系统安全

　　系统安全是在风险分析的基础上，选择适宜的控制目标与控制方式，对系统的安全进行控制，使信息资产的风险降到组织可以接受的水平。

　　15.1 General Control V8.Application Control

　　一般控制和应用控制

　　应用控制与一般控制是两个不同层次的控制手段：

　　一般控制(General Contr01)包括各种相对通用的控制手段和技术，包括：管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和数据安全控制等。

　　应用控制(Application Control)包括和特定应用相关的、为保障应用程序正确运行而设定的控制，如输入控制(input contr01)、处理控制(process control)、输出控制(output contr01)等。

　　相对于应用控制，一般控制更为基础，且其有效性不受应用控制的影响。相反，应用控制的有效性则往往受到一般控制，尤其是操作系统访问控制的影响。当审计师审查一个应用系统的应用控制时，应首先确认该系统已经建立完善的一般控制。对于较复杂的信息系统，通常应结合使用这两种控制技术。

　　一般控制包括：

　　管理控制(administrative contr01)的主要目标是实现职责分离。常见的管理控制包括：系统分析员不应该接触计算机设备、数据和程序;计算机编程人员不应该接触计算机设备、数据和已交付使用的程序;操作员不应该参与系统设计或更改程序，这样可以最好地防止拥有充分技术的人员绕过安全程序，对生产程序进行修改。

　　运行控制(operations control)包括：

　　计算机运行控制是为确保系统的正常运行而实施的控制。例如，对不需要的文件要在受控条件下及时删除;

　　系统实施控制(implementation control)是在系统开发实施过程的各个环节都建立控制点并编制文档以保证系统的实施是在适当的控制和管理之下，文档应从技术和应用两个角度说明系统是如何运行的;

　　软件控制(software control)是保证已投入运行的软件未经许可不得修改的控制;

　　硬件控制(hardware contr01)是保证硬件正常运行的控制，如回波检验(echo check)、奇偶校验(parity check)等;

　　访问控制(access contr01)是确保只有 被授权用户才能实现对特定数据和资源进行访问的控制，通常特指逻辑访问控制(logical access control);

　　物理设备控制(physical device contr01)是防止对物理设备的非授权接触的控制。

　　应用控制包括：

　　输入控制(input contr01)包括输入授权(input authorization)、数据转换(data conversion)和编辑检验(edit checks)。其中，编辑检验又包括合理性检验 (reasonableness checks)、格式检验(format checks)、存在性检验(existence checks)、依赖性检验(dependency checks) (又称相关性检验)、检验位 (check digit)、重新输入控制(reinput control)等。

　　处理控制(processing contr01)，包括运行总数控制(run control totals)、计算机匹配(computer matching)、并发控制(concurrency contr01)。

　　输出控制(output contr01)包括平衡总数(balancing totals)、复核处理日志(review of processing logs)、审核输出报告(audit of output report)、审核制度与文件(audit of procedures and documentation)。

　　15.2 Access Control Technologies

　　访问控制技术

　　访问控制技术确保只有被授权用户才能实现对特定数据和资源的访问。访问控制技术可以应用在信息系统的不同层次，如操作系统访问控制、数据库访问控制、网页访问控制等。但访问控制技术的应用必须适当合理，尤其应注意系统安全性和系统可用性之间的平衡。访问控制技术包括 用户身份标识(identification)和鉴别(authentication)、访问控制列表(ACL：access control list)和审计追踪(audit trails)等。

　　用户标识(UID：user identifier)：用于唯一地确定一个用户的身份，是实施访问控制的前提。

　　口令(passwords)：鉴别用户身份的常用手段之一，通过使用口令可以明确用户的责任。例如，对应付款系统数据终端的访问控制就可以要求激活终端数据必须使用口令并对数据终端的活动进行记录，以明确该终端用户对其所进行活动应负的责任。

　　口令应由用户掌握和修改，还可以按用户的权限设置不同的口令等级，以防止掌握口令的人非法访问服务器上的所有用户文件。口令应该严格保密，并且在终端输入时不应该显示。 为了防止口令被猜出，可使用能够实施口令组合标准的访问控制软件;为了防止存储在系统中的口令被窃取，可使用能够实施口令加密的访问控制软件。

　　有的用户因为进入系统过程较琐碎枯燥，就把登录串包括口令存在个人电脑里，以待进入主机设施时再调用，这样任何能访问用户个人计算机的人就能访问主机。因此，对于高安全级别的系统，应采用更安全的身份识别技术，如智能IC卡、生物技术(biometric technologies)等。

　　屏幕保护程序口令安全性较低，因为它很容易被绕过。

　　授权(Authorization)使用户能访问特定的数据和资源。应建立数据分级方案和用户标识方案，并根据“知必所需 "(need to know)的原则建立访问控制列表，确保雇员只能访问对完成其工作确有必要的信息。