發(fā)表時間:2014/4/15 17:00:00 來源:中大網校
點擊關注微信:
2010年
國際內審師考試經營分析和信息技術輔導系統(tǒng)安全(2)
ACCess Control TeChnologies
訪問控制技術
訪問控制技術確保只有被授權用戶才能實現對特定數據和資源的訪問��。訪問控制技術可以應用在信息系統(tǒng)的不同層次,如操作系統(tǒng)訪問控制、數據庫訪問控制、網頁訪問控制等��。但訪問控制技術的應用必須適當合理�,尤其應注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡��。訪問控制技術包括用戶身份標識(iDentifiCAtion)和鑒別(AuthentiCAtion)�、訪問控制列表(ACL:ACCess Control list)和審計追蹤(AuDit trAils)等。
用戶標識(UID:user iDentifier):用于唯一地確定一個用戶的身份��,是實施訪問控制的前提�����。
口令(pAssworDs):鑒別用戶身份的常用手段之一��,通過使用口令可以明確用戶的責任��。例如�����,對應付款系統(tǒng)數據終端的訪問控制就可以要求激活終端數據必須使用口令并對數據終端的活動進行記錄�����,以明確該終端用戶對其所進行活動應負的責任��。
口令應由用戶掌握和修改�,還可以按用戶的權限設置不同的口令等級,以防止掌握口令的人非法訪問服務器上的所有用戶文件��。
口令應該嚴格保密�,并且在終端輸入時不應該顯示。為了防止口令被猜出��,可使用能夠實施口令組合標準的訪問控制軟件��;為了防止存儲在系統(tǒng)中的口令被竊取�,可使用能夠實施口令加密的訪問控制軟件。
有的用戶因為進入系統(tǒng)過程較瑣碎枯燥�,就把登錄串包括口令存在個人電腦里,以待進入主機設施時再調用�,這樣任何能訪問用戶個人計算機的人就能訪問主機。因此��,對于高安全級別的系統(tǒng)��,應采用更安全的身份識別技術,如智能IC卡��、生物技術(BiometriC teChnologies)等�。
屏幕保護程序口令安全性較低,因為它很容易被繞過�����。
授權(AuthorizAtion)使用戶能訪問特定的數據和資源�。應建立數據分級方案和用戶標識方案,并根據“知必所需"(neeD to know)的原則建立訪問控制列表�,確保雇員只能訪問對完成其工作確有必要的信息。
訪問日志(ACCess Log)對用戶訪問信息系統(tǒng)的時間�、內容等進行記錄,便于分析控制��。安裝訪問日志系統(tǒng)屬于檢測性控制措施�,它雖然可以發(fā)現未經授權的訪問,但不能防止其發(fā)生�。
自動注銷登錄(AutomAtiC Log-off)自動撤消非活動終端的登錄可以防止通過無人照管的終端來訪問主機上的敏感數據。
回撥(CAllBACk)指遠程用戶撥叫主機后應立即掛斷�,由主機回撥該用戶以保證信息按指定線路傳輸。例如:在電子資金匯劃系統(tǒng)中�����,為了保證數據只傳送給被授權的用戶�����,最有效的控制措施就是要求接受數據的金融機構使用回撥系統(tǒng)�����。
工具軟件(Utility SoftwAre RestriCtions)可以繞過訪問控制和審計�����,管理層應制定限制使用具有訪問特權的工具軟件的政策��,以降低利用特權軟件進行非法訪問的風險�����。
安全軟件(seCurity softwAre)的功能是限制對系統(tǒng)資源的訪問�,但不能限制未經許可軟件的安裝,也不能監(jiān)控職責分離��。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步�����。
(責任編輯:中大編輯)
