2010國際內審師《經(jīng)營分析和信息技術》知識講義:第五章(21)

字號:

IC15 系統(tǒng)安全
    一、相關知識
    系統(tǒng)安全是在風險分析的基礎上,選擇適宜的控制目標與控制方式,對系統(tǒng)的安全進行控制,使信息資產(chǎn)的風險降到組織可以接受的水平。
    15.1 GenerAl Control V8.AppliCAtion Control考試論壇
    一般控制和應用控制
    應用控制與一般控制是兩個不同層次的控制手段:
    · 一般控制(GenerAl Contr01)包括各種相對通用的控制手段和技術,包括:管理控制、計算機運行控制、系統(tǒng)實施控制、軟件控制、硬件控制、訪問控制和數(shù)據(jù)安全控制等。
    · 應用控制(AppliCAtion Control)包括和特定應用相關的、為保障應用程序正確運行而設定的控制,如輸入控制(input Contr01)、處理控制(proCess Control)、輸出控制(output Contr01)等。
    相對于應用控制,一般控制更為基礎,且其有效性不受應用控制的影響。
    相反,應用控制的有效性則往往受到一般控制,尤其是操作系統(tǒng)訪問控制的影響。當審計師審查一個應用系統(tǒng)的應用控制時,應首先確認該系統(tǒng)已經(jīng)建立完善的一般控制。對于較復雜的信息系統(tǒng),通常應結合使用這兩種控制技術。
    一般控制包括:
    · 管理控制(ADministrAtive Contr01)的主要目標是實現(xiàn)職責分離。常見的管理控制包括:系統(tǒng)分析員不應該接觸計算機設備、數(shù)據(jù)和程序;計算機編程人員不應該接觸計算機設備、數(shù)據(jù)和已交付使用的程序;操作員不應該參與系統(tǒng)設計或更改程序,這樣可以地防止擁有充分技術的人員繞過安全程序,對生產(chǎn)程序進行修改。
    · 運行控制(operAtions Control)包括:
    計算機運行控制是為確保系統(tǒng)的正常運行而實施的控制。例如,對不需要的文件要在受控條件下及時刪除;
    · 系統(tǒng)實施控制(implementAtion Control)是在系統(tǒng)開發(fā)實施過程的各個環(huán)節(jié)都建立控制點并編制文檔以保證系統(tǒng)的實施是在適當?shù)目刂坪凸芾碇?,文檔應從技術和應用兩個角度說明系統(tǒng)是如何運行的;
    · 軟件控制(softwAre Control)是保證已投入運行的軟件未經(jīng)許可不得修改的控制;
    · 硬件控制(hArDwAre Contr01)是保證硬件正常運行的控制,如回波檢驗(eCho CheCk)、奇偶校驗(pArity CheCk)等;
    · 訪問控制(ACCess Contr01)是確保只有被授權用戶才能實現(xiàn)對特定數(shù)據(jù)和資源進行訪問的控制,通常特指邏輯訪問控制(logiCAl ACCess Control);
    · 物理設備控制(physiCAl DeviCe Contr01)是防止對物理設備的非授權接觸的控制。
    應用控制包括:
    · 輸入控制(input Contr01)包括輸入授權(input AuthorizAtion)、數(shù)據(jù)轉換(DAtA Conversion)和編輯檢驗(eDit CheCks)。其中,編輯檢驗又包括合理性檢驗 (reAsonABleness CheCks)、格式檢驗(formAt CheCks)、存在性檢驗(existenCe CheCks)、依賴性檢驗(DepenDenCy CheCks) (又稱相關性檢驗)、檢驗位 (CheCk Digit)、重新輸入控制(reinput Control)等。
    · 處理控制(proCessing Contr01),包括運行總數(shù)控制(run Control totAls)、計算機匹配(Computer mAtChing)、并發(fā)控制(ConCurrenCy Contr01)。
    · 輸出控制(output Contr01)包括平衡總數(shù)(BAlAnCing totAls)、復核處理日志(review of proCessing logs)、審核輸出報告(AuDit of output report)、審核制度與文件(AuDit of proCeDures AnD DoCumentAtion)
    15.2 ACCess Control TeChnologies
    訪問控制技術
    訪問控制技術確保只有被授權用戶才能實現(xiàn)對特定數(shù)據(jù)和資源的訪問。訪問控制技術可以應用在信息系統(tǒng)的不同層次,如操作系統(tǒng)訪問控制、數(shù)據(jù)庫訪問控制、網(wǎng)頁訪問控制等。但訪問控制技術的應用必須適當合理,尤其應注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。訪問控制技術包括用戶身份標識(iDentifiCAtion)和鑒別(AuthentiCAtion)、訪問控制列表(ACL:ACCess Control list)和審計追蹤(AuDit trAils)等。
      用戶標識(UID:user iDentifier):用于地確定一個用戶的身份,是實施訪問控制的前提。
    口令(pAssworDs):鑒別用戶身份的常用手段之一,通過使用口令可以明確用戶的責任。例如,對應付款系統(tǒng)數(shù)據(jù)終端的訪問控制就可以要求激活終端數(shù)據(jù)必須使用口令并對數(shù)據(jù)終端的活動進行記錄,以明確該終端用戶對其所進行活動應負的責任。