freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

信息系統(tǒng)風險管理審計概述(編輯修改稿)

2025-03-23 00:32 本頁面
 

【文章內容簡介】 C B BB A1。其中 A1級是最安全的。除非有特別的安全需要,否則多數財務系統(tǒng)都依照 C2級標準。 C2級標準要求操作系統(tǒng)使用登錄控制、審計安全相關事件以及隔離資源等措施,控制訪問。因此如果審計人員被告知該系統(tǒng)達到 C2級,則意味著系統(tǒng)中包括了用戶辨別( identification)、身份鑒定( authentication)和日志( logging)控制。 ? 如果操作系統(tǒng)中沒有邏輯訪問安全措施,用戶可以安裝一個獨立的軟件包。例如在 IBM大型機中安裝訪問控制軟件包 RACF或 ACF2。也有一些用于微機的安全軟件包。 39 邏輯訪問控制 ? ( 1)登錄過程( logon procedures) ? ( 2)用戶辨別( identification) ? ( 3)身份鑒定( authentication) ? ( 4)資源保護 ? ( 5)其他邏輯訪問控制 40 日志 ? 前面講述到控制均用于防止非法用戶訪問計算機系統(tǒng)。而下一步控制則是檢測非法用戶的訪問試圖和行為。這通??梢詮氖录罩居涗浿蝎@得。計算機系統(tǒng)中的審計日志一般有兩種:安全審計日志和交易審計日志。 ? 安全審計日志用于記錄各種用戶操作信息。 ? 交易審計日志用于記錄交易被系統(tǒng)處理的路徑和過程。 41 網絡控制與互聯網的使用 ? 1.與網絡相關的風險 ? 2.網絡控制( work controls) ? 3.互聯網控制( inter control ) 42 與網絡相關的風險 網絡將用戶的計算機帶入了一個廣闊,存在眾多潛在匿名用戶到空間。一旦客戶的系統(tǒng)連入了網絡,就可能存在被外部人員(黑客)和未經授權的同事訪問的風險。容易導致: ? 數據丟失:數據可能被故意刪除或在傳輸過程中丟失。 ? 數據破壞:數據可能被用戶破壞,數據傳輸過程中可能發(fā)生錯誤。例如由于線路的噪音干擾,發(fā)出的數據“ 1”,接收時變成了“ 0”。 ? 來自內部或外部的欺詐:竊賊不再依賴槍和盜竊工具來打劫銀行。一個風度翩翩的君子在世界的另一端,就可以侵入銀行系統(tǒng),將資金劃走。 ? 系統(tǒng)無法使用:網絡連接以及服務器都可以被輕易破壞。一個集線器的丟失,可以影響眾多用戶的操作處理。通信線路也超出了用戶的范圍而失去控制。 ? 泄密:一旦一些重要 的系統(tǒng)例如,人事系統(tǒng)、科研開發(fā)系統(tǒng)被連接到網絡上,就更增加了信息有意或無意泄漏的風險。 ? 病毒與蠕蟲感染:蠕蟲感染是特別經過設計,用于網絡傳播的。病毒感染經常發(fā)生,用戶應經常使用殺病毒軟件進行檢查,并對殺病毒軟件及時升級。 ? 違反版權和數據保護法:由于用戶可以從網上隨便獲得數據和軟件,從而導致觸犯當地的版權和數據保護法。 43 網絡控制( work controls) ? 網絡的特點決定了物理訪問控制的作用是有限的。因此在保護網絡設備不被濫用和盜竊的同時,還需要將精力集中于邏輯訪問和管理控制。根據各個用戶所確認的風險、操作系統(tǒng)、網絡控制軟件以及網絡和通信政策不同,用戶所需的邏輯訪問控制也不一樣。 44 審計人員可能遇到的控制: ? ( 1)網絡安全政策 ? 這可能是企業(yè)整體 IT安全政策的一部分。 ? ( 2)網絡標準、過程和操作指令 ? 這些應該基于網絡安全政策,并且文檔化;相關人員應可以得到該文檔的復印件。 ? ( 3)網絡文檔 ? 用戶應有數份描述網絡邏輯和物理層次的文檔。例如網絡布線圖。這些文檔通常作為機密文檔保存。 ? ( 4)邏輯訪問控制 ? 這是特別重要的。用戶應確保擁有合適的登錄口令和資源訪問權限。 ? ( 5)對外部連接的限制,例如調制解調器。這些連接可能是用戶系統(tǒng)的薄弱點,特別是當這些連接未被允許時。 45 審計人員可能遇到的控制: ? ( 6)當用戶被允許使用調制解調器時,可以考慮使用回叫調制解調器( call back modems)。這種調制解調器只允許由自己呼叫出去的連接訪問。例如,一個在家辦公的遠程用戶希望訪問系統(tǒng)。他可以通過調制解調器呼叫辦公系統(tǒng)。辦公系統(tǒng)建立連接并要求用戶提供 ID號。然后辦公系統(tǒng)斷開連接。如果 ID號是正確的,辦公系統(tǒng)按照預先設置好的電話號碼撥回。在這里是該雇員家中的電話。然后該雇員就可以訪問系統(tǒng)了。還可以通過使用其他標記( token)來進行控制,確認外部用戶的確獲得訪問系統(tǒng)的權限。 ? ( 7)網絡應該由經過適當培訓,具備相當經驗的雇員管理和控制。管理人員對這些雇員的工作進行監(jiān)督管理。 ? ( 8)特定的網絡事件應該被網絡操作系統(tǒng)自動記入日志。應定期檢查日志,尋找未經授權的行為。 46 審計人員可能遇到的控制: ? ( 9)使用網絡管理和監(jiān)控軟件包和設備。網絡管理員可以找到很多的工具、軟件監(jiān)督網絡的使用及網絡的性能。它們也可以用于檢查每個終端用戶計算機中所安裝的軟件。 ? ( 10)外部供應商和咨詢商的訪問也應受到監(jiān)督??蛻艚洺T试S軟件供應商通過遠程訪問連接對系統(tǒng)進行維護和故障修復。這些工具的使用應受到監(jiān)督,并且只有在需要且經過授權以后才可以使用。遠程連接的調制解調器只有管理人員同意才能激活,并且一旦任務完成,就應斷開。 ? ( 11)聯入網絡的終端只能是特定的終端。這可以通過終端號碼(例如網卡的號碼)或 IP地址進行控制。 ? ( 12)數據加密( data encryption)。在某些環(huán)境下,用戶可以將網上數據加密。即使未授權用戶能夠搭線竊聽獲取了數據,也會因為加過密而無法使用。 47 審計人員可能遇到的控制: ? ( 13)使用應答設備( challengeresponse devices)。這是典型的手持設備,大小與計算器相仿。這種設備通過允許遠程用戶對系統(tǒng)提出的信號作出應答的方式驗證遠程用戶的身份。例如當有人想遠程登錄系統(tǒng)時,中心系統(tǒng)發(fā)出一個“挑戰(zhàn)”例如“ 121288”。遠程用戶將這個代碼輸入手持設備。該手持設備生成一個相稱的“響應”“ 22233”。一般情況,用戶可以有 60秒鐘將信號輸入計算機。中心系統(tǒng)收到響應信號以后,經核實正確就可以允許用戶訪問系統(tǒng)。這種設備 的優(yōu)點在于每個“挑戰(zhàn)”“響應”信號是唯一的。因此未授權用戶無法重復使用密碼訪問系統(tǒng)。 ? ( 14)使用私有線路或專線 ? 如果線路是私有線路或專線,數據被截取的風險就低得多。并且使用專線可以傳輸更多的數據,數據傳輸錯誤也較少。 ? ( 15)使用數字線路而不是模擬線路。數字線路具有較高的容量,不需要調制解調器,不會發(fā)生數字與模擬信號轉換錯誤。 48 互聯網控制( inter control) 如果需要將計算機直接連接到互聯網絡上,那么最安全的措施是: ? 將計算機與主要信息系統(tǒng)物
點擊復制文檔內容
物理相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1