随着互联网的飞速发展,人们的生活方式以及经济结构发生了重大变化,网络经济也应运而生。在网络经济不断发展的过程中,企业审计遇到了很多难题,传统的审计模式、审计方法以及审计观念已经无法满足网络经济的要求。本文中,将在对网络经济的内涵特征进行阐述的基础上,分析了网络经济对企业审计带来的深刻影响,进而重点围绕网络经济下的我国企业审计创新进行研究。
【关键词】
网络经济;企业;审计;创新
作为一种经济资源,网络经济在发展的过程中,其高效率、低成本的优势慢慢凸现出来,并逐渐融入人们的日常生活。随着手机等移动设备的普及,近几年来上网人数急剧增加,网上交易量也呈上升趋势,为了进一步扩大产品的影响,很多企业都利用网络来开拓市场,希望能够占据更多的市场份额以增加企业的利润,进而保持其竞争优势[1]。现代企业的组织运作已经离不开以网络为基础的通讯技术以及相关专业知识,由于环境的不确定性大大增加,企业必须提高相关方面的应对能力。这些变化都会导致企业对自身结构进行改革,进而对审计产生较大影响。
一、网络经济的内涵及特征
(一)网络经济的内涵
在理解网络经济时,我们可以从狭义和广义两方面入手。从狭义方面来看,网络经济指的是对信息网络的依靠和利用,是外部网络、内部网络以及国际互联网的政府、组织、个人之间的经济关系总和。从广义方面来看,网络经济指的是一种经济形态,是以信息网络为基础的资源分配。网络经济属于经济的一种,并不与传统经济相互对立,它具有网络的虚拟性,但不是一种纯粹的“虚拟”经济[2]。事实上,作为一种高级经济发展形态,网络经济发源于传统经济,并经由以计算机为核心的现代信息技术进行提升。从广义上对网络经济进行考察后,本文深入研究了网络经济对企业审计所产生的影响。
(二)网络经济的特征
网络经济不同于传统经济,其因互联网的特点具备了自身独特的特点。具体体现在如下几个方面:1.全天候运作。网络经济全天处于运作之中。信息网络是不会停止工作的,网络经济主要依托于网络,因此不会受到时间因素的影响,任何时间都可以进行。网络用户如果想进行商务活动,可以在任意时间登录上网,从而保证经济活动的连续性。2.虚拟经济。此处的虚拟是指经济活动是在网络信息构建的虚拟空间进行的,而不是证券、期货等虚拟经济。3.创新性非常突出。随着信息技术的快速发展,网络经济每天都取得极大的进步,因此我们要不断进行教育培训和研究开发。不仅要对技术进行创新,还要对管理、制度以及观念进行创新。
二、网络经济对我国企业审计的深刻影响
网络经济的快速发展对我国企业的审计带来了深刻地影响,其集中体现在审计环境、审计线索、审计内容以及审计技术等方面。具体如下:
(一)企业所处的审计环境发生变化
电子商务和网络经营都是以IT技术为基础发展起来的,企业可以通过网络完成确认交易、传送发货单以及出口报关等工作,这在很大程度上使得传统的交易模式和管理观念得到了的进步,在减少中间环节的同时,提高了企业运营效率。对于传统企业来说,网络是一个全新的空间,企业可以利用网络大大提高交易速度,并获取海量的交易信息。在借助计算机信息系统的基础上运用先进的管理模式促进企业经营管理的网络化、自动化。为了更加适应时代的进步,审计人员需要快速适应目前的审计环境。
(二)企业审计审计线索发生变革
在电子商务的大背景下,传统审计线索无法满足企业的需求,因此可能会逐渐消失。除了企业内部原始单据,领料单、入库单等原始凭证也都将变为电子信息,此外,经济业务被确认后,也可以利用计算机信息系统进行记账凭证以及登记账簿的自动编制,整个过程完全是自动实现的,有效实现了财务核算的自动化。因此,与传统审计线索相比,在产生与储存特点方面,网络环境下的审计线索得到了极大的改进。
(三)企业的审计内容发生变化
在网络经济环境下,审计的监督职能和以前是一样的,但审计内容发生了一定变化。第一,审计内容新增了对电子商务系统处理、控制功能的审查,这样可以进一步确认交易事项处理的真实有效性,也是传统审计内容所不包括的;第二,电子商务系统已经投入使用,比起在设计阶段对它进行改进,现阶段对其进行修改是非常困难的,因此审计人员需要加入到电子商务系统的设计阶段。
(四)审计技术不断地提升
我们一般使用审阅、对比、分析等方法对手工审计条件下的会计资料进行审计,审计工作都是由人工完成的。但在网络经济的条件下,财务网络化使得审计线索、审计内容以及审计环境都发生了较大改变,因此审计人员必须掌握效率更高的计算机审计技术。网络环境下不会使用纸质审计线索,审计人员一般都是借助计算机对电磁性的审计线索进行跟踪,与传统方法相比,利用计算机对电磁化信息进行的检查、计算和分析显得更加快速有效,计算机可以追踪到很多人眼看不到的信息,从而进一步扩大审计范围,丰富审计内容,提高审计效率,最终全面提高审计质量[3]。
三、网络经济下的我国企业审计的创新
随着网络经济的快速发展,审计也面临着越来越多的难题。传统的审计模式、审计方法以及审计观念已经无法跟上网络经济的脚步。一方面,审计工作需要用新的方法或角度对原有的理论进行解释,进而挖掘出新的内容;另一方面,要根据新的问题和现象进一步确定未来审计工作的基本思路。本文认为网络经济下我国企业审计应着力从入下几个方面予以创新:
(一)开展电子商务审计,创新企业审计的对象
网络经济下,企业审计的对象不断创新。网络经济下企业审计的对象主要针对的是电子商务。电子商务的基础是网络,具体指的是利用网络进行的所有商业活动,电子商务具有成本低、效率高等诸多优点,因此深受广大企业的青睐,为了进一步丰富商贸渠道,很多企业都通过建立商业网站进行网上交易,充分实现了信息网络化。企业审计对象的拓展就是经营活动信息载体的拓展。此外,很多虚拟企业都是依赖于电子商务,它们构成了网络经济中的经营主体,也会被纳为审计对象。一般而言,电子商务审计的主要针对如下几项内容展开:一是,针对网上交易进行审计。为了充分适应信息技术、计算机网络的快速发展,企业都会对自身的运作方式和组织结构进行改革,电子商务业务所占据的地位越发重要起来。电子商务可以帮助企业赢得更多的新兴客户,进一步扩大市场份额,它可以准确记录并分析顾客的喜爱,从而帮助企业减少运作成本,缩短运作周期。由于网络交易的电子单据、凭证不受时间、空间的限制,在审计过程中需要特别注意。客户一般会在使用的网络系统中预留有接口,注册会计师可以利用它与终端联机,并通过模拟处理和网络系统对网上交易进行审查。审计证据是通过网络传递的,其存在性、真实性以及完整性能得到有效保证。这也可以帮助企业合理评价网上交易业务的合法性和真实性。二是,针对网络交易涉及的电子支付的审计。新的支付方式形成以来,就一直在电子商务中占据重要地位。注册会计师在审计电子支付时,首先要明确客户在网上交易中使用了哪些电子支付手段,再结合这些电子支付手段的特性进行合理审计,采取具体的实施方案。在审计数字现金支付方式的时候,要注意数据金是一串数据位,只需要使用一次。审计人员可以利用系统中的中央清算机制对各交易进行审查,检查相同的数据串是否只使用了一次。审计人员还可以通过查看电子交易记录对客户资金账号中的数据清单、往来账目进行审查。此外,网上银行可以被用来核算往来账目。网上支付的核心问题是安全控制,注册会计师应对其给予高度重视,通过了解和审查客户网上交易的安全控制可以有效减少欺诈、篡改、窃听等非法现象的发生,进而有效减少客户的网上资产损失。因此,企业通过审计电子支付帮助客户保护他们的网上资产的真实、完整和安全,电子支付的审计也是网上交易审计的重要组成部分。三是,针对虚拟企业的审计。网络经济下,产生了许多虚拟企业,即互联网企业包括很多国际企业和以信息资源为主导服务的中介企业,这些企业随着网络技术的进步的得到了极大的发展。网络企业也被称为虚拟企业,这些企业形式新颖,并且是虚拟化经营。因此,我们有必要对这样的虚拟企业进行审计。在具体的审计过程中,首先要检查企业的网络技术设备,了解其网络经营环境。虚拟企业的界限较为模糊,而且具有货币电子化以及存续即时性等特征,审计人员需将传统审计方法与网络技术有效结合起来,对虚拟企业进行适时性审查,进而充分实现审计目标。
(二)开展会计信息化审计,实现审计技术的创新
在网络经济时代的大背景下,网络技术在会计领域的运用取得了较大发展,传统的电算化会计发展到了会计信息化阶段。会计信息化系统可以概括为一个人机交互的智能系统,该系统有效结合起了人、计算机系统以及网络系统,具有实时性、集成性、多元性、开放性以及简便性等诸多优点,使得会计工作不在忙于核算,逐渐将重心转移到管理方面。因此,会计信息化审计是必然的。注册会计师可以通过审计客户的接口转换对客户的会计信息直接进行查阅。客户的会计信息一般包括以下内容:非货币形态的信息和货币形态的信息、图形化信息和数字化信息、现代信息和未来信息等等。会计注册师审查过这些信息后可以开展实时的、多元的审计程序。在会计中使用网络也会引发很多安全隐患,如果会计信息系统不够完善,就会发生信息丢失、黑客入侵、数据失窃等现象,因此设计人员首先需要关注的就是系统的安全性。而会计信息化审计的重点也应该是网络会计系统的安全审计。在了解企业基本网络情况的基础上,注册会计师还应该深入了解企业的安全控制目标,检查是否存在潜在漏洞,逐渐测试企业现有的安全控制措施。比如说口令控制是否有效、持续供电设备是否运行、职能权限是否管理得当、备份设备是否正常、数据是否加密保护以及是否对计算机网络病毒加强防范等等。
(三)开展企业网站审计,实现对审计业务的创新
随着网络经济的发展,很多企业会在网络上建立自己的网站,组建网络企业,通过网络实现企业的一系列经营目标,例如进行人才招聘以及员工培训、实现市场调查和项目招标、理财报税等等。多种多样的网站连接起了整个世界的经济,电子商务的出现和发展都离不开网站的连接,网络经济也从中得到了极大的发展。利用网站进行交易具有一定的安全隐患,这在很大程度上制约了电子商务的发展,这也丰富了会计注册师的工作内容。为了进一步促进电子商务的发展,注册会计师可以向网站提供鉴证服务,也就是网站审计,这样可以让消费者得到保障,进而提高他们对网上交易安全的信心。网站审计的主要内容就是确定该网站是否充分告知消费者商品或劳务的基本信息,所经营的业务是否合法有效,是否能够充分保护消费者的私人信息,在综合评价这些内容的基础上提供合理意见。若电子商务网站满足标准要求,经由特别许可的注册会计师为其颁发合格标志,网站可以将该标志放置在网页上的醒目位置。消费者看到合格标志后,只需简单点击一下就可以看到详细的网站审计报告。在网络时代,运作速度超乎异常,只需18个月就可以进行技术创新,因此年度审计不适用于网站审计。注册会计师每九十天就需要对商务网站重审计一次,其主要任务是确认网站是否依然满足合格标志要求,进而保证消费者的利益不受损害。互联网技术的出现是网络时代的标志,网络技术既为审计带来了机遇,也为其带来了极大的挑战。在网络时代,除了要对审计技术、审计内容以及审计业务进行创新外,还要全面掌握现代化的网络信息技术,在不断发展的全球化经济中对审计创新进行全方位的挖掘。
结语
【关键词】 网络环境;审计要素;重新思考
网络审计是指网络环境下的计算机审计,即利用网络及通信技术,辅助审计人员进行对被审计单位建立在信息系统基础上的网络经济活动(包括网络会计、电子商务、电子金融、ERP等)进行的远程审计。网络审计是对电算化审计时空观的突破,是现代审计在网络经济时代的新发展。面对网络审计,原有的审计相关概念,如审计对象、审计目标、审计范围、审计主体、审计技术、审计风险以及审计准则等面临新的挑战,有必要对审计要素进行重新思考。
一、审计对象的变化
审计对象是指审计所要考察的客体,即被审计单位的财务收支及其有关的经营管理活动和作为提供这些经济活动信息载体的会计报表及其他有关资料。而在网络财务中,企业的财务收支及其有关的经营管理活动的特点发生了巨大的变化,由于审计对象更加广泛和复杂,要求分工与协作更加深入,网络系统的认证,定期审查(年审或季审)及网上业务审计所构成的审计作业由不同的审计机构承担成为必要和可能。各种业务隐性化和数字化,舞弊行为更易发生;传统财务软件正在经历纵向网络化、横向与管理信息系统融合的发展历程,企业资源计划和业务流程重组等以信息技术为基础的新的管理思想的发展和应用,加剧了传统管理流程的变革,使审计面临的对象更加复杂。随着电子商务和虚拟公司的出现,使网上实体通过网络将成百上千的人联结在一起工作,并且可以根据业务的需要自由重组;企业与企业之间的关系,或是投资融资关系、或是技术协作关系和购销关系等,这些关系可通过网络在很短的时间内,以网上协议的形式整合成企业联盟,也可以在很短的时间内通过网络解散联盟,从而使会计主体变得模糊,审计对象也因此变得复杂。因此,在网络时代,审计对象具有动态性、虚拟性和适时改变性。
二、审计主体的变化
审计主体是指实施审计监督的执行者,也就是审计机构和审计人员。在网络审计中,企业的经营管理活动都是通过网络进行的,审计对象、审计线索等发生了变化,审计工作的开展也需要在网上进行。首先建立和完善能够在网络上实施对被审单位及其相关信息进行审查、监督和提供鉴证服务的审计机构;其次,必须构建完善的计算机系统和网络系统。同时,对审计人员的综合素质提出更高的要求和标准。这就要求审计人员应该是一种复合型的、全方位的人才,不仅要具备一定的法律知识、现代审计理论和审计技能,还要掌握一定的现代信息技术、计算机网络知识和现代商贸理论,并能熟练地从事计算机硬件、软件的操作和维护等。审计人员必须了解网络结构,在审计监督时,深入到企业管理信息系统的设计与实施中去。关于电子数据处理环境下的审计,《国际审计准则第15号》中规定:“在电子数据处理环境下进行审计时,审计人员应对被审计系统的计算机硬件、软件和处理系统有充分的了解,以进一步对委托审计的条件做出计划,并了解电子数据处理对内部控制的研究与评估的影响和需要采用的审计程序,包括计算机辅助审计技术的应用” 。审计人员还应对实施审计程序所必需的电子数据处理具有足够的知识。这些无疑对传统的审计主体提出了挑战。
三、审计目标的变化
审计目标是指在一定的历史环境下,人们通过审计实践活动所期望达到的目的和要求。独立审计的目标是对被审计单位的会计报表的合法性、公允性及会计处理方法的一贯性发表意见。即在“有纸化”的信息载体上查错防弊,对经济效益进行评价,对审计对象的真实性和公允性、合法性和合规性、合理性和效益性进行审查和评价,其目的是为审计委托人服务。会计报表是企业经营状况和经营成果的反映,在网络时代,它将具有及时性、实时性,同时其内容和范围都将扩大。会计报表审计是审计业务的基础,因而网络时代的审计工作将向更深、更广的领域扩展,诸如企业社会责任履行状况的审计、人力资源利用状况的审计、政府调控职能实现程度的审计、顾客对企业满意程度的审计以及网络技术本身的合规性与有效性审计等都将成为网络审计的目标。
四、审计范围的变化
审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。审计范围要依据不同的审计对象和审计目标来确定。传统审计中,审计范围狭窄而且封闭。网络环境下,企业的会计信息系统是一个开放的系统,会计信息的处理也是在一个开放的环境中进行,任何人都可以通过网络使用信息资源。同时,由于其资源的共享性,能访问会计信息以及接触会计信息的人可能涉及到整个网络用户,当然,对涉及企业商业秘密的信息仍有所限制。网络用户,尤其是使用上市公司信息的用户,出于不同的动机,可能采取恶意操作行为,增加了网上行为的控制难度。因此,我们需要对系统的安全性进行审计,需要对交易双方以及其他相关方进行审计,审计活动面向网络。因而,建立在互联网上的审计范围也将大大拓宽。另外,财务会计报告的范围将有所扩大。由于网络的快速性、变动性及虚拟性,使得会计主体的外延复杂化。具有现金流量和负债的单一产品就可能形成一个公司。各个独立会计主体可以根据需要自由整合、重组和解散。因而,在网络经济时代审计范围将变得复杂。
五、审计线索的变化
在传统审计中,审计证据都以纸介质的形式保存,审计线索十分清晰,审计人员通过跟踪审计线索来收集审计证据、审核有关经济业务。而在网络审计中,电子符号代替了会计数据,企业实现了无纸化交易,所有的审计证据都存储在磁介质上,不再有书面文字记载,会计处理方式发生了变化,审计线索也发生了质的改变。审计人员只能通过在线访问或查询的方式获取无纸化审计线索。在这样一个环境下,信息的删改可能不留痕迹或痕迹不清,从而使审计调查取证的难度增大。同时,如果系统设计时考虑不周,可能在审计时才发现只留下了业务处理结果,而无法追究其来源,这些势必加大了审计风险。
六、审计内容的变化
审计的职能是监督。网络审计的内容与传统审计相比有了一定的拓展。第一,要对系统进行审计。在网络财务系统的开发与设计过程中应有审计人员参加,对系统的功能、数据流程、处理方法、安全措施等进行审查,保证系统运行安全可靠。第二,要对网络内部控制进行审计,即应包括内部会计控制和内部行政控制,内部会计控制是指有关保护企业资产和保证会计记录可靠性的组织计划和业务处理程序,包括经济业务的授权审批,企业资产的限制接触,保证记录和报告体系准确可靠的一系列措施。内部行政控制则侧重于督促目标责任的落实与业务效率的提高,如劳动人事制度、新产品研究开发制度、商品销售内部控制制度以及电子信息和情报资料内部控制制度等。第三,对网络一般控制审计。一般控制审计是电子数据处理系统的主要控制手段之一,内容涉及人员管理、网络计算机软硬件的管理、运行环境等的审计。网络财务信息系统的核心是电子数据处理应用系统,它赖以运作的基础是操作系统和数据库系统,操作系统上计算机硬件资源用户的接口,是各类程序运行的基础平台,它支持着数据库管理系统的运行。网络电子数据处理系统的层次结构是:硬件系统、操作系统、数据库管理系统和应用软件系统。一般控制应该做到对网络电子数据处理系统的系统安全、组织分工、系统开发与维护、软硬件资源安全等的有效控制,一般控制审计就是针对企业对以上控制内容的水平做出合理的评价,并作为实质性测试的依据。第四,应用控制审计。与一般控制审计不同,应用控制审计的目的在于确保应用系统保护电子数据处理资产的安全性,保证数据一致性以及对数据进行有效的加工等,这些控制可以设置在贯穿整个系统处理流程中的任一阶段。对网络财务系统的审计,必须把内部控制的充分性与实用性列为重点,尤其是与传统内部控制明显不同的应用控制,更是企业内部控制评价不可缺少的内容。
七、审计方法与技术的变化
审计技术方法是为了实现审计目标,在对被审单位实施审计过程中所采用的各种手段,它是顺利完成审计工作、提高审计工作质量的重要保证。传统的会计信息系统是建立在使用纸、笔的基础上的,因而对会计资料的审计也只有采用手工的方法进行审阅、核对、分析、比较和函证。网络环境下,由于会计数据的电子化和会计控制的局部程序化,直接造成了审计线索的“不可见性”。因此,审计人员利用审计接口软件来获取原始数据,利用审计抽样软件来进行样本抽取,利用审计分析软件进行各种数量关系的配比分析和数据查询,利用数据仓库技术来进行分析,利用审计专家系统进行审计推理与判断,并通过数据挖掘、样本抽取、异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对,对会计数据进行可靠、完整地保存和管理,借助单机系统或工作站,对会计数据进行迅速、有效地完成审阅、核对、分析、比较等各项审计工作。由此可见,网络环境下的审计技术方法,已大大突破了原有方式下所运用的审计技术方法,提高了审计的效率与质量。
本文采用Java语言,MySQL数据库。数据库设计规则需满足移动互联网内容安全审计需求,数据库中主要数据表包括信息采集数据表、内容匹配数据表、规则库表和规则库分类表。
2模块设计
移动互联网内容审计平台模块包括数据采集模块、数据解析模块、规则库模块和内容审计模块。数据采集模块实现移动网络数据与计算机通过网关进行数据交换,在计算机网关电脑搭建移动网络数据采集服务器,移动互联网中的信息经过服务器后再进行转发,由此可在服务器中进行数据采集。数据解析模块是将移动网络数据包进行解析,抽取文本数据。但是,在网络传输的数据中,为了提高传输速度,会将数据包拆分多个数据包进行分传,因此,在数据包分析中,对于零散数据包解析并不能够实现对信息的有效审计,因此,需要对数据包进行拼接,并在网络应用层实现会话重现,进而进行数据文本提取。规则库模块是提供网络安全审计规则的添加与修改服务,通常规则库中的内容包括政治敏感关键字、色情关键字、恐怖关键字、污秽词语等,关键字的设定可以根据实际需要实时添加与修改,保证规则库的先进性。内容审计模块采用单模式匹配和多模式匹配结合的方法对移动互联网内容进行审计,其中单模式耗用时间较少,逐条匹配,对于内容单一、模式串数目小的移动互联网内容可以选择采用单模式匹配算法。如果模式串数目增大,操作设定值,就应采用多模式匹配算法,提高匹配的时间。
3平台实现
移动互联网内容安全审计平台是实现移动互联网信息数据的安全审计功能的系统平台,其平台审计实现流程如图3所示。首先在计算机浏览器中启动移动互联网内容审计平台系统,选择模式匹配规则,将移动互联网信息与规则库规则进行匹配;其次,如果匹配后未发现违规信息则返回规则库继续查询规则匹配,如果匹配结果发现违规信息则显示匹配结果,并对不良信息进行屏蔽。
4平台测试
移动互联性内容在通过服务器进行移动互联网内容安全审计过程中,经历安全审计响应过程,为了保证用户信息沟通的实时性,移动互联网信息安全审计平台审计过程要快速、准确、安全。本文对所设计的审计平台进行测试,主要是对平台反应时间及审计效果进行测试,用移动终端访问10个网站,在10个网站中有5个网站包含有审计规则库中匹配的不良关键字,另外5个网站不包含规则库规则内容,记录网站登录所耗时间及不良信息审计结果如表5所示。由表5所示,移动互联网络数据包在100-200KB之间,移动互联网内容安全审计平台审计时间小于1s,并均能及时发现网页中含有的不良信息,由此证明移动互联网内容安全审计平台具有良好的可用性。
5结束语
随着机网络的,传统的事后审计、就地审计方式将逐渐被在线实时的网络审计模式所取代。这一审计模式拓展了审计时空,使得审计人员足不出户就可以对被审单位进行远程审计,使传统审计的时空向更为广阔的信息化时空拓展,从而变定时实地审计为实时远程审计,变事后审计为‘事前、事中审计,变静态审计为动态审计,既提高了审计效率也使审计的监督作用得到了加强,与传统审计相比,网络审计模式具有如下新特点:
1、审计技术更加先进。在网络系统中,审计人员通过与审计对象进行信息接口转换,根据授权,在网上就可以直接调阅信息。通过对这些信息的调阅与审查,审计人员便可以开展多元化的、实时的审计程序。由于网络技术的,空间已不再是执行审计的制约因素,这样境外审计、环境审计等就变得更加容易。
2、审诗信息的更加丰富。网络的应用使被审计单位的会计信息系统成为一个开放性系统,审计部门可以通过网络主动获取会计信息,还可以对与审计对象有业务联系的各单位会计资料进行查询、,使审计的信息来源更直接,内容更丰富。
3、审计工作具有更准确高效的优势。网络审计通过网络可以充分发挥计算机高速准确及运用审计软件的优势,对大量的网络财务数据和业务数据进行检索、查询、追踪、转化、抽取、比较、归类、合并、统计、打印和编制工作底稿,最后完成审计工作报告。网络审计与传统审计相比降低了审计成本,据高审计效率,具有更准确高效的特点。
4、审计过程可保持隐秘性。审计机构接受委托人或授权人的委托或授权后,在不通知被审计对象的情况下,可通过网络直接进科被审计单位的网络信息系统开展审计,从而提高了审计质量。网络审计的隐蔽性使得突击审计成为可能。
二、制约网络审计发展的几个因素
我国十分重视加强网络信息化建设,近年来把电子政务建设作为国家信息化工作的重点,以政府先行,带动国民和发展信息化,取得了令人瞩目的成就。在国家信息化的推动下,网络审计取得长足发展,但总的来说还是处于摸索阶段,存在不少,制约我国网络审计发展的主要因素有:
1、财务网络体系及审计部门网络化建设发展不平衡。
财务网络体系的建立及审计部门网络化,是实现网络审计模式的最基本条件。,政府、的网络建设在地区之间、层级之间、行业之间存在较大差异,网络信息化领先和后进地方的差距日益拉大,网络信息化建设的阶段与地域发展不平衡,因此,各地财务网络体系发展不平衡。各地审计部门的网络化建设发展同样不平衡,部分地方审计机关由于客观环境、人员技术等原因制约审计网络系统建设发展,在一些行业审计领域受到被审计对象信息化程度不高、自身思想认识不足等主客观方面的,至今仍停留在手工审计阶段。
2、会计信息系统的网络化和开放性威胁着网络审计的安全。
会计信息系统的网络化和开放性,使得会计信息资源在极大的范围内得以共享和交流,但同时会计信息被竞争对手非法截取或恶意修改的可能性大大增加,加之计算机病毒和网络“黑客”的侵入,使会计信息的安全性受到威胁,这无疑将审计工作置于一种被动的风险之中。例如,存放子主机内的会计信息被他人非法拷贝和篡改;会计数据在传输过程中被截取和恶,意修改;计算机病毒和网络黑客的肆意侵袭,会威胁会计数据,的安全,严重时可能导致系统的全线崩溃等。在网络审计中,审计人员对审计风险控制的难度加大,实施的审计风险控制措施也发生根本性变化。在实际工作中这些问题如果处理不好,会极大地阻碍网络审计的发展。
3、网络审计的相关法规和准则仍有待完善。
网络的出现和广泛应用对传统审计产生了强烈的冲击,网络审计是审计领域出现的新生事物,旧有的法律法规体系和审计标准准则体系已不能完全适应、指导和规范网络审计的实践。目前,我国有关网络活动的法律法规还处于不断探索和完善阶段,难以完全解决网络活动中出现的所有新问题、新纠纷,这就给审计人员进行网络审计带来了极大的不便。
4、缺乏符合网络审计要求的高素质、复合型审计人才。
在网络环境下,由于审计环境、审计线索、安全控制、审计内容和技术的改变,要求审计人员不断更新知识和提升综合素质。为了在网络环境下更好地执行审计监督、鉴证和评价任务,审计人员不仅要掌握会计、审计、经济管理、法律等方面的知识,还要掌握计算机、网络信息系统、电子商务等方面的知识和技能。审计人员要了解网络环境下经营和会计核算的特点与风险,要懂得计算机管理信息系统的功能和特点,要能够利用计算机网络进行审计。而现在这样的人才仍然非常缺乏,使得网络审计难以广泛实施,极大地阻碍了网络审计的发展。
5、缺乏优秀的网络审计软件。
目前,我国现在已经有了不少审计软件,软件的功能也比前几年有了很大的进步,但是相当一部分审计软件实用性不够强,使用效果不够理想,许多软件因跟不上审计业务需求的发展,往往昙花一现即被弃用,成了名副其实的短命软件,浪费了大量资源。而国外的审计软件在我国由于多种原因也得不到很好的运用,这些都极大地阻碍了我国网络审计的发展。
三、推动我国审计的措施
网络审计模式代表着未来审计的发展方向,网络审计模式取代传统审计模式的过程不仅仅是个简单的审计技术变更的,它将对整个审计工作的方式、程序、质量和管理,乃至审计人员的思维方式和自一身素质带来重大,它是一场深刻的革命。为适应我国与管理信息化的发展,必须采取措施大力推动我国网络审计的发展。具体应在以下几个方面下功夫:
1、加快财务网络体系及审计部门网络化建设。
政府、应该重视加强网络建设工作,各行各业在开发自己的信息系统时,对于所有涉及经济和财务业务处理的机系统,必须要为经济监督部门提供数据接口,以便于网络审计方法的和审计信息化建设能顺利实施。根据审计署信息,化发展规划,到2007年;审计署将初步建成联网审计系统,开始对中央一级预算单位以及财政、海关、税务、等部门开展联网审计,而各地审计机关在进行审计网络建设时,可以从某些易于实现的部分人手,有计划地在一段时间内逐步实现全面的网络审计。
2、充分重视网络信息安全,提高网络审计安全防范意识。
网络信息的安全性即可靠性和保密性是防范和控制审计网络风险的一个重点。必须遵循不相容职责必须分离的原则,对网络审计系统中数据的输入、输出,软件开发、维护及系统程序修改或管理等环节进行认真规划,实行有效的职责分离。实施网络审计时,应该对被审计单位网络结构进行与评价,以确认其防范黑客侵入的能力,同时还应该对被审计单位的系统安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
此外,审计人员应提高安全防范意识,重视网络审计系统中的身份确认、防火墙、审计数据的传输及反病毒措施等环节,确保审计数据传输的安全及保密,以防范网络审计系统的安全性风险。
3、加强网络审计立法,制订网络审计新准则。
网络审计立法是保障网络审计正常发展的关键措施。对于证据、电子签名、电子合同;电子货币等网络经济工具的合法性及其使用规定,都需要立法来加以明确,而对于现有的相关法规中适用于网络审计的应遵从其规定,对不适应的需进行修改和完善。在实施网络审计的新环境下,网络审计对象、线索、方法、流程、结果等方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,需要建立新的审计标准和准则来指导审计工作实践,例如,对网络审计人员的一般要求、网络审计的事前审计准则、网络安全可靠性评价标准、网络系统内部控制准则等。因此,现阶段要推动我国网络审计发展,就必须加强网络审计立法工作的力度,使网络审计工作有法可依。
4、培养网络审计人才,全面提高审计人员的素质。
一个精通网络、计算机及审计业务的审计队伍是网络审计能否得以顺利实施的关键因素。我国审计队伍主要由财经类专业人员构成,计算机知识和技能尚不能达到网络审计所要求的水平,而审计队伍中的计算机专业人员,又普遍缺乏相应的财会和审计业务知识,尚不能独立开展网络审计工作。因此,做好审计人员和计算机人员的人力资源整合,充分实现资源优势互补,是目前切实可行的方法。但从长远目标来看,一方面,加强审计人员的计算机网络知识与技能培训,另一方面,加强计算机人员的审计技能培训,培养一支具有一定网络审计水平,掌握网络审计技术的新型复合型人才队伍,是推进我国网络审计事业发展的根本出路。
【关键词】网络经济;审计;存在问题;安全防范
一、网络经济对财务审计的影响分析
(1)审计目的的影响。财务审计在网络环境的影响下,会计报表与传统手工报表表现出了很大的差异,具有及时性、实时性、高效率等特征。在审计目标和指标方面,网络环境下的财务审计更全面,更真实,表现出一定的动态性和灵活性。(2)审计模式的影响。传统的财务审计受到物质、环境以及人的主观能动性等方面影响比较突出,网络环境下财务审计主要是基于无纸化办公以及电子化信息处理。财务审计工作变得更加规范和合理,这在无形当中增加了财务审计的规范性和可操作性。(3)对财务审计主体的影响。传统财务审计的重点主要是审计管理人员及审计专业人员,对于审计人员素质要求高,要求审计人员具备专业的审计素质和水平。
二、网络经济环境中财务审计的主要方向
(1)网络审计具有多部门联合作业的优势。审计的内容不仅仅局限于作业的经济活动和财务记录,而且可以联合其它的审计管理部门、职能部门等通过网络加大沟通交流、协作配合、分析讨论、交流经验、分享心得体会等,加强审计过程的透明性和权威性,合理配置审计资源;审计机构在接受委托人或授权人的委托或授权后的,提高了审计管理工作的时效性和准确性,提高了审计的效率和质量。(2)安全性和保密性的财务审计。在审计过程中,要加强对财务审计的保密性和安全性管理,通过职责分离而又有保持必要的沟通协作机构,对被审计单位的容错处理、安全管理、安全保密技术等进行深入的调研和了解,以评价其财务审计工作的工作性和完备性。(3)加强内部控制、降低管理风险。内部控制是新形势下财务审计过程中的重要组成部分。主要集中于内部的管理、运行、维护、监控、风险防范等方面的相关管理技术以及由这些管理可能带来的风险措施。通过加强系统的安全审计,可以及时有效地防范潜在的安全隐患,增加内部控制的审计的安全性。(4)加强风险管理。财务风险审计是审计管理中的重点和难点,要加强对审计人员的风险管理意识培训,用最新审计知识更新头脑,有效指导审计工作,提高审计效率和水平,降低审计风险。
三、财务审计相关内容分析
(1)会计报表的审计。会计报表的审计主要是对企业资产负债表、损益表、现金流量表等的真实性、完整性、合法性和准确性等的审计,而网络条件下的审计可以满足以上这些审计要求。(2)资产审计分析。网络环境下的资产审计可以对被审计单位的资产进行整合,与传统的方式相比,具有动态管理性,可以真实性、完整性等反映出记录在有关账簿及会计报表的资产的真实存在。(3)所有者权益审计。企业的实收资本、资本公积、盈余公积、未分配利润等都是所有者权益审计的重点和关键点。网络环境下的所有者权益,变得全面、权威、准确,同时又具有时效性强、方便快捷等特点。
四、网络审计存在问题及防范措施
(1)接受委托风险问题。客户在经营管理过程中,由于自身利益考虑,通过人为制造虚假业绩数据,加上审计内控机制不健全,管理存在漏洞,致使操作过程存在较大的风险。对于此类风险,审计人员可以通过查询往年工作底稿、询问相关工作人员、调阅相关资料等方式增强对审计风险的评估分析能力来决定是否接受该项业务。(2)信息系统风险问题。由于网络存在的脆弱性,审计过程中系统风险在所难免。由于信息系统涉及面广,内容庞大,审计人员很难全面掌握信息系统风险问题,这就使得审计人员在审计过程中加强与专业人员沟通和交流,同时根据审计需要,聘请外部IT专业人士加强对信息系统的安全审计。(3)审计取证风险。由于计算机网络及数据加密技术在应用过程存在的缺陷和漏洞。可能带来的数据传输丢失、非法篡改、非法窃听等问题,这加大了审计取证的难度,降低了审计结果的可靠性,加大了审计风险。(4)审计评价风险。对于审计过程发现的问题,能否根据科学的模式和方法对存在的问题做出合理的评估和分析,使审计过程中既遵循科学合理的程序和规范,又能客观真实性地再现审计过程中的问题,这在某种程度上构成了审计的评价风险。为了提升审计的科学性和准确性,审计人员在审计过程中需要出具严谨的审计报告,审计报告既要体现出审计的灵活性和有效性,还要能够针对具体的问题做出合理的评价。
参 考 文 献
[1]于宁.网络环境下会计信息的披露与监管[J].安徽工业大学学报(社会科学版).2005(3)
目前,北京市各部门中已有人大、政协、市高级法院,各区县政府,市属机构等25个单位在首都之窗上建立自己的网站。现在首都之窗的月平均浏览量达到600多万人次,半年时间,市长信箱就收到3000多封网上来函。今年北京市计划在电子政务方面,积极推行网上办公,网上审批制度,提高政府办公效率。为适应信息服务的不断发展,保证电子政务的网络安全,北京市信息安全测评中心实施了网络安全管理体系建设。通过针对北京市电子政务外网的信息内容进行安全检测提出的解决方案,及时掌握、统计和分析信息流的动态情况,及时掌握用户对信息服务的访问行为,及时发现有无违规的信息与访问,及时发现涉密信息的泄露和敏感信息的访问。
解决方案:国都兴业为北京市电子政务网络的网络安全监测审计需求提供了先进的、完善的解决方案。在电子政务骨干网上部署了四套“网络一体化监控审计系统Egilance II”,分别安装在四个骨干节点上。“网络一体化监控审计系统Egilance II”是基于网络会话级的安全监测审计产品,它通过对网络会话的行为和内容的实时监测、报警、记录和审计,提高用户的网络应用和信息安全。
在方案中使用的Egilance系统是采用一个上级中心审计控制台,四个下级监测审计点的构架,中心审计控制台可以根据整体审计需要向四个下级监测审计点下发审计规则配置和报警策略,也可以分别下发不同的审计规则配置和报警策略,四个下级监测审计点的监测审计报警和审计记录即可在本级审计控制台上报警显示,又可同时发送给上级中心审计控制台。在四个监测审计点采用了千兆光纤TAP网络信号旁路接入器ESentry,将光信号旁路分向后输入给千兆级网络会话采集器EProbe,EProbe对网络数据流进行旁路采集和提取各种网络应用的处理,网络应用分析器Enalyzer对各种网络应用行为做实时监测、报警、记录和审计,并将监测报警和审计记录发给中心审计控制台EConsole。
关键词Web;内容安全;内容过滤;信息审计
中图分类号TP31文献标识码A文章编号1673-9671-(2010)041-0020-03
1绪论
网络在带给人们经济、工作效率和丰富多彩的网络生活的同时,也产生了一系列问题。特别是如何强化对网络进行监管,有效防止和打击网络犯罪,确保网络安全,是摆在我们面前的一个沉重命题。网络的开放性和日益增长的规模,使其成为人们自由交流信息的便捷手段。但同时这种开放性也使网络中存在着很大的负面效应,如各种迷信、色情、暴力、反动和其他非法信息的传播,或者内部网中机密信息的泄漏等,这些都已成为了人们日益关注的焦点问题。
1.1课题研究背景和意义
伴随着互联网的普及,因不当使用带来的网络安全问题令人担忧。据CNCERT/CC的《2OO6年网络安全工作报告》指出,2OO6年网络安全事件比2005年大幅提高,其中涉及国内政府机构等部门的网页篡改类事件、国内外商业机构的网络仿冒类事件、针对互联网企业的拒绝服务攻击类事件最为严重,扩散病毒、木马、僵尸网络等行为更加嚣张,攻击者谋求非法利益的目的更加明确,黑客地下产业链基本形成。此外,垃圾邮件、色情网站、违法不良信息、网络、网络诈骗等不法行为,也严重影响着网络环境的健康发展。
网页内容安全监管是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网页内容安全监管从其本质上来讲就是对网络上的信息进行安全监管。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网页内容安全监管的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯自己的利益和隐私,网页被非法访问和破坏。从网络运行和管理者角度来讲,他们希望对本地网络信息的访问、读写等操作进行保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
1.2Web安全面临的问题
计算机网络系统的安全问题是由网络的开放性、无边界性、自由性造成的,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、可管理的内部系统。
1.2.1服务器安全
公司、企事业单位的网络系统遭受入侵和攻击不仅会造成巨大的经济损失,严重时甚至会危及国家安全和社会稳定。目前国内普遍采取的网络安全机制由于网络攻击方式和黑客技术的不断变化,已经无法满足重要网络和数据的安全需求。采用简单的双网双机系统在物理上虽然实现了隔离,避免了内部网络受到外部网络的侵袭,但也阻断了内外网络之间的信息交换,造成了“信息孤岛”。
Web服务器上的漏洞可以从以下几方面考虑:
1)在Web服务器上用户不希望被访问的秘密文档、目录或重要数据。
2)远程用户向服务器发送信息时,特别是信用卡密码之类信息时,中途遭不法分子非法拦截。
3)Web服务器本身存在一些漏洞,使得一些人能侵入到主机系统,破坏一些重要的数据,甚至造成系统瘫痪。
4)CGI安全放面的漏洞:①有意或无意在主机系统中遗漏Bugs给非法黑客创造条件;②用CGI脚本编写的程式,当涉及到远程用户从浏览器中输入表格,并进行检索,或form-mail之类在主机上直接操作命令时,也会给Web主机系统造成危险。
1.2.2客户端安全
随着社会信息化步伐的加快,客户端安全问题已经刻不容缓,而电子商务方面的安全问题成为了关注的焦点。电子商务不仅提供了进行商务活动的新方式,而且由于通过它形成了与地域、空间无关的一体化市场,因而电子商务正在改变全球的经济环境。目前各类电子商务的门户网站不断推出,如淘宝网、ebay等。据统计,我国招商银行在两年半的时间里,网上B2B交易了6000亿元人民币。但随着电子商务规模不断扩大,网上盗窃事件也不断发生。网上窃贼利用各种木马病毒和高级的网上钓鱼技术从银行和消费者身上骗取钱财。目前这种行为有明显的上升趋势,因此,如何保证交易的安全,让人们能够放心地进行电子商务交易已成为银行、商家、服务提供者和消费者共同关心的问题。
1.2.3通信安全
迅速发展的Internet使生活、工作非常方便,用户可以坐在家里通过Internet收发电子邮件、打电话、进行网上购物和银行转账等。在网络带来巨大方便的同时,也带来了一些不容忽视的问题,网络信息的通信安全保密问题就是其中之一。网络的开放性以及黑客的攻击是造成网络不安全的主要原因。Internet设计者在设计之初就缺乏对安全性的总体构想的设计,Internet所用的TCP/IP协议是建立在可信的环境之下。网络建立的初期多数人考虑的是网络互联,在安全方面则缺乏考虑。这种基于地址的TCP/IP协议本身就会泄露口令,而且该协议是安全公开的,远程访问使许多攻击者无需到现场就能够得手,Internet这些性质使网络更加不安全。
1.3研究现状
随着计算机以及信息网络的普遍运用,近年来我国网民人数剧增,已达13700万之多,但其素质参差不齐,再加上我国网络领域的立法并不十分健全、监管机制也不十分规范,这就使得我国网络犯罪案件一直呈上升趋势。网络犯罪类型主要有:网络色情犯罪,网络经济犯罪,网络黑客入侵,网络病毒传播,网络侵权案件等等。此外还包括传播邪教、、侵占和泄密等危害国家安全的行为。可以说,新形势下网络犯罪涉案种类之多、范围之广,几乎列各犯罪案件之首。
此外,网络传播的虚拟性和信息传播者的隐匿性大大增加了网络犯罪的查找和取证难度。有人利用网络媒介的这一特征隐身犯罪信息,给执法部门、监管部门寻找和打击犯罪嫌疑人的工作带来了相当大的难度,也加大了打击成本。网络证据提取的困难,制约了对网络犯罪的打击。
2内容安全概述
2.1Web的安全定义
针对Web的安全,当前业内的一致看法是,统一的定义不能从厂商的技术上去下,而是要与用户需求的紧迫程度挂钩。
从这个角度分析,Web安全可以分成两类应用模式:一类是针对病毒、木马、间谍软件、恶意软件的威胁;另一类着眼于规范用户行为,比如用URL过滤某些站点、员工上班时间上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制、对企业内部的宽带管理等。
需要注意的是,两种应用模式并非孤立存在,彼此间是有交叉的。据Anchiva中国区总经理李松介绍,根据经验,一套完整的Web安全方案,至少需要两个部分:一台针对TCP/IP协议二、三、四层应用的安全防御设备(比如防火墙、入侵检测、UTM),之后串接一台针对七层内容的安全防御设备,以便解决病毒、IM、P2P、网络游戏、垃圾邮件、内容审计等应用。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
2.2信息安全管理模型
随着信息时代的到来,每一个组织所拥有和需要的信息越来越多。建立计算机信息系统能以快捷的方式管理信息,提高工作效率。但由于黑客的入侵、意外事故和法律上的漏洞使信息系统暴露在各种各样的威胁之下。如果不对信息系统进行安全保护,就可能使系统遭到破坏,进而使组织遭受财产损失和名誉损失。所以,构建安全的信息系统日益受到国家和组织机构的重视。
2.2.1安全管理模型
图1
图1所示的信息安全管理模型由信息安全需求、安全保护措施、检测、补救组成的一个循环链和信息安全管理中心两部分组成,其中信息安全管理中心是整个系统的核心。循环链中的每一个环节都要定期地与信息安全管理中心进行安全信息交互,当信息安全管理中心认为有必要对组织的安全目标进行修改时,要向高层管理部门汇报。
2.2.2监管体系实施
构建安全的信息系统必须以信息系统安全标准和信息系统安全模型为依据。国际上和国内已经提出的信息安全管理标准有:ISO 17799,CobitJ,GM1TS,GB17859―1999。这些标准的侧重点各不相同,应用的领域也不一样。信息安全管理模型也有很多种,比较有代表性的有:信息安全管理体系持续改进模式、网络风险管理模型、信息安全管理框架。信息安全管理体系持续改进模式,把PDCA管理模式与安全控制、风险评估有机地结合在一起。该模型具有广泛的适用性,但没有指出如何将风险评估的结果映射成组织的安全需求和安全需求之间出现冲突时的融合方法,也很难用定量的方法对这一模型进行评估。网络风险管理模型具有很好的动态性,但不能对组织机构的各级管理部门进行有效的协调,也没有把各项工作的结果写成书面文件。信息安全管理框架运用安全需求流把组织的安全需求层次化,但没有考虑系统面临的外部风险和可以采取的非技术安全措施(如职员安全培训、安全职责划分等)。图1的信息安全管理模型在一定程度上克服了以上这些模型的不足之处。
3网页内容过滤
3.1网页过滤器概述
作为一个巨大的全球性的信息中心,Intenet正以惊人的速度发展壮大。人们可以通过Intenet获取各种各样的信息和资源。然而,由于网络的开放性使得任何人可以获得几乎任何种类的信息,这不免让一些“不良信息”乘虚而入,如反动信息、不利于青少年健康的信息等等。网页过滤器的出现缓解了这一系列的问题。
基于URL过滤,在缓存引擎上,建立对URL进行过滤用的数据库,包括合法URL表(white LiSt)和非法URL表(Black List)。White List与Black List均包括URL名、访问次数两个属性,同时分别对white List和Black List的UU名建立索引。
过滤时,把从用户请求数据包中提取的URL与whiteList中的un砌e进行匹配,如果匹配成功,则说明用户的请求是合法的,但目前页面缓存中没有。这时由缓存服务器定向该请求到Internet,Internet将页面信息传输到透明缓存服务器上,而后透明缓存服务器按照WCCP协议的规定更新页面缓存,将信息发给用户,即用户的请求得到响应;如果匹配不成功,则进行进一步的非法URL匹配,把请求中的URL部分与Black List中的until-he进行匹配检测,这时如果匹配成功了,说明用户所请求的信息不合法。在这种情况下,应返回给用户进行警告提示;而如果再次匹配失败,则说明用户的请求的URL在URL数据库中无法找到对应项,标记该URL为可疑的,该请求为可疑请求,再进行下一步处理,同样也将该请求发送到Internet。
3.2常见网络服务过滤举例
3.2.1电子邮件过滤
电子邮件是互联网3大基础应用之一,给生产和生活带来很大的便利。然而近几年垃圾邮件的暴增给邮件应用造成严重的危害。目前控制垃圾邮件的方法主要是过滤。
垃圾邮件过滤问题有2个主要特点:高维特征和小样本问题。支持向量机以结构风险最小化原则在有限样本问题中显示出优异的广泛化性能,较好地避免了小样本语料及高维特征空间中易出现的过拟合问题,同时通过C参数实现最大软间隔分类算法,可有效降低少量噪声语料或极个别特殊样本带来的负面影响。
3.2.2搜索引擎结果自动过滤、分类
利用分类器对搜索引擎的结果进行安全过滤,从中找到用户感兴趣且安全的内容提交给用户,从而提高检索的效率,滤过信息中可能存在的病毒、木马程序、色情暴力等内容,方便用户的使用。基于自动分类的搜索引擎过滤系统,用户首先输入待查词,搜索引擎对待查词进行查询过滤,按照用户所感兴趣领域样本的分类器对查询结果进行自动分类滤过处理并按照与用户所感兴趣领域的相关程度进行排序,如果是用户所感兴趣的安全内容提交用户,否则丢弃。
4基于内容的网络安全信息审计系统分析
网络安全审计以其实时性、动态性和主动防御的特点备受青睐。在国内,网络审计技术还处在发展阶段,还没有出现专门的基于内容的信息审计工具。有些公司也推出了具有网络信息过滤功能的安全审计工具,但往往局限在具体的角度(多是针对色情内容的过滤),其应用范围具有一定的局限性,远远不能满足目前复杂灵活的信息审计的需要。
4.1信息审计面临的挑战与难点
目前从国外已经进行的信息审计项目来看,研究人员普遍认为,信息审计的发展无论在内容和方法上都还存在一定的局限。总体上表现在四个方面:
1)审计的范围问题。针对信息审计的复杂性和规模性。专家们普遍认为目前还缺乏操作层面上的指南,以及如何针对特定的环境和目标进行信息审计 。
2)审计的方法问题。已有的信息审计大多是采用了传统的财务审计方法。如成本/效益方法等,目前还不存在统一的标准化信息审计方法体系。这给信息审计实践造成了很大的困难和混乱。我认为,应将财务审计人员的经验与信息审计实践想融合,尽早开发出一套适用于信息审计方法体系。
3)审计的频率问题。信息审计只是代表了一个组织在某个时间点上的信息状态,需要人们对组织信息资源的更新状况进行追踪。在这个问题上,信息专家应向财务审计人员请教,因为财务审计是经常性进行的。
4)核算问题。由于信息资源的特殊性,往往难以计算出其成本和收益。
4.2系统总体设计
在基于内容的网络安全审计系统中,网络内容获取模块从互联网上取回内容之后,内容分析模块对内容进行分析处理。在拥有足够的网络带宽情况下,内容分析模块的处理速度将成为系统性能的瓶颈。而内容分析模块的处理速度和对敏感信息的识别准确率又是一对矛盾,难以兼顾。采用简单高速的分析算法,识别准确率降低;而采用复杂准确的分析算法,又难以保证处理速度。事实上,在真实的互联网内容中,导致信息污染的网页数量只占网页总量的极小比例(低于1%),暂且将这些信息称为敏感信息。而占网页数量绝大多数的网页内容都是非敏感信息,或者说是中性的,其主题多是各类新闻、学术信息、技术文章、产品信息、文学短篇等,与敏感问题无关。
为了兼顾系统吞吐量和对敏感信息的识别准确率,从敏感信息在网络中的分布比例得到启发,除了采用高性能的计算设备之外,在系统结构上,可以采用双层分析结构。
双层结构的基本思想是把对敏感信息的识别分为两个步骤进行,首先采用简单高速的分析技术,过滤掉绝大部分正常的网页,然后采用复杂准确的分析技术对通过第一层的网页进行进一步分析,从而增强识别网页内容的敏感性。如图1所示为一个双层结构示意图。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
网络信息流
图2双层结构示意图
4.3系统实现技术――数据包还原技术
数据包还原技术数据采集的目的是为了分析其内容。对于基于内容的网络安全监控系统来说,仅分析零碎的数据包是没有任何价值的,必须将一个会话中双向传输的所有数据包进行拼接,并排除协商、应答、重传、包头等网络附加信息,最终实现还原与重放,只有这样才能实现网络内容的监控与审查。应用层协议数据的分析与还原是信息内容安全的重要内容,也是关键技术之一。数据包的还原技术主要包括数据分片重组技术和流重组技术两方面。
4.3.1数据分片重组技术
在跨越网络边界的时候,由于最大传输单元的变化,转发软件(例如路由器)会对数据进行分片,还有一些攻击者会故意发送分片包企图绕过检查。在分片之后,攻击特征可能会分布到几个分片中,因此在处理之前需要进行分片重组,这由相应的预处理模块来完成。在保留分片、重组的处理过程中大量使用了二叉树,运行过程中,内存中维护两个级别的二叉树,分别为主二叉树和二级二叉树,使用这两级二叉树,该模块就可以在内存中保存完整的分片信息。
4.3.2流重组技术
对TCP协议进行流重组,提供会话信息。将捕获的数据包一步一步重组为应用层数据,根据数据物理帧的帧头,模块可以识别出所有的IP包,根据IP包头中的信息(源地址、目的地址、标识号等),模块可以识别出哪些IP包属于同一个TCP或者UDP包,并且将它们重组为TCP或者UDP包,再根据TCP或UDP包头中的信息(源端口号、目的端口号、序号等),恢复原始会话内容。原始内容经过系统进一步处理即可完成应用层协议的重现。
4.4小结
针对网络环境下的安全问题和当前基于内容的网络安全审计产品的不足,以基于内容的审计技术为基础,以信息安全理论为依据,针对网络文本内容审计进行研究,对目前网络不良信息的审计有一定的参考价值。
5结束语
网页内容安全监管是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变得越来越重要。“家门就是国门”,安全监管问题刻不容缓。
通过以上几个层次的技术的交互结合应用,配合有效的监管机制,Web信息安全监管服务系统在可靠性、完整性、可用性和可维护性等几个大的方面,都将有很大的保障。
参考文献
[1]张志坚.也谈网络安全监管.科技信息,2007,31.
[2]涂心环.Web服务器安全问题的探讨.科技咨询导报,2007,27.
[3]陈蜀海,金晖,蹇春蓉.电子商务客户端安全的研究.
[4]李慧,刘东苏.一个新的信息安全管理模型.
[5]李石君,李洲,余军,张科.基于URL过滤与内容过滤的网络净化模型.
[6]康平波,王文杰.基于自动分类的搜索引擎过滤系统.
关键词:网络会计;审计;影响
1审计重要程度的加强及风险的增大
网络会计信息系统以计算机和通信网络为基础,它对计算机系统强烈的依赖性潜伏着巨大的威胁,控制不灵、使用不当就可能造成灾难性的后果,并且存在计算机病毒和“黑客”的肆意侵袭、计算机犯罪等等都导致会计信息失真的风险。因此,审计人员不仅要对经济业务活动产生的数据是否真实、正确、合法进行审计,而且还要对网络会计系统的硬件和软件,进而对整个会计信息系统的安全性、可靠性、内部控制的健全性与有效性等方面进行审计,从而指出被审单位会计信息系统内部管理和控制上的薄弱环节,提高会计信息的可靠性和真实性,有效地利用计算机随意篡改会计数据或破坏磁性介质上的数据等舞弊行为的发生。因此,这网络会计信息系统中,审计工作的重要性远远超过以望。同时,电子商务和经贸活动的网络化使企业与外部的信息交换更为频繁、快捷,经营周期大大缩短,交易活动呈现很强的实时性。审计风险是指会计报表存在重大错报、漏报而审计后发表不恰当审计意见的可能性。理论上讲,审计风险由固有风险、控制风险、检查风险组成。电子商务环境下,审计风险日益复杂:
(1)过渡依赖网络系统。电子商务环境下,主要审计证据来自于网络,其可靠性高度依赖网络系统的可靠性和安全性,而网络系统的开放性导致审计控制风险更加难以确定。
(2)病毒与黑客风险。计算机病毒和黑客可以从地球任何一个角落攻击会计信息系统的数据,给系统造成破坏,导致固有风险增大。
(3)审计线索模糊。电子商务环境下,网络财务会计系统的设计可能使一个完整的交易轨迹只保留一段时间或设计成计算机可读性,可以人为修改数据而不留任何痕迹。因此,私人违规接触会计数据或修改数据以及接触资产而又不留下显见证据的可能性增大。审计线索的不可见性,使检查风险增大。
2审计线索和审计方式的改变
审计线索对审计来说是极为重要的。审计工作中,审计人员正是通过跟踪审计线索,审核有关经济业务和收集审计证据的。而审计的过程,实质上就是不断收集、鉴定和综合运用审计证据的过程。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,都有经受人签字,审计线索十分清楚。审计人员可以从原始单据开始,对交易事项进行追踪,一直到报表为止,也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆查等审计方法。但是,在网络会计系统中,传统的单据没有了,纸质记录消失了,代之的是粗有数据处理资料的磁盘、磁带、光盘等,这些存储在磁性介质上的信息是机器可读的,它们不再是肉眼所能直接识别的了。审计所需的线索和证据完全可能由审计人员通过网络从其他有关方面获得。从而实现了审计线索、审计证据来源的多样化。
在网络世界里,企业的生产和经营的组织形式将处于多样化,并随着不同交易事项自由合成新的经营主体-虚拟企业(VirtualFirms)。虚拟企业存在于计算机网络之中,它是一种临时组成的,没有固定形态和明确空间范围的结合体。它可以随业务活动的需要,由若干相互独立的公司经过整合、重组而成,也可以随交易业务的完成而随时中指。电子商务使得虚拟企业的交易可以在瞬间完成,虚拟企业也就可能在交易完成后立即解散。网络社会的虚拟企业,其存续的时间可以很厂,长达几年或几十年,也可以很短,只存在几秒钟。故虚拟企业的快速结合与解散,要求审计工作必须随时、随地进行,实时、即时提供审计信息,而不能按照传统的审计工作要求,定期提供审计信息。
3审计内容的拓宽
在网络会计系统中,审计的监督职能并没有改变,使审计的内容发生了相应的变化。首先,网络会计系统的特点及其固有的风险决定了审计内容必须包括对网络会计系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的;其次,由于网络会计系统已经开发完成并投入使用后再对它进行修改优化,要比在系统设计阶段对它改过困难得多,代价也昂贵得多。因此网络会计系统的设计应有审计人员(一般是内审人员)的参加。在系统设计开发阶段,审计人员要提醒开发人员注意并监督审查下列问题:
(1)系统的功能是否恰当、完备,能否满足用户商务活动的需要;
(2)系统的数据流程、处理方法是否符合有关贸易法规;
(3)系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊。
4审计方法与技术的改进
在网络会计系统中,审计的对象发生了变化,大量的证据都存储在肉眼不可见的磁性介质上,对这些证据,审计人员只能利用计算机技术进行审查、核对、分析、比较等各项审计工作,从而提高审计的效率与质量。在对会计活动进行审计时,单机系统环境下的审计方法有的已不使用。而网络技术的发展为网络审计软件的开发提供了技术支持,为审计提供了更为便捷的审计方法与技术。具体来讲,审计方法应具有以下特点:
(1)从审计数据获取来看,审计人员可以利用审计接口软件直接获取数据,同时可以通过文件传输、远程登录、网络浏览、电子公告或新闻组等网络工具远程获取信息;
(2)从审计信息的加工处理来看,可以借助各种审计软件对获取的信息进行快速、准确地加工和处理;
(3)从审计报告阶段来讲,可以利用网络发表审计报告,提高报告的时效性,同时扩大审计报告的适用范围。
5对审计主体的相关要求
审计主体即实施审计监督的执行者,也就是审计机构和审计人员。网络系统的发展应用,使得审计人员必须渗透到网络系统的设计、实施、计算机的应用程序,甚至到每一个数据文件中去。为适应网络会计的发展,审计人员应该树立起全新的思维观念:
(1)树立创新意识。网络会计本身是创新的产物,而且远未成型,正处于不断创新和变革之中,同时也源源不断给审计人员带来了挑战。审计人员必须树立创新意识,针对网络会计带来的新情况、新问题,建立全新的审计理论和审计模式,积极探索在新的网络环境下审计目标、审计对象、审计测试、审计准则等方面的理论和方法,这既有利于解决审计面临的难题,同时也有助于推动电子商务的发展。
(2)树立竞争意识。网络会计的兴起,打破了传统的行业壁垒,同样的业务可能为多种行业共享,审计在开展此类业务时将无法享有专有权,尤其计算机网络系统鉴证等业务,其他非审计职业人员同样可以提供此类服务。同时,随着经济全球化,国外会计师事务所机构已经开始进入国内,对国内审计人员和审计机构也形成挑战。国内审计人员必须洞悉市场竞争的变化,调整竞争策略,及时掌握前沿技术,取得竞争优势。
参考文献
[1]刘峰.试论电子商务对审计的影响[J].软科学,2002,(3).
[2]梁心杨.浅论电子商务对审计的影响[J].河北审计,2000,(10).
