1. 利用網絡及安全管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產。

2. 利用網絡遠距離竊取企業的商業秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業的信息系統。

3. 建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的經濟業務的原始記錄以電子憑證的方式存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。

計算機網絡帶來會計系統的開放與數據共享,而開放與共享的基礎則是安全。企業一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現電子貿易、電子信息交換,但也需要守住自己的商業秘密、管理秘密和財務秘密,而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創造一個安全的環境,抵抗來自系統內外的各種干擾和威協,做到該開放的放開共享,該封閉的要讓黑客無奈。

一、網絡安全審計及基本要素

安全審計是一個新概念,它指由專業審計人員根據有關的法律法規、財產所有者的委托和管理當局的授權,對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證,并作出相應評價。

沒有網絡安全,就沒有網絡世界。任何一個建立網絡環境計算機會計系統的機構,都會對系統的安全提出要求,在運行和維護中也都會從自己的角度對安全作出安排。那么系統是否安全了呢?這是一般人心中無數也最不放心的問題。應該肯定,一個系統運行的安全與否,不能單從雙方當事人的判斷作出結論,而必須由第三方的專業審計人員通過審計作出評價。因為安全審計人員不但具有專門的安全知識,而且具有豐富的安全審計經驗,只有他們才能作出客觀、公正、公平和中立的評價。

安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業根據具體的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統的安全薄弱環節,容易被干擾或破壞的地方。控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規范制度。控制測試是將企業的各種安全控制措施與預定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防范是否有效,評價企業安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業技術知識與技能。

安全審計是審計的一個組成部分。由于計算機網絡環境的安全將不僅涉及國家安危,更涉及到企業的經濟利益。因此,我們認為必須迅速建立起國家、社會、企業三位一體的安全審計體系。其中,國家安全審計機關應依據國家法律,特別是針對計算機網絡本身的各種安全技術要求,對廣域網上企業的信息安全實施年審制。另外,應該發展社會中介機構,對計算機網絡環境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業的計算機網絡系統的安全作出評價的機構。當企業管理當局權衡網絡系統所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網絡安全專家,他們對網絡的安全控制作出評價,幫助注冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判斷。