2010年內(nèi)審師實(shí)施內(nèi)部審計(jì)業(yè)務(wù)指導(dǎo)(9)

字號(hào):

訪問(wèn)控制技術(shù)尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。防火墻可以通過(guò)監(jiān)測(cè)、限制或更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部信息、結(jié)構(gòu)和運(yùn)行狀況以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)。
    應(yīng)急計(jì)劃或者叫業(yè)務(wù)持續(xù)性計(jì)劃的目的是當(dāng)組織及其信息系統(tǒng)在災(zāi)難事件發(fā)生時(shí),能夠減少或避免關(guān)鍵業(yè)務(wù)中斷,保證組織生存且持續(xù)運(yùn)營(yíng)。應(yīng)急計(jì)劃應(yīng)納入企業(yè)IT總體規(guī)劃,并成為企業(yè)風(fēng)險(xiǎn)管理框架的組成部分。保證企業(yè)的業(yè)務(wù)持續(xù)性是管理層的職責(zé)。災(zāi)難恢復(fù)計(jì)劃的一個(gè)重要組成部分是備份和重新啟動(dòng)程序;驗(yàn)證災(zāi)難恢復(fù)計(jì)劃充分性的手段是事先未通知的恢復(fù)測(cè)試,通??梢阅M中斷時(shí)的情況或?qū)謴?fù)過(guò)程進(jìn)行一次穿行測(cè)試。
    審計(jì)師對(duì)應(yīng)急計(jì)劃進(jìn)行審計(jì),應(yīng)將其與相應(yīng)的標(biāo)準(zhǔn)和法律進(jìn)行比較,評(píng)估該計(jì)劃的適用性與實(shí)效性,通過(guò)模擬測(cè)試,檢查測(cè)試結(jié)果,評(píng)估應(yīng)急計(jì)劃在災(zāi)難發(fā)生時(shí)是否真正有效發(fā)揮作用以及系統(tǒng)和員工的迅速應(yīng)變能力;如果有在異地存放設(shè)施的情況,還應(yīng)該對(duì)其安全性和環(huán)境控制進(jìn)行適當(dāng)性的評(píng)估。
    數(shù)據(jù)庫(kù)由于數(shù)據(jù)庫(kù)是存放所有系統(tǒng)信息的介質(zhì),如果數(shù)據(jù)庫(kù)丟失了或者被篡改了,那造成的影響是非常嚴(yán)重的。因此在對(duì)數(shù)據(jù)庫(kù)進(jìn)行審計(jì)時(shí),審計(jì)師需要重點(diǎn)審查對(duì)數(shù)據(jù)庫(kù)的存儲(chǔ)和訪問(wèn)是否設(shè)置了適當(dāng)?shù)目刂?,確定所有用戶的安全級(jí)別和角色、訪問(wèn)權(quán)限,并確認(rèn)設(shè)立了對(duì)數(shù)據(jù)庫(kù)的有備份和災(zāi)難恢復(fù)程序。此外,為保證數(shù)據(jù)的安全性和機(jī)密性,審計(jì)師也要確保數(shù)據(jù)庫(kù)與其他系統(tǒng)的信息傳輸過(guò)程中有適當(dāng)?shù)目刂拼胧?BR>    題目8:為了適當(dāng)控制對(duì)會(huì)計(jì)數(shù)據(jù)庫(kù)文件的訪問(wèn),數(shù)據(jù)庫(kù)管理人員可以采取什么訪問(wèn)控制的方式確保數(shù)據(jù)庫(kù)的安全性?
    a.用只讀方式訪問(wèn)數(shù)據(jù)庫(kù)文件 。
    b.特權(quán)軟件對(duì)數(shù)據(jù)進(jìn)行更新。
    c.只訪問(wèn)經(jīng)過(guò)授權(quán)的邏輯視圖。
    d.用戶修改其訪問(wèn)模式。
    答案:c
    解題思路:a.不正確。只讀控制可以防止對(duì)數(shù)據(jù)的非授權(quán)修改,但不能防止對(duì)數(shù)據(jù)的非授權(quán)讀取。
    b.不正確。允許特權(quán)軟件對(duì)數(shù)據(jù)進(jìn)行更新不能防止用戶對(duì)數(shù)據(jù)的非授權(quán)訪問(wèn)。
    c.正確。邏輯視圖從一個(gè)或多個(gè)數(shù)據(jù)庫(kù)表中生成新的數(shù)據(jù)結(jié)構(gòu),以更適合用戶使用的方式表示數(shù)據(jù)。對(duì)視圖通常只能進(jìn)行查詢操作,通過(guò)限制用戶只能對(duì)授權(quán)的視圖、而不表是進(jìn)行訪問(wèn),可防止用戶對(duì)表數(shù)據(jù)的非授權(quán)訪問(wèn)。
    d.不正確。允許用戶修改其訪問(wèn)配置文件不能防止用戶對(duì)數(shù)據(jù)的非授權(quán)訪問(wèn)。
    網(wǎng)絡(luò)基礎(chǔ)設(shè)施是當(dāng)今因特網(wǎng)應(yīng)用中間層的基礎(chǔ)資源——運(yùn)行在操作系統(tǒng)平臺(tái)上的網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器。網(wǎng)絡(luò)基礎(chǔ)設(shè)施必須得到有效的管理。
    題目9:利用因特網(wǎng)資源最困難的是
    a.實(shí)現(xiàn)物理連接。
    b.定位的信息源。
    c.獲得所需的設(shè)備。
    d.獲得訪問(wèn)的授權(quán)。
    答案:b
    解題思路:a.不正確。物理連接因特網(wǎng)很容易,因特網(wǎng)訪問(wèn)端口的數(shù)量沒(méi)有任何限制。
    b.正確。使用因特網(wǎng)資源的困難是在龐大的信息資源中定位最有用的信息。
    c.不正確。現(xiàn)代上網(wǎng)所需設(shè)備就非常簡(jiǎn)單了,一般的寬帶只需要一臺(tái)電腦、一個(gè)調(diào)制解調(diào)器(就是我們通常所說(shuō)的MORDEN)、一條電話線就可以了,有些網(wǎng)絡(luò)可能需要在電腦安裝個(gè)撥號(hào)軟件,但都是非常簡(jiǎn)便的。
    d.不正確。因?yàn)榧词菇M織設(shè)了內(nèi)網(wǎng)限制,也只是局部的限制,個(gè)人在家或其他地方是可以單獨(dú)訂購(gòu)上網(wǎng)服務(wù)的。
    題目10:組織中使用了未經(jīng)許可的軟件,則
    I.增加了感染病毒的風(fēng)險(xiǎn)。
    II.如果只涉及低成本軟件,就不是嚴(yán)重的風(fēng)險(xiǎn)。
    III.會(huì)被在網(wǎng)絡(luò)服務(wù)器上運(yùn)行的例行檢查軟件探測(cè)出來(lái)。
    a.只有I
    b.II和III
    c.I、II和III
    d.I和III
    答案:a
    解題思路:I.正確。使用未經(jīng)許可的軟件可能引入包括病毒在內(nèi)的各種風(fēng)險(xiǎn)。
    II.不正確。使用未經(jīng)許可的軟件可能影響運(yùn)行該軟件的整個(gè)系統(tǒng),因此無(wú)論該軟件的成本高低,都是嚴(yán)重的風(fēng)險(xiǎn)。
    III.不正確 。在服務(wù)器上運(yùn)行的例行檢查軟件不是總能探測(cè)出網(wǎng)絡(luò)中是否存在未經(jīng)許可的軟件,尤其當(dāng)這些軟件尚未運(yùn)行時(shí)。
    從本題可以看出,使用獲得軟件許可的軟件對(duì)于組織來(lái)所是必要的,因?yàn)槭褂帽I版軟件一方面違反版權(quán)法,需要承擔(dān)法律責(zé)任,另一方面由于盜版軟件本身可能攜帶病毒,所以容易受感染從而影響計(jì)算機(jī)甚至整個(gè)組織的其他的機(jī)器。