為了幫助考生系統的復習2011年內部審計師考試課程，全面的了解內審師考試教材的相關重點，小編特編輯匯總了2011年國際內審師考試輔導資料，希望對您參加本次考試有所幫助！

內部審計師考試《經營分析和信息技術》知識點：系統安全

15.2 Access Control Technologies

訪問控制技術

訪問控制技術確保只有被授權用戶才能實現對特定數據和資源的訪問。訪問控制技術可以應用在信息系統的不同層次，如操作系統訪問控制、數據庫訪問控制、網頁訪問控制等。但訪問控制技術的應用必須適當合理，尤其應注意系統安全性和系統可用性之間的平衡。訪問控制技術包括用戶身份標識（identification）和鑒別（authentication）、訪問控制列表（ACL：access control list）和審計追蹤（audit trails）等。

用戶標識（UID：user identifier）：用于唯一地確定一個用戶的身份，是實施訪問控制的前提。

口令（passwords）：鑒別用戶身份的常用手段之一，通過使用口令可以明確用戶的責任。例如，對應付款系統數據終端的訪問控制就可以要求激活終端數據必須使用口令并對數據終端的活動進行記錄，以明確該終端用戶對其所進行活動應負的責任。

口令應由用戶掌握和修改，還可以按用戶的權限設置不同的口令等級，以防止掌握口令的人非法訪問服務器上的所有用戶文件。口令應該嚴格保密，并且在終端輸入時不應該顯示。為了防止口令被猜出，可使用能夠實施口令組合標準的訪問控制軟件；為了防止存儲在系統中的口令被竊取，可使用能夠實施口令加密的訪問控制軟件。

有的用戶因為進入系統過程較瑣碎枯燥，就把登錄串包括口令存在個人電腦里，以待進入主機設施時再調用，這樣任何能訪問用戶個人計算機的人就能訪問主機。因此，對于高安全級別的系統，應采用更安全的身份識別技術，如智能IC卡、生物技術（biometric technologies）等。

屏幕保護程序口令安全性較低，因為它很容易被繞過。

授權（Authorization）使用戶能訪問特定的數據和資源。應建立數據分級方案和用戶標識方案，并根據"知必所需"（need to know）的原則建立訪問控制列表，確保雇員只能訪問對完成其工作確有必要的信息。

訪問日志（Access Log）對用戶訪問信息系統的時間、內容等進行記錄，便于分析控制。安裝訪問日志系統屬于檢測性控制措施，它雖然可以發現未經授權的訪問，但不能防止其發生。

自動注銷登錄（Automatic Log-off）自動撤消非活動終端的登錄可以防止通過無人照管的終端來訪問主機上的敏感數據。

回撥（Callback）指遠程用戶撥叫主機后應立即掛斷，由主機回撥該用戶以保證信息按指定線路傳輸。例如：在電子資金匯劃系統中，為了保證數據只傳送給被授權的用戶，最有效的控制措施就是要求接受數據的金融機構使用回撥系統。

工具軟件（Utility Software Restrictions）可以繞過訪問控制和審計，管理層應制定限制使用具有訪問特權的工具軟件的政策，以降低利用特權軟件進行非法訪問的風險。

安全軟件（security software）的功能是限制對系統資源的訪問，但不能限制未經許可軟件的安裝，也不能監控職責分離。使用安全軟件要注意使安全軟件與操作系統在安全控制方面保持同步。

相關文章：

2011年內審師考試分析技術輔導：系統安全匯總

2011年國際內審師考試輔導：應急計劃匯總

更多關注：內部審計師考試報考指南   考試培訓   成績管理

（責任編輯：中大編輯）

共2頁,當前第1頁  第一頁  前一頁  下一頁