信息化审计的技术基础知识

1、内部审计计算机 应用技术 柳絮 广东外语外贸大学 教授 博士 广州铭太信息科技有限公司 董事长一、信息技术发展简史人类信息文明发展的进程1、语言的产生2、文字的产生3、印刷术的产生4、电话电报技术的产生5、集成电路和计算机技术的发明6、现代通讯技术的进步7、计算机网络和Internet的产生一、信息技术发展简史1946年，美国诞生了世界上第一台电子计算机“ENIAC”，当时用了17000多个电子管，70000个电阻，10000个电容和6000个开关，重约30吨，每秒可进行5000次加法运算。在IT产业中著名的摩尔定律（Moores Law）：每18个月，集成度翻番，处理速度提高一倍，价格下降一

2、半。并行处理技术使计算能力每2年提高一个数量级，到2005年将达到每秒千万亿次级。一、信息技术发展简史过去10年间，光纤的传输速率几乎每年翻一番，近两年达到每半年翻一番。密集波分复用技术实现了超大容量光传输，在单一光纤上传输80Gb/s的系统已经商用，预计5-10年内可以达到太位级。计算机网络技术的产生计算机网络是计算机技术和现代通信技术的有机结合。计算机网络技术的发展是一个螺旋式上升发展的过程：由信息中心到分布式处理再到数据中心。审计信息化的发展经历了三个阶段： 1.依赖对实用工具，应用软件的使用如文字编辑软件，表格制作软件，数据采集分析软件，审计软件等等。 在这个阶段，许多单位都用计算机建

3、立起了资料库，法规库，实现了办公自动化。审计信息化的发展经历了三个阶段：2.侧重技术方法层面的探索 单纯依赖现有的使用工具，应用软件开展计算机辅助审计-灵活性差，针对性不强，难以应对千变万化的情况-弊病越来越明显。 引入大型数据库技术，对电子数据的采集，转换和清理技术日渐成熟. 数据采集的事业拓展了内审的发展，不仅采集内部数据，而且采集与审计事项相关的外部数据；开始探索研究审计中间表创建技术，审计分析模型构建技术等等。审计信息化的发展经历了三个阶段：3.以系统论为指导的计算机审计方式的形成 审计机关在大量实践的基础上总结出了一整套规范化的计算机审计作业流程； 数据审计的普及和提高，并与信息系统

4、审计紧密结合，把底层数据和信息系统作为审计取证的切入点；单机审计模式，局域网络审计模式和网上设计模式等多种作业模式同时并存，适用于不同的计算机审计项目；建立了具有我国自己独立知识产权的技术和方法，如审计中间表法、计算机审计质量控制模型；总结提炼出了计算机审计规则，对计算机审计进行规范和指引；计算机审计项目的组织和管理模式发生了巨大变化；审计的数字化建设正在进行中；一支既精通审计业务又掌握计算机技术的复合型人才队伍正在茁壮成长。二.审计数字化的概念 审计数字化是审计信息化的技术基础。只有实现了审计数字化，才能真正实现以计算机处理为基础的审计信息化，提升审计信息化的水平和层次。（一）审计数字化的含

5、义审计数字化是指把所有原始信息，包括字符，数字，文字，声音，图形，图像等，采用数字技术对其进行加工处理，存储和表示的过程。审计数字化就是以数字技术为手段，实现包括审计业务，管理在内的各类审计信息的数字化，以促进信息的交流和实时共享，使审计资源得到充分优化和利用。（二）审计数字化的特点审计数字化的特点具有以下四个特点：数字化： 审计信息数字化集成化： 审计信息资源进行集成化的组织，管理和存储，杜绝审计信息的无序状态。共享化：各类审计信息资源能够及时地更新，并且可以使审计人员之间实现高度共享，快速传递和实时交流。知识化：处于不断“学习，记忆，适应，优化”的状态，形成一种“发现知识-利用知识-产生新

6、知识-知识积累”的良性循环之中，成为知识型和学习型的审计组织和人员。三.信息化对内部审计的影响 （一）审计风险的增加网络的开放性：会计信息资源共享，会计资料被非法修改和窃取；传统控制方式的改变：数据集中，方式改变，审计难度加大；外部对信息系统安全的威胁：病毒和黒客危害;传统财务信息介质的变化:传统账本被磁介质取代，磁介质的修改不留痕迹；传统审计证据的缺失：数据处理自动化，传统审计线索消失，审计证据隐蔽和易逝，加剧审计风险。（二）审计管理方式的变化 审计管理方式的改变主要表现为以下几个方面:1. 审计技术的更新。传统审计技术整逐渐被计算机审计等日益更新的信息技术所取代；2 审计方法的优化。信息技

7、术在信息存储，传递方面的优势，推动了审计分析技术，审计抽样技术等科学方法在审计领域的深入，广泛的使用，审计方法不断优化。3 审计程序的改变。使得内部审计可以交叉和同步完成。4 审计重点的改变。审计重点从查错纠弊向更高层次的风险管理，增值服务方面转变。5 审计方式的创新。网络技术使审计人员可以随时随地开展联网审计，使远程审计成为可能；审计方式也不断实现创新。四.信息与信息技术的概念 什么是“信息”？ 从广义上讲，信息是一个事物的运动状态以及运动状态形式的变化。它是一种客观存在，例如日出，日落，股市的涨跌等等，都是信息。 而狭义的“信息”是指信息接受主体所感觉到并被能理解的东西。 例如，某公司财务

8、报表上的各种数据，尽管它们是客观存在的，如果不能被人理解，就不是信息。 四.信息与信息技术的概念信息范围广大，人们可以通过电视，电话，报刊，网络等各种媒体，获取，加工和传递信息。 信息技术（IT）是指利用电子计算机和现代通信手段实现获取信息，传递信息，存储信息，处理信息，显示信息等的相关技术，主要包括传感技术，通信技术，计算机技术和控制技术等。四.信息与信息技术的概念 计算机作为一种通用的信息处理工具，由于其他处理速度快，存储容量大，互联互通能力强，被广泛应用于人类社会的各个领域，对人类社会的进步与发展产生了巨大的影响。 信息技术的迅速发展，极大的影响了内部审计的工作环境。计算机集成制造系统（

9、CIMS）、客户资源管理（CRM、）企业资源计划（ERP）、电子商务等的实施和应用改变了企业内部管理的和操作模式。五.数据与信息 根据国际标准化组织（ISO）对数据所下的定义是：“数据是对事实、概念或指令的一种特殊表达形式，这种特殊表达形式可以用人工的方式或者用自动化的装置进行通信、翻译转换或者进行加工处理。” 五.数据与信息 在通常意义下，数字、文字、图画、声音、图像等都可以认为是数据， 在用计算机处理这些数据的时候，必须将他们转换成二进制数的形式。 人们对数据进行系统组织、整理和分析，使其产生相关性，形成了信息。 数据与信息是难以区分的。有时信息本身已是数据化了的，数据本身就是一种信息。就

10、计算机的应用系统而言，“信息系统”、“数据处理系统”、等常常是指同一个概念。六、计算机系统的组成计算机系统硬件和软件两大部分组成的。计算机的硬件通常是指有形的物理设备，是计算机系统中所有实际物理装置的总称。软件是指在计算机中运行的各种程序和相关的数据及文档。硬件与软件的关系式相辅相存，密切相关的。计算机的硬件必须有软件的配合才能发挥作用，软件必须有硬件的支持才能运行；硬件是软件的工作基础，软件是硬件功能的扩充和完善，两者相互依存，相互促进。软件与硬件的结合，构成完整的计算机系统。计算机系统构成计算机系统构成： 硬件系统+软件系统 软件系统分为：系统软件: 是硬件与应用程序之间的接口. 应用软件

11、: 在系统软件的支持下工作. 硬件系统操作系统系统软件应用程序计算机系统构成示意图用户 （二）计算机系统的组成 1.硬件 计算机硬件从逻辑结构上（功能上）来说，计算机硬件主要包括中央处理器，内存储器，外存储器，输入设备和输出设备等 1.中央处理器 中央处理器CPU中央处理器-承担系统软件和应用软件运行处理中央处理器是任何一台计算机必不可少的核心组成部件，由大规模集成电路制成，具有运算和控制功能。 使用多个CPU实现超高速计算的技术称为“并行处理”，采用此技术的计算机统称为“多处理器系统”。2.存储器 计算机的存储器是用来存储程序和数据的部件；计算机的存储器内存储器和外存储器。 内存储器用于临时

12、存放CPU正在运行的程序，准备处理的数据以及产生的结果数据。 性能特点：存取速度快，容量相对小，价格相对高；直接与CPU相连接，CPU可直接访问。 内存储器又分随机取存储器和只读存储器。 外存储器用于永久性地存放计算机的信息，存取速度较慢而容量相对较大。常用的有磁盘，光盘，U盘和移动硬盘等。3.输入设备 用来向计算机输入信息的设备称为输入设备。常见的设备有键盘，鼠标，扫描仪，数码相机，麦克风等。4.输出设备 把信息送出计算机的过程叫做输出，计算机的输出可以使文本，声音，图形和图像，动画等多种形式。完成信息输出的设备称为输出设备。常见的输出设备有显示器，打印机，绘图仪，音箱等。计算机软件 硬件是

13、有形的物理设备，软件是无形的。硬件只提供了实现各种功能的可能性，必须有支持和管理计算机的软件，系统才能实现各种功能。1.软件的含义。软件是指计算机运行所需的各种程序，数据及其文档。程序：是指示计算机去解决问题或完成任务的一组详细的，逐步执行的语句（或指令）序列。数据:是指程序所处理的对象及处理过程中所用的参数。文档：包括用户文档、开发文档、管理文档计算机软件系统软件系统系统软件应用软件操作系统:Windows, Unix, Linux语言处理程序: C, Pascal, VB 数据库管理系统: VFP, DB2,Oracle 实用程序: 诊断程序, 排错程序 办公软件包: Office, WP

14、S 图形/像处理软件: Photoshop 声/视频处理软件: Media Player 系统软件: 控制和维护计算机的正常运行, 管理计算机的各种资源, 以满足应用软件的需要.应用软件: 完成一个特定的任务. 在系统软件的支持下, 才能运行.4.1 操作系统操作系统: 用于管理和控制计算机所有的硬件和软件资源的一组程序.既是计算机硬件与其它软件的接口, 也是用户和计算机的接口.4.1.1 操作系统概述裸 机操 作 系 统应用程序主要功能有: 处理机管理 存储管理 设备管理 信息(文件)管理用户操作系统分类操作系统按用户数单用户操作系统多用户操作系统按用户界面命令行界面操作系统图形界面操作系统

15、按系统功能按任务数单任务操作系统分时操作系统实时操作系统网络操作系统多任务操作系统批处理系统DOS常用操作系统1. DOS: Microsoft公司研制的配置在 PC 机上,单用户, 单任务, 命令行界面的操作系统. 2. Windows: Microsoft公司研制的配置在 PC 机上, 单用户, 多任务, 图形用户界面的操作系统.Windows 98Windows NTWindows 2000Windows XPWindows XP Professional Windows XP Tablet PC Windows XP Home ）.常用操作系统介绍（3）Unix操作系统 Unix系统式

16、1969年在美国Bell实验室开发的。 （4）Linux操作系统 Linux操作系统的原创者是芬兰的一名青年者Linus Torvalds开发的。2、操作系统的主要作用提高系统资源利用率提供方便友好的用户界面提供软件开发的运行环境七.程序设计语言及语言处理系统1、 机器语言：是二进制代码形式的机器指令的集合，可直接被计算机执行。2、 汇编语言：借助于助记符来代替机器指令的操作码和操作数，比较直观。3、 高级语言：采用接近自然语言的方式描述具体解决问题的过程，又被称为算法语言。 常见的高级语言有以下几种： Fortran语言：用于数值计算领域，语言特点接近数学公式，简单易用。国际标准时Fortr

17、an95. Java语言：是Sun Microsystem公司于1995年5月公布的面向对象，用于网络环境的程序设计语言。 C和C+语言：C语言室1972至1973间由AT&T公司在bell实验室设计的。八.计算机软件的开发软件工程是采用工程化的概念，原理和技术，方法来开发和维护软件，包括方法，工具和过程三个方面。软件工程中最基本的概念是软件生命周期。软件生命周期是指软件产品或软件系统从产生，投入使用到被淘汰的全过程。将软件生命周期分为需求分析、系统设计、编码实现、系统测试、运行维护五个阶段。1.需求分析。需求分析阶段的任务是确定客户的需要系统必须做什么。需求分析是对目标系统实现的功能和性能以

18、及系统需求的运行环境等提出完整，准确，清晰，具体的要求，分析系统中的数据，并在分析的基础上用各种图形工具及简洁算法所描述系统详细的逻辑模型。2.系统设计系统设计分为总体设计和详细设计两部分。总体设计的主要任务，一是概要地给出系统实现的方法，划分出组成系统的物理元素；二是确定系统的软件结构，既组成系统的各个模块和模块之间的关系。详细设计要对软件结构图的每个模块所采用的逻辑关系进行分析，设计出全部必要的过程细节，并给出清晰的描述，从而在编码阶段可以把这个描述直接翻译成用某种程序设计语言书写的程序。3编码实现编码阶段的任务是选用适当的程序设计完成选定的语言。4系统测试系统测试阶段的任务通过各种类型的

19、测试，发现并改正软件存在的错误，使软件达到预定的要求，能够交付用户使用。5.运行维护运行维护是将系统投入运行，并对投入运行的软件进行修改能适应外界环境的变化。生命周期模型各阶段要提交的文档阶段提交文档需求分析软件需求规格说明书系统设计系统总体设计和详细设计说明书编码实现源程序清单和用户使用手册系统测试测试计划、测试报告运行维护系统维护问题报告、修改报告、维护手册九、计算机网络计算机网络把分布在不同地点且具有独立功能的多个计算机系统通过通信设备和线路连接起来，在功能完善的软件和协议的管理下实现网络中资源共享系统2.计算机网络：(1)计算机网络是“通信技术”与“计算机技术”的结合产物(2)数据交换

20、是基础，资源交换为目的 主机 终端 终端 主机 终端 主机 主机通信设备通信线路通信子网资源子网给你发E-mail计算机网络的功能打印文件mail共享资实现数据传输分布式数据处理我的东西丢失了！提高可靠性没关系！概 述源发E-mail网络协议打印文件mail喂，请用中文,慢一点！出错了，请重发！协议是指通信双方必须遵循的控制信息交换的规则之集合。语法语义定时规则概 述计算机网络的分类1、按距离分：广域网（WAN）几十几千公里局域网（ALN） 几米几公里城域网（MAN）（在WAN与LAN之间）2、按通讯介质分：有线网：（同轴电缆、双绞线、光纤）无线网：（无线电波）4、按通信协议分：CSMA/CD

21、协议网X.25协议网TCP/IP协议网3、按通讯速率分：低速网 （300bps1.4bps）中速网 （1.5bps45bps）高速网 50 bps以上局域网和广域网采用局域网，传输速率较高，误码率较低。组网方便，技术简单。传输距离远，传输速率较低，误码率较高。机制复杂。局域网 指十几公里的地理范围内将计算机、外设和通信设备互连在一起的网络系统。广域网 涉及的范围较大，通常可以达到几十公里、几百公里，甚至更远。计算机网络的类型（七）广域网1、电话网连接2、租用专线连接目前政府网，金融网，教育网等专用广域网中的主干线路大多租用电信局的专线。3、虚拟专网连接由于租用专线费用较高，很多机构采用虚拟专网

22、方式建设广域网，虚拟专网采用加密，身份鉴别等技术，在网络服务提供商的公用骨干网上建设一个逻辑上的专用网络，效果如同租用专线一样。Internet是全球性的、最具影响力的、信息资源最丰富的计算机互联网。1、Internet协会Internet协会是Internet最有权威的机构，机构设在美国。2、中国Internet的管理中国1994年进入Internet，1997年“中国互联网中心（CNNIC）”成立于北京，并授权中国科学院计算机中心运营和管理Internet (因特网)Internet的管理中国四大互联网：l中国科学技术网（CSTNET）l中国公用计算机互联网（CHINANET）l中国金桥信

23、息网（CHINAGBN）l中国教育和科研计算机网（CERNET）TCP/IP是一个协议的集合。它是Internet中计算机之间进行通信时必须共同遵循的一种通信规定。 Internet的语言TCP/IP协议StanfordHarvardYourComputerComputerEnglandJiangMenSingaporeInternet十、计算机网络的用途 1、数字通信（Digital Communication）两个世界：物理世界（连续的、模拟的、现实的世界）数字世界（二进制量、数字的、虚拟的世界）数字通信就是利用技术将模拟量转化为数字量，再利用计算机网络传输。 当前常见的应用： 网络电话（

24、IP Phone）是将话音压缩成数字信号，通过IP网络进行传输，再还原成话音。 视频会议（Video Conferencing）分两类：大型视频会议系统和桌面视频会议系统。 视频会议（Email Service） 大型视频会议系统MCU多媒体交换设备（象电话交换机）T视频终端（显示屏等） 桌面视频会议系统在大型视频会议系统的基础上出现的一种比较灵活的系统，价格比较便宜。只需要在普通的PC上装上一个电话卡、小摄像头、话筒，连上互联网即可。今后，还可以通过WAP（无线网络）使用手机对视频会议进行调度。 E-mail的优点： 成本低廉（1000字符的信息在E-mail上传送约花费人民币3厘钱） 一对

25、多传递（一个E-mail可以同时发送给很多的人） 传送速度快 性能价格比高 能实现多媒体传输2、分布式计算是指将若干台计算机通过网络连接起来，将一个程序分散到这几台计算机上去同时运行，然后把每台计算机计算的结果收集汇总到一起，整理出一个结果。（好像多个人抬一件大件物品）3、网络门户、IDC和ASP “门户（Portal）”的概念：提供这样一个大的统一环境，将各种信息分门别类放在这个环境的平台上，网上用户不用到很多地方，只要进入这个平台，就能找到所需要的相关信息。这种服务称为“门户服务”。IDC（Internet Date Center）：互联网数据中心。ASP（Application Serv

26、ice Provider）：网上应用服务提供商。 5、网上教育（Distance Learning，远程教育）利用Internet技术开发的远程教育系统，给人们提供了一个终身教育的机会。6、虚拟现实（Virtual Reality）反映了互联网上的和谐统一。“虚拟”本人并不在其中。“现实”感觉又象真的一样。7、电子商务（E-Commerce） 电子化的各种商业事务。8、家庭自动化（Smart-home）家庭保安智能化家电家庭影院 9、智能化楼宇（Intelligent Building） 十一、网络的标准体系 计算机网络的国际标准体系：ISO/OSI模型（International Stand

27、ards Organization/Open System Interconnection Refertence Model）（国际标准化组织/开放式系统互连参考模型）因特网的首选标准：TCP/IP协议族（Transmission Control Protocol/Internet Protocol）（传输控制协议/互连网协议）局域网标准集：IEEE-802.x标准（美国电气和电子工程师协会）TCP/IP网络协议TCP/IP的体系结构 TCP/IP也称为Internet分层模型或Internet参考模型，从上到下包括四层：物理链路层、网络层（也叫IP层）、运输层（也叫TCP层）、应用层。 IP

28、地址与域名连接到Internet上的每台计算机拥有的唯一的地址。IP格式nnn.nnn.nnn.nnn4段，取值0255IP地址Internet概述IP地址与域名为方便记忆而为计算机进行命名。5.域名与主机名国家域领域机构域主机名Internet概述域名IP地址域名国家和地区域名国家和地区域名国家和地区au澳大利亚fl芬兰nl荷兰be比利时fr法国no挪威ca加拿大hk中国香港nz新西兰ch瑞士ie爱尔兰ru俄罗斯cn中国in印度se瑞典de德国it意大利tw中国台湾dk丹麦jp日本uk英国es西班牙kp韩国us美国域名用途域名用途com

29、商业组织mil军事部门edu教育机构org非赢利组织gov政府部门net主要网络支持中心Internet提供的主要服务.（world Wide Web）服务也称Web 服务，是目前Internet网提供的用户界面的信息浏览系统。协议类型主机名路径与文件十二、网络安全的概念信息安全：信息安全是防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施（量度）。（一）、 网络安全的重要性计算机网络的广泛应用已经对经济、文化、科学与教育的发展产生了重要的影响，同时也不可避免地带来了一些新的社会、道德、政治与法律问题。随着Internet的应用日益深入，网上的信息资源也越来越丰富，所涉及的领域也越来越广泛，其中大到国家高级军事机密、经济情报、企业策划，小到证券投资、个人信用、生活隐私等。由于Internet的开放性及网络操作系统目前还无法杜绝的各种隐患，使一些企图非法窃取他人机密的不法分子有机可乘。利用计算机犯罪日益引起社会的普遍关注，而计算机网络则是被攻击的重点。（二）、 威胁网络安全的因素1. 网络病毒 2. 黑客的袭击 3. 网络协议分析软件 （三）、网络病毒网络病毒除具有一般计算机病毒所具有的破坏性、复制性、传播性的特点以外，还具有如