企業計算機審計電子數據安全保護對策研究

[摘 要] 本文針對企業計算機審計電子數據的主要內容，分析了企業計算機審計電子數據安全保護存在的突出問題，提出了做好企業計算機審計電子數據安全保護的目標與思路，并對企業計算機審計電子數據安全保護的實施步驟和主要成效進行了詳細闡述，旨在為企業內部審計計算機審計工作提供有力保障。

[關鍵詞] 計算機審計；電子數據；數據安全；保護；對策

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 15. 020

[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194（2013）15-0026-03

隨著企業信息化建設應用工作的不斷推進，企業內部審計計算機審計工作持續開展，并產生了大量的計算機審計電子數據，這些數據涉及企業生產經營管理活動的重要內容，也是企業重要的信息資源，因此，企業計算機審計電子數據安全保護工作十分重要。加強企業計算機審計電子數據安全保護能力、降低審計人員個人攜帶計算機審計電子數據的安全風險，不僅是企業信息安全保護的要求，而且是企業計算機審計自身的內在要求。與此同時，隨著信息化技術的不斷更新換代和計算機審計環境的越發復雜，要做好計算機審計電子數據安全保護工作，就要與時俱進、不斷探索研究。

1 企業計算機審計電子數據的主要內容

企業計算機審計電子數據的主要內容包括審計人員個人計算機存儲的由被審計單位提供的本單位生產運營管理報告、業務數據、財務報表等與審計項目相關的電子數據，以及參加審計項目實施過程中涉及的審計工作方案、審計實施方案、審計工作記錄、審計工作底稿、審計報告等審計工作數據。

2 企業計算機審計電子數據安全保護方面存在的突出問題

企業在計算機審計電子數據安全保護方面采取了一些措施，一方面在管理上要求審計人員提高信息安全保密意識，另一方面在技術上為審計人員個人計算機安裝防病毒軟件等，雖然取得了一定成效，但在企業計算機審計電子數據安全保護方面尚未形成有效的體系，仍然存在以下幾個方面的突出問題。

2.1 管理方面

一是數據整理與挖掘利用困難。審計數據是審計人員多年工作經驗、審計知識的積累與沉淀，利用現有手段難以從數據挖掘利用的角度進一步梳理數據，無法實現數據的多維分類，無法充分進行數據價值挖掘利用。二是數據權限管理困難。數據訪問與使用權限控制缺乏平臺支持，難以實現更深入的權限控制，增加了管理與操作的難度和工作量。三是桌面標準化管理困難。審計工作依賴于終端設備，使用的軟件不統一，給信息交流與利用帶來困難，同時管理上也存在很大難度。

2.2 技術方面

一是安全性不足?，F有技術手段的安全水平與審計電子數據的重要性尚有差距，不能滿足審計業務對信息安全與保密的需要。其一，數據以明文傳輸，數據在傳輸過程中一旦被截獲，信息容易泄露；其二，服務器上數據以明文存儲，一旦服務器被入侵，入侵者可以很輕易地獲取所有未加密文件；其三，終端上數據以明文方式存放，特別是正在開展的審計項目數據以明文方式存在審計人員的終端設備中，如果設備丟失或系統感染病毒，就會造成重大損失。二是權限配置與備份困難。企業郵件賬號域認證初步實現訪問控制，但其控制粒度尚不能滿足使用需要，且配置比較繁瑣。數據手工備份、同步與恢復不能滿足需要。

2.3 使用方面

一是審計人員難以找到需要的信息。各單位審計人員只能查看本單位的部分共享審計資料，缺乏按關鍵字、審計對象、審計類型等多種方式的全面數據搜索，審計人員難以找到最適合的可參考與可借鑒的資料信息。二是尚不能完全實現審計工作與外網分離。通過上網本為審計人員提供從外網搜索資料等功能，滿足了審計人員對外網大部分的需求；但審計人員出差期間，訂購火車票時，需用筆記本電腦付費，而且審計人員習慣于使用終端設備，日常辦公和其他方面依然和審計工作共用終端設備，未完全實現審計工作與外網的分離。

2.4 保障方面

一是終端數據清理工作量大?，F階段審計人員的終端設備數據清理工作，耗時長，工作量大，信息處負責數據清理工作的同志工作負荷重，急需通過其他手段，提高工作效率和清理效果。二是IT運維工作壓力大。信息處負責企業IT設備的維護工作，各電腦終端存在操作系統不統一、審計軟件與辦公軟件不統一、審計人員出差遠程維護難等問題，造成IT運維難度大，信息處承擔了很大的工作壓力。終端設備容易因電腦病毒、系統漏洞、惡意網站等各種原因，造成審計數據的泄露。亟需通過新的IT手段，提高審計IT桌面安全性，降低IT維護難度，提高IT維護效率和效果。

3 目標與思路

企業計算機審計電子數據安全保護是一項系統化工作，只有明確計算機審計電子數據安全保護的主要目標，理清計算機審計電子數據安全保護的整體思路，并不斷探索研究，才能持續提高計算機審計電子數據安全保護能力。

3.1 主要目標

企業計算機審計電子數據安全保護的主要目標是實行計算機審計電子數據集中統一管理、按需授權訪問，降低個人攜帶審計電子數據意外風險；計算機審計電子數據集中管理的服務器環境，要遵照企業統一安全策略，采用相應的物理安全、網絡安全、主機安全、應用安全、備份與恢復安全等技術措施，以及安全管理職責、安全管理制度、人員安全管理、系統建設管理、系統運維管理等管理措施，整體確保計算機審計電子數據安全受控。

3.2 整體思路

企業計算機審計電子數據安全保護的整體思路是依托企業信息技術統一安全保護策略，通過建立計算機審計電子數據集中管理平臺，實現審計工作辦公內網與外部公網分離、審計工作環境與個人計算機終端分離，逐步實現審計人員個人計算機審計電子數據按需攜帶向零攜帶轉變，最終實現計算機審計電子數據實時在線與安全受控。

4 實施步驟

企業計算機審計電子數據安全保護工作是一項長期而艱巨的任務，不可能一蹴而就。在管理上，需要企業高度重視計算機審計電子數據安全保護工作，一方面要給予這項工作統一領導和各種資源的支持，另一方面審計人員要不斷提高信息安全保護意識；在技術上，要與時俱進，采用先進的信息技術手段，有步驟、有計劃地逐步開展。

4.1 審計數據集中管理，個人歷史數據清零

利用企業現有軟件硬件資源，創建審計數據集中統一管理存儲空間，采用企業郵件域認證方式，按照單位審計人員授權訪問；審計人員自行整理個人計算機審計電子數據，按照個人權限上傳至統一管理存儲區域；利用專用存儲介質數據清除工具對審計人員個人計算機硬盤逐一進行清理；實現審計人員個人計算機審計電子數據集中管理，個人計算機歷史審計數據清零。

4.2 審計網絡環境分離，審計數據按需攜帶

針對審計工作以企業辦公內網環境為主，需要借助企業外網查找資料的特點，為審計人員公網應用配發個人上網本；實行審計人員個人計算機在辦公內網專用，個人上網本在公網環境專用；在審計項目開展前，為審計人員個人計算機裝載系統軟件，并按照審計項目需要裝載相關審計數據；在審計項目結束后，利用專用存儲介質數據檢查工具對審計人員個人計算機和上網本使用情況進行檢查，確保按照要求使用；實現審計工作內網應用和外網應用分離，審計數據按需攜帶。

4.3 審計工作環境分離，審計數據實時在線

借鑒先進技術應用實踐經驗，建立企業審計電子數據管理平臺，采用統一的信息技術安全保護策略，通過企業郵件域認證登錄個人移動辦公桌面；采用云技術為審計人員呈現個人辦公系統軟件環境，所有審計工作將在審計電子數據管理平臺完成，審計人員個人計算機將不再存儲任何審計相關數據；利用專用存儲介質數據檢查工具對審計人員個人計算機和上網本定期進行數據存儲檢查，確保介質審計數據零存儲；實現審計工作環境與個人計算機終端分離，審計數據實時在線。

5 主要成效

結合企業計算機審計工作實際，通過虛擬化等技術手段，建設審計電子數據管理平臺，采取計算機審計電子數據集中管理、審計辦公桌面集中管理、審計應用軟件統一管理和信息安全策略集中管理等具體措施，最終實現審計工作環境分離、審計數據實時在線，從而實時有效地進行計算機審計電子數據安全保護。

5.1 實現電子數據集中管理

集中管理審計電子數據，提供數據多種分類和檢索方式，審計人員根據分配的權限、關鍵字、文檔類型、提交時間等快速定位所需文檔，為深入發掘審計電子數據價值提供支撐，為審計管理和審計項目工作提供豐富有效的數據資源。審計電子數據管理平臺，采用經國家相關安全部門認證的數據加密技術和手段，通過數據加密存儲、加密傳輸、加密備份和數據訪問控制機制，全面保障數據的安全性，實現數據的全生命周期管理。

5.2 實現辦公桌面集中管理

采用云計算和虛擬化技術，提供標準的、靈活的、可擴展的辦公桌面環境，通過集中配置和統一分配審計辦公桌面，提高審計辦公資源申請、配制、獲取、維護與收回清理的工作效率，同時服務器、存儲、網絡等資源能得到更加充分的利用。審計人員可以快速獲得所需辦公桌面，系統嚴格控制，實現審計工作數據與個人本地終端完全分離，且工作狀態自動保存，可從任何地點重新接入和恢復。

5.3 實現應用軟件統一管理

集中管理OA系統、Office等辦公軟件，審計管理系統、財務輔助審計系統等審計軟件，以及FMIS、ERP等其他專業軟件，統一配置到審計人員辦公桌面。審計人員還可以根據需要，申請所需的其他應用軟件，經審批通過后集中配置、統一分配到辦公桌面，滿足審計人員工作需要，提高審計人員的工作效率，提升信息人員的運維水平。

5.4 實現安全策略集中部署

在虛擬桌面、辦公應用、審計數據3個層級，集中部署管理防病毒軟件、辦公應用軟件和數據加密管理軟件等，通過一次性集中配置，發布到所有審計辦公桌面，實現桌面安全、應用安全和數據安全，建立全面的審計辦公和電子數據三級安全防護體系，提升審計辦公和審計電子數據的安全保護能力。

6 總 結

企業計算機審計電子數據安全保護工作是一項系統工程，需要技術和管理并重，在將計算機審計電子數據安全保護納入企業保密管理工作范疇的同時，要建立企業個人計算機審計電子數據集中管理制和個人計算機存儲介質安全清理檢查制，定期開展計算機審計電子數據安全檢查工作，將檢查結果定期予以公布，并將計算機審計電子數據安全保護工作情況納入績效考核，全面提高計算機審計電子數據安全保護能力，為企業內部審計計算機審計工作提供有力保障。

主要參考文獻

[1]審計署企業審計司.企業計算機審計論文集[C].北京：中國時代經濟出版社，2012.

[2]中國內部審計協會.內部審計計算機應用技術[M].北京：西苑出版社，2009.

[3]劉汝焯，等.計算機審計——概念、框架與規則[M].北京：清華大學出版社，2007.