① 信息網路安全的信息網路安全事件與事件響應
信息網路安全事件的具體含義會隨著「角度」的變化而變化,比如:從用戶(個人、企業等)的角度來說,個人隱私或商業利益的信息在網路上傳輸時受到侵犯,其他人或競爭對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私,破壞信息的機密性、完整性和真實性。
從網路運行和管理者角度說,安全事件是對本地網路信息的訪問、讀寫等操作,出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,或遭受網路黑客的攻擊。對保密部門來說,則是國家機要信息泄露,對社會產生危害,對國家造成巨大損失。從社會教育和意識形態角度來講,被利用在網路上傳播不健康的內容,對社會的穩定和人類的發展造成阻礙等都是安全事件。對於網路運行和管理來說,網路攻擊和計算機病毒傳播等安全事件的響應處置包括6個階段:
1、准備階段,基於威脅建立一組合理的防範、控制措施,建立一組盡可能高效的事件處理程序,獲得處理問題必須的資源和人員,最終建立應急響應體系。
2、檢測階段,進行技術檢測,獲取完整系統備份,進行系統審計,分析異常現象,評估事件范圍,報告事件。
3、控制階段,制定可能的控制策略,擬定詳細的控制措施實施計劃,對控制措施進行評估和選擇,記錄控制措施的執行,繼續報告。
4、根除階段,查找出事件根源並根除之,確認備份系統的安全,記錄和報告。
5、恢復階段,根據事件情況,從保存完好的介質上恢復系統可靠性高,一次完整的恢復應修改所有用戶口令。數據恢復應十分小心,可以從最新的完整備份或從容錯系統硬體中恢復數據,記錄和報告。
6、追蹤階段,非常關鍵,其目標是回顧並整合發生事件信息,對事件進行一次事後分析,為下一步進行的民事或刑事的法律活動提高有用的信息。
② 網路安全的背景.
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
1、Internet是一個開放的、無控制機構的網路,黑客(Hacker)經常會侵入網路中的計算機系統,或竊取機密數據和盜用特權,或破壞重要數據,或使系統功能得不到充分發揮直至癱瘓。
2、Internet的數據傳輸是基於TCP/IP通信協議進行的,這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。
3、Internet上的通信業務多數使用Unix操作系統來支持,Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。
4、在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄露等,在應用層支持的服務協議中是憑著君子協定來維系的。
5、電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。
6、計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。
網路安全由於不同的環境和應用而產生了不同的類型。主要有以下幾種:
(1)系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
(2)網路信息安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
(3)信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上自由傳輸的信息失控。
(4)信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
以上內容參考 網路-網路安全;網路-網路信息安全
③ 數據審計是什麼意思
資料庫審計是對資料庫訪問行為進行監管的系統,一般採用旁路部署的方式,通過鏡像或探針的方式採集所有資料庫的訪問流量,並基於SQL語法、語義的解析技術,記錄下資料庫的所有訪問和操作行為,例如訪問數據的用戶(IP、賬號、時間),操作(增、刪、改、查)、對象(表、欄位)等。資料庫審計系統的主要價值有兩點,一是:在發生資料庫安全事件(例如數據篡改、泄露)後為事件的追責定責提供依據;二是,針對資料庫操作的風險行為進行時時告警。
二、資料庫審計怎麼審?
1、資料庫訪問流量採集
流量採集是資料庫審計系統的基礎,只有做到資料庫訪問流量的全採集,才能保證資料庫審計的可用性和價值,目前主要的流量採集方式主要有兩種:
鏡像方式:採用旁路部署通過鏡像方式獲取資料庫的所有訪問流量。一般適用於傳統IT架構,通過鏡像方式將所有訪問資料庫的流量轉發到資料庫審計系統,來實現資料庫訪問流量的獲取。
探針方式:為了適應「雲環境」「虛擬化」及「一體機」資料庫審計需求,基於「探針」方式捕獲資料庫訪問流量。適用於復雜的網路環境,在應用端或資料庫伺服器部署Rmagent組件(產品提供),通過虛擬環境分配的審計管理網口進行數據傳輸,完成資料庫流量採集。
探針式數據採集,還可以進行資料庫本地行為審計,包括資料庫和應用系統同機審計和遠程登錄後的客戶端行為。
2、語法、語義解析
SQL語法、語義的解析技術,是實現資料庫審計系統可用、易用的必要條件。准確的資料庫協議解析,能夠保障資料庫審計的全面性與易用性。全面的審計結果應該包括:訪問資料庫的應用層信息、客戶端信息、資料庫信息、對象信息、響應信息、登錄時間、操作時間、SQL響應時長等;高易用性的資料庫審計產品的審計結果和報告,應該能夠使用業務化的語言呈現出對資料庫的訪問行為,例如將資料庫中的要素客戶端IP、資料庫用戶、SQL 操作類型、資料庫表名稱、列名稱、過濾條件變成業務人員熟悉的要素:辦公地點、工作人員名稱、業務操作、業務對象、業務元素、某種類別的業務信息。這樣的是審計結果呈現即便是非專業的DBA或運維人員的管理者或業務人員也能夠看懂。
三、資料庫審計的價值?
1、資料庫相關安全事件的追溯與定責
資料庫審計的核心價值是在發生資料庫安全事件後,為追責、定責提供依據,與此同時也可以對資料庫的攻擊和非法操作等行為起到震懾的作用。資料庫自身攜帶的審計功能,不僅會拖慢資料庫的性能,同時也有其自身的弊端,比如高許可權用戶可以刪除審計日誌,日誌查看需要專業知識,日誌分析復雜度高等。獨立的資料庫審計產品,可以有效避免以上弊端。三權分立原則可以避免針對審計日誌的刪除和篡改,SQL語句解析技術,可以將審計結果翻譯成通俗易懂的業務化語言,使得一般的業務人員和管理者也能看懂。
2、資料庫風險行為發現與告警
資料庫審計系統還可以對於針對資料庫的攻擊和風險操作等進行實時告警,以便管理人員及時作出應對措施,從而避免數據被破壞或者竊取。這一功能的實現主要基於sql的語句准確解析技術,利用對SQL語句的特徵分析,快速實現對語句的策略判定,從而發現資料庫入侵行為、資料庫異常行為、資料庫違規訪問行為,並通過簡訊、郵件、Syslog等多種方式實時告警。
3、滿足合規需求
滿足國家《網路安全法》、等保規定以及各行業規定中對於資料庫審計的合規性需求。並可根據需求形成不同的審計報表,例如:綜合報表、合規性報表、專項報表、自定義報表等。
④ 所謂的上網行為審計可以知道多少內容
瀏覽過什麼網頁,這個肯定會被學校的網路中心的人看到,肯定會有保存瀏覽記錄;
聊天記錄也是肯定可以監控的,也會有保存,但有加密功能的聊天軟體則不會被保存記錄;
下載的文件名或地址鏈接肯定可以監控的,也會有保存,但具體這個視頻或音頻的內容是什麼樣的則不會被保存;
上網行為審計可以知道你們的以下內容:
網頁瀏覽(HTTP)審計
加密網頁瀏覽(HTTPS)審計
網路聊天審計(IM)
加密網路聊天內容審計(QQ、MSNSHELL)
收發郵件審計(標題、正文、附件)
P2P、BT 協議審計和封堵
搜索關鍵詞審計
文件傳輸(FTP 協議)審計
音視頻審計
網路游戲審計
帶寬流量管理(QoS)
時間控制策略
分析和統計功能
路由功能
防火牆功能
預防DOS攻擊
VPN功能
認證方式
VLAN支持
非法外聯控制
VPN、VNC等遠程應用軟體審計
語音聊天記錄
擴展性(網路級聯)
多線路支持
時間管理控制
文件下載類型控制
文件上傳本地存檔
用戶許可權管理
⑤ 網路安全審計產品是什麼網站公安局備案要的!
網路安全審計系統針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的有效監督,預防、制止數據泄密;
滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便於信息追蹤、設備定位、系統安全管理和風險防範。
目前,市場上有成熟的網路安全審計產品方案解決供應商,產品用於監控用戶信息,為顧客提供安全網路防護和幫助公安部門更好、更快捷的進行安全監管。
要求:
記錄並留存用戶登陸和退出時間、主叫號碼、賬號、互聯網地址和域名、系統維護日誌;
記錄留存用戶注冊信息並向公安部門公共信息網路安全報警處置中心上傳數據;
在公共信息服務中發現、停止傳輸違法信息,並保留相關記錄;
具有至少60天記錄備份功能等。
要做備案的話,安裝能夠實現上述要求的安全產品即可。
⑥ 網路安全審計產品是什麼
網路安全審計產品一般是之公司電腦或者網路審計軟體。
對公司電腦網路進行有效管理,我們公司用的是域之盾軟體
功能比如
行為監控
監控即時通訊.電子郵件、文件操作等行為。
移動儲存安全
移動設備許可權管控, U盤加密,設備管理。
可視化報表
數據可視化,智能、直觀、簡潔。
文檔安全管控
管控文檔安全,防止數據泄密。
資產管理
軟、硬體資產統計,變更告警。
運維工具
軟體分發、遠程協助、文檔備份、補丁管理等。
⑦ 審計追蹤包括哪些方面
審計追蹤:指一種元數據,包含創建、修改和刪除等GXP記錄相關信息。在紙質或電子記錄中,審計追蹤可以安全地記錄一些數據的生命周期細節,如在記錄中創建,補充,刪除或變更信息,卻不掩蓋或覆蓋原始記錄。審計追蹤有助於重現所記錄的事件歷史,包括某項行動「由誰做、做了什麼、何時做和為什麼這樣做」。
其本身是一種記錄,這種記錄記錄下了GXP記錄(創建修改或刪除)的狀態變化,讓所有人能查詢到是誰,什麼時候做了什麼,對於關鍵的記錄狀態的變化還需要知道為什麼要這么做。
審計追蹤的核心目的是實現變化的可追溯,業內狹義的審計追蹤是指以電子形式的記錄存在的。廣義上,手寫記錄的杠改記錄和文件的升版歷史及批准都是一種審計追蹤。
元數據(Metadata)的過程中,提到了審計追蹤就是一種元數據,這段定義的第一行,也一脈相承,闡述了審計追蹤就是一種元數據的概念,而審計追蹤做為元數據,闡述的是整合數據在生命周期內的變化情況,包括GxP數據的產生,修改和刪除。
這里需要強調的是,MHRA所謂的審計追蹤,其實是一個狹義的審計追蹤,針對的是GxP記錄,現在行業里有一個不太好的趨勢,是將審計追蹤的范圍擴得太大,將一些系統安全層面的日誌,也叫成了審計追蹤,比如誰登陸了系統,比如一些系統配置參數的修改記錄,這么理解,會給後續的審計追蹤審核策略的制訂帶來比較大的麻煩。
審計追蹤還有兩個重要的要求,一個是安全(Security Recording),一個是不能刪除原來的記錄(Without obscuring or overwriting),同時,審計追蹤的主要作用在於追溯和重現GxP活動以及相應的記錄變化過程。
安全,我們不做過多的闡述, 任何有用的數據,都應該有相應的安全控制要求,如果是系統生成的電子數據,安全設計和考量應該體現在系統驗證的過程中;如果是紙質記錄,也應該有相應的規程式控制制,確保紙質記錄不被替換、故意撕毀等,紙質記錄完成後,也應該按照規定的頻率對數據進行歸檔。
第二點要求,大家可以想像一下對紙質記錄修改的要求,比如單劃線劃去,寫上新的值,保持原值可見,同時簽名簽日期,體現誰做了修改,每一個數據產生後,如果發生修改,是應該有合理的理由的,而這個理由的合理不合理,除了修改人本身需要註明外,往往也需要第二個人對修改進行復核,這就是對審計追蹤審核的要求,尤其是關鍵的批釋放相關的數據,實驗相關的數據。
所以,審計追蹤那麼麻煩,需要去建立審核的策略,那麼,最好的辦法就是從系統設計上杜絕數據被修改和刪除的可能,在數據不能被修改、刪除的情況下,審計追蹤往往只是追溯了數據的產生,對於一些簡單的系統,是可以有這種方式的,但復雜一些的系統,如果涉及到數據的處理,則需要考慮具備審計追蹤的功能。
概括一下,審計追蹤是一種元數據,目的在於追溯誰,在什麼時間,對數據做了什麼樣的活動,審計追蹤主要是指狹義的對GxP記錄的生命周期活動的追溯,審計追蹤需要有安全考量,並且不可刪除原始的記錄,審計追蹤有助於重現GxP活動。
⑧ 上網行為管理與網上行為審計
上網行為管理是指幫助互聯網用戶控制和管理對互聯網的使用。其包括對網頁訪問過濾、上網隱私保護、網路應用控制、帶寬流量管理、信息收發審計、用戶行為分析等。
上網行為管理產品及技術是專用於防止非法信息惡意傳播,避免國家機密、商業信息、科研成果泄漏的產品;並可實時監控、管理網路資源使用情況,提高整體工作效率。上網行為管理產品系列適用於需實施內容審計與行為監控、行為管理的網路環境,尤其是按等級進行計算機信息系統安全保護的相關單位或部門。
標准功能
上網瀏覽管理
搜索引擎管理:利用搜索框關鍵字的識別、記錄、阻斷技術,確保上網搜索內容的合法性,避免不當關鍵詞的搜索帶來的負面影響。
網址URL管理:利用網頁分類庫技術,對海量網址進行提前分類識別、記錄、阻斷確保上網訪問的網址的合法性。
網頁正文管理:利用正文關鍵字識別、記錄、阻斷技術,確保瀏覽正文的合法性
文件下載管理:利用文件名稱/大小/類型/下載頻率的識別、記錄、阻斷技術確保網頁下載文件的合法性
.
上網外發管理
普通郵件管理:利用對SMTP收發人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發郵件的合法性
WEB郵件管理:利用對WEB方式的網頁郵箱的收發人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發郵件的合法性
網頁發帖管理:利用對BBS等網站的發帖內容的標題、正文關鍵字進行識別、記錄、阻斷確保外發言論的合法性
即時通訊管理:利用對MSN、飛信、QQ、skype、雅虎通等主流IM軟體的外發內容關鍵字識別、記錄、阻斷確保外發言論的合法性
其他外發管理:針對FTP、TELNET等傳統協議的外發信息進行內容關鍵字識別、記錄、阻斷確保外發信息的合法性
上網行為審計基於應用層協議還原的行為和內容審計
網頁瀏覽(HTTP協議)審計,記錄機器IP、訪問網址等信息記錄用戶網頁瀏覽的時間、URL 地址、標題、源目的IP地址、源MAC地址、源目的埠、網址分類信息、機器名稱、使用者。還可以記錄網頁發帖和BBS發帖的內容、支持常見的搜索引擎關鍵字審計。
網路聊天審計:騰訊QQ、Windows Live Messenger、ICQ 、YAH0O Messenger、網易泡泡、淘寶阿里旺旺、新浪UC、QQ聊天室等聊天軟體,可記錄聊天帳號,聊天工具,未加密的聊天內容等信息記錄用戶聊天的時間、聊天工具、聊天帳號、源IP地址、源MAC地址、機器名稱、使用者。還能記錄通過MSN、 ICQ、YAHOO MESSENGER、UC等聊天工具聊天的內容和文件傳輸的內容。
收發郵件( POP3、SMTP、WEBMAIL、LOTUS、EXCHANGE),可對郵件帳號、標題、內容、附件進行審計。如記錄用戶收發郵件的時間、收發件人、主題、附件、內容、源目的IP 地址、源MAC地址、源目的埠、機器名稱、使用者。
P2P協議審計可以審計通過P2P文件傳輸(迅雷、BT、 電騾等)時種子鏈接所訪問的URL、源目的IP地址、源MAC地址、外網埠、機器名稱、使用者。管理員可以根據URL對種子文件進行封堵。
股票審計:審計大智慧、問花順、錢龍等股票軟體記錄用戶炒股。
用的大智慧、同花順、錢龍等股票工具的使用時間、源IP地址、源MAC地址、軟體名稱、機器名稱、使用者。
搜索關鍵詞審計:、google等常見搜索網站遠程登錄(TELNET協議)審計文件傳輸(FTP 協議)審計除了記錄用戶文件傳輸的行為外,還能記錄包括BT在內的文件傳輸行為的傳輸方向,上傳文件名,文件大小,狀態,傳輸類型。指定允許發送/接收到文件伺服器。
⑨ 網路安全審計的審計跟蹤
審計跟蹤(Audit Trail)指按事件順序檢查、審查、檢驗其運行環境及相關事件活動的過程。審計跟蹤主要用於實現重現事件、評估損失、檢測系統產生的問題區域、提供有效的應急災難恢復、防止系統故障或使用不當等方面。
審計跟蹤作為一種安全機制,主要審計目標是:
(1)審計系統記錄有利於迅速發現系統問題,及時處理事故,保障系統運行。
(2)可發現試圖繞過保護機制的入侵行為或其他操作。
(3)能夠發現用戶的訪問許可權轉移行為。
(4)制止用戶企圖繞過系統保護機制的操作事件。
審計跟蹤是提高系統安全性的重要工具。安全審計跟蹤的意義在於:
(1)利用系統的保護機制和策略,及時發現並解決系統問題,審計客戶行為。在電子商務中,利用審計跟蹤記錄客戶活動。包括登入、購物、付賬、送貨和售後服務等。可用於可能產生的商業糾紛。還用於公司財務審計、貸款和稅務監查等。
(2)審計信息可以確定事件和攻擊源,用於檢查計算機犯罪。有時黑客會在其ISP的活動日誌或聊天室日誌中留下蛛絲馬跡,對黑客具有強大的威懾作用。
(3)通過對安全事件的不斷收集、積累和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,以提供發現可能產生破壞性行為的有力證據。
(4)既能識別訪問系統的來源,又能指出系統狀態轉移過程。 安全審計跟蹤主要重點考慮以下兩個方面問題:
(1)選擇記錄信息。審計記錄必須包括網路系統中所有用戶、進程和實體獲得某一級別的安全等級的操作信息,包括用戶注冊、用戶注銷、超級用戶的訪問、各種票據的產生、其他訪問狀態的改變等信息,特別應當注意公共伺服器上的匿名或來賓賬號的活動情況或其他可疑信息。
實際上,收集的信息由站點和訪問類型不同而有所差異。通常收集的信息為:用戶名、主機名、許可權的變更信息、時間戳、被訪問的對象和資源等。具體收集信息的種類和數量經常還受限於系統的存儲空間等。
(2)確定審計跟蹤信息所採用的語法和語義定義。主要確定被記錄安全事件的類別(如違反安全要求的各種操作),並確定所收集的安全審計跟蹤具體信息內容。以確保安全審計的實效,更好地發揮安全審計跟蹤的重要作用。
審計是系統安全策略的一個重要組成部分,它貫穿整個系統運行過程中,覆蓋不同的安全機制,為其他安全策略的改進和完善提供了必要的信息。對安全審計的深入研究,為安全策略的完善和發展奠定重要基礎和依據。
⑩ 聯網審計的起源
目前審計機關已經開始實現對具備條件的被審計單位在網路互連環境下開展審計工作,審計人員一般把這種審計方式稱為聯網審計。聯網審計方式在審計觀念、審計行為等方面與傳統現場審計方式有著較大的不同,有必要明確聯網審計的一些基本問題。
一、聯網審計的特徵、定義和意義
目前,審計署對中央部門的聯網審計,是在審計署部門審計局與被審計的部門預算單位進行網路連接的基礎上,運用現場審計實施系統進行財政財務收支審計,並通過該系統與辦公自動化系統的連接實現網路化的審計管理;地方審計機關的聯網審計,多數是通過與集中會計核算、集中資金管理的行政事業單位結算中心等數據大、集中的信息系統在網路連接基礎上進行財政財務收支審計。從試點情況與「金審工程」的目標定位來看,與傳統的現場審計相比,在聯網審計中,審計機關的審計手段、對象、方式和技術有所不同,但是審計機關的基本職責、審計的性質沒有發生變化。
關於聯網審計的特徵。與傳統現場審計相比,聯網審計有四項突出特徵:一是實現適時審計。審計人員通過網路訪問被審計單位財政財務信息資料庫,縮短了每次檢查活動的相隔期間以及檢查時間,對於具體的財政財務收支事項,既可以在該事項結束後實施審計,也可以在該事項進行過程中適時進行審計,從而實現了事後審計與事中審計的結合,靜態審計與動態審計的結合。二是實現遠程審計。聯網審計中,審計機關可以通過網路遠程訪問被審計單位的財政財務管理系統及其資料庫或資料庫備份,隨著被審計單位信息化程度的逐步提高,通過遠程訪問完成審計的程度也將得到提高,適時性特徵也因此而更加明顯。三是實現更高效率地數據採集和分析。數據採集和分析的效率是採集和分析的數據量與時間的比,在傳統現場審計中,審計人員利用計算機輔助實施審計數據的採集和分析,在數據量上受到所攜帶設備、審計范圍的限制;在時間上受到現場組網和審計進度的影響。聯網審計中,網路連接一次性完成,其數據採集和分析的數量,基本不受設備限制;審計范圍在事前確定為最大可能的范圍;時間不受現場組網時間與審計期間影響。因此,聯網審計具有更高的審計數據採集和分析效率。四是信息系統成為新的、必須開展的、並且處於首要地位的審計內容。在聯網審計中,由人、計算機硬體、軟體和數據源組成,負責收集、加工存儲、傳遞和提供決策所需信息的信息系統,成為內部控制的新內容,涉及內部控制的各個要素。在網路互連的方式下,信息系統是財政財務數據源的必然載體,因此它不僅決定了審計人員對會計和其他經濟信息的依賴程度,更重要的是決定了是否可以依賴。在傳統現場審計中,審計人員通過內部控制測評,完成對會計和其他經濟信息的可依賴性,控制風險水平對實質性測試的性質、范圍、時間和重點的影響等情況的確定。在被審計單位為小規模單位、相關內部控制不存在、內部控制存在但並未有效執行、內部控制測試和控制風險評估的工作量可能大於其所能減少的實質性測試工作量等情況下,審計人員無須對相關內部控制進行測評。正是因為傳統現場審計與聯網審計所需數據來源的上述區別,信息系統審計在聯網審計中是必須具備的審計環節。概括而言,信息系統審計是通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。
根據上述特徵,可以將聯網審計定義為:審計機關與被審計單位進行網路互連後,在對被審計單位財政財務管理相關信息系統進行測評和高效率的數據採集與分析的基礎上,對被審計單位財政財務收支的真實、合法、效益進行適時、遠程檢查監督的行為。
聯網審計具有以下意義:
一是有利於推動財政財務收支相關數據和業務處理日益電子化、信息化、網路化形勢下審計工作的開展。目前,我國電子政務12個重點業務工程中,金財、金關、金稅、金融監管、社會保障等業務系統正在建設之中,有的已經進入全國數據大集中階段,尤其是與審計工作密切相關的組織中央預算執行和國庫集中支付的金財工程正在不斷建設與完善。與此同時,大型國有企業的ERP系統、國家重大基本建設項目的管理系統等的建設也在不斷推進。在掌握國家重要資金和資產的政府部門、領域不斷信息化、網路化的條件下,審計機關要有效地履行審計監督職責,必須順應這種形勢的發展,積極探索審計的新途徑和新方法。從聯網審計的特徵看,它已經成為新形勢下開展審計工作的必然選擇,隨著網路環境的不斷成熟與審計實施系統的不斷開發完善,這種方式將發揮更大的作用。
二是有利於在新形勢下有效配置審計資源、提高審計效率,進一步貫徹落實「全面審計、突出重點」的審計工作方針。財政財務收支相關數據和業務處理電子化、信息化、網路化的過程中,一些手工、紙質財務和業務處理方式在一定范圍內同時存在,傳統現場審計與聯網審計也將同時存在。為此,審計機關可以利用聯網審計遠程獲取被審計單位財務數據的特徵,合理安排聯網與現場審計項目,有效地配置和利用審計資源,實現以最少的審計資源,取得最大的審計成果。同時,審計機關可以利用聯網審計適時審計、高效率數據採集與分析的特徵,將部門預算執行審計等時間、項目集中的審計工作進行分解,避免因時間緊、任務重導致審計效率低下、質量低劣。正是由於聯網審計在審計資源配置與提高審計效率方面的強大優勢,藉助於聯網審計,有利於審計機關更為有效、准確地處理好一般與重點的關系,處理好現階段任務與長遠目標的關系,在抓重點中處理好數量與質量的關系,促使「全面審計、突出重點」的審計工作方針在新的形勢下將進一步得到貫徹落實。
三是有利於提高審計質量。開展聯網審計,可以使審計工作從事後審計轉變為事後審計與事中審計相結合,從靜態審計轉變為靜態審計與動態審計相結合,從現場審計轉變為現場審計與遠程審計相結合。這些轉變,能夠使一些違紀違規問題被及時發現和糾正,能夠在動態的監督中關注資金與項目的效益,能夠及時、准確地為決策部門提供決策信息,從而提高審計質量,充分發揮審計監督的作用。
二、聯網審計的法律依據
關於當前正在實施的聯網審計,審計人員有一些不同的認識。一種觀點認為,審計具有法定的程序,目前在網路環境下的這種隨時檢查,不符合審計法關於審計程序的規定,因而不是審計。一種觀點認為,審計機關無權通過聯網隨時檢查政府部門的財政財務管理系統。這些問題都與聯網審計是否有法律依據有關。按照前述聯網審計的定義可以看出,聯網審計的本質就是審計,是在網路互連環境下具有其特殊方法和技術手段的審計。與傳統審計不同的是,聯網審計是由於審計環境發生變化,必須在網路環境下進行的審計工作。根據這一性質,我們認為,審計機關在聯網審計中的基本職責與許可權在現行審計法規規范范圍以內,但是由於技術方法的變化,關於聯網審計的審計程序、審計技術方法的法規還有待完善。
根據法律法規的規定,審計機關具有聯網審計檢查權等聯網審計權力。根據《審計法》第32條關於「審計機關進行審計時,有權檢查被審計單位的會計憑證、會計賬簿、會計報表以及其他與財政收支或者財務收支有關的資料和資產,被審計單位不得拒絕」的規定,以及《審計法實施條例》第30條關於「審計機關有權檢查被審計單位運用電子計算機管理財政收支、財務收支的財務會計核算系統。被審計單位應當向審計機關提供運用電子計算機儲存、處理的財政收支、財務收支電子數據以及有關資料」的規定,審計機關具有檢查被審計單位財政收支或者財務收支有關的資料和資產的權力。在聯網審計中,由於被審計單位資料以電子數據等新的形式存在,審計機關的檢查權在實施手段和途徑上發生變化,但權力本身並沒有消失。同樣,根據審計法規,審計機關還有通過聯網取得資料權等權力。為了將高新技術運用於審計工作之中,更有效地對財政收支、財務收支進行審計監督,2001年頒發的《國務院辦公廳關於利用計算機信息系統開展審計工作有關問題的通知》(國辦發〔2001〕88號),進一步明確了審計機關的聯網審計權,是目前審計機關開展聯網審計的直接依據。該通知規定,「審計機關有權檢查被審計單位運用計算機管理財政收支、財務收支的信息系統。被審計單位應當按照審計機關的要求,提供與財政收支、財務收支有關的電子數據和必要的計算機技術文檔等資料。審計機關在對計算機信息系統實施審計時,被審計單位應當配合審計機關的工作,並提供必要的工作條件。」此外,該通知還明確了數據介面、計算機信息系統處理的電子數據的保存、法律責任等相關問題。開展聯網審計試點的地方政府也制定了一些規范性文件。2002年7月,湖北省老河口市《關於對會計集中核算單位開展審計監督有關問題的意見》,規定「在審計中,審計機關可直接從會計核算中心提取有關資料,會計核算中心應為審計機關聯網提供條件」。2003年4月,佛山市南海區政府《關於開展計算機審計工作的通知》,規定「區審計局應積極穩妥地開展聯網審計工作,依託電子政務安全平台與區、鎮(街道)各部門、事業單位、社會團體和有關企業等被審計單位實現聯網。有關單位要配合區審計局開展計算機聯網審計工作,並提供必要的工作條件,其運用計算機技術管理財政收支、財務收支及其相關數據的信息系統均應給予區審計局查詢的許可權」。三、聯網審計的聯網方式、審計內容和部門預算執行聯網審計的具體做法
聯網審計的特徵和目標決定了聯網審計的具體聯網方式,主要有兩種:一是與集中會計核算、集中資金管理的數據大、集中的信息系統進行聯網,可以稱為大聯網,例如審計機關對企業集團、行政事業單位結算中心的聯網等;二是審計機關與被審計單位進行聯網,可以稱為點對點聯網,如審計署經濟執法審計局與國家工商行政管理總局的聯網。從部門預算執行聯網審計試點實踐看,其聯網方式有所不同,試點的地方審計機關採用大聯網方式,審計署試行點對點聯網方式。審計實踐中還存在現場聯網方式,即在現場審計中,臨時組網進行一定范圍的審計。這種聯網方式在地方審計機關和審計署都已經形成了一些較為可行的做法和經驗。由於現場聯網審計不符合適時、遠程的特點,本文不將其納入聯網審計的研究范圍。
同樣,聯網審計的特徵和目標也決定了聯網審計的審計內容,主要有兩個方面:一是對電子化的財政財務數據的審計,二是對處理財政財務數據的信息系統的審計。我們可以將前一方面的審計稱為聯網數據審計,後一方面的審計稱為聯網系統審計。根據聯網審計的特徵,對聯網審計的審計內容做這種劃分還有兩點理由:一是可以繼承關於計算機審計分為對計算機會計信息系統的審計和計算機輔助審計的一般認識,實現對在網路環境下審計實際情況的重新描述,即將對計算機會計信息系統的審計、計算機輔助審計分別描述為,在網路環境下對財政財務管理系統的審計和利用計算機網路進行的數據審計。二是可以在聯網審計中進一步貫徹落實「全面審計、突出重點」的審計工作方針。在系統審計中,對財政財務管理系統進行測試等審計方法,可以實現用盡量少的審計人員在最快的時間內完成某項審計任務,這為「全面審計」奠定了基礎。在數據審計中,審計人員力圖取得資料數據的工作思路與傳統審計一致,同時還可以藉助聯網手段,更有效地取得、處理審計所需資料數據,這是在新的審計環境中對「突出重點」這一方針的落實。
為了充分利用聯網數據審計和系統審計的優勢,有效地發揮聯網審計的作用,審計機關有必要在數據審計和系統審計兩個方面中作出適當選擇,有所側重。決定聯網審計內容重點的因素包括:一是政府管理信息化程度。政府信息化程度較高,部門信息管理系統可依賴性強,系統審計的優勢就更加突出,反之數據審計的優勢就更加突出。二是政治經濟發展大局。政治經濟在不同的發展時期,對審計工作有不同的要求,籍此確立的審計工作方針決定了對不同部門審計監督的具體思路。立足投入較少的審計力量達到可控范圍內的監督,可以採取系統審計。立足深入透徹地了解並監督被審計單位的財政財務管理,可以採取數據審計。三是政府審計類型。在以財務審計為主的國家,聯網審計以數據審計為主,例如,在羅馬尼亞,《羅馬尼亞會計法院組織和運作法》明確了該國最高審計機關會計法院主要實施財務審計,同時,該國聯網審計以數據審計為主,產生了對公共財政委員會負責管理和維護的增值稅退稅與支付應用系統資料庫進行審計等,他們稱為資料庫審計的聯網審計類型。在效益審計為主的國家,聯網審計以系統審計為主。從世界范圍來看,歐美發達國家、英聯邦國家等以效益審計為主的國家都以系統審計為主,如美國、英國、印度等。北歐的挪威等國家還把系統審計發展到政府部門網站信息的真實性評價。以效益審計為主的國家,審計機關對系統進行審查,既可以評價系統本身的經濟性、效率性和效果性,也可以通過測試程序最大程度地評價系統處理數據的經濟性、效率性和效果性,只要在審查過程中注意通過對處理程序的評價、判斷、修正來確保數據的真實性,也可以達到數據審計的最終目的。部門預算執行聯網審計具體應採取哪些做法,如何選擇聯網審計的方式和內容,目前沒有統一的觀點,只有對該不該聯網、如何聯網有一些認識。例如,一種觀點認為,在按照預算單位資金量大小和所屬單位數量多少將中央部門分成A、B、C三類的基礎上,只要對C類資金量相對小,所屬部門相對少的部門採用聯網審計就能夠達到審計監督的目的。這里的聯網方式指大聯網或點對點聯網,審計內容則指數據審計。綜合考慮各方面因素,部門預算執行聯網審計應當根據網路環境、被審計單位的信息化狀況等具體審計環境,認真選擇具體做法。具體應考慮以下幾點:一是聯網部門管理的資金量和所屬單位數量。對有集中會計核算、集中資金管理的數據大、集中的行政事業單位結算中心的信息系統,在大聯網方式下,系統審計與數據審計並重;資金量小、所屬單位少的一般部門和一般領域,在點對點聯網方法下重點實施系統審計;其餘的部門在系統基本評估的基礎上重點進行數據審計。二是年度審計計劃。對年度審計計劃確定的被審計部門和被審計領域在系統審計基礎上進行有重點的數據審計,其餘的只需實施系統審計。三是被審計部門的信息化管理狀況。對信息化管理規范、水平高的部門重點實施系統審計,否則在系統基本評估的基礎上實施數據審計。
四、部門預算執行聯網審計應明確的問題
目前,開展部門預算執行聯網審計限制條件很多,如審計機關與審計范圍內的政府部門的聯網方式不統一,聯網審計沒有準則規范,系統審計與數據審計的內涵、技術手段區分不明確等,因此,有必要明確部門預算執行聯網審計的以下問題:
一是有選擇地確定被審計單位。根據聯網審計的特徵,審計機關與被審計單位實現網路互連需要投入價值不菲的計算機設備,同時還需要培訓精通於計算機相關專業知識的審計人員,從審計成本與審計收益的配比關系看,對於不同的審計機關,並不是實現聯網審計一定比現場審計具有優勢,更有利於實現審計目標。實施聯網審計必須堅持抓重點的原則,在現場手工審計和一般計算機輔助審計可以有效實現審計目標的情況下,不選擇開展聯網審計。也即是說,實施部門預算執行聯網審計的被審計單位應當是有必要通過適時、遠程、高效率的數據採集和分析手段進行監督的部門。確定這些部門的標准包括:被審計單位數據相對集中、覆蓋面廣;具有海量數據;審計機關有必要對該單位的數據實施經常性的監督。
二是正式發出審計通知書或專項審計調查通知書。目前,部門預算執行聯網審計工作的目標是力爭在實現大聯網、點對點網路連接的情況下實施審計。在聯網情況不統一,制度不健全的情況下,聯網審計所需要的時間跨度長,且具有適時的特點,因此有觀點認為,在試點階段不能給被審計單位發出審計通知書,只對被審計單位發出聯網審計的通知函。本文認為,根據現行法律法規,為避免審計風險,對具備聯網審計的部門預算單位應當發出審計通知書或專項審計調查通知書,形成明確的審計或專項審計調查關系,使聯網審計試點工作在法定的程序內啟動與逐步完善。對聯網審計單位發出審計通知書對更好地開展試點階段的聯網審計工作的優勢表現為:首先,有利於審計人員根據《審計機關審計項目質量控制辦法(試行)》關於審前調查的程序,了解被審計單位相關內部控制及其執行等情況,收集與審計項目有關電子數據、數據結構文檔等資料,根據需要選擇到被審計單位調查了解情況,對被審計單位進行試審,查閱相關資料。其次,有利於在聯網審計試點階段,當審計人員發現審計效果不明顯時,進一步實施現場審計。再次,有利於審計人員根據現行審計工作方針和審計管理制度,在年度預算執行審計啟動後,根據審計工作進度與安排,適時將聯網數據審計做為現場審計的輔助手段完成法定的審計過程。同樣,如果對聯網審計單位發出專項審計調查通知書,審計人員可以根據相關規定進行合法的調查與取證。三是審計工作過程要依法進行。首先,審計人員要依法對被審計單位電子數據承擔保密責任。聯網審計中,審計人員可以適時、遠程、高效率地取得被審計單位的數據,並且可以發現和利用被審計單位的系統漏洞,這對審計工作形成了很大的審計風險。審計機關應根據保密法規以及聯網審計的特點,有針對性地制定電子數據保密規范,與被審計單位形成互有權責義務的保密協議,避免審計風險,增強聯網審計效果。其次,在明確審計和審計調查關系的基礎上,審計機關通過聯網一旦發現被審計單位出現異常或明確的違法違規問題時,應以正式函件告知被審計單位,否則,審計機關將被質疑為本部門利益,故意不通知或不及時通知被審計單位,導致在訴訟中處於不利地位,帶來審計風險。再次,聯網審計必須與現場檢查相結合,依法取得合法的審計證據。受被審計單位信息化程度的制約,目前審計機關不可能通過聯網取得全部所需要的審計證據,在相關法律法規不完善的情況下,審計機關更不能主觀臆斷聯網取得證據的證明力,因此,依法進行現場檢查並取得合法證據,是部門預算執行聯網審計試點中必須高度重視的工作過程。
四是審計結果的處理要符合法律規定。目前,由於部門預算執行聯網審計的目標不統一,審計結果的處理也是多樣的,建議糾正函、審計預警指標等相關概念也相繼產生。這些概念的應用,有的具有法律依據和效力,有的還待法律明確。如果沒有明確的審計或專項審計調查關系,審計機關可以以正式的《建議糾正函》通知聯網單位相關問題;如果有明確的審計或專項審計調查關系,應出具審計報告、審計決定書、審計移送處理書或專項審計調查報告。