会计信息系统存在哪些不安全的因素

[信息安全中审计系统目前存在哪些现状？如何解决]随着高新技术的迅猛发展，全球网络化、信息化正在渗透到社会、政治、经济的各个领域，以电子商务为基础的网络经济以及与之相适应的网络财务迅速发展的同时，也促使传统审计向网络...+阅读

会计信息系统存在哪些不安全的因素

会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计信息系统的安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱，从而造成系统的信息失真、失窃，企业资金财产损失，系统硬件、软件无法正常运行等结果发生的可能性。保护系统的安全就是保护系统免遭破坏或遭到损害后系统能够较容易再生，会计信息系统的安全风险主要表现在以下几个方面：

（一）企业资产损失。利用非法手段侵吞企业资财是会计信息系统安全风险的主要形式之一。其手段主要有：未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窃银行存款等。随着犯罪技术的日趋多样化、复杂化，信息系统犯罪更加隐蔽，更加难以发现，涉及的金额也从最初的几千元发展到几万元，甚至上亿元，安全风险损失越来越大，后果也随之越来越严重。

（二）企业重要信息泄露。在信息技术高速发展的今天，信息在企业的经营管理中变得越来越重要，成为企业的一项重要资本，甚至决定了企业在激烈的市场竞争中的成败。网络的普及让信息的获取、共享和传播更加方便，同时也增加了重要信息泄密的风险。因此，利用高技术手段窃取企业重要机密成为了当今计算机犯罪的主要目的之一，也是构成系统安全风险的重要形式。比如：窃取企业重要的会计信息并泄露给竞争对手以达到某种非法目的等，常常会对企业造成无法估量的损失。

（三）系统无法正常运行。网络会计主要依靠自动数据处理功能，而这种功能又很集中，自然或人为的微小差错和干扰，都会造成严重后果。无论是无法避免的自然灾害，或者是出于非法目的而输入破坏性程序、操作者有意、无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使会计信息系统的软件、硬件无法正常工作，甚至系统瘫痪，造成巨大损失，给企业带来很多不便。二、影响会计信息系统安全的因素影响会计信息系统安全风险的因素大致可以分为以下三个方面：硬件系统安全、软件系统安全以及会计操作人员的因素。

（一）硬件系统安全因素

1、不正确操作。计算机系统的操作人员对硬件设备的不正确操作可能会引起系统的损坏，从而进一步危害系统的安全。不正确的操作主要是指操作人员不按规定的程序流程使用硬件设备，例如不按顺序开机、关机，有可能烧毁计算机的硬盘，从而造成数据的泄露甚至导致数据的全部丢失。

2、人为因素。人的因素在保障会计信息安全过程中起着主导作用，会计信息系统操作人员出于主观故意篡改数据或不按操作程序操作，均会直接影响会计信息的真实性和可靠性、可用性；有意破坏系统硬件设备者可能是系统内部操作人员，也可能是系统外部人员。破坏者出于某种目的，例如发泄私愤或谋取不法利益，等等，从而破坏计算机硬件，致使系统运行中断或毁灭。这种破坏行为可能是以暴力的方式破坏计算机设备，也可能通过盗窃等手段破坏计算机系统，例如窃走存有数据的磁带或磁盘，或者利用计算机病毒的发作造成硬件损坏等。

3、不可预测的灾难。不可预测的灾难虽然发生的概率非常小，但不意味这不可能发生，一旦发生对信息系统的破坏性极大，所以必须引起足够的重视，例如火灾或某些元件的损坏，可能造成整个系统的崩溃。

（二）软件系统安全因素

1、计算机病毒。计算机病毒实际上是一段小程序，它具有自我复制功能，常驻留于内存、磁盘的引导扇区或磁盘文件，在计算机系统之间传播，常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。据统计，全世界发现的各种计算机病毒已经超过了24,000种，并且正以每月300~500种的速度疯狂的增长。由于病毒的隐蔽性强、传播范围广、破坏力大等特点，对远程网络会计信息传输的安全构成了非常大的威胁。查杀病毒已成为系统安全保护的一个重要的也是必不可少的内容。

2、网络黑客，也就是指非授权侵入网络的用户或程序。黑客最常用的诡计有以下几种：

（1）捕获，许多程序能够使破坏者捕获到一些个人信息，尤其是口令；

（2）查卡，这种程序是“捕获”程序的一部分，它主要捕获信用卡密码；

（3）即时消息轰炸，利用即时消息功能，黑客可以采用多种程序，以极快的速度用大量的消息“轰炸”某个特定用户；

（4）电子邮件轰炸，用数百条消息、以填塞某人的E-mail信箱，是一种确实可行的在线袭扰的方法；

（5）违反业务条款，这种诡计相当于在网上陷害某人，有些程序可使这种欺骗活动看起来就好像是某个用户向黑客发送了一条攻击性的E-mail消息；

（6）病毒和“特洛伊木马”，这些程序看起来像一种合法的程序，但是它静静地记录着用户输入的每个口令，然后把它们发送给黑客的网络信箱，从而通过盗窃系统合法用户的口令，然后以此口令合法登录系统以实现非法目的。

（三）会计操作人员的安全因素

1、操作人员篡改程序和数据文件。通过对程序做非法的改动，导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的，例如转移单位资金到指定的个人账户。

2、有权和无权用户的非法操作。主要是操作员或其他人员不按照操作规程或非法操作系统，改变...

审计中的红旗标志法

什么是红旗标志法 “红旗”标志法，也称舞弊风险因素法，是寻找和分析舞弊信号的很重要的的方法。该方法是以一整套文字表达的方式，指出在这种条件下舞弊发生率会比较高，而标志是在总结以往舞弊的基础上得出的。管理舞弊方面的主要“红旗” ①被审计单位管理人员遭受异常压力或期望业绩； ②资金短缺，影响营运周转； ③未加解释的会计政策变更； ④管理层的薪酬与经营成果挂钩； ⑤会计人员或信息技术人员等变动频繁，或不具备胜任能力； ⑥存在异常交易或大量的调账项目； ⑦审计人员难以获取充分、适当的审计证据等。员工舞弊方面的主要“红旗” ①主管有不法前科记录； ②员工有大额负债或具有吸毒、赌博等不良嗜好； ③由某人处理某项重要交易的全部业务； ④会计信息系统失效或内部控制设计不合理等。

⑤制造错误法。该方法是指内部审计在实施舞弊审计时，制造真正的错误以观察其能否通过控制系统，据以评估控制系统的弱点和易受舞弊破坏的环节。 ⑥追溯复核法。该方法主要是指复核会计估计以发现导致重大错报的舞弊偏。 ⑦实施计算机舞弊审计法。事前审计计算机系统；加强对信息系统内部控制的审计测试；聘请专家，开发辅助审计软件。红旗标志法的评价红旗标志法的实质是组织内的管理层在总结以往舞弊情况发生的基础上，整理归纳一整套舞弊发生的可能性最高的相关经验，并用文字将之展示出来，以警示他人注意舞弊发生的可能性经及发生的特征和基本善。当然，这种警示内容表现为组织内部控制系统薄弱的一些主要环节，它的完整性和准确性受“红旗”标志制作者的经验、专业知识，工作深度和广度等相关因素的影响，因而，“红旗”标志法在舞弊审计工作中的使用具有一定的局限性。...

破坏计算机信息系统罪中严重后果如何把握

杨某系某市大学在校学生。为了证实自己攻击网站的能力，杨某遂利用其一台便携式电脑攻击本市某网站计算机信息系统，破译了该网站部分工作人员的口令，一度成为该网站的超级用户。杨某从该网站的用户管理数据库中下载了1万余个合法用户信息，并破译了其中的500多个用户密码，还在其中一台服务器内，生成了一份文件并上载了破译程序。根据专家鉴定和复现模拟，杨某对该网站计算机系统进行攻击的行为，属于以导致计算机系统被控制，但计算机系统的运行能力不被中止的入侵方式；在该网站服务器内生成文件和上载破译程序，属于对该网站计算机信息系统文件的增加操作行为，对系统的处理能力会有影响，导致系统运行正常程序的速度有所减慢，但这种减慢不足以造成该热线出现无法正常运行或无法达到设计标准的后果；拥有该网站计算机系统管理员的权限（即超级用户），可以控制该计算机信息系统的所有资源，具备获得、修改、增加、删除任何数据与程序，直至废除系统的能力；直接后果是杨某可以无偿使用该计算机信息系统的资源以及将上网使用的费用记录在被盗用户的账户上。

对本案中杨某的行为是否构成破坏计算机信息系统罪，有不同意见：一种意见认为，杨某虽违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行了增加操作，但既未造成该计算机信息系统无法正常运行，更未由此产生任何严重的实害后果，因此，杨某的行为不构成破坏计算机信息系统罪；另一种意见认为，杨某对计算机信息系统的入侵，已构成最高程度的“控制”或“攻破”，具备造成计算机信息系统无法正常运行甚至瘫痪的潜在威胁，且杨某已破译了热线网络部分工作人员以及大量注册用户的口令，可以无限制地无偿使用计算机信息系统资源以及将上网使用的费用记录在被盗用户的账户上，给计算机信息系统所有人及其注册用户造成经济损失，后果不能说不严重。

因此，应以破坏计算机信息系统罪对杨某定罪处罚。刑法第二百八十六条第一款规定，“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。”第二款规定“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。”根据上述法律规定，无论对计算机信息系统功能进行删除、修改、增加、干扰，或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，均需达到“后果严重”的程度，才构成破坏计算机信息系统罪。

那么，作为破坏计算机系统罪构成要件的“后果”，其性质是指现实的已经发生的危害呢？还是也包括有造成实害发生的可能危险呢？如果是前者，则本罪属于刑法理论中的实害犯；如果是后者，则本罪属于刑法理论中的危险犯。本案中，对杨某的行为是否定罪的分歧意见，盖源于此。所谓实害犯，是指以行为人实施的危害行为造成法定的实害结果作为既遂标志的犯罪；所谓危险犯，是指以行为人实施的危害行为足以造成法定危险状态作为既遂标志的犯罪。实害犯与危险犯是相对而言的，二者的区别在于：危险犯仅以法定的危险状态的出现作为犯罪的齐备要件，不要求有实害的结果发生，倘若实害结果发生，则成立该危险犯的结果加重犯；而实害犯则是以法定的实害结果的实际发生作为犯罪的齐备要件，仅有实害发生的危险，尚不能构成犯罪。

我国刑法中的危险犯，具有以下特征：一是必须有刑法条文明确加以规定；二是凡规定为危险犯的，均同时规定有相应的实害发生的加重处罚条款。破坏计算机信息系统罪构成要件所要求的“后果严重”，应当是指实害的结果，并不包括可能的危险。至于实害的发生，既包括案发时已然实际发生的情况，也包括案发后不可避免地必然要发生的情况。破坏计算机信息系统罪中实害后果的发生，就可能存在后一种情形，如制作、传播将来某一时刻爆发的计算机破坏性程序。本案中，杨某攻网后，获得了系统管理员即超级用户的管理权限。换句话说，只要其愿意，其完全可以删除、修改计算机信息系统中任何数据、程序直至废止整个系统，导致系统被废止，合法用户无法使用自己的账户等情况的严重后果。

但这仅表明杨某具备了废止系统的能力，计算机信息系统有面临被废止的潜在威胁。事实上，至案发时，杨某并未滥施这种能力，潜在的威胁也未变为现实，计算机信息系统被废止的可能后果案发时没有实际发生，案发后，更是不可能再发生。刑法第二百八十六条第二款的“后果严重”，主要是指造成计算机信息系统不能正常运行等情况。本案中，被告人杨某攻击网站后增加文件和上载破译软件，虽确属破坏计算机信息系统罪客观方面对数据和应用程序进行“增加”行为，且已导致计算机信息系统其他应用程序运行速度有所减慢，但还不足以造成系统无法正常运行或无法达到设计标准的后果。从实际情况看，杨某攻网成功至案发时，该网站始终处于正常运行的状态...