2010年國際內(nèi)審師輔導(dǎo):實施內(nèi)部審計業(yè)務(wù)(48)

字號:

1.1.1.1 計算機舞弊和計算機犯罪實例
    1.1.1.1.1 軍事和情報攻擊
    間諜有三種類型:工業(yè)間諜、經(jīng)濟間諜,以及外國政府間諜。工業(yè)間諜是從私人公司或政府搜集產(chǎn)權(quán)數(shù)據(jù)的行為,其目的是幫助別的公司。工業(yè)間諜要么由公司實施以增強其競爭優(yōu)勢,要么由政府實施以幫助國內(nèi)的工業(yè)。具破壞性的三種工業(yè)間諜類型是:價格數(shù)據(jù)、制造流程信息,以及產(chǎn)品開發(fā)/專用信息(商業(yè)秘密)。
    由政府實施的境外工業(yè)間諜通常稱為經(jīng)濟間諜??萍夹畔?、商品信息、利率,以及合同數(shù)據(jù)都會成為經(jīng)濟間諜的目標(biāo)。除了可能的經(jīng)濟間諜之外,國外情報機構(gòu)會鎖定未分級的系統(tǒng),加強其情報活動。某些可能引起他國興趣的未分級信息包括:高層官員的出訪計劃;國防和重大危機準(zhǔn)備;衛(wèi)星數(shù)據(jù);人員和工資數(shù)據(jù);以及司法、調(diào)查和安全文件。對付情報攻擊的對策包括:實施用戶通告、教育和培訓(xùn)計劃。
    竊聽(電子偷聽)是在他人傳送消息和信息時,聽取他人的交流信息。在通過電纜截取傳送的數(shù)據(jù)時就會發(fā)生竊聽行為。有關(guān)的對策包括:鎖定數(shù)據(jù)包;使用傳輸填充技術(shù)迷惑竊聽者;通過加密套接字協(xié)議層實施聲音加密技術(shù)。
    www.examw.com數(shù)據(jù)泄漏是指通過轉(zhuǎn)換手段將數(shù)據(jù)從計算機系統(tǒng)取走。通過檢查計算機操作系統(tǒng)的運行記錄,可以確定數(shù)據(jù)文件是否被接觸過,或者在何時被訪問過。數(shù)據(jù)泄漏攻擊可能通過木馬、邏輯炸彈,或清除方法實施。有關(guān)的對策包括:加密、訪問控制,以及加密技術(shù)。
    1.1.1.1.2 商業(yè)攻擊
    員工破壞是普通的商業(yè)攻擊。員工破壞的發(fā)生數(shù)量遠遠少于員工偷竊行為的發(fā)生數(shù)量,但是此類行為產(chǎn)生的代價卻十分高昂。與計算機相關(guān)的員工破壞的例子包括:破壞硬件或設(shè)施、植入破壞程序或數(shù)據(jù)的邏輯炸彈、搞垮計算機系統(tǒng),以及輸入錯誤數(shù)據(jù)、刪除數(shù)據(jù),或者變更數(shù)據(jù)(數(shù)據(jù)欺詐)。
    數(shù)據(jù)欺詐(data diddling)是指在數(shù)據(jù)錄入計算機過程中或錄入之前,或從計算機系統(tǒng)輸出數(shù)據(jù)時修改數(shù)據(jù)。對于終錄入計算機的數(shù)據(jù)而言,有其創(chuàng)建、記錄、傳輸、解碼、檢查、復(fù)核、轉(zhuǎn)換,以及變更形式的過程,與該過程相關(guān)或能夠接觸到該過程的任何人員都能夠?qū)嵤?shù)據(jù)欺詐。其實例包括:偽造或假冒文件;以事先準(zhǔn)備的替代品替換有用的計算機磁介質(zhì);違反來源文件錄入條例;以及削弱、回避,或者逃避示范控制。利用計算機實施的普通的舞弊方法是操縱錄入。數(shù)據(jù)欺詐攻擊可以通過訪問控制、程序變更控制,以及完整性檢查軟件得以防范。
    超級沖殺(super zapping)是公司攻擊的一種,指未經(jīng)授權(quán)情況下,使用計算機工具程序修改、破壞、復(fù)制、披露、插入、使用,或拒絕使用存在計算機系統(tǒng)或計算機介質(zhì)上的數(shù)據(jù)。這種強大的工具程序可以繞過操作系統(tǒng)安全控制,甚至可以繞過訪問控制安全軟件控制。按照定義,超級沖殺本身并不是一種計算機犯罪。拿現(xiàn)在的數(shù)據(jù)與以前的數(shù)據(jù)做比較是發(fā)現(xiàn)超級沖殺的一種可靠方法。
    僅僅編寫計算機病毒程序并不構(gòu)成犯罪。然而,以破壞計算機資源為不良目的的使用、傳播,以及散播病毒則構(gòu)成了犯罪基礎(chǔ)。
    1.1.1.1.1 金融攻擊
    金融攻擊的薩拉米技術(shù)(salami technique)指從大量的資源中盜取少量的資產(chǎn)(主要為現(xiàn)金)。比如,罪犯從大量的銀行賬戶中的每個賬戶都盜取幾美分,這種盜竊多數(shù)顧客都不會注意到。然而,總金額在復(fù)式記賬系統(tǒng)下會保持平衡。薩拉米技術(shù)還會受到資金四舍五入的影響,這種情況下,資金仍然可以轉(zhuǎn)入罪犯的賬戶。
    在網(wǎng)站上收集客戶的信用卡信息,并在未經(jīng)授權(quán)的情況下進入其在某金融機構(gòu)的電匯賬戶是金融攻擊的其他例子。雙方在沒有金融機構(gòu)參與的情況下劃款是金融攻擊的另外一個例子。
    通過克隆電話卡進行的話費舞弊是另外一種金融攻擊;該種舞弊使電話公司付出了沉重代價。
    1.1.1.1.2 恐怖攻擊
    恐怖主義者會拿數(shù)據(jù)作為籌碼,或者拿偷竊的數(shù)據(jù)或程序敲詐錢財。
    1.1.1.1.3 嫉恨攻擊
    被解雇的員工可能會對他們工作過的單位懷恨在心。由于不喜歡某組織正在做的或已經(jīng)做的事情,一般的公眾會嫉恨該組織。