投稿咨询
期刊

教育 医学 经济 金融 管理 科技 工业 机械 农业 电力 水利 文学 艺术 文化 建筑 图书 档案 交通 体育 更多

首页 精选范文 外审员信息安全

外审员信息安全范例6篇

前言:中文期刊网精心挑选了外审员信息安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

外审员信息安全范文1

杭州帕拉迪网络科技有限公司(简称帕拉迪)从金融行业的实际信息安全需求出发,充分吸收近年来信息系统安全保障理论模型和技术架构(如IATF等),全面参考《信息安全等级保护基本要求》、《银行业银行机构内部审计指引》、《商业银行信息科技风险管理指引》等相关指引及法规要求,结合帕拉迪多年的攻击防护经验,为金融行业提供IT运维的统一安全管理与综合审计解决方案。该方案主要解决金融机构信息中心运维管理面对系统复杂性、网络安全性、IT内控外审等而产生的相关问题。这一方案实现了按照行业标准进行金融机构的精确管理、实时监控和警告、事后追溯审计等,为管理人员的运维和决策提供了有效的技术手段。

金融IT内部的运维风险

1. IT内部对服务器的维护和管理依赖于操作系统的口令认证,口令易被转授、窥探以及遗忘等弱点,以及授权不方便等问题造成管理困难,成本较高。

2. 第三方厂商技术支持人员、项目服务商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效地记录其操作过程和维护内容,核心机密数据容易泄露或遭到恶意破坏。

3. 研发部门在系统上线运行后,经常会通过普通的权限登录系统分析软件查看问题,从信息安全角度考虑,这些查询过程必须留有记录。

解决方案技术优势

1. 独创的数据库运维操作审计平台,覆盖主流商业数据库的企业应用和运维操作。

2. 支持RDP图形实时文字识别和文字提取功能。

3. 带来无缝应用的用户体验,所有应用均可本地化展示。

4. 提供文件传输内容审计记录。

5. 契合金融行业安全的三级会同功能(接入会同、密码会同、命令会同)。

解决方案部署收益

1. 规范运维管理。建立统一安全管理和综合审计平台,统一入口、统一认证、统一授权、统一审计;用户可以在平台上基于权限进行访问控制,提高了系统安全性,同时减轻了管理员工作压力,提高了工作效率,确保管理制度的顺利实施。

外审员信息安全范文2

关键词:XBRL 审计 影响 应对措施

中国XBRL系列国家标准自2011年1月1日起全面实施,企业会计通用分类标准在美国纽约证券交易所上市的我国部分公司、部分证券期货资格会计师事务所首先执行,自此我国已全面启动XBRL建设。XBRL的应用和推广将会给财务报告供应链各个环节带来深刻变革,审计作为其中一环势必会受到这一变革的深远影响。

一、XBRL对审计的影响

XBRL对审计的影响主要体现在以下几个方面:

1、 审计对象范围扩大

XBRL环境下审计人员首先面对的是鉴证对象在存在形式、结构组成及传输形态上的改变。被审单位财务信息的XBRL文档可经XBRL格式转换器转换得到或由内嵌XBRL适配器的会计软件、ERP系统直接生成。此时审计人员不仅要关注XBRL财务数据本身的公允性、合法性,还应审计包括生成XBRL数据的整个企业会计信息系统可靠性,这使得审计对象范围扩大。

2、 审计风险增加

XBRL环境下除了传统审计风险外,还包括:一、XBRL文档由被审单位企业财务信息系统生成,审计范围已不限于财务数据,增加了XBRL生成系统的检查风险;二、源自被审单位能否正确运用分类标准,标签与数据的映射是否完整、准确的重大错报风险;三、由于XBRL和企业财务信息系统置于网络环境中,XBRL实例文档面临被非法篡改而导致的安全风险。

3、 审计技术改进

随着XBRL的广泛应用,XBRL成为审计的强大助力。基于XBRL的会计系统审计中,审计人员可以利用XBRL数据接口采集原始数据至审计数据库,变分散数据为数据聚集,利用聚类关联、统计分析等数据挖掘方法从海量数据中发现隐含的、潜在的规律或蛛丝马迹。数据分析广泛应用于审计过程中,而不仅限于实质性测试程序。借助XBRL数据库平台,审计人员既可以“下钻”到被审单位财务信息系统的底层数据,也可以便利地查阅他人利用已公布的财务与业务数据编制的分析报告。

借助于网络,审计取证模式实现了审计资料收集与不同企业信息系统的平台无关性,具有广阔的适用范围。审计人员无需深入了解不同信息系统的具体数据结构即可获得所需审计证据,减少人工干预,从而提高审计效率和正确性。

4、审计报告模式变革

传统的审计从企业会计报告完成到审计报告完稿,往往间隔几个月,时效性不强,且往往发生期后事项,须在审计报告中追加披露。XBRL和网络技术的应用,使随时获取会计信息成为可能,为实时审计的实现铺平了道路。从报告内容和结构来看,现行审计报告对被审单位的预测信息披露较少,随着XBRL应用于审计,审计人员更容易找出企业经营中的“规律”,对企业经营预测做出可靠的判断,使事前预测和控制成为可能,未来预测信息及会计事项在XBRL环境下成为审计鉴证的重点之一。

5、对审计人员的全新要求

XBRL对审计人员的素质和知识技能提出了全新的要求。XBRL的实施需要的是跨会计、IT的复合型人才,审计人员除了要求精通经济、财会、企业管理等多方面的知识,还需要掌握信息系统应用技术、数据库应用技术、互联网环境下的财务报告和鉴证技术(如XML、XBRL、XARL)等;虽然大部分审计工作可能通过相关软件工具即可完成,但拥有复合型知识无疑更有利于对审计工作的展开以及业务的扩展升级。

二、应对措施

XBRL给审计带来了新的发展机遇,同时也提出了挑战,面对挑战需要从技术、资源、人员素质及理论与法规等方面加强建设。

1、 加强软件开发支持

XBRL数据转换及生成、XBRL文档的审核和管理以及自动分析是审计能否应对新变化的关键技术。相关财务软件商应大力开发XBRL嵌入式应用的财务软件,增加ERP或会计软件的XBRL生成能力,实现开发、扩展和管理分类标准、创建和管理报表,以及开发网上电子填报至XBRL数字报告生成一体化解决方案的XBRL平台。进而将研究重点转至数据挖掘、专家系统等方向,从而整体提高审计的智能化应用和整体水平。

2、 建立基于XBRL的公共信息平台

该平台包括公司财务信息、审计信息、税务信息、工商信息等,这些信息在统一的数据库或数据仓库中相互援引,一方面可以实现审计系统与其他监督系统的信息交流,实现数据共享,发挥数据发掘潜力,提高审计效率,降低审计成本。另一方面也可以组建战略合作性的审计网络,强化审计领域的纵向和横向数据传输,资源共享。例如普华永道的内部数据平台可以实现跨界服务,对来自全球超过7万5千家上市公司的信息披露文档进行评估的时候,其员工能够快速地获取、创建、分享和调整用于分析的模型、数据和可视化选项。可想该技术推广到整个注册会计师行业的巨大潜力。

3、 构建多层次的信息安全体系

XBRL格式信息其所有内容都是以数字形式流通于互联网上,因此要保证交流双方进行安全数据传输,需要建立安全保障体系。一是要保障数据存储安全,建立包括如访问控制、数据库安全、防火墙等保障措施。二是要保障信息通讯安全。可以构建审计机构和被审计单位之间安全的VPN通信网络,不但提供及时的安全信息交流而且可以大大节约通信双方的费用,还可通过该VPN网络,配置相应的软件,实现对被审单位的实时监控。此外,切实做好XBRL数据库的备份,以应对网络环境下内外数据资源和信息系统安全隐患。

4、 加强人员的培训和复合型团队建设

为应对XBRL审计的挑战,一方面加强人员的培训工作,培养复合型人才;另一方面构建复合型团队,通过经济、财会、计算机、企业管理等多方面人才的通力配合、默契协作,应对XBRL审计需求。

5、 构建信息系统审计概念框架

XBRL为审计信息化建设搭建了一个平台,然而信息系统审计目前还没有形成规范理论,应当从实践出发,研究XBRL环境下信息系统审计的审计风险、业务流程和智能审计的技术方法。在理论的指导下结合审计实践加强计算机审计准则的确立与完善。例如对xbrl文件和分类标准应用的审计准则、对生成xbrl信息系统的审计准则等。应尽快构建以理论为基础,以准则为指导的计算机审计概念框架。

三、结语

可以预见,XBRL的推广应用将会提高审计效率,减轻审计人员工作负荷,使审计 人员更多地投入对被审单位的深度分析,提高审计工作的附加价值,提高审计信息化水平。XBRL的推广应用为审计智能化、实时化发展提供了良好契机,只有抓住机会,应对挑战,审计才能在新的环境下提升自身的价值,向更高更深远的方向发展。

外审员信息安全范文3

 

由于我国会计审计领域制度的不完善以及会计市场的无序竞争,越来越多的会计从业者抵挡不住诱惑,出现了做假账等行为,导致诚信问题成为会计行业的热点话题。本文立足信息环境的大背景对当前会计审计诚信问题展开讨论,并提出相应解决方案以期能净化当前会计审计领域风气,为企业提供一定的参考。

 

毋庸置疑,诚信问题对会计行业及会计从业者来说十分重要,会计行业从业者的职业操守是会计行业的立业之本,也是会计工作进行过程中的基础。而当今,诸多诚信问题却在挑战会计行业的底线。信息时代的到来给会计工作提供了许多便利,很多企业逐渐成了一套具有整体性和规模性的信息化建设体系,但这同时也为会计作弊操作带来了更多的操作空间,使会计诚信问题更加严峻。我们需要时间来完善相关法律和制度来适应信息时代的到来。

 

1 信息环境下出现会计诚信问题的主要原因

 

1.1 信息不对称是当前诸多会计诚信问题出现的前提

 

会计行业的信息不对称是指在信息环境下,经营者掌握着大量的会计信息,处于有利地位,而其所有者则出现信息不对称处于弱势地位。随着市场经济的发展和成熟,企业内部的所有权和经营权分离是大势所趋,因此在会计审计过程中,信息不对称会给做假账以可趁之机进而导致所有者政策制定的失误。

 

1.2 会计制度不完善

 

市场经济的快速发展以及互联网信息技术的不断成熟极大地改变了原有会计运作方式,致使很多新的经济事项的不断涌出。而我国当前的会计制度和会计体系还相对比较落后,因此导致其在执行过程中较为无力。很多繁杂的规定不但会影响到现有工作的效率,很多领域的空白也为很多从业者提供了钻空子的机会。

 

1.3 缺乏系统、合理的会计监督体系

 

会计审计工作中的监督体系不健全的问题在全国广泛存在,现有的监督体系和工作监督流程缺乏科学行、完善性和时代性,这就导致相关工作人员在进行审计工作时无法可依,无章可循,对有些违法和舞弊行为无法作为。

 

1.4 会计审计工作存在信息安全漏洞

 

计算机和互联网技术的广泛应用极大地提高了当前会计工作的效率,但同时产生了大量的信息安全问题。很多企业和单位在计算机系统上没有必要的保护措施,没有处于保护状态的会计审计数据极易受到黑客或木马的攻击,侵入者非法操控或篡改数据严重影响了会计审计信息的安全。同时一些会计审计人员缺乏防范和安全意识,没有定期更新安全系统或误使计算机中毒等操作也会严重影响到会计数据的安全性。

 

1.5 缺乏良好的诚信环境

 

没有一个良好的大环境,加之违法成本低,很多会计从业者受利益的驱动出现造假问题。诚然,从业者职业道德不高是产生会计审计造假的一个主要原因,但更深层次的原因是诚信行为缺乏支持和保证,政府和行业没有起到良好作用。应该看到,对此类违背诚信现象的纵容就是对守诚信者的打击。

 

2 信息环境下实现会计审计诚信的解决方案

 

2.1推行会计委派制度

 

向企业委派的会计具有身份独立性和工作自主性的特点,此举可有效针对会计审计中的信息不对称问题,有效预防传统审计方式中会计人员迫于周围压力而进行的信息造假,从而在企业内部建立一套会计审计工作新秩序。

 

企业推行会计委派制度能够有效缩减内部监督成本,推动内部控制制度的执行。在这种制度下,外部委派的会计人员进行会计审计工作时能够真实反映实际经济状况,塑造企业的诚信形象。

 

2.2 营造诚信氛围

 

企业在维持正常开支之外应定时开展对会计审计人员的诚信教育,确保从业人员建立诚信意识、遵守职业道德。根据实际,采用有效手段营造诚信为先企业经济环境和管理环境,构建一个“诚信为荣、背信为耻”的企业文化氛围。除了这些长久之计外,还要加大对破坏诚信氛围的打击力度,提高会计审计工作的质量。

 

2.3 营造安全的会计审计信息环境

 

安全的信息环境是确保会计审计工作诚信的一个重要的物质层面,应从以下四个方面入手:一是要推进会计审计工作的信息化,加大会计审计软件和系统的开发和升级,最大程度减少人为篡改信息的可能。二是做好会计审计人员的教育和培训,使得会计审计工作得到数量和质量上的提高。三是要建立起一套完整的会计审计信息系统安全防护体系,通过身份认证、权限设定、功能限制和加密处理等一系列措施防止企业内部经济数据丢失和被篡改。四是要做好会计审计信息系统的防病毒和防黑客工作,防止信息出现安全问题。

 

2.4 完善和健全会计审计工作监督体系

 

在当前的信息环境下,很多人确实意识到会计监督的重要性和必要性,但实施和执行结果却不尽人意,因此需要政府和行业完善和健全相应法律和法规。在法律法规得到完善之后,加大对违规和违法行为的执法力度,做到有法可依,有规可循。

 

3 结语

 

诚实守信是会计审工作的灵魂。在市场经济不断发展的大环境下,那些诚实守信的企业会有更好的前景。

 

诚信原则的建立会使签约成本、契约成本以及监督成本大幅减少,建立良好的社会经济体系,让每个企业都在诚信有序的经济环境中发展,有助于实现企业经济效益的最大化及社会资本的积累。

外审员信息安全范文4

【关键词】 网络环境;XBRL;审计;XARL

一、网络环境对审计的影响

互联网发展至今,电子商务、网络财务、电子货币日益普及,网络环境的形成,给经济生活带来了巨大的变化,极大地促进了社会经济的繁荣与发展,同时也影响着经济活动参与主体――企业的方方面面。以企业会计特征为例,受网络环境的影响主要体现在:会计理论、方法多样化,会计信息实时化、全面化,会计信息系统集成化、智能化和开放化。企业披露会计信息更加低成本、高效率,会计信息也更容易被粉饰。此种新变化,对审计工作提出了挑战。

作为经济警察的审计人员,其传统的审计工作方式已不能很好地适应日益复杂的网络环境。网络环境给审计工作带来了诸多方面的影响。

(一)改变审计信息处理模式

网络环境下,企业所有的会计资料和其他资料都存放于计算机及互联网络中,审计人员可借助软件实时、跨地域收集审计信息,其输出、存储和检查都能充分利用互联网和计算机进行,无需人工过多干预,有效避免人为差错,审计效率能够得到极大提高,一定程度上也能控制、降低审计成本。

(二)拓宽审计线索来源

2009年9月7日,国家审计署公布了关于公开征求《中华人民共和国国家审计准则(2009年版)》意见的通知。其中提出识别重大违法行为的迹象就包括:信息系统中存在舞弊功能、系统漏洞,外部举报或者公众、媒体的负面反映和报道等,这些应被视作审计线索的拓宽。社会审计的审计线索来源也同样受益于网络环境的发展。

(三)电子化审计证据

企业处理交易与事项的凭据都转以电子信息的形式保存,通过网络传输,所有“痕迹”虚拟化,传统意义上的审计证据将会消失。在有利于审计效率提高的同时,审计风险也会提高。财务数据若被企业修改或黑客恶意破坏,将不会留下痕迹。以此作出审计意见,极易产生审计失败。

(四)抬高审计人员素质要求

网络环境下,审计环境、内部控制、审计技术方法的改变,要求审计人员要比以往更多掌握计算机、网络、电子商务等多方面的知识和技能,熟知网络环境企业会计的特点与风险,才能更有效地顺应审计新需求。

二、XBRL对审计的影响

(一)XBRL的技术优势

XBRL (eXtensible Business Reporting Language,可扩展商业报告语言)是一项开放、免费的标准,包括四个主要组成部分:技术规范(Specification)、分类标准(Taxonomy)、实例文档(Instance Documents)和样式表(Style Sheets)。XBRL是一种在世界范围内进行商业数据、财务信息电子交换的语言,能在编制、分析和传输商业报告中提供极大的便利,能低成本、高效率地提供及使用财务数据。XBRL通过给商业报告、财务报告中的数据增加特定标签和分类,使得计算机能够自由生成所需财务报告,并且通过内置的验证机制,使得计算机能够分析财务数据。

1. 开放性。XBRL是由非营利性的XBRL国际组织推行的国际化、无国界、开放资源的标准,可以由感兴趣的个人或组织自由使用,同时兼具简单、结构丰富、自定义标签以及处理多国语言等特性。

2. 互通性。互通性是XBRL的关键特性。XBRL制定了统一的数据格式标准,用于商业信息(不单是财务信息)的披露。使用者可依据各自需求获取所需格式的财务报告。这些不同内容、格式的报表,来源于同一份XBRL文档,减少了数据在不同表格间相互引用的差错。

3. 实时性。XBRL可以实时提供各种商业信息,真正做到随取随得,满足使用者在时间上的严格要求。

4. 自控性。XBRL具有内置的自动控制质量的功能,即它对数据之间的勾稽关系具有自动校验功能。

(二)XBRL对审计的积极作用

基于XBRL能够编制实时财务报告以及用户自定义格式的报告,方便满足利益相关人的各种需要。这些技术优势相应对审计起着积极作用,审计人员可以根据需要随时随地查阅所需信息。

1. 提高审计效率。基于XBRL披露财务信息的一大好处就是无需人工判读不同格式的资料,审计人员通过网络进行审计,可以大大减少数据处理时间,消除人为出错机会,提高审计效率和质量。

2. 实现实时审计。传统审计面向过去实际已经发生的经济业务提供鉴证服务,如今财务报告使用人基于XBRL能够获取实时财务报告,审计人员要随着被审单位经济活动的发生随时进行审计。实时审计就需要审计人员对被审计单位的财务信息进行连续的鉴证,即连续审计。

3. 拓展审计业务。获取基于XBRL的财务报告非常便捷,同时信息量巨大,有的使用者不能充分利用报告信息。此时,审计机构可以充当中介,为使用者提供相应“翻译”服务。同时提供更为广泛的认证服务,对财务信息和非财务信息等作出评价,有助于使用者进行决策。

4. 延伸审计对象。随着XBRL的推广运用,财务数据与业务数据无缝连接,审计对象延伸至整个企业信息系统。此时审计不再局限于财务报告部分,对信息系统的安全可靠也要作出评价,以降低审计风险。

(三)XBRL的潜在风险

基于XBRL的财务报告给审计带来了种种便利,但是从技术上讲,XBRL主要从技术层面规范了财务报告信息的表达,利于财务信息的高效利用,然而并不能杜绝财务信息造假。XBRL仍然存在可靠性和安全性方面的隐患。

1. XBRL由XML延伸而来,像其他XML中未保护的数据一样,XBRL没有对标签提供任何保护。XBRL实例文档以可阅读的文本文件形式存储和网络传递,极易受到非法攻击,很容易被篡改,数据的完整性和可靠性受到威胁。

2. 分类标准是XBRL的重要组成部分,表达了XBRL财务报告数据元的语义。实例文件中财务数据所使用的分类标准是否正确,分类标准与财务信息是否符合,前后年度所用分类标准是否一致,自定义分类标准是否符合技术规范等都将影响财务报告信息的可靠和完整。

3. 分类标准的模式文件和链接库是用来生成和验证实例文档的重要文件,每次生成和验证基于XBRL的财务报告信息时,都需要相关网站验证,所以网络的速度和安全性也影响着XBRL应用的安全与可靠。

三、基于XBRL实施审计的理论框架

网络环境下,会计信息系统较之传统有着较大差别,基于XBRL实施审计,更是与过去不一样,除了要审财务报告,也要审基于XBRL的信息系统。若要充分发挥XBRL的作用,应当对审计过程作出有针对性的强化。审计流程是指审计工作从开始到结束的整个过程,可以归为三个阶段:准备阶段、实施阶段和终结阶段。

基于XBRL实施审计在传统审计流程基础上,针对XBRL特点作出一系列安排,以期实现发挥优势、消除隐患的目标。以下只对有关XBRL的环节侧重阐述,其余略去。

(一)准备阶段

准备阶段具体包括:了解被审计单位的基本情况,签订审计业务约定书,初步评价被审计单位的内部控制制度,确定重要性,分析审计风险,编制审计计划等工作。针对XBRL,侧重检查其规范性水平,以决定是否接受委托。

1. 检查XBRL的各种文档是否符合XBRL所使用的分类标准。 XBRL组织于2000年7月了适用于美国通用会计准则下的工商企业财务报告的全球首个分类标准。首个国际会计准则分类标准于2002年。当前,许多的分类标准仍处于开发和发展阶段,如2004年深圳交易所基于XBRL的“上市公司定期报告制作系统新版1.0”,采用XBRL2.0标准,并开始尝试信息披露全程电子化的业务模式。审计人员应该收集被审单位的电子数据并对其使用的技术规范、分类标准、实例文档等进行检查,找出与实例文档相对应的行业特定的分类标准,检查实例文档中标记的合法性、连接的安全性和实例文档的可靠性。

2. 初步评估内部控制。基于XBRL的信息系统内部控制主要分为应用控制、一般控制和管理控制等三个方面。在审计准备阶段需要对被审计单位内控制度进行评价,包括信息系统的内控制度。要对信息系统的内控制度进行评价,审计人员必须验证内部控制系统是否存在,并能提供令人满意的证据,证明其能否有效发挥作用。在信息系统中,应着重检查控制系统资源的存取、修改与记录,确认处理过程是否准确,以保障信息系统免遭非法操作或计算机病毒攻击。对于内部控制规范的被审计单位,予以接受审计委托。

(二)实施阶段

实施阶段具体包括:符合性测试、实质性测试等工作。在应用XBRL环境下,支持财务报告认定的所有审计证据都表现为电子形式,传统审计的实质性测试将不再适用。审计应着力于控制程序和信息系统的评价上。应用计算机技术的审计方法并不等同于信息系统审计,在信息系统审计过程中,仍然需要运用大量的手工审计技术。

1. 数据处理环节。应用XBRL后,审计人员应增加信息系统的控制性测试,审核分类标准及标签控制程序的设计和执行。验证控制程序的有效性就能保证账户余额的正确性。除财务数据外,还应对信息系统提供的业务信息也要进行分析。例如每月的工资总数、某阶段的付款清单和订货信息等,要弄清基本的交易情况,并一直追踪到信息源,保证其与财务信息的一致性。

2. 数据传输环节。在信息系统中,有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互传输,传输过程中可能会出现差错,尤其在手工重新录入的情况下。此环节更加需要认真核查XBRL所使用的分类标准是否正确;所使用的标签与财务信息是否符合;财务信息是否被合理的标记等等。可以应用XARL消除风险。XARL(eXtensible Assurance Reporting Language,可扩展验证报告语言)由J.E.Boritz和W.G.No提出,在网络环境中信息安全问题日益凸显的情况下,XARL可以避免XBRL无法提供验证信息的弱点,用以增强XBRL文档中财务信息的可靠性。

(三)终结阶段

终结阶段具体包括:编制审计报告,作出审计结论和决定,审计资料的整理归档等工作。针对XBRL,侧重关注基于XBRL财务报告的完整性和有效性。

应用XBRL生成某一时点/时期的财务报告,审计人员应当重点检查编制过程是否遵守既有的批准程序,确保所有数据或新的科目都已被标记,这些数据都符合既定的分类标准。若财务报告是应用XBRL以实时方式连续生成,应增加额外程序来保证标记数据发生变动后的数据完整性和准确性,审计人员应确认和评估这类控制程序的有效性,实现连续审计,出具审计报告。

四、小结

网络环境下,XBRL得到大力推广,其应用会对审计过程产生巨大影响。在这种状况下进行审计,审计人员应分阶段对被审计单位提供数据的可靠性、相关性进行验证;更好地理解在信息系统中的业务流程和相关控制活动;更多关注连续审计环境下信息系统实时内部控制活动的有效性。

【参考文献】

[1] 李为.XBRL――监管的革命[J].证券市场导报,2009(1):4-8.

[2] 高斌.一种可以提供验证信息的会计报告语言――XARL[J].中国会计电算化,2004(5):13-15.

[3] 姜玉泉,丁国勇,施永香.XBRL对审计的影响及其对策[J].审计与经济研究,2004(4):30-32.

[4] 丁红燕.XBRL及对注册会计师审计的影响[J].中国管理信息化,2006(10):77-78.

[5] 张天西,高锦萍.XBRL对审计的影响研究[J].当代财经,2007(6):101-104.

外审员信息安全范文5

【关键词】认证;授权;审计;真实性;完整性

中图分类号:D92 文献标识码:A 文章编号:1006-0278(2013)07-128-02

一、3A安全技术介绍

(一)电子文件档案归档背景

随着电子商务、互联网等技术的发展,在21世纪的今天,产生的电子文件也越来越多,如何实现电子文件档案的归档,也就是安全的移交到档案馆、电子文件信息不受损害,以及电子档案的安全利用,是电子文件保护和使用的重要问题。目前,保护电子文件不被修改、盗窃、删除的技术途径主要是防火墙、存取权限控制、数据加密、数字水印、数字印章等①。

(二)3A安全技术的简单介绍

认证:认证提供了对用户的认证,通常采用用户输入输入用户名与密码来进行权限审。

其原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。

授权:比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。

审计:这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。

验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

二、检察系统中电子档案归档安全性分析及不利因素

(一)影响电子档案安全性的不利因素

1.缺乏集中统一的用户身份认证机制

用户身份认证是建立安全应用系统的第一道防线,各类业务系统和设备管理的用户身份各自为政,互不相同,其认证的方式呈现多样化,用户登陆不同的业务系统可采用完全不同的登陆方式,管理员对于用户的管理在后台是分散的②。

2.缺乏集中统一的资源访问授权机制

各种业务系统对于资源的授权访问方式不同,资源访问授权分散于各类业务系统中,缺乏集中的资源访问授权,使得管理员对于配置细粒度资源访问以及授权往往感到力不从心。

3.缺乏集中统一的日志审计机制

同样,系统资源的访问日志以及系统资源的关键操作审计信息也是分散的,使得管理员对于系统安全时间的分析和追中变得十分复杂。

而3A安全技术可以很好的从认证、授权和审计这三个方面解决上述问题。

(二)电子文件档案归档的安全性分析

电子文件给档案带来了新的挑战,包括容易被删除和被篡改等问题。同时,产生的电子文件形式多样,复杂,量多阱及建立文件的系统的快速变化都是不小的问题。当前,我国主要对电子文件的元数据归档,电子文件的存储介质的安全保护和环境保护、电子文件存取访问控制等技术进行了大量研究。然而,由于电子文件数量的急剧增加和档案信息载体的多样化.档案保护理论与技术研究的范围和重点正在逐步扩大,从广义上来讲,电子文件归档的信息安全保障的内容包括档案信息内容安全、存储安全、系统安全、网络安全、利用安全和管理安全等③。基于以上原因,文章通过分析电子文件在移交归档与提供利用的安全需求和特点,在研究电子文件档案的安全架构基础上,提出一种运用XML技术.以数据安全为核心的具有真实性、完整性、可防篡改验的电子文件归档的安全方案…,实现基于网络的电子文件的安全移交,保证电子文件在移交过程中的真实性、完整性和安全性,以及实现电子文件档案在提供利用时提供合法性的证明,从而达到电子文件移交与利用的立体式、多层次的网络安全保障体系。

三、电子文件归档安全模式设计

上面从理论方面对解决档案归档进行了介绍,接下来,将从简单的模式设计思想方面来介绍如何运用3A技术在档案归档中解决真实性、完整性和不可篡改性这三性问题。设计思想的主体是基于XML的安全模式。

(一)基于XML的电子文件档案归档信息传输安全模式

整个模式可以划分为三个阶段:

第一阶段:归档单位对归档信息的收集处理。

第二阶段:档案馆对归档信息的存储处理。

按照归档方式分为逻辑归档和物理归档两类, 在归档信息收集过程中可分为归档文件与归档信息分离和归档信息封装归档文件两种形式进行。逻辑归档时,只将归档文件的相关信息生成传输信息; 而在物理归档时, 除了背景等相关信息外,在传输信息中还要将文件本身封装进去,从而达到物理归档的目的④。

(二)XML文档加密与解密

文档加密/ 解密包括文档加密、文件解密两过程

1.XML文档加密

(1)数字签名。进行数字签名过程是根据Head结点下的Signature结点信息,采用相应的签名算法(如RSA、哈希算法等)进行数字签名,然后将签名后的信息值封装入SignatureValue结点下,XML签名标准给出了多种可用签名算法。

(2)文档信息加密。文档加密算法可根据需要选择,如DES,RSA等,也可根据需要应用不同的加密强度,其选择是根据Head结点下Encryption结点中的信息。对要加密的结点其下的信息经过加密后封装称EncryptedData结点形式,加密后的信息存放在CipherValue结点下。

2.XML文档解密

(1)数字签名验证。字签名的目的是验证文档信息的发送者的合法性。在接收到文档后,就是对Head结点中的Signature结点下的信息应用解密模块进行数字签名验证。

(2)文档信息解密。文档的解密同样根据Head结点中的Encryption结点信息,利用解密模块对Body结点下的EncryptionData和FormatData结点下相应结点进行解密,得到文档的还原体。

保证电子文件归档的真实性、完整性和有效性除了要制定相应的管理制度管理规范, 更为重要的要靠必要的技术手段,文章针对电子文件归档过程的真实、完整、有效,简单提出了电子文件档案归档的安全模式的构想,为即将建立电子文件档案归档平台打下了坚实的安全基础。

注释:

①李仕宝,许宁,蔡彦虹.电子文件归档与电子档案管理初探[J].农业科技管理,2005,24(5):41-43.

②壬萍国.外电子文件档案长期存取技术追踪[J].情报科学,2002,20(2):213-215.

外审员信息安全范文6

推行电子政务建设是促进政府行政改革的重要手段,对于转变政府职能,推动政府的现代化进程,带动和促进我国社会信息化的发展都有重要的现实意义。电子政务的建设既要考虑目前政府的组织机构与业务现状,又要满足未来电子政务发展需求,这就要求电子政务系统的设计具有系统性、综合性、变更性和可持续性。同时,由于电子政务是依赖于信息技术和网络技术而存在,并通过因特网为企业和个人用户提供服务。因此,电子政务的首要问题是如何保障其信息安全[5]。电子政务的安全问题,从电子政务的概念提出就成为备受关注的问题之一。随着各国电子政务的实践的发展,其安全问题也日益突出,成为制约电子政务进一步发展的首要因素。电子政务的发展关系到国家政治、经济、社会、文化等多个方面,而电子政务的发展需要安全保障。对电子政务安全问题的成因进行分析,是解决其安全问题的前提条件。只有对电子政务所面临的安全风险与隐患进行全面深入的了解,才有可能针对性地做好安全防范工作,建立起有效的安全防范体系和风险控制机制。

1电子政务安全隐患分析

由于电子政务系统具有网络化的业务服务特点,因此很容易遭到各种各样的攻击,如账号被盗用、被监听和截取信息包、搭载木马程序、扫描端口、占用服务器带宽、破坏数据完整性等[5]。电子政务安全隐患的成因,可以从多个方面和多个角度进行分析。从攻击者威胁行为的动机角度分析,可以分为利益驱动、技术驱动、信息驱动等几个方面;从系统防范的角度分析,可以分为技术问题和管理问题。文章主要从技术和管理两方面讨论电子政务安全隐患。技术隐患指电子政务信息系统本身的技术漏洞,是系统自身的技术缺陷;管理隐患则包含内部和外部威胁,来自内部的威胁如内部人员的恶意破坏、管理人员、执行人员的违规和违法操作、内部管理的疏漏等。来自于外部的威胁,如骇客入侵和攻击、病毒传染和蔓延、信息间谍的潜入和窃密、网络攻击和破坏、信息战争及自然灾害等。

1.1技术隐患分析

技术隐患包括基础网络、操作系统和数据库以及应用平台等方面的隐患。在基础网络方面,网络拓扑结构设计不合理或缺乏可扩展性,可能会因某结点遭到破坏而导致整个系统瘫痪,其通信线路也易遭物理破坏和搭线窃听;操作系统和数据库方面,由于目前所使用的计算机网络操作系统,多偏重于考虑系统使用的方便性,其结构和代码设计相对在系统的安全机制上考虑还不够精细,或多或少地存在安全漏洞;数据库管理系统基于分级理念对数据库进行管理,同时数据库管理系统的安全与操作系统的安全相配套,这使得系统的安全出现不稳定因素。应用平台方面的隐患主要表现在“后门攻击”,即在开发电子政务系统的应用功能时,往往留有所谓的“后门”,以便程序员在应用层面进行定期维护或升级,该“后门”一旦被非法人员发现,其破坏性就有可能波及整个系统。

1.2管理隐患分析

管理隐患包括身份和口令、资源管理和制度法规等多方面的隐患。身份和口令隐患主要表现在用户名和口令过于简单,在验证时极易导致合法身份被冒用,采用静态口令很容易在日志记录中被窃取,内部用户身份级别划定不严格也会导致信息使用级别的混乱。资源管理隐患是内部用户使用资源时,对重要文件不加密,重要信息进行长期共享,传递信息时无身份认证,电子邮件大量群发时缺乏信息保密安全意识的资源管理行为。制度法规方面的隐患主要表现在网络信息安全法规目前尚未健全,尤其在涉及到政府各部门横向信息交流时的安全约束机制。多见行政规定代替法规,缺少统一标准,又大多不全面细化,起不到真正监管电子政务信息系统安全的作用。近年来还出现了一种新的安全隐患,即直接在网络上假冒政府或某些职能部门的名义开设网站,以牟取非法利益。随着形势的发展电子政务系统中可能还会出现新的安全隐患,并且这些安全隐患相互作用,彼此纠结,使得系统安全的维护变得非常困难。综上所述,可将电子政务安全主要隐患来源设计如图1所示。在现实中,很多的安全隐患是由内外因素共同引发的。例如病毒的破坏,往往是由于内部管理的疏漏和人员安全实施的薄弱造成的。来自于系统内部和外部的因素,针对上述安全隐患,需要分别考虑不同的安全隐患的各自特点,制定出针对性的专门的防范措施和危机救援措施。文中通过对电子政务的研究和对政府组织管理、行政事务管理等方面的理解,给出了电子政务安全体系结构及其设计。

2电子政务的安全体系

电子政务的安全主要是系统安全和数据安全。电子政务的安全目标就是要在确保电子政务的正常运行的同时,维护电子政务系统的安全,也就是维护信息的安全和网络的安全。从而保证电子政务信息的可用性、完整性、保障性、保密性和不可否认性。2.1电子政务安全体系结构电子政务通过网络系统实现信息资源的共享与交互,提高了政府处理政务的工作效率,提供了政务系统的可扩充性。但同时,随着计算机网络技术的发展和计算机安全问题的日益复杂,增加了电子政务系统安全的复杂性和脆弱性。因此,建立一个稳定可靠的电子政务系统除了加强计算机及网络等方面的技术安全保障措施外,还必须建立健全法制管理措施对系统的日常操作、运行、维护、审计、监督及文档管理进行统一管理。电子政务系统结构中电子政务安全体系是最重要的组成部分之一,是电子政务系统运行的必要保障体系,文中从技术安全和安全管理两方面谈论电子政务的安全问题。安全技术系统涉及物理层安全、网络基础平台安全、信息资源层安全与业务应用层安全。安全管理系统包括政务的安全组织、安全策略、安全标准、安全评估与审计及安全制度,其中安全组织包括决策机构、专家小组、管理机制与执行维护机构等。电子政务的安全体系结构如图2所示。

2.2电子政务安全体系设计

电子政务系统本身是一个非常复杂的系统,其安全问题也是一个综合性很强的问题。要确保电子政务的安全不仅仅是政府各机构、各部门内部的事情,也是一个国家层面的事情,因为政务信息的安全涉及不同国家之间、不同政治集团之间的利益关系,它的安全保障问题需要从国家范围来统一规划,以抵御外来的信息安全威胁。因此,构建一个综合性的安全保障体系,要从安全技术、安全管理、及相关支撑体系等方面提供全方位的保护和保障。安全管理系统和安全技术系统是相辅相成的,在建设电子政务系统时,在对安全技术系统进行设计时,必须同时考虑安全管理系统的建设和实施。安全管理系统与安全技术系统的相互关系如图3所示。在这一安全体系中,安全技术系统是核心问题,它涉及理论研究和技术开发,安全系统应用,及构建综合防护系统的等问题;安全管理系统是安全保障的关键,其中包括安全制度、安全组织、安全审计、安全标准及安全评估等内容的管理。

2.2.1安全技术系统设计

文中对电子政务安全技术系统从物理安全、网络基础平台安全、信息资源安全和应用平台安全等方面进行设计。首先,由于电子政务系统包含着大量的信息资源,拓构非常复杂,不仅关系到政府办公外网与政府非网的连接也有非网与网之间的连接。因此,物理安全首先应保证物理连接方面的安全,防止电力中断、电磁泄漏、保证物理结构合理和可扩展性。对网与非网之间的连接,采用双布线、双交换机、双处理设备,且两套线路和设备之间不进行物理连接;办公单位与数据中心的连接均用防火墙进行逻辑隔离,根据过滤规则来判断网络数据是否能够通过防火墙,用以加强网络之间访问控制,保证可信的数据传输及对非法访问的拒绝;使用基于物理隔离的数据交换技术对政府外网数据进行审查,保证通行可信数据,拒绝非法请求。综合运用防火墙、入侵检测技术、漏洞扫描技术、病毒防治技术和安全审计技术、操作系统安全策略和数据库安全策略构建统一的网络基础平台安全策略,及时更新防毒软件、识别骇客入侵的各种方法和手段、检测内部人员的误操作、资源滥用和恶意行为、多层次安全审计,帮助用户对内外网行为进行追踪、实时的报警和响应。定期或不定期地调用网络安全性分析软件发现网络安全漏洞。由于操作系统的问题是随着时间的延续而逐渐出现的,不是在进行一次安全加固后就能解决,所以要通过采用安全工具及时从网络进行升级、定时扫描,建立完善的分类报表来加强安全。数据库方面可通过及时下载安全补丁、分阶段建立数据库、制定完善的口令策略和修改系统参数等措施来加强数据库安全,从保证数据对象的安全着手保证信息数据的安全。应用安全主要涉及到信息传输的安全、信息存储的安全及对网络传输信息内容的审计等方面,可根据安全构成与其相互关系,建立在PKI(安全存储公钥基础设施,PublicKeyInfrastructure)体系的CA(CertificateAuthority,证书授权中心)身份认证的基础上,通过设计CA身份认证的系统,形成基于公钥密码体制的安全用基础环境,为安全体系上其他应用系统解决内部授权访问、数据完整性、审计、抗否认提供保证。

2.2.2安全管理系统设计

安全管理是一项综合管理,是对电子政务的所有安全问题和环节进行管理,如保证设施的安全、信息的安全和运行过程的安全。本文从管理职能的角度将安全管理系统分为安全组织、安全策略和制度、安全标准、安全评估、安全审计等5个方面。安全组织设计包括如何建立安全决策组织、安全指导小组、安全专家小组、安全领导小组、建立网络日常管理机构、建立维护单元等。安全政策和制度包括制定与政府信息系统安全等级相对应的安全措施不力和要求,对参与系统开发和运行的企业的要求和约束,同时执行系统安全审计与安全问题报告制度与程序。如制定国家公务员捷足先登安全规范、安全策略制定规范、物理层安全建设规范、数字证书管理规范、系统管理规范及应急系统构建规范等。安全等级的分类与等级相应的安全措施,对参与系统开发和运行的单位、人员的要求,系统安全审计,安全问题的报告制度和程序,紧急情况的处理和应急措施有关。安全标准包括制定具体的,针对每一个安全等级的政务信息系统的安全标准、运行的规范、数据和软件的备份、系统的物理安全。制定安全标准,电子政务系统中的信息可参照标准执行确保在该标准下的安全。从而保证安全管理,节约各部门和系统在安全问题上消耗的人力、财力和资源。安全评估主要从政治、经济、技术等方面分析,明确并规范哪些子系统需要专网,哪些子系统需要加密措施,并确定系统中信息资源的安全级别。分析电子政务系统中的各子系统会有哪些潜在的威胁、威胁的严重程度如何、威胁将造成什么样的后果、系统对此到底需要什么样的安全措施。电子政务在建成和运行的过程中,都应接受有关部门的安全审计,以确保政务的安全政策与安全标准得到落实。安全审计主要通过人工审记或由计算机自动分析处理审计的方法,记录和跟踪网络状态的变化,对用户的活动、程序和文件的使用情况进行监控,并对程序和文件的使用及对文件的处理过程等加以记录。

上一篇  健康管理师管理培训

下一篇  煤矿井下安全供电

相关期刊

相关精选