熟妇人妻中文字幕在线视频_无码人妻精品视频_久久躁夜夜躁狠狠躁_偷碰人妻无码视频

現(xiàn)在位置:范文先生網>商務管理論文>會計論文>網絡環(huán)境下會計系統(tǒng)的安全審計

網絡環(huán)境下會計系統(tǒng)的安全審計

時間:2023-02-21 19:10:40 會計論文 我要投稿
  • 相關推薦

網絡環(huán)境下會計系統(tǒng)的安全審計

計算機會計信息系統(tǒng)實現(xiàn)網絡處理后,由于系統(tǒng)的入口增多,操作人員和信息使用者干預系統(tǒng)的機會增大,系統(tǒng)面臨的安全隱患也必然增多。尤其隨著Internet/Intranet的應用,外部日益擴大的網絡環(huán)境對會計信息系統(tǒng)本身及其安全又將產生更大的影響,不僅影響傳統(tǒng)的會計業(yè)務處理及信息的披露方式,而且安全方面會產生更多的不確定因素。除了計算機軟硬件的不安全因素之外,會計信息系統(tǒng)還將面臨人文方面的更大風險,例如來自不法之徒的風險就有:

網絡環(huán)境下會計系統(tǒng)的安全審計

1 利用網絡及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產。
2 利用網絡遠距離竊取企業(yè)的商業(yè)秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業(yè)的信息系統(tǒng)。
3 建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的經濟業(yè)務的原始記錄以電子憑證的方式  存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。

  計算機網絡帶來會計系統(tǒng)的開放與數(shù)據共享,而開放與共享的基礎則是安全。企業(yè)一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現(xiàn)電子貿易、電子信息交換,但也需要守住自己的商業(yè)秘密、管理秘密和財務秘密,而其中已實現(xiàn)了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創(chuàng)造一個安全的環(huán)境,抵抗來自系統(tǒng)內外的各種干擾和威協(xié),做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網絡安全審計及基本要素

  安全審計是一個新概念,它指由專業(yè)審計人員根據有關的法律法規(guī)、財產所有者的委托和管理當局的授權,對計算機網絡環(huán)境下的有關活動或行為進行系統(tǒng)的、獨立的檢查驗證,并作出相應評價。

  沒有網絡安全,就沒有網絡世界。任何一個建立網絡環(huán)境計算機會計系統(tǒng)的機構,都會對系統(tǒng)的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排。那么系統(tǒng)是否安全了呢?這是一般人心中無數(shù)也最不放心的問題。應該肯定,一個系統(tǒng)運行的安全與否,不能單從雙方當事人的判斷作出結論,而必須由第三方的專業(yè)審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經驗,只有他們才能作出客觀、公正、公平和中立的評價。

  安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業(yè)根據具體的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方?刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控制目標所制定的安全控制技術、配置方法及各種規(guī)范制度。控制測試是將企業(yè)的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業(yè)技術知識與技能。

  安全審計是審計的一個組成部分。由于計算機網絡環(huán)境的安全將不僅涉及國家安危,更涉及到企業(yè)的經濟利益。因此,我們認為必須迅速建立起國家、社會、企業(yè)三位一體的安全審計體系。其中,國家安全審計機關應依據國家法律,特別是針對計算機網絡本身的各種安全技術要求,對廣域網上企業(yè)的信息安全實施年審制。另外,應該發(fā)展社會中介機構,對計算機網絡環(huán)境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業(yè)的計算機網絡系統(tǒng)的安全作出評價的機構。當企業(yè)管理當局權衡網絡系統(tǒng)所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網絡安全專家,他們對網絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統(tǒng)所披露信息的真實性、可靠性作出正確判斷。

二、網絡安全審計的程序

  安全審計程序是安全監(jiān)督活動的具體規(guī)程,它規(guī)定安全審計工作的具體內容、時間安排、具體的審計方法和手段。與其它審計一樣,安全審計主要包括三個階段:審計準備階段、實施階段以及終結階段。

  安全審計準備階段需要了解審計對象的具體情況、安全目標、企業(yè)的制度、結構、一般控制和應用控制情況,并對安全審計工作制訂出具體的工作計劃。在這一階段,審計人員應重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。

1 了解企業(yè)網絡的基本情況。例如,應該了解企業(yè)內部網的類型、局域網之間是否設置了單向存取限制、企業(yè)網與Internet的聯(lián)接方式、是否建立了虛擬專用網(VPN)?
2 了解企業(yè)的安全控制目標。安全控制目標一般包括三個方面:第一,保證系統(tǒng)的運轉正常,數(shù)據的可靠完整;第二,保障數(shù)據的有效備份與系統(tǒng)的恢復能力;第三,對系統(tǒng)資源使用的授權與限制。當然安全控制目標因企業(yè)的經營性質、規(guī)模的大小以及管理當局的要求而有所差異。
3 了解企業(yè)現(xiàn)行的安全控制情況及潛在的漏洞。審計人員應充分取得目前企業(yè)對網絡環(huán)境的安全保密計劃,了解所有有關的控制對上述的控制目標的實現(xiàn)情況,系統(tǒng)還有哪些潛在的漏洞。

  安全審計實施階段的主要任務是對企業(yè)現(xiàn)有的安全控制措施進行測試,以明確企業(yè)是否為安全采取了適當?shù)目刂拼胧?這些措施是否發(fā)揮著作用。審計人員在實施環(huán)節(jié)應充分利用各種技術工具產品,如網絡安全測試產品、網絡監(jiān)視產品、安全審計分析器。

  安全審計終結階段應對企業(yè)現(xiàn)存的安全控制系統(tǒng)作出評價,并提出改進和完善的方法和其他意見。安全審計終結的評價,按系統(tǒng)的完善程度、漏洞的大小和存在問題的性質可以分為三個等級:危險、不安全和基本安全。危險是指系統(tǒng)存在毀滅性數(shù)據丟失隱患(如缺乏合理的數(shù)據備份機制與有效的病毒防范措施)和系統(tǒng)的盲目開放性(如有意和無意用戶經常能闖入系統(tǒng),對系統(tǒng)數(shù)據進行查閱或刪改)。不安全是指系統(tǒng)尚存在一些較常見的問題和漏洞,如系統(tǒng)缺乏監(jiān)控機制和數(shù)據檢測手段等;景踩侵父鱾企業(yè)網絡應達到的目標,其大漏洞僅限于不可預見或罕預見性、技術極限性以及窮舉性等,其他小問題發(fā)生時不影響系統(tǒng)運行,也不會造成大的損失,且具有隨時發(fā)現(xiàn)問題并糾正的能力。

三、網絡安全審計的主要測試

  測試是安全審計實施階段的主要任務,一般應包括對數(shù)據通訊、硬件系統(tǒng)、軟件系統(tǒng)、數(shù)據資源以及安全產品的測試。

  下面是對網絡環(huán)境會計信息系統(tǒng)的主要測試。

1 數(shù)據通訊的控制測試

  數(shù)據通訊控制的總目標是數(shù)據通道的安全與完整。具體說,能發(fā)現(xiàn)和糾正設備的失靈,避免數(shù)據丟失或失真,能防止和發(fā)現(xiàn)來自Internet

及內部的非法存取操作。為了達到上述控制目標,審計人員應執(zhí)行以下控制測試:(1)抽取一組會計數(shù)據進行傳輸,檢查由于線路噪聲所導致數(shù)據失真的可能性。(2)檢查有關的數(shù)據通訊記錄,證實所有的數(shù)據接收是有序及正確的。(3)通過假設系統(tǒng)外一個非授權的進入請求,測試通訊回叫技術的運行情況。(4)檢查密鑰管理和口令控制程序,確認口令文件是否加密、密鑰存放地點是否安全。(5)發(fā)送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的內容。(6)檢查防火墻是否控制有效。防火墻的作用是在Internet與企業(yè)內部網之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應具有拒絕任何不準確的申請者的過濾能力,只有授權用戶才能通過防火墻訪問會計數(shù)據。

2 硬件系統(tǒng)的控制測試

  硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性。測試的重點包括:實體安全、火災報警防護系統(tǒng)、使用記錄、后備電源、操作規(guī)程、災害恢復計劃等。審計人員應確定實物安全控制措施是否適當、在處理日常運作及部件失靈中操作員是否作出了適當?shù)挠涗浥c定期分析、硬件的災難恢復計劃是否適當、是否制定了相關的操作規(guī)程、各硬件的資料歸檔是否完整。

3 軟件系統(tǒng)的控制測試

  軟件系統(tǒng)包括系統(tǒng)軟件和應用軟件,其中最主要的是操作系統(tǒng)、數(shù)據庫系統(tǒng)和會計軟件系統(tǒng)?傮w控制目標應達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權職員的各種破壞行為,保障系統(tǒng)正常運行。對軟件系統(tǒng)的測試主要包括:(1)檢查軟件產品是否從正當途徑購買,審計人員應對購買訂單進行抽樣審查。(2)檢查防治病毒措施,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權的軟件才安裝到系統(tǒng)里。

4 數(shù)據資源的控制測試

  數(shù)據控制目標包括兩方面:一是數(shù)據備份,為恢復被丟失、損壞或被干擾的數(shù)據,系統(tǒng)應有足夠備份;二是個人應當經授權限制性地存取所需的數(shù)據,未經授權的個人不能存取數(shù)據庫。審計測試應檢查是否提供了雙硬盤備份、動態(tài)備份、業(yè)務日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據系統(tǒng)的授權表,檢查存取控制的有效性。

5 系統(tǒng)安全產品的測試

  隨著網絡系統(tǒng)安全的日益重要,各種用于保障網絡安全的軟、硬件產品應運而生,如VPN、防火墻、身份認證產品、CA產品等等。企業(yè)將在不斷發(fā)展的安全產品市場上購買各種產品以保障系統(tǒng)的安全,安全審計機構應對這些產品是否有效地使用并發(fā)揮其應有的作用進行測試與作出評價。例如,檢查安全產品是否經過認證機構或公安部部門的認征,產品的銷售商是否具有銷售許可證產品的安全保護功能是否發(fā)揮作用。

四、應該建立內部安全審計制度

  為提高會計信息處理的準確性、真實性和合法性,強化企業(yè)的內部控制制度的落實,防止會計信息系統(tǒng)出現(xiàn)各種安全隱患,應建立起計算機網絡環(huán)境下對會計信息系統(tǒng)實施監(jiān)督的內部審計制度。內部審計是在單位最高負責人的直接領導下,對集網絡、計算機及信息處理為一體的會計信息系統(tǒng)進行職能管理,依照有關法律、法規(guī)及內部管理制度,對其合法性、真實性、可靠性和效益性進行相對獨立的監(jiān)督、檢查與評價的活動。其主要目的是保護企業(yè)計算機會計信息系統(tǒng)所產生的會計記錄的真實與可靠,保證網絡上數(shù)據的傳輸?shù)臄?shù)據的安全,并對系統(tǒng)安全情況作出評價。

  網絡系統(tǒng)內部安全審計是一種實時地發(fā)現(xiàn)漏洞的機制,安全審計人員的日常審計工作將為會計信息系統(tǒng)的安全提供有效的保障。


【網絡環(huán)境下會計系統(tǒng)的安全審計】相關文章:

XBRL環(huán)境下的審計與控制08-07

網絡環(huán)境下的自主學習08-17

網絡環(huán)境下的《棗核》08-16

網絡環(huán)境下的歷史教學08-12

網絡環(huán)境下的彈性學習08-17

電子商務環(huán)境下的審計理論框架(下)08-15

淺談計算機網絡環(huán)境下的注冊會計師審計08-07

淺談計算機網絡環(huán)境下的注冊會計師審計08-07

系統(tǒng)審計08-07