信息系统审计第9章

1、2022-3-24信息系统审计1信息系统审计信息系统审计 主讲：主讲： 陈耿陈耿 2022-3-24信息系统审计29 电子商务审计电子商务审计 电子商务审计是信息系统真实性审计。电子商务审计是信息系统真实性审计。结合案例讨论：结合案例讨论： 1、安然公司是如何利用电子商务舞弊的？、安然公司是如何利用电子商务舞弊的？ 2、财务审计为什么不能发现这些舞弊？、财务审计为什么不能发现这些舞弊？ 3、电子商务的安全性体现在哪些方面？、电子商务的安全性体现在哪些方面？ 4、财务报表的真实性与电子商务真实性的关系？、财务报表的真实性与电子商务真实性的关系？ 2022-3-24信息系统审计39 电子商务审计电

2、子商务审计 一、信息系统审计的发展演化一、信息系统审计的发展演化 二、电子商务安全审计二、电子商务安全审计 三、电子商务真实性审计三、电子商务真实性审计 2022-3-24信息系统审计49.1电子商务概述电子商务概述 1、电子商务的定义、电子商务的定义 ： （1）以互联网为主要平台，各种现代化信息技术为支撑；）以互联网为主要平台，各种现代化信息技术为支撑； （2）以电子信息的传输来实现各种商务活动（包括商品交换，）以电子信息的传输来实现各种商务活动（包括商品交换，提供服务与信息，资金交割等）。提供服务与信息，资金交割等）。 2022-3-24信息系统审计59.1电子商务概述电子商务概述 2、电

3、子商务的形成：、电子商务的形成： 电子商务的形成于发展是技术发展和政府推动共同作用的电子商务的形成于发展是技术发展和政府推动共同作用的结果，二者相辅相成，缺一不可。结果，二者相辅相成，缺一不可。 （1）技术的发展）技术的发展 （2）政府的推动）政府的推动 2022-3-24信息系统审计69.1电子商务概述电子商务概述 3、我国电子商务的发展、我国电子商务的发展 ： （1） 从从1990年至年至1993年，开展了基于年，开展了基于EDI的电子商务应的电子商务应用阶段。用阶段。 （2）从）从1993年至年至1997年，政府领导组织开展年，政府领导组织开展“三金工程三金工程”阶段，为电子商务发展打基

4、础。阶段，为电子商务发展打基础。 （3）自）自1998年开始进入互联网电子商务发展阶段。年开始进入互联网电子商务发展阶段。 （ 4）2000年后，我国的基于互联网的电子商务进入了务年后，我国的基于互联网的电子商务进入了务实发展阶段。实发展阶段。 2022-3-24信息系统审计79.1电子商务概述电子商务概述 4、电子商务的类型、电子商务的类型 ： 企业对企业（企业对企业（B2B） 企业对消费者（企业对消费者（B2C） 企业对政府机构（企业对政府机构（B2G） 2022-3-24信息系统审计89.1电子商务概述电子商务概述 5、电子商务的体系架构、电子商务的体系架构 ： 三层框架结构三层框架结构

5、 ，即基础层，技术层，应用层，即基础层，技术层，应用层应用层： 电子商务应用系统技术层：认证中心支付网关/客户服务中心基础层： 网络2022-3-24信息系统审计99.1电子商务概述电子商务概述 6、电子商务对审计的影响、电子商务对审计的影响 ： 由于电子商务的虚拟化、数字化、匿名化、无国界和由于电子商务的虚拟化、数字化、匿名化、无国界和支付方式电子化等特点，使其交易情况大多数被转换为支付方式电子化等特点，使其交易情况大多数被转换为“数据流数据流”在网络中传送，增加了操作隐蔽性和复杂度，在网络中传送，增加了操作隐蔽性和复杂度，提高了企业舞弊的动机，也降低了审计师的鉴证能力。提高了企业舞弊的动机

6、，也降低了审计师的鉴证能力。 2022-3-24信息系统审计109.2 电子商务安全审计电子商务安全审计 1、电子商务的安全问题、电子商务的安全问题 ： （1）交易信息保密）交易信息保密 （2）交易者身份确认）交易者身份确认 （3）交易不可否认）交易不可否认 （4）交易记录不可修改）交易记录不可修改2022-3-24信息系统审计119.2 电子商务安全审计电子商务安全审计 2、SSL协议协议 ：该协议向基于该协议向基于TCP/IP的客户的客户/服务器应用程序提供了客户服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全。端与服务的鉴别、数据完整性及信息机密性等安全。2022-3

7、-24信息系统审计129.2 电子商务安全审计电子商务安全审计 3、SET协议协议 ：SET协议保证了电子交易的机密性、数据完整性、身份的协议保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性。合法性和抗否认性。2022-3-24信息系统审计139.2 电子商务安全审计电子商务安全审计 4、其他电子商务信息安全协议、其他电子商务信息安全协议 ： 安全超文本传输协议（安全超文本传输协议（S-HTTP） 安全交易技术协议（安全交易技术协议（STT） UN/EDIFACT标准标准 电子交换贸易数据统一行为守则电子交换贸易数据统一行为守则（UNCID） 2022-3-24信息系统审计149.2

8、 电子商务安全审计电子商务安全审计 5、数字证书、数字证书 ：数字证书是用电子手段来证实一个用户的身份和对网络资源的数字证书是用电子手段来证实一个用户的身份和对网络资源的访问权限。证书就是一份文档，记录了用户的公开密钥和其他访问权限。证书就是一份文档，记录了用户的公开密钥和其他身份信息。身份信息。 2022-3-24信息系统审计159.2 电子商务安全审计电子商务安全审计 6、PKI体系体系 ：2022-3-24信息系统审计169.2 电子商务安全审计电子商务安全审计 审计内容审计内容 ： 1、电子商务。包含在使用公共网络的电子商务中的信息应、电子商务。包含在使用公共网络的电子商务中的信息应受

9、保护，以防止欺诈活动、合同争议和未授权的泄露和修改。受保护，以防止欺诈活动、合同争议和未授权的泄露和修改。 2、在线交易。包含在在线交易中的信息应受保护，以防止、在线交易。包含在在线交易中的信息应受保护，以防止不完全传输、错误路由、未授权的消息篡改、未授权的泄露、不完全传输、错误路由、未授权的消息篡改、未授权的泄露、未授权的消息复制或重放。未授权的消息复制或重放。 3、公共可用信息。在公共可用系统中可用信息的完整性应、公共可用信息。在公共可用系统中可用信息的完整性应受保护，以防止未授权的修改受保护，以防止未授权的修改2022-3-24信息系统审计179.3 电子商务真实性审计电子商务真实性审计

10、 1、电子商务的支付过程、电子商务的支付过程 ： 电子商务涉及信息流、物流和资金流，其中核心是资金流。电子商务涉及信息流、物流和资金流，其中核心是资金流。2022-3-24信息系统审计189.3 电子商务真实性审计电子商务真实性审计 电子商务的支付过程电子商务的支付过程 防火墙网关机网关机防火墙电子商务应用 认证中心企业A企业B企业B开户银行企业A开户银行2022-3-24信息系统审计199.3 电子商务真实性审计电子商务真实性审计 2、认证中心：、认证中心： 是构建在公钥基础设施基础之上的发放、管理、废除数字证是构建在公钥基础设施基础之上的发放、管理、废除数字证书的第三方可信机构（书的第三方

11、可信机构（trusted third party）2022-3-24信息系统审计209.3 电子商务真实性审计电子商务真实性审计 认证中心认证中心 防火墙用户CA管理员认证中心2022-3-24信息系统审计219.3 电子商务真实性审计电子商务真实性审计 3、电子支付方式、电子支付方式 ： 电子现金电子现金 电子支票电子支票 电子信用卡电子信用卡2022-3-24信息系统审计229.3 电子商务真实性审计电子商务真实性审计 4、审计线索、审计线索 ： 数字时间戳（数字时间戳（digital times-tamp） 数字签名（数字签名（digital signature） 2022-3-24信息系统审计239.3 电子商务真实性审计电子商务真实性审计 审计内容审计内容 ： 1、电子商务的真实性。通过被审计企业的电子商务系统的日志、电子商务的真实性。通过被审计企业的电子商务系统的日志文件与从认证中心获取数字时间戳等信息进行核对。同时，提取数文件与从认证中心获取数字时间戳等信息进行核对。同时，提取数字签名以验证交易信息的完整性和是否被修改。通过上述两方面的字签名以验证交易信息的完整性和是否被修改。通过上述两方面的审核以确认电子交易的真实性。审核以确认电子交易的真实性。 2、电子支付的真实性。通过银行核实电子支付的真实性。、电子支付的真实性。通过银行核实电子支付的真实