審計(jì)規(guī)則全文(5篇)

摘要：與美國(guó)的上市公司被要求全面執(zhí)行內(nèi)部控制審計(jì)不同，我國(guó)在強(qiáng)制規(guī)則后經(jīng)歷了自發(fā)性需求與強(qiáng)制性要求并存的過(guò)渡時(shí)期，隨后進(jìn)入全面執(zhí)行階段。過(guò)渡時(shí)期的特殊性導(dǎo)致我國(guó)有關(guān)內(nèi)部控制審計(jì)的研究與國(guó)外對(duì)應(yīng)時(shí)期存在差異，與此同時(shí)，國(guó)外發(fā)展較為成熟的內(nèi)部控制審計(jì)業(yè)務(wù)又為我國(guó)內(nèi)部控制審計(jì)的研究提供了參考和借鑒。文章側(cè)重強(qiáng)制規(guī)則后的內(nèi)部控制審計(jì)的文獻(xiàn)研究，從影響因素和經(jīng)濟(jì)后果兩方面入手，梳理國(guó)內(nèi)外對(duì)應(yīng)時(shí)期成果，比較國(guó)內(nèi)外研究重點(diǎn)、方向的差異，指出相關(guān)研究的不足和未來(lái)研究的方向。

關(guān)鍵詞：內(nèi)部控制審計(jì);強(qiáng)制規(guī)則;影響因素;經(jīng)濟(jì)后果

一、引言

繼五部委《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制審計(jì)指引》等企業(yè)內(nèi)部控制制度，規(guī)定上市公司自2011年1月1日起實(shí)施內(nèi)部控制審計(jì)之后，2012年財(cái)政部、證監(jiān)會(huì)的《關(guān)于2012年主板上市公司分類分批實(shí)施企業(yè)內(nèi)部控制規(guī)范體系的通知》要求上市公司可分批分類執(zhí)行內(nèi)部控制審計(jì)，劃分出了內(nèi)部控制審計(jì)強(qiáng)制執(zhí)行的過(guò)渡階段（自2011年1月1日至2014年12月31日），與美國(guó)的SOX法案要求全面實(shí)施不同。在該階段，上市公司進(jìn)行內(nèi)部控制審計(jì)存在自發(fā)性需求和強(qiáng)制性要求，主板上市公司被分為兩部分，一部分自行選擇出具內(nèi)部控制鑒證報(bào)告，另一部分必須按照規(guī)范實(shí)施內(nèi)部控制審計(jì)。由于過(guò)渡階段的特殊性，強(qiáng)制規(guī)則后有關(guān)內(nèi)部控制的研究與國(guó)外對(duì)應(yīng)時(shí)期存在差異，研究?jī)?nèi)容主要分為兩類，一類是關(guān)于未被納入強(qiáng)制性要求范圍的自愿性內(nèi)控審計(jì)行為的研究，集中于對(duì)內(nèi)控審計(jì)影響因素的探討，一類是不區(qū)分自愿和強(qiáng)制的內(nèi)部控制審計(jì)研究。從內(nèi)控規(guī)范體系建立起，內(nèi)部控制審計(jì)不斷規(guī)范化并越來(lái)越受到各利益相關(guān)者的重視，有關(guān)內(nèi)部控制審計(jì)的文獻(xiàn)逐漸豐富，觀點(diǎn)日趨多樣，卻鮮有文獻(xiàn)對(duì)內(nèi)部控制審計(jì)的影響因素和經(jīng)濟(jì)后果進(jìn)行梳理并提出建議。本文試圖從內(nèi)部控制審計(jì)的影響因素和經(jīng)濟(jì)后果兩個(gè)維度出發(fā)，梳理強(qiáng)制規(guī)則后，自發(fā)性需求與強(qiáng)制性要求背景下的內(nèi)部控制審計(jì)研究、國(guó)內(nèi)外對(duì)應(yīng)時(shí)期研究重點(diǎn)和方向的差異，分析研究的不足之處，指出改進(jìn)建議和進(jìn)一步研究方向。

二、有關(guān)內(nèi)部控制審計(jì)影響因素的研究

（一）有關(guān)內(nèi)部控制實(shí)施影響因素的研究

美國(guó)的強(qiáng)制規(guī)則要求在上市公司全面推進(jìn)，因此內(nèi)部控制審計(jì)的實(shí)施是強(qiáng)制的，內(nèi)部控制存在重大缺陷甚至無(wú)效的公司也必須披露其審計(jì)報(bào)告，我國(guó)的情況與之存在差異。由于過(guò)渡階段的特殊性，國(guó)內(nèi)側(cè)重有關(guān)自愿性內(nèi)部控制審計(jì)的研究。方紅星、戴捷（2012）在肯定披露動(dòng)機(jī)影響自愿出具內(nèi)控審計(jì)報(bào)告的觀點(diǎn)基礎(chǔ)上提出審計(jì)師是否愿意出具審計(jì)報(bào)告也是自愿性披露的影響因素之一，四大會(huì)計(jì)師事務(wù)所均比本土事務(wù)所表現(xiàn)出更高的獨(dú)立性水平和職業(yè)謹(jǐn)慎態(tài)度，越不愿意為有內(nèi)控審計(jì)需求的公司的內(nèi)部控制提供高水平的保證。其研究還證實(shí)了內(nèi)控制質(zhì)量高的公司接受高水平鑒證服務(wù)的主要?jiǎng)訖C(jī)是對(duì)外釋放信號(hào)和降低成本。韓彬、陳麗蓉（2015）通過(guò)對(duì)2011至2013年的主板上市公司數(shù)據(jù)進(jìn)行檢驗(yàn)，以競(jìng)爭(zhēng)戰(zhàn)略這一新視角為切入點(diǎn)探索內(nèi)部控制審計(jì)的自發(fā)性需求，發(fā)現(xiàn)成本領(lǐng)先戰(zhàn)略與自愿性內(nèi)控審計(jì)之間存在顯著的正相關(guān)關(guān)系。二位學(xué)者認(rèn)為內(nèi)部控制審計(jì)所發(fā)揮的“補(bǔ)充”控制作用可以使實(shí)施成本領(lǐng)先戰(zhàn)略的企業(yè)發(fā)現(xiàn)內(nèi)部控制的漏洞，修正內(nèi)控缺陷以為成功實(shí)施戰(zhàn)略提供保障。此外，陳麗蓉、韓彬（2015）的實(shí)證結(jié)果表明了公司是否承擔(dān)社會(huì)責(zé)任也會(huì)影響內(nèi)控審計(jì)報(bào)告的出具和披露意愿。信號(hào)傳遞動(dòng)機(jī)是自愿性內(nèi)部控制審計(jì)的主要影響因素。強(qiáng)制要求的過(guò)渡階段有關(guān)自愿出具和披露內(nèi)控審計(jì)報(bào)告的實(shí)證研究一般都剔除了納入強(qiáng)制性要求范圍的樣本數(shù)據(jù)，因此實(shí)證結(jié)果的可信度較高。進(jìn)入全面執(zhí)行階段后，同國(guó)外一樣，我國(guó)不存在影響內(nèi)部控制審計(jì)實(shí)施的因素。

摘要：結(jié)合信息安全等級(jí)保護(hù)三級(jí)要求，分析銀川河?xùn)|機(jī)場(chǎng)氣象網(wǎng)絡(luò)配置和拓?fù)浣Y(jié)構(gòu)，查找現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)缺點(diǎn)，對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化。使用防火墻防病毒模塊和入侵檢測(cè)模塊對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，設(shè)置控制策略控制用戶訪問行為。采用日志系統(tǒng)對(duì)訪問重要設(shè)備的終端進(jìn)行記錄和分析，借助審計(jì)系統(tǒng)審核終端用戶行為，通過(guò)設(shè)定規(guī)則拒絕非法用戶訪問。

關(guān)鍵詞：信息安全；入侵檢測(cè)；控制策略；日志系統(tǒng)

隨著氣象業(yè)務(wù)的不斷發(fā)展，氣象設(shè)備的數(shù)量不斷增加，氣網(wǎng)絡(luò)面臨較大的運(yùn)行壓力，同時(shí)由于業(yè)務(wù)需求，部分氣象系統(tǒng)連接到互聯(lián)網(wǎng)，通過(guò)無(wú)線網(wǎng)絡(luò)接入到運(yùn)行網(wǎng)絡(luò)中，給運(yùn)行業(yè)務(wù)帶來(lái)比較大的安全風(fēng)險(xiǎn)。近年來(lái)，網(wǎng)絡(luò)安全越來(lái)越受到重視，信息系統(tǒng)安全等級(jí)三級(jí)[1，2]更是對(duì)網(wǎng)絡(luò)結(jié)構(gòu)安全[3-5]、安全審計(jì)、訪問控制[6-8]等方面提出了進(jìn)一步的要求。在這種背景下，同時(shí)結(jié)合氣象網(wǎng)絡(luò)安全三級(jí)等保要求，制定合理的安全策略，使用NAT[9,10]技術(shù)，隱藏內(nèi)部真實(shí)地址，建立合法登錄用戶檔案，拒絕非法登錄，構(gòu)建一個(gè)具有較強(qiáng)防護(hù)能力的防御系統(tǒng)。

1基于信息安全的網(wǎng)絡(luò)整體規(guī)劃

1.1防火墻設(shè)計(jì)

本次設(shè)計(jì)目標(biāo)根據(jù)氣象業(yè)務(wù)需求，對(duì)不同安全等級(jí)的網(wǎng)絡(luò)進(jìn)行隔離，在網(wǎng)絡(luò)層進(jìn)行安全防護(hù)部署，設(shè)置不同安全區(qū)域，每個(gè)安全區(qū)域根據(jù)安全等級(jí)進(jìn)行相應(yīng)的防護(hù)設(shè)置，提高網(wǎng)絡(luò)安全性，設(shè)計(jì)具體目標(biāo)如下：（1）對(duì)氣象數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行分層隔離保護(hù)，數(shù)據(jù)庫(kù)服務(wù)器區(qū)域設(shè)置為安全級(jí)別較高的trust區(qū)域，其他數(shù)據(jù)流根據(jù)等級(jí)設(shè)置成dmz、untrust區(qū)域。外部終端獲取數(shù)據(jù)庫(kù)數(shù)據(jù)是通過(guò)防火墻映射地址進(jìn)行訪問，防火墻安全策略中設(shè)置控制策略，禁止非法用戶訪問，網(wǎng)絡(luò)拓?fù)鋱D如圖1所示：防火墻安全區(qū)域設(shè)置，服務(wù)器設(shè)置區(qū)域?yàn)閠rust區(qū)域，內(nèi)網(wǎng)設(shè)置為dmz區(qū)域，互聯(lián)網(wǎng)網(wǎng)段為untrust區(qū)域，根據(jù)氣象網(wǎng)絡(luò)不同系統(tǒng)業(yè)務(wù)接口規(guī)劃安全區(qū)域，并設(shè)置各個(gè)區(qū)域間訪問控制策略。訪問控制設(shè)置，默認(rèn)下防火墻所有區(qū)域間的安全策略動(dòng)作設(shè)置為拒絕，僅允許通過(guò)策略設(shè)置放行的流量，其余均拒絕；根據(jù)業(yè)務(wù)運(yùn)行變化，定期更新訪問控制策略，對(duì)控制策略進(jìn)行調(diào)整優(yōu)化；配置防火墻訪問控制策略，實(shí)現(xiàn)流量控制。升級(jí)最新的防病毒模塊和入侵檢測(cè)模塊，檢測(cè)惡意代碼。安全審計(jì)模塊，連接審計(jì)系統(tǒng)，對(duì)訪問服務(wù)器的用戶行為進(jìn)行安全審計(jì)和監(jiān)控；日志系統(tǒng)，連接日志系統(tǒng)，對(duì)訪問服務(wù)器的設(shè)備信息、用戶信息進(jìn)行記錄，具體設(shè)計(jì)見表1：（2）配置思路及配置命令對(duì)防火墻USG6000進(jìn)行配置，設(shè)置接口IP地址和安全區(qū)域，根據(jù)業(yè)務(wù)運(yùn)行配置安全策略，放行可信用戶，禁止非法用戶。配置內(nèi)部服務(wù)器，映射服務(wù)器訪問地址。配置路由器接口地址和OSPF動(dòng)態(tài)協(xié)議，配置核心交換機(jī)端口鏡像以進(jìn)行流量審計(jì)，配置日志輸出功能，具體配置如下：

1.2日志系統(tǒng)配置

摘要：結(jié)合信息安全等級(jí)保護(hù)三級(jí)要求，分析銀川河?xùn)|機(jī)場(chǎng)氣象網(wǎng)絡(luò)配置和拓?fù)浣Y(jié)構(gòu)，查找現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)缺點(diǎn)，對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化。使用防火墻防病毒模塊和入侵檢測(cè)模塊對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，設(shè)置控制策略控制用戶訪問行為。采用日志系統(tǒng)對(duì)訪問重要設(shè)備的終端進(jìn)行記錄和分析，借助審計(jì)系統(tǒng)審核終端用戶行為，通過(guò)設(shè)定規(guī)則拒絕非法用戶訪問。

關(guān)鍵詞：信息安全；入侵檢測(cè)；控制策略；日志系統(tǒng)

隨著氣象業(yè)務(wù)的不斷發(fā)展，氣象設(shè)備的數(shù)量不斷增加，氣網(wǎng)絡(luò)面臨較大的運(yùn)行壓力，同時(shí)由于業(yè)務(wù)需求，部分氣象系統(tǒng)連接到互聯(lián)網(wǎng)，通過(guò)無(wú)線網(wǎng)絡(luò)接入到運(yùn)行網(wǎng)絡(luò)中，給運(yùn)行業(yè)務(wù)帶來(lái)比較大的安全風(fēng)險(xiǎn)。近年來(lái)，網(wǎng)絡(luò)安全越來(lái)越受到重視，信息系統(tǒng)安全等級(jí)三級(jí)[1，2]更是對(duì)網(wǎng)絡(luò)結(jié)構(gòu)安全[3-5]、安全審計(jì)、訪問控制[6-8]等方面提出了進(jìn)一步的要求。在這種背景下，同時(shí)結(jié)合氣象網(wǎng)絡(luò)安全三級(jí)等保要求，制定合理的安全策略，使用NAT[9,10]技術(shù)，隱藏內(nèi)部真實(shí)地址，建立合法登錄用戶檔案，拒絕非法登錄，構(gòu)建一個(gè)具有較強(qiáng)防護(hù)能力的防御系統(tǒng)。

1基于信息安全的網(wǎng)絡(luò)整體規(guī)劃

1.1防火墻設(shè)計(jì)

本次設(shè)計(jì)目標(biāo)根據(jù)氣象業(yè)務(wù)需求，對(duì)不同安全等級(jí)的網(wǎng)絡(luò)進(jìn)行隔離，在網(wǎng)絡(luò)層進(jìn)行安全防護(hù)部署，設(shè)置不同安全區(qū)域，每個(gè)安全區(qū)域根據(jù)安全等級(jí)進(jìn)行相應(yīng)的防護(hù)設(shè)置，提高網(wǎng)絡(luò)安全性，設(shè)計(jì)具體目標(biāo)如下：

（1）對(duì)氣象數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行分層隔離保護(hù)，數(shù)據(jù)庫(kù)服務(wù)器區(qū)域設(shè)置為安全級(jí)別較高的trust區(qū)域，其他數(shù)據(jù)流根據(jù)等級(jí)設(shè)置成dmz、untrust區(qū)域。外部終端獲取數(shù)據(jù)庫(kù)數(shù)據(jù)是通過(guò)防火墻映射地址進(jìn)行訪問，防火墻安全策略中設(shè)置控制策略，禁止非法用戶訪問，網(wǎng)絡(luò)拓?fù)鋱D如圖1所示：防火墻安全區(qū)域設(shè)置，服務(wù)器設(shè)置區(qū)域?yàn)閠rust區(qū)域，內(nèi)網(wǎng)設(shè)置為dmz區(qū)域，互聯(lián)網(wǎng)網(wǎng)段為untrust區(qū)域，根據(jù)氣象網(wǎng)絡(luò)不同系統(tǒng)業(yè)務(wù)接口規(guī)劃安全區(qū)域，并設(shè)置各個(gè)區(qū)域間訪問控制策略。訪問控制設(shè)置，默認(rèn)下防火墻所有區(qū)域間的安全策略動(dòng)作設(shè)置為拒絕，僅允許通過(guò)策略設(shè)置放行的流量，其余均拒絕；根據(jù)業(yè)務(wù)運(yùn)行變化，定期更新訪問控制策略，對(duì)控制策略進(jìn)行調(diào)整優(yōu)化；配置防火墻訪問控制策略，實(shí)現(xiàn)流量控制。升級(jí)最新的防病毒模塊和入侵檢測(cè)模塊，檢測(cè)惡意代碼。安全審計(jì)模塊，連接審計(jì)系統(tǒng)，對(duì)訪問服務(wù)器的用戶行為進(jìn)行安全審計(jì)和監(jiān)控；日志系統(tǒng)，連接日志系統(tǒng)，對(duì)訪問服務(wù)器的設(shè)備信息、用戶信息進(jìn)行記錄，具體設(shè)計(jì)見表1：

摘要：審計(jì)準(zhǔn)則是判定注冊(cè)會(huì)計(jì)師過(guò)錯(cuò)的依據(jù)。風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)準(zhǔn)則對(duì)審計(jì)程序僅作原則性規(guī)定，導(dǎo)致只要存在會(huì)計(jì)信息重大錯(cuò)報(bào)沒有被發(fā)現(xiàn)，注冊(cè)會(huì)計(jì)師就會(huì)被認(rèn)定為存在過(guò)錯(cuò)。審計(jì)準(zhǔn)則的作用應(yīng)該是合理確定注冊(cè)會(huì)計(jì)師的工作界限。審計(jì)準(zhǔn)則應(yīng)該實(shí)行規(guī)則導(dǎo)向，對(duì)審計(jì)程序作出明確的、具體的規(guī)定，而應(yīng)用指南、問題解答和指導(dǎo)性案例應(yīng)實(shí)現(xiàn)風(fēng)險(xiǎn)導(dǎo)向。為了保證審計(jì)準(zhǔn)則的法律地位不被質(zhì)疑，應(yīng)該采用激勵(lì)的方式提高審計(jì)質(zhì)量。

關(guān)鍵詞：注冊(cè)會(huì)計(jì)師；審計(jì)準(zhǔn)則；規(guī)則導(dǎo)向；風(fēng)險(xiǎn)導(dǎo)向；審計(jì)質(zhì)量

一、問題的提出

隨著我國(guó)市場(chǎng)經(jīng)濟(jì)體制的不斷完善，市場(chǎng)主體在經(jīng)濟(jì)交易中對(duì)會(huì)計(jì)信息的依賴逐漸增強(qiáng)，對(duì)審計(jì)的需求不斷增加，審計(jì)侵權(quán)責(zé)任必將成為社會(huì)各界普遍關(guān)注的問題。審計(jì)侵權(quán)責(zé)任是過(guò)錯(cuò)責(zé)任，如何判定注冊(cè)會(huì)計(jì)師過(guò)錯(cuò)是正確追究審計(jì)侵權(quán)責(zé)任的關(guān)鍵。對(duì)于判定注冊(cè)會(huì)計(jì)師過(guò)錯(cuò)的依據(jù)問題，也就是審計(jì)準(zhǔn)則的法律地位問題，過(guò)去曾經(jīng)有過(guò)兩種截然不同的觀點(diǎn)。第一種觀點(diǎn)認(rèn)為審計(jì)準(zhǔn)則是行業(yè)協(xié)會(huì)制訂的內(nèi)部自律性規(guī)則，不能作為注冊(cè)會(huì)計(jì)師注意義務(wù)的法定標(biāo)準(zhǔn)，也不能作為審計(jì)失敗的抗辯依據(jù)。第二種觀點(diǎn)認(rèn)為審計(jì)準(zhǔn)則是財(cái)政部制訂的法規(guī)，注冊(cè)會(huì)計(jì)師嚴(yán)格遵守了審計(jì)準(zhǔn)則而未能發(fā)現(xiàn)會(huì)計(jì)信息重大錯(cuò)報(bào)的，不用承擔(dān)法律責(zé)任。自從《最高人民法院關(guān)于審理涉及會(huì)計(jì)師事務(wù)所在審計(jì)業(yè)務(wù)活動(dòng)中民事侵權(quán)賠償案件的若干規(guī)定》（法釋［2007］12號(hào)，以下簡(jiǎn)稱《若干規(guī)定》）將審計(jì)準(zhǔn)則納入法律程序范疇作為判定注冊(cè)會(huì)計(jì)師過(guò)錯(cuò)的依據(jù)后，對(duì)審計(jì)準(zhǔn)則法律地位問題的爭(zhēng)議似乎銷聲匿跡了。我國(guó)的審計(jì)準(zhǔn)則分為規(guī)則導(dǎo)向和風(fēng)險(xiǎn)導(dǎo)向兩個(gè)階段。規(guī)則導(dǎo)向的審計(jì)準(zhǔn)則是指財(cái)政部在2006年之前分批的《獨(dú)立審計(jì)準(zhǔn)則》，對(duì)審計(jì)程序作了詳細(xì)、具體的規(guī)定，注冊(cè)會(huì)計(jì)師謹(jǐn)慎執(zhí)行了規(guī)定的審計(jì)程序就必定等同于遵循了審計(jì)準(zhǔn)則?！度舾梢?guī)定》中所指的審計(jì)準(zhǔn)則是尚未實(shí)行風(fēng)險(xiǎn)導(dǎo)向的《獨(dú)立審計(jì)準(zhǔn)則》，作為判定注冊(cè)會(huì)計(jì)師過(guò)錯(cuò)的依據(jù)是沒有疑問的。風(fēng)險(xiǎn)導(dǎo)向的審計(jì)準(zhǔn)則是2007年開始施行的審計(jì)準(zhǔn)則。2016年1月7日，中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)修訂審計(jì)報(bào)告相關(guān)準(zhǔn)則的征求意見稿，涉及7項(xiàng)審計(jì)準(zhǔn)則。這次審計(jì)準(zhǔn)則的修訂是對(duì)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)準(zhǔn)則的完善和國(guó)際趨同。例如本次審計(jì)準(zhǔn)則最重要的修訂內(nèi)容是要求注冊(cè)會(huì)計(jì)師在上市實(shí)體審計(jì)報(bào)告中增加關(guān)鍵審計(jì)事項(xiàng)，然而，

（1）哪些事項(xiàng)構(gòu)成關(guān)鍵審計(jì)事項(xiàng)取決于注冊(cè)會(huì)計(jì)師的判斷；

（2）同一項(xiàng)關(guān)鍵審計(jì)事項(xiàng)，因?yàn)椴煌?cè)會(huì)計(jì)師有不同的判斷，該事項(xiàng)可能在審計(jì)報(bào)告的“關(guān)鍵審計(jì)事項(xiàng)”中進(jìn)行描述，也可能在“導(dǎo)致非無(wú)保留意見的事項(xiàng)”或“與持續(xù)經(jīng)營(yíng)相關(guān)的重大不確定性”中描述。本次修訂可能解決了當(dāng)前審計(jì)報(bào)告信息含量低、相關(guān)性差等問題，但是不能解決風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)準(zhǔn)則無(wú)法作為判定注冊(cè)會(huì)計(jì)師過(guò)錯(cuò)依據(jù)的問題。風(fēng)險(xiǎn)導(dǎo)向的審計(jì)準(zhǔn)則主要規(guī)定一些審計(jì)原則、目標(biāo)和方向，強(qiáng)調(diào)注冊(cè)會(huì)計(jì)師職業(yè)判斷，沒有明確的、可供直接操作的審計(jì)程序規(guī)定，是否還可以繼續(xù)納入法律程序范疇，并將其作為判定注冊(cè)會(huì)計(jì)師過(guò)錯(cuò)的依據(jù)，值得商榷。

二、風(fēng)險(xiǎn)導(dǎo)向的審計(jì)準(zhǔn)則產(chǎn)生的新問題

1口令安全規(guī)則

Windows2003在用戶設(shè)定系統(tǒng)口令時(shí)不作口令安全規(guī)則檢查，用戶為了使用方便，往往設(shè)置很簡(jiǎn)單的口令，這樣容易造成口令安全的問題。可以專門增設(shè)口令安全規(guī)則檢查組件，在用戶設(shè)定系統(tǒng)口令時(shí)進(jìn)行口令符合安全規(guī)則的檢查。當(dāng)用戶輸入不符合規(guī)則的口令時(shí)，系統(tǒng)向用戶指出，并建議用戶更改，否則拒絕用戶使用簡(jiǎn)單的口令。在進(jìn)行安全規(guī)則設(shè)定時(shí)，我們可將規(guī)則進(jìn)行分級(jí)，按照應(yīng)用要求進(jìn)行不同強(qiáng)度的規(guī)則劃分。不同等級(jí)強(qiáng)度采用不同的安全規(guī)則進(jìn)行檢查。若1個(gè)用戶為系統(tǒng)管理員，則應(yīng)設(shè)為最高級(jí)，進(jìn)行最強(qiáng)的安全規(guī)則檢查。若用戶為1個(gè)普通用戶，可根據(jù)系統(tǒng)對(duì)這類用戶的安全要求作相應(yīng)等級(jí)的安全規(guī)則檢查。

2口令文件保護(hù)

為了加強(qiáng)口令文件的安全，現(xiàn)在都使用了結(jié)合隨機(jī)數(shù)加密口令的方式，有效防止了預(yù)處理字典攻擊。作為進(jìn)一步的改進(jìn)，可以將Windows2003的口令文件管理SAM進(jìn)行擴(kuò)展，在創(chuàng)建新用戶時(shí)，采集每個(gè)用戶的生物特征信息替代上面的隨機(jī)數(shù)，將生物特征代碼與用戶口令合成，再加密生成加密數(shù)據(jù)存貯在口令文件相應(yīng)位置。這樣也可防范預(yù)處理字典攻擊，同時(shí)，由于生物特征與每1個(gè)人和用戶名相對(duì)應(yīng)，這樣用戶不可能否認(rèn)該帳號(hào)不是他的，可提供抗抵賴證據(jù)。

3訪問控制

Window2003的訪問控制采用了自主訪問方式，具有較好的靈活性和易用性，同時(shí)有些安全組件己經(jīng)實(shí)現(xiàn)了Bl級(jí)的部份安全要求，如安全標(biāo)識(shí)功能。因此我們可以充分利用現(xiàn)有的安全組件，增設(shè)相應(yīng)的強(qiáng)制訪問控制管理機(jī)制。系統(tǒng)首先執(zhí)行強(qiáng)制訪問控制來(lái)檢查用戶是否擁有權(quán)限訪問1個(gè)文件組，然后再針對(duì)該組中的各個(gè)文件制定相關(guān)的訪問控制列表，進(jìn)行自主訪問控制，使系統(tǒng)中主體對(duì)客體的訪問要同時(shí)滿足強(qiáng)制訪問控制和自主訪問控制檢查。

4文件管理