國(guó)際注冊(cè)內(nèi)部審計(jì)師

ACCess Control TeChnologies

訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)確保只有被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源的訪問(wèn)。訪問(wèn)控制技術(shù)可以應(yīng)用在信息系統(tǒng)的不同層次，如操作系統(tǒng)訪問(wèn)控制、數(shù)據(jù)庫(kù)訪問(wèn)控制、網(wǎng)頁(yè)訪問(wèn)控制等。但訪問(wèn)控制技術(shù)的應(yīng)用必須適當(dāng)合理，尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。訪問(wèn)控制技術(shù)包括用戶身份標(biāo)識(shí)（iDentifiCAtion）和鑒別（AuthentiCAtion）、訪問(wèn)控制列表（ACL：ACCess Control list）和審計(jì)追蹤（AuDit trAils）等。

用戶標(biāo)識(shí)（UID：user iDentifier）：用于唯一地確定一個(gè)用戶的身份，是實(shí)施訪問(wèn)控制的前提。

口令（pAssworDs）：鑒別用戶身份的常用手段之一，通過(guò)使用口令可以明確用戶的責(zé)任。例如，對(duì)應(yīng)付款系統(tǒng)數(shù)據(jù)終端的訪問(wèn)控制就可以要求激活終端數(shù)據(jù)必須使用口令并對(duì)數(shù)據(jù)終端的活動(dòng)進(jìn)行記錄，以明確該終端用戶對(duì)其所進(jìn)行活動(dòng)應(yīng)負(fù)的責(zé)任。

口令應(yīng)由用戶掌握和修改，還可以按用戶的權(quán)限設(shè)置不同的口令等級(jí)，以防止掌握口令的人非法訪問(wèn)服務(wù)器上的所有用戶文件。

口令應(yīng)該嚴(yán)格保密，并且在終端輸入時(shí)不應(yīng)該顯示。為了防止口令被猜出，可使用能夠?qū)嵤┛诹罱M合標(biāo)準(zhǔn)的訪問(wèn)控制軟件；為了防止存儲(chǔ)在系統(tǒng)中的口令被竊取，可使用能夠?qū)嵤┛诹罴用艿脑L問(wèn)控制軟件。

有的用戶因?yàn)檫M(jìn)入系統(tǒng)過(guò)程較瑣碎枯燥，就把登錄串包括口令存在個(gè)人電腦里，以待進(jìn)入主機(jī)設(shè)施時(shí)再調(diào)用，這樣任何能訪問(wèn)用戶個(gè)人計(jì)算機(jī)的人就能訪問(wèn)主機(jī)。因此，對(duì)于高安全級(jí)別的系統(tǒng)，應(yīng)采用更安全的身份識(shí)別技術(shù)，如智能IC卡、生物技術(shù)（BiometriC teChnologies）等。

屏幕保護(hù)程序口令安全性較低，因?yàn)樗苋菀妆焕@過(guò)。

授權(quán)（AuthorizAtion）使用戶能訪問(wèn)特定的數(shù)據(jù)和資源。應(yīng)建立數(shù)據(jù)分級(jí)方案和用戶標(biāo)識(shí)方案，并根據(jù)“知必所需"（neeD to know）的原則建立訪問(wèn)控制列表，確保雇員只能訪問(wèn)對(duì)完成其工作確有必要的信息。

訪問(wèn)日志（ACCess Log）對(duì)用戶訪問(wèn)信息系統(tǒng)的時(shí)間、內(nèi)容等進(jìn)行記錄，便于分析控制。安裝訪問(wèn)日志系統(tǒng)屬于檢測(cè)性控制措施，它雖然可以發(fā)現(xiàn)未經(jīng)授權(quán)的訪問(wèn)，但不能防止其發(fā)生。

自動(dòng)注銷登錄（AutomAtiC Log-off）自動(dòng)撤消非活動(dòng)終端的登錄可以防止通過(guò)無(wú)人照管的終端來(lái)訪問(wèn)主機(jī)上的敏感數(shù)據(jù)。

回?fù)埽–AllBACk）指遠(yuǎn)程用戶撥叫主機(jī)后應(yīng)立即掛斷，由主機(jī)回?fù)茉撚脩粢员ＷC信息按指定線路傳輸。例如：在電子資金匯劃系統(tǒng)中，為了保證數(shù)據(jù)只傳送給被授權(quán)的用戶，最有效的控制措施就是要求接受數(shù)據(jù)的金融機(jī)構(gòu)使用回?fù)芟到y(tǒng)。

工具軟件（Utility SoftwAre RestriCtions）可以繞過(guò)訪問(wèn)控制和審計(jì)，管理層應(yīng)制定限制使用具有訪問(wèn)特權(quán)的工具軟件的政策，以降低利用特權(quán)軟件進(jìn)行非法訪問(wèn)的風(fēng)險(xiǎn)。

安全軟件（seCurity softwAre）的功能是限制對(duì)系統(tǒng)資源的訪問(wèn)，但不能限制未經(jīng)許可軟件的安裝，也不能監(jiān)控職責(zé)分離。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步。

（責(zé)任編輯：中大編輯）

共2頁(yè),當(dāng)前第1頁(yè)  第一頁(yè)  前一頁(yè)  下一頁(yè)