长山药的功效:浅谈计算机审计中的数据安全与保密防范

浅谈计算机审计中的数据安全与保密防范 [武汉市审计局 提供信息] 2007-1-31 9:14:10     国家审计机关作为综合经济监督部门，监督对象涉及各行各业。审计机关在实施审计监督的过程中，涉及大量的商业秘密、国家秘密，同时经整理、提炼后形成大量的工作秘密甚至国家秘密，审计机关在保密工作中处于较特殊的位置，因此保密管理范围广、难度大。做好审计保密工作，是保证审计机关依法独立开展审计工作的前提，是防范审计风险、保障被审计单位合法权益的重要工作。     信息技术的迅猛发展正将人类社会推向一个崭新的信息化时代，从根本上改变着人类社会的生活方式，使经济管理活动发生着革命性的变化，审计工作已呈现出较明显的信息化、电子化、网络化趋势，计算机审计已经成为审计工作中的重要组成部分，随着“AO运用，OA对接”工作的有序开展，计算机技术将成为审计业务操作和审计日常管理的主要技术手段。     审计信息化涵盖了审计技术方法、审计工作方式、审计程序、审计质量和审计管理，乃至审计人员的思维方式和自身素质，它是从根本上改变审计工作面貌的深刻革命。审计工作中，各种审计信息资料常以电子数据的形式被加工、整理、传递和管理，审计工作正向着网络化趋势发展，这些必将加大审计保密工作的难度，如何有效加强信息时代的审计保密工作是我们面临的一个新任务。     一、计算机审计取得的丰硕成果及发展前景     近几年来，各级审计机关在审计署的推动下，在财政预算执行审计、银行审计、海关审计、企业审计等方面广泛尝试了利用计算机审计，大大提高了审计效率，降低了审计风险，确保了审计质量，增强了审计的监督力度，取得了显著成效。     ㈠  计算机审计扩大了审计的覆盖面。在传统的手工审计条件下，因受审计时限的限制，对机关、企事业单位所属部门的抽查面一般只能达到30%，对资产总量的审查一般也只能达到70%，采用计算机审计后，只要被审单位采用会计电算化，抽审的户数和资产总量的覆盖面均可达到100%。如计算机审计的开展，使金融审计人员能够从容应对被审计单位海量的财务、业务信息，从大量原始、繁杂、重复性的手工操作中解脱出来，更有效地推进审计工作的深度和广度。     ㈡  计算机审计强化了对关联事项的监控。应用计算机数据库技术，可将不同单位之间具有同一特征的数据进行拼接和筛选，使重新组合后的数据达到审计（调查）的要求，极大地提高了审计数据的处理效率。如武汉市审计局运用通用审计软件在某保险公司的资产负债损益审计中，陆续研发运用了验证数据、核对帐表、财务分析、重点科目审计、筛选问题等11个审计小模块，查出违规问题金额800多万元；自行设计单位投保个人险的审计模块，仅用了短短几分钟，就从5万多条记录中筛选出160多条单位资金直接以单位名字投保个人险的问题。     ㈢  计算机审计深入了对疑点问题的追踪。通过对审计目标与横向或纵向的审计证据进行相互印证，排除矛盾证据，补充遗缺，找出疑点，形成完整的相关证据组，为审计人员进一步分析和调查数据变动情况提供了方便。如审计署京津冀特派办利用计算机对海关数据进行程序化审计，他们应用数据采集转换、多维数据分析和审计中间表创建等技术，积极利用海关外部数据和海关数据进行关联分析，查出了海关内部工作人员利用职务之便，制作假放行电子信息，再勾结其他海关人员加盖假印章和假签名闯关的走私案件，涉案金额7156万元，偷逃税款2451万元。     ㈣  计算机审计优化了审计资源的整合。利用计算机把从被审单位采集的电子数据按审计目标进行转换或整合，可对被审单位的资金来源与流向进行结构分析，以确定审计重点，提高了审计方案的针对性，极大地优化了审计资源的整合，为审计风险防范提供了技术保障。     ㈤  计算机审计简化了审计取证记录和整理汇总。审计软件可以直接从会计电子帐簿取数，免去了取证、摘抄等等大量繁琐的手工操作；审计软件可对原会计分录和报表自动进行调整，并自动归集到审计报告，减少了审计人员整理、调整会计事项、编制调整会计报表和撰写审计报告的繁琐环节，极大地提高了审计效率。     此外，计算机审计有利于规范审计工作程序。审计软件的运用使审计过程的每一步操作都留下了痕迹，审计程序得到了控制，并形成了的格式化的工作底稿、审计通知书、审计方案、取证记录、审计报告等文书制作的标准化模板，从审计技术手段上促进了审计工作的规范。 目前，中国审计信息化以将进入一个崭新的新阶段，将要经历审计观念、审计方式、审计队伍构成转变的深刻革命，计算机审计的重心正在从办公自动化、电子账簿审计，向电子数据审计、系统内部控制审计和信息系统审计转移，信息技术引起审计方式在变化。     审计机关将运用计算机、数据库和网络等现代技术、方法和手段，实施审计监督，实现审计工作规范化、数字化、网络化的审计信息化系统。借助这一系统，将连通审计机关之间、审计机关与政府各部门之间、审计机关与被审计单位之间的有效网络通信，开发满足审计业务需要的应用软件和信息资源系统，实现信息资源共享，进一步提高审计工作效率和质量，更好地履行审计监督职责，促进政府廉洁高效建设。     二、计算机审计面临的审计风险不容忽视     随着计算机技术在中国的迅猛发展，计算机技术在各行各业的运用也越来越广泛。信息传输数字化，信息交流全球化，信息技术应用普及化，使计算机审计对信息的真实程度、保密程度的要求不断提高；而计算机及其网络系统所固有的脆弱性或人为原因，使因虚假、泄密引起的信息危害程度呈指数增大，针对信息的有意刺探、攻击行为更是审计机关重点防护的事件，审计工作遇到了前所未有的挑战。     一是在计算机审计实施阶段，对电子数据缺乏有效的组织管理。由于电子数据有可复制性的特点，一般情况是审计组成员每人都拷贝一份电子数据，不仅浪费了有限的磁盘空间，而且容易形成电子数据“满天飞”的安全隐患。     二是计算机审计的运用，使审计取证工作的复杂性也随之加大，为了防止问题遗漏，审计人员需要取得更加全面的审计数据，延伸审计、取证的工作量不断增加，涉及的相关部门及单位也越来越多。审计取证的过程同时也是审计保密的过程，由于审计取证的范围的扩大及相关部门、单位数量的增加，加大了审计保密工作的难度。     三是远程现场审计中，审计资料保管分散，集中管理难度大；在某些关键环节、关键问题的审计工作中，审计小组之间及审计组同审计机关之间的通讯有时需要在保密状态下进行，而目前尚缺乏这种保密状态下的通讯机制及渠道，增加了审计保密的工作难度。     四是计算机审计结束后，没有明确专门部门和人员来归档管理使用过的电子数据，造成使用过的电子数据无人问津，致使宝贵的电子数据成了“电子垃圾”。     五是计算机审计尚处于探索发展阶段，普遍存在重使用轻管理的问题，对电子数据的使用管理缺乏有效的安全责任制，对电子数据的安全保密意识需要进一步加强。     上述问题，不仅影响了计算机审计的工作效率，造成不必要的资源浪费，而且还会形成新的审计风险，影响计算机审计质量。     三、计算机信息系统的安全威胁和保护机制     计算机信息系统是指基于计算机技术和网络通信技术的系，是人、规程、数据库、硬件和软件等的有机集合。在信息安全领域，重点关注的是与信息处理相关的各个环节。一方面，信息安全的最终目标是确保信息的机密性、完整性、可用性、可控性和抗抵赖性；另一方面，如何从网络中   获取有用的数据和信息是网络攻击的根本目的。目前，对信息系统的威胁和攻击主要来源于以下三个方面：一是信息系统内部工作人员操作不当，特别是系统管理员和安全管理员出现管理配置的操作失误，可能造成重大安全事故；二是内部管理不严，造成系统安全管理失控；三是来自外部的威胁和犯罪，如黑客、信息间谍和计算机犯罪。     针对信息的保护与反保护等行为一直伴随着信息的整个发展历程。国内外的网络信息安全事件主要表现在系统的安全漏洞不断增加、黑客攻击、计算机病毒肆虐、网络仿冒、木马和后门程序泄密、信息战阴影威胁、白领犯罪等方面。信息安全已经成为社会的焦点问题。     为了保护信息资源被合法用户安全使用，并禁止非法用户、入侵者、攻击者和黑客非法偷盗、使用信息资源，必须要建立一个包括环境安全、计算机和网络技术、信息安全管理制度、国家法律保护和全民安全意识的五重屏障的信息安全保护机制，构建一个物防、技防、人防相结合的全方位、立体化的防御体系，使信息安全风险被控制在可接受的最小限度内。 如下图所示，信息安全的这五重屏障层层相套，形成全方位、立体化的防御体系。