公眾號(hào):mywangxiao
及時(shí)發(fā)布考試資訊
分享考試技巧、復(fù)習(xí)經(jīng)驗(yàn)
新浪微博 @wangxiaocn關(guān)注微博
聯(lián)系方式 400-18-8000
為了幫助考生系統(tǒng)的復(fù)習(xí)2011年內(nèi)部審計(jì)師考試課程,全面的了解內(nèi)審師考試教材的相關(guān)重點(diǎn),小編特編輯匯總了2011年國(guó)際內(nèi)審師考試輔導(dǎo)資料,希望對(duì)您參加本次考試有所幫助!
內(nèi)部審計(jì)師考試《經(jīng)營(yíng)分析和信息技術(shù)》知識(shí)點(diǎn):系統(tǒng)安全
15.2 Access Control Technologies
訪問(wèn)控制技術(shù)
訪問(wèn)控制技術(shù)確保只有被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源的訪問(wèn)。訪問(wèn)控制技術(shù)可以應(yīng)用在信息系統(tǒng)的不同層次,如操作系統(tǒng)訪問(wèn)控制、數(shù)據(jù)庫(kù)訪問(wèn)控制、網(wǎng)頁(yè)訪問(wèn)控制等。但訪問(wèn)控制技術(shù)的應(yīng)用必須適當(dāng)合理,尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。訪問(wèn)控制技術(shù)包括用戶身份標(biāo)識(shí)(identification)和鑒別(authentication)、訪問(wèn)控制列表(ACL:access control list)和審計(jì)追蹤(audit trails)等。
用戶標(biāo)識(shí)(UID:user identifier):用于唯一地確定一個(gè)用戶的身份,是實(shí)施訪問(wèn)控制的前提。
口令(passwords):鑒別用戶身份的常用手段之一,通過(guò)使用口令可以明確用戶的責(zé)任。例如,對(duì)應(yīng)付款系統(tǒng)數(shù)據(jù)終端的訪問(wèn)控制就可以要求激活終端數(shù)據(jù)必須使用口令并對(duì)數(shù)據(jù)終端的活動(dòng)進(jìn)行記錄,以明確該終端用戶對(duì)其所進(jìn)行活動(dòng)應(yīng)負(fù)的責(zé)任。
口令應(yīng)由用戶掌握和修改,還可以按用戶的權(quán)限設(shè)置不同的口令等級(jí),以防止掌握口令的人非法訪問(wèn)服務(wù)器上的所有用戶文件??诹顟?yīng)該嚴(yán)格保密,并且在終端輸入時(shí)不應(yīng)該顯示。為了防止口令被猜出,可使用能夠?qū)嵤┛诹罱M合標(biāo)準(zhǔn)的訪問(wèn)控制軟件;為了防止存儲(chǔ)在系統(tǒng)中的口令被竊取,可使用能夠?qū)嵤┛诹罴用艿脑L問(wèn)控制軟件。
有的用戶因?yàn)檫M(jìn)入系統(tǒng)過(guò)程較瑣碎枯燥,就把登錄串包括口令存在個(gè)人電腦里,以待進(jìn)入主機(jī)設(shè)施時(shí)再調(diào)用,這樣任何能訪問(wèn)用戶個(gè)人計(jì)算機(jī)的人就能訪問(wèn)主機(jī)。因此,對(duì)于高安全級(jí)別的系統(tǒng),應(yīng)采用更安全的身份識(shí)別技術(shù),如智能IC卡、生物技術(shù)(biometric technologies)等。
屏幕保護(hù)程序口令安全性較低,因?yàn)樗苋菀妆焕@過(guò)。
授權(quán)(Authorization)使用戶能訪問(wèn)特定的數(shù)據(jù)和資源。應(yīng)建立數(shù)據(jù)分級(jí)方案和用戶標(biāo)識(shí)方案,并根據(jù)"知必所需"(need to know)的原則建立訪問(wèn)控制列表,確保雇員只能訪問(wèn)對(duì)完成其工作確有必要的信息。
訪問(wèn)日志(Access Log)對(duì)用戶訪問(wèn)信息系統(tǒng)的時(shí)間、內(nèi)容等進(jìn)行記錄,便于分析控制。安裝訪問(wèn)日志系統(tǒng)屬于檢測(cè)性控制措施,它雖然可以發(fā)現(xiàn)未經(jīng)授權(quán)的訪問(wèn),但不能防止其發(fā)生。
自動(dòng)注銷登錄(Automatic Log-off)自動(dòng)撤消非活動(dòng)終端的登錄可以防止通過(guò)無(wú)人照管的終端來(lái)訪問(wèn)主機(jī)上的敏感數(shù)據(jù)。
回?fù)埽–allback)指遠(yuǎn)程用戶撥叫主機(jī)后應(yīng)立即掛斷,由主機(jī)回?fù)茉撚脩粢员WC信息按指定線路傳輸。例如:在電子資金匯劃系統(tǒng)中,為了保證數(shù)據(jù)只傳送給被授權(quán)的用戶,最有效的控制措施就是要求接受數(shù)據(jù)的金融機(jī)構(gòu)使用回?fù)芟到y(tǒng)。
工具軟件(Utility Software Restrictions)可以繞過(guò)訪問(wèn)控制和審計(jì),管理層應(yīng)制定限制使用具有訪問(wèn)特權(quán)的工具軟件的政策,以降低利用特權(quán)軟件進(jìn)行非法訪問(wèn)的風(fēng)險(xiǎn)。
安全軟件(security software)的功能是限制對(duì)系統(tǒng)資源的訪問(wèn),但不能限制未經(jīng)許可軟件的安裝,也不能監(jiān)控職責(zé)分離。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步。
相關(guān)文章:
2011年內(nèi)審師考試分析技術(shù)輔導(dǎo):系統(tǒng)安全匯總
2011年國(guó)際內(nèi)審師考試輔導(dǎo):應(yīng)急計(jì)劃匯總
更多關(guān)注:內(nèi)部審計(jì)師考試報(bào)考指南 考試培訓(xùn) 成績(jī)管理
(責(zé)任編輯:中大編輯)