一、 計(jì)算機(jī)環(huán)境下舞弊的方法和手段
(一)針對(duì)系統(tǒng)硬件的舞弊。
(1)非法操作。計(jì)算機(jī)系統(tǒng)的操作人員對(duì)硬件設(shè)備的不正確操作即不按規(guī)定的程度使用硬件設(shè)備可以引起系統(tǒng)的損壞,從而危害系統(tǒng)的安全至系統(tǒng)完全毀滅。
(2)毀壞、盜竊硬件設(shè)施、掩蓋舞弊。有些破壞者出于某種目的,如發(fā)泄私憤或謀取不法利益或竊取對(duì)方企業(yè)的重要信息或掩蓋舞弊罪行,用暴力的方式破壞、盜竊計(jì)算機(jī)設(shè)備,后果嚴(yán)重。
(3)非法插入硬件裝置。在原有的計(jì)算機(jī)系統(tǒng)中,非法加入硬件設(shè)備,如一筆收入記賬時(shí)后臺(tái)人員出于非法目的接入備用機(jī)運(yùn)行,操作者在前臺(tái)終端看到該收入已經(jīng)入賬,實(shí)際并未入賬,資金被轉(zhuǎn)移或者在通訊設(shè)備中裝入一定裝置截取機(jī)密。
(4)破壞傳輸系統(tǒng)。對(duì)于網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō),傳輸系統(tǒng)無(wú)疑是生命線,破壞傳輸系統(tǒng)可以使系統(tǒng)中斷甚至癱瘓。
。ǘ┽槍(duì)軟件系統(tǒng)的舞弊。
(1)在計(jì)算機(jī)程序中,暗地編進(jìn)非法指令,使之執(zhí)行未經(jīng)授權(quán)的功能,這些指令能夠在被保護(hù)或限定的程序范圍內(nèi)接觸所有供程序使用的文件。這是最常見(jiàn)的軟件舞弊而且不易被發(fā)現(xiàn)和預(yù)防。
(2)通過(guò)在單位的軟件系統(tǒng)中加入非法的程序,從系統(tǒng)處理的大數(shù)量的資財(cái)中截取一小部分轉(zhuǎn)入預(yù)先設(shè)計(jì)好的數(shù)據(jù)文件中,在總體上不易被發(fā)現(xiàn)。
(3)有些應(yīng)用系統(tǒng)開(kāi)發(fā)時(shí),程序員插進(jìn)密碼和為程度調(diào)試手段或以后維護(hù)和改系統(tǒng)時(shí)使用,稱(chēng)作“天窗”,在正常情況下,程序終止編輯時(shí),天窗即被取消,如果系統(tǒng)中有意插入或無(wú)意留下的天窗被利用,則系統(tǒng)必然存在安全隱患。
(4)軟件程序中加入“邏輯炸彈”。邏輯炸彈是計(jì)算機(jī)系統(tǒng)中適時(shí)或安定期執(zhí)行的一種破壞性程序,它通過(guò)設(shè)定系統(tǒng)中未經(jīng)授權(quán)的有害事件的發(fā)生條件,當(dāng)系統(tǒng)運(yùn)行過(guò)程中引發(fā)或滿足其具體條件時(shí)產(chǎn)生破壞的行為。
(5)聯(lián)機(jī)實(shí)時(shí)系統(tǒng)中,計(jì)算機(jī)系統(tǒng)自動(dòng)驗(yàn)證用戶身份,如果某隱蔽的終端通過(guò)電話接轉(zhuǎn)設(shè)備與同一線路連接,并在合法用戶沒(méi)有使用終端之前運(yùn)行,則計(jì)算機(jī)有可能無(wú)法進(jìn)行區(qū)分,只能認(rèn)定前者為合法用戶,使作弊者乘虛而入。
(6)冒名頂替是作弊者通過(guò)各種方法獲得被作弊系統(tǒng)合法用戶的口令、指紋等系統(tǒng)用以驗(yàn)證身份的信息,然后以合法身份登錄系達(dá)到舞弊目的的方法。
。ㄈ┽槍(duì)數(shù)據(jù)發(fā)生的舞弊。
(1)篡改輸入是計(jì)算機(jī)舞弊中最簡(jiǎn)單、最常用的方法。它是指數(shù)據(jù)在輸入計(jì)算機(jī)之前或輸入過(guò)程中被篡改,使舞弊數(shù)據(jù)進(jìn)入系統(tǒng)。
(2)非法操作是包括合法用戶不按操作規(guī)程操作系統(tǒng)或非法用戶非法操作系統(tǒng)、改變計(jì)算機(jī)系統(tǒng)的執(zhí)行路徑從而可能破壞數(shù)據(jù)安全的行為。
(3)篡改輸出。由于數(shù)據(jù)存儲(chǔ)在磁盤(pán)、光盤(pán)、膠片之類(lèi)的信息媒體上,人的肉眼無(wú)法直接識(shí)別,操作者通過(guò)篡改輸出以蒙蔽檢查而數(shù)據(jù)文件中的實(shí)際數(shù)據(jù)已被更改的舞弊。
(4)數(shù)據(jù)傳輸泄露。計(jì)算機(jī)要通過(guò)電話線、網(wǎng)絡(luò)、衛(wèi)星等傳輸媒介來(lái)傳輸信息。如不采取有效的安全保護(hù)措施,都存在著傳輸泄露。如通過(guò)一定設(shè)備在網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中直接截取信息、接收計(jì)算機(jī)設(shè)備和通訊線路輻射出的電磁波信號(hào)等是高技術(shù)環(huán)境下不能忽視的。
(5)數(shù)據(jù)存儲(chǔ)泄露。計(jì)算機(jī)和各種網(wǎng)絡(luò)隨時(shí)不斷向軟磁盤(pán)、硬盤(pán)、光盤(pán)等介質(zhì)上存放信息,包括保密信息。如沒(méi)有有效的保護(hù),就有丟失和被人竊取的可能。
(6)廢載體信息泄露。計(jì)算機(jī)系統(tǒng)的信息都存儲(chǔ)在芯片、軟盤(pán)、硬盤(pán)等載體上,由于操作不當(dāng)或機(jī)器發(fā)生故障等原因,可能造成這些信息載體的報(bào)廢。報(bào)廢的載體若管理不當(dāng)經(jīng)某種技術(shù)處理就可以獲得其內(nèi)部信息而被利用。
。ㄋ模┯(jì)算機(jī)病毒。網(wǎng)絡(luò)化系統(tǒng)中,計(jì)算機(jī)病毒不再主要靠磁盤(pán)或光盤(pán)傳播,開(kāi)始通過(guò)網(wǎng)絡(luò)傳播。各種軟件的頻繁安裝、卸載、互聯(lián)網(wǎng)收發(fā)郵件、下載各種軟件及訪問(wèn)各種站點(diǎn)都成了病毒的可能來(lái)源,對(duì)會(huì)計(jì)信息系統(tǒng)構(gòu)成了極大的威脅。
(五)網(wǎng)絡(luò)黑客。黑客是指非授權(quán)侵入網(wǎng)絡(luò)的用戶或程序,它是網(wǎng)絡(luò)系統(tǒng)最大的外界威脅,主要通過(guò)各種方式捕獲合法用戶的信息尤其是口令、信用卡密碼等或者對(duì)系統(tǒng)進(jìn)行強(qiáng)行攻擊,登陸系統(tǒng)后進(jìn)行非法活動(dòng)。
二、防范舞弊應(yīng)該注意的問(wèn)題對(duì)于計(jì)算機(jī)舞弊應(yīng)堅(jiān)持預(yù)防為主、及時(shí)發(fā)現(xiàn)、消除隱患、設(shè)法補(bǔ)救、減少損失的原則。
。ㄒ唬┫到y(tǒng)本身施加必要的控制。首先,通過(guò)設(shè)置“防火墻”,使用入侵檢測(cè)軟件,檢測(cè)出互聯(lián)網(wǎng)上非法入侵的黑客,并將它拒內(nèi)部網(wǎng)絡(luò)之外;其次,可以采用磁盤(pán)雙工和磁盤(pán)鏡像或者雙機(jī)熱備份等補(bǔ)救措施;同時(shí)軟件功能上施加必要的控制,比如用戶誤操作時(shí)增加必要的提示并自動(dòng)中斷程序的執(zhí)行;突然斷電、程序運(yùn)用戶的突然干擾等偶發(fā)事故時(shí)能自動(dòng)保護(hù)好原有的文件;設(shè)計(jì)適用計(jì)算機(jī)處理的會(huì)計(jì)程序;對(duì)輸入系統(tǒng)的數(shù)據(jù)、代碼等進(jìn)行必要檢驗(yàn);對(duì)憑證、財(cái)務(wù)報(bào)表、基礎(chǔ)數(shù)據(jù)等的修改進(jìn)行必要限制等。
。ǘ┳龊霉芾砉ぷ,防止舞弊的發(fā)生。
(1)實(shí)行用戶分級(jí)授權(quán)管理,按照網(wǎng)絡(luò)化會(huì)計(jì)系統(tǒng)業(yè)務(wù)的需求各會(huì)計(jì)崗位,建立崗位責(zé)任制,并通過(guò)為每個(gè)用戶進(jìn)行系統(tǒng)功能授權(quán)落實(shí)其責(zé)任和權(quán)限。
(2)建立一定的內(nèi)部牽制,系統(tǒng)的所有崗位要職責(zé)范圍清楚,同時(shí)做到不相容職務(wù)的分離,有一定的內(nèi)部牽制作保障。
(3)建立必要的上機(jī)操作控制和系統(tǒng)運(yùn)行記錄。嚴(yán)格安裝、操作硬件規(guī)程,操作員進(jìn)入系統(tǒng)后執(zhí)行程序的規(guī)程,硬件設(shè)備、數(shù)據(jù)文件和程序文件的使用要求,處理系統(tǒng)偶發(fā)事故的操作要求;同時(shí)通過(guò)系統(tǒng)自動(dòng)記錄和人工記錄對(duì)各用戶操作系統(tǒng)的活動(dòng)予以登記。
(4)嚴(yán)格硬件管理,確保硬件設(shè)備的正常運(yùn)行。系統(tǒng)人員各自管理和使用職責(zé)范圍內(nèi)的硬件設(shè)備,不得越權(quán)使用;禁止非計(jì)算機(jī)操作人員使用計(jì)算機(jī)系統(tǒng)。
(5)系統(tǒng)的所有程序文件、軟、硬件技術(shù)資料、會(huì)計(jì)數(shù)據(jù)文件等應(yīng)作為檔案加強(qiáng)管理,嚴(yán)格限制無(wú)權(quán)用戶、有權(quán)用戶非正常時(shí)間等對(duì)其不正常接觸,正常使用也應(yīng)進(jìn)行詳細(xì)的登記。
(6)建立預(yù)防病毒和黑客的措施。堅(jiān)持使用正版軟件,不打開(kāi)和閱讀來(lái)歷不明的電子郵件,經(jīng)常對(duì)計(jì)算機(jī)磁盤(pán)進(jìn)行病毒檢測(cè);抓好網(wǎng)內(nèi)主機(jī)的管理,嚴(yán)格限制用戶在其進(jìn)行非業(yè)務(wù)操作活動(dòng);盡量做到有條件的限制(允許)網(wǎng)上訪問(wèn);加強(qiáng)對(duì)包括路由、連接調(diào)制解調(diào)器的電腦號(hào)碼及所用的通信軟件和種類(lèi)、網(wǎng)內(nèi)的用戶名等重要資料的保密。
(7)制定適用、有效的網(wǎng)絡(luò)安全策略和計(jì)劃并保證其有效實(shí)施,提高企業(yè)領(lǐng)導(dǎo)對(duì)信息系統(tǒng)安全的認(rèn)識(shí),提高使用人員的業(yè)務(wù)素質(zhì)修養(yǎng),使其能夠自覺(jué)遵守各種規(guī)章制度和操作規(guī)程,減少工作中的差錯(cuò),增強(qiáng)保護(hù)系統(tǒng)安全的自覺(jué)性,培養(yǎng)知識(shí)結(jié)構(gòu)全面的網(wǎng)絡(luò)系統(tǒng)管理員等都是保證系統(tǒng)安全的重要因素。
。ㄈ┘訌(qiáng)系統(tǒng)審計(jì),及時(shí)發(fā)現(xiàn)錯(cuò)弊。
首先,提高查弊的實(shí)時(shí)性,加強(qiáng)在線審計(jì)。網(wǎng)絡(luò)系統(tǒng)中應(yīng)預(yù)留接口,審計(jì)時(shí),審計(jì)人員通過(guò)終端聯(lián)機(jī)直接調(diào)用系統(tǒng)中的有關(guān)資料和數(shù)據(jù)然后采用有關(guān)的審核、模擬處理、假設(shè)黑客攻擊等多種法方法測(cè)試、審核、分析、評(píng)價(jià)會(huì)計(jì)軟件、網(wǎng)絡(luò)的安全性;其次,堅(jiān)持人工審查和計(jì)算機(jī)審核相結(jié)合,手工填制的原始單據(jù)、簡(jiǎn)單業(yè)務(wù)的處理、非軟件程序控制制度和措施的有效性等仍然采用原來(lái)手工審計(jì)的方法,而特定業(yè)務(wù)處理和重要數(shù)據(jù)、復(fù)雜的處理過(guò)程、程序化的控制措施的有效性等的審計(jì)利用計(jì)算機(jī)系統(tǒng)進(jìn)行;第三,系統(tǒng)投入使用前對(duì)硬件、系統(tǒng)軟件、會(huì)計(jì)軟件的可靠性,網(wǎng)絡(luò)的安全體系,會(huì)計(jì)軟件是否具有保留和提供審計(jì)線索及必要的控制和功能等進(jìn)行必要的審計(jì)。
怎樣防范會(huì)計(jì)網(wǎng)絡(luò)化系統(tǒng)的舞弊
- 發(fā)表評(píng)論
- 我要糾錯(cuò)
