系統安全
相關知識
系統安全是在風險分析的基礎上,選擇適宜的控制目標與控制方式,對系統的安全進行控制,使信息資產的風險降到組織可以接受的水平。
GenerAl Control V8.AppliCAtion Control
一般控制和應用控制
應用控制與一般控制是兩個不同層次的控制手段:
· 一般控制(GenerAl Contr01)包括各種相對通用的控制手段和技術,包括:管理控制、計算機運行控制、系統實施控制、軟件控制、硬件控制、訪問控制和數據安全控制等。
· 應用控制(AppliCAtion Control)包括和特定應用相關的、為保障應用程序正確運行而設定的控制,如輸入控制(input Contr01)、處理控制(proCess Control)、輸出控制(output Contr01)等。
相對于應用控制,一般控制更為基礎,且其有效性不受應用控制的影響。
相反,應用控制的有效性則往往受到一般控制,尤其是操作系統訪問控制的影響。當審計師審查一個應用系統的應用控制時,應首先確認該系統已經建立完善的一般控制。對于較復雜的信息系統,通常應結合使用這兩種控制技術。
一般控制包括:
· 管理控制(ADministrAtive Contr01)的主要目標是實現職責分離。常見的管理控制包括:系統分析員不應該接觸計算機設備、數據和程序;計算機編程人員不應該接觸計算機設備、數據和已交付使用的程序;操作員不應該參與系統設計或更改程序,這樣可以最好地防止擁有充分技術的人員繞過安全程序,對生產程序進行修改。
· 運行控制(operAtions Control)包括:
計算機運行控制是為確保系統的正常運行而實施的控制。例如,對不需要的文件要在受控條件下及時刪除;
· 系統實施控制(implementAtion Control)是在系統開發實施過程的各個環節都建立控制點并編制文檔以保證系統的實施是在適當的控制和管理之下,文檔應從技術和應用兩個角度說明系統是如何運行的;
· 軟件控制(softwAre Control)是保證已投入運行的軟件未經許可不得修改的控制;
· 硬件控制(hArDwAre Contr01)是保證硬件正常運行的控制,如回波檢驗(eCho CheCk)、奇偶校驗(pArity CheCk)等;
· 訪問控制(ACCess Contr01)是確保只有被授權用戶才能實現對特定數據和資源進行訪問的控制,通常特指邏輯訪問控制(logiCAl ACCess Control);
· 物理設備控制(physiCAl DeviCe Contr01)是防止對物理設備的非授權接觸的控制。
應用控制包括:
· 輸入控制(input Contr01)包括輸入授權(input AuthorizAtion)、數據轉換(DAtA Conversion)和編輯檢驗(eDit CheCks)。其中,編輯檢驗又包括合理性檢驗 (reAsonABleness CheCks)、格式檢驗(formAt CheCks)、存在性檢驗(existenCe CheCks)、依賴性檢驗(DepenDenCy CheCks) (又稱相關性檢驗)、檢驗位 (CheCk Digit)、重新輸入控制(reinput Control)等。
· 處理控制(proCessing Contr01),包括運行總數控制(run Control totAls)、計算機匹配(Computer mAtChing)、并發控制(ConCurrenCy Contr01)。
· 輸出控制(output Contr01)包括平衡總數(BAlAnCing totAls)、復核處理日志(review of proCessing logs)、審核輸出報告(AuDit of output report)、審核制度與文件(AuDit of proCeDures AnD DoCumentAtion)。
(責任編輯:中大編輯)