2010年內(nèi)審師CIA《分析和信息技術(shù)》:信息技術(shù)(15)

字號(hào):

1. 系統(tǒng)安全
    系統(tǒng)安全是在風(fēng)險(xiǎn)分析的基礎(chǔ)上,選擇適宜的控制目標(biāo)與控制方式,對(duì)系統(tǒng)的安全進(jìn)行控制,使信息資產(chǎn)的風(fēng)險(xiǎn)降到組織可以接受的水平。
    1.1. 一般控制和應(yīng)用控制★★
    應(yīng)用控制與一般控制是兩個(gè)不同層次的控制手段:
    ¡ 一般控制(General Control)包括各種相對(duì)通用的控制手段和技術(shù),包括:管理控制、計(jì)算機(jī)運(yùn)行控制、系統(tǒng)實(shí)施控制、軟件控制、硬件控制、訪問(wèn)控制和數(shù)據(jù)安全控制等。
    ¡ 應(yīng)用控制(Application Control)包括和特定應(yīng)用相關(guān)的、為保障應(yīng)用程序正確運(yùn)行而設(shè)定的控制,如輸入控制(input control)、處理控制(process control)、輸出控制(output control)等。
    相對(duì)于應(yīng)用控制,一般控制更為基礎(chǔ),且其有效性不受應(yīng)用控制的影響。相反,應(yīng)用控制的有效性則往往受到一般控制,尤其是操作系統(tǒng)訪問(wèn)控制的影響。當(dāng)審計(jì)師審查一個(gè)應(yīng)用系統(tǒng)的應(yīng)用控制時(shí),應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。對(duì)于較復(fù)雜的信息系統(tǒng),通常應(yīng)結(jié)合使用這兩種控制技術(shù)。
    一般控制包括:
    ¡ 管理控制(administrative control)的主要目標(biāo)是實(shí)現(xiàn)職責(zé)分離。常見(jiàn)的管理控制包括:系統(tǒng)分析員不應(yīng)該接觸計(jì)算機(jī)設(shè)備、數(shù)據(jù)和程序;計(jì)算機(jī)編程人員不應(yīng)該接觸計(jì)算機(jī)設(shè)備、數(shù)據(jù)和已交付使用的程序;操作員不應(yīng)該參與系統(tǒng)設(shè)計(jì)或更改程序,這樣可以地防止擁有充分技術(shù)的人員繞過(guò)安全程序,對(duì)生產(chǎn)程序進(jìn)行修改。
    ¡ 運(yùn)行控制(operations control)包括:計(jì)算機(jī)運(yùn)行控制是為確保系統(tǒng)的正常運(yùn)行而實(shí)施的控制。例如,對(duì)不需要的文件要在受控條件下及時(shí)刪除;
    ¡ 系統(tǒng)實(shí)施控制(implementation control)是在系統(tǒng)開發(fā)實(shí)施過(guò)程的各個(gè)環(huán)節(jié)都建立控制點(diǎn)并編制文檔以保證系統(tǒng)的實(shí)施是在適當(dāng)?shù)目刂坪凸芾碇拢臋n應(yīng)從技術(shù)和應(yīng)用兩個(gè)角度說(shuō)明系統(tǒng)是如何運(yùn)行的;
    ¡ 軟件控制(software control)是保證已投入運(yùn)行的軟件未經(jīng)許可不得修改的控制;
    ¡ 硬件控制(hardware control)是保證硬件正常運(yùn)行的控制,如回波檢驗(yàn)(echo check)、奇偶校驗(yàn)(parity check)等;
    ¡ 訪問(wèn)控制(access control)是確保只有被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源進(jìn)行訪問(wèn)的控制,通常特指邏輯訪問(wèn)控制(logical access control);
    ¡ 物理設(shè)備控制(physical device control)是防止對(duì)物理設(shè)備的非授權(quán)接觸的控制。
    應(yīng)用控制包括:
    ¡ 輸入控制(input control)包括輸入授權(quán)(input authorization)、數(shù)據(jù)轉(zhuǎn)換(data conversion)和編輯檢驗(yàn)(edit checks)。其中,編輯檢驗(yàn)又包括合理性檢驗(yàn) (reasonableness checks)、格式檢驗(yàn)(format checks)、存在性檢驗(yàn)(existence checks)、依賴性檢驗(yàn)(dependency checks)(又稱相關(guān)性檢驗(yàn))、檢驗(yàn)位 (check digit)、重新輸入控制(reinput control)等。
    ¡ 處理控制(processing control),包括運(yùn)行總數(shù)控制(run control totals)、計(jì)算機(jī)匹配(computer matching)、并發(fā)控制(concurrency control)。
    ¡ 輸出控制(output control)包括平衡總數(shù)(balancing totals)、復(fù)核處理日志(review of processing logs)、審核輸出報(bào)告(audit of output report)、審核制度與文件(audit of procedures and documentation)。
    1.1. 訪問(wèn)控制技術(shù)
    訪問(wèn)控制技術(shù)確保只有被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源的訪問(wèn)。訪問(wèn)控制技術(shù)可以應(yīng)用在信息系統(tǒng)的不同層次,如操作系統(tǒng)訪問(wèn)控制、數(shù)據(jù)庫(kù)訪問(wèn)控制、網(wǎng)頁(yè)訪問(wèn)控制等。但訪問(wèn)控制技術(shù)的應(yīng)用必須適當(dāng)合理,尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。訪問(wèn)控制技術(shù)包括用戶身份標(biāo)識(shí)(identification)和鑒別(authentication)、訪問(wèn)控制列表(ACL:access control list)和審計(jì)追蹤(audit trails)等。
    用戶標(biāo)識(shí)(UID:user identifier):用于地確定一個(gè)用戶的身份,是實(shí)施訪問(wèn)控制的前提。
    口令(passwords):鑒別用戶身份的常用手段之一,通過(guò)使用口令可以明確用戶的責(zé)任。例如,對(duì)應(yīng)付款系統(tǒng)數(shù)據(jù)終端的訪問(wèn)控制就可以要求激活終端數(shù)據(jù)必須使用口令并對(duì)數(shù)據(jù)終端的活動(dòng)進(jìn)行記錄,以明確該終端用戶對(duì)其所進(jìn)行活動(dòng)應(yīng)負(fù)的責(zé)任。
    口令應(yīng)由用戶掌握和修改,還可以按用戶的權(quán)限設(shè)置不同的口令等級(jí),以防止掌握口令的人非法訪問(wèn)服務(wù)器上的所有用戶文件??诹顟?yīng)該嚴(yán)格保密,并且在終端輸入時(shí)不應(yīng)該顯示。為了防止口令被猜出,可使用能夠?qū)嵤┛诹罱M合標(biāo)準(zhǔn)的訪問(wèn)控制軟件;為了防止存儲(chǔ)在系統(tǒng)中的口令被竊取,可使用能夠?qū)嵤┛诹罴用艿脑L問(wèn)控制軟件。
    有的用戶因?yàn)檫M(jìn)入系統(tǒng)過(guò)程較瑣碎枯燥,就把登錄串包括口令存在個(gè)人電腦里,以待進(jìn)入主機(jī)設(shè)施時(shí)再調(diào)用,這樣任何能訪問(wèn)用戶個(gè)人計(jì)算機(jī)的人就能訪問(wèn)主機(jī)。因此,對(duì)于高安全級(jí)別的系統(tǒng),應(yīng)采用更安全的身份識(shí)別技術(shù),如智能IC卡、生物技術(shù)(biometric technologies)等。
    屏幕保護(hù)程序口令安全性較低,因?yàn)樗苋菀妆焕@過(guò)??荚囌搲?BR>    授權(quán)(Authorization)使用戶能訪問(wèn)特定的數(shù)據(jù)和資源。應(yīng)建立數(shù)據(jù)分級(jí)方案和用戶標(biāo)識(shí)方案,并根據(jù)“知必所需"(need to know)的原則建立訪問(wèn)控制列表,確保雇員只能訪問(wèn)對(duì)完成其工作確有必要的信息。
    訪問(wèn)日志(Access Log)對(duì)用戶訪問(wèn)信息系統(tǒng)的時(shí)間、內(nèi)容等進(jìn)行記錄,便于分析控制。安裝訪問(wèn)日志系統(tǒng)屬于檢測(cè)性控制措施,它雖然可以發(fā)現(xiàn)未經(jīng)授權(quán)的訪問(wèn),但不能防止其發(fā)生。
    自動(dòng)注銷登錄(Automatic Log-off)自動(dòng)撤消非活動(dòng)終端的登錄可以防止通過(guò)無(wú)人照管的終端來(lái)訪問(wèn)主機(jī)上的敏感數(shù)據(jù)。
    回?fù)埽–allback)指遠(yuǎn)程用戶撥叫主機(jī)后應(yīng)立即掛斷,由主機(jī)回?fù)茉撚脩粢员WC信息按指定線路傳輸。例如:在電子資金匯劃系統(tǒng)中,為了保證數(shù)據(jù)只傳送給被授權(quán)的用戶,的控制措施就是要求接受數(shù)據(jù)的金融機(jī)構(gòu)使用回?fù)芟到y(tǒng)。
    工具軟件(Utility Software Restrictions)可以繞過(guò)訪問(wèn)控制和審計(jì),管理層應(yīng)制定限制使用具有訪問(wèn)特權(quán)的工具軟件的政策,以降低利用特權(quán)軟件進(jìn)行非法訪問(wèn)的風(fēng)險(xiǎn)。
    安全軟件(security software)的功能是限制對(duì)系統(tǒng)資源的訪問(wèn),但不能限制未經(jīng)許可軟件的安裝,也不能監(jiān)控職責(zé)分離。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步。
    1.1. 防火墻
    防火墻(firewall)是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。它可以通過(guò)監(jiān)測(cè)、限制或更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)。利用Internet實(shí)現(xiàn)電子商務(wù)必須使用防火墻。
    防火墻按其工作層次可分為:
    ¡ 數(shù)據(jù)濾型。通常安裝在路由器上,工作在網(wǎng)絡(luò)層,邏輯簡(jiǎn)單、價(jià)格便宜、易于安裝和使用。
    ¡ 應(yīng)用網(wǎng)關(guān)型。通常安裝在專用工作站上,工作在應(yīng)用層,安全性能好,但價(jià)格比較貴,安裝和使用比較復(fù)雜。
    應(yīng)用程序應(yīng)安裝在防火墻里面的服務(wù)器上,如果將應(yīng)用程序安裝在防火墻外面的服務(wù)器上,那么防火墻就起不到應(yīng)有的作用,會(huì)增加非法訪問(wèn)的風(fēng)險(xiǎn)。對(duì)于某些面向公開用戶的應(yīng)用系統(tǒng),如電子詢價(jià)系統(tǒng),必須允許公眾用戶訪問(wèn)公司資源,此時(shí)可利用防火墻將系統(tǒng)劃分為內(nèi)部應(yīng)用區(qū)和中間應(yīng)用區(qū),并根據(jù)文件的訪問(wèn)種類將其存放在不同區(qū)域,公眾用戶允許訪問(wèn)中間區(qū)但不能進(jìn)入內(nèi)部區(qū),從而確保公司數(shù)據(jù)的安全性。
    審計(jì)防火墻的有效性需要核實(shí)路由器訪問(wèn)控制列表、測(cè)試調(diào)制解調(diào)器和集線器的位置、審查控制記錄。
    1.2. 計(jì)算機(jī)的物理安全
    計(jì)算機(jī)物理安全包括防火防潮、不間斷電源的使用、計(jì)算機(jī)附近鐵路公路的風(fēng)險(xiǎn)評(píng)價(jià)、盡量不要暴露數(shù)據(jù)中心的位置以防止恐怖分子襲擊、生物統(tǒng)計(jì)訪問(wèn)系統(tǒng)的應(yīng)用等物理因素,但不包括訪問(wèn)授權(quán)等邏輯因素。
    對(duì)于使用租賃線路的網(wǎng)絡(luò)應(yīng)保證設(shè)置在各營(yíng)業(yè)場(chǎng)所的傳輸線路的安全以防止非法訪問(wèn)網(wǎng)絡(luò)。
    1.3. 外包服務(wù)/第三方服務(wù)
    企業(yè)為了提高組織結(jié)構(gòu)的適應(yīng)性,使之能集中精力于核心業(yè)務(wù),從而以最小的成本獲取的邊際利潤(rùn),往往通過(guò)簽訂協(xié)議將其信息部門的部分或全部職能交給第三方服務(wù)機(jī)構(gòu)來(lái)承擔(dān),即所謂的服務(wù)外包。第三方服務(wù)機(jī)構(gòu)的類型及特點(diǎn)如下:
    ¡ 設(shè)備管理機(jī)構(gòu)(facilities management organizations):按照用戶的要求來(lái)管理運(yùn)行用戶擁有的數(shù)據(jù)處理設(shè)備。
    ¡ 計(jì)算機(jī)租賃公司(computer leasing companies):只提供設(shè)備,不負(fù)責(zé)設(shè)備管理運(yùn)行
    ¡ 服務(wù)局(service bureaus):管理運(yùn)行自己擁有的數(shù)據(jù)處理設(shè)備,為不同客戶提供處理服務(wù)。
    ¡ 共享服務(wù)商(time-sharing vendors):管理運(yùn)行自己擁有的數(shù)據(jù)處理設(shè)備和系統(tǒng),使各類組織能使用它們的系統(tǒng)。
    采用第三方服務(wù)是目前的流行趨勢(shì),但是這種服務(wù)同時(shí)也帶來(lái)了合同糾紛、系統(tǒng)失敗、運(yùn)行不良、放棄El常操作控制等風(fēng)險(xiǎn)。