2、设计漏洞:攻击者使用的另一类漏洞来源于设计阶段,这一类漏洞更难发现,同时也更难弥补,因为漏洞来源于设计,软硬件实现完全围绕设计实现。这种漏洞是固有的,只有依靠重新设计和实现。典型例子仍是著名的sendmail程序,即使sendmail的实现无懈可击,仍然可以利用sendmail程序反复生成邮件,从而实现拒绝服务攻击。
3、配置漏洞:这是攻击者最喜欢的漏洞,也是最常见的漏洞。配置漏洞来源于管理员(或用户)错误的设置。许多产品制造商在产品出厂时往往为用户设置了许多默认的参数,这些设置基于对用户环境的充分信任,以方便新用户的使用。但这些出厂设置可能会带来严重的安全漏洞。典型的配置漏洞包括:继续使用账号的出厂默认参数,使用默认的文件访问权限设置,以及开放有漏洞的网络服务等。
通过以上的漏洞分析,作为注册会计师应该根据被审计单位的系统状况对被审计单位的财务会计信息系统的安全性做出评价。此处,我设置了3个水平的评价指标:高、中和低。
高的风险,指被审计单位的财务会计系统混乱,财务软件漏洞很多,财务系统运作混乱,不能进行相应的会计信息处理,会计信息的真实性无法保证。
中等的风险,指被审计单位拥有一套比较完善的财务会计系统,但财务软件存在着致命性的漏洞,仅基本上能够保证真实性的要求。
低的风险,指被审计单位拥有一套完善的财务会计系统,系统设置能够适应企业业务发展的需要,系统中不存在明显的、致命性的设计漏洞,能够提供真实、客观的财务信息。
(二)会计信息系统的开放性
会计系统的开放性指能够接触到会计信息系统的终端用户的范围。一个会计系统的终端使用者越多,那么他所面临的网络风险越大。在会计信息系统的开放性问题中值得一提的是网络开放性问题,如果一个公司的财务系统要上网向公众公告,那么会计系统将承受更多的网络风险。具体的评价指标也有3个即:
高的开放性,指会计信息系统要向与Internet相连接,向社会公告。
中的开放性,指会计信息系统只在本单位的局域网中开放,不与Internet相连接,除了满足公司管理的需要,不需要向社会公众公告。
低的开放性,指会计信息系统不存在分布式的设计,不需要联网工作,仅仅在财务部门内部使用,不向外公告。
(三)最新的病毒发布情况
病毒和黑客是计算机系统致命的敌人,最新的病毒发布状况直接决定了财务信息系统在当时的风险因素的大小。如果审计期间有大规模的且非常厉害的病毒爆发,那么网络风险就会高,也就要求审计人员做出大量的技术处理以避免病毒攻击,确保信息的安全、可靠。具体的评价指标也有3个即:
高风险,指在审计期间出现了大量的新的对系统有致命损害的病毒,且这种病毒的防范措施尚未形成,没有专门的杀毒软件可以处理。
中风险,指审计期间出现一些新的毒,但这些病毒对于计算机系统的伤害并不是致命,而且采取相应的措施可以有效的避免病毒的感染。
低风险,指审计期间没有新的病毒发布,一些常规病毒以被审计单位目前的技术水平完全可以应付。
(四)防火墙的性能
防火墙的性能直接决定被审计单位的财务信息安全状况。被审计单位的防火墙性能好,则可以避免前面所说的系统开放性及最新病毒的攻击问题,从而整体上降低财务信息系统的网络风险。相反,则会加重前面的风险系数。防火墙的性能其实是前面提到风险的加乘系数,这个系数可能是正的亦可能是负的。如果为正,那么整体风险增加;如果为负,则整体的风险水平会因为防火墙的存在而降低。具体的评价指标有2个即:
高风险,指防火墙的性能不稳定,对于一些常规病毒的入侵无法应对,防范性能等于0.
低风险,指防火墙的性能稳定,能够有效的防范病毒的进攻。