计算机应用 | 古代文学 | 市场营销 | 生命科学 | 交通物流 | 财务管理 | 历史学 | 毕业 | 哲学 | 政治 | 财税 | 经济 | 金融 | 审计 | 法学 | 护理学 | 国际经济与贸易
计算机软件 | 新闻传播 | 电子商务 | 土木工程 | 临床医学 | 旅游管理 | 建筑学 | 文学 | 化学 | 数学 | 物理 | 地理 | 理工 | 生命 | 文化 | 企业管理 | 电子信息工程
计算机网络 | 语言文学 | 信息安全 | 工程力学 | 工商管理 | 经济管理 | 计算机 | 机电 | 材料 | 医学 | 药学 | 会计 | 硕士 | 法律 | MBA
现当代文学 | 英美文学 | 通讯工程 | 网络工程 | 行政管理 | 公共管理 | 自动化 | 艺术 | 音乐 | 舞蹈 | 美术 | 本科 | 教育 | 英语 |

网络环境下会计系统的安全审计

2017-06-23 01:00
导读:审计论文毕业论文,网络环境下会计系统的安全审计论文样本,在线游览或下载,科教论文网海量论文供你参考:机信息系统实现处理后,由于系统的进口增多,操纵职员和信息使用者干预系统
机信息系统实现处理后,由于系统的进口增多,操纵职员和信息使用者干预系统的机会增大,系统面临的安全隐患也必然增多。尤其随着Internet/Intranet的,外部日益扩大的网络环境对会计信息系统本身及其安全又将产生更大的,不仅影响传统的会计业务处理及信息的表露方式,而且安全方面会产生更多的不确定因素。除了计算机软硬件的不安全因素之外,会计信息系统还将面临人文方面的更大风险,例如来自不法之徒的风险就有:   1 利用网络及安全治理的漏洞窥探用户口令或帐号,冒充正当用户作案,篡改磁性介质记录窃取资产。  2 利用网络远间隔窃取的贸易秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。  3 建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。  计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界倾销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的贸易秘密、治理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。  一、网络安全审计及基本要素  安全审计是一个新概念,它指由专业审计职员根占有关的法规、财产所有者的委托和治理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。  没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判定作出结论,而必须由第三方的专业审计职员通过审计作出评价。由于安全审计职员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。  安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,轻易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依靠程度。显然,安全审计作为一个专门的审计项目,要求审计职员必须具有较强的专业技术知识与技能。  安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们以为必须迅速建立起国家、、企业三位一体的安全审计体系。其中,***审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业治理当局权衡网络系统所带来的潜伏损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价, 帮助注册会计师对相应的信息处理系统所表露信息的真实性、可靠性作出正确判定。  二、网络安全审计的程序安全  审计程序是安全监视活动的具体规程,它规定安全审计工作的具体、时间安排、具体的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计预备阶段、实施阶段以及终结阶段。  安全审计预备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出具体的工作计划。在这一阶段,审计职员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。  1 了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?  2 了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三, 对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及治理当局的要求而有所差异。  3 了解企业现行的安全控制情况及潜伏的漏洞。审计职员应充分取得企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜伏的漏洞。  安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计职员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计器。  安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在题目的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏公道的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户经常能闯进系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的题目和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小题目发生时不影响系统运行,也不会造成大的损失,且具有随时发现题目并纠正的能力。  三、安全审计的主要测试  测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。  下面是对网络环境信息系统的主要测试。  1 数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。具体说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操纵。为了达到上述控制目标,审计职员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进进请求,测试通讯回叫技术的运行情况。(4)检查密钥治理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒尽任何不正确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。  2 硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操纵规程、灾难恢复计划等。审计职员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操纵员是否作出了适当的记录与定期、硬件的灾难恢复计划是否适当、是否制定了相关的操纵规程、各硬件的资料回档是否完整。  3 软件系统的控制测试软件系统包括系统软件和软件,其中最主要的是操纵系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计职员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。  4 数据资源的控制测试数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或被干扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。  5 系统安全产品的测试随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部分的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。  四、应该建立内部安全审计制度  为进步会计信息处理的正确性、真实性和正当性,强化企业的内部控制制度的落实,防止会计信息系统出现各种安全隐患,应建立起计算机网络环境下对会计信息系统实施监视的内部审计制度。内部审计是在单位最高负责人的直接领导下,对集网络、计算机及信息处理为一体的会计信息系统进行职能治理,依照有关、法规及内部治理制度,对其正当性、真实性、可靠性和效益性进行相对独立的监视、检查与评价的活动。其主要目的是保护企业计算机会计信息系统所产生的会计记录的真实与可靠,保证网络上数据的传输的数据的安全,并对系统安全情况作出评价。  网络系统内部安全审计是一种实时地发现漏洞的机制,安全审计职员的日常审计工作将为会计信息系统的安全提供有效的保障。
    上一篇:审计“道德风险”的天生机制及规避策略 下一篇:年审中的若干会计题目