為了幫助考生系統(tǒng)的復(fù)習(xí)2011年內(nèi)部審計師考試課程，全面的了解內(nèi)審師考試教材的相關(guān)重點(diǎn)，小編特編輯匯總了2011年國際內(nèi)審師考試輔導(dǎo)資料，希望對您參加本次考試有所幫助！

內(nèi)部審計師考試《經(jīng)營分析和信息技術(shù)》知識點(diǎn)：系統(tǒng)安全

15.2 Access Control Technologies

訪問控制技術(shù)

訪問控制技術(shù)確保只有被授權(quán)用戶才能實(shí)現(xiàn)對特定數(shù)據(jù)和資源的訪問。訪問控制技術(shù)可以應(yīng)用在信息系統(tǒng)的不同層次，如操作系統(tǒng)訪問控制、數(shù)據(jù)庫訪問控制、網(wǎng)頁訪問控制等。但訪問控制技術(shù)的應(yīng)用必須適當(dāng)合理，尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。訪問控制技術(shù)包括用戶身份標(biāo)識（identification）和鑒別（authentication）、訪問控制列表（ACL：access control list）和審計追蹤（audit trails）等。

用戶標(biāo)識（UID：user identifier）：用于唯一地確定一個用戶的身份，是實(shí)施訪問控制的前提。

口令（passwords）：鑒別用戶身份的常用手段之一，通過使用口令可以明確用戶的責(zé)任。例如，對應(yīng)付款系統(tǒng)數(shù)據(jù)終端的訪問控制就可以要求激活終端數(shù)據(jù)必須使用口令并對數(shù)據(jù)終端的活動進(jìn)行記錄，以明確該終端用戶對其所進(jìn)行活動應(yīng)負(fù)的責(zé)任。

口令應(yīng)由用戶掌握和修改，還可以按用戶的權(quán)限設(shè)置不同的口令等級，以防止掌握口令的人非法訪問服務(wù)器上的所有用戶文件?？诹顟?yīng)該嚴(yán)格保密，并且在終端輸入時不應(yīng)該顯示。為了防止口令被猜出，可使用能夠?qū)嵤┛诹罱M合標(biāo)準(zhǔn)的訪問控制軟件；為了防止存儲在系統(tǒng)中的口令被竊取，可使用能夠?qū)嵤┛诹罴用艿脑L問控制軟件。

有的用戶因?yàn)檫M(jìn)入系統(tǒng)過程較瑣碎枯燥，就把登錄串包括口令存在個人電腦里，以待進(jìn)入主機(jī)設(shè)施時再調(diào)用，這樣任何能訪問用戶個人計算機(jī)的人就能訪問主機(jī)。因此，對于高安全級別的系統(tǒng)，應(yīng)采用更安全的身份識別技術(shù)，如智能IC卡、生物技術(shù)（biometric technologies）等。

屏幕保護(hù)程序口令安全性較低，因?yàn)樗苋菀妆焕@過。

授權(quán)（Authorization）使用戶能訪問特定的數(shù)據(jù)和資源。應(yīng)建立數(shù)據(jù)分級方案和用戶標(biāo)識方案，并根據(jù)"知必所需"（need to know）的原則建立訪問控制列表，確保雇員只能訪問對完成其工作確有必要的信息。

訪問日志（Access Log）對用戶訪問信息系統(tǒng)的時間、內(nèi)容等進(jìn)行記錄，便于分析控制。安裝訪問日志系統(tǒng)屬于檢測性控制措施，它雖然可以發(fā)現(xiàn)未經(jīng)授權(quán)的訪問，但不能防止其發(fā)生。

自動注銷登錄（Automatic Log-off）自動撤消非活動終端的登錄可以防止通過無人照管的終端來訪問主機(jī)上的敏感數(shù)據(jù)。

回?fù)埽–allback）指遠(yuǎn)程用戶撥叫主機(jī)后應(yīng)立即掛斷，由主機(jī)回?fù)茉撚脩粢员ＷC信息按指定線路傳輸。例如：在電子資金匯劃系統(tǒng)中，為了保證數(shù)據(jù)只傳送給被授權(quán)的用戶，最有效的控制措施就是要求接受數(shù)據(jù)的金融機(jī)構(gòu)使用回?fù)芟到y(tǒng)。

工具軟件（Utility Software Restrictions）可以繞過訪問控制和審計，管理層應(yīng)制定限制使用具有訪問特權(quán)的工具軟件的政策，以降低利用特權(quán)軟件進(jìn)行非法訪問的風(fēng)險。

安全軟件（security software）的功能是限制對系統(tǒng)資源的訪問，但不能限制未經(jīng)許可軟件的安裝，也不能監(jiān)控職責(zé)分離。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步。

相關(guān)文章：

2011年內(nèi)審師考試分析技術(shù)輔導(dǎo)：系統(tǒng)安全匯總

2011年國際內(nèi)審師考試輔導(dǎo)：應(yīng)急計劃匯總

更多關(guān)注：內(nèi)部審計師考試報考指南   考試培訓(xùn)   成績管理

（責(zé)任編輯：中大編輯）

共2頁,當(dāng)前第1頁  第一頁  前一頁  下一頁