發(fā)表時間:2014/4/15 17:00:00 來源:中大網(wǎng)校
點擊關(guān)注微信:
系統(tǒng)安全
相關(guān)知識
系統(tǒng)安全是在風(fēng)險分析的基礎(chǔ)上�,選擇適宜的控制目標(biāo)與控制方式,對系統(tǒng)的安全進行控制����,使信息資產(chǎn)的風(fēng)險降到組織可以接受的水平��。
GenerAl Control V8.AppliCAtion Control
一般控制和應(yīng)用控制
應(yīng)用控制與一般控制是兩個不同層次的控制手段:
· 一般控制(GenerAl Contr01)包括各種相對通用的控制手段和技術(shù)���,包括:管理控制��、計算機運行控制����、系統(tǒng)實施控制、軟件控制��、硬件控制�����、訪問控制和數(shù)據(jù)安全控制等���。
· 應(yīng)用控制(AppliCAtion Control)包括和特定應(yīng)用相關(guān)的���、為保障應(yīng)用程序正確運行而設(shè)定的控制,如輸入控制(input Contr01)�����、處理控制(proCess Control)����、輸出控制(output Contr01)等。
相對于應(yīng)用控制���,一般控制更為基礎(chǔ)���,且其有效性不受應(yīng)用控制的影響���。
相反,應(yīng)用控制的有效性則往往受到一般控制��,尤其是操作系統(tǒng)訪問控制的影響�����。當(dāng)審計師審查一個應(yīng)用系統(tǒng)的應(yīng)用控制時�,應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。對于較復(fù)雜的信息系統(tǒng)����,通常應(yīng)結(jié)合使用這兩種控制技術(shù)���。
一般控制包括:
· 管理控制(ADministrAtive Contr01)的主要目標(biāo)是實現(xiàn)職責(zé)分離�。常見的管理控制包括:系統(tǒng)分析員不應(yīng)該接觸計算機設(shè)備��、數(shù)據(jù)和程序�;計算機編程人員不應(yīng)該接觸計算機設(shè)備、數(shù)據(jù)和已交付使用的程序�����;操作員不應(yīng)該參與系統(tǒng)設(shè)計或更改程序,這樣可以最好地防止擁有充分技術(shù)的人員繞過安全程序����,對生產(chǎn)程序進行修改。
· 運行控制(operAtions Control)包括:
計算機運行控制是為確保系統(tǒng)的正常運行而實施的控制���。例如����,對不需要的文件要在受控條件下及時刪除�����;
· 系統(tǒng)實施控制(implementAtion Control)是在系統(tǒng)開發(fā)實施過程的各個環(huán)節(jié)都建立控制點并編制文檔以保證系統(tǒng)的實施是在適當(dāng)?shù)目刂坪凸芾碇?����,文檔應(yīng)從技術(shù)和應(yīng)用兩個角度說明系統(tǒng)是如何運行的�;
· 軟件控制(softwAre Control)是保證已投入運行的軟件未經(jīng)許可不得修改的控制;
· 硬件控制(hArDwAre Contr01)是保證硬件正常運行的控制����,如回波檢驗(eCho CheCk)、奇偶校驗(pArity CheCk)等;
· 訪問控制(ACCess Contr01)是確保只有被授權(quán)用戶才能實現(xiàn)對特定數(shù)據(jù)和資源進行訪問的控制�����,通常特指邏輯訪問控制(logiCAl ACCess Control)���;
· 物理設(shè)備控制(physiCAl DeviCe Contr01)是防止對物理設(shè)備的非授權(quán)接觸的控制�。
應(yīng)用控制包括:
· 輸入控制(input Contr01)包括輸入授權(quán)(input AuthorizAtion)��、數(shù)據(jù)轉(zhuǎn)換(DAtA Conversion)和編輯檢驗(eDit CheCks)�。其中,編輯檢驗又包括合理性檢驗 (reAsonABleness CheCks)�、格式檢驗(formAt CheCks)、存在性檢驗(existenCe CheCks)����、依賴性檢驗(DepenDenCy CheCks) (又稱相關(guān)性檢驗)����、檢驗位 (CheCk Digit)、重新輸入控制(reinput Control)等�����。
· 處理控制(proCessing Contr01)����,包括運行總數(shù)控制(run Control totAls)���、計算機匹配(Computer mAtChing)、并發(fā)控制(ConCurrenCy Contr01)�。
· 輸出控制(output Contr01)包括平衡總數(shù)(BAlAnCing totAls)、復(fù)核處理日志(review of proCessing logs)���、審核輸出報告(AuDit of output report)�、審核制度與文件(AuDit of proCeDures AnD DoCumentAtion)�。
(責(zé)任編輯:中大編輯)
共2頁,當(dāng)前第1頁 第一頁 前一頁 下一頁
