计算机环境下的审计信息安全,本文主要内容关键词为:信息安全论文,环境论文,计算机论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
信息安全的定义
从20世纪80年代起,国际信息处理协会就开始进行信息处理系统安全和保护方面的研究和探讨。国际标准化委员会对信息安全的定义提出以下建议:“为数据处理系统建立和采取技术和管理的安全保护措施,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改和泄漏。”90年代,随着各种网络的兴起,又出现了一些危及信息安全的新手段。例如,伪装欺骗——非法用户假冒合法用户身份获取敏感信息的行为;非法存取——窃取、篡改或破坏网络中存取的信息;截取破译——以不正当手段获取口令或密钥。这些安全风险在计算机审计工作中同样存在。审计机关开展计算机辅助审计,主要是运用计算机审计技术对与财政收支、财务收支和业务有关的电子数据以及信息系统进行审计。因此,审计人员在计算机审计实施的同时可能遇到的信息安全问题主要涉及到审计对象信息系统安全、审计业务数据安全和审计人员电脑系统安全三个方面。
信息安全的类型和防范
(一)审计对象信息系统安全
目前,许多被审计单位的业务高度依赖于信息系统,尤其是面向客户提供服务的部门,例如,税务、银行、证券等。而信息系统又是比较脆弱的,一条小小的指令就可能引起整套系统的崩溃。例如,2005年8月,由于通讯故障,中国农业银行全国数据集中分行(北京、天津、河北、总行营业部等10行1部)核心业务系统发生交易停顿,给客户带来了诸多不便。在这些提供实时服务的部门,信息系统的安全是至关重要的。因此,我们尤其要避免在审计过程中给被审计单位的信息系统带来安全风险。
审计人员接触被审计单位的系统主要有下列三种情形:
1.数据采集。审计人员在采集被审计单位数据时通常有两种情形会接触到审计单位信息系统,一种是利用个人电脑配置ODBC连接到被中计单位数据库系统来转换读取数据;另一种是审计人员直接利用被审计单位数据库系统工具转换读取数据,然后再拷贝到个人电脑。无论哪种方式,审计人员都物理地接触了被审计单位的数据系统,若被审计单位的信息系统在审计过程中或结束后出现故障,造成损失,则容易产生纠纷。国务院《关于利用计算机信息系统开展审计工作有关问题的通知》明确规定:“被审计单位应将审计机关要求的数据转换成能够读取的格式输出。”因此,审计人员并不需要操作被审计单位的数据库系统,而是有权要求被审计单位提供审计人员可识别的备份文件或数据资料。
2.系统审计。传统审计环境下,对内部控制的测试看得见、摸得着;而在计算机审计环境下,内部控制融会于软件之中,肉眼无法觉察。这就要求审计人员设计一些正常有效的业务数据和一些例外业务数据(不完整的、无效的、不合理的、不合逻辑的),来检查测试软件的控制能力。被审计单位的信息系统各式各样,制造商的水平也是参差不齐,系统的安全性、纠错能力和操作性差别很大,审计人员对被审计单位信息系统的了解也有限,缩写的测试程序和测试数据可能会导致被审计单位的业务信息紊乱。国务院《关于利用计算机信息系统开展审计工作有关问题的通知》中对系统审计也做了规定:“审计机关对被审计单位电子数据真实性产生疑问时,可以对计算机信息系统进行测试。测试计算机信息系统时,审计人员应当提出测试方案,监督被审计单位操作人员按照方案的要求进行测试。”因此,在对被审计单位信息系统开展合规性、穿透性等系统审计时,审计人员应当是监督被审计单位工作人员测试,而不需要自己参与操作。如果有条件,可以在被审计单位的备份系统上测试,即使出现意外也不会影响被审计单位业务的正常开展。
3.操作前台软件。审计人员在经被审计单位授权后可以利用前台软件做一些查询数据或导出数据的操作。这类操作对信息系统的影响取决于被审计单位的授权,如果授权给审计人员的是“读权限”,那么,审计工作人员的任何操作都不会引起数据的变化;如果包含“写权限”,审计人员的操作就存在改写数据的可能。因此,操作客户端之前,审计人员可以向授权人确认,该用户仅能拥有“读权限”,所做操作不会造成信息数据的变化。另外,还要注意查询统计的时间,尽量避开被审计单位的业务高峰,以免影响正常业务的处理。
如果遇到一些特殊情况,需要审计人员参与操作信息系统的,不管是哪种情形,审计人员都应该在操作前征得被审计单位的同意,并取得被审计单位的书面授权,在操作结束后还要让被审计单位出具书面材料,证明审计人员的操作对其信息系统没有任何影响。这样做能够最大限度地降低计算机审计的风险。
(二)审计业务电子数据安全
除审计系统自身的业务联系数据外,审计人员的计算机中还要存放被审计单位的电子数据。这些数据可能是个人资料、企业信息,甚至商业机密。所以,加强审计业务电子数据的管理是十分必要的。信息数据泄露的方式有很多种,如通过移动存储设备拷贝数据,因特网黑客入侵、网络木马病毒的传播、局域网络用户数据共享等。审计机关需要加强对审计人员信息安全知识方面的教育、建立相关的管理制度和“强壮”信息网络及审计人员电脑系统。管理制度可以涉及电子数据专人负责、电子数据的使用、电子数据的存放、电子数据的销毁等等;“强壮”信息系统的方式主要有设立防火墙、安装网络防病毒软件、限制非法网卡MAC地址登陆、网外网隔离等。
(三)审计人员电脑系统安全
现在审计人员的笔记本电脑或台式机上大多数安装的是Windows 2000或Windows XP操作系统,这两套操作系统中都有默认的管理员账户Administrator,该账户对系统拥有读写更改权限,而电脑使用都容易忽视对该用户设置密码,这样就使网络共享存在安全隐患。各种网络中存在的风险也有威胁着审计人员的电脑系统。现在的上网方式主要是拨号上网、单位内网、电信宽带、被审计单位的局域网和外网等等。网络类型多而复杂,各种网络的安全性差别很大,因此我们不能只是依赖网络管理员所做的安全措施,还要将我们的电脑系统的安全策略调整好。首先,最重要的是使用密码这个工具。我们可以对文档设置密码,也可以对账户设置密码,在设置密码时位数尽可能的多一些,最好由字符和数字组合而成,降低被破解的概率,例如,破解“A12K34P9X”这样一个密码要比破解“123456”要难得多。其次,尽量不要登陆非正规的网站和打开陌生人的电子邮件,定期升级Windows系统和安装最新版本的防病毒软件。现在网络上一些黑客通过电子邮件来传递电脑病毒或者利用Windows系统的漏洞通过木马病毒入侵用户的计算机系统。例如,最近网上就传播一种专门感染U盘的木马病毒,可以复制删除U盘上的资料。再次,使用移动存储设备也要谨慎。不同机器之间拷贝资料也有可能成为传播病毒、丢失资料的途径。最后,就是内外网分离,禁止含有重要信息的计算机连接外网,或者是将重要信息存放在与网络物理隔开的移动磁盘、光盘中,以确保信息安全。
加强信息安全的建议
(一)树立计算机审计信息安全意识
一是对审计人员宣传相关的案例,使之清楚信息安全在计算机辅助审计中的重要性,增强保密意识。二是邀请一些信息安全方面的专家,系统地讲解有关知识,破除审计人员对信息安全的神秘感,提高审计人员防范风险的能力。
(二)增强与被审计单位的沟通
审计人员应该加强与被审计单位的沟通,向被审计单位学习了解信息系统的情况,以消除在审计中的信息不对称现象。沟通是双向的,计算机辅助审计不仅对审计人员是新事物,对被审计单位人员更是非常陌生,所以,审计人员也要向被审计单位宣传计算机辅助审计,说明计算机辅助审计的目的,提出合理要求,并与被审计单位工作人员共同讨论选择安全高效的计算机辅助审计方案。
(三)完善有关计算机审计的法规和准则
目前计算机辅助审计的法规和准则有:国际会计师协会于1984年公布的《国际审计准则15——电子数据处理环境下的审计》和《国际审计准则16——计算机辅助审计技术》、1996年施行的中国独立审计具体准则第20号《计算机信息系统环境下的审计》、2001年国务院《关于利用计算机信息系统开展审计工作有关问题的通知》等。面对日益发展的计算机辅助审计,以前建立的计算机辅助审计相关的法规和准则,有些已经不适应现今的需要。在总结计算机辅助审计经验的同时,可以出台一些相关的法规准则并加以广泛宣传,明确计算机审计职责,规范计算机辅助审计行为,确保计算机辅助审计安全,提高计算机辅助审计质量,使审计人员开展计算机辅助审计工作时有法可依、有章可循。
标签:信息安全论文; 审计软件论文; 计算机安全论文; 安全审计论文; 审计质量论文; 审计准则论文; 审计目的论文; 电子论文;