信息系统审计精.ppt

《信息系统审计精.ppt》由会员分享，可在线阅读，更多相关《信息系统审计精.ppt（52页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统审计第1页，本讲稿共52页 本章学习目标本章学习目标 1.掌握计算机信息系统功能审计的目标掌握计算机信息系统功能审计的目标 2.熟练掌握利用熟练掌握利用测试数据法和测试数据法和平行模拟平行模拟法法对对计算机信息系统功能审计计算机信息系统功能审计 3.了解利用了解利用程序编码审查法、受控处理程序编码审查法、受控处理法、受控再处理法、法、受控再处理法、整体测试法、整体测试法、程序比程序比较法、漏洞扫描与入侵检测法、嵌入审计较法、漏洞扫描与入侵检测法、嵌入审计程序法和程序跟踪法等各种方法对程序法和程序跟踪法等各种方法对计算机计算机信息系统功能审计。信息系统功能审计。第2页，本讲稿共52页 第

2、一节第一节 计算机信息系统功能计算机信息系统功能审计的目标审计的目标 一、查明信息系统处理功能的合法性一、查明信息系统处理功能的合法性 二二、查查明明信信息息系系统统处处理理功功能能的的正正确确与与恰恰当性当性 三三、查查明明信信息息系系统统控控制制功功能能的的健健全全有有效效性性 四四、检检查查并并发发现现系系统统中中易易于于被被攻攻破破和和利利用的漏洞用的漏洞第3页，本讲稿共52页 第二节第二节 计算机信息系统功能审计计算机信息系统功能审计的方法的方法 一、测试数据法一、测试数据法 测测试试数数据据法法将将一一组组针针对对系系统统应应有有功功能能而而设设计计的的测测试试数数据据输输入入被被

3、审审的的系系统统进进行行处处理理，将将处处理理的的结结果果与与应应有有的的正正确确结结果果进进行行比比较较，进进而而判判断断系系统统处处理理的的处处理理与与控控制制功功能能是是否否正确有效的一种系统功能审查方法。正确有效的一种系统功能审查方法。第4页，本讲稿共52页 一、测试数据法一、测试数据法 （一）采用测试数据法进行审查的步骤（一）采用测试数据法进行审查的步骤 1 1通通过过向向有有关关人人员员询询问问及及查查阅阅系系统统的的文文档档资料了解被审系统应有的处理和控制功能。资料了解被审系统应有的处理和控制功能。2 2针针对对系系统统应应有有的的功功能能设设计计测测试试业业务务数数据据，并并根

4、根据据系系统统应应有有的的功功能能准准备备这这些些业业务务处处理理应有的正确结果（又称预期结果）。应有的正确结果（又称预期结果）。第5页，本讲稿共52页 一、测试数据法一、测试数据法 （一）采用测试数据法进行审查的步骤（一）采用测试数据法进行审查的步骤 3 3在在专专门门的的测测试试时时间间里里，把把测测试试数数据据输输入入被审系统处理，得到处理结果。被审系统处理，得到处理结果。4把把实实际际的的处处理理结结果果和和预预期期的的正正确确结结果果进进行行比比较较，进进而而判判断断系系统统的的功功能能是是否否正正确确有有效。效。第6页，本讲稿共52页 一、测试数据法一、测试数据法 （二）测试数据的

5、准备（二）测试数据的准备 1.测试数据应包括下列两大类：测试数据应包括下列两大类：（）正正常常的的、无无误误的的业业务务数数据据。它它们们用用于于审查系统的业务与信息处理功能是否恰当。审查系统的业务与信息处理功能是否恰当。（）有有错错漏漏、不不完完整整、不不合合理理、不不正正常常的的业业务务数数据据。它它们们用用于于审审查查系系统统的的控控制制功功能能是是否存在和有效。否存在和有效。2.在在准准备备测测试试业业务务数数据据时时，审审计计人人员员要要注注意意系统功能的覆盖。系统功能的覆盖。第7页，本讲稿共52页测试数据准备的例子：测试数据准备的例子：审审计计人人员员准准备备用用测测试试数数据据法

6、法测测试试一一个个工工资资核算子系统，此系统的处理功能包括：核算子系统，此系统的处理功能包括：1.可增、删职工；可增、删职工；2.可输入与修改每个职工的工资数据；可输入与修改每个职工的工资数据；3.可可根根据据输输入入的的数数据据计计算算各各人人的的应应付付工工资资、个人所得税和实付工资；个人所得税和实付工资；4.可可根根据据各各人人工工资资的的应应借借科科目目自自动动汇汇总总并并编制工资计提转帐凭证送帐务处理子系统编制工资计提转帐凭证送帐务处理子系统;5.可可输输出出工工资资条条、工工资资汇汇总总表表、银银行行转转帐帐表等。表等。第8页，本讲稿共52页测试数据准备的例子：测试数据准备的例子：

7、此系统的控制功能包括：此系统的控制功能包括：1.增增加加职职工工时时要要检检查查职职工工代代码码及及其其银银行行工工资帐号不能留空或重复。资帐号不能留空或重复。2.删除职工时所删除的职工代码必须存在。删除职工时所删除的职工代码必须存在。3.输输入入与与修修改改要要检检查查基基本本工工资资和和工工龄龄工工资资不得超过最大限额。不得超过最大限额。第9页，本讲稿共52页测试数据准备的例子：测试数据准备的例子：测试数据必须包括：测试数据必须包括：测试数据必须包括：测试数据必须包括：1.1.增加职工增加职工:（1）所有数据正确（注意个）所有数据正确（注意个）所有数据正确（注意个）所有数据正确（注意个 人

8、所得税包括各个档次）人所得税包括各个档次）人所得税包括各个档次）人所得税包括各个档次）（2 2）职工代码为空）职工代码为空）职工代码为空）职工代码为空 （3 3）职工代码与已有职工重复）职工代码与已有职工重复）职工代码与已有职工重复）职工代码与已有职工重复 （4 4）工资银行帐号为空）工资银行帐号为空）工资银行帐号为空）工资银行帐号为空 （5 5）工资银行帐号与已有职工重复）工资银行帐号与已有职工重复）工资银行帐号与已有职工重复）工资银行帐号与已有职工重复 （6 6）其基本工资超出限额）其基本工资超出限额）其基本工资超出限额）其基本工资超出限额 (7)(7)其工龄工资超出限额其工龄工资超出限额

9、其工龄工资超出限额其工龄工资超出限额第10页，本讲稿共52页测试数据准备的例子测试数据准备的例子 2.删除职工删除职工:（1）其职工代码存在）其职工代码存在 （2）其职工代码不存在）其职工代码不存在 3.修改数据修改数据:（1）修改数据没超出限额）修改数据没超出限额 （2）修改基本工资超出限额）修改基本工资超出限额 （3）修改工龄工资超出限额）修改工龄工资超出限额第11页，本讲稿共52页 一、测试数据法一、测试数据法 （三）应用测试数据法要注意的问题（三）应用测试数据法要注意的问题 1.要要注注意意证证实实被被审审查查的的应应用用程程序序是是被被审审单位现时真正使用的程序版本。单位现时真正使用

10、的程序版本。2.此此方方法法只只能能证证明明在在处处理理测测试试数数据据时时系系统统的的功功能能是是否否正正确确，但但它它不不能能保保证证其其他他期间系统的功能是否正确、可靠。期间系统的功能是否正确、可靠。第12页，本讲稿共52页 一、测试数据法一、测试数据法 （四）测试数据法的优缺点（四）测试数据法的优缺点 1.优优点点：适适用用范范围围广广，应应用用简简单单易易行行，对对审计人员的计算机技术水平要求不高。审计人员的计算机技术水平要求不高。2.缺点：可能不能发现程序中所有的错弊。缺点：可能不能发现程序中所有的错弊。第13页，本讲稿共52页上机练习（一）上机练习（一）用测试数据法对用友用测试数

11、据法对用友U8的账务处理子系的账务处理子系统进行审查，检验它是否符合财政部的统进行审查，检验它是否符合财政部的会计核算软件基本功能规范会计核算软件基本功能规范（以下（以下简称简称规范规范）规范规范的要求具体见的要求具体见计算机会计信息计算机会计信息系统系统P502。第14页，本讲稿共52页规范规范对账务处理子系统的主要要求对账务处理子系统的主要要求l l处理功能处理功能（不考虑辅助功能）（不考虑辅助功能）1.数据输入：数据输入：具备初始化功能，可输入会计科目名称、具备初始化功能，可输入会计科目名称、编号、年初数、累计发生数及有关数量指编号、年初数、累计发生数及有关数量指标；提供对初始数据的正确

12、性检验；标；提供对初始数据的正确性检验；具备记帐凭证输入功能：输入项目包括凭具备记帐凭证输入功能：输入项目包括凭证日期、凭证号、摘要、科目、金额等。证日期、凭证号、摘要、科目、金额等。对已输入未登账的凭证提供审核功能。对已输入未登账的凭证提供审核功能。第15页，本讲稿共52页规范规范对账务处理子系统的主要要求对账务处理子系统的主要要求2.数据处理：数据处理：提供根据审核通过的凭证登记账簿的功能，提供根据审核通过的凭证登记账簿的功能，计算出科目发生客和余额。计算出科目发生客和余额。提供按规定期间进行结账的功能。提供按规定期间进行结账的功能。3.3.数据输出：数据输出：提供对机内会计数据查询的功能

13、。提供对机内会计数据查询的功能。提供记账凭证、账簿的打印输出功能，打提供记账凭证、账簿的打印输出功能，打印的格式与内容符合统一会计制度规定。印的格式与内容符合统一会计制度规定。（此条不作检测）（此条不作检测）第16页，本讲稿共52页规范规范对账务处理子系统的主要要求对账务处理子系统的主要要求l l控制功能：控制功能：输入的记帐凭证不得与机内凭证重号。输入的记帐凭证不得与机内凭证重号。输入科目编号的有效性检验（存在的、最输入科目编号的有效性检验（存在的、最明细的、与凭证类型相对应的）。明细的、与凭证类型相对应的）。借贷方金额平衡。借贷方金额平衡。凭证凭证日期、凭证号、摘要、科目、金额等日期、凭证

14、号、摘要、科目、金额等数据项要完整。数据项要完整。不接受已结账月份的凭证输入。不接受已结账月份的凭证输入。未审核的凭证不得记帐。未审核的凭证不得记帐。检查当月凭证已全部入帐才能结帐。检查当月凭证已全部入帐才能结帐。第17页，本讲稿共52页 二、二、程序编码审查法程序编码审查法 程程序序编编码码审审查查法法直直接接对对系系统统应应用用程程序序的的源源程程序序编编码码进进行行审审查查，从从而而判判断断系系统统的功能是否正确的审查方法。的功能是否正确的审查方法。第18页，本讲稿共52页 二、二、程序编码审查法程序编码审查法 （一）（一）采用采用程序编码审查程序编码审查法审计的步骤法审计的步骤 1 1

15、取取得得与与被被审审程程序序有有关关的的文文档档资资料料，如如程程序序说说明明书书、程程序序流流程程图图、源源程程序序表表、与与此程序有关的数据文件结构和代码表等。此程序有关的数据文件结构和代码表等。2 2通通过过向向有有关关人人员员询询问问及及查查阅阅文文档档资资料料了解被审程序应有的处理和控制功能。了解被审程序应有的处理和控制功能。第19页，本讲稿共52页 二、二、程序编码审查法程序编码审查法 （一一）采采用用程程序序编编码码审审查查法法审审计计的的步步骤骤3 3审审阅阅源源程程序序表表。对对较较复复杂杂的的程程序序，根根据据源源程程序序画画出出程程序序流流程程图图或或核核对对原原有有的的

16、程程序序流流程程图图（如如果果文文档档资资料料有有流流程程图图的的话话）。通通过过对对源源程程序序和和程程序序流流程程图图的的分分析析，判判断断被被审审程程序序是是否否能能实实现现预预定定的的功功能能，逻逻辑辑流流程程有有无无错错误误，是是否否包包含含舞舞弊弊程序，最后导出审计结论。程序，最后导出审计结论。第20页，本讲稿共52页 二、二、程序编码审查法程序编码审查法 （二）影响（二）影响程序编码审查程序编码审查法有效性的因素法有效性的因素 1.1.被被审审程程序序文文档档资资料料的的详详细细程程度度与与这这些些材材料反映被审程序的准确程度。料反映被审程序的准确程度。2.2.被审程序的复杂程度

17、。被审程序的复杂程度。3.3.被审程序的编程语言和程序编写方式。被审程序的编程语言和程序编写方式。4.4.审审计计人人员员对对程程序序语语言言和和编编程程技技术术的的精精通通程度。程度。第21页，本讲稿共52页 二、二、程序编码审查法程序编码审查法 (三）程序编码审查三）程序编码审查法的法的优缺点优缺点 1.优优点点:审审计计人人员员审审查查的的是是程程序序的的本本身身，因因此能发现程序中存在的任何错弊问题。此能发现程序中存在的任何错弊问题。2.缺缺点点：对对审审计计人人员员的的计计算算机机水水平平要要求求高高，较较费费时时费费事事，而而且且要要注注意意证证实实被被审审的的源源程程序确是真实运

18、行程序的源程序。序确是真实运行程序的源程序。第22页，本讲稿共52页 三、受控处理法三、受控处理法 受受控控处处理理法法审审计计人人员员通通过过监监控控系系统统对对各各类类真真实实业业务务的的处处理理并并检检查查其其处处理理结结果果，进而判断系统功能是否正确。进而判断系统功能是否正确。第23页，本讲稿共52页 三、受控处理法三、受控处理法 （一）采用受控处理法进行审查的步骤（一）采用受控处理法进行审查的步骤 1 1通通过过向向有有关关人人员员询询问问及及查查阅阅系系统统的的文文档档资料了解被审系统应有的处理和控制功能。资料了解被审系统应有的处理和控制功能。2 2在在系系统统正正常常的的运运行行

19、中中，审审计计人人员员监监控控系系统统对对各各类类真真实实业业务务的的处处理理，取取得得相相应应的的处处理理结结果果；同同时时，审审计计人人员员根根据据正正确确的的处处理理原原则则对相应的业务处理，得到正确的处理结果。对相应的业务处理，得到正确的处理结果。3 3把把系系统统处处理理结结果果与与正正确确结结果果比比较较，从从而而判断被审系统功能是否正确有效。判断被审系统功能是否正确有效。第24页，本讲稿共52页 三、受控处理法三、受控处理法 （二二）解解决决真真实实业业务务不不能能覆覆盖盖系系统统功功能能的的方法方法 1.审审计计人人员员应应详详细细了了解解被被审审单单位位的的各各类类真真实实业

20、业务务发发生生和和处处理理的的时时间间，根根据据实实际际情情况况确确定定测测试试日日期期。测测试试可可以以安安排排在在多多个个不不同同的工作日，甚至持续一段时间。的工作日，甚至持续一段时间。2.对对于于系系统统的的控控制制功功能能，常常要要通通过过一一些些不不完完整整、不不正正常常、不不合合理理的的业业务务输输入入系系统统进进行检查。行检查。第25页，本讲稿共52页 三、受控处理法三、受控处理法 （三）受控处理法的优点（三）受控处理法的优点 1.优优点点：简简单单、易易行行，不不用用准准备备测测试试数数据据，对审计人员的计算机技术水平要求不高。对审计人员的计算机技术水平要求不高。2.缺缺点点：

21、在在某某一一时时间间里里，真真实实业业务务可可能能不不能能覆覆盖盖系系统统的的所所有有功功能能，此此方方法法可可能能不不能能发现系统存在的所有问题。发现系统存在的所有问题。第26页，本讲稿共52页 四、受控再处理法四、受控再处理法 受受控控再再处处理理法法通通过过比比较较被被审审系系统统与与经经审审查查证证实实功功能能正正确确的的原原系系统统对对同同一一批批业业务务处处理理的的结结果果来来判判断断被被审审系系统统是是否否被被修改过、其功能是否正确的审查方法。修改过、其功能是否正确的审查方法。第27页，本讲稿共52页 四、受控再处理法四、受控再处理法 （一）采用受控再处理法进行审查的步骤（一）采

22、用受控再处理法进行审查的步骤 1审审计计人人员员曾曾采采用用测测试试数数据据法法对对该该系系统统的的应应用用程程序序功功能能进进行行审审计计，当当时时的的审审查查证证实实系系统统的的处处理理和和控控制制功功能能正正确确有有效效。审审计计人人员员保保留留了当时审查用的测试数据和处理结果。了当时审查用的测试数据和处理结果。2再再次次对对该该系系统统审审计计前前，审审计计人人员员通通过过向向有有关关人人员员询询问问及及查查阅阅系系统统的的文文档档资资料料，了了解解被被审审系系统统自自上上次次审审计计以以来来是是否否经经过过修修改改维维护护，明确系统应有的处理和控制功能。明确系统应有的处理和控制功能。

23、第28页，本讲稿共52页 四、受控再处理法四、受控再处理法 （一）采用受控再处理法进行审查的步骤（一）采用受控再处理法进行审查的步骤 3在在审审计计人人员员的的监监控控下下，把把保保留留下下来来的的以以前前审审查查用用过过的的测测试试数数据据输输入入被被审审系系统统再再处处理，得到处理结果。理，得到处理结果。4比比较较两两次次处处理理的的结结果果，从从而而判判断断系系统统是是否经过改动，功能是否正确有效。否经过改动，功能是否正确有效。第29页，本讲稿共52页 四、受控再处理法四、受控再处理法 （二）受控再处理法的变种（二）受控再处理法的变种 审审计计人人员员保保留留的的不不是是上上次次测测试试

24、用用的的测测试试数数据据和和测测试试结结果果，而而是是经经审审查查证证实实功功能能正正确确的的系系统统应应用用程程序序。审审计计时时，在在审审计计人人员员的的监监控控下下，把把测测试试数数据据分分别别输输入入被被审审系系统统和和审审计计人人员员保保留留下下来来的的经经审审系系统统处处理理，比比较较两两者者的的处处理理结结果果，从从而而判判断断被被审审系系统统是是否否被改动过、功能是否正确被改动过、功能是否正确第30页，本讲稿共52页 四、受控再处理法四、受控再处理法 （三）受控再处理法的优缺点（三）受控再处理法的优缺点 1.优优点点：具具有有测测试试数数据据法法同同样样的的优优点点。与与测测试

25、试数数据据法法相相比比，它它不不用用准准备备测测试试数数据据和和预期结果，因此，更省事简便。预期结果，因此，更省事简便。2.缺缺点点：具具有有测测试试数数据据法法同同样样的的缺缺点点。与与测测试试数数据据法法相相比比，它它只只能能用用于于对对一一个个系系统统的再次审计，不可用于首次审计。的再次审计，不可用于首次审计。第31页，本讲稿共52页 五、整体测试法五、整体测试法(ITF)整整体体测测试试法法又又叫叫集集成成检检测测法法或或小小公公司司法法。它它根根据据系系统统是是用用同同一一应应用用程程序序处处理理各各分分公公司司（或或部部门门、或或其其他他个个体体）业业务务的的原原理理，通通过过审审

26、查查系系统统对对虚虚构构公公司司测测试试业业务务的的处理结果来判断系统的功能是否正确。处理结果来判断系统的功能是否正确。第32页，本讲稿共52页 五、整体测试法五、整体测试法 （一）采用整体检测法进行审查的步骤（一）采用整体检测法进行审查的步骤 1通过向有关人员询问及查阅系统的文档通过向有关人员询问及查阅系统的文档资料了解被审系统应有的处理和控制功能。资料了解被审系统应有的处理和控制功能。2在被审系统中建立一个虚拟的公司（根在被审系统中建立一个虚拟的公司（根据所审查的程序功能，还可以是虚拟部门、据所审查的程序功能，还可以是虚拟部门、虚拟供应商、虚拟顾客等），针对系统应有虚拟供应商、虚拟顾客等）

27、，针对系统应有的功能，设计与虚拟公司有关的测试业务，的功能，设计与虚拟公司有关的测试业务，并准备这些测试业务处理应有的正确结果。并准备这些测试业务处理应有的正确结果。第33页，本讲稿共52页 五、整体测试法五、整体测试法 （一）采用整体检测法进行审查的步骤（一）采用整体检测法进行审查的步骤 3在被审系统正常运行时，把虚构公司的在被审系统正常运行时，把虚构公司的测试数据和被审单位的真实数据一起输入测试数据和被审单位的真实数据一起输入系统处理。系统处理。4把系统对虚拟公司测试业务的处理结果把系统对虚拟公司测试业务的处理结果与应有的正确结果比较，从而判断被审系与应有的正确结果比较，从而判断被审系统的

28、处理和控制功能是否正确。统的处理和控制功能是否正确。第34页，本讲稿共52页 五、整体测试法五、整体测试法 （二二）消消除除测测试试数数据据对对被被审审单单位位真真实实数数据据影影响的方法响的方法 1处处理理虚虚拟拟公公司司的的测测试试业业务务后后，尽尽快快向向系系统统输输入入冲冲消消业业务务，以以冲冲回回测测试试业业务务对对系系统统业业务和汇总信息的影响。务和汇总信息的影响。2在在被被审审系系统统中中嵌嵌入入审审计计程程序序，对对审审查查用用的的测测试试业业务务进进行行标标记记，嵌嵌入入的的审审计计程程序序可可对对标标记记的的业业务务进进行行过过滤滤，防防止止这这些些业业务务进进入入汇汇总总

29、信信息息或或输输出出与与其其相相联联系系的的重重要要单单据据（如如发发货单、支票、发票等）的输出。货单、支票、发票等）的输出。第35页，本讲稿共52页 五、整体测试法五、整体测试法 （三）（三）整体检测法的优缺点整体检测法的优缺点 1.优优点点：具具有有测测试试数数据据法法同同样样的的优优点点。与与测测试试数数据据法法相相比比，它它是是动动态态的的审审查查方方法法，可可确确定定系系统统在在真真实实业业务务处处理理时时的的功功能能是是否否正确。正确。2.具具有有测测试试数数据据法法同同样样的的缺缺点点。与与测测试试数数据据法法相相比比，因因为为它它是是在在系系统统真真实实业业务务处处理理中中对对

30、系系统统进进行行测测试试的的，若若对对测测试试数数据据没没有有良良好好控控制制，可可能能会会影影响响被被审审单单位位的的真真实实数数据。据。第36页，本讲稿共52页 六、平行模拟法六、平行模拟法 平平行行模模拟拟法法又又叫叫并并行行模模拟拟法法，它它是是通通过过比比较较被被审审系系统统和和模模拟拟系系统统对对被被审审单单位位真真实实业业务务处处理理的的结结果果来来判判断断被被审审系系统统功功能能是是否正确的一种系统功能的审查方法。否正确的一种系统功能的审查方法。第37页，本讲稿共52页 六、平行模拟法六、平行模拟法 （一）采用平行模拟法进行审计的步骤（一）采用平行模拟法进行审计的步骤 1 1通

31、通过过向向有有关关人人员员询询问问及及查查阅阅系系统统的的文文档档资料了解被审系统应有的处理和控制功能。资料了解被审系统应有的处理和控制功能。2 2审审计计人人员员取取得得一一套套具具有有被被审审系系统统应应有有的的处处理理和和控控制制功功能能、且且功功能能正正确确的的模模拟拟系系统统。模模拟拟系系统统可可以以专专门门开开发发，也也可可以以通通过过别别的的途径取得，例如购买商品化通用软件。途径取得，例如购买商品化通用软件。第38页，本讲稿共52页 六、平行模拟法六、平行模拟法 （一）采用平行模拟法进行审计的步骤（一）采用平行模拟法进行审计的步骤 3 3把被审单位真实的业务数据把被审单位真实的业

32、务数据 分分别别输输入入模模拟拟系系统统与与被被审审系系统统进进行行处处理理，并分别得出处理结果。并分别得出处理结果。4把把两两者者的的处处理理结结果果进进行行比比较较，从从而而确确定定被审系统功能是否正确。被审系统功能是否正确。第39页，本讲稿共52页 六、平行模拟法六、平行模拟法 （二）（二）平行模拟法的优缺点平行模拟法的优缺点 1.优优点点：一一旦旦取取得得了了模模拟拟程程序序，可可以以随随时时对对被被审审系系统统进进行行抽抽查查，也也可可以以用用模模拟拟系系统统重重新新处处理理全全部部的的真真实实业业务务数数据据，进进行行比比较较全面的审查。全面的审查。2.缺缺点点：模模拟拟系系统统的

33、的开开发发通通常常需需要要花花费费较较长长的的时时间间，开开发发或或购购买买费费用用都都较较高高；而而且且，如如果果实实际际使使用用的的系系统统更更新新，则则模模拟拟系系统统亦亦要随之更新，相应要增加费用。要随之更新，相应要增加费用。第40页，本讲稿共52页 七、程序比较法七、程序比较法 程程序序比比较较法法是是一一种种通通过过把把被被审审程程序序与与标标准准程程序序进进行行比比较较，进进而而确确定定二二者者是是否否一一致致，被被审审程程序序功功能能是是否否正正确确的的一一种种审审查查方方法。法。第41页，本讲稿共52页 七、程序比较法七、程序比较法 （一）采用（一）采用程序比较程序比较法进行

34、审计的步骤法进行审计的步骤 1 1被被审审的的应应用用程程序序曾曾被被审审查查过过且且证证实实其其处处理理与与控控制制功功能能正正确确有有效效。审审计计人人员员保保存存了了一一份该程序的备份，且确保没人可改动它。份该程序的备份，且确保没人可改动它。2审审计计时时，审审计计人人员员使使用用专专门门的的程程序序比比较较软软件件来来比比较较在在用用的的被被审审程程序序和和此此备备份份程程序序，确确定定两两者者是是否否有有差差异异，进进而而确确定定在在用用的的被被审审程序是否被改动过，功能是否正确。程序是否被改动过，功能是否正确。第42页，本讲稿共52页 七、程序比较法七、程序比较法 （二）（二）程序

35、比较程序比较法的具体使用法的具体使用 1.比比较较源源程程序序：要要注注意意确确保保真真实实运运行行的的程程序由被审源程序编译而成。序由被审源程序编译而成。2.比比较较目目标标程程序序：发发现现差差异异时时很很难难判判断断差差异带来的后果。异带来的后果。第43页，本讲稿共52页 七、程序比较法七、程序比较法 （三）（三）程序比较程序比较法的优缺点法的优缺点 1.优优点点：这这种种方方法法因因为为比比较较的的是是程程序序的的本本身，因此能发现被审程序的任何改动。身，因此能发现被审程序的任何改动。2.缺缺点点：要要使使用用程程序序比比较较软软件件，而而且且当当发发现现两两者者有有差差异异时时，要要

36、进进一一步步判判断断修修改改后后的的程序功能是否恰当比较困难。程序功能是否恰当比较困难。第44页，本讲稿共52页 八、漏洞扫描与入侵检测八、漏洞扫描与入侵检测 （一）漏洞扫描（一）漏洞扫描 漏漏洞洞扫扫描描是是一一种种自自动动检检测测远远端端或或本本地地主主机机安安全全脆脆弱弱点点的的技技术术。扫扫描描程程序序集集中中了了已已知知的的常常用用攻攻击击方方法法，针针对对系系统统可可能能存存在在的的“活活动动天天窗窗”、有有漏漏洞洞软软件件的的配配置置错错误误等等各各种种脆脆弱弱点点，对对系系统统进进行行扫扫描描，并并按按统统一一的的格格式式输输出出扫扫描描结结果果，以以便便审审查查人人员员分分析

37、析并并发现系统存在的漏洞。发现系统存在的漏洞。第45页，本讲稿共52页 八、漏洞扫描与入侵检测八、漏洞扫描与入侵检测 （二）入侵检测（二）入侵检测 入入侵侵检检测测指指对对计计算算机机和和网网络络资资源源的的恶恶意意使使用行为进行识别的处理过程。用行为进行识别的处理过程。检检测测程程序序可可以以根根据据用用户户的的行行为为和和系系统统资资源源的的使使用用情情况况是是否否出出现现异异常常判判断断是是否否发发生生了了入入侵侵情情况况；也也可可以以根根据据常常见见的的入入侵侵略略模模式式和入侵过程的特征判断入侵是否发生。和入侵过程的特征判断入侵是否发生。第46页，本讲稿共52页 九、嵌入审计程序法九

38、、嵌入审计程序法 嵌嵌入入审审计计程程序序法法指指在在被被审审系系统统的的开开发发阶阶段段，在在被被审审系系统统中中嵌嵌入入为为执执行行特特定定审审计计功功能能而而设设计计的的程程序序，利利用用嵌嵌入入审审计计程程序序对对系统功能进行审查的方法。系统功能进行审查的方法。第47页，本讲稿共52页 嵌入审计程序的种类嵌入审计程序的种类 1.1.主主要要是是在在一一些些特特定定点点上上对对系系统统的的功功能能进进行实时监控的程序。行实时监控的程序。2.只有在审计人员调用时才起作用的程序。只有在审计人员调用时才起作用的程序。第48页，本讲稿共52页 十、程序跟踪法十、程序跟踪法 程程序序跟跟踪踪法法通

39、通过过一一步步一一步步跟跟踪踪被被审审程程序序对对业业务务的的处处理理过过程程和和处处理理结结果果，进进而而判判断被审程序是否正确的程序审查方法。断被审程序是否正确的程序审查方法。第49页，本讲稿共52页 FOXPRO或或VISUAL FOXPRO的跟的跟踪命令踪命令 set echo on 把把执执行行的的命命令令显显示示在在屏幕上屏幕上 set talk on 把把命命令令执执行行的的结结果果显显示示在屏幕上在屏幕上 set step on 每每执执行行一一条条命命令令暂暂停停，看清后按任意键继续看清后按任意键继续 set debug on 打打开开程程序序跟跟踪踪窗窗口口，进行跟踪排错进

40、行跟踪排错 第50页，本讲稿共52页 程序跟踪法的优缺点程序跟踪法的优缺点 1.优优点点：通通过过跟跟踪踪被被审审程程序序的的运运行行，可可确确切切知知道道程程序序是是怎怎样样处处理理的的；对对于于有有错错误误的程序，可通过跟踪找出错误所在。的程序，可通过跟踪找出错误所在。2.缺缺点点：要要求求审审计计人人员员熟熟练练掌掌握握编编程程语语言言的的知知识识，而而且且进进行行跟跟踪踪并并分分析析程程序序存存在在的的问问题题一一般般很很费费时时费费事事，所所以以这这种种方方法法不不会用于整个信息系统应用程序的审查。会用于整个信息系统应用程序的审查。第51页，本讲稿共52页 第三节第三节计算机信息系统功能审计案例计算机信息系统功能审计案例 一、课本一、课本P144 二、二、商业银行个人消费信贷系统审计案例商业银行个人消费信贷系统审计案例第52页，本讲稿共52页