24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

電子審計(jì)軌跡分析

來(lái)源: 杭州檢驗(yàn)檢疫局·孫瑋 編輯: 2005/07/25 09:08:22  字體:
  一、我國(guó)企業(yè)會(huì)計(jì)電算化和管理信息系統(tǒng)
  我國(guó)企業(yè)會(huì)計(jì)電算化和管理信息系統(tǒng)的發(fā)展與我國(guó)會(huì)計(jì)軟件的發(fā)展是基本同步的。從1979年我國(guó)在長(zhǎng)春一汽開(kāi)始進(jìn)行會(huì)計(jì)電算化系統(tǒng)開(kāi)發(fā)探索始,我國(guó)的會(huì)計(jì)軟件應(yīng)用發(fā)展大致經(jīng)歷了非商品化的開(kāi)發(fā)過(guò)程、單一模型會(huì)計(jì)軟件階段、核算型會(huì)計(jì)軟件、管理型會(huì)計(jì)軟件、ERP會(huì)計(jì)軟件(戰(zhàn)略型會(huì)計(jì)軟件)這五個(gè)階段。從目前應(yīng)用的廣泛性和前景看,后三種軟件較為人們所關(guān)注。
  電子審計(jì)軌跡分析
 ?。ㄒ唬┖怂阈蜁?huì)計(jì)軟件
  隨著電算化的普及,財(cái)務(wù)軟件也從帳務(wù)、工資等單項(xiàng)處理,過(guò)渡到深入全面的會(huì)計(jì)核算,如往來(lái)、存貨、成本等,形成了以核算為體系的會(huì)計(jì)軟件。目前國(guó)內(nèi)主要會(huì)計(jì)軟件,都具有這些功能。但核算型會(huì)計(jì)軟件缺乏管理思想,很難與企業(yè)管理信息系統(tǒng)(MIS)融為一體。
 ?。ǘ┕芾硇蜁?huì)計(jì)軟件
  為適應(yīng)經(jīng)濟(jì)和提高企業(yè)自身管理水平,許多企業(yè)迫切需要會(huì)計(jì)軟件能具有資金管理、核算、項(xiàng)目管理核算、財(cái)務(wù)分析、輔助決策的功能,這就形成了管理型會(huì)計(jì)軟件,管理型會(huì)計(jì)軟件突破了會(huì)計(jì)軟件只局限于會(huì)計(jì)核算的界限,向全面參予管理決策發(fā)展。
 ?。ㄈ〦RP會(huì)計(jì)軟件(戰(zhàn)略型會(huì)計(jì)軟件)
  隨著我國(guó)企業(yè)從重視內(nèi)部管理,以提高生產(chǎn)效率、降低成本為核心的生產(chǎn)管理時(shí)代,到面向市場(chǎng)的,以建立全面競(jìng)爭(zhēng)優(yōu)勢(shì)為核心的新管理時(shí)代,會(huì)計(jì)軟件從管理型發(fā)展到戰(zhàn)略型、實(shí)現(xiàn)企業(yè)內(nèi)部物流、資金流與信息流的一體化管理,實(shí)現(xiàn)管理與決策有機(jī)統(tǒng)一,并將適應(yīng)在 Internet/Intranet/Extranet上,實(shí)現(xiàn)與外部資源的統(tǒng)一,會(huì)計(jì)軟件從離散的部門級(jí)應(yīng)用走向整體的企業(yè)級(jí)應(yīng)用。企業(yè)信息化建設(shè)的一個(gè)重要階段是建設(shè)企業(yè)核心的業(yè)務(wù)管理和應(yīng)用系統(tǒng)階段。而在這個(gè)階段最有代表性的是企業(yè)內(nèi)部的資源計(jì)劃系統(tǒng)ERP.ERP是一種科學(xué)管理思想的計(jì)算機(jī)實(shí)現(xiàn),他對(duì)產(chǎn)品研發(fā)和設(shè)計(jì)、作業(yè)控制、生產(chǎn)計(jì)劃、投入品采購(gòu)、市場(chǎng)營(yíng)銷、銷售、庫(kù)存、財(cái)務(wù)和人事等方面以及相應(yīng)的模塊組成部分,采取集成優(yōu)化的方式進(jìn)行管理。 ERP不是機(jī)械的適應(yīng)企業(yè)現(xiàn)有的流程,而是對(duì)企業(yè)流程中不合理的部分提出改進(jìn)和優(yōu)化建議,并可能導(dǎo)致組織機(jī)構(gòu)的重新設(shè)計(jì)和業(yè)務(wù)流程重組。
  從實(shí)際應(yīng)用分析,我國(guó)企業(yè)電子化的水平不一,有的企業(yè)尚未電子化,有的還處于或者單一模型會(huì)計(jì)軟件階段或者核算型會(huì)計(jì)軟件階段。另外,同樣是在ERP 級(jí)的企業(yè),其應(yīng)用水平也有較大差異,有的只是部分甚至單一模塊的應(yīng)用,有的只是將其作為原有信息管理系統(tǒng)的補(bǔ)充,有的網(wǎng)絡(luò)管理相當(dāng)薄弱。但是,企業(yè)電子化發(fā)展的趨勢(shì)是不可逆轉(zhuǎn)的,現(xiàn)在只要有企業(yè)要建設(shè)信息化系統(tǒng),他就會(huì)超越會(huì)計(jì)軟件發(fā)展的低級(jí)階段,而將瞄準(zhǔn)其最新的研究成果上,也就是說(shuō),一旦企業(yè)進(jìn)行電子化的再造,其涉及的領(lǐng)域?qū)⒖涨皬V泛,不僅僅是會(huì)計(jì)電算化,而是產(chǎn)、供、銷、設(shè)備、倉(cāng)儲(chǔ)、運(yùn)輸、設(shè)計(jì)、質(zhì)量乃至人教勞資等企業(yè)管理的各個(gè)領(lǐng)域。目前越來(lái)越多的企業(yè)在加緊企業(yè)管理信息系統(tǒng)的建設(shè),這從我國(guó)財(cái)務(wù)及企業(yè)管理軟件開(kāi)發(fā)供應(yīng)商的規(guī)模上也可反映出來(lái)。我國(guó)財(cái)務(wù)及企業(yè)管理軟件開(kāi)發(fā)供應(yīng)商已涌現(xiàn)出了包括用友、金蝶、安易等一大批公司,據(jù)用友公司介紹,僅用友截止2000年年初,其地區(qū)分、子公司50余家,代理商500余家,客戶服務(wù)中心100余家,行業(yè)覆蓋率100%,用戶數(shù)約20萬(wàn)家,除此之外,還有大量上規(guī)模的企業(yè)在自行開(kāi)發(fā)應(yīng)用。由此可見(jiàn),企業(yè)電子審計(jì)的環(huán)境已逐步形成,且其電子化的色彩將伴隨著電子商務(wù)的產(chǎn)生和發(fā)展而變得越來(lái)越濃。
  二、現(xiàn)行電子審計(jì)軌跡分析
  審計(jì)軌跡,是指在經(jīng)濟(jì)業(yè)務(wù)和會(huì)計(jì)制度核算中通過(guò)編碼、交叉索引和連接帳戶余額與原始交易數(shù)據(jù)的書(shū)面資料所提供的一連串的信息企業(yè)的會(huì)計(jì)系統(tǒng)應(yīng)為每筆業(yè)務(wù)、每項(xiàng)經(jīng)濟(jì)活動(dòng)提供一個(gè)完整的審計(jì)軌跡。審計(jì)軌跡對(duì)企業(yè)管理當(dāng)局和審計(jì)人員都很重要,企業(yè)管理當(dāng)局可使用審計(jì)軌跡來(lái)答復(fù)客戶對(duì)有關(guān)資料的詢問(wèn)或質(zhì)疑,審計(jì)人員可使用審計(jì)軌跡來(lái)驗(yàn)證和追查經(jīng)濟(jì)活動(dòng)。沒(méi)有審計(jì)軌跡,審計(jì)工作將難以開(kāi)展。在電子環(huán)境下,那些原來(lái)審計(jì)人員常見(jiàn)的記帳憑證、明細(xì)帳表、科目匯總表、有個(gè)性的筆跡等有的已消失,有的發(fā)生了變化,變得更加隱藏、更加復(fù)雜,從而加大了審計(jì)工作的難度。當(dāng)前,我國(guó)會(huì)計(jì)軟件的開(kāi)發(fā)正處于從起步到形成產(chǎn)業(yè)的階段,由于考慮到會(huì)計(jì)處理系統(tǒng)的效率和研制成本等原因,軟件開(kāi)發(fā)在設(shè)計(jì)開(kāi)發(fā)中,對(duì)如何充分保留并提供審計(jì)軌跡卻未給予足夠重視。換句話說(shuō),更加詳細(xì)地描述審計(jì)軌跡的會(huì)計(jì)軟件的開(kāi)發(fā)還需進(jìn)一步努力補(bǔ)缺。因此,國(guó)家有關(guān)部門應(yīng)盡快出臺(tái)有關(guān)制度、標(biāo)準(zhǔn),使設(shè)計(jì)者有章可循,審計(jì)人員有標(biāo)準(zhǔn)可依。
  (一)應(yīng)用軟件層
  目前由國(guó)內(nèi)企業(yè)開(kāi)發(fā)的知名財(cái)務(wù)軟件產(chǎn)品包括金蝶、用友和安易、新中大等,其軟件產(chǎn)品也較豐富,一種較為流行的審計(jì)軌跡安排就是上機(jī)日志。各系統(tǒng)隨時(shí)對(duì)各個(gè)產(chǎn)品或模塊的每個(gè)操作員的上下機(jī)時(shí)間、操作的具體功能等情況都進(jìn)行登記,形成上機(jī)日志,以便使所有的操作都有所記錄、有跡可尋。由于上機(jī)日志數(shù)量龐大,為了便于審計(jì)人員有重點(diǎn)地進(jìn)行選擇,迅速發(fā)現(xiàn)問(wèn)題,通常系統(tǒng)還會(huì)提供過(guò)濾功能,這樣,審計(jì)人員就可以選擇那些在符合性測(cè)試中發(fā)現(xiàn)的較薄弱的內(nèi)部控制環(huán)節(jié)進(jìn)行有重點(diǎn)的實(shí)質(zhì)性測(cè)試,提高工作效率。另外,系統(tǒng)還提供了從報(bào)表到憑證和從憑證到報(bào)表的雙向查詢功能,從而建立了一條應(yīng)用程序內(nèi)的審計(jì)軌跡。
 ?。ǘ?shù)據(jù)庫(kù)層
  1、Microsoft SQL Server2000 Microsoft Sql Server是企業(yè)信息管理系統(tǒng)中應(yīng)用較為廣泛的一種數(shù)據(jù)庫(kù)管理系統(tǒng),從版本上看,其產(chǎn)品主要有SYBASE SQL SERVER, Microsoft SQL SERVER4,Microsoft SQL SERVER6,Microsoft SQL SERVER6.5,Microsoft SQL SERVER7.0,Microsoft SQL SERVER2000.微軟公司最新推出的關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)Microsoft SQL SERVER2000是一個(gè)面向下一代的數(shù)據(jù)庫(kù)和數(shù)據(jù)分析系統(tǒng),具有很高的可靠性、可伸縮性、可用性、可管理性等特點(diǎn)。Microsoft SQL SERVER2000是一種典型的具有客戶機(jī)/服務(wù)器體系結(jié)構(gòu)的關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng),他使用TRANS-ACT-SQL語(yǔ)句在客戶機(jī)和服務(wù)器之間傳送請(qǐng)求和回應(yīng)。Microsoft SQL SERVER2000帶有的常用工具包括SQL SERVER ENTERPRISE MANAGER、SQL SERVER OUERY ANALYZER、各類向?qū)Чぞ吆蚐QLSERVER PROFILER.其中我們?cè)趧?chuàng)建審計(jì)軌跡中可以利用的工具是SQL SERVER PROFILER.設(shè)計(jì)者開(kāi)發(fā)SQL SERVER PROFILER工具的目的是為了捕捉系統(tǒng)的活動(dòng),用于分析、診斷和審計(jì)系統(tǒng)的性能??梢岳闷涓櫴录墓δ?,通過(guò)適當(dāng)?shù)脑O(shè)置來(lái)安排我們的審計(jì)軌跡。為了使用這一工具,必須創(chuàng)建一個(gè)跟蹤定義,一旦定義了跟蹤,我們就可以啟動(dòng)、停止、暫停和繼續(xù)運(yùn)行跟蹤。當(dāng)其運(yùn)行時(shí),SQL SERVER PROFILER監(jiān)測(cè)指定服務(wù)器上的SQL SERVER事件,并且為所選的事件捕捉滿足過(guò)濾條件的指定數(shù)據(jù)。當(dāng)這種跟蹤數(shù)據(jù)被捕捉時(shí)可以交互顯示,并且將跟蹤結(jié)果存儲(chǔ)在指定的表或文件中。例如,我們可以在TRACE PROPERTIES窗口的GENERAL選項(xiàng)卡中指定跟蹤服務(wù)器的名稱(應(yīng)當(dāng)將其設(shè)置成財(cái)務(wù)軟件運(yùn)行的數(shù)據(jù)庫(kù)服務(wù)器名),跟蹤文件保存的地點(diǎn)(應(yīng)當(dāng)是一個(gè)相對(duì)安全的地點(diǎn)),跟蹤失效的時(shí)間點(diǎn)等;在EVENTS選項(xiàng)卡中指定希望使用該跟蹤捕捉的事件(如將TSQL事件分類中的STMTCOMPLETED事件選入,則將對(duì)已經(jīng)完成的TRANSACT-SQL語(yǔ)句進(jìn)行捕捉):在DATA COLUMNS選項(xiàng)卡中設(shè)置需要捕捉的數(shù)據(jù)列(如將DATABASENAME,STARTTIME,ENDTIME,TEXT,LOGINNAME, OBJECTNAME等選入數(shù)據(jù)列,則將對(duì)語(yǔ)句正在其中運(yùn)行的數(shù)據(jù)庫(kù)名、事件開(kāi)始的時(shí)間、事件結(jié)束的時(shí)間、當(dāng)前指定的對(duì)象名、用戶登錄系統(tǒng)的名稱、捕捉到跟蹤中的事件類的文本值等進(jìn)行捕捉)。
  一旦設(shè)置完成,就可以運(yùn)行跟蹤了。跟蹤可以是持續(xù)運(yùn)行的,為了不影響系統(tǒng)的性能,我們應(yīng)當(dāng)及時(shí)將相應(yīng)的跟蹤文件備份。當(dāng)然,審計(jì)人員應(yīng)當(dāng)根據(jù)被審計(jì)方的實(shí)際情況作出運(yùn)行跟蹤最佳時(shí)間的職業(yè)判斷以便提高系統(tǒng)的運(yùn)行效率。
  SQL SERVER PROFIIER提供了由用戶定義跟蹤事件數(shù)據(jù)的功能,但這一功能是有限的。一個(gè)更可行更靈活的方案是利用Microsoft SQL SERVER2000提供的觸發(fā)器技術(shù)。
  2、ORACLE8 ORACLE8數(shù)據(jù)庫(kù)從其安全性考慮,設(shè)有多個(gè)安全層,并且可以對(duì)各層進(jìn)行審計(jì),利用ORACLE8自帶的這種審計(jì)功能,我們可以安排所需的財(cái)務(wù)審計(jì)軌跡。ORACLE8具有審計(jì)發(fā)生在其內(nèi)部所有動(dòng)作的能力,審計(jì)記錄可以寫入SYS.AUD$的審計(jì)蹤跡,可以被審計(jì)的三種不同的操作類型包括:注冊(cè)企圖、對(duì)象訪問(wèn)和數(shù)據(jù)庫(kù)操作,利用其中的對(duì)對(duì)象的數(shù)據(jù)交換操作審計(jì)功能,就可以獲得相應(yīng)的審計(jì)軌跡。
  首先我們使數(shù)據(jù)庫(kù)允許審計(jì),必須在INIT.ORA文件中的AUDITTRAIL值設(shè)為DB(允許審計(jì),并將審計(jì)結(jié)果寫入SYS.AUD$表),對(duì)于特定的表(如ACCOUNT表),我們所需要的審計(jì)軌跡主要是插入(INSERT、刪除(DELETE)和更新(UPDATE)操作,可以利用以下的語(yǔ)句來(lái)進(jìn)行:AUDIT INSERT ON ACCOUNT BY ACCESS;AUDIT UPDAT E ON ACCOUNT BY ACCESS;AUDIT DELETE ON ACCOUNT BY ACCESS;上述語(yǔ)句指定了一個(gè)審計(jì)記錄在每次插入、刪除和更新ACCOUNT表時(shí)寫入,審計(jì)記錄結(jié)果可以通過(guò)對(duì)DBA-AUDIT-OBJECT視圖的查詢進(jìn)行顯示。
  如果在SYS.AUD$上儲(chǔ)存信息,就必須先保護(hù)該表,否則用戶可通過(guò)非法操作來(lái)刪除審計(jì)蹤跡,由于SYS.AUD$是存在數(shù)據(jù)庫(kù)內(nèi)的,可通過(guò)以下命令來(lái)保護(hù)該表:AUDIT ALL ON SYSAUD$ BY ACCESS;而且對(duì)該表的操作只能由具有CONNECT INTERNAL能力的用戶來(lái)刪除(例如,在DBA組中)。
  另外,ORACLE8的觸發(fā)器功能也是較強(qiáng)大的,如可以建立A和B兩個(gè)觸發(fā)器來(lái)對(duì)TABI表設(shè)置審計(jì)軌跡,并將軌跡記錄在TAB2、TAB3表中。
  CREAT TRIGGER A AFTER INSERT OR UPDATE OR DELETE ON TAB1 DECLARE STATEMENTTYPE CHAR(1);BEGIN IF INSERTING THEN STATEMENTTYPE:=‘I’;ELSIF UPDATING THEN STATEMENTTYPE:=‘U’;ELSE STATEMENTTYPE:“D‘;END IF;INSERT INTO TAB2 VALUES(SYSDATE,STATEMENTTYPE, USER);END A;CREAT TRIGGER B BEFORE INSERT OR UPDATE OR DELETE ON TAB1 FOR EACH ROW BEGIN INSERT INTO TAB3 VALUES(SYSDATE,USER,NEW.ID,: NEW.RECORDER,:OLD.ID,:OLD,RECORDER);END B;3、其他數(shù)據(jù)庫(kù)ACCESS、FOXPRO等數(shù)據(jù)庫(kù)可以通過(guò)設(shè)置密碼等方式來(lái)限制訪問(wèn),但直接利用數(shù)據(jù)庫(kù)本身來(lái)設(shè)置審計(jì)軌跡是很困難的。
  (三)操作系統(tǒng)層
  1、Windows2000操作系統(tǒng)Windows2000是微軟最近推出的操作系統(tǒng),其覆蓋的用戶面之廣是史無(wú)前例的:從家庭用戶、商業(yè)用戶、筆記本用戶、工作組服務(wù)器、部門服務(wù)器到提供企業(yè)計(jì)算和安全環(huán)境的高級(jí)服務(wù)器到可以提供全球聯(lián)機(jī)電子交易服務(wù)的數(shù)據(jù)中心服務(wù)器。盡管可以分為四個(gè)版本:PROFESSIONAL(專業(yè)版)、 SERVER(服務(wù)器版)、ADVANCED SERVER(高級(jí)服務(wù)器版)和DATACENTER SERVER(數(shù)據(jù)中心服務(wù)器版),然而內(nèi)核和界面是一樣的,區(qū)別僅在于支持的CPU數(shù)量和某些高級(jí)功能和服務(wù)。作為單用戶多任務(wù)的內(nèi)置網(wǎng)絡(luò)功能操作系統(tǒng),Windows2000擁有一個(gè)健全的用戶帳戶和工作環(huán)境,利用其固有的安全機(jī)制,可以安排我們的審計(jì)軌跡。
  Windows2000使用“本地安全設(shè)置”更精確地管理工作組中的用戶和資源,它將安全策略地分成兩類:帳戶策略和本地策略。其中,本地策略包括審核策略、用戶權(quán)利指派和安全選項(xiàng),其中的審核策略就是用來(lái)指定要記錄的事件類型,這些類型涉及從系統(tǒng)范圍的事件(例如用戶登錄)到指定事件(例如某用戶試圖讀取某個(gè)特定文件),這些事件包括成功事件、不成功事件或兼而有之。審核記錄寫入計(jì)算機(jī)的安全日志,通過(guò)“事件查看器”我們可以獲得部分審計(jì)軌跡。
  為了控制各種審計(jì)軌跡文件的數(shù)量,同時(shí)為了保護(hù)重要文件(包括審計(jì)蹤跡文件)不被非法刪除、修改,Windows2000新的“加密文件系統(tǒng)” (EFS提供了一種核心文件加密技術(shù),該技術(shù)用于在NTFS文件系統(tǒng)卷上存儲(chǔ)已加密文件。對(duì)已加密的文件的用戶,加密是透明的。但是,試圖訪問(wèn)已加密文件的入侵者將被禁止這些操作。具體操作時(shí)既可以通過(guò)為文件設(shè)置加密屬性,也可以用命令行功能CIPHER加密文件。當(dāng)然,利用Windows2000的文件和文件夾權(quán)限設(shè)置功能,也可以控制各種審計(jì)軌跡文件的數(shù)量。
  2、UNIX操作系統(tǒng)從安全性來(lái)講,普遍的觀點(diǎn)是UNIX操作系統(tǒng)的安全性能高于Windows操作系統(tǒng),正因?yàn)槿绱?,UNIX操作系統(tǒng)也為我們提供了獲取更多,更精確的審計(jì)軌跡的可能性。UNIX能自動(dòng)生成很多日志文件,這些日志文件可以形成我們的審計(jì)軌跡。
  UNIX的日志分為三類:
 ?。?)連接時(shí)間日志-由多個(gè)程序執(zhí)行,把紀(jì)錄寫入到/var/log/wtmp和/var/run/Utmp,login等程序更新wtmp和utmp文件,使我們能夠跟蹤誰(shuí)在何時(shí)登錄到系統(tǒng)。
 ?。?)進(jìn)程統(tǒng)計(jì)-由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí),為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件(pacct或acct)中寫一個(gè)紀(jì)錄,進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。
  (3)錯(cuò)誤日志-由syslogd執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過(guò)syslog向文件/var/log/messages報(bào)告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志,像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。
  這三類日志中,連接時(shí)間日志是我們從中發(fā)現(xiàn)審計(jì)軌跡的最重要的一類,其中的utmp、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵-保持用戶登錄進(jìn)入和退出的紀(jì)錄。有關(guān)當(dāng)前登錄用戶的信息記錄在文件utmp中:登錄進(jìn)入和退出紀(jì)錄在文件wtmp中:最后一次登錄文件可以用 lastlog命令察看。數(shù)據(jù)交換、關(guān)機(jī)和重起也記錄在wtmp文件中,所有的紀(jì)錄都包含時(shí)間戳。
  另外,一旦啟動(dòng)進(jìn)程統(tǒng)計(jì)子系統(tǒng),UNIX可以跟蹤每個(gè)用戶運(yùn)行的每條命令,從中也可以建立我們的審計(jì)軌跡。
 ?。ㄋ模┚W(wǎng)絡(luò)環(huán)境(網(wǎng)絡(luò)安全)
  電子數(shù)據(jù)是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳輸?shù)?,傳輸?shù)臄?shù)據(jù)是否準(zhǔn)確和安全,涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的可靠性和網(wǎng)絡(luò)系統(tǒng)的安全管理問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)基本成熟,但網(wǎng)絡(luò)上的數(shù)據(jù)傳遞的安全仍然是一個(gè)重要的問(wèn)題,需要審計(jì)人員關(guān)注的是系統(tǒng)數(shù)據(jù)的安全評(píng)價(jià)問(wèn)題。
  對(duì)等網(wǎng)絡(luò)雖然具有廉價(jià)、易于建立、運(yùn)行和維護(hù)等優(yōu)點(diǎn),但對(duì)于企業(yè)級(jí)的聯(lián)網(wǎng)選擇來(lái)說(shuō),這絕對(duì)不是一個(gè)最佳選擇,由于網(wǎng)絡(luò)中每臺(tái)計(jì)算機(jī)地位均等,要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理就缺乏手段,同樣要設(shè)置有效的審計(jì)軌跡就較為困難了。
  對(duì)企業(yè)來(lái)說(shuō),客戶機(jī)一服務(wù)器網(wǎng)絡(luò)是一種較好的選擇,通過(guò)服務(wù)器上的網(wǎng)絡(luò)管理軟件或應(yīng)用軟件,是可以設(shè)置審計(jì)軌跡的。另外,利用網(wǎng)絡(luò)的其他外部設(shè)備,如路由器,也可以安排相應(yīng)的審計(jì)軌跡。
  三、電子審計(jì)軌跡標(biāo)準(zhǔn)的設(shè)想
 ?。ㄒ唬?yīng)用軟件層
  首先,應(yīng)設(shè)置相應(yīng)的安全訪問(wèn)控制,記錄各種訪問(wèn),尤其是數(shù)據(jù)更改、刪除和新增的記錄必須保留。其次,從報(bào)表審計(jì)角度,必須提供從憑證到報(bào)表數(shù)據(jù)和從報(bào)表數(shù)據(jù)到憑證以及憑證與憑證之間的查詢工具。最后,各種電子憑證必須具備防抵賴、防偽造和可追溯性,如可采用可靠的電子簽名來(lái)代替原有的手簽。
  (二)數(shù)據(jù)庫(kù)層、操作系統(tǒng)層和網(wǎng)絡(luò)環(huán)境
  在這些層面,主要是考慮安全訪問(wèn)控制,必須嚴(yán)禁各種非法的未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn),必須記錄數(shù)據(jù)更改、刪除和新增的操作,同時(shí)應(yīng)能自動(dòng)保護(hù)記錄審計(jì)軌跡的文件。
  (三)保護(hù)審計(jì)軌跡
  1、從硬件上保護(hù)審計(jì)軌跡一旦系統(tǒng)投入運(yùn)行,如出于某種原因需要對(duì)某些設(shè)備更換、更改布局、更改設(shè)置或升級(jí),必須將其對(duì)審計(jì)軌跡的影響納入產(chǎn)品選擇或更改的考核范圍。
  2、從軟件上保護(hù)審計(jì)軌跡必須進(jìn)行系統(tǒng)開(kāi)發(fā)審計(jì),系統(tǒng)開(kāi)發(fā)審計(jì)是對(duì)被審單位的會(huì)計(jì)電算化系統(tǒng)的開(kāi)發(fā)、修改及日常維護(hù)過(guò)程的審計(jì)。對(duì)系統(tǒng)開(kāi)發(fā)進(jìn)行審計(jì)的主要目的是確保開(kāi)發(fā)經(jīng)過(guò)授權(quán),開(kāi)發(fā)過(guò)程遵循正確的標(biāo)準(zhǔn),修改部分在使用前經(jīng)過(guò)充分的測(cè)試和記錄。系統(tǒng)開(kāi)發(fā)審計(jì)的內(nèi)容:系統(tǒng)開(kāi)發(fā)審計(jì)包括應(yīng)用程序開(kāi)發(fā)審計(jì)、程序修改審計(jì)和系統(tǒng)維護(hù)及記錄審計(jì)。其中,應(yīng)將審計(jì)軌跡的保護(hù)作為審計(jì)的一項(xiàng)重要內(nèi)容。
  3、從網(wǎng)絡(luò)應(yīng)用上保護(hù)審計(jì)軌跡應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理,保護(hù)審計(jì)軌跡。安全管理是網(wǎng)絡(luò)管理中極其重要的內(nèi)容,它涉及法規(guī)、人事、設(shè)備、技術(shù)、環(huán)境等諸多因素,是一項(xiàng)難度很大的工作;單就技術(shù)性方面的管理而言,依據(jù)OSI安全體系結(jié)構(gòu),可分為:系統(tǒng)安全管理、安全服務(wù)管理和特定的安全機(jī)制管理。其中,后兩類管理分別是針對(duì)涉及某種特定、具體的安全服務(wù)與安全機(jī)制的管理;而系統(tǒng)安全管理則又包括總體安全策略的管理(維護(hù)與修改)、事件處理管理、安全審計(jì)管理、安全恢復(fù)管理以及與其他兩類安全管理的交互和協(xié)調(diào)。
 ?。ㄋ模﹥?nèi)部控制制度
  1、職責(zé)分離除傳統(tǒng)的業(yè)務(wù)執(zhí)行、記錄、批準(zhǔn)職能分離外,程序設(shè)計(jì)、系統(tǒng)維護(hù)、業(yè)務(wù)操作和內(nèi)部審計(jì)各類職責(zé)也應(yīng)分離。
  2、內(nèi)部審計(jì)除傳統(tǒng)審計(jì)業(yè)務(wù)外,還應(yīng)設(shè)置系統(tǒng)安全審計(jì)、系統(tǒng)開(kāi)發(fā)審計(jì)等崗位。
  3、制定各種規(guī)章制度包括數(shù)據(jù)接觸制度、數(shù)據(jù)儲(chǔ)存、備份與更改制度、程序設(shè)計(jì)與更改制度、系統(tǒng)管理與維護(hù)制度和各種內(nèi)部審計(jì)制度。
  展望未來(lái),隨著計(jì)算機(jī)技術(shù)在各個(gè)領(lǐng)域的廣泛應(yīng)用,應(yīng)該說(shuō)電子審計(jì)是大勢(shì)所趨,電子審計(jì)軌跡是我們必須面對(duì)的一大課題。建立、保護(hù)、再現(xiàn)審計(jì)軌跡是我們每一個(gè)審計(jì)工作者的職責(zé),而消除、破壞、隱藏審計(jì)軌跡又是每一個(gè)企圖提供虛假信息者必須考慮的手段,這一對(duì)矛盾的發(fā)展,必將推動(dòng)對(duì)電子審計(jì)軌跡的研究。眾所周知,可以用日新月異來(lái)描繪計(jì)算機(jī)技術(shù)的發(fā)展,因此,對(duì)電子審計(jì)軌跡的研究也將是一項(xiàng)不斷發(fā)展的工作,有待于我們持續(xù)地研究。
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)