāi)害恢復(fù)計(jì)劃等。審計(jì)人員應(yīng)確定實(shí)物安全控制措施是否適當(dāng)、在處理日常運(yùn)作及部件失靈中操作員是否作出了適當(dāng)?shù)挠涗浥c定期分析、硬件的災(zāi)難恢復(fù)計(jì)劃是否適當(dāng)、是否制定了相關(guān)的操作規(guī)程、各硬件的資料歸檔是否完整。

3軟件系統(tǒng)的控制測(cè)試

軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件,其中最主要的是操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和會(huì)計(jì)軟件系統(tǒng)。總體控制目標(biāo)應(yīng)達(dá)到防止來(lái)自硬件失靈、計(jì)算機(jī)黑客、病毒感染、具有特權(quán)職員的各種破壞行為,保障系統(tǒng)正常運(yùn)行。對(duì)軟件系統(tǒng)的測(cè)試主要包括:(1)檢查軟件產(chǎn)品是否從正當(dāng)途徑購(gòu)買,審計(jì)人員應(yīng)對(duì)購(gòu)買訂單進(jìn)行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來(lái)軟盤(pán)之前是否檢查病毒。(3)證實(shí)只有授權(quán)的軟件才安裝到系統(tǒng)里。

4數(shù)據(jù)資源的控制測(cè)試

數(shù)據(jù)控制目標(biāo)包括兩方面:一是數(shù)據(jù)備份,為恢復(fù)被丟失、損壞或被干擾的數(shù)據(jù),系統(tǒng)應(yīng)有足夠備份;二是個(gè)人應(yīng)當(dāng)經(jīng)授權(quán)限制性地存取所需的數(shù)據(jù),未經(jīng)授權(quán)的個(gè)人不能存取數(shù)據(jù)庫(kù)。審計(jì)測(cè)試應(yīng)檢查是否提供了雙硬盤(pán)備份、動(dòng)態(tài)備份、業(yè)務(wù)日志備份等功能,以及在日常工作中是否真正實(shí)施了這些功能。根據(jù)系統(tǒng)的授權(quán)表,檢查存取控制的有效性。

5系統(tǒng)安全產(chǎn)品的測(cè)試

隨著網(wǎng)絡(luò)系統(tǒng)安全的日益重要,各種用于保障網(wǎng)絡(luò)安全的軟、硬件產(chǎn)品應(yīng)運(yùn)而生,如VPN、防火墻、身份認(rèn)證產(chǎn)品、CA產(chǎn)品等等。企業(yè)將在不斷發(fā)展的安全產(chǎn)品市場(chǎng)上購(gòu)買各種產(chǎn)品以保障系統(tǒng)的安全,安全審計(jì)機(jī)構(gòu)應(yīng)對(duì)這些產(chǎn)品是否有效地使用并發(fā)揮其應(yīng)有的作用進(jìn)行測(cè)試與作出評(píng)價(jià)。例如,檢查安全產(chǎn)品是否經(jīng)過(guò)認(rèn)證機(jī)構(gòu)或公安部部門(mén)的認(rèn)征,產(chǎn)品的銷售商是否具有銷售許可證產(chǎn)品的安全保護(hù)功能是否發(fā)揮作用。

四、應(yīng)該建立內(nèi)部安全審計(jì)制度

為提高會(huì)計(jì)信息處理的準(zhǔn)確性、真實(shí)性和合法性,強(qiáng)化企業(yè)的內(nèi)部控制制度的落實(shí),防止會(huì)計(jì)信息系統(tǒng)出現(xiàn)各種安全隱患,應(yīng)建立起計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下對(duì)會(huì)計(jì)信息系統(tǒng)實(shí)施監(jiān)督的內(nèi)部審計(jì)制度。內(nèi)部審計(jì)是在單位最高負(fù)責(zé)人的直接領(lǐng)導(dǎo)下,對(duì)集網(wǎng)絡(luò)、計(jì)算機(jī)及信息處理為一體的會(huì)計(jì)信息系統(tǒng)進(jìn)行職能管理,依照有關(guān)法律、法規(guī)及內(nèi)部管理制度,對(duì)其合法性、真實(shí)性、可靠性和效益性進(jìn)行相對(duì)獨(dú)立的監(jiān)督、檢查與評(píng)價(jià)的活動(dòng)。其主要目的是保護(hù)企業(yè)計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)所產(chǎn)生的會(huì)計(jì)記錄的真實(shí)與可靠,保證網(wǎng)絡(luò)上數(shù)據(jù)的傳輸?shù)臄?shù)據(jù)的安全,并對(duì)系統(tǒng)安全情況作出評(píng)價(jià)。

網(wǎng)絡(luò)系統(tǒng)內(nèi)部安全審計(jì)是一種實(shí)時(shí)地發(fā)現(xiàn)漏洞的機(jī)制,安全審計(jì)人員的日常審計(jì)工作將為會(huì)計(jì)信息系統(tǒng)的安全提供有效的保障。