《计算机审计的安全性分析及其防范对策》由会员分享,可在线阅读,更多相关《计算机审计的安全性分析及其防范对策(14页珍藏版)》请在金锄头文库上搜索。
1、计算机审计的安全性分析及其防范对策审计署刚刚发布的“十二五”审计工作发展规划第十五条关于“大力推进电子审计体系建设,努力提高审计工作的信息化水平”任务中提到:要“建成审计信息网络及安全保障系统”。金审工程的不断推进,使每个审计人员都体会到,AO审计系统给审计工作的确插上了腾飞的翅膀,却很少有人意识到,AO审计系统也会给审计工作带来更高的安全风险。计算机审计的安全与防范,越来越显得重要和紧迫,但关于这方面的论述与探研,却如凤毛麟角,笔者这里仅就计算机审计的安全性及其防范对策,作一简要探析,以期引起审计同行的关注和重视。一、影响计算机审计安全的人为因素影响计算机审计安全的人为因素,主要是由违章操作
2、造成的。如计算机操作规程、岗位职责范围、内部牵制制度、各种权限控制、审计业务数据管理等,稍有漏洞,在执行过程中都发生违章操作。1.1 外部人员的非法入侵风险计算机和网络普及之后,很多人精通计算机专业知识,了解计算机处理系统的内部原理,如果没有严格的保密机制和相互监督、相互制约的内部控制机制,有些审计事项关联人,为了达到一定的目的,或盗用他人密码,直接进入操作系统;或破译他人密码,潜入他人操作系统,对程序、数据库和审计数据进行修改或删除。审计机关内部虽然制定了严格的保密机制和相互监督、相互制约的内部控制机制,但目前很少得到严格执行,有些审计机关设置权限密码,所有人共用一个密码;有的虽然按工作权限
3、每人分配了一个密码,但操作人没有及时修改密码;有的审计人员害怕密码被忘记,把密码写在本子上,标明在案头,甚至贴在墙壁上。如此种种,毫无密级可言。1.2审计人员素质的风险AO审计系统包括审计实施系统和审计管理系统、AO审计系统的实施,对审计人员的素质、知识结构提出了新的更高的要求。传统审计在空间、时间和操作流程上具有一定的独立性,而AO审计系统环境下的审计和管理,不仅要掌握扎实的审计专业知识,还要具备相关的管理知识、计算机知识、网络知识和信息安全知识。我们知道,AO审计系统环境下的审计机关岗位设置,一般包括审计人员、主审、审计组长、审计业务部门负责人、审计业务分管局长、总审计师、局长;除审计人员
4、岗位外,其他岗位的审计人员还要分担审计业务、审计法制和审计文书等审核职责;计算机操作人员则要分担AO审计系统的操作、维护、审计等环节的工作职责。AO审计系统任何一个环节的错误操作,都将造成审计数据的不安全,影响整个AO审计系统的运行与安全。在AO审计系统环境下,除原始数据由人工输入计算机外,项目管理、数据采集、审计分析、审计抽样和审计底稿等审计作业的形成,均在计算机程序的控制下自动进行。由于计算机不具有理性的纠错功能,如果原始数据输入有误,或被人为修正、或篡改、或删除,计算机都会将错就错进行,使整个审计系统的数据信息失真或丢失。1.3越级操作的风险所谓越级操作,就是不按照一般的等级次序操作,越
5、过直属的一级到更高的一级进行操作。越级操作除了盗用他人密码入侵的简单越级形式外,还有一种技术性的越级操作。这是一个只在特殊情况下(当计算机出现故障,运转异常时)使用的计算机系统干预程序。这种应用程序能越过所有控制,修改或暴露计算机内容,这种应用程序一般仅限于系统程序员和计算机操作系统的维修人员使用,但也不排除被一些计算机专业的审计人员或外部人员利用。1.4数据共享的风险计算机和网络给审计办公带来了系统开放和数据共享。AO审计系统信息资料,也以其具有的分析、预测等辅助功能为多方共享。有些审计机关不注意AO审计系统信息共享中应注意的问题,没有合理界定共享信息范围,或根本就缺乏信息安全意识,共享信息
6、不设数据加密等保护性限制措施(包括数据的加解密、认证信息的加解密、数据鉴定完整性)、访问控制技术、认证技术、网络防毒等,造成审计信息被盗用、篡改和丢失,审计重大要情以及被审计单位的商业秘密等被无意公开的后果,加大了审计资源共享的风险。 1.5硬件维护的风险在计算机和网络系统运行过程中,出现硬件故障时及时进行故障分析、检查、修复,并由系统维护人员及时进行安装调试的活动。很多审计机关没有指定专门的系统维护人员,或系统维护人员缺乏最基本的电脑硬件维护常识;有些审计人员甚至用系统计算机或审计专用机从事与审计业务无关的工作,安装外来盘甚至游戏软件,系统计算机没有安装高效实时监控的防毒杀毒软件,这些都会增
7、加计算机系统感染病毒的机会。更有甚者,系统维护员缺乏必要的防范意识和措施,对利用计算机犯罪的诸多情形知之不多,控制措施不得力,将审计系统服务器或工作站连接互联网,会增大木马、病毒通过互联网和电子邮件入侵的可能性。1.6档案管理的风险审计电子信息档案在收集过程中,由于操作人员时间观念不强,没有按规定及时或定期把计算机系统中的重要审计资料备份到软盘、U盘、移动硬盘或光盘上,没有脱离原计算机系统进行保存,一旦因意外故障或人为错误造成数据丢失或系统破坏,就不能保证在最短时间、最小损失下恢复原有的审计资料,造成AO审计系统不能正常工作;有的电子档案保管人员不懂存储介质的物理特性,将U盘、移动硬盘或光盘存
8、放在不安全的地方,造成存储盘的损坏,导致备份资料瞬间消失;许多审计机关的电子档案在保管过程中,操作员往往是无备份或单备份保存,且保存在AO审计系统附近,一旦计算机出现系统崩溃或发生硬盘损坏,后果就不堪设想。二、影响计算机审计安全的软件因素我们知道,任何一款软件都是有漏洞的。计算机所进行的逻辑判断和数据处理,如果在应用程序出错的情况下,就会执行错误的操作并得出错误的结果,审计应用软件的操作系统也是一样。AO审计系统,即现场审计实施系统。是一个用于现场环境对电子数据进行审计的操作平台,软件中包含了项目管理、数据采集、审计分析、审计抽样和审计底稿等一系列审计作业的必要工具,目前仍尚处于不断完善、开发
9、和升级之中,软件性能仍然缺乏稳定性,同样容易出现漏洞,给审计造成一定的风险。在实际工作中,AO审计系统是一种在特定环境下应用的工作软件(目前仅限各级审计机关),暂时不会发生盗版现象。但AO审计系统是安装在审计人员的计算机里,必然要与其他软件发生关系,必然要与网络进行连接,所以,AO审计系统同样具有影响安全的软件因素。笔者这里略举几例,有的虽然不是经常发生,但要引起高度警觉。2.1木马程序的风险这是计算机程序中最常用的一种欺骗破坏方法。木马程序是事先在计算机工作程序中编进指令,使之执行未经授权的功能,木马程序并不影响计算机里审计系统的正常进行,只是在系统运行到某一特定部位时,自动执行特殊指令后返
10、回原程序,继续执行后续命令,达到破坏目的。2.2传播病毒的风险计算机病毒是隐藏在计算机系统的一种特殊的程序。计算机病毒已经成为破坏审计数据较严重的情况,其运行对于计算机审计系统具有巨大的危害和破坏性。有些不法分子利用传播计算机病毒,使一些审计机关的计算机系统造成破坏或崩溃。2.3逻辑炸弹的风险逻辑炸弹是计算机系统中适时或定期执行的一种计算机程序,它能确定计算机中促发未经授权的有害事件的发生条件。逻辑炸弹被编入程序后,根据可能发生或引发的具体条件对数据产生破坏性甚至毁灭性的行为。如某工程审计师在审计系统中安放了一个逻辑炸弹软件,一旦他的名字从审计组成员名单文件中被取消(或被解雇),这个逻辑炸弹软
11、件程序,就会自动引发,整个审计系统的全部文件就会被擦除干净。2.4垃圾回收的风险这是在一项作业执行完毕后,通过搜寻取得遗留在计算机系统内的数据碎片或备份信息,然后复原进行的舞弊操作。审计人员的废弃电脑和电脑送修,要特别注意这类的安全风险。北京一男子在替一名导演修电脑的时候,通过数据碎片或备份信息复原,窃取了演艺界众多艺人的通讯录,然后以掌握演艺人裸照为名,向多人发送勒索(每人30万元)短信。2.5乘虚而入的风险这种情况一般发生在计算机联机系统。联机系统中的用户使用终端时,身份由计算机自动验证,一般根据口令的通过准许进入系统。一种是联网运行“远程控制”命令,如远程办公、远程教育、远程协助、甚至还
12、可以远程开机等等。联网运行“远程控制”命令,很容易发生非法入侵的风险。因此,AO审计系统在联网操作时,一定要慎用“远程控制”命令。还有一种是在某隐藏的终端通过设备与同一线路连接,并在合法用户没有使用终端前先行运行,也会发生外部人员的非法入侵。2.6通讯窃取的风险在网络系统上通过设备从系统通讯线路上直接截取信息,或接收计算机设备和通讯线路辐射出的电磁波信号来实施入侵或舞弊。2.7活动天窗的风险这是一种由计算机审计系统程序编制人员有意安排的指令语句。开发大型计算机应用系统,程序员一般要插进一些调试手段,即在密码中加进空隙,以便于日后增加密码并使之具有中期输出能力。在正常情况下,终期编辑,要取消这些
13、天窗,但常被忽视,或有意留下,以备将来接触、修改之用。有些不道德的程序员,为了以后损害计算机系统,会有意插入天窗。2.8设立陷阱的风险作弊者在程序中设立一个秘密的未说明的进入程序模块的入口方法,这个秘密的入口就是陷阱。设立陷阱的意图,是在系统正式投入运行之后,能让设立陷阱的程序员有访问系统的入口。三、计算机审计的安全防范计算机审计的安全,包括静态安全和动态安全。静态安全是指系统中集中存储在中央数据库和各分布式数据库中数据的安全,动态安全是指数据在通信过程中对完整性、保密性、有效性和真实性的保证。目前审计机关应用的AO审计系统,安全防范涉及到四个方面:系统防护技术,包括系统安全和系统管理的有机结
14、合;系统保护技术,包括数据备份、异地存储和远程控制等;系统控制技术,包括数据加密算法和数字签名技术等;系统审计技术,包括内网安全审计技术和外网接入审计技术等。具体防范措施,我们可以从以下几个方面来实现。3.1严密组织管理,防范作弊或窃取信息3.1.1加快计算机审计的法制建设,规范计算机审计安全管理。计算机审计的规范化、制度化、法制化管理,是计算机审计安全运行的基本保证。审计准则要对原有的审计工作规范、管理办法、审计制度,根据计算机审计的要求,做出相应的调整;对AO审计的软件采用标准、软件安全性、具体审计处理方法、审计信息使用规范、AO审计数据保管以及AO审计人员职责分工,都要分别作出具体指导和
15、说明。3.1.2建立制约机制,严格职责范围。内部控制的关键点在于不相容职务的分离操作,对每一项可能引起入侵的审计业务,不能由一个人或一个部门经手到底,必须分别由不同的部门或不同的人来承担。AO审计系统的临机人员,一般可分为系统管理员和计算机审计操作人员,系统管理员负责系统的日常维护,处理系统出现的软件及硬件故障。特权操作员一般由主审、审计组长、总审计师、审计局长担任,一般操作员包括一般审计员、业务主管和审计综合操作员。系统管理员的维护活动,要受到特权操作员和一般操作员的控制和监督。每个审计人员和不同审计业务主管的账户和密码,要对系统管理员严格保密。特权操作员,除了处理正常业务外,还要对系统管理
16、员和一般操作员的日常操作进行控制和监督。这样,把一个完整的审计过程分解成几个部分,由几个人分别承担各自职责。如要违反规程进行非法操作,必须相互串通,这就减少了人为舞弊的机会。3.1.3加强账户密码管理,禁止非法进入系统。账户和密码是限制操作权限、检查操作人员身份的一道防线。加强账户和密码管理,要绝对杜绝不设权限密码、所有人共用一个密码、权限分配密码不作及时修改、公开标明密码等愚蠢做法;杜绝未经授权人员操作审计软件,防止审计人员越权使用软件;设置专人保存上机操作记录,如实记录操作人、操作时间、操作内容等,并与审计软件中的“日志管理”相比较,开展计算机操作日志审计。3.2加强数据管理,防止非法修改和泄漏。3.2.1业务发生控制。采用相应的控制程序,甄别、拒纳各种无效的、不合理的、以及不完整的审计业务。在审计业务发生时,通过计算机的控制程序,对业务发生的合
