網絡會計的信息安全與防

孫　衛

摘要：網絡會計是建立在計算機網絡技術和安全技術等信息技術的基礎之上的,會計信息是以足夠的安全技術為保障，以一定的計算機硬件為支撐,在相應的軟件管理下在網絡中流通、存儲和處理,并最終以人們需要的形式變現出來。因此，計算機網絡技術和安全技術等信息技術的安全性成為網絡會計信息安全的技術風險。

關鍵詞：信息安全；計算機舞弊；篡改程序； 信息失真

在網絡會計環境下,電子票據、電子憑證和電子帳冊的出現,使傳統的會計帳務處理自動完成，避免了人為的疏漏造成的會計信息失真，但也使對電子票據、電子憑證和電子帳冊的修改不留痕跡，會計信息安全風險大大增加。另外,網絡會計信息采用分布式輸入,信息來源多樣化,使會計信息在一定范圍共享和流通,能夠使監督和操作分離,但同時又使會計信息作假更加方便,失真的會計信息更具有迷惑性。由于在網絡會計中起主要關鍵作用的是計算機，因此審計人員可以根據自己處理傳統舞弊案件的經驗，較透徹地分析計算機舞弊手法，并結合計算機技術的手段，努力檢查并處理計算機犯罪事件，針對不同的情況，運用相應的審計手段，對計算機舞弊方式進行正確分析，提高網絡會計的信息安全度。

一、計算機舞弊分析

（一）篡改輸入這是計算機舞弊中最簡單最常用的手法。數據在輸入前或輸入后被篡改了。它通常表現為：虛構業務數據，如將假存款單輸入銀行的系統中，增加作案者的存款數；修改業務數據；刪除業務數據，如從存貨系統中刪除某個存貨數據，消除購貨業務憑證。通過對數據作非法改動，導致會計數據的不真實、不可靠、不準確或以此達到某種非法目的，如，轉移單位資金到指定的個人賬戶等。

可能的舞弊者包括：參與業務處理的人員、數據準備人員、源數據提供人員、能夠接觸計算機但不參與業務處理的人員。

可能的證據包括：源文件、業務文件、計算機可讀文件、磁盤、磁帶、異常報告、錯誤的運行結果等。

（二）竊取或篡改商業秘密、非法轉移電子資金和數據泄密等

竊取或篡改商業秘密是系統非法用戶利用不正常手段獲取企業重要機密的行為。借助高技術設備和系統的通訊設施非法轉移資金對會計數據的安全保護構成很大威脅。數據在傳輸過程中，由于使用的是開放式的TCP/IP協議，信息的傳輸路線是隨機的。因而可能出現物理竊聽、感應竊聽、口令字試探、信息竊取、身份假冒。數據在輸出過程中，舞弊者能夠把敏感數據隱藏在本來沒有問題的輸出報告中，采取的方法是增加數據塊；控制并觀察設備部件運轉，如磁帶的讀和寫，打印機打印和跳躍行次的結構所發出的響音，錄在磁帶上，可以得到二進制信息。采取設備上的特殊配置，可以在CPU芯片中置入無線發射接受功能，在操作系統、數據庫管理系統或應用程序中預先安置用于情報收集、受控激發破壞的程序。

可能的舞弊人員除了篡改輸出報告為內部用戶外，其他多為外來者，更多的是間諜人員。

篡改程序

（三）篡改程序是指對程序做非法改動，以便達到某種舞弊的目的。常見的手法有“陷門”和“特洛伊木馬”。

1、陷門。 從CPU、操作系統到應用程序，任何一個環節都有可能被開發者留下“后門”，即“陷門”。陷門是一個模塊的秘密入口，這個秘密入口并沒有記入文檔，因此，用戶并不知道陷門的存在。在程序開發期間陷門是為了測試這個模塊或是為了更改和增強模塊的功能而設定的。在軟件交付使用時，有的程序員沒有去掉它，這樣居心不良的人就可以隱蔽地訪問它了。

2、在系統中秘密編入指令，使之能夠執行未經授權的功能，這種行為叫特洛伊木馬。典型的特洛伊木馬是竊取別人在網絡上的賬號和口令，它有時在合法用戶登陸前偽造登陸現場，提示用戶輸入賬號和口令，然后將賬號和口令保存到一個文件中，顯示登陸錯誤，退出特洛伊木馬程序。用戶以為自己輸錯了，再試一次時，已經是正常的登陸了，用戶也就不會懷疑。而特洛伊木馬已經獲得了有價值的信息躲到一邊去了。

可能的舞弊者絕大部分是計算機高手，包括系統管理員、網絡管理員、系統操作員、網絡黑客等。

可能的證據包括：源文件、數據庫文件。

二、計算機舞弊的審查

對計算機舞弊的審查除了借鑒傳統審計方法，如：分析性復核，審閱與核對法，盤點實物，查詢及函證外，最有效的是根據網絡會計系統的特點有針對性地進行審查。

（一）篡改輸入的審查

1、應用傳統方法審查手工記賬憑證與原始憑證的合法性。首先，審計人員應抽查部分原始單據，重點使用審閱法確定業務發生的真實性，判斷原始單據的來源是否合法，其數據有無被篡改，金額是否公允等。其次，采用核對法，將記賬憑證的內容和數據與其原始單據的內容和數據進行核對，審查計算機處理的起點是否正確。最后再進行賬賬核對。

2、應用抽樣審計技術，將機內部分記賬憑證與手工記賬憑證進行核對，審查輸入憑證的真實性。根據被審對象所輸入的憑證，通過手工操作，將處理的結果與計算機處理系統的輸出結果進行對比，檢驗其是否一致。

3、測試數據的完整性。審計人員模擬一組被審單位的計算機數據處理系統的數據輸入，使該系統在審計人員的親自操作或控制下，根據數據處理系統所能達到的功能要求，完成處理過程，得到的數據與事先計算得到的結果相比較，檢驗原來數據與現有數據之間是否保持完全一致。

4、對輸出報告進行分析，檢查有無異常情況或涂改情況。如與審計相關的賬冊、報表、操作日志、上機記錄等要打印備查。

5、數據的安全性審查。檢查數據在輸入前后是否接受了各種驗證。包括：(1)責任分工：網絡電子數據處理部門與用戶部門是否職責分離，如果有一個人既負責業務交易，又有權接觸電子數據處理，企業就存在舞弊和過失的雙重風險；網絡電子數據處理部門內部是否有職責分工，在電子數據處理部門內部進行職責劃分，其目的是保證不相容職責由不同的人擔任，以及保證一個人能對其他人的工作進行檢查。(2)經辦人員分別負責制作、檢查、簽字工作，或者實行雙重負責制。

6、總量計算，建立輸入批控制核算。在這種方法中，審計人員首先根據控制要點選擇數據，建立批處理總數，然后將數據輸入，將輸出結果與批處理總數相核對。采用這一方法，數據被分為小組，加總得到的合計數，即為控制總數。數據可以是正常的，也可以是非正常的。對于非正常數據，可以檢查程序對輸入錯誤的更正以及校驗的過程，以確認輸入校驗措施的可靠性。

7、對操作權限進行審查。檢查是否有非法越權行為或泄密行為。包括：(1)身份驗證。驗證訪問者的身份是否與賦權者的身份一致。(2)存取控制權限的控制情況。密級——絕密、機密、秘密、內部、敏感。分工——系統開發人員、系統管理員、操作員、用戶。

8、檢查上機日志。操作系統的日志文件中包含了詳細的用戶信息和系統調用數據的信息。在網絡會計中，由于用戶可隨機從不同的客戶機上登錄，主機間也經常需要交換信息，對留下的記錄進行分析判斷的難度是很大的。做這項工作需要正確的職業敏感和職業判斷。

（二）竊取或篡改商業秘密、非法轉移電子資金和數據泄密的審查

1、檢查計算機硬件設施附近是否有竊聽或無線電發射裝置。具體包括：是否有竊聽器與通訊線路上的某部分接觸，是否通過使用盒式錄音機、麥克風、AM/FM小錄音機、Modem進行感應式被動竊聽。

2、檢查計算機系統的使用記錄，看數據文件是否被存取過或什么時間存取過，是否屬于正常工作。通常有IBM公司的SMF法與CCA軟件公司的TopSecret程序工具。其主要功能有：記錄使用者名、每個程序段的CPU使用時占用的存儲容量、使用的機器名、作業終了狀態等；數據文件使用記錄功能，如所使用的數據文件名、使用者名、數據文件的改變情況等；容量記錄功能，記錄每個數據文件的數據量等。

3、檢查打印資料是否及時處理，暫時不用的磁盤、磁帶上是否還殘留有數據。

4、檢查是否有非法用戶登錄過此系統。這可以通過系統訪問記錄或上機日志來找出線索。例如：系統記錄記錄某一個操作員的訪問時間通常是8點至17點，可是忽然出現了23點的訪問記錄，這就可以懷疑有非法用戶登錄此系統。

5、調查及函證懷疑對象的個人交往，以便發現線索。

（三）篡改程序的審查

1、程序編碼檢查法。檢查全部或可疑部分源程序，分析是否有非法的源程序，以確定程序員是否留下“陷門”，同時應注意程序的設計邏輯和處理功能是否恰當。這種方法的具體步驟如下：(1)審計人員應根據自身的經驗，編寫測試程序必要的控制措施。(2)分析源程序碼，檢查是否有必要的控制措施。(3)對源程序調用的子程序進行測試，由于一些程序設計人員會在源程序中暗藏子程序，而這些子程序往往用作不合規的會計業務。

2、程序比較法。將實際應用中應用軟件的目標代碼或源代碼與經過審計的相應備份軟件相比較，以確定是否有未經授權的程序改動。具體實施時，可以借助一些系統工具。

3、測試數據法。它是一種模擬某些業務數據，并將測試數據輸入系統，通過系統的處理來檢查系統對實際業務中同類數據處理的正確性以及對錯誤數據的鑒別能力的方法。它主要是對各種共同的細節處理的有效性的測試，例如合理性檢查、溢位檢查、負號檢查、校驗法檢查記錄順序等。審計人員要根據測試的目的確定系統中必須包括的控制措施，應用模擬數據或真實數據測試被審系統，檢查處理結果是否正確。

4、程序追蹤法。使用審計程序或審計軟件包，對系統處理過程進行全方位或某一范圍內的跟蹤處理，得出的結果與系統處理的結果相比較，以判斷系統是否安全可靠。運用該方法可以方便地找到那些潛在的可能被不法分子利用的編碼段。

5、對犯罪行為的可能受益者進行審計調查，審查其來路不明的個人收入。

會計信息安全的風險防范將是一個長期的過程，網絡條件下會計信息失真的風險更加隱秘，風險成因更加復雜，只有認真分析其來源,有針對性的綜合采取各種措施，才有可能最大限度地減小會計失真的風險,把會計信息失真造成的影響和損失控制在最小程度。

【參考文獻】

[1][美]D.Brent ChapmanBuilding Internet Firewalls． 2003。

[2] Wayne More and David Hen-drey． It Audit Renewal(J)． Internal Auditor2002(4)。．

[3] 李國良：《互聯網對財務會計的影響》，載《北京財會》1999年第11期。

[4] 孫昌言、韓杰，網絡經濟時代審計面臨的挑戰，《財務與會計》，2001年第10期。

[5] 王學龍．內部審計風險初探．審計研究資料，1999．(10)。

[6] 劉元明．計算機信息系統環境下的幾個審計問題[J]．審計研究，2001． (5) 。