發(fā)表時(shí)間:2014/4/15 17:00:00 來(lái)源:中大網(wǎng)校
點(diǎn)擊關(guān)注微信:
系統(tǒng)安全
相關(guān)知識(shí)
系統(tǒng)安全是在風(fēng)險(xiǎn)分析的基礎(chǔ)上�����,選擇適宜的控制目標(biāo)與控制方式�����,對(duì)系統(tǒng)的安全進(jìn)行控制�����,使信息資產(chǎn)的風(fēng)險(xiǎn)降到組織可以接受的水平�����。
GenerAl Control V8.AppliCAtion Control
一般控制和應(yīng)用控制
應(yīng)用控制與一般控制是兩個(gè)不同層次的控制手段:
· 一般控制(GenerAl Contr01)包括各種相對(duì)通用的控制手段和技術(shù)�����,包括:管理控制�����、計(jì)算機(jī)運(yùn)行控制�����、系統(tǒng)實(shí)施控制�����、軟件控制�����、硬件控制�����、訪問(wèn)控制和數(shù)據(jù)安全控制等。
· 應(yīng)用控制(AppliCAtion Control)包括和特定應(yīng)用相關(guān)的�����、為保障應(yīng)用程序正確運(yùn)行而設(shè)定的控制�����,如輸入控制(input Contr01)�����、處理控制(proCess Control)�����、輸出控制(output Contr01)等�����。
相對(duì)于應(yīng)用控制�����,一般控制更為基礎(chǔ)�����,且其有效性不受應(yīng)用控制的影響�����。
相反�����,應(yīng)用控制的有效性則往往受到一般控制�����,尤其是操作系統(tǒng)訪問(wèn)控制的影響�����。當(dāng)審計(jì)師審查一個(gè)應(yīng)用系統(tǒng)的應(yīng)用控制時(shí)�����,應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。對(duì)于較復(fù)雜的信息系統(tǒng)�����,通常應(yīng)結(jié)合使用這兩種控制技術(shù)�����。
一般控制包括:
· 管理控制(ADministrAtive Contr01)的主要目標(biāo)是實(shí)現(xiàn)職責(zé)分離�����。常見(jiàn)的管理控制包括:系統(tǒng)分析員不應(yīng)該接觸計(jì)算機(jī)設(shè)備�����、數(shù)據(jù)和程序�����;計(jì)算機(jī)編程人員不應(yīng)該接觸計(jì)算機(jī)設(shè)備�����、數(shù)據(jù)和已交付使用的程序�����;操作員不應(yīng)該參與系統(tǒng)設(shè)計(jì)或更改程序�����,這樣可以最好地防止擁有充分技術(shù)的人員繞過(guò)安全程序�����,對(duì)生產(chǎn)程序進(jìn)行修改�����。
· 運(yùn)行控制(operAtions Control)包括:
計(jì)算機(jī)運(yùn)行控制是為確保系統(tǒng)的正常運(yùn)行而實(shí)施的控制�����。例如�����,對(duì)不需要的文件要在受控條件下及時(shí)刪除�����;
· 系統(tǒng)實(shí)施控制(implementAtion Control)是在系統(tǒng)開(kāi)發(fā)實(shí)施過(guò)程的各個(gè)環(huán)節(jié)都建立控制點(diǎn)并編制文檔以保證系統(tǒng)的實(shí)施是在適當(dāng)?shù)目刂坪凸芾碇拢臋n應(yīng)從技術(shù)和應(yīng)用兩個(gè)角度說(shuō)明系統(tǒng)是如何運(yùn)行的�����;
· 軟件控制(softwAre Control)是保證已投入運(yùn)行的軟件未經(jīng)許可不得修改的控制�����;
· 硬件控制(hArDwAre Contr01)是保證硬件正常運(yùn)行的控制�����,如回波檢驗(yàn)(eCho CheCk)�����、奇偶校驗(yàn)(pArity CheCk)等�����;
· 訪問(wèn)控制(ACCess Contr01)是確保只有被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源進(jìn)行訪問(wèn)的控制�����,通常特指邏輯訪問(wèn)控制(logiCAl ACCess Control)�����;
· 物理設(shè)備控制(physiCAl DeviCe Contr01)是防止對(duì)物理設(shè)備的非授權(quán)接觸的控制�����。
應(yīng)用控制包括:
· 輸入控制(input Contr01)包括輸入授權(quán)(input AuthorizAtion)�����、數(shù)據(jù)轉(zhuǎn)換(DAtA Conversion)和編輯檢驗(yàn)(eDit CheCks)�����。其中�����,編輯檢驗(yàn)又包括合理性檢驗(yàn) (reAsonABleness CheCks)�����、格式檢驗(yàn)(formAt CheCks)�����、存在性檢驗(yàn)(existenCe CheCks)、依賴性檢驗(yàn)(DepenDenCy CheCks) (又稱相關(guān)性檢驗(yàn))�����、檢驗(yàn)位 (CheCk Digit)�����、重新輸入控制(reinput Control)等�����。
· 處理控制(proCessing Contr01)�����,包括運(yùn)行總數(shù)控制(run Control totAls)�����、計(jì)算機(jī)匹配(Computer mAtChing)�����、并發(fā)控制(ConCurrenCy Contr01)�����。
· 輸出控制(output Contr01)包括平衡總數(shù)(BAlAnCing totAls)�����、復(fù)核處理日志(review of proCessing logs)�����、審核輸出報(bào)告(AuDit of output report)�����、審核制度與文件(AuDit of proCeDures AnD DoCumentAtion)�����。
(責(zé)任編輯:中大編輯)
共2頁(yè),當(dāng)前第1頁(yè) 第一頁(yè) 前一頁(yè) 下一頁(yè)
