会计核算内控漏洞及应对篇(1)

[关键词]内部控制 会计管理 人员素质 一体化

内部控制是指企业董事会、管理当局和其他员工遵循现行的法规,保证财务报告的可靠性,为了实现经营效果所实施的提供合理保证的过程。因此,与其相对应的内部控制可分为经营控制、财务报告控制和遵循控制。内部控制依托企业会计基础上更高层次的追求,在现代企业会计的管理中所占的地位越来越重要,应该引起企业更多的重视。

一、加强内部控制促进现代企业会计管理的作用与意义

加强内部控制对促进现代企业会计管理具有重大的作用与意义。首先,内部控制能够提高规避风险的能力。企业的经营状况取决于企业的盈利状况,做好内部控制可以实现会计、财务系统信息的准确性,规避风险。其次,内部控制能够促进企业优化资源配置。做好内部控制,有利于企业对于自身的实力与发展状况有充分地了解。在会计的管理过程中,通过内部控制可以形成账目的多形式管理,更有利于企业加强对于稀缺资源的进一步引进与获取,对于富余资源的再转化,有条不紊地实现资源的优化配置。此外,加强内部控制能够降低企业成本,提高企业盈利能力。企业可以依据自身的发展状况,有效地进行合理的成本会计管理规划。在规避风险、降低成本、实现资源优化配置下,企业的赢利能力自然有效地提高,从而使得经营效果得以保证。

二、当前我国企业会计管理内部控制中存在的主要漏洞

我国会计监控监管的法规制度不完善,使得一些企业内部控制在维护经营活动的有效性、保证会计信息质量等方面远没有达到预期效果。内部控制明显存在诸多问题。主要漏洞表现为:首先,企业内部缺乏制约机制。在企业内部,有部分的部门负责人、业务经办人、财会人员主动利用内部控制的漏洞,收受贿赂、贪污公款、挪用、侵吞单位资产。主要原因就是制约机制的缺失。其次,企业管理不善。很多按照国家规定、财务制度要求应该建账的没有建,有的虽已建账但账目混乱;隐瞒企业真实的财务状况和经济成果;违反财务会计制度,随意核销费用,任意减少利润或增加亏损。这一系列的问题都在于企业管理的漏洞。

三、我国现代企业会计管理内部控制漏洞产生的原因

(一)企业内部组织结构设置复杂

现代企业有着先进的会计管理体制,主要是由企业特有的组织结构所决定的。总机构与下属机构这一特征的企业组织形式成为了现达企业的主流。因此,在会计管理中,总要处理好企业内部统一与自主的关系以及机构集权与分权的矛盾。现代很多的企业已经从商品经营转变为资本经营。总机构也随之成为了投资中心和分配中心,而分支机构主要起着成本中心和利润中心的作用。不同区域以及行业的总机构和下属机构都是独立的会计主体。会计体系出现了差异性的现状。同一种会计标准很难在差异的上下级组织构建中实现统一,这给会计管理产生了漏洞可能。

(二)企业间体系的差异性

不同的企业来自于各自的行业。不同行业间的企业,其赢利特点和风险的由来有着很明显的差异。在会计管理的过程中,主要与次要的内容有着巨大的区别。行业与行业间的会计差异,极有可能成为内部控制的盲点,容易被忽视或者归于小概率发生范围。即使相同行业中的企业,各自的规模,生产经营理念、发展战略、所处的区域环境等等因素都影响着内部控制一体化的实行,毕竟在微观范围内,其轻微的差异往往就决定着内部控制的有所偏移,而产生各种不确定性的改变。企业间不统一的差异性往往滋生内部控制的漏洞。

(三)外部监管不力

内部控制不仅仅在于内部控制的系统内部,也在于外部的影响。外部的影响主要包括相关的管理当局以及内部控制系统外的企业部门。由于企业追求利益最大化的原始属性,内部控制必然很难到位。这是企业管理中的必然惰性。此次的次贷危机的产生也是因为各自政府的金融监管部门缺乏对于金融机构的风险内控的监管与压力测试,放任金融衍生工具的乘数扩大而产生的。其次,对于相对“外部”的企业会计内控系统外的部门,对于会计的管理体系也是有一定的监管职责的。可见,外部监管不力是发生会计管理内部控制漏洞的重要原因。

(四)从业人员素质偏低

人力资源是企业极为重要的生产要素。在会计管理的内部控制中,不仅需要有高素质的会计管理人员,同时也需要有相应出色的审计以及内部控制的人员。在我国现在的会计管理体系中,高素质的从业人员所占的比例还很低,高学历的从业人才缺口很大。低素质的从业人员,道德水平低,容易从系统内部产生漏洞。部分道德水平低的从业人员甚至以漏洞的忽视来换取自身利益的最大化,产生企业巨大的道德风险。而业务能力的低下,使得企业会计管理的内部控制很难进行,在面对现在高端的会计处理时,很难能够觉察漏洞。等到风险与危机爆发的时候,才来对账,造成的企业损失,已经很难去弥补了。

四、对加强内部控制促进现代企业会计管理的探讨

(一)加强企业管理层对内部控制的重视

我国很多的企业,特别是民营企业今天所取得的成就同管理层的锐意进取、野蛮生长是很有联系的。而这样的管理层一般对于风险、成本等关注的力度都比较小,从而很难对内部控制加以重视。忽视内部控制,不重视会计管理,很容易产生内控漏洞,诱发风险漏洞,让企业完全暴露在市场不确定性之中,即使赢利能力再强,市场占有率再大,也可能发生短板效应,顷刻间让企业破产与倒闭。这一现象在此次的金融危机中,屡见不鲜。因此,作为企业大脑的管理层,应该转变思想,重视内部控制,加强会计管理,杜绝内控漏洞,增强企业抵御风险的能力。

(二)提高会计管理从业人员的素质

作为会计管理、内部控制的执行者,企业会计的从业人员对于漏洞责无旁贷。首先,应该让会计人员在工作中能够养成职业道德习惯,并由内在地形成会计职业道德意识。其次,应该实行考核上岗制度,使得会计从业人员自发地去提高自身的业务素质。此外,务必打好其业务基础。最后,应该加强会计人员的再教育工作。会计这一行业的知识信息更新的速度很快,只有不断地提高其业务水平才能跟得上企业的发展,市场的变化。

(三)完善企业内部会计组织管理体系

针对现代的企业组织结构体系,应该建立与之相匹配的会计组织管理体系。只有落实了会计管理的一体化,集中核算才能有效的进行,内部的审计工作也才能够有效地得到强化。只有一体化的会计管理标准,集中核算才有可能实现,其优势才能更好的发挥。而内部控制本身就包含着评审过程,而这本质上是对内部审计人员参与企业内部控制制度设计的一种手段。完善的企业内部会计组织管理体系,将更好地使其发挥作用,严查经营管理与会计核算中的漏洞。

(四)加强外部监管,统一行业标准

内部控制与外部监管有着相应的联动关系。财政 、税务、审计、人民银行、证券监管、保险监管等部门应该发挥其外部监管的作用,以相关的法律、行政法规为依据,加强对企业的会计资料实施外部的监督检查。此外,还可以大力推动注册会计师事务所的发展,进一步推动第三方的外部监管。与此同时,还应统一行业的会计管理标准,使不同的企业间以及部门见的会计管理差异在体制上进一步缩小,这才能进一步提高社会舆论的监督能力 。

(五)促进会计信息管理的技术化运用

会计信息的管理随着技术的进步发展日益迅速,在会计管理的内部控制中的应用越来越广泛。因此应该促进会计信息管理的技术化运用,建立有效的会计信息系统。在其作用下,企业管理人员能够更好地核算企业所占有的相关资源,并可以对市场的风险与不确定性进行有效的核算与检验,防止可能发生的异常现象,促进信息的及时可达。当然,现代的会计信息系统并没有缺陷,在运用中也应该注意网络的安全性,与系统设计的合理性等因素。

结语

企业内部控制牵动着企业的风险管理与盈利能力,是企业赖以生存的生命线。只有进一步重视企业的内控,努力培养从业人员的素质,完善会计组织体系,加强外部监管,促进会计管理的技术化运用,才能有效地提高我国企业会计管理内部控制的能力,提高企业的核心竞争力,在未来的国际化竞争中再创辉煌。

参考文献:

[1]李风鸣.内部控制学[M] .北京:北京大学出版社,2 0 0 2 ( 1 2)

[2]戴新民,龚银燕.内部控制的基本制度:会计信息全面规范[J].管理世界,2003

[3]侯京钦.试论企业内部会计控制[J].河北企业,2009(12)

会计核算内控漏洞及应对篇(2)

【关键词】网络信息系统 软件安全漏洞 防范与对策

当今社会是信息化、网络化的时代，计算机在日常生活中的普及和网络技术的更新发展促进了网络应用的极大丰富。科技成为了时展的主旋律，随之而来的网络信息系统安全漏洞的问题也引起了广泛的关注与讨论。常规的网络信息系统都是由硬件和软件两个部分组成的。硬件问题多发于计算机本身，属于机械故障。而软件问题则与系统本身乃至整个网络息息相关，由于软件程序本身的复杂性和变化的多样性，导致网络信息系统的软件很容易出现一些难以察觉的漏洞。这些漏洞不仅会影响计算机和系统的运行，更会威胁到网络信息的安全。

1 网络信息系统安全漏洞产生的原因

1.1 网络协议漏洞

常见的网络协议主要是TCP/IP协议，此协议组是目前使用最为广泛的网络互联协议。当初在设计这个协议的时候，其背景的设置是默认的可信的安全环境，并未考虑到复杂的网络环境的因素。这个协议主要考虑的因素是网络的互联性和开放性，却忽略了安全性，这种主次颠倒的设计理念直接影响到了协议本身的安全性，造成目前出现大量的网络协议漏洞的现象，进而造成网络信息的不安全性。

1.2 操作系统漏洞

计算机的操作系统是一个用户的体验交流平台，它是以一定的标准作为统一，既要保证给用户提供诸多的便利，同时也要保证用户个人信息的安全。随着网络的发展和用户的增加，计算机的操作系统也需要提供更多样的功能应用来满足用户需求。但是因此而出现了提高功能性，也增加了出现漏洞的可能性的现象。漏洞的增加会导致网络系统遭受更多的攻击，造成严重的损失。

1.3 数据库漏洞

数据库是计算机系统内的一种应用程序，不同于其他普通程序，它的主要功能是保障系统内的数据信息不会受到物理性的外力破坏，避免数据丢失从而使系统无法运行。一般的数据库都会采取定期备份的办法来保存数据，并通过设置网络防火墙及用户身份验证的方式来保证数据库系统的安全性。数据库的漏洞主要表现在盲目地信任所有使用数据库的用户，未能对用户的操作及个人信息进行甄别和判断，导致安全问题频发。用户在使用数据库的过程当中，也要对HTML表单中的参数进行严格地验证，避免出现非法提交参数的情况，最大限度地减少计算机病毒的传播。

1.4 安全策略漏洞

现有的网络信息系统都忽略了安全策略的制定，导致即使系统安装了很多的网络安全软件，采取多种多样的防御措施，却仍然无法避免系统遭受破坏。其原因就是由于网络信息系统的安全配置不合理，使得所有的安全机制无法发挥应有的作用。计算机系统中端口的响应功能是系统各项服务的基础，却也因此成为了网络攻击的焦点和突破口，传统的防火墙技术已不能有效的防御这类攻击了。

2 网络信息系统的防范及对策

2.1 访问控制策略

访问控制主要是对人网访问和网络权限进行控制，目录级安全和属性安全进行控制。入网访问是网络访问的第一步，也是网络安全防御的首要之处，作为第一层的网络系统，它的主要作用是识别和验证用户身份，核对用户口令，当用户帐号出现缺省时要及时进行相关权限的限制。这三项功能环环相扣，层层递进。用户如果有任何一条没能通过，都无法完成访问，更不能进入网络系统。控制网络权限主要是制定针对网络非法操作的安全保护措施，它详细规定了用户的访问权限，包括哪些内容可以浏览，哪些资源可以共享等，对用户的操作权限进行严格限制。目录级安全控制主要表现在网络对用户访问目录和文件设备的控制。用户是否有权限对文件进行管理取决于用户的受托者，或由指派用户所在组的受托者指派。属性安全控制主要是指当用户查看文件、浏览目录和使用网络设备时，管理员应给文件、目录及相关的所有设备指定访问属性，保证在权限安全的基础上提供更进一步的安全属性。

2.2 防火墙抵御网络攻击

防火墙技术是目前网络信息系统中最为常见也是应用最为广泛的防御技术，它通过加强网络之间的访问控制来防止外部网络用户以非法手段进入内部网络，甚至在未经授权的情况下访问内部网络资源。防火墙能够很好地保护内部网络的操作环境，它主要分为包过滤技术、状态检测技术及服务技术三大类。传统防火墙技术是通过路由器来连接网络内的所有设备以实施网络保护功能，但是当非法用户用虚假地址进行访问的时候，传统防火墙就无法进行辨别，更不能进行有效的防范，其他安全策略也随之失去作用。目前流行的服务器技术，与之相比具备了更多的优点，例如灵活性强，安全性能更高等，它能够对接收到的数据包进行仔细地分析并提供一定的访问控制，使网络防火墙具有透明的加密机制，具备了较强的伸缩与扩展的弹性。

2.3 运用扫描技术分析网络漏洞

运用扫描技术分析网络漏洞的原理其实就是用远程自动检测来修复本地主机的安全漏洞。它通过对网络环境的错误注入手段进行分析，模拟网络攻击行为的方式，对系统中的数据进行筛选，从中挑选出不合法的信息并进行回应，从而达到发现并修复漏洞的目的。扫描漏洞能够自动检测出本地主机安全防御机制中的弱点，使管理员能够及时发现并进行有针对性的修补。通过重新更正系统漏洞，正确配置系统资源的方式，来达到构筑新的计算机网络安全环境的目的。

3 总结

21世纪是计算机的时代，因此网络也随之进入了千家万户，成为人们日常生活中的一部分。信息技术的高速发展导致了日益严峻的网络安全漏洞问题，使得用户对网络安全提出了更高的要求。要着力构建高效、安全的网络信息系统，营造健康的网络环境，提高防范安全漏洞的技术，做好网络防御的相关措施，为广大用户提供最为强大的网络安全服务。

参考文献

[1]袁爱民.网络信息系统安全漏洞分析研究.2012（3）.

[2]王睦.试论网络信息系统的软件安全漏洞及预防措施.2012（21）.

会计核算内控漏洞及应对篇(3)

关键词:网络信息安全状况;漏洞;网络信息安全技术;可信计算

abstract:as network developed rapidly and widely used, while it brings people big wealth and convenience, it also brings serious network information security problem. network information security problem mainly is un-authorization access, masquerading legal user, damaging data integrity, interfering system normal operation, spreading virus trojan through network, line monitoring and so on. this article analysing network information security circumstance, it expounds information security problems from holes and introduces the future research direction of network information security skill.

key words:network information security;holes;network information security skill;trusted computing

网络信息安全分为网络安全和信息安全两个层面。wWw.133229.COm网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率;信息安全则是指对信息的精确性、真实性、机密性、完整性、可用性和效用性的保护。网络信息安全是网络赖以生存的根基,只有安全得到保障,网络才能充分发挥自身的价值。

然而,随着互联网的迅速发展和广泛应用,计算机病毒、木马数量也在呈现爆炸式增长。据金山毒霸“云安全”中心监测数据显示,2008年,金山毒霸共截获新增病毒、木马13 899 717个,与2007年相比增长48倍,全国共有69 738 785台计算机感染病毒,与07年相比增长了40%。在新增的病毒、木马中,新增木马数达7 801 911个,占全年新增病毒、木马总数的56.13%;黑客后门类占全年新增病毒、木马总数的21.97%;而网页脚本所占比例从去年的0.8%跃升至5.96%,成为增长速度最快的一类病毒。该中心统计数据还显示,90%的病毒依附网页感染用户,这说明,人类在尽情享受网络信息带来的巨大财富和便捷的同时,也被日益严峻的网络信息安全问题所困扰。

1病毒木马数量呈几何级数增长,互联网进入木马病毒经济时代

造成病毒木马数量呈几何级数增长的原因,经济利益的驱使首当其冲,木马比病毒危害更大,因为病毒或许只是开发者为了满足自己的某种心理,而木马背后却隐藏着巨大的经济利益,木马病毒不再安于破坏系统,销毁数据,而是更加关注财产和隐私。电子商务便成为了攻击热点,针对网络银行的攻击也更加明显,木马病毒紧盯在线交易环节,从虚拟价值盗窃转向直接金融犯罪。

财富的诱惑,使得黑客袭击不再是一种个人兴趣,而是越来越多的变成一种有组织的、利益驱使的职业犯罪。其主要方式有:网上教授病毒、木马制作技术和各种网络攻击技术;网上交换、贩卖和出租病毒、木马、僵尸网络;网上定制病毒、木马;网上盗号(游戏账号、银行账号、qq号等)、卖号;网上诈骗、敲诈;通过网络交易平台洗钱获利等。攻击者需要的技术水平逐渐降低、手段更加灵活,联合攻击急剧增多。木马病毒、病毒木马编写者、专业盗号人员、销售渠道、专业玩家已经形成完整的灰色产业链。

借助互联网的普及,木马病毒进入了经济时代。艾瑞的一项调查显示,央视“3•15”晚会曝光木马通过“肉鸡”盗取用户钱财后,超过八成潜在用户选择推迟使用网上银行和网上支付等相关服务。木马产业链背后的巨大经济利益,加上传统杀毒软件的不作为、银行对安全的不重视、刑法的漏洞等都是病毒木马日益猖獗的根源。

另一方面,病毒木马的机械化生产加速了新变种的产生,大量出现的系统及第三方应用程序漏洞为病毒木马传播提供了更广泛的途径。病毒制造的模块化、专业化,以及病毒“运营”模式的互联网化已成为当前中国计算机病毒发展的三大显著特征。

2由漏洞引发的网络信息安全问题

漏洞也叫脆弱性(vulnerability),是计算机系统在硬件、软件、协议的具体实现或系统安全策略设计和规划时存在的缺陷和不足,从而使攻击者能够在未被合法授权的情况下,访问系统资源或者破坏系统的完整性与稳定性。漏洞除了系统(硬件、软件)本身固有的缺陷之外,还包括用户的不正当配置、管理、制度上的风险,或者其它非技术性因素造成的系统的不安全性。

2.1漏洞的特征

2.1.1漏洞的时间局限性

任何系统自之日起,系统存在的漏洞会不断地暴露出来。虽然这些漏洞会不断被系统供应商的补丁软件所修补,或者在新版系统中得以纠正。但是,在纠正了旧版漏洞的同时,也会引入一些新的漏洞和错误。随着时间的推移,旧的漏洞会消失,但新的漏洞也将不断出现,所以漏洞问题也会长期存在。因此,只能针对目标系统的系统版本、其上运行的软件版本,以及服务运行设置等实际环境,来具体谈论其中可能存在的漏洞及其可行的解决办法。

2.1.2漏洞的广泛性

漏洞会影响到很大范围的软、硬件设备,包括操作系统本身及其支撑软件平台、网络客户和服务器软件、网络路由器和安全防火墙等。

2.1.3漏洞的隐蔽性

安全漏洞是在对安全协议的具体实现中发生的错误,是意外出现的非正常情况。在实际应用的系统中,都会不同程度地存在各种潜在安全性错误,安全漏洞问题是独立于系统本身的理论安全级别而存在的。

2.1.4漏洞的被发现性

系统本身并不会发现漏洞,而是由用户在实际使用、或由安全人员和黑客在研究中发现的。攻击者往往是安全漏洞的发现者和使用者。由于攻击的存在,才使存在漏洞的可能会被发现,从某种意义上讲,是攻击者使系统变得越来越安全。

2.2漏洞的生命周期

漏洞生命周期,是指漏洞从客观存在到被发现、利用,到大规模危害和逐渐消失的周期。漏洞所造成的安全问题具备一定的时效性,每一个漏洞都存在一个和产品类似的生命周期概念。只有对漏洞生命周期进行研究并且分析出一定的规律,才能达到真正解决漏洞危害的目的。随着系统漏洞、软件漏洞、网络漏洞发现加快,攻击爆发时间变短,在所有新攻击方法中,64%的攻击针对一年之内发现的漏洞,最短的大规模攻击距相应漏洞被公布的时间仅仅28天。

2.3漏洞的攻击手段

黑客入侵的一般过程:首先,攻击者随机或者有针对性地利用扫描器去发现互联网上那些有漏洞的机器。然后,选择作为攻击目标利用系统漏洞、各种攻击手段发现突破口,获取超级用户权限、提升用户权限。最后,放置后门程序,擦除入侵痕迹,清理日志,新建账号,获取或修改信息、网络监听(sniffer)、攻击其他主机或者进行其他非法活动。漏洞威胁网络信息安全的主要方式有:

2.3.1ip欺骗技术

突破防火墙系统最常用的方法是ip地址欺骗,它同时也是其它一系列攻击方法的基础。即使主机系统本身没有任何漏洞,仍然可以使用这种手段来达到攻击的目的,这种欺骗纯属技术性的,一般都是利用tcp/ip协议本身存在的一些缺陷。攻击者利用伪造的ip发送地址产生虚假的数据分组,乔装成来自内部站点的分组过滤器,系统发现发送的地址在其定义的范围之内,就将该分组按内部通信对待并让其通过,这种类型的攻击是比较危险的。

2.3.2拒绝服务攻击(ddos)

当黑客占领了一台控制机,除了留后门擦除入侵痕迹基本工作之外,他会把ddos攻击用的程序下载,然后操作控制机占领更多的攻击机器。开始发动攻击时,黑客先登录到做为控制台的傀儡机,向所有的攻击机发出命令。这时候攻击机中的ddos攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致受害主机死机或是无法响应正常的请求。有经验的攻击者还会在攻击的同时用各种工具来监视攻击的效果,随时进行调整。由于黑客不直接控制攻击傀儡机,这就导致了ddos攻击往往难以追查。

2.3.3利用缓冲区溢出攻击

缓冲区溢出攻击是互联网上最普通,也是危害最大的一种网络攻击手段。缓冲区溢出攻击是一种利用目标程序的漏洞,通过往目标程序的缓冲区写入超过其长度的内容,造成缓冲区的溢出,破坏程序的堆栈,使程序转而执行指定代码,从而获取权限或进行攻击。

2.3.4特洛伊木马

木马实质上只是一个网络客户/服务程序,是一种基于远程控制的黑客工具,不需要服务端用户的允许就能获得系统的使用权。木马程序体积比较小,执行时不会占用太多的资源,很难停止它的运行,并且不会在系统中显示出来,而且在每次系统的启动中都能自动运行。木马程序一次执行后会自动更换文件名、自动复制到其他的文件夹中,实现服务端用户无法显示执行的动作,让人难以察觉,一旦被木马控制,你的电脑将毫无秘密可言。

2.3.5数据库系统的攻击

通过非授权访问数据库信息、恶意破坏、修改数据库、攻击其它通过网络访问数据库的用户、对数据库不正确的访问导致数据库数据错误等方式对数据库进行攻击。主要手法有:口令漏洞攻击、sql server扩展存储过程攻击、sql注入(sql injection)、窃取备份等。

2.3.6网页挂马

通过获取系统权限、利用应用系统漏洞,对脚本程序发帖和提交信息的过滤不严格,从而可以将一些html或者脚本代码段作为文本提交,但是却能被作为脚本解析或者通过arp欺骗,不改动任何目标主机的页面或者是配置,在网络传输的过程中直接插入挂马的语句,利用被黑网站的流量将自己的网页木马进行传播,以达到无人察觉的目的。常见方式有:框架挂马、js文件挂马、js变形加密、body挂马、css挂马、隐蔽挂马、java挂马、图片伪装、伪装调用、高级欺骗等。

2.3.7无线网络、移动手机成为新的安全重灾区

在无线网络中被传输的信息没有加密或者加密很弱,很容易被窃取、修改和插入,存在较严重的安全漏洞。随着3g时代的到来,智能手机和移动互联网越来越为普及,一部强大的智能手机的功能,并不逊于一部小型电脑。随着手机的处理能力日益强大,互联网连接带宽越来越高,手机病毒开始泛滥,病毒所带来的危害也会越来越大。手机病毒利用普通短信、彩信、上网浏览、下载软件与铃声等方式传播,还将攻击范围扩大到移动网关、wap服务器或其它的网络设备。

2.3.8内部网络并不代表安全

随着经济的快速发展和企业对网络应用依赖程度的逐步提升,内部网络已经成为企业改善经营和管理的重要技术支撑。企业内部网络系统与外界的联系越来越紧密,而且数据的价值也越来越高,内部网络不安全已经成为影响企业进一步发展的重要威胁。常见的安全威胁有:内外勾结。内部人员向外泄露重要机密信息,外部人员攻击系统监听、篡改信息,内部人员越权访问资源,内部人员误操作或者恶意破坏系统等。

有关部门的调查数据显示,2004-2006年,内部攻击的比例在8%左右,2007年这个比例是5%,而到了2008年已经上升到23%。企业内部网络安全问题十分突出,存在较为严重的隐患,成为制约企业网发展与应用的重要因素。

3可信计算概述

在it产业迅速发展、互联网广泛应用和渗透的今天,各种各样的威胁模式也不断涌现。信息领域犯罪的隐蔽性、跨域性、快速变化性和爆发性给信息安全带来了严峻的挑战。面对信息化领域中计算核心的脆弱性,如体系结构的不健全、行为可信度差、认证力度弱等,信息安全的防护正在由边界防控向源头与信任链的防控转移,这正是可信计算出台的背景。

可信计算(trusted computing,tc)是指在pc硬件平台引入安全芯片架构,通过其提供的安全特性来提高终端系统的安全性,从而在根本上实现了对各种不安全因素的主动防御。简单地说,可信计算的核心就是建立一种信任机制,用户信任计算机,计算机信任用户,用户在操作计算机时需要证明自己的身份,计算机在为用户服务时也要验证用户的身份。这样的一种理念来自于我们所处的社会。我们的社会之所以能够正常运行,就得益于人与人之间的信任机制,如:商人与合作伙伴之间的信任;学生与教师之间的信任;夫妻之间的信任等等。只有人与人之间建立了信任关系,社会才能和谐地正常运转。可信计算充分吸收了这种理念,并将其运用到计算机世界当中。

由于信息安全风险评估不足,导致安全事件不断发生。因此,现在的大部分信息安全产品以及采取的安全措施都不是从根本上解决问题,都是在修补漏洞,效果可想而知。可信计算则是从本源上解决信息安全问题,就是要发放“通行证”。并且,“通行证”可以从技术上保证不会被复制,可以随时验证真实性。可信计算因此成为信息安全的主要发展趋势之一,也是it产业发展的主要方向。

3.1可信平台模块

把可信作为一种期望,在这种期望下设备按照特定的目的以特定的方式运转。并以平台形式制订出了一系列完整的规范,包括个人电脑、服务器、移动电话、通信网络、软件等等。这些规范所定义的可信平台模块(trusted platform module,tpm)通常以硬件的形式被嵌入到各种计算终端,在整个计算设施中建立起一个验证体系,通过确保每个终端的安全性,提升整个计算体系的安全性。从广义的角度上,可信计算平台为网络用户提供了一个更为宽广的安全环境,它从安全体系的角度来描述安全问题,确保用户的安全执行环境,突破被动防御漏洞打补丁方式。可信平台模块实现目的包括两个层面的内容:一方面,保护指定的数据存储区,防止敌手实施特定类型的物理访问。另一方面,赋予所有在计算平台上执行的代码,

以证明它在一个未被篡改环境中运行的能力。

3.2可信计算的关键技术

与社会关系所不同的是,建立信任的具体途径,社会之中的信任是通过亲情、友情、爱情等纽带建立起来的,但是在计算机世界里,一切信息都以比特串的形式存在,建立可信计算信任机制,就必须使用以密码技术为核心的关键技术。可信计算包括以下5个关键技术概念:

3.2.1endorsement key 签注密钥

签注密钥是一个2048位的rsa公共和私有密钥对,它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里,而公共密钥用来认证及加密发送到该芯片的敏感数据。

3.2.2secure input and output 安全输入输出

安全输入输出是指电脑用户和他们认为与之交互的软件间受保护的路径。当前,电脑系统上恶意软件有许多方式来拦截用户和软件进程间传送的数据。例如键盘监听和截屏。

3.2.3memory curtaining 储存器屏蔽

储存器屏蔽拓展了一般的储存保护技术,提供了完全独立的储存区域。例如,包含密钥的位置。即使操作系统自身也没有被屏蔽储存的完全访问权限,所以入侵者即便控制了操作系统信息也是安全的。

3.2.4sealed storage 密封储存

密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。意味着该数据只能在相同的软硬件组合环境下读取。例如,某个用户在他们的电脑上保存一首歌曲,而他们的电脑没有播放这首歌的许可证,他们就不能播放这首歌。

3.2.5remote attestation 远程认证

远程认证准许用户电脑上的改变被授权方感知。例如,软件公司可以避免用户干扰他们的软件以规避技术保护措施。它通过让硬件生成当前软件的证明书。随后电脑将这个证明书传送给远程被授权方来显示该软件公司的软件尚未被干扰。

3.3可信计算的应用现状

在国际上,可信计算架构技术发展很快,一些国家(如美国、日本等)在政府采购中强制性规定要采购可信计算机。中国的可信计算还属于起步阶段,但正在向更高水平发展。据了解,现在市场上已经销售了数十万带有可信计算芯片的电脑,这些电脑已经广泛应用于包括政府、金融、公共事业、教育、邮电、制造,以及广大中、小企业在内的各行各业中。而且,不少政府部门已经认可产品,并将带有可信计算芯片的产品采购写入标书。但是,无论是国内还是国外,可信技术从应用角度讲都还仅仅处于起步阶段。可信计算还停留在终端(客户端)领域,还要进一步向服务器端(两端要互相认证),中间件、数据库,网络等领域发展,建立可信计算平台和信任链。当前,可信计算的应用领域主要有:数字版权管理、身份盗用保护、防止在线游戏防作弊、保护系统不受病毒和间谍软件危害、保护生物识别身份验证数据、核查远程网格计算的计算结果等。应用环境的局限性也是可信计算产业发展的一大障碍,目前的应用还处于很有限的环境中,应用的广泛性还得依靠人们对于可信计算、网络信息安全在认识和意识上的提高。

参考文献

1 刘晓辉主编.网络安全管理实践(网管天下)[m].北京:电子工业出版社,2007.3

2 [美]davidchallener、ryancatherman等.可信计算(apractical

guidetotrustedcomputing)[m].北京:机械工业出版社,2009

3 李毅超、蔡洪斌、谭浩等译.信息安全原理与应用(第四版)[m].北京:电子工业出版社,2007.11

会计核算内控漏洞及应对篇(4)

【关键词】软件安全性 品质量测模式 安全软件开发制程

1 前言

软件系统安全性一般都被列为事后考虑的情况，当功能规格都能够满足需求，且软件专案的时程与预算都在规划的范围内，软件系统安全性才会被列入考量，使得软件安全品质的问题愈加严重。造成软件安全漏洞的原因很多，却几乎都与开发作业的疏忽及运作环境的缺失等问题密切相关，其中又以开发作业疏忽衍生递延与扩大的影响最大且最久；可以归纳成两大类：软件开发过程的疏失所形成软件安全漏洞；运作环境的规划缺失导致维运环境的安全漏洞。为了降低安全漏洞的风险，必须强化软件制程的安全机制，于开发初期就有效标示出安全缺失漏洞，且及时提出修补与改善作业。本文以现行的软件制程为基础，加强制度、管理、技术等层面的安全管制作业，进而提出一套安全软体开发制程（Secure Software Development Process SSDP），于软体开发初期即能找出阶段性的安全漏洞与缺失，且提出具体的修订与改善措施，有效提升软件系统的安全性。此外为了确认SSDP的有效性，本研究以制度、管理与技术等三个层面为基础，提出一套SSDP品质量测（SSDP Quality Measurement SSDPQM）模式，用以监控与持续改善SSDP执行上的问题与缺失。

2 安全软件开发制程

文章以调整制度层面、搭配管理层面与提升技术层面的安全管制作业为依据，提出一套改善软件安全性的安全软件开发制程。

2.1 结合安全管制作业的软件制程

为了解决软件危机的问题，软件工程的理念于1967年被提出，将近三十年的软件工程演进过程中，许多软件开发的方法与技术陆续被发表且提出，有效的改善软件的品质且提升其生产力，对于解决软件危机的问题带来不少的助益。不过，对于软件安全危害却极少被提及，使得软件安全问题成为软件开发作业即将面临的另一项重大危机。为了提升软件系统的安全品质，本文从制度、管理与技术等三个层面来强化软件开的安全管制作业，以下针对制度层面的调整、管理层面的配合与技术层面的提升说明之：

2.1.1 制度层面的调整

配合安全软件的开发，制度层面必须具备下面四项的调整：（1）透过制度的规范，需求分析必须将使用单位的安全需求列为必要的需求项目。使用单位提出的安全需求项目将注重全盘性的考量如终止骇客入侵、杜绝病毒攻击、确保储存资料的安全等。（2）透过制度的规范，需求分析必须将安全运作环境需求列为必要的需求项目。安全运作环境是指系统运作的安全性如资料库、储存媒体或网络传输等安全。（3）透过制度的规范，需求分析必须将安全介面设计需求列为必要的需求项目，安全介面设计是指整合作业的安全性如系统、功能模组及元件等介面之间的安全。（4）透过制度的规范，需求分析必须将安全程式撰写需求列为必要的需求项目，安全程式撰写是指程式码的安全性如排除超出阵列定义范围、除以零的运算式、档案处理异常状态等安全漏洞与缺失。

2.1.2 管理层面的配合

每一个软件开发阶段所完成的文件产品，都必通过严格的安全品质检视作业，才能依程序要求交付建构管理（Configuration Management）进行管制，检视作业若发现安全漏洞或缺失，必须立即找出原因且进行修订与改善作业，最后还要配合后续的跟摧活动（Follow Up）来确认文件产品已完成缺失矫正与漏洞修订，否则应持续进行修订与改善作业，直到确认完成缺失矫正与漏洞修订改善后，才能依程序将文件交付建构管理进行管制，成为后续开发阶段引用的文件。下面以三项管理层面的执行品质来确认与判定管理层面的配合成效：

（1）安全文件完成后的核准与缴交等作业程序品质，安全文件漏洞或缺失修订前后的确认、提领与缴交等作业程序品质。

（2）安全文件漏洞或缺失修订前后的版本架构规划程序品质、修订前后内容差异存放程序品质。

（3）安全文件漏洞或缺失修订的日期、修订的内容、修订的人员及归属的安全项目等作业程序品质。

2.1.3 技术层面的提升

软件安全品质所强调的特性与ISO早期规划的软体品质特性有许多落差，为此本研究提出安全程式码撰写、例外处理（Exception Handling）机制、程式码分析器、安全查核表及安全审核技巧等五个成熟度进行安全软体开发的技术层面提升：

（1）以安全程式码撰写规则、程式模组之间的介面整合确认、程式模组之前置、后置条件确认等技术，提升安全程式码撰写成熟度。

（2）在程式码中适当融入例外处理（Exception Handling）机制，可以避免发生超出阵列定义范围、除以零的运算式、档案处理异常状态等安全漏洞与缺失，有效提升程式码的安全品质。

（3）有效结合程式码分析器协助找出的程式码中隐含的安全漏洞与缺失，可以有效标示出运算式、输出/输入介面与模组元件整合介面的安全缺失。

（4）安全文件与产品查核表是内部或非正式审查采用的方式，将来至各方面的安全软件相关信息汇整、剖析、分类且设定权重后，可以产生具高度修改弹性安全文件与产品查核表，可以协助于开发早期找出潜在的安全漏洞与缺失。

（5）萃取安全软件专家与学者的知识与经验、收集安全漏洞修补的记录以及记取安全漏洞造成的惨痛经验等是提升安全文件与产品审核技巧的关键。

2.2 安全软件开发制程的关键优势

为了凸显对软件安全品质的重视，安全管制作业应该采取独立运作，不过，受到人力不足与时程的压力，也可以将安全管制作业融入软件开发制程中，整合运作。无论是独立运作或整合运作，每阶段的任务除了依程序的要求完成阶段性产品外，还必须依制度要求达成下面的工作内容：需求分析阶段；初步设计阶段；细部设计阶段；程式制作阶段；测试阶段；建置移转阶段；标示软件安全缺失的时段；改善软件安全缺失的作业时段；各阶段软件开发安全管控的调整弹性；软件安全改善作业的人力投入；软件安全改善作业的时间花费；软件安全缺失的影响范围。当软件系统开发计划依SSDP完成安全软件系统开发作业后，接着便是找出SSDP存在的问题与缺失，且针对这些问题与缺失进行剖析，再提出调整与修订作业，持续不断的改善SSDP，才能确认SSDP的有效性且维持SSDP的实用状态。

3 安全软件开发制程的品质量测模式与改善方式

一套完善的开发制程必须配合环境与需求不断扩充与调整，以品质量测模式监控与持续改善SSDP执行上的问题与缺失，才能确认SSDP的有效性。

3.1 安全软件开发制程的品质量测模式

个别的量度或量测值只能评量作业品质的某些特质，为了监控及评量软体制程品质，必须将个别的量度或量测值做适当的结合。量度结合的方式可以分为线性结合与非线性结合，考量实用性、修改弹性、扩充性与简单性，本文以线性结合方式建立品质量测模式。影响SSDP作业品质的三个关键项目分别为制度层面的调整、管理层面的配合及技术层面的提升，每个关键项目的影响指标则是由一些低阶的品质因子所组成，透过线性结合公式，可以将高度相关性的基层因子结合成特定量测值，这些特定项目量测值可以进一步结合成高阶项目量测值，最后再将高阶项目量测值加以结合，而成为SSDP作业品质量测指标。

3.2 安全软件开发制程改善方式

品质量测模式所估算出的SSDP品质量测指标，是找出SSDP潜在问题与缺失的依据，整合各个层面的品质因子、基层品质量度及高阶品质量测值等三个层次，结合而成的品质量测指标是找出SSDP潜在问题与缺失的关键。因此，当品质量测指标落在「过低的范围时，便可以从品质量测模式的结合公式进行推导，判断出相关的品质因子，再从品质因子对映剖析出SSDP的子工作项，进而找出SSDP实行过程中潜在的问题与缺失，依据问题与缺失可以提出具体的调整措施与监控作业。以下即针对SSDP「潜在问题与缺失所提出的改善法则：

3.2.1

如果「SSDP品质量测指标未能通过品质门槛，进一步分析「制度层面品质、「管理层面品质及「技术层面品质等量测值是否落在过低状态，且透过结合公式，对照找出属于过低状态的品质特性量测值。

3.2.2

如果「制度层面品质量测值属于「过低状态，可以进一步分析出那几项基层品质不良造成「制度层面品质量测值属于「过低状态中，且透过结合公式，对照找出使用单位安全需求、安全运作环境需求、安全设计介绍需求及安全程式撰写等品质量度值所对应的正确性、完整性及一致性等品质因子，再由品质因子配合找出制度层面相关子工作项潜在的问题与缺失，进行修正、改善与监控等措施。

3.2.3

如果「管理层面品质量测值属于「过低状态，可以进一步分析出那几项基层品质不良造成「管理层面品质量测值属于「过低状态中，且透过结合公式，对照找出品质量度值所对应的安全文件存取监控、版本管制及修订记录等品质因子，再由品质因子配合找出安全文件存取监控、版本管制及修订记录等子工作项潜在的问题与缺失，进行修正、改善与监控等措施。

3.2.4

如果「技术层面品质量测值属于「过低状态，可以进一步分析出那几项品质不良造成「技术层面品质量测值属于「过低状态中，且透过结合公式，对照找出安全程式撰写、例外处理机制、弱点扫瞄工具、漏洞查核表及漏洞检视技巧等品质量度值所对映的成熟度之品质因子，再由品质因子配合找出安全程式撰写、例外处理机制、弱点扫瞄工具、漏洞查核表及漏洞检视技巧等子工作项成熟度潜在的问题与缺失，进行修正、改善与监控等措施。

4 结论

本文从制度、管理与技术三个层面为基础，结合安全检视查核表与法则式安全知识库，规划出一套安全软件开发制程（SSDP），从管理与技术层面对软件开发制度进行调整，在软件开发初期就能有效的标示出软件安全缺失与漏洞，随即以较低的人力、时间与成本进行安全缺失的改善作业，将安全品质融入产品中。此外为了确认SSDP的有效性，本文更提出一套SSDP品质量测（SSDPQM）模式，用以监控与持续改善SSDP执行上的问题与缺失，确保SSDP能够持续强化软件系统的安全性。SSDP品质量测模式以制度、管理与技术三个层面为基础，采取线性的量度结合模式简化了复杂的公式，具有高度的修改弹性与扩充能力，可以随着SSDP的变动进行快速调整，持续确认SSDP的有效性与最佳状态。

参考文献

[1]施寅生，邓世伟，谷天阳.软件安全性测试方法与工具[J].计算机工程与设计，2008（01）.

[2]仉俊峰，洪炳，乔永强.基于软件方法故障注入系统[J].哈尔滨工业大学学报，2006（06）.

[3]颜炯，王戟，陈火旺.基于模型的软件测试综述[J].计算机科学，2004（02）.

[4]徐中伟，吴芳美.形式化故障树分析建模和软件安全性测试[J].同济大学学报（自然科学版），2001（11）.

作者简介

褚岷（1973-），男，台湾省台南市人。 大学本科学历，福州大学工商管理系（MBA）在读。现为冠捷电子有限公司RD部门经理。

会计核算内控漏洞及应对篇(5)

【关键词】网络安全 计算机系统 应对措施

1 计算机网络安全问题

针对计算机网络系统形成安全威胁的成因较多，目前日益严峻的黑客入侵问题需要引起我们的重点关注，特别在部队建设管理中更应将防范黑客作为日常工作的重要内容。黑客往往具备高水平的编辑调试程序水平，可对未经授权的信息文件自由访问，并入侵内网系统中。通过破解密码以及口令，形成病毒并进行传播，还突破了系统防火墙，应用记录设施进行窃取行为并向外部辐射电波等。该入侵行为主要为获取系统之中的存储以及应用访问权限，进行恶意破坏，令系统不良受损，无法良好运行。具体攻击手段包含破坏性以及非破坏性两类。后者不进入系统之中，仅仅影响其正常服务运行，因而不会窃取到系统之中的资料数据。而破坏攻击不仅入侵系统，还获取重要信息，并对其进行篡改。

计算机病毒威胁也会对网络安全形成明显影响，一旦病毒入侵计算机系统，便会影响总体运行效率，导致出现死机并令一些文件信息丢失。还会导致计算机之中的部件受损。病毒主要通过对计算机程序之中加入具备破坏功能、可自我复制的程序、数据与代码，完成传播感染。可快速的扩充与蔓延，不断的增长，导致无法估量的影响与损失。

基于系统编程阶段中，无法面面俱到，操作体系以及软件工具势必包含缺陷问题以及漏洞。倘若被外人利用，便会为黑客提供机会。其会应用该类漏洞以及缺陷实现非法目标。因而黑客经常会探寻各类计算机系统之中的漏洞以及缺陷，令其变成整体网络体系最为薄弱的隐患，并成为攻击影响的首要选择。

木马对于网络安全会形成一定影响，其属于一类特别后门程序，通过远程控制手段，体现隐蔽特征。其属于非法系统程序，可在主机之中不流痕迹的进行安装，目标是为了入侵人员预留后门。利用该后门可实现对计算机系统的管控。用户则会丢失重要信息，或者数据被篡改。

2 网络安全问题有效应对处理措施

2.1 入侵检测应用

入侵检测手段为一类主动防御技术，可在系统遭受侵害影响前期进行拦截，进而完成实时保护处理。主体功能在于检测各类非法入侵。再者可部分的核查出不可阻止的入侵行为前兆。有效应用入侵检测技术可对各类影响事件具体威胁等级展开评估，还可做好整理以及归档，进而提供可靠的法律依据。

2.2 有效预防病毒

病毒会对计算机网络体系形成较强的破坏作用，为此防杀病毒成为确保部队网络安全的核心构成内容。应树立预防为主的工作原则，预防计算机系统感染病毒。应定期对计算机做全盘扫描并快速的发掘与清除病毒。应用杀毒软件应持续的升级，进而符合网络安全应用的核心需要。伴随网络技术的快速发展，病毒会变得的更为复杂并且高级，对于病毒做好防范处理应把握好硬件、软件系统、网络等多元化因素，通过全面预防，防杀结合，软硬有效互补，治标又治本，进而开创优质的网络安全系统模式。

2.3 装设防火墙系统，全面扫描漏洞

防火墙为创建于网络通信以及信息安全手段之上的技术，可拒绝不准许通过的一切信息数据。较多防火墙应用多重功能集成的模式保护网络系统不受到恶意传输影响攻击。其在网络传输过程中对访问站点实施访问控制策略，防护功能依据安全等级可划分成静态以及动态分组、状态规律以及服务器手段等。防火墙可为网络系统安全提供完善的屏障，其提供了优质的信息安全管理服务。为此，用户可装设防火墙，对不安全管理服务进行有效过滤，全面提升内网可靠安全性。

系统漏洞为软件进行设计过程中包含的不足以及缺陷，或是在编写程序过程中出现的错误。应用计算机系统势必均包含漏洞，形成潜在威胁。可被不法之徒进行攻击并窃取有用资料。为此部队应做好系统漏洞的全面扫描处理，创建良好的安全体系。依据安全策略，发挥安全辅助功能。可通过扫描网络漏洞，快速的应用有效措施做好漏洞修补处理，并良好的预防系统漏洞引发的威胁影响。

2.4 有效应用数据加密手段，引入VPN处理技术

有效应用数据加密手段，可通过复杂的加密运算确保网络系统安全。加密人员可进行破解还原处理，而外界人员则较难实现该目标，进而可良好的进行数据保密。可依据系统需求应用对称或是非对称处理技术，实现良好的加密以及解密处理。

另外，还可应用虚拟专用技术手段，位于公共网络系统之中创建专用网络，进而令数据在可靠安全的管理工作下，位于公共网络进行高效传播。其依据设备连接端口以及用户各个节点MAC地址，可令原本物理互联网络分成较多虚拟子网。应用该类手段技术可良好的管控网络流量，预防传播风暴。还可科学应用MAC层之中的数据包过滤手段，对具有较高安全水平要求的端口进行帧过滤。该技术手段主要应用隧道技术手段、加密解密方式以及秘钥管理，认证辨别身份技术手段做好安全可靠的保障。

3 结语

总之，计算机网络系统呈现出大跨度以及没有边界特征。加之行为主体呈现出网络信息以及身份的相对隐密性，令网络安全变成更为复杂且难以应对的问题。部队为有效的预防安全隐患，可创建优质的防火墙系统、完善病毒防范管理。应用数据加密手段，引入VPN处理技术，提供优质的保护。全面提升网络系统安全水平。

参考文献

[1]刘真真.计算机网络安全与防范[J].计算机光盘软件应用,2010(1)．

[2]刘文莱．计算机网络安全隐患与防范措施[J].计算机光盘软件与应用,2010(12)．

作者单位

会计核算内控漏洞及应对篇(6)

关键词：计算机；网络信息系统；安全；漏洞

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 （2013） 04-0074-01

在计算机网络系统中，系统资源是共享的，用户可以直接访问网络和计算机中的文件、数据和各种软件、硬件资源。随着计算机和网络的普及，政府部门、军队、企业的核心机密和重要数据，甚至是个人的隐私都储存在互联的计算机中。因计算机系统的原因或者是不法之徒千方百计地进入或破坏，会给国家、社会、企业及个人带来巨大的损失。网络安全已经成为当今计算机领域中重要的研究课题之一。

一、网络信息系统安全漏洞成因

网络信息系统安全漏洞的成因是多方面的，主要分为硬件漏洞，软件漏洞和协议漏洞三个方面。漏洞的出现有的是不可避免的逻辑错误，有的是管理员的不规范操作所遗留，有的则是入侵者的恶意利用篡改所造成。比如一个程序的出现，开始可能并没有发现很多可以利用的漏洞，但是随着时间的推移，入侵者的侵入方式不断优化，这个程序可能出现很多很多的安全漏洞。这就需要我们使用者和开发者也要不断完善已经开始使用的程序。软件如此，硬件亦是如此。

（一）网络协议漏洞。网络协议包括TCP/IP（传输控制协议、网际协议）在开放系统参考模型出现前十年就存在了，也是因为它出现的比较早，因此有关它的漏洞近年来越来越多的被发现和恶意利用。TCO/IP协议以及其他一百多个协议构成了TCP/IP协议簇。TCP/TP协议被认为是“开放的”，因为从其最初的版本直到目前的最新版本都是公开的，并且是不收费的。这就更加给非法入侵者提供了便利，例如smurf攻击、IP地址欺骗。网络协议最大的弱点是就非常容易信任，因此入侵者可以随意篡改数据而不被发现。

（二）操作系统漏洞。网络操作系统的漏洞种类很多。其中最常见的一种被称为“缓冲区溢出”。入侵者输入很长的一段字符，长度超过了程序的检测长度，超出的部分即入侵者的攻击代码占据了缓冲

区的内存就可以逃过系统的检测而被执行，入侵者就成功的达到了目的。而程序设计者往往为了简单而没有设计检测过长的字符，这一点便常常被入侵者利用成功。还有一中系统漏洞叫做意料外的联合使用，由于一个程序的设计往往需要使用多层代码，甚至联系到最低端的输入框，入侵者可以利用这一点，在最低端输入框输入高层代码而被执行，从而达到入侵目的。还有一种漏洞情况也是很常见的，有时，管理员开了一个临时端口，使用完毕后却忘了禁止它。这个临时端口便成了入侵者一个很好的门户导致其恶意攻击。

（三）数据库安全漏洞。网络的数据库往往是加密的，有着较好的安全防护的，一般入侵者不易攻击，但是入侵者一旦攻击成功，其获得的数据资源也是相当庞大的。因此，数据库也是入侵者喜欢攻击的一个对象。数据库的恶意攻击往往与用户不能严格的验证参数的合法性有关，如果用户能够严格按照要求使用数据库将大大减少入侵者的攻击。

（四）安全策略漏洞。计算机网络信息系统中的安全策略往往过于简单，安全策略一旦被信任便可以使响应端口开放，响应端口的随意开放给入侵者以可乘之机，入侵者循着开放的响应端口进行恶意攻击和数据篡改。

二、网络信息系统安全漏洞的防范措施

针对各类网络不同的安全隐患与安全需求，人们开发了许多安全防护产品。目前，普遍使用的安全防护技术包括访问控制策略、防火墙技术、数据加密技术、网路漏洞扫描技术。

（一）访问控制策略。访问控制需要完成两个任务：识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。目的是通过一定的控制策略限制主体对客体的访问权限，保证主体能够以一种合法的方式访问某一资源。这种访问控制策略是保证计算机网络安全的一项重要措施。

（二）防火墙技术。防火墙是硬件和软件的组合，是在两个网络之间执行访问控制策略的系统，用来帮助保护网络或计算机系统的安全。防火墙可以防止对受保护的网络进行未授权访问，同时能让受保护的网络访问防火墙以外的网络。一般来说，防火墙具有三种功能：一是能够强化安全策略，二是能有效地记录因特网上的活动，三是能限制暴露用户信息。防火墙能保护站点不被任意连接，总结并记录有关正在进行的连接资源。防火墙的缺陷是不能防范恶意的知情者、不能防范不通过它的链接、不能防备全部的威胁和病毒。按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防火墙和防火墙。前者是依据控制数据

包的源地址、目的地址和传送协议来判断哪些数据包可以进出网络。后者是位于内部用户和外部服务之间，在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。

（三）数据加密。加密是在不安全的环境中实现信息安全传输的重要方法。互联网上通常使用公用/私有密钥的加密技术。它使用相互关联的密钥，一个是私有密钥，只有用户知道，例如电子邮件传输系统中的邮箱密码；另一个为公用密钥，可对外公开，甚至可在网络服务器中注册。公用密钥在网络中传递，用于加密数据，私有密钥用于解密数据。基于密码技术的访问控制是防止数据传输泄密的主要防护手段。随着信息技术的发展，信息安全对密码的依赖会越来越大。

（四）网络漏洞扫描。网络漏洞扫描主要是指用来自动检测远程或者本地主机安全漏洞的程序。网络漏洞扫描可以帮助用户及时发现漏洞的威胁，及时的设计，，下载，安装漏洞补丁，以减少被入侵者攻击的危险。目前漏洞扫描技术已经得到了广泛的应用，并且在信息安全方面扮演着不可或缺的角色。

参考文献：

[1]王耀武.信息管理系统[M].北京：电子工业出版社，2003.

[2]顾巧伦.计算机网路安全[M].北京：清华大学出版社，2004.

会计核算内控漏洞及应对篇(7)

关键词：建设项目，审计，风险

建设项目审计是现代建设项目管理的一种基本手段和方法，强化建设项目审计工作，对于加强建设项目投资的监督、管理和控制，提高建设项目的投资效益等均具有重要的现实意义。但是由于建设项目资金流动主要集中于工程施工直至竣工结算整个过程中，再加上一些客观因素，在很长一段时间内，注重于施工过程及竣工结算审计的思想一直束缚着建设投资项目审计工作，审计的潜在风险就随之产生。基于此，本文就建设项目审计风险的形成及防范风险的措施进行了研究和探讨。

一、建设项目审计的主要特点

建设项目审计作为一项专业审计，它有不同于其他审计的特点，它与审计的对象、范围、内容、任务、目的、本质等有密切的关系。一般而言，固定资产投资项目审计是一项独立的、综合各类专业知识的、需要众多部门配合和协调的艰巨的工作，是体现国家宏观经济管理和投资政策的审计。

1.前期传统建设项目审计特点分析

（1）审计范围广泛，内容复杂

对固定资产投资项目进行审计，不能仅局限于项目的某一阶段，而是要对投资财务、管理等各项活动进行全过程的审查。既要审计固定资产投资项目的计划、概预算，审计资金的来源和使用，又要审计竣工决算，审计投资经济效益和审计社会效益等等。因此，固定资产投资项目审计具有审计范围广泛、内容复杂的特点。

（2）审计客体广

在实施建设项目审计时，凡使用国家资金从事固定资产投资项目活动的政府机关、企事业单位等都在被审计之列。同时，还延伸至有关的计划管理部门、设计勘察部门、建设单位主管部门、项目法人组织、项目承建单位、监理公司、相关银行及金融机构等。

2.现行工程项目建设全过程审计特点分析

（1）审计分阶段进行，审计次数大增

工程项目全过程跟踪审计将整个建设过程合理划分成若干阶段或期间，及时对每个阶段进行审计。审计的内容和环节增加，审计介入的时间也由工程竣工以后提前到工程建设的投资活动开始至竣工结算整个过程之中。

（2）审计内容是建设项目的整个实施过程

全过程跟踪审计不是在整个工程全面完工后再进行集中审计，而是对工程项目投资活动开始至竣工验收交付使用之前，对工程建设项目全部经济活动的真实性、合法性、完整性及效益型进行审计，并作出项目建议书的过程。全过程跟踪审计主要是对项目前期、项目实施阶段以及项目竣工阶段的各个环节、过程及相关资料及时进行动态审计，审计的内容、资料要多于竣工决算，体现出全面、全程审计的特点。

二、我国建设项目审计风险日益增加的原因

正是由于建设项目具有一次性、单件性、投资额大、建设工期长、施工难度大、技术复杂以及工程参与方不同的特点，在建设过程中不可预见的因素较多，比一般产品具有更大的风险。具体来说，建设项目审计风险日益增加的原因有以下几点：

1.对建设施工的审计条件受限增大了审计风险

在目前的审计环境中，审计单位面临着审计成本和审计质量的冲突，时间预算是一个非常重要的管理工具，审计机构对每一项审计任务都规定了严格的时间目标。目前我国建设项目审计大部分是竣工验收后的预决算执行情况审计，所需资料不仅有财务报表帐套，还包括项目前期的立项批文、各种许可等资料；建设过程中的招投标、合同、施工组织设计、材料批价等资料；竣工验收后的竣工图、各合同段的结算书等资料。被审计单位整理移交资料滞后往往挤占审计实施时间，审计人员迫于时间压力可能会从事一些威胁审计质量的行为。

2.建设项目工程监理制度不落实，现场监督不到位加剧了审计风险

目前，虽然一些重点建设项目都委托监理机构实施了工程监理，由于缺乏有效的监督制约机制，建设单位对监理单位监督不到位，造成监理单位不认真履行职责，对工程质量和施工进度缺乏有力的监督，发挥不了工程监理应有的作用。同时，由于监理单位是受建设单位的委托，其独立性很难保证，实施监理达不到应有的力度，有的监理机构为了迎合某些单位少付监理费用的心理，尽可能地压低监理费用，而到实际操作时则不按规定的数量和质量派驻现场监理人员，致使建设过程项目得不到有效监督，工程质量和数量得不到设计及技术规范要求，审计人员所得到的监理数据也无法确定真伪，从而增大了审计风险系数。

三、从审计体系探讨建设项目审计风险的防范对策

从空间范围上来看，审计体系所涵盖的内容分为了管理、技术和经济三块内容。从审计的各个模块来看，审计内容是基于工程建设项目各阶段的实施内容开展的，由外部审计和建设业主内部审计的角度出发来描述的。今后在工程建设项目中引入风险基础审计将会对工程建设项目审计体系产生很大的作用。

1.加强管理方面的审计

审计的主要内容是从内部控制制度入手，审查工程建设单位内部控制制度的建立与实施情况以及工程各个阶段工作开展的程序是否满足规范和要求。例如，前期决策阶段的审计要以项目决策程序和可行性研究报告编制程序为主，并审查有关审批单位的资质是否符合规范要求。又如，施工阶段的审计要以业主项目经理部内部控制制度的测评和业主与各方签订的合同的具体执行效果为主，着重审核施工现场的管理状况。以下笔者将重点探讨工程施工阶段的审计对策。

管理制度控制：管理制度是否健全，管理制度之间是否协调统一，管理制度执行情况；合同支付控制：支付程序是否符合有关管理办法规定，支付资金需要经过审批的是严格按照管理办法执行审批手续；变更事件的控制：及时掌握变更事件的信息，及时采取有效措施处理，根据变更金额、变更性质决定采用合规的变更审批程序，及时落实变更事件保证项目顺利实施；索赔事件的控制：索赔依据资料是否原始、完整、真实、准确和及时；建设单位管理部门是否根据有关规定制定对监理日志检查的程序和方法，做好监理日志内容的核实工作；建设单位管理部门随时掌握监理单位对施工单位签证的情况。

2.加强技术方面的审计

审计的主要内容是以工程建设项目各个阶段形成的文件的内容进行审查，尤其对质量进行监督审核，同时对比较重要的技术性工作进行跟踪审计。例如，设计阶段要加强对设计依据与设计方案的审核，对设计质量保证的有关内容的审查。又如，招投标阶段，要审查招标条件是否具备，招标文件是否完整、合理，评标标准是否合理，中标人投标书技术部分是否存在缺陷等；在施工阶段，对隐蔽工程的过程跟踪审查，对分项工程质量评定的考核以及对施工方上报工程量的审查核实等内容都是该阶段技术方面审计的重点内容。

（1）勘察报告深度：勘察深度是否符合施工需要，若发现勘察资料有偏差或不详细，则应判断导致变更的可能性，并要求其做出相应的补救措施；

（2）变更合理性，变更资料完整性、原始性、真实性；

（3）施工质量控制：审查施工方质量控制体系，施工方案的技术合理性和经济性；

（4）施工进度控制：是否以审核后的施工组织计划为依据进行施工过程监督，承包商是否按照计划组织施工，保证项目按期完工；

（5）施工组织设计的控制：检查施工单位是否按照批准的施工组织设计进行施工。

3.加强经济性方面的审计

审计的主要内容是对工程建设项目各个阶段的投资与财务活动进行审计监督，尤其是对工程的投资估算、设计概算、施工图预算以及工程决算进行过程审计。例如，前期决策阶段对投资估算及其调整进行审核，设计阶段对概算和预算审核，招投标阶段对标底、商务标书的审核，合同签订阶段对中标合同价及特殊调整、各项保函的审核，施工准备阶段和施工阶段对工程预付款和工程进度款支付计划与实际支付的监督，试生产及运营阶段对工程结算和工程决算的审计以及对整个项目投资效益的评估。

（1）工程预付款控制：预付工程款是否与工程进度及合同规定相符，预付工程款拨款单保函是否经过财务部门负责人、建设项目主要负责人，和建设单位领导审批；

（2）工程进度款核算审查：支付的工程进度款是否与工程进度及合同规定相符，工程进度款拨款单及保函须经过财务部门负责人、建设项目主要负责人，和建设单位领导审批；确认在建工程成本所依据的原始单据是否完整、合规。

参考文献：

【1】张杰，《建设项目审计对施工企业的影响及完善基础工作的思路》，交通财会，2010.06

【2】张琴芳，《建设项目审计方法的探讨》，山西建筑，2010.12

【3】朱栋，《浅谈建设项目跟踪审计》，经济师，2010.01

【4】，《浅谈建设项目跟踪审计的角色定位与风险防范》，时代金融，2010.04

本文具体讲述的漏水、渗水情况有以下几个方面：

1. 屋面漏水

屋面出现漏水现象后，首先仔细查找漏水点，分析漏水原因，不要盲目安排工人在屋面剔凿，以免造成不必要的经济损失。

当屋面下面的房间有吊顶时，首先是从吊顶预留检修孔进入吊顶，查找漏水点。如果吊顶上没有检修孔时，先查看结构图纸，在吊顶上选择合适的位置开一个检修孔，方便工人上吊顶内查找漏水点。

1.1 在查找漏水点时可能发现是屋面的排水管和楼板接触部位没有处理好，造成漏水，即管口处漏水，这种情况有可能是排水管与楼板预留洞口没有塞实，防水涂膜在管口处有微小孔洞，雨水沿着微小孔洞往室内渗水。①这种情况可以将原来排水管和楼板预留洞口四周封堵的混凝土敲掉，重新浇筑略带膨胀性细石混凝土，振捣密实，用抹子抹光。②待混凝土干燥后，再用堵漏王在管口处封堵密实，表面要抹圆滑。③管口处涂抹的堵漏王干燥后，可用柔性防水涂膜材料分两至三次在排水管周边涂抹几遍，厚度不低于1.2厚，待防水涂膜干燥后再铺一层防水卷材（厚度按设计要求施工），最后再浇筑20厚防水保护层即可。

1.2 在查找漏水过程中可能发现是屋面顶板出现了细微裂缝造成漏水，微裂缝产生的原因可能是基础不均匀沉降、混凝土自身收缩造成、施工及养护原因造成的，由裂缝造成的漏水可以往裂缝内注入防水堵漏剂，如路得IP-11聚氨酯堵漏剂，该堵漏剂主要止水原理是采用多氰酸酯和多羟基聚醚进行聚合化学反应生成的高分子化学注浆堵漏材料，对建筑结构漏水、渗水有立即止水的效果。

1.3 屋面漏水还有可能是在原来施工过程中由于种种原因，屋面板混凝土内包裹着零星钢管，这些钢管洞口在外面没有进行封堵，紧接着施工防水涂料，在保修期才发现屋面漏水，追查原因是屋面板混凝土内穿过楼板的钢管洞口没有封堵，雨水顺着钢管洞口往室内流水，造成室内漏水。这种情况造成的漏水可将屋面混凝土内残留的钢管剔除，用膨胀混凝土封堵剔除钢管后留下的孔口，然后在补做防水材料，浇筑防水保护层。

1.4 屋面漏水另外一种情况是屋面上有凸出物，如烟道、采光棚、设备机座等，这些凸出屋面的建筑物外墙为装饰涂料时，由于装饰面基层为砂浆层和主体结构结合，在业主使用阶段，太阳光照射下可能造成外墙涂料开裂，下雨时少量雨水就可能沿着裂缝渗入主体结构和砂浆层之间的缝隙，通过缝隙往室内渗水，这种情况只有将出现裂缝周边的砂浆层剔掉，在主体结构表面用胶水拉毛糙，重新进行抹灰，做外墙装饰。

2.建筑物外墙漏水

建筑物外墙漏水有以下几种情况：外墙窗洞口周边漏水、外墙和室外风机管口接触部位漏水、外墙面百叶窗漏水、女儿墙根部漏水。

2.1 建筑物交付使用后，原来不漏水的外墙窗洞上口可能在雨季出现渗水现象，使室内装饰面遭受雨水侵泡，造成经济损失。出现这种窗洞上口漏水原因可能是窗框与墙体之间的缝隙未填嵌饱满或局部未采用密封胶密封，薄弱部位出现渗水现象。处理这种窗洞上口漏水的方法可以将漏水部位剔凿开，重新将窗框周边的缝隙用发泡剂填嵌饱满，再用密封胶密封严实。另外一种由于窗台外边缘高过窗台内侧造成的渗水可稍微剔凿窗台外边缘，使窗台内侧高度略高于窗台外边缘，避免窗台内侧积水。

2.2 现在许多公共建筑物屋顶上安装有风机设备，风机设备的风管通过建筑物外墙向室内送风，风管和外墙接触部位的缝隙多数是施工密封胶处理，但是建筑物在长期使用过程中，原来风管与外墙间施工的密封胶受太阳光照射可能老化、开裂，雨季雨水通过老化、开裂部位向室内渗水。所以建筑物在投入使用后要定期检查，发现胶缝有开裂时应立即重新打胶，以免漏水影响建筑物正常使用。另外外墙面安装有大小不一的百叶窗，下雨时，风特别大，雨水顺着外墙往下流，如果百叶窗尺寸过大，百叶片中间下坠，雨水可能顺着百叶片流入室内，这种由于百叶片下坠造成的漏水可通过在窗框中间加肋，增强百叶片刚度，防止百叶片下坠，达到防止漏水目的。

2.3 女儿墙根部漏水是比较常见的漏水情况，雨停后几天雨水都可能通过女儿墙根部沿外墙面往下慢慢渗水，污染外墙面装饰。这种漏水一般是女儿墙和屋面板混凝土不是同时浇筑，女儿墙为后浇筑混凝土或砖砌体，时间久了女儿墙根部可能开裂，屋面上有横向或纵向排水沟，有些水沟内的排水管高出防水层，在防水层和排水管高差之间的水无法排走，只有通过女儿墙根部产生的裂缝往外墙渗水，这种渗水处理可顺着裂缝方向在楼板和女儿墙根部各剔凿200宽到结构层，重做防水材料和浇筑保护层，另外可在女儿墙根部裂缝处安装一根直径50的PVC管，该PVC管一定要略低于屋面板，管口周边要用堵漏王封堵，使屋面板和排水管高差之间的积水往外排走。

3.卫生间漏水

卫生间漏水常见的有蹲便器（或小便斗）排水管和楼板预留洞之间缝隙漏水、业主使用过程中防水层薄弱处漏水。

按照规范要求卫生间刷好防水涂膜后（厚度达到设计要求），必须做48小时蓄水实验，在该实验过程中很容易发现卫生间防水施工的薄弱点，如蹲便器（或小便斗）排水管与楼板预留洞口之间的缝隙没有封堵密实，造成管口处漏水，这种情况造成的漏水可将排水管四周封堵的混凝土敲掉，重新浇筑带膨胀剂的细石混凝土，浇筑完成面比楼板面略低10mm，再用堵漏王将管口四周抹光滑，重新施工防水涂膜材料，按照正常施工工艺进行下一道工序施工，需要注意的是漏水点修补完后必须重做蓄水试验，以检查修补处是否达到防水要求。

4.玻璃光棚漏水

玻璃光棚由于其采通透、光性好，被越来越多的建筑物所采用，玻璃光棚在使用过程中有可能出现漏水，而玻璃光棚下面一般都是人行通道或建筑物出入口，所以玻璃光棚漏水对建筑物的影响非常大，出现漏水情况后要及时处理，以免造成不必要的经济损失。

玻璃光棚漏水一般有以下两种情况：⑴玻璃与玻璃之间的的密封胶在太阳光、紫外线照射下可能局部老化，出现细微裂缝。⑵ 玻璃和主体结构（如梁面、柱面）之间的缝隙施工的密封胶沿主体结构脱落，出现小裂缝。

针对玻璃与玻璃之间的密封胶出现细微裂缝造成的漏水，在雨停后，可以仔细检查光棚上面玻璃与玻璃之间的胶缝，发现有裂缝的部位按照施工工艺重新施工密封胶，对重新施工的密封胶缝一定要圆滑饱满，待密封胶干燥后再在玻璃光棚进行人工淋水试验，检查修补后的玻璃光棚是否漏水。