网络环境下会计系统的安全审计

计算机会计信息系统实现网络处理后, 由于系统的入口增多, 操作人员和信息使用者干预系统的机会增大, 系统面临的安全隐患也必然增多。尤其随着Internet的应用, 外部日益扩大的网络环境对会计信息系统本身及其安全又将产生更大的影响, 不仅影响传统的会计业务处理及信息的披露方式, 而且安全方面会产生更多的不确定因素。除了计算机软硬件的不安全因素之外, 会计信息系统还将面临人文方面的更大风险。一、网络安全审计及基本要素安全审计是一个新概念, 它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权, 对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证, 并作出相应评价。安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中, 控制目标是指企业根据具体的计算机应用, 结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节, 容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较, 确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效, 评价企业安全措施的可依赖程度。显然, 安全审计作为一个专门的审计项目, 要求审计人员必须具有较强的专业技术知识与技能。二、网络安全审计的程序安全审计准备阶段需要了解审计对象的具体情况、安全目标、企业的制度、结构、一般控制和应用控制情况, 并对安全审计工作制订出具体的工作计划。在这一阶段, 审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。1.了解企业网络的基本情况例如, 应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的连接方式、是否建立了虚拟专用网 (VPN) ?2.了解企业的安全控制目标安全控制目标一般包括三个方面:第一, 保证系统的运转正常, 数据的可靠完整;第二, 保障数据的有效备份与系统的恢复能力;第三, 对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及管理当局的要求而有所差异。3.了解企业现行的安全控制情况及潜在的漏洞审计人员应充分取得目前企业对网络环境的安全保密计划, 了解所有有关的控制对上述的控制目标的实现情况, 系统还有哪些潜在的漏洞。三、网络安全审计的主要测试测试是安全审计实施阶段的主要任务, 一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。下面是对网络环境会计信息系统的主要测试:1.数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。具体说, 能发现和纠正设备的失灵, 避免数据丢失或失真, 能防止和发现来自Internet及内部的非法存取操作。2.硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。3.软件系统的控制测试软件系统包括系统软件和应用软件, 其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为, 保障系统正常运行。4.数据资源的控制测试数据控制目标包括两方面:一是数据备份, 为恢复被丢失、损坏或被干扰的数据, 系统应有足够备份;二是个人应当经授权限制性地存取所需的数据, 未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能, 以及在日常工作中是否真正实施了这些功能。根据系统的授权表, 检查存取控制的有效性。5.系统安全产品的测试随着网络系统安全的日益重要, 各种用于保障网络安全的软、硬件产品应运而生, 如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全, 安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。四、应该建立内部安全审计制度为提高会计信息处理的准确性、真实性和合法性, 强化企业的内部控制制度的落实, 防止会计信息系统出现各种安全隐患, 应建立起计算机网络环境下对会计信息系统实施监督的内部审计制度。内部审计是在单位最高负责人的直接领导下, 对集网络、计算机及信息处理为一体的会计信息系统进行职能管理, 依照有关法律、法规及内部管理制度, 对其合法性、真实性、可靠性和效益性进行相对独立的监督、检查与评价的活动。网络系统内部安全审计是一种实时地发现漏洞的机制, 安全审计人员的日常审计工作将为会计信息系统的安全提供有效的保障。