网络环境下会计系统的安全审计.pdfVIP

网络环境下会计系统的安全审计 计算机会计信息系统实现网络处理后，由于系统的入口增多，操作 人员和信息使用者干预系统的机会增大，系统面临的安全隐患也必然 增多。尤其随着 Internet/Intranet 的应用，外部日益扩大的网络环境对 会计信息系统本身及其安全又将产生更大的影响，不仅影响传统的会 计业务处理及信息的披露方式，而且安全方面会产生更多的不确定因 素。除了计算机软硬件的不安全因素之外，会计信息系统还将面临人 文方面的更大风险，例如来自不法之徒的风险就有： 1 利用网络及安全管理的漏洞窥探用户口令或电子帐号，冒充合 法用户作案，篡改磁性介质记录窃取资产。 2 利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络 传播计算机病毒以破坏企业的信息系统。 3 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”， 越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法 之徒通过改变电子货币帐单、银行结算单及其它帐单，就有可能将公 私财产的所有权进行转移。 计算机网络带来会计系统的开放与数据共享，而开放与共享的基 础则是安全。企业一方面通过网络开放自己，向全世界推销自己的形 象和产品，实现电子贸易、电子信息交换，但也需要守住自己的商业 秘密、管理秘密和财务秘密，而其中已实现了电子化且具有货币价值 的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的 环境，抵抗来自系统内外的各种干扰和威协，做到该开放的放开共享， 该封闭的要让黑客无奈。 一、网络安全审计及基本要素 安全审计是一个新概念，它指由专业审计人员根据有关的法律法 规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有 关活动或行为进行系统的、独立的检查验证，并作出相应评价。 没有网络安全，就没有网络世界。任何一个建立网络环境计算机 会计系统的机构，都会对系统的安全提出要求，在运行和维护中也都 会从自己的角度对安全作出安排。那么系统是否安全了呢？这是一般 人心中无数也最不放心的问题。应该肯定，一个系统运行的安全与否， 不能单从双方当事人的判断作出结论，而必须由第三方的专业审计人 员通过审计作出评价。因为安全审计人员不但具有专门的安全知识， 而且具有丰富的安全审计经验，只有他们才能作出客观、公正、公平 和中立的评价。 安全审计涉及四个基本要素：控制目标、安全漏洞、控制措施和 控制测试。其中，控制目标是指企业根据具体的计算机应用，结合单 位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节， 容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标 所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企 业的各种安全控制措施与预定的安全标准进行一致性比较，确定各项 控制措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企 业安全措施的可依赖程度。显然，安全审计作为一个专门的审计项目， 要求审计人员必须具有较强的专业技术知识与技能。 安全审计是审计的一个组成部分。由于计算机网络环境的安全将 不仅涉及国家安危，更涉及到企业的经济利益。因此，我们认为必须 迅速建立起国家、社会、企业三位一体的安全审计体系。其中，国家 安全审计机关应依据国家法律，特别是针对计算机网络本身的各种安 全技术要求，对广域网上企业的信息安全实施年审制。另外，应该发 展社会中介机构，对计算机网络环境的安全提供审计服务，它与会计 师事务所、律师事务所一样，是社会对企业的计算机网络系统的安全 作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失 时，他们需要通过中介机构对安全性作出检查和评价。此外财政、财 务审计也离不开网络安全专家，他们对网络的安全控制作出评价，帮 助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作 出正确判断。 二、网络安全审计的程序安全 审计程序是安全监督活动的具体规程，它规定安全审计工作的具 体内容、时间安排、具体的审计方法和手段。与其它审计一样，安全 审计主要包括三个阶段：审计准备阶段、实施阶段以及终结阶段。 安全审计准备阶段需要了解审计对象的具体情况、安全目标、企 业的制度、结构、一般控制和应用控制情况，并对安全审计工作制订 出具体的工作计划。在这一阶段，审计人员应重点确定审计对象的安 全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。 1 了解企业网络的基本情况。例如，应该了解企业内部网的类型、 局域网之间是否设置了单向存取限制、企业网与