網絡環境下會計系統的安全審計

計算機會計信息系統實現網絡處理后，由于系統的入口增多，操作人員和信息使用者干預系統的機會增大，系統面臨的安全隱患也必然增多。尤其隨著Internet的應用，外部日益擴大的網絡環境對會計信息系統本身及其安全又將產生更大的影響，不僅影響傳統的會計業務處理及信息的披露方式，而且安全方面會產生更多的不確定因素。除了計算機軟硬件的不安全因素之外，會計信息系統還將面臨人文方面的更大風險。

一、網絡安全審計及基本要素

安全審計是一個新概念，它指由專業審計人員根據有關的法律法規、財產所有者的委托和管理當局的授權，對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證，并作出相應評價。

安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中，控制目標是指企業根據具體的計算機應用，結合單位實際制定出的安全控制要求。安全漏洞是指系統的安全薄弱環節，容易被干擾或破壞的地方。控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規范制度。控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較，確定各項控制措施是否存在、是否得到執行、對漏洞的防范是否有效，評價企業安全措施的可依賴程度。顯然，安全審計作為一個專門的審計項目，要求審計人員必須具有較強的專業技術知識與技能。

二、網絡安全審計的程序

安全審計準備階段需要了解審計對象的具體情況、安全目標、企業的制度、結構、一般控制和應用控制情況，并對安全審計工作制訂出具體的工作計劃。在這一階段，審計人員應重點確定審計對象的安全要求、審計重點、可能的漏洞及減少漏洞的各種控制措施。

1.了解企業網絡的基本情況

例如，應該了解企業內部網的類型、局域網之間是否設置了單向存取限制、企業網與Internet的連接方式、是否建立了虛擬專用網(VPN)?

2.了解企業的安全控制目標

安全控制目標一般包括三個方面:第一，保證系統的運轉正常，數據的可靠完整;第二，保障數據的有效備份與系統的恢復能力;第三，對系統資源使用的授權與限制。當然安全控制目標因企業的經營性質、規模的大小以及管理當局的要求而有所差異。

3.了解企業現行的安全控制情況及潛在的漏洞

審計人員應充分取得目前企業對網絡環境的安全保密計劃，了解所有有關的控制對上述的控制目標的實現情況，系統還有哪些潛在的漏洞。

三、網絡安全審計的主要測試

測試是安全審計實施階段的主要任務，一般應包括對數據通訊、硬件系統、軟件系統、數據資源以及安全產品的測試。

下面是對網絡環境會計信息系統的主要測試：

1.數據通訊的控制測試

數據通訊控制的總目標是數據通道的安全與完整。具體說，能發現和糾正設備的失靈，避免數據丟失或失真，能防止和發現來自Internet及內部的非法存取操作。

2.硬件系統的控制測試

硬件控制測試的總目標是評價硬件的各項控制的適當性與有效性。測試的重點包括:實體安全、火災報警防護系統、使用記錄、后備電源、操作規程、災害恢復計劃等。審計人員應確定實物安全控制措施是否適當、在處理日常運作及部件失靈中操作員是否作出了適當的記錄與定期分析、硬件的災難恢復計劃是否適當、是否制定了相關的操作規程、各硬件的資料歸檔是否完整。

3.軟件系統的控制測試

軟件系統包括系統軟件和應用軟件，其中最主要的是操作系統、數據庫系統和會計軟件系統。總體控制目標應達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權職員的各種破壞行為，保障系統正常運行。

4.數據資源的控制測試

數據控制目標包括兩方面:一是數據備份，為恢復被丟失、損壞或被干擾的數據，系統應有足夠備份;二是個人應當經授權限制性地存取所需的數據，未經授權的個人不能存取數據庫。審計測試應檢查是否提供了雙硬盤備份、動態備份、業務日志備份等功能，以及在日常工作中是否真正實施了這些功能。根據系統的授權表，檢查存取控制的有效性。

5.系統安全產品的測試

隨著網絡系統安全的日益重要，各種用于保障網絡安全的軟、硬件產品應運而生，如VPN、防火墻、身份認證產品、CA產品等等。企業將在不斷發展的安全產品市場上購買各種產品以保障系統的安全，安全審計機構應對這些產品是否有效地使用并發揮其應有的作用進行測試與作出評價。

四、應該建立內部安全審計制度

為提高會計信息處理的準確性、真實性和合法性，強化企業的內部控制制度的落實，防止會計信息系統出現各種安全隱患，應建立起計算機網絡環境下對會計信息系統實施監督的內部審計制度。內部審計是在單位最高負責人的直接領導下，對集網絡、計算機及信息處理為一體的會計信息系統進行職能管理，依照有關法律、法規及內部管理制度，對其合法性、真實性、可靠性和效益性進行相對獨立的監督、檢查與評價的活動。網絡系統內部安全審計是一種實時地發現漏洞的機制，安全審計人員的日常審計工作將為會計信息系統的安全提供有效的保障。

作者簡介：

賈麗（1964- ），女，河北邢臺人，邢臺市印染廠，會計師。