信息技巧與盤算機(jī)審計(jì)

1、信息技術(shù)與計(jì)算機(jī)審計(jì)中山大學(xué)管理學(xué)院會(huì)計(jì)學(xué)系陳婉玲編制1. 確定安全的薄弱環(huán)節(jié)：一、內(nèi)審的其他任務(wù)和職責(zé)息或物理安全（1）系統(tǒng)弱點(diǎn)，（2）安全漏洞，（3）實(shí)施缺陷。內(nèi)部審計(jì)師應(yīng)識(shí)別和評(píng)價(jià)有關(guān)的威脅和薄弱環(huán)節(jié)，確定風(fēng)險(xiǎn)的大小，以便選 擇適當(dāng)和正確的控制措施。內(nèi)部審計(jì)師應(yīng)使董事會(huì)、管理層和其他治理機(jī)構(gòu) 認(rèn)識(shí)到信息安全是管理層的責(zé)任，對(duì)違背信息安全的行為應(yīng)迅速向內(nèi)審人員 報(bào)告。2. 確定違反安全規(guī)定行為的處理內(nèi)部審計(jì)師應(yīng)定期評(píng)價(jià)本組織的信息或物理安全，評(píng)價(jià)針對(duì)可能發(fā)生的對(duì)信 息系統(tǒng)安全的威脅所采取預(yù)防、發(fā)現(xiàn)和減輕的措施的有效性，提出改進(jìn)意見(jiàn) 和實(shí)施建議，確保董事會(huì)、管理層和其他治理機(jī)構(gòu)已被適當(dāng)?shù)刂?/p>

2、威脅、薄 弱環(huán)節(jié)和控制措施。另一個(gè)與信息安全相關(guān)的內(nèi)部審計(jì)是評(píng)價(jià)系統(tǒng)遵守法律、法規(guī)有關(guān)隱私的規(guī) 定。內(nèi)部審計(jì)師應(yīng)確定與隱私有關(guān)的要求，系統(tǒng)應(yīng)遵循這些要求。3. 報(bào)告遵循情況在評(píng)價(jià)了系統(tǒng)安全情況后，內(nèi)部審計(jì)人員應(yīng)有盡有向董事會(huì)、審計(jì)委員會(huì)和 其他治理機(jī)構(gòu)提交一份報(bào)告。二、信息技術(shù)（it）審計(jì)業(yè)務(wù)（-）計(jì)算機(jī)軟件（1）系統(tǒng)軟件負(fù)責(zé)控制與分配計(jì)算機(jī)資源，幫助計(jì)算機(jī)硬件有效工作，并 使應(yīng)用軟件正常運(yùn)行的計(jì)算機(jī)程序。（2）應(yīng)用程序用于滿足特定用戶需要的計(jì)算機(jī)程序，如工具軟件（包括 字處理程序和電子表格程序等）和商業(yè)應(yīng)用軟件（如會(huì)計(jì)電算化和倉(cāng)儲(chǔ)控制 軟件包、特殊商業(yè)應(yīng)用軟件等）。操作系統(tǒng)操作系統(tǒng)是計(jì)算機(jī)系

3、統(tǒng)最主要的系統(tǒng)軟件，它負(fù)責(zé)控制與分配計(jì)算機(jī)資源（包 括cpu、輸入/輸出設(shè)備、存貯儲(chǔ)器、網(wǎng)絡(luò)等），使計(jì)算機(jī)硬件有效工作，并 使應(yīng)用軟件正常運(yùn)行，扮演著計(jì)算機(jī)硬件與應(yīng)用軟件之間的“接口”角色的 計(jì)算機(jī)程序。不同的操作系統(tǒng)不同的計(jì)算機(jī)系統(tǒng)有不同的操作系統(tǒng)：pc機(jī)操作系統(tǒng)：dos、windos等，服務(wù)器與工作站操作系統(tǒng)：windos sever, linux等，大型機(jī)操作系統(tǒng)：ibm s/390、ibm mvs等。操作系統(tǒng)的功能（1）定義用戶接口；（2）允許用戶共享硬件；（3）允許用戶共享數(shù)據(jù)；（4）使用輸出/輸入資源及進(jìn)行資源調(diào)度。（5）通知用戶所有處理器、輸入、輸出設(shè)備或程序存在的相關(guān)錯(cuò)誤信息；

4、（6）對(duì)出現(xiàn)的故障能進(jìn)行恢復(fù)；（7）管理系統(tǒng)文件；（8）管理系統(tǒng)賬號(hào)；（9）操作系統(tǒng)與程序之間進(jìn)行通信等操作系統(tǒng)的審計(jì)要點(diǎn)收集操作系統(tǒng)所安裝平臺(tái)的所有軟件系統(tǒng)，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)概要信息及其主要配置：輸出文件列表。記錄特權(quán)用戶、普通用戶賬號(hào)信息及其權(quán)限，缺省用戶設(shè)置情況;以管理員身份登錄到系統(tǒng)中.收集并記錄各種系統(tǒng)信息：如主機(jī)配置、j用戶 環(huán)境、網(wǎng)絡(luò)信息、口令、權(quán)限設(shè)置等；檢査并測(cè)試口令設(shè)置規(guī)則與強(qiáng)度?？诹钶斎霗z查控制是否有效;操作系統(tǒng)的審計(jì)要點(diǎn)檢查對(duì)操作系統(tǒng)文件的訪問(wèn)控制是否適宜；檢查系統(tǒng)初始化環(huán)境參數(shù)的設(shè)置是否適宜；檢查用戶登錄環(huán)境是否受到適當(dāng)?shù)南拗?；檢查系統(tǒng)缺省啟動(dòng)的程序，確

5、定沒(méi)有不明來(lái)歷的程序被啟動(dòng)，確定暫時(shí)不需 要的程序是否被禁止；檢查是否容許用戶未經(jīng)口令驗(yàn)證(或使用缺省的口令)，直接進(jìn)入系統(tǒng)，如系 統(tǒng)某些缺省的用戶是否有缺省的口令或空口令;操作系統(tǒng)的審計(jì)要點(diǎn)檢查系統(tǒng)日志是否打開(kāi)一保證對(duì)日志的直接訪問(wèn)受到限制；檢査用戶賬號(hào)的授權(quán)或?qū)ο到y(tǒng)資源授權(quán)訪問(wèn)是否適宜；是否有操作系統(tǒng)備份計(jì)劃，備份設(shè)備是否就緒；設(shè)備能力測(cè)試，當(dāng)前應(yīng)用環(huán)境下操作系統(tǒng)對(duì)內(nèi)存、磁盤、網(wǎng)絡(luò)的容量要求是 否能滿足；操作系統(tǒng)的審計(jì)要點(diǎn)操作系統(tǒng)版本測(cè)試，補(bǔ)丁程序是否及時(shí)；檢査是否對(duì)出現(xiàn)故障的操作系統(tǒng)有完備的維護(hù)程序與記錄。(-)系統(tǒng)開(kāi)發(fā)及其審計(jì)1. 常用的系統(tǒng)開(kāi)發(fā)方法(1) 系統(tǒng)生命周期法：系統(tǒng)生命周期

6、法就是按系統(tǒng)生命周期的各個(gè)階段劃分任 務(wù)，按一定的規(guī)則和步驟，有效地進(jìn)行系統(tǒng)開(kāi)發(fā)的方法。1 常用的開(kāi)發(fā)方法(2) 原型法：原型法是先根據(jù)用戶的最主要要求，開(kāi)發(fā)出能實(shí)現(xiàn)系統(tǒng)最基本 功能的一個(gè)原型，再根據(jù)用戶對(duì)原型使用與評(píng)價(jià)的意見(jiàn)，反復(fù)修改完善原型, 直至得到用戶滿意的最終系統(tǒng)為止。1 常用的開(kāi)發(fā)方法(3) 面向?qū)ο蠓?此法認(rèn)為世界由各種各樣的對(duì)象組成,每種對(duì)象有自己的內(nèi) 部狀態(tài)和運(yùn)動(dòng)規(guī)律，不同的對(duì)象及其之間的聯(lián)系和作用構(gòu)成不同的系統(tǒng)。面向 對(duì)象的系統(tǒng)開(kāi)發(fā)方法指通過(guò)定義對(duì)象及其聯(lián)系和作用而進(jìn)行系統(tǒng)開(kāi)發(fā)的方 法，它包括面向?qū)ο蠓治觥⒚嫦驅(qū)ο笤O(shè)計(jì)和面向?qū)ο蟪绦蛟O(shè)計(jì)。面向?qū)ο蠓ㄋ^對(duì)象是一個(gè)封裝有數(shù)據(jù)（

7、或稱屬性，即其內(nèi)部狀態(tài)）和操作（或稱事件、 方法，即其運(yùn)動(dòng)）的實(shí)體。具有共同特性、共同操作性質(zhì)的對(duì)象的集合叫類, 類又可分為子類。在定義了某類的特性后，其下的每個(gè)子類均可自動(dòng)繼承其 屬性和操作。因此，在面向?qū)ο蟮某绦蛟O(shè)計(jì)中，主要的任務(wù)是定義與描述對(duì) 象。它可以提高編程和以后程序維護(hù)的效率。另外，由于對(duì)象有封裝性，因 而使信息更隱蔽。但因?yàn)榉庋b性，當(dāng)程序出現(xiàn)錯(cuò)誤時(shí)，進(jìn)行檢查和修改可能 比較困難。2. 系統(tǒng)生命周期法（1 ）系統(tǒng)準(zhǔn)備階段：其主要任務(wù)是了解用戶的要求，確定新系統(tǒng)的目標(biāo)，對(duì)要求開(kāi)發(fā)的新系統(tǒng)從技術(shù)上、經(jīng)濟(jì)上與實(shí)施上是否可行進(jìn)行可行性分析。這一階段的主要文檔資 料是可行性研究報(bào)告。（2 ）

8、系統(tǒng)分析階段:其主要任務(wù)是在可行性分析的基礎(chǔ)上，對(duì)原有系統(tǒng)進(jìn)行詳細(xì)調(diào)查分析，收集 原系統(tǒng)所有的文件（憑證、帳薄、報(bào)表等）樣本，明確用戶對(duì)系統(tǒng)的全部需 求（包括功能、性能、安全等），根據(jù)用戶需求提出新系統(tǒng)的邏輯模型。此階 段的主要文檔資料是系統(tǒng)分析報(bào)告。（3 ）系統(tǒng)設(shè)計(jì)階段：其主要任務(wù)是根據(jù)系統(tǒng)的邏輯模型進(jìn)行系統(tǒng)的總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)，包括模 塊設(shè)計(jì)、代碼設(shè)計(jì)、輸入輸出設(shè)計(jì)、數(shù)據(jù)文件設(shè)計(jì)、安全保密設(shè)計(jì)和處理流 程設(shè)計(jì)。此階段的主要文檔資料是系統(tǒng)設(shè)計(jì)報(bào)告，包括系統(tǒng)概要設(shè)計(jì)說(shuō)明書 和詳細(xì)設(shè)計(jì)說(shuō)明書。（4 ）系統(tǒng)實(shí)施階段：其主要任務(wù)是根據(jù)系統(tǒng)詳細(xì)設(shè)計(jì)說(shuō)明書用選定的程序語(yǔ)言或編程工具編寫源 程序，進(jìn)行程序

9、的測(cè)試、模塊的聯(lián)調(diào)和系統(tǒng)的總調(diào)，編寫出系統(tǒng)操作手冊(cè)或 用戶手冊(cè)，組織系統(tǒng)的試運(yùn)行與評(píng)審。此階段的主要文檔資料包括源程序表, 系統(tǒng)測(cè)試報(bào)告、操作手冊(cè)和評(píng)審報(bào)告等。（5 ）運(yùn)行維護(hù)階段：其主要任務(wù)是正式使用系統(tǒng)，并且在需要時(shí)進(jìn)行系統(tǒng)維護(hù)。此階段的主要文檔資料有系統(tǒng)運(yùn)行日志和系統(tǒng)維護(hù)報(bào)告o 系統(tǒng)生命周期法適用于開(kāi)發(fā)較大型、綜合、功能明確且復(fù)雜的信息系統(tǒng)3. 計(jì)算機(jī)信息系統(tǒng)開(kāi)發(fā)的審計(jì)（1）審查系統(tǒng)開(kāi)發(fā)的可行性。（2）審查系統(tǒng)功能的合規(guī)、合法性。（3）審査系統(tǒng)程序控制的恰當(dāng)性。（4）審查系統(tǒng)的可審性（注意留下充分的審計(jì)線索）。3. 計(jì)算機(jī)信息系統(tǒng)開(kāi)發(fā)的審計(jì)（5）審查系統(tǒng)測(cè)試的全面恰當(dāng)性（參與系統(tǒng)測(cè)試，審

10、査測(cè)試數(shù)據(jù)、過(guò)程和結(jié) 果）。（6）審查系統(tǒng)文檔資料的完整性。（7）審査系統(tǒng)的可維護(hù)性。4. 信息系統(tǒng)的變動(dòng)控制變動(dòng)控制是指信息系統(tǒng)的任何變動(dòng)（包括硬件變動(dòng)和軟件變動(dòng)）必須經(jīng)過(guò)申 請(qǐng)、管理層的批準(zhǔn)后才能執(zhí)行，變動(dòng)后的系統(tǒng)必須經(jīng)測(cè)試（除系統(tǒng)維護(hù)人員 外，用戶代表應(yīng)參與測(cè)試），并且修改相應(yīng)的系統(tǒng)文檔后才能正式投入使用。 不允許任何人未經(jīng)批準(zhǔn)隨意對(duì)生產(chǎn)程序（即正式使用的程序）進(jìn)行改動(dòng)，系 統(tǒng)變動(dòng)應(yīng)給予以記錄，留下審計(jì)線索。5. 終端用戶計(jì)算（即終端用戶開(kāi)發(fā)）指系統(tǒng)的經(jīng)商用戶在沒(méi)有或只有很少技術(shù)專家正式協(xié)助下，自行進(jìn)行系統(tǒng)開(kāi) 發(fā)。它存在較大的風(fēng)險(xiǎn)，如：系統(tǒng)整體的分析功能被忽略，難以與其他系統(tǒng) 集成和共享

11、數(shù)據(jù)，缺乏系統(tǒng)的標(biāo)準(zhǔn)和文檔，使系統(tǒng)的使用與維護(hù)嚴(yán)重依賴開(kāi) 發(fā)者，缺乏監(jiān)督，失去信息的一致性等等。5.終端用戶計(jì)算（即終端用戶開(kāi)發(fā)）為降低終端用戶計(jì)算的風(fēng)險(xiǎn)，內(nèi)審人員可建議在組織內(nèi)成立咨詢服務(wù)為主要 職能的“信息中心”，制定相應(yīng)的政策、規(guī)章制度和管理用戶的開(kāi)發(fā)。對(duì)終 端用戶開(kāi)發(fā)的應(yīng)用程序，審計(jì)人員應(yīng)評(píng)估程序的風(fēng)險(xiǎn)，對(duì)程序及其控制進(jìn)行 測(cè)試和審查。三數(shù)據(jù)與網(wǎng)絡(luò)通訊1. 計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)指為實(shí)現(xiàn)相互通訊和共享軟、硬件等目的，通過(guò)通訊線路、網(wǎng)絡(luò) 接口部件連接起來(lái)計(jì)算機(jī)群。根據(jù)數(shù)據(jù)信息傳輸距離，計(jì)算機(jī)網(wǎng)絡(luò)通常可分為局域網(wǎng)(lan)、城域網(wǎng)(man) 和廣域網(wǎng)(wan) o2. 網(wǎng)絡(luò)設(shè)備主要的網(wǎng)絡(luò)設(shè)備

12、有：網(wǎng)卡、集線器、中繼器、網(wǎng)橋、路由器、網(wǎng)關(guān)和調(diào)制調(diào) 解器等。(1) 網(wǎng)卡(nic):使計(jì)算機(jī)與網(wǎng)絡(luò)相連接的接口設(shè)備。(2) 集線器(hub):將終端線集中的設(shè)備，以便集中后在通過(guò)高速線路接到 通訊控制機(jī)。2. 網(wǎng)絡(luò)設(shè)備(3) 中繼器(repeater):為防止信號(hào)在傳輸中因衰減而失真，在線路中設(shè) 置的用于放大信號(hào)強(qiáng)度，從而廷長(zhǎng)通訊距離的放大設(shè)備。(4) 網(wǎng)橋(gatebridge):聯(lián)接兩個(gè)網(wǎng)絡(luò)(一般是通訊協(xié)議相同的網(wǎng)絡(luò))的 專用設(shè)備。以便網(wǎng)間能相互通訊，達(dá)到更遠(yuǎn)的地方。在internet上已逐步被 路由器取代。2. 網(wǎng)絡(luò)設(shè)備(5) 網(wǎng)關(guān)(gateway):聯(lián)接兩個(gè)通訊 協(xié)議可以不同的網(wǎng)絡(luò)的

13、專用設(shè)備。較網(wǎng)橋 復(fù)雜，要轉(zhuǎn)換通訊協(xié)議，使協(xié)議不同的網(wǎng)絡(luò)間能通訊。在internet上已逐步 被路由器取代。(6) 路由器(router):路由是指網(wǎng)絡(luò)住處由源位置到目標(biāo)位置傳輸?shù)穆窂健?路由器是一種能分析選擇internet上最快捷、暢通到達(dá)目的地路徑的專用計(jì) 算機(jī)。有些路由器還具有帶寬優(yōu)化和防火墻功能。2.網(wǎng)絡(luò)設(shè)備(7) 交換機(jī)(switcher):構(gòu)成交換型星型網(wǎng)絡(luò)的中心連接設(shè)備，其上每個(gè)端 口共享信道。(8) 調(diào)制解調(diào)器(modem):能將數(shù)字信號(hào)和模擬信號(hào)相互轉(zhuǎn)換，從而且使數(shù) 字信號(hào)能通過(guò)傳遞模擬音頻信號(hào)的信道傳送的設(shè)備。3. 網(wǎng)絡(luò)的拓樸結(jié)構(gòu) 指網(wǎng)絡(luò)中計(jì)算機(jī)連接形式。常見(jiàn)的拓樸結(jié)構(gòu)有

14、星型、總線型、環(huán)型和網(wǎng)型及 其組合。（1）星型：所有網(wǎng)上的計(jì)算機(jī)都連到中央結(jié)點(diǎn)上，通過(guò)中央結(jié)點(diǎn)與期他機(jī)聯(lián)系。這種結(jié)構(gòu)非中央結(jié)點(diǎn)的故障不會(huì)影響網(wǎng)絡(luò)的運(yùn)行，也容易擴(kuò)網(wǎng)。（2）總線型：所有網(wǎng)上的計(jì)算機(jī)都連在一條公共的電纜上，按一定的規(guī)則競(jìng)爭(zhēng) 使用信道。這種結(jié)構(gòu)若電纜出現(xiàn)故障，全網(wǎng)將癱瘓。3. 網(wǎng)絡(luò)的拓樸結(jié)構(gòu)環(huán)型：所有網(wǎng)上的計(jì)算機(jī)串聯(lián)起來(lái)成為一個(gè)環(huán)，并通過(guò)循環(huán)令牌來(lái)分配信道。 這種結(jié)構(gòu)數(shù)據(jù)在通信線路上不會(huì)發(fā)生碰撞，性能平穩(wěn)，但同總線型一樣，任 何一點(diǎn)出現(xiàn)故障，整個(gè)網(wǎng)將癱瘓。網(wǎng)型：網(wǎng)上的計(jì)算機(jī)聯(lián)成網(wǎng)狀，網(wǎng)絡(luò)中計(jì)算機(jī)間的通訊路徑有多個(gè)。只有大 型的計(jì)算機(jī)網(wǎng)絡(luò)才會(huì)采用網(wǎng)型結(jié)構(gòu)。4. 網(wǎng)絡(luò)協(xié)議指網(wǎng)絡(luò)中計(jì)算機(jī)間

15、互相通訊的預(yù)定規(guī)則internet所用的網(wǎng)絡(luò)協(xié)議是tcp/ip （傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議）。5. 數(shù)據(jù)通信數(shù)據(jù)通信是指通過(guò)通信線路傳輸數(shù)據(jù)、聲音及影象。它要求四個(gè)不同的組件: 發(fā)送方、接受方、媒介及消息。通訊媒介包括公用數(shù)據(jù)通訊網(wǎng)絡(luò)（包括公用電話交換網(wǎng)絡(luò),公用數(shù)字?jǐn)?shù)據(jù)網(wǎng)）、 雙絞線、同軸電纜、光纖、微波和無(wú)線電路（衛(wèi)星通訊）等。對(duì)數(shù)據(jù)與網(wǎng)絡(luò)通訊審計(jì)的重點(diǎn)（1）網(wǎng)絡(luò)拓樸結(jié)構(gòu)及設(shè)計(jì)；（2）重要網(wǎng)絡(luò)通訊設(shè)備的物理性能、參數(shù)設(shè)置和環(huán)境控制;（3）網(wǎng)絡(luò)管理員及其職責(zé);（4）網(wǎng)絡(luò)傳輸與數(shù)據(jù)安全;（5）通訊設(shè)備的接觸控制等。國(guó)際互聯(lián)網(wǎng)（internet）國(guó)際互聯(lián)網(wǎng)又稱因特網(wǎng)，是通過(guò)路由器把世界各地的計(jì)算機(jī)

16、或計(jì)算機(jī)網(wǎng)絡(luò)連 成的一個(gè)大網(wǎng)絡(luò)。它能提供下列服務(wù)：（1）遠(yuǎn)程登錄（telnet）:登錄到遠(yuǎn)距離的計(jì)算機(jī)上，使用其信息，可查全世 界的開(kāi)放資料。（2）文件傳輸（ftr）:利用文件傳輸協(xié)議，可從一臺(tái)計(jì)算機(jī)復(fù)制文件到另一 臺(tái)計(jì)算機(jī)，不管其有多遠(yuǎn)。國(guó)際互聯(lián)網(wǎng)（internet）（3）文件檢索（archie）:它通過(guò)每隔一定的時(shí)間間隔與所有的ftp主機(jī)建立 連接，把這些主機(jī)存有公開(kāi)文件的目錄清單存入internet archie數(shù)據(jù)庫(kù)中。 用戶要查找文件時(shí)，只要輸入已知的文件名或用通配符，archie可找到其存 放處，給出路徑。國(guó)際互聯(lián)網(wǎng)（internet）（4）gopher： 一種菜單驅(qū)動(dòng)的inter

17、net信息資源檢索工具。它通過(guò)菜單發(fā)出請(qǐng) 求，服務(wù)系統(tǒng)自動(dòng)與相應(yīng)的主機(jī)建立連接，并完成指定的檢索任務(wù)。它曾廣 泛應(yīng)用，直到1995年才逐漸被基于超文本鏈接、具有圖形用戶界面、可顯示 多媒體信息的www環(huán)境取代。國(guó)際互聯(lián)網(wǎng)（internet）（5）專題討論（newsgroup）:又稱新聞組，是在internet上建立的專題討論, 討論內(nèi)容劃分小組，你可參加任一小組討論，可閱讀其中的文章，也可發(fā)表 自己的意見(jiàn)，或針對(duì)人家的文章發(fā)表評(píng)論或作出答復(fù)。國(guó)際互聯(lián)網(wǎng)（internet）（6）www （萬(wàn)維網(wǎng)/環(huán)球網(wǎng)）：是建立在客戶機(jī)/服務(wù)器模型之上、以http （超 文本傳輸協(xié)議）為基礎(chǔ)，能夠提供面向各種i

18、nternet服務(wù)的一種友好的信息 瀏覽系統(tǒng)。它可以把各種類型的信息（如文本、圖象、聲音、動(dòng)畫、錄象等） 和服務(wù)（如news、ftp、telnet、gopher、e-ma訂等）無(wú)縫連接，提供生動(dòng)的 圖形用戶界面。用戶只要提出查詢要求，可完成查詢；可查文、圖、聲等信國(guó)際互聯(lián)網(wǎng)（internet）（7）電子郵件（ema訂）:通過(guò)internet發(fā)送的郵件。它具有快捷、便宜，一 份可同時(shí)發(fā)送給多人，可附發(fā)文章，可轉(zhuǎn)寄等特點(diǎn)。em“l(fā)的傳遞由簡(jiǎn)單郵件 傳輸協(xié)議（smtp）來(lái)完成。smtp是tcp / ip的一部分。（四）語(yǔ)音通訊語(yǔ)音通訊是指通過(guò)電話交換機(jī)（pbx）進(jìn)行語(yǔ)音溝通，目前常用的主要有:1.

19、模擬電話，由公用電話網(wǎng)（pstn）承載。2. isdn數(shù)字電話，由不得綜合業(yè)務(wù)數(shù)字網(wǎng)（isdn）承載。3. ip數(shù)字電話，由ip網(wǎng)承載。4. 無(wú)線移動(dòng)電話，由蜂窩無(wú)線網(wǎng)承載。(四)語(yǔ)音通訊語(yǔ)音通訊的審查主要注意重要信息的保密問(wèn)題(專人負(fù)責(zé)管理與維護(hù)電話設(shè) 備、電話使用的政策規(guī)定等)，通訊費(fèi)用(設(shè)備的接觸權(quán)限，防止員工個(gè)人 目的使用通訊設(shè)備，通訊費(fèi)的管理等)、對(duì)員工通訊的監(jiān)控。(五) 系統(tǒng)的安全與應(yīng)急計(jì)劃計(jì)算機(jī)信息系統(tǒng)的安全面臨的威脅：(1) 內(nèi)部威脅，如軟件中的錯(cuò)漏和安全漏洞、硬件中的缺陷、系統(tǒng)設(shè)計(jì)上的 缺陷、對(duì)數(shù)據(jù)安全的威脅等；(2) 外部威脅，如信息的暴露、拒絕提供服務(wù)、計(jì)算機(jī)犯罪、計(jì)算機(jī)

20、病毒、 盜竊、靜電、電壓的急劇變化、自然災(zāi)害、嚴(yán)重事故和人為的差錯(cuò)等。為加強(qiáng)系統(tǒng)的安全，必須建立一系列的安全控制，這些控制包括一般控制和 應(yīng)用控制。1. 一般控制(general control)一般控制指對(duì)信息系統(tǒng)的構(gòu)成要素和環(huán)境實(shí)施的控制，包括組織控制、硬件與系統(tǒng)軟件控制、系統(tǒng)安全控制、系統(tǒng)開(kāi)發(fā)與維護(hù)控制。(1) 組織控制最基本的要求是程序員與系統(tǒng)維護(hù)人員不能負(fù)責(zé)業(yè)務(wù)的處理，不能操作已正 式投入使用的系統(tǒng)。1. 一般控制(2) 硬件與系統(tǒng)軟件控制： 硬件控制指確保硬件運(yùn)行正確的控制，包括：奇偶校驗(yàn)、重復(fù)處理、 回波檢驗(yàn)等。 系統(tǒng)軟件控制指編寫在系統(tǒng)軟件中，為提高系統(tǒng)安全而設(shè)立的控制， 包括

21、：錯(cuò)誤的處理、程序保護(hù)、數(shù)據(jù)文件保護(hù)、系統(tǒng)接觸控制等。(3) 信息與物理的安全控制 接觸控制：控制只有經(jīng)授權(quán)的人才能接觸系統(tǒng)的硬件、軟件和數(shù)據(jù)文件。具體控制措施有：機(jī)房上鎖、機(jī)器上鎖、機(jī)房設(shè)置門衛(wèi)，使用開(kāi)機(jī)口令，上 網(wǎng)要登錄(檢查用戶名、密碼)，系統(tǒng)采用密碼權(quán)限控制，目錄與文件加密 等。(3) 信息與物理的安全控制 后備控制：系統(tǒng)的硬件(對(duì)不能停止工作的系統(tǒng))、軟件和數(shù)據(jù)文件要備 份，要制定系統(tǒng)的應(yīng)急計(jì)劃。在大量數(shù)據(jù)輸入后或較長(zhǎng)時(shí)間的處理前要及時(shí) 備份有關(guān)文件，重要的數(shù)據(jù)要留三代，平常應(yīng)根據(jù)組織的具體情況進(jìn)行系統(tǒng) 數(shù)據(jù)的日、周、旬或月備份。備份文件至少要有一份保管在機(jī)房以外的地方。(3) 信息

22、與物理的安全控制 應(yīng)急計(jì)劃(又叫災(zāi)難補(bǔ)救計(jì)劃)指預(yù)先制定的，萬(wàn)一系統(tǒng)出現(xiàn)災(zāi)難性 損毀時(shí)的應(yīng)急措施和利用后備的硬件、軟件、數(shù)據(jù)文件恢復(fù)系統(tǒng)的計(jì)劃。制定應(yīng)急計(jì)劃應(yīng)首先對(duì)組織經(jīng)營(yíng)的環(huán)境進(jìn)行風(fēng)險(xiǎn)分析，然后才是分析恢復(fù)策略(如哪些是最主要、要最先恢復(fù)的功能等)；應(yīng)急計(jì)劃應(yīng)包括系統(tǒng)備份和重新啟動(dòng)的程序；檢驗(yàn)應(yīng)急計(jì)劃有效性的方法是對(duì)它進(jìn)行測(cè)試；當(dāng)組織結(jié)構(gòu)與經(jīng)營(yíng)發(fā)生變化時(shí)，應(yīng)急計(jì)劃要相應(yīng)改變。(3) 信息與物理的安全控制 環(huán)境安全控制:*電源的控制：機(jī)房要設(shè)置不間斷電源，保證電源安全穩(wěn)定。*其他環(huán)境控制：機(jī)房要有防火、防水、防塵、防電磁干擾，防靜電和良好的 接地裝置。保證計(jì)算機(jī)工作環(huán)境在一定的溫度、濕度。(3

23、 )信息與物理的安全控制 計(jì)算機(jī)病毒與黑客的防范控制*計(jì)算機(jī)病毒：又簡(jiǎn)稱病毒，是一些能隱藏在合法程序里、能自我復(fù)制的、在 其寄附的程序執(zhí)行到某些階段便能獲得執(zhí)行控制權(quán)的程序段。這些程序因能 以自我復(fù)制的方式而通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)或磁盤傳播出去，就像病毒一樣可以傳 染。計(jì)算機(jī)病毒計(jì)算機(jī)病毒發(fā)作時(shí)，有些通過(guò)不斷自我復(fù)制，占用了系統(tǒng)的時(shí)間和空間，使 系統(tǒng)運(yùn)行速度變慢，磁盤空間無(wú)端減少；有些會(huì)破壞或刪除系統(tǒng)的文件，破 壞系統(tǒng)引導(dǎo)區(qū)、硬盤分區(qū)表，使系統(tǒng)出現(xiàn)一些古怪的現(xiàn)象、無(wú)端死機(jī)或無(wú)法 啟動(dòng)，甚至破壞硬件。病毒傳播的主要途徑有通過(guò)接觸受感染的磁帶、磁盤、光盤，通過(guò)網(wǎng)絡(luò)，通過(guò)電子郵件，通過(guò)瀏覽網(wǎng)頁(yè)或下載文件等。

24、防治病毒的主要控制措施不使用盜版軟件、不讓外來(lái)磁帶、磁盤、光盤接觸系統(tǒng)、使用防病毒工具(軟、 硬件)，若無(wú)必要，系統(tǒng)不要直接連到internet上，若要與外部網(wǎng)聯(lián)接，要 使用防火墻。黑客(hacker)黑客一般指利用計(jì)算機(jī)網(wǎng)絡(luò)對(duì)別人的計(jì)算機(jī)進(jìn)行攻擊、破壞等違法活動(dòng)的人。 黑客利用其掌握的計(jì)算機(jī)技術(shù)，通過(guò)網(wǎng)絡(luò)或破譯人家的密碼、或利用人家系 統(tǒng)的漏洞，進(jìn)入人家的信息系統(tǒng)，或竊取信息，或進(jìn)行破壞，或向人家的網(wǎng)絡(luò)發(fā)送大量垃圾信息或虛假服務(wù)請(qǐng)求，造成網(wǎng)絡(luò)堵塞，使正常的服務(wù)無(wú)法提供。隨著internet的發(fā)展，黑客的攻擊已成為網(wǎng)絡(luò)化信息系統(tǒng)重要的安全威脅。黑客的防范黑客的防范：二要檢查系統(tǒng)的漏洞，發(fā)現(xiàn)漏洞

25、立即打補(bǔ)丁，二要充分利用防火墻，三對(duì)阻塞性的攻擊，要對(duì)虛假信息采取有的屏蔽措施。(3)信息與物理的安全控制 防火墻(firewall):防火墻是指置于一個(gè)單位內(nèi)部網(wǎng)與外部網(wǎng)之間，用于防止外部訪問(wèn)者入侵 系統(tǒng)的軟件或軟硬件組合。防火墻一般分過(guò)濾型和代理服務(wù)器型。過(guò)濾型防 火墻通過(guò)截獲要進(jìn)入本單位內(nèi)部網(wǎng)的信息包，檢查其源地址、目的地址、路 由和數(shù)據(jù)內(nèi)容等特性，過(guò)濾出可疑的東西，拒絕一切未經(jīng)授權(quán)的信息與訪問(wèn) 的企圖。防火墻(續(xù))代理服務(wù)器型防火墻不允許外部信息直接進(jìn)入內(nèi)部網(wǎng)，而只能到達(dá)代理服務(wù) 器，數(shù)據(jù)通過(guò)時(shí)代理服務(wù)器要求要完成準(zhǔn)確的注冊(cè)與鑒定，對(duì)訪問(wèn)提供控制 與過(guò)濾作用，從而提高內(nèi)部網(wǎng)的安全性。要

26、注意的是:任何一種防火墻都不能絕對(duì)保證內(nèi)部網(wǎng)的安全。(4) 系統(tǒng)的開(kāi)發(fā)與維護(hù)控制 系統(tǒng)開(kāi)發(fā)前應(yīng)進(jìn)行可行性研究。 系統(tǒng)的設(shè)計(jì)應(yīng)有用戶的代表和內(nèi)審人員的參加。 系統(tǒng)的檢測(cè)應(yīng)有用戶代表和內(nèi)審人員的參加，經(jīng)驗(yàn)測(cè)滿意的新系統(tǒng)，要經(jīng)過(guò)與原系統(tǒng)并行試運(yùn)行一定時(shí)期，并經(jīng)過(guò)審批才能正式投入使用。 系統(tǒng)正式投入運(yùn)行以前，應(yīng)按規(guī)范要求編制好系統(tǒng)的文檔資料。(4) 系統(tǒng)的開(kāi)發(fā)與維護(hù)控制 已正式投入運(yùn)行的系統(tǒng)，若要進(jìn)行維護(hù)改進(jìn)，必須經(jīng)申請(qǐng)、批準(zhǔn)后才能修 改，修改后必須經(jīng)嚴(yán)格的檢測(cè)、并作好文檔記錄后才能正式投入使用。2. 應(yīng)用控制(application control)應(yīng)用控制指針對(duì)計(jì)算機(jī)信息系統(tǒng)的各應(yīng)用(即子系統(tǒng)或功

27、能模塊)的敏感環(huán)節(jié)和控制要求，為各子系統(tǒng)的輸入、處理和輸出完整準(zhǔn)確而建立的控制。包 括輸入控制、處理控制和輸出控制。(1) 輸入控制輸入控制是為防止非法數(shù)據(jù)輸入系統(tǒng)，使合法數(shù)據(jù)能完整、準(zhǔn)確地輸入系統(tǒng) 的控制。 只有經(jīng)授權(quán)的人才能進(jìn)行輸入操作，要按規(guī)定輸入真實(shí)的數(shù)據(jù)，輸入操作 要作記錄，輸入數(shù)據(jù)要經(jīng)核對(duì)才能處理。 由計(jì)算機(jī)對(duì)輸入的數(shù)據(jù)進(jìn)行檢驗(yàn)，以防止和發(fā)現(xiàn)數(shù)據(jù)輸入的錯(cuò)誤。 凡被計(jì)算機(jī)發(fā)現(xiàn)的錯(cuò)誤，應(yīng)由操作員檢査，由出錯(cuò)的人改正后重新向系統(tǒng) 提交。常見(jiàn)的計(jì)算機(jī)檢驗(yàn)技術(shù)(1) 業(yè)務(wù)數(shù)點(diǎn)計(jì)與控制總數(shù)核對(duì)。(2) 代碼的有效性檢驗(yàn)。(3) 順序檢驗(yàn)。(4) 平衡檢驗(yàn)。(5) 合理性檢驗(yàn)(又稱極限檢驗(yàn))。(

28、6) 完整性檢驗(yàn)。(7) 數(shù)據(jù)類型、長(zhǎng)度、符號(hào)等檢驗(yàn)(又稱格式檢驗(yàn))。(2) 處理控制處理控制的目標(biāo)是保證已輸入的數(shù)據(jù)能完整、準(zhǔn)確地按既定原則處理。 控制只有經(jīng)批準(zhǔn)的人才能執(zhí)行數(shù)據(jù)處理操作，并要作好操作記錄。 由計(jì)算機(jī)對(duì)處理?xiàng)l件進(jìn)行檢驗(yàn)，保證滿足條件才能處理。 由計(jì)算機(jī)對(duì)處理結(jié)果進(jìn)行檢驗(yàn)，加強(qiáng)處理結(jié)果的正確性。（3）輸出控制輸出控制的目標(biāo)是要保證系統(tǒng)能準(zhǔn)確、完整地輸出經(jīng)處理的資料，輸出資料及時(shí)送到經(jīng)授權(quán)的人手中，未經(jīng)批準(zhǔn)的人不能接觸輸出資料?？刂浦挥薪?jīng)批準(zhǔn)的人才能執(zhí)行輸出操作，并要作好操作記錄。 打印輸出的資料要進(jìn)行登記，并經(jīng)有關(guān)人員檢查后簽章才送出使用或按要 求歸檔保管。 應(yīng)建立輸出資料的傳

29、遞、簽收與保管制度，未經(jīng)批準(zhǔn)的人不得接觸系統(tǒng)的 輸出資料。（六）數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)是可存貯大量數(shù)據(jù)的倉(cāng)庫(kù)。它由數(shù)據(jù)庫(kù)管理系統(tǒng)創(chuàng)建與維護(hù)。數(shù)據(jù)庫(kù)的有層次型數(shù)據(jù)庫(kù)、網(wǎng)狀型數(shù)據(jù)庫(kù)和關(guān)系型數(shù)據(jù)庫(kù)。關(guān)系型數(shù)據(jù)庫(kù)可有多個(gè)數(shù)據(jù)表，每一個(gè)數(shù)據(jù)表是一張二維表，其一行叫一個(gè) 記錄，一列叫一個(gè)字段，表與表之間可以通過(guò)關(guān)鍵字建立關(guān)聯(lián)。數(shù)據(jù)庫(kù)管理系統(tǒng)（dbms）數(shù)據(jù)庫(kù)管理系統(tǒng)有創(chuàng)建、訪問(wèn)和維護(hù)數(shù)據(jù)庫(kù)的功能，能協(xié)助應(yīng)用程序組織、 控制和使用有關(guān)數(shù)據(jù)。數(shù)據(jù)庫(kù)管理系統(tǒng)包括：（1）數(shù)據(jù)定義語(yǔ)言：用于描述數(shù)據(jù)庫(kù)的結(jié)構(gòu)。（2）數(shù)據(jù)操作語(yǔ)言：用于進(jìn)行信息訪問(wèn)，可為滿足用戶開(kāi)發(fā)應(yīng)用程序的需要。 典型的數(shù)據(jù)操作語(yǔ)言是結(jié)構(gòu)化查詢語(yǔ)言（sql）。

30、（3）數(shù)據(jù)字典：保存數(shù)據(jù)庫(kù)中數(shù)據(jù)表結(jié)構(gòu)的定義，包括字段名、類型、長(zhǎng)度、 小數(shù)位、存貯位置等。數(shù)據(jù)庫(kù)的審計(jì)對(duì)數(shù)據(jù)庫(kù)的審計(jì)，審計(jì)師應(yīng)評(píng)價(jià)：*數(shù)據(jù)庫(kù)的設(shè)計(jì)、*數(shù)據(jù)庫(kù)的訪問(wèn)（確定其訪問(wèn)是否有恰當(dāng)控制）、*數(shù)據(jù)庫(kù)的管理（數(shù)據(jù)庫(kù)的安全級(jí)別、*數(shù)據(jù)庫(kù)的操作權(quán)限、*數(shù)據(jù)庫(kù)的備份恢復(fù)（其一致性與可靠性等）。（七）數(shù)據(jù)中心運(yùn)行數(shù)據(jù)中心運(yùn)行是指信息系統(tǒng)的運(yùn)行。數(shù)據(jù)中心運(yùn)行控制包括系統(tǒng)運(yùn)行的管 理、計(jì)算機(jī)操作、數(shù)據(jù)輸入輸出、系統(tǒng)有效運(yùn)行的監(jiān)控、程序變更和問(wèn)題處 理等。對(duì)數(shù)據(jù)中心運(yùn)行的審計(jì)主要包括網(wǎng)絡(luò)操作控制的審計(jì)、信息系統(tǒng)操作的審 計(jì)、緊急狀況處理審計(jì)和問(wèn)題處理報(bào)告的審計(jì)。（八）web基礎(chǔ)設(shè)施web基礎(chǔ)設(shè)施是指構(gòu)成以

31、internet為基礎(chǔ)的電子商務(wù)應(yīng)用的中間層基礎(chǔ)設(shè) 施運(yùn)行在操作平臺(tái)上的網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器。這些基礎(chǔ)設(shè)施是面向 用戶的，如果其性能不良，會(huì)影響終端用戶的工作效率，也會(huì)影響網(wǎng)絡(luò)服務(wù) 提供商的形象，因此，web基礎(chǔ)設(shè)施應(yīng)有有效的管理?，F(xiàn)在，國(guó)際上不少國(guó)家 和地區(qū)的注冊(cè)會(huì)計(jì)師已開(kāi)展對(duì)有關(guān)電子商務(wù)網(wǎng)站的“網(wǎng)譽(yù)認(rèn)證”業(yè)務(wù)，其工作就包括對(duì)web基礎(chǔ)設(shè)施的審計(jì)，審查后可發(fā)給認(rèn)證書。 對(duì)web基礎(chǔ)設(shè)施的審計(jì)要點(diǎn)內(nèi)部審計(jì)師對(duì)web基礎(chǔ)設(shè)施的審計(jì)要點(diǎn)包括: 關(guān)注應(yīng)用服務(wù)器和為其提供數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)器，確保它們保持最佳的性能和可用性。確定組織是否了解網(wǎng)絡(luò)環(huán)境中的關(guān)鍵部分，管理員能否快速識(shí)別web基礎(chǔ)設(shè)施的故障、及

32、時(shí)發(fā)出警報(bào)，并實(shí)現(xiàn)故障的自動(dòng)糾正。檢查組織能否獲得web基礎(chǔ)設(shè)施的實(shí)時(shí)狀態(tài)數(shù)據(jù)。（九）軟件許可軟件許可控制是指控制不用盜版軟件。使用盜版軟件一方面違反版權(quán)法，另 一方面容易感染病毒，組織應(yīng)防止使用盜版軟件。防止使用盜版軟件的方法就是要建立軟件使用許可制度，要教育員工增強(qiáng) 版權(quán)意識(shí)，保存購(gòu)買軟件的使用許可證據(jù)，定期對(duì)每臺(tái)機(jī)上的軟件進(jìn)行審查, 把軟件的序列號(hào)與銷售商給序列號(hào)比較，發(fā)現(xiàn)非法使用的情況；正版軟件的 安裝盤應(yīng)有專人保管，可以為備份復(fù)制保管，但不能用于其他未經(jīng)許可的計(jì) 算機(jī)。軟件許可的審計(jì)（1）檢查軟件購(gòu)買與使用的政策是否完備，（2）軟件是否有專人保管，軟件的發(fā)放是否有恰當(dāng)?shù)目刂?，?）收

33、集用戶使用的所有軟件的清單，收集授權(quán)安裝使用的軟件清單，對(duì) 軟件的許可進(jìn)行持續(xù)的檢查，（4）對(duì)違反軟件許可的行為如何處罰和糾正。三、審計(jì)方法一計(jì)算機(jī)審計(jì)工具和技術(shù)（一）嵌入審計(jì)模塊嵌入審計(jì)模塊是集成于應(yīng)用系統(tǒng)的，用于持續(xù)監(jiān)控系統(tǒng)的重要或敏感環(huán) 節(jié)運(yùn)行程序模塊。它對(duì)系統(tǒng)的處理進(jìn)行實(shí)時(shí)動(dòng)態(tài)的監(jiān)控，對(duì)出現(xiàn)的異常情 況記錄在審計(jì)文件中，或?qū)τ嘘P(guān)的交易打上標(biāo)記，以便以后進(jìn)行審查跟蹤。 嵌入審計(jì)模塊技術(shù)適用于處理大量數(shù)據(jù)的計(jì)算機(jī)信息系統(tǒng)。（-）嵌入審計(jì)模塊嵌入審計(jì)模塊需要進(jìn)行精心設(shè)計(jì)，以能實(shí)現(xiàn)在恰當(dāng)?shù)奶幚憝h(huán)節(jié)實(shí)行監(jiān)控、截 取數(shù)據(jù)，又盡量不降低系統(tǒng)的性能。要嵌入審計(jì)模塊需要審計(jì)人員在系統(tǒng)分 析階段就向系統(tǒng)開(kāi)

34、發(fā)人員明確提出需求，進(jìn)入系統(tǒng)的整體設(shè)計(jì)中。對(duì)嵌入的 審計(jì)模塊，要注意審計(jì)規(guī)則參數(shù)和審計(jì)文件的保護(hù)。（-）數(shù)據(jù)提取技術(shù)被審單位的數(shù)據(jù)一般存放在其大型機(jī)、小型機(jī)或網(wǎng)絡(luò)服務(wù)器上，為了不擾 亂被審單位系統(tǒng)的運(yùn)行及其數(shù)據(jù)庫(kù)，也為了不占用被審系統(tǒng)的資源，審計(jì)人 員通常不直接用審計(jì)軟件處理被審系統(tǒng)的數(shù)據(jù)，而是把被審數(shù)據(jù)提取到自己 的或?qū)ｉT的pc機(jī)上，再利用電子表格軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)或?qū)徲?jì)軟件對(duì)被 審數(shù)據(jù)進(jìn)行審計(jì)處理。（-）數(shù)據(jù)提取技術(shù)數(shù)據(jù)提取的具體方法視具體系統(tǒng)而定，常用的方法是利用通用審計(jì)軟件 的數(shù)據(jù)提取功能，定義所需的數(shù)據(jù)，然后把相應(yīng)的數(shù)據(jù)復(fù)制到指定的pc機(jī)上; 另一種數(shù)據(jù)提取的方法是利用odbc （

35、開(kāi)放式數(shù)據(jù)互聯(lián)）。通過(guò)數(shù)據(jù)提取技術(shù)實(shí)現(xiàn)離線審計(jì)的優(yōu)點(diǎn)是可防止對(duì)被審單位系統(tǒng)和數(shù)據(jù)庫(kù) 的擾亂，有較高的安全性，但其缺點(diǎn)是數(shù)據(jù)可能缺乏完整性和及時(shí)性，因而 可能影響到審計(jì)的結(jié)果。（三）通用審計(jì)軟件（gas）通用審計(jì)軟件是指具有常用的計(jì)算機(jī)審計(jì)功能、能直接訪問(wèn)多種數(shù)據(jù) 庫(kù)及多種平臺(tái)的文件、能在多個(gè)單位審計(jì)中輔助審計(jì)人員執(zhí)行審計(jì)任務(wù)的 計(jì)算機(jī)軟件。通用審計(jì)軟件主要用來(lái)檢測(cè)數(shù)據(jù)文件的。然而，它有時(shí)也被 用于測(cè)試系統(tǒng)的控制和程序。通用審計(jì)軟件的功能表（1）分類（排序），例：將采購(gòu)定單按金額從最高到最低順序排列，以便審計(jì)人 員能檢査是否遵循了所有超過(guò)一定金額的采購(gòu)都要進(jìn)行有力的討價(jià)還價(jià)過(guò)程 的要求。（2）比

36、較，例將所有的賒銷與經(jīng)批準(zhǔn)的顧客主文件進(jìn)行比較以確保已執(zhí)行了信 用檢查。（3）合并，例將a分部的庫(kù)存文件和b分部的庫(kù)存文件進(jìn)行合并以便能產(chǎn)生存貨 項(xiàng)目的隨機(jī)樣本來(lái)進(jìn)行測(cè)試。（4）更新，例在測(cè)試發(fā)票開(kāi)單程序中增加對(duì)每一顧客適用的折扣條款。（5）生成和保存，例復(fù)制被證實(shí)的貸款樣本以便第二次要求時(shí)可用。通用審計(jì)軟件的功能表（6）匯總功能，例合計(jì)所有指定存貨號(hào)的銷售并編制所有這些銷售的匯總記 錄。（7）數(shù)學(xué)函數(shù)，例進(jìn)行重新計(jì)算和小計(jì)。（8）抽取，例抽取所有相關(guān)的業(yè)務(wù)，并對(duì)它們進(jìn)行小計(jì)以便復(fù)查（9）條件操作，例僅選取那些超過(guò)設(shè)定金額的維修費(fèi)用進(jìn)行測(cè)試。（10）抽樣，例計(jì)算樣本量.選取樣本、評(píng)價(jià)總體。(1

37、1)報(bào)表書寫，例生成一個(gè)存貨帳齡分析表，以評(píng)估其過(guò)時(shí)性。(12)(13)數(shù)據(jù)管理，例編輯檢驗(yàn)輸入數(shù)據(jù)。統(tǒng)計(jì)程序，例執(zhí)行各種統(tǒng)計(jì)分析。通用審計(jì)軟件通用審計(jì)軟件有容易使用，只需要審計(jì)人員具有有限的計(jì)算機(jī)知識(shí)，并不 要求有編程方面的專業(yè)知識(shí)，適用性強(qiáng)等優(yōu)點(diǎn)，是目前最廣泛使用的計(jì)算機(jī)審計(jì)審計(jì)工具。國(guó)外著名的通用審計(jì)軟件有acl （audit command language）和idea(interactive data extraction and analysis)。國(guó)內(nèi)的通用審計(jì)軟件有：中望軟件公司的審易軟件、中普軟件公司的中岳軟件、通審軟件公司的通審2000、審計(jì)之星、金劍軟件等。湖北電力的內(nèi)審

38、機(jī) 構(gòu)與軟件公司合作開(kāi)發(fā)的“審計(jì)直通車”，是針對(duì)內(nèi)審而開(kāi)發(fā)的通用審計(jì)軟 件。電子表格分析電子表格軟件（如excel. lotus等）具有電子表格、數(shù)據(jù)庫(kù)管理和統(tǒng) 計(jì)圖表等功能，而且可以進(jìn)行宏編程，可以和數(shù)據(jù)庫(kù)及其他計(jì)算機(jī)應(yīng)用連 接，其本身的多個(gè)表格和表格間也可以互鏈，還內(nèi)置了許多分析函數(shù)，尤 其是其特有的財(cái)務(wù)函數(shù)，審計(jì)人員可以利用這些功能輔助對(duì)電子資料進(jìn)行 審計(jì)處理。電子表格的單元可以填寫公式，由計(jì)算機(jī)自動(dòng)完成相應(yīng)的計(jì)算, 單元間可通過(guò)鏈接實(shí)現(xiàn)數(shù)據(jù)的同步修改。電子表格分析可利用excel輔助執(zhí)行的審計(jì)工作： 利用excel輔助審計(jì)程序表的編制。利用excel輔助編制某些項(xiàng)目的審計(jì)表格。利用ex

39、cel輔助試算工作底稿與調(diào)整后會(huì)計(jì)報(bào)表的編制。利用excel輔助編制集團(tuán)公司的合并報(bào)表。利用excel輔助進(jìn)行分析性復(fù)核。利用excel的財(cái)務(wù)函數(shù)輔助審計(jì)。利用電子表格軟件輔助審計(jì)，是一種成本低、效率高、靈活方便、實(shí)用有效的計(jì)算機(jī)輔助審計(jì)技術(shù)。自動(dòng)化工作底稿自動(dòng)化工作底稿是指在計(jì)算機(jī)審計(jì)中，審計(jì)人員利用計(jì)算機(jī)輔助進(jìn)行 風(fēng)險(xiǎn)評(píng)估、審計(jì)計(jì)劃安排和各種審計(jì)處理中自動(dòng)生成工作底稿，跟蹤、歸 納發(fā)現(xiàn)的問(wèn)題，輔助編制審計(jì)報(bào)告等。自動(dòng)化工作底稿一般可利用通用審計(jì)軟件（如audit assistant）或一些商業(yè)化軟(如lotus notes, ms office等)實(shí)現(xiàn)。四、信息技術(shù)(it)()控制框架(如

40、:sac, cobit) 1. cobit(control objectives for information and related technology) cobit是目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)，由信息系統(tǒng)審計(jì)與控制協(xié)會(huì) 在1996年公布。這是一個(gè)在國(guó)際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控 制的標(biāo)準(zhǔn)，目前已經(jīng)更新至第三版。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之 間架起了一座橋梁，以滿足管理的多方面需要。該標(biāo)準(zhǔn)體系已在世界一百多 個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地 管理與信息相關(guān)的風(fēng)險(xiǎn)。1. cobit cobit將it過(guò)程，it資源與企業(yè)的策略與目標(biāo)

41、(準(zhǔn)則)聯(lián)系起來(lái)，形成一個(gè)三維的體系結(jié)構(gòu)。(1) it準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利 用率、系統(tǒng)效率、保密性、完整性、可用性等方面來(lái)保證信息的安全性、可靠性、有效性;(2) it資源主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是it治理過(guò)程的主要對(duì)象;1. cobit(3) it過(guò)程維則是在it準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)i規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過(guò)程，每個(gè)處理過(guò)程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方 針對(duì)it處理過(guò)程進(jìn)行評(píng)估。cobit信息技術(shù)的控制目標(biāo)(1) 有效性

42、(effectiveness) 是指信息與商業(yè)過(guò)程相關(guān)，并以及時(shí)、準(zhǔn) 確、一致和可行的方式傳送。(2) 高效性 提供信息。(3) 機(jī)密性 權(quán)的披露(4) 完整性(efficiency) 關(guān)于如何最佳(最高產(chǎn)和最經(jīng)濟(jì))利用資源來(lái)(confidentiality)涉及對(duì)敏感信息的保護(hù)，以防止未經(jīng)授(integrity) 涉及信息的精確性和完全性，以及與商業(yè)評(píng)價(jià)和期望相一致cobit信息技術(shù)的控制目標(biāo)(5) 可用性(ava訂ab訂ity)指在現(xiàn)在和將來(lái)的商業(yè)處理需求中，信息是 可用的。還指對(duì)必要的資源和相關(guān)性能的維護(hù)。(6) 符合性(compliance) 遵守商業(yè)運(yùn)作過(guò)程中必須遵守的法律、法規(guī)和

43、契約條款，如外部強(qiáng)制商業(yè)標(biāo)準(zhǔn)。(7) 信息可靠性(reliab訂ity of information) 為管理者的日常經(jīng)營(yíng)管理以及履行財(cái)務(wù)報(bào)告責(zé)任提供適當(dāng)?shù)男畔?。信息技術(shù)控制目標(biāo)中定義的信息技術(shù)資源*數(shù)據(jù)(data) 指最廣義(例如，表面的和內(nèi)在的)的對(duì)象，包括結(jié)構(gòu)化和 非結(jié)構(gòu)化、圖表、聲音等等。*應(yīng)用系統(tǒng)(application systems)人工程序和電腦程序的總和。*技術(shù)(technology) 包括硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、網(wǎng)絡(luò)、多媒 體等等。*設(shè)備(facilities) 用來(lái)存放和支持信息系統(tǒng)的一切資源。*人員(people) 包括用來(lái)計(jì)劃、組織、獲取、傳送、支持和監(jiān)控信息

44、系統(tǒng) 和服務(wù)所需要的人員技能、意識(shí)和生產(chǎn)力。1. c0bitc0bit是一個(gè)非常有用的工具，也非常易于理解和實(shí)施，可以幫助在管理層、 it審計(jì)之間交流的鴻溝上搭建橋梁，提供了彼此之間溝通的共同語(yǔ)言。cob it的優(yōu)點(diǎn)通過(guò)實(shí)施cobit,增加了管理層對(duì)控制的感知及支持。 cobit使it管理工作簡(jiǎn)易并量化，減輕對(duì)復(fù)雜信息系統(tǒng)管理工作的難度，并且 可以應(yīng)用在每天都在發(fā)生的各種新問(wèn)題中。 c0bit提供了一種國(guó)際通用的it管理及問(wèn)題解決方案。 cobit有助于提高信息系統(tǒng)審計(jì)師的影響力。 cobit框架可以幫助決定過(guò)程責(zé)任，提高it治理水平。2. sac(systems assurance and

45、control)sac的概念在1977年由國(guó)際內(nèi)審協(xié)會(huì)第一次明確提出，當(dāng)時(shí)sac是指系統(tǒng)審 計(jì)與控制(systems audit tab 訂 ity and control) o 1991 年和 1994 由國(guó)際 內(nèi)審研究基金會(huì)進(jìn)行較大更新后，sac是指系統(tǒng)鑒證與控制(systems assurance and control) o sac已成為it審計(jì)師在信息技術(shù)安全、控制與審計(jì) 領(lǐng)域中的重要指南。2. sac在新版本中，"可審計(jì)性”(auditab訂ity)詞已被"鑒證” (assurance)替 代。這是因?yàn)槲覀冎饾u認(rèn)識(shí)到，在電子商務(wù)時(shí)代，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā) 展，

46、系統(tǒng)中的控制及相互依賴性已經(jīng)沒(méi)有組織與地理位置的限制，普遍存在 于各種組織中。在組織內(nèi)部及與業(yè)務(wù)伙伴的合作中，要保證對(duì)信息系統(tǒng)有足 夠的控制，以保護(hù)系統(tǒng)的安全性、可審計(jì)性。2. sac sac通過(guò)提供及時(shí)更新的信息，幫助我們理解、監(jiān)測(cè)、評(píng)估及降低技術(shù)風(fēng)險(xiǎn)。sac檢查業(yè)務(wù)系統(tǒng)各個(gè)組成部分的風(fēng)險(xiǎn)，包括客戶、競(jìng)爭(zhēng)對(duì)手、監(jiān)管部門及合作伙伴。新版本sac的一個(gè)重要特征就是提出的esac控制模型。建立此模型有利于討論 在電子商務(wù)環(huán)境中的目標(biāo)、風(fēng)險(xiǎn)及減輕威脅造成的風(fēng)險(xiǎn)的措施三者的關(guān)系。目前有許多不同的風(fēng)險(xiǎn)與控制模型，任何一種模型都有其特定的適用對(duì)象及 范圍，組織必須進(jìn)行合理剪裁，以適合組織的實(shí)際情況。esa

47、c模型可以較好 地反映快速變化的技術(shù)環(huán)境及電子商務(wù)模式所帶來(lái)的風(fēng)險(xiǎn)，并給出如何管理 這些風(fēng)險(xiǎn)的建議。esac控制模型從目標(biāo)到結(jié)果需要建立合理的控制環(huán)境，包括系統(tǒng)運(yùn)營(yíng)的效果與效率，財(cái)務(wù)與 管理的報(bào)告，法律、法規(guī)的遵循，對(duì)信息資產(chǎn)的保護(hù)?？刂频男Ч门c電子商務(wù)相關(guān)的各種控制屬性來(lái)描述，如可用性、實(shí)際能 力、機(jī)能性、可保護(hù)性、責(zé)任性，這些屬性都可被稱作業(yè)務(wù)鑒證目標(biāo)，為人 們正確看待各種控制提供了更廣寬而準(zhǔn)確的框架。對(duì)任何業(yè)務(wù)的控制都可以 通過(guò)這些控制屬性的組合來(lái)實(shí)現(xiàn)。esac控制模型要實(shí)現(xiàn)有效控制，需要利用各種資源，如人員(people) >技術(shù)(technology) >流程(pro

48、cesses)、投資(investment)、溝通(communication)。影響內(nèi)部控制環(huán)境的外部因素主要有兩種，如與外部實(shí)體(供應(yīng)商、合作伙 伴、代理商)之間的交互作用及相互依賴性，外部市場(chǎng)力量(如客戶、競(jìng)爭(zhēng)對(duì) 手、監(jiān)管者、共同體、股東)和不斷變化的環(huán)境對(duì)內(nèi)部控制的影響。esac控制模型橢圓形區(qū)域表示動(dòng)態(tài)的控制內(nèi)外部環(huán)境，為保證控制環(huán)境相對(duì)穩(wěn)定和可控，就必須對(duì)環(huán)境進(jìn)行監(jiān)測(cè)與預(yù)測(cè)，使相關(guān)風(fēng)險(xiǎn)被控制在一個(gè)組織可以接受的水 平。(-)局域網(wǎng)、虛擬專用網(wǎng)和廣域網(wǎng)根據(jù)數(shù)據(jù)信息傳輸?shù)木嚯x，計(jì)算機(jī)網(wǎng)絡(luò)通常可分為局域網(wǎng)(lan)、城域網(wǎng)(man) 和廣域網(wǎng)(wan) o 1.局域網(wǎng)：指范圍在幾公里以內(nèi)

49、的網(wǎng)絡(luò)。網(wǎng)的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星 型等。2.城域網(wǎng)：指在一個(gè)城市范圍內(nèi)操作的網(wǎng)絡(luò)，或者是物理上使用城市基礎(chǔ)電信設(shè)施的網(wǎng)絡(luò)。 3.廣域網(wǎng)/遠(yuǎn)程網(wǎng)：是一種以連接主機(jī)系統(tǒng)為目的，跨越廣闊的地理范圍, 普遍利用公共電信設(shè)施和少數(shù)專用線路進(jìn)行高速數(shù)據(jù)交換和信息共享的計(jì)算 機(jī)網(wǎng)絡(luò)。網(wǎng)的拓?fù)浣Y(jié)構(gòu)多呈網(wǎng)狀。（-）局域網(wǎng)、虛擬專用網(wǎng)和廣域網(wǎng)4.虛擬專用網(wǎng)（van）：又稱增值網(wǎng)，它是專用的、多通道、只傳遞數(shù)據(jù)，由第三方管理，多用戶使用的網(wǎng)絡(luò)。所謂增值是由于第三方提供遠(yuǎn)程通訊和計(jì)算機(jī)服務(wù)，用戶只須付租金，不必投資于網(wǎng)絡(luò)設(shè)備與軟件，也不必進(jìn)行網(wǎng)絡(luò) 管理，便可得到可靠的網(wǎng)絡(luò)服務(wù)，使用戶在通訊上得到外加的價(jià)值。網(wǎng)絡(luò)

50、實(shí) 際上是多用戶的，但對(duì)每個(gè)通道（頻道）來(lái)說(shuō)，每個(gè)用戶是專用的，故又稱 虛擬專用網(wǎng)。（三）電子資金轉(zhuǎn)賬所謂電子資金轉(zhuǎn)賬是指通過(guò)銀行計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行資金的轉(zhuǎn)賬和劃撥。由于 信息技術(shù)的發(fā)展，現(xiàn)金和票據(jù)流動(dòng)逐步被以計(jì)算機(jī)網(wǎng)絡(luò)為媒體的“電子數(shù)據(jù) 流動(dòng)”所取代，大量的資金在銀行的計(jì)算機(jī)網(wǎng)絡(luò)中高速在各行之間進(jìn)行著轉(zhuǎn) 賬、劃撥。這種以電子數(shù)據(jù)形式存儲(chǔ)在計(jì)算機(jī)中，并通過(guò)銀行計(jì)算機(jī)網(wǎng)絡(luò)來(lái) 流動(dòng)的資金，以及其賴以生存的銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而被稱為“電子資金轉(zhuǎn) 賬系統(tǒng)”，英文全稱為“eeletronic funds transfer system”簡(jiǎn)稱eft系 統(tǒng)。（三）電子資金轉(zhuǎn)賬eft的風(fēng)險(xiǎn)包括未經(jīng)許可的進(jìn)入及操作

51、eft系統(tǒng)、對(duì)交易的重復(fù)處理、缺乏備 份和恢復(fù)，其中未經(jīng)授權(quán)的訪問(wèn)和交易活動(dòng)風(fēng)險(xiǎn)最大。eft處理交易的成本比 手工處理交易的成本低。（四）電子商務(wù) 1.電子商務(wù)及其分類（1）電子商務(wù)狹義是指利用計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)來(lái)做生意，或通過(guò)電 子信息網(wǎng)絡(luò)從事商貿(mào)活動(dòng)。廣義是指電子工具（從電話、電報(bào)到計(jì)算機(jī)網(wǎng)絡(luò) 等it技術(shù)）在商務(wù)活動(dòng)中的應(yīng)用。（2）電子商務(wù)的分類：按網(wǎng)絡(luò)技術(shù)基礎(chǔ)分：基于edi （專用網(wǎng)或增值網(wǎng)）與基于internet的電子商務(wù)。按交易對(duì)象分：b to b, b to c。2.電子商務(wù)的應(yīng)用層次（1）初級(jí)：主要利用網(wǎng)絡(luò)宣傳企業(yè)產(chǎn)品和形象。（2）中級(jí)：除實(shí)現(xiàn)初級(jí)的功能外，利用計(jì)算機(jī)與網(wǎng)絡(luò)進(jìn)行貿(mào)易

52、商談、傳遞商 業(yè)文件（訂單、合同、發(fā)票、發(fā)貨單等），提供售后服務(wù)，進(jìn)行市場(chǎng)預(yù)測(cè)等。（3）高級(jí)：商務(wù)活動(dòng)的全過(guò)程實(shí)現(xiàn)電子化網(wǎng)絡(luò)化，從外部交易（包括支付） 到內(nèi)部生產(chǎn)經(jīng)營(yíng)最大程度實(shí)現(xiàn)電子表化。3. 電子商務(wù)系統(tǒng)的功能1. 交易前：商品信息發(fā)布、促銷、尋找交易機(jī)會(huì)，查詢、比較價(jià)格與條件、 選擇交易對(duì)象。2. 交易中： 貿(mào)易談判，簽訂合同（價(jià)格、數(shù)量、交貨時(shí)間、地點(diǎn)、交易與付款方式、 違約與索賠，訂單變更等）。3. 電子商務(wù)系統(tǒng)的功能2. 交易中： 辦理交易中的各種手續(xù)（如信用卡公司、銀行、保險(xiǎn)、運(yùn)輸公司、海關(guān)、 商檢、稅務(wù)等各方手續(xù)，發(fā)貨單、發(fā)票、付款通知，網(wǎng)上商品傳遞等）。 網(wǎng)上支付：信用卡、電子

53、現(xiàn)金、電子支票。3. 交易后：領(lǐng)帶售后服務(wù)（咨詢、指導(dǎo)、反饋意見(jiàn)）、備貨、若受損索賠。4. 電子商務(wù)的安全要求（1）信息保密性：如信用卡貼、密碼、要保密的商業(yè)信息（2）身份的可確定性：確認(rèn)交易各方的身份（3）交易與信息的不可否認(rèn)性：已簽定的合同、已簽發(fā)的文件單據(jù)不可否認(rèn)（4）信息與文件的不可修改性：已簽發(fā)或收到的單據(jù)不可修改5. 電子商務(wù)中常用的安全控制技術(shù)（1）數(shù)字加密：對(duì)稱加密技術(shù)一加密和解密用相同的密鑰優(yōu)點(diǎn)：簡(jiǎn)單快捷，密鑰較短，不易破譯缺點(diǎn)：要求有安全途徑把密鑰傳送給對(duì)方，密鑰的管理與頒發(fā)工作有較大 危險(xiǎn)。一個(gè)單位會(huì)因要保管太多密鑰難于管理 此加密不能對(duì)信息的完整性進(jìn)行檢查。（1）數(shù)字加

54、密非對(duì)稱加密一加密與解密用不同的密鑰。密鑰是成對(duì)的，一個(gè)可公開(kāi)（稱 公鑰），另一個(gè)要保密（稱私鑰），用其中一個(gè)加密，另一個(gè)才能解密。優(yōu)點(diǎn)：可克服上述對(duì)稱加密存在的問(wèn)題缺點(diǎn)：加密與解密時(shí)間長(zhǎng)、速度慢，不適用于較長(zhǎng)文件的加密。一旦私鑰被人竊取，后果相當(dāng)嚴(yán)重。（2）數(shù)字摘要數(shù)字摘要：在電子商務(wù)中，要求的是對(duì)整個(gè)交易文件的內(nèi)容簽字者不可否認(rèn), 他人不可修改。由于非對(duì)稱加密不宜用于較長(zhǎng)文件的加密，固常采用數(shù)字摘 要技術(shù)。數(shù)字摘要又稱hash函數(shù)，它根據(jù)原文（包括交易文件內(nèi)容與簽名） 按一定算法摘成一串128位的“摘要”，它有一定長(zhǎng)度，且每一摘要與原文唯 一對(duì)應(yīng)，因而可作為鑒別原文的“指紋”。（3）數(shù)字簽

55、字?jǐn)?shù)字簽字：簽名者用自己的私鑰對(duì)自己的簽名（某些字串）進(jìn)行加密就成數(shù) 字簽字。接收者用相應(yīng)的公鑰解密后可識(shí)別其簽名。因?yàn)橹挥泻灻哒莆兆?己的私鑰，所以數(shù)字簽字同白紙黑字簽字一樣可有不可否認(rèn)性。（4）數(shù)字認(rèn)證與數(shù)字證書數(shù)字認(rèn)證由權(quán)威的認(rèn)證機(jī)構(gòu)對(duì)電子交易各方的身份進(jìn)行認(rèn)證。數(shù)字證書由認(rèn)證機(jī)構(gòu)頒發(fā)的、用電子手段證實(shí)一個(gè)網(wǎng)上用戶身份的證書。數(shù)字證書數(shù)字證書的內(nèi)容包括：*證書所有者的姓名*證書所有者的公鑰*公鑰及證書的有效期*頒發(fā)證書的單位名稱 *數(shù)字證書的序列號(hào)*頒發(fā)證書單位的數(shù)字簽名(5) 數(shù)字時(shí)間戳作用：由獨(dú)立的專門機(jī)構(gòu)加上時(shí)間戳，以證實(shí)文件簽發(fā)的時(shí)間。操作: 用戶生成一個(gè)需要加時(shí)間戳的文件數(shù)據(jù)

56、摘要發(fā)送至數(shù)字時(shí)間戳服務(wù)機(jī)構(gòu)(dts) dts收到后，在其后加上收到的日期時(shí)間和簽名，并用自己的私鑰加密后發(fā) 回給用戶，用戶可把加有時(shí)間戳的文件發(fā)給交易伙伴，以確認(rèn)合同時(shí)間。(6) 防火墻(fire wall)詳見(jiàn)系統(tǒng)安全部分(7) 網(wǎng)上支付的安全控制(1) ssl (secure sockets layer)安全套接層協(xié)議?？蛻舭奄?gòu)物信息及委 托銀行付款的委托書先發(fā)往商家，商家再把客戶的付款委托書發(fā)往銀行，銀 行驗(yàn)證客戶身份并劃款后通知商家，商家再發(fā)貨并通知客戶購(gòu)買成功。此方 式對(duì)商家有保障，但商家可掌握客戶信息，要求商家進(jìn)行安全承諾。(7)網(wǎng)上支付的安全控制(2) set ( secrure electronic transactions)安全協(xié)議?？蛻籼岢鲭娮佑嗀?，商家回應(yīng)客戶請(qǐng)求。客戶把自己信用卡號(hào)碼、密碼等用發(fā)卡公司的公鑰 加密，附在正式訂單上，加上自己的數(shù)字簽字發(fā)給商家。商家接收后向自己 的開(kāi)戶銀行傳送客戶支付授權(quán)資料，開(kāi)戶行把資料送