网络安全利与弊的总结范文篇1

[论文摘要]计算机在企业管理及会计信息处理中的迅速普及和广泛应用，给人们带来了极大的方便和效益。计算机加快了企业信息的处理速度，提高了信息的质量，减轻了企业处理数据的负担。但任何事情有利必有弊，信息系统舞弊案件层出不穷，并且造成损失之大触目惊心。在我国，随着计算机应用的普及，信息系统舞弊案件时有发生，因此，认识和了解信息系统舞弊的主要方法和手段。有利于评估与揭示被审计信息系统的风险。

早在20世纪40年代。最早应用计算机的军事和科学工程领域中就开始出现了利用计算机进行犯罪活动。只是较为罕见，未引起注意；到70年代中后期，计算机在全球开始普及，随着操作系统简化，人机对话功能增强，越来越多的人开始使用与掌握计算机；特别是进入90年代后，计算机的应用领域扩展到了银行、保险、证券、商务等领域，计算机犯罪呈滋生蔓延趋势。我国从1986年开始，每年至少出现几起或几十起计算机犯罪案件，近几年利用计算机犯罪的案件以每年30％的速度递增，有专家预言，“在今后的5至10年时间里，我国的信息系统舞弊案件将会大量发生”。因此，信息系统舞弊是当今社会一个值得注意的重大问题。

一、问题的提出

1、信息系统舞弊

目前国内一些学者认为：信息系统舞弊是指破坏或者盗窃计算机及其部件，或者利用计算机进行贪污、盗窃的行为。Www.lw881.com我国公安部计算机管理监察司提出的信息系统舞弊的定义是：以计算机为工具或以计算机资产为对象实施的犯罪行为。前一种舞弊是利用计算机作为实现舞弊的基本工具，利用计算机编程进入其他系统进行骗取钱财、盗取计算机程序或机密信息的犯罪活动。其作案手法多种多样。如利用计算机将别人的存款转到作案人自己的账户中；利用计算机设置假的账户，将钱从合法的账户转到假的账户中去；掌握单位顾客的订单密码，开出假订单，骗取单位的产品等。1979年美国《新闻周刊》曾报道，计算机专家s，m·里夫肯通过计算机系统，把他人的存款转到自己的账户中，骗走公司1000万美元。后一种舞弊是把计算机当作目标，以计算机硬件、计算机系统中的数据和程序、计算机的辅助设施和资源为对象。分为破坏和偷窃等。破坏是因为舞弊者出于某种目的去破坏计算机的硬件和软件，可以用暴力方式破坏计算机的设备，也可以用高技术破坏操作系统及数据，导致系统运行中断或毁灭；偷窃是指舞弊者利用各种手段偷取计算机硬件、软件、数据和信息。

结合以上的论述，本文将信息系统舞弊定义为：以计算机或其相应设备、程序或数据为对象，通过虚构、制造假象或其他不正当的方式欺骗他人，掠取他人财务而实施的任何不诚实的故意行为，也叫计算机犯罪。

2、信息系统舞弊的特点

信息系统舞弊呈现如下特点：智能化；隐蔽性；获利大；跨国化；危害大。

网络的普及程度越高，计算机犯罪的危害也就越大，不仅造成财产损失，而且也会危及公共安全与国家安全。有资料指出。目前计算机犯罪的年增长率高达30％，其中发达国家和地区远远超过这个比率，如法国达200％，美国的硅谷地区达400％。与传统的犯罪行为相比，计算机犯罪所造成的损失更为严重。例如，美国的统计表明：平均每起计算机犯罪造成的损失高达45万美元，而传统的银行欺诈与侵占案平均损失只有1.9万美元，一般的抢劫案的平均损失仅370美元。正如美国inter-pact公司的通信顾问温·施瓦图所说的：“一场电子战的珍珠港事件时时都有可能发生”。因此，计算机犯罪将成为社会危害性最大，也是最危险的犯罪行为之一。

二、信息系统舞弊的一般问题

(一)成因

1、个人因素

大部分涉及信息系统舞弊案件的人属于这类情况。随着社会的快速发展，很多人认为压力越来越大，负担也越来越重，认为收入和生活所需已“入不敷出”；也有人是染上了不良的嗜好，如，而欠下了巨额债务需要偿还；还有人是感到单位领导不公正，对上级不满，而进行伺机报复。如美国一家银行的计算机专业人员，预先输入了一个程序，其含义为：一旦自己的名字在人事档案数据库中查不到(即被解雇)，则对计算机系统进行破坏。当他被辞退后，银行计算机系统不久就陷入了瘫痪。

2、环境因素

一方面单位没有公开的政策。所以有时员工不知道自己的行为是否正确，错误的行为会导致什么样的后果；另一方面，单位没有合理的人事制度，这样有可能会导致企业内部没有良好的沟通渠道。员工的工作业绩没有得到充分的认可，没有合理的报酬。从而降低了员工对单位的忠诚度，信息系统舞弊的案件也就有可能随之发生。

3、单位内部制度不完善

比如单位职责分工不明确，如果由一个人既负责业务交易，又有权接触电子数据处理，那么就存在舞弊的风险；没有严格的操作权限；系统的维护控制不严，如程序员可随时调用机内程序进行修改；系统的开发控制不严格。如用户单位没有对开发过程进行监督。没有详细检查系统开发过程中产生的文档；接触控制不完善，如应当避免控制系统的内部用户或计算机操作人员接触到系统的设计文档；输出控制不健全；传输控制不完善等。

4、被计算机的挑战性所诱惑

现在越是秘密的地方维护安全的技术投入的就越大，对于那些黑客而言，这无疑更能够刺激他们，使他们有种新奇感，并激起其挑战的欲望。美国国防部全球计算机网络平均每天遭受两次袭击，美国《时代》周刊报道，美国国防部安全专家对其挂接在internet网上的12000台计算机系统进行了一次安全测试，结果88％入侵成功，96％的尝试破坏行为未被发现。而且现在越来越多的黑客敢于通过病毒与杀毒软件公司“沟通”。甚至公然“叫板”杀毒软件商。

(二)信息系统舞弊的类型与手段

1、信息系统舞弊的类型

(1)非法占有财产

这类案件最常见，也是较难察觉的，并极有可能造成巨额资金损失。因此不论是对会计师、审计师还是对企业管理者来说。都是最为严重的一种犯罪。这类案件有的是利用掌管计算机系统之便，虚开账户，伪造转账交易，将资金转出。如1997年3月原宁波证券公司深圳业务部的曾定文博士。利用他负责管理电脑程序编制和修改工作。从而掌握密码系统的便利条件，通过密码进入交易程序，在自己所掌握的股东账户上直接下买单，透支本单位资金累计人民币928万元；有的是采用一种“取零技术”，国外也称之为“意大利香肠技术”，每次都将交易的零星小数从总额中扣下，存到一个非法的账户中，这样不易察觉，而且时间久了也可达到一个可观的数目。

(2)非法利用计算机系统

这类案件比较复杂，出现的问题和作案手法也各不相同。例如，有些程序员会借调试程序的时候，非法联通网路，进行非法转账；有些内部设备维修人员借维修之便，偷窃数据，甚至非法拷贝软件包，或者输入某些错误信息，以搅乱数据信息。2001年11月，上海市查获全国首例利用计算机非法操纵证券价格案，案犯为了使自己和朋友获利，在2001年4月16日。通过某证券营业部的电脑非法侵入该证券公司的内部计算机信息系统，对待发送的委托数据进行修改，造成当天下午开市后，“兴业房产”，“莲花味精”两种股票的价格被拉至涨停板价位，造成该证券营业部遭受损失295万余元；有些程序员在设计程序时，会设计某些特定条件。并秘密地安置在计算机系统中，当满足特定条件时。这种破坏程序就会破坏计算机系统的数据或程序。如在美国港口城市米尔沃基市有一个青年团伙，他们以该城市的电话地区代号414自我命名，采用非法手段，将这个代号输入到许多企业、公司和政府的计算机网络中去，虽该代号最终被各单位的计算机系统识别而没有造成重大损失，但也产生了不少麻烦。

(3)非法占有经济信息

利用计算机操作人员或管理人员。买通其收集经济信息：利用计算机系统网络和其他电子技术，窃取侦听到有价值的经济信息，如1997年10月，广州“好又多”百货公司电脑部副科长李建新。利用电脑技能窃取公司商业资料。并高价卖给竞争对手，最后被公安机关逮捕归案。

(4)未经许可使用他人的计算机资源

从事这些活动的人俗称“黑客”。2007年3月30日，美国《华盛顿邮报》报道，全球折扣零售业巨头tjx公司承认。在过去的1年半时间里，公司的金融数据库不断遭到黑客的侵袭。导致超过4500万名公司顾客的信用卡信息和个人资料外泄。黑客获取到这些信息后伪造信用卡大肆消费挥霍：有些黑客会侵入公司的电脑系统中窃取机密资料，然后向受害公司勒索，visa信用卡公司就曾被勒索高达1000万英镑，黑客声明，如果visa公司不合作，就会使其整个系统瘫痪，visa公司有8亿个信用卡客户，每年营业额近1万亿英镑，只要其瘫痪一天，便有可能损失数千万英镑。

2、信息系统舞弊的手段

通常来说信息系统舞弊主要是以计算机为工具，运用违法违规的手段来谋取组织或个人的经济利益。其直接的舞弊对象是信息。在某些情况下。舞弊是专门针对计算机本身的，通过改变计算机的硬件和软件设施，使信息系统暂停、中断，甚至导致整个系统瘫痪。按入侵系统实施犯罪的途径来划分，可将信息系统舞弊的手段分为以下几类：

(1)篡改输入数据舞弊

这是最简单、最安全、最常用的方法。这种舞弊方法并不要求舞弊者有多么高的计算机技能。只需要懂得当数据进入系统时如何伪造、删除、修改就可以了。主要采用的手段包括：虚构业务数据；修改业务数据；删除业务数据。

(2)利用程序舞弊

主要采用的手段包括：木马计；截尾术；越级术；仿造与模拟。

(3)偷窃数据舞弊

在计算机系统中经常出现重要的数据被窃，作为商业秘密泄露给需要这种信息的个人或机构，偷窃数据者从中得到经济利益。主要采用的手段包括：拾遗；数据泄漏。

(4)计算机病毒

这是一种软件，能造成计算机文件丢失、甚至死机。2007年某杀毒软件公司反病毒监测中心的报告显示，3月以来。病毒数量又创新高，3月新增病毒达16000种，感染计算机1300多万台。根据《计算机经济》的报道，最具有杀伤力的病毒和蠕虫是在最近几年给计算机经济造成了重大经济损失的病毒，codered(2001)造成损失26.2亿美元，sincam(2001)造成损失115亿美元。2000年5月1日接连作乱的“iloveyou”病毒通过题为“我爱你”的电子邮件传播，在极短的时间内袭击了亚洲、欧洲和北美洲的20多个国家，侵入电脑电子邮件系统的“爱虫”被激活后，会自我复制并自动发往受害电脑里电子邮件通讯录上的所有地址，造成全世界近4500万电脑操作者受到攻击，因电脑系统瘫痪或关闭造成的损失约为100亿美元。2006年10月16日武汉的李俊编写了“熊猫烧香”，并将此病毒卖给他人，非法获利10万多元，“熊猫烧香”又称“武汉男生”，随后又化身为“金猪报喜”，这是一个感染型的蠕虫病毒，能感染系统中的exe、com、html、asp等文件，还能中止大量的反病毒软件进程并且会删除扩展名为.gho的文件，被感染的用户系统所有.exe可执行文件全部被改成熊猫举着三根香的模样。

除此之外，还有天窗、逻辑炸弹、野兔、乘虚而入、冒充、通讯窃取、后门、陷阱门等舞弊手段。

三、信息系统舞弊的审计与控制

由于信息系统舞弊具有的高智能性、高隐蔽性、高危害性等特点，如何有效地审计和控制变得非常重要。这需要采取多方面的措施。不仅要经常开展信息系统舞弊的审计，掌握各种舞弊类型的审计方法，还要完善对计算机犯罪的立法，完善内部控制制度，加强内部控制的管理，采取技术防范，积极开展信息系统审计，提高人员素质，实现技术、人和制度三者间的有效结合。

1、信息系统舞弊的审计

对信息系统舞弊的审计，首先是对被审计单位内部控制体系进行评价，根据信息系统舞弊的可能途径，找出其内部控制的弱点。确定被审单位可能存在的信息系统舞弊手段。审查时除了借鉴传统的审计方法，如分析性复核、审阅与核对法、盘点实物、查询及函证外，最有效的是根据网络会计系统的特点有针对性地进行审查。

(1)对输入数据舞弊的审计

对输入数据进行舞弊是计算机系统中最常见和最普遍的一种舞弊方法。输入类舞弊通常是利用单位内控的弱点。比如职责分工不明确、接触控制不完善、没有严格的操作权限控制、系统本身缺乏核对控制等。在这种情况下就有可能会发生以下舞弊行为：舞弊人员将假的存款输入银行系统。增加作案者的存款数额；将企业账号改为个人账号以实现存款转移；消除购货业务凭证，将货款占为己有等。审计人员应重点收集输入环节的审计证据。

首先，抽查部分原始凭证，确定业务发生的真实性，判断原始单据的来源是否合法，其数据有无篡改。其次，将记账凭证的内容和数据与其原始单据进行核对，最后再进行账账核对；利用计算机抽样，实行计算机自动校对，将机内部分记账凭证与手工记账凭证进行核对，审查输入凭证的真实性；测试数据的完整性，计算机输出的完整性审计，审计人员模拟一组被审单位的计算机数据处理系统的数据输入，并亲自操作，根据系统能达到的功能要求完成处理过程，得到的数据与原先计算机得到的结果相比较，检验两者是否完全一致；分析性审查，对输出报告进行分析，看有无异常情况，比如与审计有关的账册、报表、上机记录等要打印备查。

(2)对利用程序舞弊的审计

利用程序舞弊的人员通常具有一定的计算机知识，有的甚至精通计算机，这种舞弊有时是属于有预谋的，如利用计算机软件中关于计算保留小数的程序按预谋方法截取，将截尾的数值存入预先设定的账户；或在计算机程序中，暗地编入指令；使用越级法舞弊的人员，通常是能够取得越级程序，并能接触计算机，熟悉掌握计算机应用技术的人员，越级这种大能量的程序，如被作案人掌握，将十分危险，因此主要是防范与控制。对于有预谋的舞弊的预防性审查主要是通过系统开发控制审计。另外还可用特殊的数据进行预测及认真核对源程序。

(3)对偷窃数据的审计

借助高科技设备和系统的通讯设施非法转移资金。对会计数据的安全保护构成很大威胁。通常对偷窃数据的审计的主要的方法有：检查系统的物理安全设施。如网络系统的远程传输数据没有经过加密后传输，很容易通过通信线路被截收，应查明无关人员能否接触信息系统；检查计算机硬件设施附近是否存在有利于舞弊者舞弊的装置与工具。如窃听器与通讯线路上的某部分接触、盒式录音机、麦克风等：查看计算机运行的记录日志和拷贝传送数据的时间和内容，了解和访问数据处理人员，分析数据失窃的可能性，并追踪其审计线索；调查及函证怀疑对象的个人交往，以便发现线索；检查打印资料是否及时处理，暂时不用的磁盘、磁带是否还残留有数据。

(4)对计算机病毒的审计

对待计算机病毒要以预防为主。下面是预防感染病毒的一些一般性控制措施：不要使用来路不明的新软件，不要随意下载不明文件，不要访问不良网站；对磁盘加以写保护；在使用新的软件之前，对其进行检查，以防其中含有病毒：应及时更新操作系统和防病毒软件，并定期对系统进行检查。

2、信息系统舞弊的控制

(1)完善法规体系

加强反计算机犯罪的法制建设是从宏观上控制计算机犯罪的前提。法规不健全与不完善使计算机犯罪的控制较为困难。反计算机犯罪的法制建设可从两方面入手：一是建立针对利用计算机犯罪活动的法律，明确规定哪些行为属于信息系统舞弊行为及其惩罚办法；二是信息系统本身的保护法律，明确计算机系统中哪些东西或方面是受法律保护及受何种保护。目前，我国关于计算机信息系统管理方法的法规有：《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网出入信道管理办法》、《中国公用计算机互联网国际联网管理办法》、《专用网与公用网联网的暂行规定》等。我国在1997年全面修订刑法时，在第285条规定了非法侵入计算机信息系统罪：第286条规定了破坏计算机信息系统功能罪，破坏计算机数据和应用程序罪；第287条规定了利用计算机进行传统犯罪。同时我国计算机安全保护条例的实施细则和金卡工程安全规范等也应尽快制定。并且还应当加大宣传法律知识的力度。以法律的威严震慑违法者。

(2)单位建立完善的内部控制制度

内部控制是企业单位在会计工作中为维护会计数据的可靠性、业务经营的有效性和财产的完整性而制定的各项规章制度、组织措施管理方法、业务处理手续等控制措施的总称。运用计算机处理会计信息和其他管理信息的单位，均应建立和健全电算化内部控制系统。一个完善的内部控制系统应具有强有力的一般控制和应用控制措施，两者缺一不可。

(3)加强技术性防范

技术性自我保护是发现和预防信息系统舞弊的有效措施。计算机安全系统的强度取决于其中最为薄弱的一环。任何一个节点，某一个软件其中的某个服务，某个用户的脆弱口令等都可能造成整个系统的失效。对于攻击者而言。只要找到一处漏洞，攻击往往就会有50％以上的成功率。据统计，约90％的计算机系统都被攻击过，应加强安全技术防范。可以采用数据加密技术。使舞弊者即使获取了数据也很难进行有效的处理；可以通过备份数据，对照数据或进行再处理，以此检查数据有无异样；可以通过设置防火墙来阻断来自外部网络的威胁和入侵。

(4)提高员工素质

网络安全利与弊的总结范文

一、计算机舞弊分析

（一）篡改输入

这是计算机舞弊中最简单最常用的手法。数据在输入前或输入后被篡改了。它通常表现为：虚构业务数据，如将假存款单输入银行的系统中，增加作案者的存款数；修改业务数据；删除业务数据，如从存货系统中删除某个存货数据，消除购货业务凭证。通过对数据作非法改动，导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的，如，转移单位资金到指定的个人账户等。

可能的舞弊者包括：参与业务处理的人员、数据准备人员、源数据提供人员、能够接触计算机但不参与业务处理的人员。

可能的证据包括：源文件、业务文件、计算机可读文件、磁盘、磁带、异常报告、错误的运行结果等。

（二）窃取或篡改商业秘密、非法转移电子资金和数据泄密等

窃取或篡改商业秘密是系统非法用户利用不正常手段获取企业重要机密的行为。借助高技术设备和系统的通讯设施非法转移资金对会计数据的安全保护构成很大威胁。

1、数据在传输过程中，由于使用的是开放式的TCP/IP协议，信息的传输路线是随机的。因而可能出现物理窃听、感应窃听、口令字试探、信息窃取、身份假冒。

2、数据在输出过程中，舞弊者能够把敏感数据隐藏在本来没有问题的输出报告中，采取的方法是增加数据块；控制并观察设备部件运转，如磁带的读和写，打印机打印和跳跃行次的结构所发出的响音，录在磁带上，可以得到二进制信息。

3、采取设备上的特殊配置，可以在CPU芯片中置入无线发射接受功能，在操作系统、数据库管理系统或应用程序中预先安置用于情报收集、受控激发破坏的程序。

可能的舞弊人员除了篡改输出报告为内部用户外，其他多为外来者，更多的是间谍人员。

（三）篡改程序

篡改程序是指对程序做非法改动，以便达到某种舞弊的目的。常见的手法有“陷门”和“特洛伊木马”。

1、陷门

从CPU、操作系统到应用程序，任何一个环节都有可能被开发者留下“后门”，即“陷门”。陷门是一个模块的秘密入口，这个秘密入口并没有记入文档，因此，用户并不知道陷门的存在。在程序开发期间陷门是为了测试这个模块或是为了更改和增强模块的功能而设定的。在软件交付使用时，有的程序员没有去掉它，这样居心不良的人就可以隐蔽地访问它了。

2、在系统中秘密编入指令，使之能够执行未经授权的功能，这种行为叫特洛伊木马。典型的特洛伊木马是窃取别人在网络上的账号和口令，它有时在合法用户登陆前伪造登陆现场，提示用户输入账号和口令，然后将账号和口令保存到一个文件中，显示登陆错误，退出特洛伊木马程序。用户以为自己输错了，再试一次时，已经是正常的登陆了，用户也就不会怀疑。而特洛伊木马已经获得了有价值的信息躲到一边去了。

可能的舞弊者绝大部分是计算机高手，包括系统管理员、网络管理员、系统操作员、网络黑客等。

可能的证据包括：源文件、数据库文件。

二、计算机舞弊的审查

对计算机舞弊的审查除了借鉴传统审计方法，如：分析性复核，审阅与核对法，盘点实物，查询及函证外，最有效的是根据网络会计系统的特点有针对性地进行审查。

（一）篡改输入的审查

1、应用传统方法审查手工记账凭证与原始凭证的合法性。首先，审计人员应抽查部分原始单据，重点使用审阅法确定业务发生的真实性，判断原始单据的来源是否合法，其数据有无被篡改，金额是否公允等。其次，采用核对法，将记账凭证的内容和数据与其原始单据的内容和数据进行核对，审查计算机处理的起点是否正确。最后再进行账账核对。

2、应用抽样审计技术，将机内部分记账凭证与手工记账凭证进行核对，审查输入凭证的真实性。根据被审对象所输入的凭证，通过手工操作，将处理的结果与计算机处理系统的输出结果进行对比，检验其是否一致。

3、测试数据的完整性。审计人员模拟一组被审单位的计算机数据处理系统的数据输入，使该系统在审计人员的亲自操作或控制下，根据数据处理系统所能达到的功能要求，完成处理过程，得到的数据与事先计算得到的结果相比较，检验原来数据与现有数据之间是否保持完全一致。

4、对输出报告进行分析，检查有无异常情况或涂改情况。如与审计相关的账册、报表、操作日志、上机记录等要打印备查。

5、数据的安全性审查。检查数据在输入前后是否接受了各种验证。包括：(1)责任分工：网络电子数据处理部门与用户部门是否职责分离，如果有一个人既负责业务交易，又有权接触电子数据处理，企业就存在舞弊和过失的双重风险；网络电子数据处理部门内部是否有职责分工，在电子数据处理部门内部进行职责划分，其目的是保证不相容职责由不同的人担任，以及保证一个人能对其他人的工作进行检查。(2)经办人员分别负责制作、检查、签字工作，或者实行双重负责制。

6、总量计算，建立输入批控制核算。在这种方法中，审计人员首先根据控制要点选择数据，建立批处理总数，然后将数据输入，将输出结果与批处理总数相核对。采用这一方法，数据被分为小组，加总得到的合计数，即为控制总数。数据可以是正常的，也可以是非正常的。对于非正常数据，可以检查程序对输入错误的更正以及校验的过程，以确认输入校验措施的可靠性。

7、对操作权限进行审查。检查是否有非法越权行为或泄密行为。包括：(1)身份验证。验证访问者的身份是否与赋权者的身份一致。(2)存取控制权限的控制情况。密级——绝密、机密、秘密、内部、敏感。分工——系统开发人员、系统管理员、操作员、用户。

8、检查上机日志。操作系统的日志文件中包含了详细的用户信息和系统调用数据的信息。在网络会计中，由于用户可随机从不同的客户机上登录，主机间也经常需要交换信息，对留下的记录进行分析判断的难度是很大的。做这项工作需要正确的职业敏感和职业判断。

（二）窃取或篡改商业秘密、非法转移电子资金和数据泄密的审查

1、检查计算机硬件设施附近是否有窃听或无线电发射装置。具体包括：是否有窃听器与通讯线路上的某部分接触，是否通过使用盒式录音机、麦克风、AM/FM小录音机、Modem进行感应式被动窃听。

2、检查计算机系统的使用记录，看数据文件是否被存取过或什么时间存取过，是否属于正常工作。通常有IBM公司的SMF法与CCA软件公司的TopSecret程序工具。其主要功能有：记录使用者名、每个程序段的CPU使用时占用的存储容量、使用的机器名、作业终了状态等；数据文件使用记录功能，如所使用的数据文件名、使用者名、数据文件的改变情况等；容量记录功能，记录每个数据文件的数据量等。

3、检查打印资料是否及时处理，暂时不用的磁盘、磁带上是否还残留有数据。

4、检查是否有非法用户登录过此系统。这可以通过系统访问记录或上机日志来找出线索。例如：系统记录记录某一个操作员的访问时间通常是8点至17点，可是忽然出现了23点的访问记录，这就可以怀疑有非法用户登录此系统。

5、调查及函证怀疑对象的个人交往，以便发现线索。

（三）篡改程序的审查

1、程序编码检查法。检查全部或可疑部分源程序，分析是否有非法的源程序，以确定程序员是否留下“陷门”，同时应注意程序的设计逻辑和处理功能是否恰当。这种方法的具体步骤如下：(1)审计人员应根据自身的经验，编写测试程序必要的控制措施。(2)分析源程序码，检查是否有必要的控制措施。(3)对源程序调用的子程序进行测试，由于一些程序设计人员会在源程序中暗藏子程序，而这些子程序往往用作不合规的会计业务。

2、程序比较法。将实际应用中应用软件的目标代码或源代码与经过审计的相应备份软件相比较，以确定是否有未经授权的程序改动。具体实施时，可以借助一些系统工具。

3、测试数据法。它是一种模拟某些业务数据，并将测试数据输入系统，通过系统的处理来检查系统对实际业务中同类数据处理的正确性以及对错误数据的鉴别能力的方法。它主要是对各种共同的细节处理的有效性的测试，例如合理性检查、溢位检查、负号检查、校验法检查记录顺序等。审计人员要根据测试的目的确定系统中必须包括的控制措施，应用模拟数据或真实数据测试被审系统，检查处理结果是否正确。

4、程序追踪法。使用审计程序或审计软件包，对系统处理过程进行全方位或某一范围内的跟踪处理，得出的结果与系统处理的结果相比较，以判断系统是否安全可靠。运用该方法可以方便地找到那些潜在的可能被不法分子利用的编码段。

5、对犯罪行为的可能受益者进行审计调查，审查其来路不明的个人收入。

【参考文献】

[1]金光华等.网络审计[M].上海：立信会计出版社，2000.

[2]王景斯.最新财会电算化手册[M].北京：中华工商联合出版社，2000.

网络安全利与弊的总结范文

关键词：会计信息化;会计造假;内部控制;防治措施

以计算机技术、通信技术和感测技术为代表的现代信息技术的相继问世及其在会计信息处理中的广泛应用,不仅减轻了会计人员的工作强度,加快了会计信息的处理速度,提高了会计信息的效益和质量,更重要的是它拓宽了会计的研究领域、深化了会计理论探索的内涵和外延,同时,为会计实践提供了有利条件,也为加强会计内部控制提供了便利的方法。但是随着会计电算化事业的长足发展,在中外企业、上市公司实行会计信息化的过程中,利用计算机会计系统客观存在的安全缺陷进行的违纪、违法和犯罪活动也有所增加,给企业和社会造成了严重的损失。信息化条件下财务造假与舞弊更具有隐蔽性和欺骗性,那么,如何有效地预防和治理就显得尤为重要了。

一、会计信息化过程中的舞弊和主要作法

会计信息化过程中的舞弊是指某些人员为了达到个人或小团体的目的,在使用和管理会计信息系统时,利用业务便利或者不按操作规程或未经允许上机操作,对会计电算化系统进行破坏、恶意修改、偷窃等故意违反会计职业道德的行为。

会计信息化过程中的舞弊作法主要包括:非法篡改业务数据,在经济业务数据输入计算机之前或输入过程中,通过虚构、修改、删除会计数据等手段来达到舞弊目的;非法篡改财务软件应用程序或数据文件;非法修改、截留、销毁输出的财务报表;其他非法手段,如冒名顶替、盗取密码或利用网络黑客程序非法进入、拍照、拷贝、仿造或利用终端窃取会计信息等。

二、会计信息化过程中舞弊现象产生的原因分析

(一)财务软件自身并不完善,存在着一定的技术缺陷

由于各单位所使用的财务软件开发方式不同,种类繁多,给会计信息化的舞弊行为创造了便利条件。就通用商品化会计软件而言,目前市场上就有数百种之多,开发水平参差不齐,功能结构和用法各不相同,其内容设计和售后服务存在诸多问题。尤其是网上交易、网上会计还存在一些漏洞,容易造成会计信息外泄或财务系统遭到攻击。有些单位自行开发或委托开发的财务软件在系统的安全性和保密性上更是存在很多不足和隐患,如:系统源程序缺少必要的加密措施,容易被修改和盗用;财务软件系统功能不全,很多都缺乏完整的操作日志,权限混乱、责任不清等。

(二)会计信息化过程中的内部控制制度存在缺陷

一是单位领导对会计信息化工作认识不足。很多单位领导也知道会计工作信息化的优越性和必然性,但是对具体的信息化过程不甚了解,对会计信息化给单位财务工作带来的新方式、新问题认识不足,甚至有些领导认为,会计信息化也是换汤不换药,不加改革,还用以往的财务管理办法和管理制度,结果使财务工作一团混乱,漏洞频出。二是缺乏有效地系统操作管理制度和系统维护管理制度。财会部门不能做到专机专用,财务人员不能正确操作计算机,造成系统内部数据的破坏或丢失,影响整个会计信息系统的正常运行。三是财务人员岗位分工不清,没有严格的授权制度。实行信息化后,一些传统的核对、计算、存储等内部会计控制方式均被计算机和程序所替代,应该及时调整,按照软件的要求和单位需要,重新设置会计人员的岗位和权限,做到分工明确、权责清晰,否则就会给别有用心的人以可乘之机。由于内部控制制度薄弱,操作人员可能超越权限或未经授权的人员有可能通过计算机和网络浏览全部数据文件,篡改、复制、伪造、销毁企业重要的数据,以达到舞弊目的。如总账和明细账都由计算机根据审核后的会计凭证自动登记和归集,取消了手工条件下两者的核对工作等等。而不少单位没有及时建立与之相配套的新的内部控制制度对此加以约束。四是会计信息化档案管理制度不完善。信息技术条件下的会计档案管理有其特殊方式,应该建立完善地管理制度,采取新的保密措施。常见的会计信息备份不及时,存储会计档案的磁盘和会计资料不能及时归档,或已经归档的内容不完整,或没有及时制定相应的会计信息化档案保管人员职责等,都可能造成会计档案被人为破坏和自然损坏,乃至单位会计信息泄密。

(三)财务人员计算机和网络知识欠缺

会计电算化事业发展到今天,会计信息的获取与传递大多以网络形式进行,这要求财务人员既要掌握一定的会计专业知

识,还要掌握相应的计算机和网络知识、财务软件的使用技术以及保养和维护技术。而目前一般会计人员对财务软件的应用方法掌握的不够透彻和熟练,对计算机和网络技术的认识不足,对财务软件运行过程中出现的故障不能及时排除,对违规行为不能及时发现、这些都为舞弊提供了便利。

(四)内部审计监管不力

单位内部审计人员工作疏忽大意或对系统了解不透,不能及时发现软件操作中存在的问题,使会计工作中存在的隐患不能及时解决。尤其是上市公司或集团公司,由于组织庞大、系统繁杂、会计信息来往频繁,更容易出现舞弊现象。主要体现在审计人员对会计电算化、信息化工作本身不是太了解,对计算机系统的运行不熟悉,或对远程审计等手段陌生,因此对出现的问题无法做出正确的职业判断。

(五)财政、税务机关等业务主管部门监管不力

目前看来,一些业务主管部门对会计信息化及其带来的一系列问题缺乏有效的管理办法。以税务机关为例,只是利用现代化手段部分地实现了网上或远程报税,却没有启动远程监管或远程稽查,对网上交易、电子商务和网络会计存在的问题缺乏有效的管理办法,对一些单位的舞弊行为不能做到及时发现、及时提醒和警告。

三、会计信息化过程中舞弊的防治措施

现代信息技术在企业管理、财务管理中广泛应用,给组织带来更多发展机遇的同时,利用erp系统或电算化会计信息系统的舞弊现象必然会有所增加,甚至花样翻新。虽然这些舞弊手段具有一定的隐蔽性且有较高的智能化,但是只要我们采取正确的防治措施,就可以起到提前预防和控制的作用。

(一)选择适合自己单位特点的财务软件

在购买财务软件或管理软件时,结合本单位自身的特点和国家的有关规定,尽量购买市场上开发比较成熟的通用商品化软件。购买后,应先进行一段时间的不间断试用,尤其注意整个系统的权限设置、初始化设置、安全性和保密性等关键因素,进行系统完善和维护,发现问题及时与商家联系解决。

(二)提高组织领导对会计信息化工作的认识

财务部门应该利用一切方法,向单位领导说明会计信息化给单位财务工作带来的新方式、新途径和新问题,以及这些问题的解决办法和防治建议,让领导对会计信息化实施的情况做到心中有数,积极调整管理模式和管理思路。

(三)建立健全规章制度,强化防范与控制能力

财政部制定的《会计电算化基本工作规范》中指出:“开展会计电算化的单位应根据工作需要,建立健全包括会计电算化岗位责任制、会计电算化操作管理制度、计算机硬软件和数据管理制度、电算化会计档案管理制度的会计电算化内部管理制度。”这就要求各单位在实现会计信息化的过程中,要针对专业特点,不断完善相关管理制度。既要有严格的授权控制,如通过对不同人员权限的分配、设置密码等手段对上机操作和动用系统资源加以控制,必须对计算机软件开发人员操作权限进行严格的限制,不允许软件开发人员有会计记账、修改、出纳等权限等;又要有完善的内部牵制制度,如按内部牵制原则实行职务分离控制、业务程序控制等合理分工、明确责任、互相制约、互相监督,从而防止工作差错或故意舞弊等现象的发生。

此外,制定有关的操作管理制度、系统维护管理制度和加强会计电算化档案管理等保证系统安全、数据安全、信息完整准确也是必不可少的。

(四)着力培养复合型的财会人才,加强会计职业道德建设

会计信息化条件下,为了更好地发挥会计的管理职能,全社会都应着力培养精通现代信息技术的会计专业管理人才,即“会计——计算机——管理”型的复合型人才,以促进会计电算化事业的顺利发展。同时,财会专业人才的职业道德建设仍需要进一步加强。既要有良好的职业能力,也要有良好的职业操守,是对现代化会计人才的必然要求。

(五)加强审计监督,尤其是内部审计监督

加强审计监督主要包括三个方面:一是对会计信息系统的监督,这要求审计人员对会计电算化、信息化系统本身的每一个环节进行核查、监督,并审核和评估其程序的合法合规性。二是审计监督组织内部控制制度是否严密,第一时间发现内部控制系统的弱点,完善内部控制与牵制制度;三是要提高审计人员的职业素质,加强对舞弊手法的甄别能力,同时要加快审计电算化、信息化的研究、开发和应用,以加强对会计信息化系统审计和全面监管的要求。

(六)加强外部监督