freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息系統(tǒng)風(fēng)險(xiǎn)管理和持續(xù)性計(jì)劃-在線瀏覽

2025-04-05 23:52本頁(yè)面
  

【正文】 ? 來(lái)訪人員必須登記,包括他是誰(shuí),在哪工作,找誰(shuí)、來(lái)訪時(shí)間、離開(kāi)時(shí)間等。 ? 辦公室無(wú)人照管時(shí)的控制過(guò)程。 27 門禁系統(tǒng)( locks on doors) 常見(jiàn)的門禁系統(tǒng)包括: ? 使用機(jī)械鑰匙的鎖。在進(jìn)入前需要出示身份證明。 ? 控制的來(lái)客接觸:所有來(lái)客都應(yīng)有雇員護(hù)送。 ? 死人門( deadman doors):該系統(tǒng)使用一對(duì)門。在兩個(gè)門之間只能有一個(gè)人。 ? 不宣揚(yáng)敏感設(shè)備的位置; ? 計(jì)算機(jī)終端鎖; ? 經(jīng)控制的單個(gè)輸入點(diǎn); ? 夜賊警報(bào)系統(tǒng); ? 安全的文件分發(fā)車。 ? 水滅火器可以放在計(jì)算機(jī)耗材庫(kù)房中。 Halon對(duì)計(jì)算機(jī)設(shè)備無(wú)害,并且相對(duì)二氧化碳來(lái)說(shuō),危害較小。 33 邏輯訪問(wèn)控制 ? 基本概念 ? 邏輯訪問(wèn)的風(fēng)險(xiǎn) ? 需要保護(hù)的資源、文件和工具 ? 訪問(wèn)安全框架 ? 操作系統(tǒng)和應(yīng)用訪問(wèn)控制 ? 日志 34 基本概念 邏輯訪問(wèn)安全有三個(gè)最基本的組成部份 ? 用戶身份 通常使用用戶名或登錄 ID號(hào),來(lái)表明用戶的身份??梢酝ㄟ^(guò)用戶擁有的,或知道的東西加以確認(rèn)。 ? 資源保護(hù) 資源是計(jì)算機(jī)文件、目錄和外圍設(shè)備。例如當(dāng)某個(gè)用戶登錄計(jì)算機(jī)以后,可以其只能訪問(wèn)某些文件、應(yīng)用或其他工作需要的資源。 計(jì)算機(jī)系統(tǒng)可能受到不同方面的襲擊,包括: ( 1)黑客 ( 2)雇員 ( 3)已辭退的雇員 ( 4)外部人員 ( 5)供貨商或咨詢商 36 需要保護(hù)的資源、文件和工具 ? ( 1)數(shù)據(jù)文件 ? ( 2)應(yīng)用軟件 ? ( 3)口令文件 ? ( 4)系統(tǒng)軟件和工具 ? ( 5)日志文件 ? ( 6)緩沖區(qū)文件和臨時(shí)文件 37 訪問(wèn)安全框架 ? 確保充分的控制應(yīng)防范任何可能的風(fēng)險(xiǎn)是用戶經(jīng)理的責(zé)任。 ? 在制定政策時(shí),管理人員應(yīng)定義企業(yè)經(jīng)營(yíng)對(duì)訪問(wèn)控制的需求,及每個(gè)系統(tǒng)的訪問(wèn)需求。包括以下內(nèi)容: – 定義 – 安全政策陳述; – 責(zé)任 ? 詳細(xì)的邏輯訪問(wèn)控制將基于公司 IT安全并向高層陳述。因此訪問(wèn)控制可以建立于: – 操作系統(tǒng)(或系統(tǒng)工具) – 每個(gè)應(yīng)用 ? 每層的邏輯訪問(wèn)控制均由不同的管理員實(shí)現(xiàn)。這些人在系統(tǒng)層次控制訪問(wèn)。 – IT部門的系統(tǒng)管理員對(duì)操作系統(tǒng)及其資源有更好理解,知道什么應(yīng)用軟件和工具程序需要保護(hù)。 – 應(yīng)用管理員對(duì)應(yīng)用軟件以及誰(shuí)將使用軟件比較了解。這樣可以確保用戶只擁有工作需要的訪問(wèn)權(quán)限。 39 系統(tǒng)級(jí)的邏輯訪問(wèn)控制 ? 各種操作系統(tǒng)軟件中都內(nèi)置了邏輯訪問(wèn)控制,例如 UNIX、 Novell、 NT。一些組織對(duì)操作系統(tǒng)的安全特征進(jìn)行了獨(dú)立測(cè)試。 ? 桔皮書(shū)將計(jì)算機(jī)系統(tǒng)的安全等級(jí)劃分為四類七級(jí): D、 C C B BB A1。除非有特別的安全需要,否則多數(shù)財(cái)務(wù)系統(tǒng)都依照 C2級(jí)標(biāo)準(zhǔn)。因此如果審計(jì)人員被告知該系統(tǒng)達(dá)到 C2級(jí),則意味著系統(tǒng)中包括了用戶辨別( identification)、身份鑒定( authentication)和日志( logging)控制。例如在 IBM大型機(jī)中安裝訪問(wèn)控制軟件包 RACF或 ACF2。 40 邏輯訪問(wèn)控制 ? ( 1)登錄過(guò)程( logon procedures) ? ( 2)用戶辨別( identification) ? ( 3)身份鑒定( authentication) ? ( 4)資源保護(hù) ? ( 5)其他邏輯訪問(wèn)控制 41 日志 ? 前面講述到控制均用于防止非法用戶訪問(wèn)計(jì)算機(jī)系統(tǒng)。這通??梢詮氖录罩居涗浿蝎@得。 ? 安全審計(jì)日志用于記錄各種用戶操作信息。 42 網(wǎng)絡(luò)控制與互聯(lián)網(wǎng)的使用 ? 1.與網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn) ? 2.網(wǎng)絡(luò)控制( work controls) ? 3.互聯(lián)網(wǎng)控制( inter control ) 43 與網(wǎng)絡(luò)相關(guān)的風(fēng)險(xiǎn) 網(wǎng)絡(luò)將用戶的計(jì)算機(jī)帶入了一個(gè)廣闊,存在眾多潛在匿名用戶到空間。容易導(dǎo)致: ? 數(shù)據(jù)丟失:數(shù)據(jù)可能被故意刪除或在傳輸過(guò)程中丟失。例如由于線路的噪音干擾,發(fā)出的數(shù)據(jù)“ 1”,接收時(shí)變成了“ 0”。一個(gè)風(fēng)度翩翩的君子在世界的另一端,就可以侵入銀行系統(tǒng),將資金劃走。一個(gè)集線器的丟失,可以影響眾多用戶的操作處理。 ? 泄密:一旦一些重要 的系統(tǒng)例如,人事系統(tǒng)、科研開(kāi)發(fā)系統(tǒng)被連接到網(wǎng)絡(luò)上,就更增加了信息有意或無(wú)意泄漏的風(fēng)險(xiǎn)。病毒感染經(jīng)常發(fā)生,用戶應(yīng)經(jīng)常使用殺病毒軟件進(jìn)行檢查,并對(duì)殺病毒軟件及時(shí)升級(jí)。 44 網(wǎng)絡(luò)控制( work controls) ? 網(wǎng)絡(luò)的特點(diǎn)決定了物理訪問(wèn)控制的作用是有限的。根據(jù)各個(gè)用戶所確認(rèn)的風(fēng)險(xiǎn)、操作系統(tǒng)、網(wǎng)絡(luò)控制軟件以及網(wǎng)絡(luò)和通信政策不同,用戶所需的邏輯訪問(wèn)控制也不一樣。 ? ( 2)網(wǎng)絡(luò)標(biāo)準(zhǔn)、過(guò)程和操作指令 ? 這些應(yīng)該基于網(wǎng)絡(luò)安全政策,并且文檔化;相關(guān)人員應(yīng)可以得到該文檔的復(fù)印件。例如網(wǎng)絡(luò)布線圖。 ? ( 4)邏輯訪問(wèn)控制 ? 這是特別重要的。 ? ( 5)對(duì)外部連接的限制,例如調(diào)制解調(diào)器。 46 審計(jì)人員可能遇到的控制: ? ( 6)當(dāng)用戶被允許使用調(diào)制解調(diào)器時(shí),可以考慮使用回叫調(diào)制解調(diào)器( call back modems)。例如,一個(gè)在家辦公的遠(yuǎn)程用戶希望訪問(wèn)系統(tǒng)。辦公系統(tǒng)建立連接并要求用戶提供 ID號(hào)。如果 ID號(hào)是正確的,辦公系統(tǒng)按照預(yù)先設(shè)置好的電話號(hào)碼撥回。然后該雇員就可以訪問(wèn)系統(tǒng)了。 ? ( 7)網(wǎng)絡(luò)應(yīng)該由經(jīng)過(guò)適當(dāng)培訓(xùn),具備相當(dāng)經(jīng)驗(yàn)的雇員管理和控制。 ? ( 8)特定的網(wǎng)絡(luò)事件應(yīng)該被網(wǎng)絡(luò)操作系統(tǒng)自動(dòng)記入日志。 47 審計(jì)人員可能遇到的控制: ? ( 9)使用網(wǎng)絡(luò)管理和監(jiān)控軟件包和設(shè)備。它們也可以用于檢查每個(gè)終端用戶計(jì)算機(jī)中所安裝的軟件??蛻艚?jīng)常允許軟件供應(yīng)商通過(guò)遠(yuǎn)程訪問(wèn)連接對(duì)系統(tǒng)進(jìn)行維護(hù)和故障修復(fù)。遠(yuǎn)程連接的調(diào)制解調(diào)器只有管理人員同意才能激活,并且一旦任務(wù)完成,就應(yīng)斷開(kāi)。這可以通過(guò)終端號(hào)碼(例如網(wǎng)卡的號(hào)碼)或 IP地址進(jìn)行控制。在某些環(huán)境下,用戶可以將網(wǎng)上數(shù)據(jù)加密。 48 審計(jì)人員可能遇到的控制: ? ( 13)使用應(yīng)答設(shè)備( challengeresponse devices)。這種設(shè)備通過(guò)允許遠(yuǎn)程用戶對(duì)系統(tǒng)提出的信號(hào)作出應(yīng)答的方式驗(yàn)證遠(yuǎn)程用戶的身份。遠(yuǎn)程用戶將這個(gè)代碼輸入手持設(shè)備。一般情況,用戶可以有 60秒鐘將信號(hào)輸入計(jì)算機(jī)。這種設(shè)備 的優(yōu)點(diǎn)在于每個(gè)“挑戰(zhàn)”“響應(yīng)”信號(hào)是唯一的。 ? ( 14)使用私有線路或?qū)>€ ? 如果
點(diǎn)擊復(fù)制文檔內(nèi)容
外語(yǔ)相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1