| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
随着计算机辅助审计工作的开展,越来越多的审计电子资料需要管理。当前,审计部门对电子资料还没有形成制度化、规范化的管理。同时,由于电子数据存储介质的特殊性、计算机病毒的破坏性以及网络环境的不安全性,若不采取相应措施,在保管过程中极易造成资料的损坏、丢失和泄密,因此,有必要对审计中电子资料的安全管理规范及防范方法进行研究。
一、审计电子资料的法律地位
从电子数据资料的作用来看,被审计单位的电子数据作为审计证据之一,它在计算机辅助审计中发挥着越来越重要的作用。《审计机关审计证据准则》(2000年审计署令第2号)第三条明确规定,被审计单位电子数据作为审计证据,它在证明事项真相、形成审计结论等方面起到重要的作用。因此,保管好审计中的电子资料,在一定程度上也就保证了审计工作质量。
二、审计电子资料面临的风险
从电子资料的存储介质来看,电子资料属于无纸化资料,它存贮在各种磁性介质中,而磁性介质容易遭受破碎、形变等物理损毁。如果电子资料的存储介质遭受损毁,电子资料内容也不可避免地遭受破坏。而电子资料一旦受到损害,将导致审计证据不足,进一步导致审计工作的无法进行。
从审计人员方面看,电子资料具有数据高度集中的特点,它容易泄漏秘密。电子资料是以数字编码的形式存储在各种磁性介质中,而磁性存储介质不但体积小而且存储容量大。一张光盘或一个U盘就可以装下一个被审计单位的全部财务电子数据资料,因此电子资料非常容易携带。而电子资料一旦泄漏,被审计单位的商业或财务机密将被泄漏,审计部门将承担相应的法律责任。
从计算机软件系统的特点看,计算机病毒极易相互传播,病毒的发作将导致数据资料的破坏、篡改及彻底丢失,从而给审计工作带来不应有的损失。
从计算机系统的通信方式看,现有的计算机系统大多与网络相连,各种计算机入侵工具大量存在,系统木马及入侵者较易获得系统的密钥,从而绕过系统的认证措施顺利地篡改及盗取审计资料,造成数据泄密,同样会给被审计单位带来经济上的巨大损失。
三、审计电子资料的安全管理
针对审计电子资料管理中存在的安全风险,必须制定相应的管理规范以规避风险。规范包括:电子资料的采集及存放规范、计算机系统操作规范、计算机病毒与入侵防范规范和电子资料的加密规范。
(一)电子资料的采集及存放规范。审计中电子资料作为一种特殊的数据存储形式,与一般的纸制介质相比具有不同的特点。在各种磁性介质中,以磁性为载体的电子资料容易遭受物理损毁。一方面审计中的电子资料对于物理性灾难更加脆弱,一旦出现问题后果更加严重;另一方面保存电子资料的系统硬盘、光盘、U盘等存储介质体积小且易于丢失。为此,在使用过程中要加强对装有审计电子资料的存储介质的管理,防止损坏或丢失存储介质。主要措施为:第一,对于存档的审计电子资料,各单位应设立专职资料管理员。存储介质要做好防火、防潮、防强震、防磨损等防范措施。第二,建立电子资源的冗余存储机制。审计中的电子资料要进行多冗余备份,并且将存储介质分散保管,增强电子资料的安全性。第三,建立电子资料的使用登记制度。审计人员每次使用电子资料时需要向资料管理员提出申请,经主管领导批准,填写使用登记表,使用完毕后要及时将存储介质交还给管理人员,管理人员要进行审计资料的核对验证,并将登记表作为档案材料存档备查,从而促使审计人员增强自觉保护意识。第四,除审计组成员外,禁止其他人员接触和保存审计电子资料。
(二)计算机系统操作规范。对于正在进行的审计工作项目,审计人员需要借助计算机系统进行数据的核对与计算,为保证系统及电子资源的安全性,对于审计计算机系统的操作应建立相应的管理规范,主要体现为:第一,建立计算机操作人员资格管理制度。非资格操作人员的各种错误操作可能造成系统及审计资料的损害和丢失。因此,计算机系统操作人员必须具有国家规定的计算机水平考试资格证书才能够获得计算机审计系统的正常操作资格。第二,建立计算机系统密钥管理机制。没有密钥和不规范的密钥会给无关人员,或是其他恶意的合法人员造成入侵的机会。因此,对每个涉及审计的计算机系统必须设置合理、规范的系统密钥,确保系统的入口安全。
(三)计算机病毒与入侵防范规范。由于计算机病毒的流行及互联网络的开放性,计算机病毒和网络入侵行为将给系统中的电子资料带来篡改、丢失和泄密的严重威胁,给审计机关和被审计单位带来风险。因此,必须制定计算机病毒防范机制,同时对上网的计算机系统进行网络控制。主要措施为:第一,所有涉及审计的计算机系统要安装正版防病毒软件,及时更新病毒库,提高杀毒软件抗病毒的能力;电子资料要及时记录成光盘备份保存。第二,禁止非法拷贝或从网上下载非正规来源的软件,对外来软件要进行病毒检测以后才可以正常安装使用。第三,将特别重要的审计资料放在特殊的硬盘分区中,通过防写入技术进一步加强电子资料的安全性;将通过网络进行传输的电子材料进行加密处理,防止网上的非法窃取;将审计计算机系统所在的网络,通过网络设施进行逻辑隔离;对审计系统所在网段增加路由器,并启用防火墙功能模块、使用网络地址转换(NAT)机制,从而保护审计网段系统不受外部的入侵。
四、审计电子资料安全技术
完善的电子资料安全管理不仅需要严格的管理措施,同时需要安全技术的支撑,才能够实现真正的安全防护。针对不同的审计部门、不同环境和条件,可以选择不同的安全保障技术。现有的安全技术如下:
第一,数据加密技术。数据加密用来保护数据的非法传播,防止非授权用户的访问和使用。现有的数据加密技术主要有基于公钥的加密算法(RSA)和对称密钥加密算法(DES),这些加密技术市场上具有对应的软件和硬件产品。另外,还可以采用常用中的加密功能,如使用Microsoft Access数据库的加密功能、使用WinRAR软件对电子数据进行压缩和加密处理等。
第二,数据恢复技术。自然灾害、病毒发作和黑客入侵都可能造成数据的丢失,这时就需要依靠数据恢复技术进行恢复。数据恢复技术在实践中已经得到较好的应用,具有较多的市场产品,审计部门应该备有数据恢复产品以备不时之需。
第三,磁盘加密技术。在审计工作中,磁盘加密主要是防止电子资料在移动过程中或外带过程中的资料丢失和被盗,通过具有加密和解密功能磁盘(如指纹加密磁盘)的使用以保证移动过程中的保密性。
第四,安全监控与内容审计技术。在网络上安装相关软件,对网络中传输的电子信息的内容进行观察和审计,对于敏感数据的流动给出及时的阻拦,通过网络设备实时切断对应的网络连接,并通过Email等方式通知信息管理员。这种技术主要体现为软件系统,市场上也具有较多的产品可以选择。
五、总结
本文针对审计中的电子资料安全管理进行了研究和思考,分析了当前环境下电子资料的安全风险,提出了电子资料安全管理的实施规范,介绍了相关的安全技术。本文的研究针对审计工作中电子资料的安全风险,提出了电子资料安全管理的实施规范,介绍了相关的安全技术,对审计工作中电子资料的安全管理具有借鉴作用。■ |
|
|
|
