freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

[內部審計]信息系統(tǒng)審計(信息系統(tǒng)風險管理和持續(xù)性計劃)(ppt71頁)(1)-文庫吧資料

2025-01-26 01:17本頁面
  

【正文】 移走所有不必要的數(shù)據(jù)和軟件; ? 關閉所有互聯(lián)網服務器上不必要的邏輯端口; ? 監(jiān)視登錄計算機的企圖; ? 只有經過仔細檢查以后,才將文件在主要信息系統(tǒng)和互聯(lián)網計算機之間傳遞。數(shù)字線路具有較高的容量,不需要調制解調器,不會發(fā)生數(shù)字與模擬信號轉換錯誤。并且使用專線可以傳輸更多的數(shù)據(jù),數(shù)據(jù)傳輸錯誤也較少。因此未授權用戶無法重復使用密碼訪問系統(tǒng)。中心系統(tǒng)收到響應信號以后,經核實正確就可以允許用戶訪問系統(tǒng)。該手持設備生成一個相稱的“響應”“ 22233”。例如當有人想遠程登錄系統(tǒng)時,中心系統(tǒng)發(fā)出一個“挑戰(zhàn)”例如“ 121288”。這是典型的手持設備,大小與計算器相仿。即使未授權用戶能夠搭線竊聽獲取了數(shù)據(jù),也會因為加過密而無法使用。 ? ( 12)數(shù)據(jù)加密( data encryption)。 ? ( 11)聯(lián)入網絡的終端只能是特定的終端。這些工具的使用應受到監(jiān)督,并且只有在需要且經過授權以后才可以使用。 ? ( 10)外部供應商和咨詢商的訪問也應受到監(jiān)督。網絡管理員可以找到很多的工具、軟件監(jiān)督網絡的使用及網絡的性能。應定期檢查日志,尋找未經授權的行為。管理人員對這些雇員的工作進行監(jiān)督管理。還可以通過使用其他標記( token)來進行控制,確認外部用戶的確獲得訪問系統(tǒng)的權限。在這里是該雇員家中的電話。然后辦公系統(tǒng)斷開連接。他可以通過調制解調器呼叫辦公系統(tǒng)。這種調制解調器只允許由自己呼叫出去的連接訪問。這些連接可能是用戶系統(tǒng)的薄弱點,特別是當這些連接未被允許時。用戶應確保擁有合適的登錄口令和資源訪問權限。這些文檔通常作為機密文檔保存。 ? ( 3)網絡文檔 ? 用戶應有數(shù)份描述網絡邏輯和物理層次的文檔。 44 審計人員可能遇到的控制: ? ( 1)網絡安全政策 ? 這可能是企業(yè)整體 IT安全政策的一部分。因此在保護網絡設備不被濫用和盜竊的同時,還需要將精力集中于邏輯訪問和管理控制。 ? 違反版權和數(shù)據(jù)保護法:由于用戶可以從網上隨便獲得數(shù)據(jù)和軟件,從而導致觸犯當?shù)氐陌鏅嗪蛿?shù)據(jù)保護法。 ? 病毒與蠕蟲感染:蠕蟲感染是特別經過設計,用于網絡傳播的。通信線路也超出了用戶的范圍而失去控制。 ? 系統(tǒng)無法使用:網絡連接以及服務器都可以被輕易破壞。 ? 來自內部或外部的欺詐:竊賊不再依賴槍和盜竊工具來打劫銀行。 ? 數(shù)據(jù)破壞:數(shù)據(jù)可能被用戶破壞,數(shù)據(jù)傳輸過程中可能發(fā)生錯誤。一旦客戶的系統(tǒng)連入了網絡,就可能存在被外部人員(黑客)和未經授權的同事訪問的風險。 ? 交易審計日志用于記錄交易被系統(tǒng)處理的路徑和過程。計算機系統(tǒng)中的審計日志一般有兩種:安全審計日志和交易審計日志。而下一步控制則是檢測非法用戶的訪問試圖和行為。也有一些用于微機的安全軟件包。 ? 如果操作系統(tǒng)中沒有邏輯訪問安全措施,用戶可以安裝一個獨立的軟件包。 C2級標準要求操作系統(tǒng)使用登錄控制、審計安全相關事件以及隔離資源等措施,控制訪問。其中 A1級是最安全的。美國國家計算機安全信息中心( NCSC)于 1983年提出了可信計算機系統(tǒng)評估準則 TCSEC( trusted puter system evaluation criteria) ,規(guī)定了安全計算機系統(tǒng)的基本準則,通常稱為“桔皮書”( orange book)。各家產品不同,邏輯訪問控制的力度也不同。 ? 系統(tǒng)管理員與應用管理員的職責應分離。這有助于應用管理員依據(jù)每個用戶的需要設置訪問權限。這樣可以保護系統(tǒng)資源不被外部人員和未經授權 IT人員使用。應用管理員則負責管理在應用軟件中誰能做什么。 IT部門人員負責管理誰能登錄網絡,以及登錄網絡以后可以訪問什么應用和數(shù)據(jù)文件。 37 操作系統(tǒng)和應用訪問控制 ? 邏輯訪問控制存在兩個層次:系統(tǒng)層次( installation level)和應用層次( application level)。公司的安全政策通常是以上較短的文檔。管理人員通過制定公司的訪問安全政策,從而為邏輯訪問控制指明方向。 34 邏輯訪問的風險 信息缺乏邏輯訪問控制的主要影響包括: ? 未經允許的泄漏; ? 未經授權的修改; ? 系統(tǒng)完整性受到破壞。資源保護應基于每個用戶的需要。一般到辦法是口令( passwords)、身份證代碼、簽名或其他生物特征例如手印等。 ? 身份 計算機需要核實這個人到底是誰。 31 防水 進入機房的水可能來自以下方面: ? 洪水; ? 屋頂漏水; ? 爆裂的管道; ? 洗手間或水池溢水; ? 冷卻系統(tǒng)漏水。 – 自動滅火系統(tǒng) ? 自動滅火器通常使用水或 halon。 29 環(huán)境控制 ? 火災的預防、檢測和撲救 ? 防水 ? 電源的保護和控制 ? 高溫、通風和空調 ? 維護與房間保潔 30 火災的預防、檢測和撲救 ? 火災的預防控制 ? 火災撲救系統(tǒng)包括: – 手持滅火器; ? 一些滅火器適合電子設備,例如二氧化碳或halon( BCF)滅火器。以防止未經授權的人跟隨其他人進入。前一門未鎖上,后一門不能打開。 28 其他常見物理控制措施(續(xù)) ? 人員擔保:所有服務人員應該有擔保。 ? 電子日志:在電子或生物安全系統(tǒng)中,所有的來客都要做日志記錄,特別是失敗的進入試圖需要被特別標記。 ? 組合門禁系統(tǒng)或密碼鎖 ? 電子門禁系統(tǒng) ? 生物門禁系統(tǒng) 27 其他常見的物理控制措施 ? 電視攝像頭 ? 警衛(wèi) ? 雇員在上班時間以外的控制; ? 計算機鎖 ? 手工日志記錄:來客需要登記姓名、單位、事由和會見人。例如當雇員晚上回家或外出吃飯時,應鎖好鍵盤、將筆記本電腦鎖入抽屜、鎖好軟盤等。來訪人在放行之前應提供一些證件加以確認。 ? 從安全區(qū)的在外層防護到建筑物的入口、計算機間和終端,應該通過多層控制措施,控制對用戶站點和安全區(qū)域的訪問。例如,可以將一棟大樓、一個計算機房、一個打印間當作一個管理區(qū)域。照明設備停工,灰塵或污垢聚集等。 22 與物理和環(huán)境控制相關的風險 ( 1)物理風險 ? 員工 ( IT雇員、清潔工、警衛(wèi)及其他人員)有意或無意的破壞; ? 計算機或其零部件失竊; ? 電壓波動導致設備損壞或數(shù)據(jù)丟失或損壞; ? 存在繞過邏輯訪問控制的旁路; ? 復制或查閱敏感或機密的信息。 21 物理與環(huán)境控制 ? 物理控制:是用于阻止對 IT設備未經授權訪問,防止其發(fā)生故障的機制和管理過程。這些控制用于確保所有交易均是合法的,經過授權,并被記錄下來。 19 綜合控制主要包括以下幾類: ? 組織和管理(高水平的信息技術政策和標準); ? 職責
點擊復制文檔內容
教學課件相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1