信息系統(tǒng)的安全與持續(xù)性計劃ppt資料

1、 信息系統(tǒng)的安全(nqun)與持續(xù)性計劃中級培訓(xùn)補充(bchng)材料（不考）1共八十八頁主要(zhyo)內(nèi)容：信息系統(tǒng)的風(fēng)險信息系統(tǒng)的安全控制物理(wl)控制與環(huán)境控制邏輯訪問控制網(wǎng)絡(luò)控制持續(xù)性計劃（災(zāi)難恢復(fù)計劃）信息系統(tǒng)的應(yīng)用控制2共八十八頁1.信息系統(tǒng)的風(fēng)險(fngxin)風(fēng)險的概念：風(fēng)險是發(fā)生某種威脅使資產(chǎn)損失(snsh)或破壞的潛在可能。風(fēng)險的概念包括以下內(nèi)容：威脅、薄弱點、處理過程或資產(chǎn)；對資產(chǎn)基于威脅和薄弱點的影響；襲擊的可能性。 3共八十八頁風(fēng)險(fngxin)評價管理過程4共八十八頁信息系統(tǒng)資產(chǎn)(zchn)信息和數(shù)據(jù)硬件軟件服務(wù)文檔人員另外還有一些(yxi)需要考慮的傳統(tǒng)資產(chǎn)

2、包括：建筑物、存貨、資金和無形資產(chǎn)等。5共八十八頁信息的潛在(qinzi)威脅錯誤惡意( y)破壞欺詐盜竊軟硬件故障6共八十八頁信息系統(tǒng)的薄弱點用戶缺乏知識缺乏安全措施口令缺少變化未經(jīng)測試的技術(shù)(jsh)無保護(hù)的數(shù)據(jù)傳輸7共八十八頁威脅(wixi)一旦發(fā)生所造成的影響直接的經(jīng)濟損失違反(wifn)法律名譽聲望受損員工或客戶受到威脅信心受損商業(yè)機會的損失經(jīng)營效率與性能的降低商業(yè)經(jīng)營中斷。 8共八十八頁整體(zhngt)風(fēng)險整體風(fēng)險(fngxin)是對企業(yè)風(fēng)險(fngxin)的整體評價，通常做法是：影響可能性 9共八十八頁剩余(shngy)風(fēng)險 剩余風(fēng)險是采用控制以后所遺留的風(fēng)險水平。管理人員使用

3、剩余風(fēng)險確認(rèn)某些地方是否需要(xyo)更多的控制措施以進(jìn)一步降低風(fēng)險。10共八十八頁2.信息系統(tǒng)的安全控制控制(kngzh)的基本概念物理控制與環(huán)境控制邏輯訪問控制網(wǎng)絡(luò)控制與互聯(lián)網(wǎng)的使用11共八十八頁控制(kngzh)的基本概念控制是為實現(xiàn)企業(yè)目標(biāo)，避免、檢查、糾正不受歡迎事件發(fā)生提供合理擔(dān)保的政策(zhngc)、措施和組織結(jié)構(gòu)。控制目標(biāo)是通過實施控制過程要達(dá)到的目的或結(jié)果。12共八十八頁一些(yxi)信息系統(tǒng)控制目標(biāo)：到目前為止自動系統(tǒng)上的數(shù)據(jù)一直被正確的處理和保存，從而處于(chy)安全狀態(tài)。每項操作都經(jīng)過授權(quán)，并且只處理一次。所有的操作都有記錄，并且都是在正確的時間段進(jìn)行的。所有的拒絕操

4、作都有報告。重復(fù)操作有報告文件都經(jīng)過充分備份，以備正確的恢復(fù)。對軟件的所有變動都經(jīng)核實，并進(jìn)行了測試。13共八十八頁預(yù)防性控制(kngzh) 作用(zuyng)：檢查發(fā)現(xiàn)未發(fā)生的問題；監(jiān)督操作和輸入；在問題發(fā)生之前及時預(yù)測和調(diào)整；避免錯誤、疏漏和欺詐行為的發(fā)生。信息系統(tǒng)中常見的預(yù)防性控制 只雇傭經(jīng)過良好訓(xùn)練，具備任職資格的人員；職責(zé)分離；對接觸或訪問各種物理設(shè)備進(jìn)行控制；使用設(shè)計規(guī)范的文檔；建立適當(dāng)?shù)慕唤邮跈?quán)過程；程序化的編輯檢查；使用訪問控制軟件，只有獲得授權(quán)的人員才能訪問敏感文件。14共八十八頁發(fā)現(xiàn)(fxin)性控制 用于檢測發(fā)生的錯誤、遺漏或者欺詐、作弊行為，并就當(dāng)前狀態(tài)作出匯報。信息系

5、統(tǒng)中常見的發(fā)現(xiàn)性控制有：哈西總數(shù)（hash totals）；生產(chǎn)過程中的檢測點（check points）；遠(yuǎn)程通信中的回叫（echo）控制；重復(fù)的計算檢查；定期報告各種變化和不一致；內(nèi)部審計(shn j)職能。 15共八十八頁糾正(jizhng)控制 糾正控制的作用包括：降低威脅(wixi)的影響；對發(fā)現(xiàn)的問題進(jìn)行補救；確認(rèn)問題的原因；修正已發(fā)問題引起的錯誤；修改處理系統(tǒng)，降低將來再次發(fā)生問題的可能性。信息系統(tǒng)中常見的糾正控制包括：意外事故計劃；備份過程；系統(tǒng)重啟過程。16共八十八頁綜合(zngh)控制與應(yīng)用控制綜合控制是對組織各部門設(shè)計、安全、使用計算機程序的總體上的控制。應(yīng)用控制是各個計

6、算機應(yīng)用程序中的特別(tbi)的控制。 綜合控制是最低水平的控制。綜合信息技術(shù)控制形成了一個整體控制信息技術(shù)行為和確保整體控制目標(biāo)的框架。在此基礎(chǔ)上可以進(jìn)一步增加應(yīng)用控制。17共八十八頁綜合控制(kngzh)與應(yīng)用控制(kngzh)18共八十八頁信息系統(tǒng)的綜合(zngh)控制 綜合信息技術(shù)控制主要關(guān)注企業(yè)的信息技術(shù)基礎(chǔ)(jch)，包括任何與信息技術(shù)相關(guān)的政策、過程和工作實踐。他們并不針對某一特別的交易流或財務(wù)應(yīng)用系統(tǒng)。大多數(shù)情況下，綜合控制的元素主要集中在信息技術(shù)部門或相似部門。19共八十八頁綜合控制主要包括(boku)以下幾類：組織和管理（高水平的信息技術(shù)政策和標(biāo)準(zhǔn)）；職責(zé)分離；物理控制（接

7、觸與環(huán)境控制）；邏輯訪問控制；系統(tǒng)開發(fā)和程序修改；對計算機人員（包括(boku)程序員、系統(tǒng)分析員和計算機操作人員）的控制（包括(boku)內(nèi)部和外部信息技術(shù)服務(wù)）；確保計算機系統(tǒng)可用性的控制；對最終用戶計算的控制。20共八十八頁應(yīng)用(yngyng)控制 應(yīng)用控制特別(tbi)針對某個應(yīng)用系統(tǒng)，并對交易事務(wù)的處理產(chǎn)生直接的影響。這些控制用于確保所有交易均是合法的，經(jīng)過授權(quán)，并被記錄下來。由于應(yīng)用控制與交易流存在關(guān)系，因此通常包括：交易（transactions）輸入的控制；處理控制；輸出控制；固定數(shù)據(jù)（standing data）和主文件的控制。21共八十八頁物理(wl)與環(huán)境控制 物理控制：

8、是用于阻止對IT設(shè)備(shbi)未經(jīng)授權(quán)訪問，防止其發(fā)生故障的機制和管理過程。環(huán)境控制：是用于保護(hù)計算機軟硬件，避免其受到火災(zāi)、水災(zāi)、灰塵、電源事故傷害的行為和過程。22共八十八頁與物理和環(huán)境(hunjng)控制相關(guān)的風(fēng)險 （1）物理風(fēng)險員工(yungng)（IT雇員、清潔工、警衛(wèi)及其他人員）有意或無意的破壞；計算機或其零部件失竊；電壓波動導(dǎo)致設(shè)備損壞或數(shù)據(jù)丟失或損壞；存在繞過邏輯訪問控制的旁路；復(fù)制或查閱敏感或機密的信息。（2）環(huán)境風(fēng)險水災(zāi)或火災(zāi)破壞，以及其他自然災(zāi)害的破壞；電源掉電導(dǎo)致內(nèi)存數(shù)據(jù)丟失；電壓不穩(wěn)導(dǎo)致系統(tǒng)故障、處理錯誤和設(shè)備部件的損壞；由于溫度、濕度惡劣導(dǎo)致系統(tǒng)故障；炸彈破壞；靜

9、電破壞敏感的電子部件；其他諸如。照明設(shè)備停工，灰塵或污垢聚集等。23共八十八頁物理(wl)控制 三個方面(fngmin)：安全區(qū)的物理控制 管理控制 門禁系統(tǒng)（locks on doors） 24共八十八頁安全區(qū)的物理(wl)控制 物理訪問(fngwn)安全應(yīng)基于信息技術(shù)設(shè)備所處區(qū)域的定義。例如，可以將一棟大樓、一個計算機房、一個打印間當(dāng)作一個管理區(qū)域。管理區(qū)域的定義應(yīng)該清晰明白，雇員能夠意識到它的邊界。從安全區(qū)的在外層防護(hù)到建筑物的入口、計算機間和終端，應(yīng)該通過多層控制措施，控制對用戶站點和安全區(qū)域的訪問。 25共八十八頁管理控制 雇員佩帶身份(shn fen)或姓名證章；解除辭退人員的訪問

10、權(quán)限；來訪人員必須登記，包括他是誰，在哪工作，找誰、來訪時間、離開時間等。來訪人在放行之前應(yīng)提供一些證件加以確認(rèn)。辦公室無人照管時的控制過程。例如當(dāng)雇員晚上回家或外出吃飯時，應(yīng)鎖好鍵盤、將筆記本電腦鎖入抽屜、鎖好軟盤等。26共八十八頁門禁系統(tǒng)（locks on doors） 常見的門禁系統(tǒng)包括：使用機械(jxi)鑰匙的鎖。組合門禁系統(tǒng)或密碼鎖電子門禁系統(tǒng)生物門禁系統(tǒng)27共八十八頁其他(qt)常見的物理控制措施 電視攝像頭警衛(wèi)雇員在上班時間以外的控制；計算機鎖手工日志記錄：來客需要登記姓名、單位、事由和會見人。在進(jìn)入前需要出示身份證明。電子日志：在電子或生物安全系統(tǒng)中，所有的來客都要做日志記錄，

11、特別(tbi)是失敗的進(jìn)入試圖需要被特別(tbi)標(biāo)記?？刂频膩砜徒佑|：所有來客都應(yīng)有雇員護(hù)送。28共八十八頁其他常見(chn jin)物理控制措施（續(xù)）人員擔(dān)保：所有服務(wù)人員應(yīng)該有擔(dān)保。死人門（deadman doors）：該系統(tǒng)使用一對門。前一門未鎖上，后一門不能打開。在兩個門之間只能有一個人。以防止未經(jīng)授權(quán)的人跟隨(n su)其他人進(jìn)入。不宣揚敏感設(shè)備的位置；計算機終端鎖；經(jīng)控制的單個輸入點；夜賊警報系統(tǒng)；安全的文件分發(fā)車。29共八十八頁環(huán)境(hunjng)控制 火災(zāi)的預(yù)防、檢測和撲救 防水 電源(dinyun)的保護(hù)和控制 高溫、通風(fēng)和空調(diào) 維護(hù)與房間保潔 30共八十八頁火災(zāi)的預(yù)防(y

12、fng)、檢測和撲救 火災(zāi)的預(yù)防控制 火災(zāi)撲救系統(tǒng)包括：手持滅火器；一些(yxi)滅火器適合電子設(shè)備，例如二氧化碳或halon（BCF）滅火器。水滅火器可以放在計算機耗材庫房中。自動滅火系統(tǒng)自動滅火器通常使用水或halon。Halon對計算機設(shè)備無害，并且相對二氧化碳來說，危害較小。 31共八十八頁防水(fn shu) 進(jìn)入機房的水可能來自以下方面：洪水；屋頂漏水(lu shu)；爆裂的管道；洗手間或水池溢水；冷卻系統(tǒng)漏水。32共八十八頁邏輯(lu j)訪問控制 基本概念 邏輯訪問的風(fēng)險 需要保護(hù)的資源、文件和工具(gngj) 訪問安全框架 操作系統(tǒng)和應(yīng)用訪問控制 日志 33共八十八頁基本概念

13、邏輯訪問安全有三個最基本的組成部份 用戶身份通常使用用戶名或登錄ID號，來表明用戶的身份。身份計算機需要核實這個人到底是誰?？梢酝ㄟ^用戶擁有的，或知道的東西加以確認(rèn)。一般(ybn)到辦法是口令（passwords）、身份證代碼、簽名或其他生物特征例如手印等。資源保護(hù) 資源是計算機文件、目錄和外圍設(shè)備。資源保護(hù)應(yīng)基于每個用戶的需要。例如當(dāng)某個用戶登錄計算機以后，可以其只能訪問某些文件、應(yīng)用或其他工作需要的資源。34共八十八頁邏輯訪問(fngwn)的風(fēng)險 信息缺乏邏輯(lu j)訪問控制的主要影響包括：未經(jīng)允許的泄漏；未經(jīng)授權(quán)的修改；系統(tǒng)完整性受到破壞。計算機系統(tǒng)可能受到不同方面的襲擊，包括：（1

14、）黑客（2）雇員（3）已辭退的雇員（4）外部人員（5）供貨商或咨詢商35共八十八頁需要保護(hù)(boh)的資源、文件和工具 （1）數(shù)據(jù)文件（2）應(yīng)用軟件（3）口令文件(wnjin)（4）系統(tǒng)軟件和工具（5）日志文件（6）緩沖區(qū)文件和臨時文件36共八十八頁訪問(fngwn)安全框架 確保充分的控制應(yīng)防范任何可能的風(fēng)險是用戶經(jīng)理的責(zé)任。管理人員通過制定公司的訪問安全政策，從而為邏輯訪問控制指明方向。在制定政策時，管理人員應(yīng)定義企業(yè)經(jīng)營對訪問控制的需求，及每個系統(tǒng)的訪問需求。公司的安全政策通常是以上較短的文檔。包括(boku)以下內(nèi)容：定義安全政策陳述；責(zé)任詳細(xì)的邏輯訪問控制將基于公司IT安全正團中的高

15、層陳述。37共八十八頁操作系統(tǒng)(co zu x tn)和應(yīng)用訪問控制 邏輯訪問控制存在兩個層次：系統(tǒng)層次（installation level）和應(yīng)用層次（application level）。因此訪問控制可以建立于：操作系統(tǒng)（或系統(tǒng)工具(gngj)）每個應(yīng)用每層的邏輯訪問控制均由不同的管理員實現(xiàn)。IT部門人員負(fù)責(zé)管理誰能登錄網(wǎng)絡(luò)，以及登錄網(wǎng)絡(luò)以后可以訪問什么應(yīng)用和數(shù)據(jù)文件。這些人在系統(tǒng)層次控制訪問。應(yīng)用管理員則負(fù)責(zé)管理在應(yīng)用軟件中誰能做什么。IT部門的系統(tǒng)管理員對操作系統(tǒng)及其資源有更好理解，知道什么應(yīng)用軟件和工具程序需要保護(hù)。這樣可以保護(hù)系統(tǒng)資源不被外部人員和未經(jīng)授權(quán)IT人員使用。應(yīng)用管理員

16、對應(yīng)用軟件以及誰將使用軟件比較了解。這有助于應(yīng)用管理員依據(jù)每個用戶的需要設(shè)置訪問權(quán)限。這樣可以確保用戶只擁有工作需要的訪問權(quán)限。系統(tǒng)管理員與應(yīng)用管理員的職責(zé)應(yīng)分離。 38共八十八頁系統(tǒng)(xtng)級的邏輯訪問控制 各種操作系統(tǒng)軟件中都內(nèi)置了邏輯訪問控制，例如UNIX、Novell、NT。各家產(chǎn)品不同，邏輯訪問控制的力度也不同。一些組織對操作系統(tǒng)的安全特征進(jìn)行了獨立測試。美國國家計算機安全信息中心（NCSC）于1983年提出了可信計算機系統(tǒng)評估準(zhǔn)則TCSEC（trusted computer system evaluation criteria）,規(guī)定了安全計算機系統(tǒng)的基本準(zhǔn)則，通常稱為“桔皮書

17、”（orange book）。桔皮書將計算機系統(tǒng)的安全等級劃分為四類七級：D、C1、C2、B1、B2、B3、A1。其中A1級是最安全的。除非有特別的安全需要，否則多數(shù)財務(wù)系統(tǒng)都依照C2級標(biāo)準(zhǔn)。C2級標(biāo)準(zhǔn)要求操作系統(tǒng)使用登錄控制、審計安全相關(guān)事件以及隔離資源等措施，控制訪問。因此如果審計人員被告知該系統(tǒng)達(dá)到C2級，則意味著系統(tǒng)中包括了用戶辨別（identification）、身份鑒定（authentication）和日志（logging）控制。如果操作系統(tǒng)中沒有(mi yu)邏輯訪問安全措施，用戶可以安裝一個獨立的軟件包。例如在IBM大型機中安裝訪問控制軟件包RACF或ACF2。也有一些用于微機

18、的安全軟件包。39共八十八頁邏輯(lu j)訪問控制（1）登錄過程（logon procedures）（2）用戶辨別（identification）（3）身份鑒定（authentication） （4）資源(zyun)保護(hù)（5）其他邏輯訪問控制40共八十八頁日志(rzh) 前面講述到控制均用于防止非法(fif)用戶訪問計算機系統(tǒng)。而下一步控制則是檢測非法(fif)用戶的訪問試圖和行為。這通?？梢詮氖录罩居涗浿蝎@得。計算機系統(tǒng)中的審計日志一般有兩種：安全審計日志和交易審計日志。安全審計日志用于記錄各種用戶操作信息。 交易審計日志用于記錄交易被系統(tǒng)處理的路徑和過程。41共八十八頁網(wǎng)絡(luò)(wnglu

19、)控制與互聯(lián)網(wǎng)的使用 1與網(wǎng)絡(luò)相關(guān)(xinggun)的風(fēng)險2網(wǎng)絡(luò)控制（network controls）3互聯(lián)網(wǎng)控制（internet control ）42共八十八頁與網(wǎng)絡(luò)(wnglu)相關(guān)的風(fēng)險 網(wǎng)絡(luò)將用戶的計算機帶入了一個廣闊，存在眾多潛在匿名用戶到空間。一旦客戶的系統(tǒng)連入了網(wǎng)絡(luò)，就可能存在被外部人員（黑客）和未經(jīng)授權(quán)的同事訪問的風(fēng)險。容易導(dǎo)致：數(shù)據(jù)丟失：數(shù)據(jù)可能被故意刪除或在傳輸過程中丟失。數(shù)據(jù)破壞：數(shù)據(jù)可能被用戶破壞，數(shù)據(jù)傳輸過程中可能發(fā)生錯誤。例如由于線路的噪音干擾，發(fā)出的數(shù)據(jù)“1”，接收時變成了“0”。來自內(nèi)部或外部的欺詐：竊賊不再依賴槍和盜竊工具來打劫銀行。一個風(fēng)度翩翩的君子在

20、世界的另一端，就可以侵入銀行系統(tǒng)，將資金(zjn)劃走。系統(tǒng)無法使用：網(wǎng)絡(luò)連接以及服務(wù)器都可以被輕易破壞。一個集線器的丟失，可以影響眾多用戶的操作處理。通信線路也超出了用戶的范圍而失去控制。泄密：一旦一些重要 的系統(tǒng)例如，人事系統(tǒng)、科研開發(fā)系統(tǒng)被連接到網(wǎng)絡(luò)上，就更增加了信息有意或無意泄漏的風(fēng)險。病毒與蠕蟲感染：蠕蟲感染是特別經(jīng)過設(shè)計，用于網(wǎng)絡(luò)傳播的。病毒感染經(jīng)常發(fā)生，用戶應(yīng)經(jīng)常使用殺病毒軟件進(jìn)行檢查，并對殺病毒軟件及時升級。違反版權(quán)和數(shù)據(jù)保護(hù)法：由于用戶可以從網(wǎng)上隨便獲得數(shù)據(jù)和軟件，從而導(dǎo)致觸犯當(dāng)?shù)氐陌鏅?quán)和數(shù)據(jù)保護(hù)法。 43共八十八頁網(wǎng)絡(luò)(wnglu)控制（network controls）

21、網(wǎng)絡(luò)的特點決定了物理訪問控制的作用是有限的。因此在保護(hù)(boh)網(wǎng)絡(luò)設(shè)備不被濫用和盜竊的同時，還需要將精力集中于邏輯訪問和管理控制。根據(jù)各個用戶所確認(rèn)的風(fēng)險、操作系統(tǒng)、網(wǎng)絡(luò)控制軟件以及網(wǎng)絡(luò)和通信政策不同，用戶所需的邏輯訪問控制也不一樣。44共八十八頁審計人員(rnyun)可能遇到的控制：（1）網(wǎng)絡(luò)安全政策這可能是企業(yè)整體IT安全政策的一部分。（2）網(wǎng)絡(luò)標(biāo)準(zhǔn)、過程和操作指令這些應(yīng)該基于網(wǎng)絡(luò)安全政策，并且(bngqi)文檔化；相關(guān)人員應(yīng)可以得到該文檔的復(fù)印件。（3）網(wǎng)絡(luò)文檔用戶應(yīng)有數(shù)份描述網(wǎng)絡(luò)邏輯和物理層次的文檔。例如網(wǎng)絡(luò)布線圖。這些文檔通常作為機密文檔保存。（4）邏輯訪問控制這是特別重要的。用戶

22、應(yīng)確保擁有合適的登錄口令和資源訪問權(quán)限。（5）對外部連接的限制，例如調(diào)制解調(diào)器。這些連接可能是用戶系統(tǒng)的薄弱點，特別是當(dāng)這些連接未被允許時。45共八十八頁審計人員可能(knng)遇到的控制：（6）當(dāng)用戶被允許使用調(diào)制解調(diào)器時，可以考慮使用回叫調(diào)制解調(diào)器（call back modems）。這種調(diào)制解調(diào)器只允許由自己呼叫出去的連接訪問。例如，一個在家辦公的遠(yuǎn)程用戶希望訪問系統(tǒng)(xtng)。他可以通過調(diào)制解調(diào)器呼叫辦公系統(tǒng)(xtng)。辦公系統(tǒng)(xtng)建立連接并要求用戶提供ID號。然后辦公系統(tǒng)(xtng)斷開連接。如果ID號是正確的，辦公系統(tǒng)(xtng)按照預(yù)先設(shè)置好的電話號碼撥回。在這里是該

23、雇員家中的電話。然后該雇員就可以訪問系統(tǒng)(xtng)了。還可以通過使用其他標(biāo)記（token）來進(jìn)行控制，確認(rèn)外部用戶的確獲得訪問系統(tǒng)(xtng)的權(quán)限。（7）網(wǎng)絡(luò)應(yīng)該由經(jīng)過適當(dāng)培訓(xùn)，具備相當(dāng)經(jīng)驗的雇員管理和控制。管理人員對這些雇員的工作進(jìn)行監(jiān)督管理。（8）特定的網(wǎng)絡(luò)事件應(yīng)該被網(wǎng)絡(luò)操作系統(tǒng)自動記入日志。應(yīng)定期檢查日志，尋找未經(jīng)授權(quán)的行為。46共八十八頁審計(shn j)人員可能遇到的控制：（9）使用網(wǎng)絡(luò)管理和監(jiān)控軟件(run jin)包和設(shè)備。網(wǎng)絡(luò)管理員可以找到很多的工具、軟件(run jin)監(jiān)督網(wǎng)絡(luò)的使用及網(wǎng)絡(luò)的性能。它們也可以用于檢查每個終端用戶計算機中所安裝的軟件(run jin)。（1

24、0）外部供應(yīng)商和咨詢商的訪問也應(yīng)受到監(jiān)督?？蛻艚?jīng)常允許軟件供應(yīng)商通過遠(yuǎn)程訪問連接對系統(tǒng)進(jìn)行維護(hù)和故障修復(fù)。這些工具的使用應(yīng)受到監(jiān)督，并且只有在需要且經(jīng)過授權(quán)以后才可以使用。遠(yuǎn)程連接的調(diào)制解調(diào)器只有管理人員同意才能激活，并且一旦任務(wù)完成，就應(yīng)斷開。（11）聯(lián)入網(wǎng)絡(luò)的終端只能是特定的終端。這可以通過終端號碼（例如網(wǎng)卡的號碼）或IP地址進(jìn)行控制。（12）數(shù)據(jù)加密（data encryption）。在某些環(huán)境下，用戶可以將網(wǎng)上數(shù)據(jù)加密。即使未授權(quán)用戶能夠搭線竊聽獲取了數(shù)據(jù)，也會因為加過密而無法使用。47共八十八頁審計人員可能(knng)遇到的控制：（13）使用應(yīng)答設(shè)備（challenge-respon

25、se devices）。這是典型的手持設(shè)備，大小與計算器相仿。這種設(shè)備通過允許遠(yuǎn)程用戶對系統(tǒng)提出的信號作出應(yīng)答的方式驗證遠(yuǎn)程用戶的身份。例如當(dāng)有人想遠(yuǎn)程登錄系統(tǒng)時，中心系統(tǒng)發(fā)出一個“挑戰(zhàn)”例如“121288”。遠(yuǎn)程用戶將這個代碼輸入手持設(shè)備。該手持設(shè)備生成一個相稱的“響應(yīng)”“22233”。一般情況，用戶可以有60秒鐘將信號輸入計算機。中心系統(tǒng)收到響應(yīng)信號以后，經(jīng)核實正確就可以允許用戶訪問系統(tǒng)。這種設(shè)備 的優(yōu)點在于每個“挑戰(zhàn)”“響應(yīng)”信號是唯一的。因此未授權(quán)用戶無法重復(fù)使用密碼訪問系統(tǒng)。（14）使用私有線路或?qū)＞€(zhunxin)如果線路是私有線路或?qū)＞€，數(shù)據(jù)被截取的風(fēng)險就低得多。并且使用專線可

26、以傳輸更多的數(shù)據(jù)，數(shù)據(jù)傳輸錯誤也較少。（15）使用數(shù)字線路而不是模擬線路。數(shù)字線路具有較高的容量，不需要調(diào)制解調(diào)器，不會發(fā)生數(shù)字與模擬信號轉(zhuǎn)換錯誤。48共八十八頁互聯(lián)網(wǎng)控制(kngzh)（internet control） 如果需要將計算機直接連接到互聯(lián)網(wǎng)絡(luò)上，那么最安全的措施是：將計算機與主要信息系統(tǒng)物理隔離；指定有經(jīng)驗可靠的管理員管理互聯(lián)網(wǎng)計算機；禁止匿名訪問計算機。如果一定要的話，應(yīng)避免將目錄設(shè)為即可讀又可寫；從計算機中移走所有不必要的數(shù)據(jù)和軟件；關(guān)閉所有互聯(lián)網(wǎng)服務(wù)器上不必要的邏輯端口；監(jiān)視登錄(dn l)計算機的企圖；只有經(jīng)過仔細(xì)檢查以后，才將文件在主要信息系統(tǒng)和互聯(lián)網(wǎng)計算機之間傳遞。

27、應(yīng)牢記程序可以附帶在電子郵件信息中傳遞；盡可能少的設(shè)置互聯(lián)網(wǎng)計算機的用戶帳戶，并定期更換期密碼；如果不是特別需要的話，應(yīng)避免運行一些諸如互聯(lián)網(wǎng)聊天室之類的服務(wù)器應(yīng)用。49共八十八頁其他(qt)安全控制技術(shù)防火墻（firewall） 口令 訪問控制 加密 安全電子郵件PEM（privacy enhanced mail） 良好隱私PGP（pretty good privacy） 站點安全工具 事故報告(bogo)與更改 50共八十八頁持續(xù)(chx)計劃 基本概念 災(zāi)難備份系統(tǒng)的組成(z chn) 災(zāi)難恢復(fù)計劃的制定 51共八十八頁基本概念 1商業(yè)持續(xù)計劃（business continuity p

28、lanning，BCP）商業(yè)持續(xù)能力是指企業(yè)在信息系統(tǒng)支持中斷情況下的繼續(xù)經(jīng)營能力以及發(fā)生災(zāi)難性事件情況下的生存能力。商業(yè)持續(xù)計劃用于災(zāi)難的預(yù)測和預(yù)防處理。災(zāi)難包括從洪水、火災(zāi)、地震到勞動市場的動蕩、重要文件的丟失。商業(yè)持續(xù)計劃主要處理兩個問題：公司信息完整性的維護(hù)，保持信息系統(tǒng)的運行直到正常業(yè)務(wù)能重新使用。商業(yè)持續(xù)計劃是在災(zāi)難來臨時如何(rh)恢復(fù)所有經(jīng)營業(yè)務(wù)的方法，而不僅僅限于信息部門的業(yè)務(wù)。52共八十八頁基本概念2信息系統(tǒng)的災(zāi)難信息系統(tǒng)災(zāi)難是指造成重要業(yè)務(wù)數(shù)據(jù)丟失，使業(yè)務(wù)中斷了不可忍受的一段時間的計算機系統(tǒng)事故，這些事故導(dǎo)致銀行喪失了全部或部分業(yè)務(wù)處理能力，引起企業(yè)營業(yè)收入下降、信譽降低

29、和形象受損，甚至威脅(wixi)其生存。造成計算機系統(tǒng)災(zāi)難性事故的原因有自然災(zāi)害、基礎(chǔ)設(shè)施的突發(fā)性事故、計算機系統(tǒng)故障和各種人為因素等。53共八十八頁基本概念3災(zāi)難備份 災(zāi)難備份是指為了減少(jinsho)災(zāi)難發(fā)生的概率，以及減少(jinsho)災(zāi)難發(fā)生時或發(fā)生后造成的損失而采取的各種防范措施。4災(zāi)難恢復(fù) 災(zāi)難恢復(fù)是一個在發(fā)生計算機系統(tǒng)災(zāi)難后，在遠(yuǎn)離災(zāi)難現(xiàn)場的地方重新組織系統(tǒng)運行和恢復(fù)營業(yè)的過程。 災(zāi)難恢復(fù)的目標(biāo)一是保護(hù)數(shù)據(jù)的完整性，使業(yè)務(wù)數(shù)據(jù)損失最少甚至沒有業(yè)務(wù)數(shù)據(jù)損失。二是快速恢復(fù)營業(yè)，使業(yè)務(wù)停頓時間最短甚至不中斷業(yè)務(wù)。54共八十八頁基本概念 5災(zāi)難備份中心 災(zāi)難備份中心是一個擁有備份系統(tǒng)

30、與場地，配備了專職人員，建立并制定了一系列運行管理制度、數(shù)據(jù)備份策略和災(zāi)難恢復(fù)程序，可以承擔(dān)災(zāi)難恢復(fù)任務(wù)的機構(gòu)。6災(zāi)難應(yīng)急方案 災(zāi)難應(yīng)急方案是指在發(fā)生計算機系統(tǒng)災(zāi)難事件時，為了盡可能減少損失，而對計算機應(yīng)用系統(tǒng)采取的搶救措施、故障隔離措施、恢復(fù)過程以及工作人員救護(hù)和撤離計劃等。 7災(zāi)難恢復(fù)方案災(zāi)難恢復(fù)方案是一套為保證(bozhng)在計算機系統(tǒng)發(fā)生災(zāi)難后恢復(fù)業(yè)務(wù)運行而預(yù)先制定的一套技術(shù)措施、管理方法和處理步驟。它是在充分考慮經(jīng)濟、技術(shù)、管理和社會條件的可行性的基礎(chǔ)之上，提出的最佳災(zāi)難恢復(fù)策略。55共八十八頁災(zāi)難(zinn)備份系統(tǒng)的組成 災(zāi)難備份系統(tǒng)一般由可接替(jit)生產(chǎn)系統(tǒng)運行的后備運行

31、系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、終端用戶切換到備份系統(tǒng)的備用通訊線路等部分組成。 在正常生產(chǎn)和數(shù)據(jù)備份狀態(tài)下，生產(chǎn)系統(tǒng)通過人工或網(wǎng)絡(luò)傳輸方法向備份系統(tǒng)傳送需備份的各種數(shù)據(jù)。備份中心與生產(chǎn)中心及終端用戶的關(guān)系如圖所示。56共八十八頁災(zāi)難(zinn)備份系統(tǒng)的組成災(zāi)難發(fā)生后，備份系統(tǒng)(xtng)將接替生產(chǎn)系統(tǒng)(xtng)繼續(xù)運行，備份中心、生產(chǎn)中心及終端用戶三者之間的關(guān)系如圖所示。此時重要營業(yè)終端用戶將從生產(chǎn)主機切換到備份中心主機，繼續(xù)對外營業(yè)。 57共八十八頁數(shù)據(jù)備份方式(fngsh) 目前比較實用的的數(shù)據(jù)備份方式可分為本地備份異地保存、遠(yuǎn)程磁帶庫與光盤庫、遠(yuǎn)程關(guān)鍵數(shù)據(jù)+定期備份、遠(yuǎn)程數(shù)據(jù)庫復(fù)制、網(wǎng)絡(luò)數(shù)據(jù)鏡

32、像、遠(yuǎn)程鏡像磁盤等六種。（ 1）本地備份異地保存 是指按一定的時間間隔（如一天）將系統(tǒng)某一時刻的數(shù)據(jù)備份到磁帶、磁盤、光盤等介質(zhì)上，然后及時地傳遞到遠(yuǎn)離運行中心的、安全的地方保存起來。（2）遠(yuǎn)程磁帶庫、光盤庫 是指通過網(wǎng)絡(luò)將數(shù)據(jù)傳送到遠(yuǎn)離生產(chǎn)中心的磁帶庫或光盤庫系統(tǒng)。本方式要求在生產(chǎn)系統(tǒng)與磁帶庫或光盤庫系統(tǒng)之間建立(jinl)通信線路。 （ 3）遠(yuǎn)程關(guān)鍵數(shù)據(jù)+定期備份 本方式定期備份全部數(shù)據(jù)，同時生產(chǎn)系統(tǒng)實時向備份系統(tǒng)傳送數(shù)據(jù)庫日志或應(yīng)用系統(tǒng)交易流水等關(guān)鍵數(shù)據(jù)。58共八十八頁數(shù)據(jù)備份方式(fngsh)（4）遠(yuǎn)程數(shù)據(jù)庫復(fù)制 在與生產(chǎn)系統(tǒng)相分離的備份系統(tǒng)上建立生產(chǎn)系統(tǒng)上重要數(shù)據(jù)庫的一個鏡像拷貝，通

33、過通信線路將生產(chǎn)系統(tǒng)的數(shù)據(jù)庫日志傳送到備份系統(tǒng)，使備份系統(tǒng)的數(shù)據(jù)庫與生產(chǎn)系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)變化保持同步。（5）網(wǎng)絡(luò)數(shù)據(jù)鏡像 是指對生產(chǎn)系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)和重要的數(shù)據(jù)與目標(biāo)文件進(jìn)行監(jiān)控與跟蹤，并將對這些數(shù)據(jù)及目標(biāo)文件的操作日志通過網(wǎng)絡(luò)實時傳送到備份系統(tǒng)，備份系統(tǒng)則根據(jù)操作日志對磁盤中數(shù)據(jù)進(jìn)行更新，以保證生產(chǎn)系統(tǒng)與備份系統(tǒng)數(shù)據(jù)同步。（6）遠(yuǎn)程鏡像磁盤利用高速光纖通信線路(xinl)和特殊的磁盤控制技術(shù)將鏡像磁盤安放到遠(yuǎn)離生產(chǎn)系統(tǒng)的地方，鏡像磁盤的數(shù)據(jù)與主磁盤數(shù)據(jù)以實時同步或?qū)崟r異步方式保持一致。磁盤鏡像可備份所有類型的數(shù)據(jù)。59共八十八頁后備運行系統(tǒng)(xtng)的選擇 可以選擇的后備運行系統(tǒng)包括互助協(xié)

34、定、冷站、溫站和熱站。（1）互助協(xié)定（mutual aid）互助協(xié)定是指兩個或多個公司(n s)達(dá)成災(zāi)害發(fā)生時相互共享資源的協(xié)定。要使該協(xié)定有效必須滿足以下條件：每家公司都必須具有額外的信息處理能力，或必須能夠降低其業(yè)務(wù)量，以對另一家發(fā)生災(zāi)害的公司提供援助；各公司業(yè)務(wù)系統(tǒng)的平臺必須兼容；所有簽約方不能都受到災(zāi)害的影響；公司之間具有很高的信任度。由于這種方法在合并兩家公司 的業(yè)務(wù)系統(tǒng)時，會出現(xiàn)意想不到的問題，所以現(xiàn)在已經(jīng)不多采用。60共八十八頁后備(hubi)運行系統(tǒng)的選擇（2）冷站（cold site）公司為系統(tǒng)運行提供了最基本的環(huán)境，例如電源、空調(diào)、地板、辦公桌椅等設(shè)備等。一旦發(fā)生災(zāi)難可以將

35、恢復(fù)設(shè)備安裝在該環(huán)境中。采用冷站備份企業(yè)還需 與設(shè)備供應(yīng)商簽訂緊急情況下，及時供應(yīng)設(shè)備的協(xié)議。一旦發(fā)生災(zāi)難，可以從設(shè)備供應(yīng)商處購買新的設(shè)備。安裝在冷站環(huán)境中，用數(shù)據(jù)備份介質(zhì)（磁帶或光盤）恢復(fù)應(yīng)用數(shù)據(jù)，手工逐筆或自動批量追補孤立數(shù)據(jù)，將終端用戶通過通訊線路切換到備份系統(tǒng)，恢復(fù)業(yè)務(wù)運行。優(yōu)點：設(shè)備投資較少，節(jié)省通信費用，通信環(huán)境要求(yoqi)不高。缺點：恢復(fù)時間較長，一般要數(shù)天至一周，數(shù)據(jù)完整性與一致性較差。61共八十八頁后備運行系統(tǒng)(xtng)的選擇（3）溫站（worm site）溫站中裝備了部分設(shè)備，例如辦公環(huán)境、通信設(shè)備、存儲設(shè)備等。但是考慮道主機價格比較昂貴(nggu)，并且需要時，可以

36、迅速從供應(yīng)商處獲得，因此溫站中沒有配備主機。使用溫站設(shè)備一旦發(fā)生災(zāi)難，可以迅速租借或購買主機，使用定期備份數(shù)據(jù)，手工逐筆或自動批量追補孤立數(shù)據(jù)或，將終端用戶通過通訊線路切換到備份系統(tǒng)，恢復(fù)業(yè)務(wù)運行。優(yōu)點：設(shè)備投資較少，通信環(huán)境要求不高。缺點：恢復(fù)時間長，一般要十幾小時至數(shù)天，數(shù)據(jù)完整性與一致性較差。62共八十八頁后備(hubi)運行系統(tǒng)的選擇（4）熱站（hot site）熱站中裝備了全套的處理設(shè)備，可以在數(shù)小時內(nèi)投入運行。也可定時。一旦(ydn)發(fā)生災(zāi)難，只需在備份系統(tǒng)上恢復(fù)生產(chǎn)系統(tǒng)的數(shù)據(jù)，并對備份后業(yè)務(wù)事項進(jìn)行追補就可快速接替生產(chǎn)系統(tǒng)運行，恢復(fù)營業(yè)。優(yōu)點：恢復(fù)時間短，一般幾十分鐘到數(shù)小時，數(shù)

37、據(jù)完整性與一致性最好，數(shù)據(jù)丟失可能性最小。缺點：設(shè)備投資大。63共八十八頁后備(hubi)運行系統(tǒng)的選擇（5）鏡像系統(tǒng)（mirrored systems）鏡像系統(tǒng)是一個相對高成本的方案，適合于一些運行非常重要任務(wù) 的系統(tǒng)。例如航線(hngxin)管理、銀行業(yè)務(wù)等等。這種方法要求在相距較遠(yuǎn)的兩個不同地方，同時運行兩套或更多套系統(tǒng)。每發(fā)生一筆業(yè)務(wù)，兩套系統(tǒng)中的數(shù)據(jù)同時并行修改。一旦一個系統(tǒng)發(fā)生故障，所有業(yè)務(wù)處理可以直接切換到鏡像系統(tǒng)中，對用戶不會造成任何影響。美國“911”襲擊事件中，總部在世貿(mào)大樓的摩根斯坦利銀行遭到毀滅性打擊。但是其業(yè)務(wù)數(shù)據(jù)卻沒有受到任何影響，就是因為采用了鏡像系統(tǒng)備份。64共

38、八十八頁災(zāi)難備份技術(shù)(jsh)的發(fā)展 災(zāi)難備份技術(shù)的發(fā)展趨勢主要有三個方面：（1）采用實時熱備份技術(shù)。實時熱備份技術(shù)具有一次性投資昂貴、通訊費用高等缺點，但具有最好的數(shù)據(jù)完整性與業(yè)務(wù)連續(xù)性保證。隨著商業(yè)銀行的業(yè)務(wù)發(fā)展及競爭需要，銀行的業(yè)務(wù)連續(xù)性要求將越來越高，采取實時熱備份技術(shù)來實現(xiàn)災(zāi)難備份是未來的發(fā)展趨勢。（2）外包方式：災(zāi)難恢復(fù)計劃涉及到業(yè)務(wù)風(fēng)險分析、方案選擇、實施、測試、培訓(xùn)、演習(xí)等內(nèi)容，是一項既復(fù)雜又繁鎖的工作。采用外包方式則可將災(zāi)難恢復(fù)計劃交給專業(yè)計算機公司來完成，銀行則可專心從事銀行的生產(chǎn)與經(jīng)營。（3）開發(fā)災(zāi)難恢復(fù)計劃輔助工具：災(zāi)難恢復(fù)計劃是一項系統(tǒng)工程，開發(fā)災(zāi)難恢復(fù)計劃的輔助工具

39、與系統(tǒng)是非常必要的，它包括：備份策略決策系統(tǒng)，災(zāi)難恢復(fù)指引系統(tǒng)，自動(zdng)運行管理系統(tǒng)等。65共八十八頁災(zāi)難恢復(fù)(huf)計劃的制定 制定災(zāi)難恢復(fù)計劃(jhu)需要五個階段：階段I對公司經(jīng)營環(huán)境進(jìn)行評估；階段II分析恢復(fù)策略；階段III災(zāi)難恢復(fù)計劃的文檔；階段IV設(shè)計災(zāi)難恢復(fù)計劃；階段V執(zhí)行、評估和維護(hù)災(zāi)難恢復(fù)計劃。66共八十八頁對公司(n s)經(jīng)營環(huán)境進(jìn)行評估這個階段的目標(biāo)是確定公司遭受風(fēng)險(fngxin)的類型和這些風(fēng)險(fngxin)對信息系統(tǒng)運行的潛在影響。主要過程如下：（1）確定公司最有可能面臨的風(fēng)險；（2）確定公司遭受信息系統(tǒng)運行風(fēng)險的潛在影響。公司應(yīng)確定以下任務(wù)：公司執(zhí)行了

40、信息系統(tǒng)那些功能；確定系統(tǒng)中那些功能對業(yè)務(wù)成功是至關(guān)重要的；確定如果在一小時、一天、一周、一個月或者更長的時間內(nèi)不執(zhí)行主要功能對公司將造成的影響。最后，公司應(yīng)對其可能遭受風(fēng)險進(jìn)行合理評估，并評估其對業(yè)務(wù)所造成的潛在影響。67共八十八頁分析恢復(fù)(huf)策略這個階段的目標(biāo)是確定合適的信息資源，分析所有(suyu)可選的恢復(fù)措施，并挑選最能滿足公司目標(biāo)的措施。公司的信息系統(tǒng)資源包括：中央計算機、個人電腦、網(wǎng)絡(luò)、應(yīng)用軟件、系統(tǒng)軟件以及數(shù)據(jù)中心。68共八十八頁災(zāi)難(zinn)恢復(fù)計劃的文檔以文檔的形式將災(zāi)難計劃記錄下來，主要步驟包括：（1）制定恢復(fù)時間。公司為每個重要功能安排恢復(fù)時間（如主機一定(yd

41、ng)在48小時內(nèi)恢復(fù)，個人電腦必須在一周內(nèi)更換）。（2）為每一個主要功能制定恢復(fù)行動計劃。這個計劃包括：應(yīng)當(dāng)完成的任務(wù)、每項任務(wù)的負(fù)責(zé)人、時間安排、執(zhí)行地點、如何完成。（3）制定恢復(fù)規(guī)劃表?；謴?fù)規(guī)劃表是災(zāi)難發(fā)生時需要執(zhí)行的時間規(guī)劃表。69共八十八頁設(shè)計(shj)災(zāi)難恢復(fù)計劃 這個階段的目的是制定災(zāi)難恢復(fù)計劃。主要內(nèi)容有：（1）審閱災(zāi)難恢復(fù)計劃。（2）緊急應(yīng)對程序。綜述在災(zāi)難發(fā)生時應(yīng)當(dāng)采取的程序（如計算機的關(guān)閉、火災(zāi)(huzi)撲滅、疏散和警報程序等）。（3）災(zāi)難應(yīng)對計劃。評估損失、警告職員、執(zhí)行災(zāi)難恢復(fù)計劃。（4）恢復(fù)運行方法?；謴?fù)硬件、軟件、網(wǎng)絡(luò)程序并確保數(shù)據(jù)及時恢復(fù)運行。（5）如何恢復(fù)運

42、行。在災(zāi)難發(fā)生地或其他地點恢復(fù)運行的計劃。這個計劃應(yīng)當(dāng)包括構(gòu)建新設(shè)備、獲取新硬件和軟件、在實施前測試新系統(tǒng)。（6）如何測試和維護(hù)數(shù)據(jù)。測試和維護(hù)的詳細(xì)計劃。（7）附錄：包括硬件、軟件的詳細(xì)目錄、職員合同、保險政策、軟件安全協(xié)議、網(wǎng)絡(luò)和硬件供應(yīng)商支持協(xié)議以及工作地點之外儲存數(shù)據(jù)列表和如何獲得它的指令。（8）術(shù)語匯編。在計劃中使用的技術(shù)性術(shù)語的定義。需要注意的是，該計劃一定要保存在與水火隔離的工作環(huán)境之外。一旦發(fā)生災(zāi)難，在必要保護(hù)下不會受到破壞。70共八十八頁執(zhí)行評估(pn )和維護(hù)災(zāi)難恢復(fù)計劃這個階段的主要目的是確保災(zāi)難恢復(fù)計劃按照設(shè)計執(zhí)行，并保證計劃被正確地維護(hù)。測試的范圍包括硬件、系統(tǒng)軟件、

43、應(yīng)用軟件和遠(yuǎn)程通信網(wǎng)絡(luò)。主要步驟如下：（1）研究災(zāi)難恢復(fù)計劃測試目標(biāo)和評估準(zhǔn)則。特別是公司需要(xyo)確定通過測試災(zāi)難恢復(fù)計劃想要達(dá)到的目的，及如何評價測試的成功和失敗。（2）記錄高水平測試災(zāi)難恢復(fù)計劃。公司需要明確確認(rèn)測試內(nèi)容和測試方法。（3）準(zhǔn)備詳細(xì)測試工作計劃。（4）執(zhí)行測試。（5）評估測試。（6）準(zhǔn)備測試報告。（7）維護(hù)計劃。定期審查和修訂計劃。71共八十八頁4.應(yīng)用軟件中的控制(kngzh)應(yīng)用控制是對應(yīng)用系統(tǒng)的輸入、處理和輸出功能進(jìn)行的控制。通過應(yīng)用控制可以實現(xiàn)以下目標(biāo)：只有完整、準(zhǔn)確、合法的數(shù)據(jù)才能被錄入或修改；處理操作完成正確的任務(wù)；處理結(jié)果是所期望(qwng)的結(jié)果；數(shù)據(jù)被

44、存儲和維護(hù)。這些控制可能包括：編輯測試、總數(shù)控制、調(diào)節(jié)與鑒定、錯誤報告、錯誤或例外數(shù)據(jù)。自動控制與手工過程應(yīng)相配合使用，以保證例外情況處理的正確性。72共八十八頁輸入(shr)控制 輸入控制過程必須保證每筆交易都準(zhǔn)確、完整的被接收、處理和記錄下來。并應(yīng)保證只能輸入合法和經(jīng)過授權(quán)的信息，每筆交易只能處理一次。1輸入授權(quán)輸入授權(quán)用戶證實所有交易均經(jīng)過管理人員的授權(quán)和認(rèn)可。輸入授權(quán)用于確保只有授權(quán)的數(shù)據(jù)才能輸入計算機系統(tǒng)由應(yīng)用軟件處理。授權(quán)可以在數(shù)據(jù)輸入系統(tǒng)的同時在線執(zhí)行。也可以通過計算機自動生成一個(y )項目清單，手工簽字授權(quán)。在處理過程中確保授權(quán)數(shù)據(jù)不變的控制是很重要的。這可以通過內(nèi)嵌于應(yīng)用軟

45、件設(shè)計中的各種準(zhǔn)確性和完整性檢查來實現(xiàn)。73共八十八頁可以(ky)通過以下形式授權(quán)：批量單據(jù)上的簽名 提供了獲得授權(quán)的證據(jù)。在線訪問控制 確保只有(zhyu)授權(quán)用戶才可以 訪問數(shù)據(jù)執(zhí)行敏感功能。唯一的口令 避免其他人通過所授予的權(quán)限訪問數(shù)據(jù)。并且口令也有助于確認(rèn)誰的操作導(dǎo)致了數(shù)據(jù)的變化。從而保證操作員為其操作負(fù)責(zé)。終端鑒證 限制只有某些終端或某些人可用完成輸入操作。74共八十八頁源文件用于記錄數(shù)據(jù)的表單?？赡苁且粡埣?、一個文檔或終端顯示的一個圖像(t xin)。一個設(shè)計良好的源文件可以滿足多個目標(biāo)。包括：提高數(shù)據(jù)記錄的速度和準(zhǔn)確性；控制工作流；有助于使用圖像(t xin)識別設(shè)備錄入數(shù)據(jù)；提

46、高使用圖像(t xin)識別技術(shù)設(shè)備讀如數(shù)據(jù) 的速度和準(zhǔn)確性，并且便于按順序到參考檢查。理想情況下，源文件應(yīng)該是打印格式，以保證一致、準(zhǔn)確、清晰可讀。所有的源文件都應(yīng)經(jīng)過合適控制。所有的源文件都應(yīng)順序編號，以便于統(tǒng)計，保證所有文件都能輸入系統(tǒng)。75共八十八頁批量控制(kngzh)與結(jié)算批量控制組為了生成控制總數(shù)需要輸入交易。批量控制可以基于金額數(shù)量匯總、項目匯總、文檔匯總或者雜湊匯總（hash totals）。批量首頁表單是一個控制數(shù)據(jù)。所有輸入 的表單都應(yīng)清晰地標(biāo)明應(yīng)用名和交易代碼。如果可能的話，所有表單都應(yīng)事先按照交易識別代碼及其他順序項目編碼并打印。這樣可以保證所有相關(guān)數(shù)據(jù)都可登記到輸入

47、表單中，減少數(shù)據(jù)輸入錯誤。批量結(jié)算可以通過手工或自動調(diào)整的方式實現(xiàn)。批量匯總必須有充分依次完成的步驟。提供充分到控制以確保，每一個交易事項都生成了一份輸入文檔資料、所有 的文檔都包含(bohn)進(jìn)了批處理中。所有 的批次都被提交處理，所有的批次都被計算機接受，執(zhí)行了批量結(jié)算，并對結(jié)果進(jìn)行了檢查和對不一致的地方做了修改，對被系統(tǒng)拒絕項目都重新作了處理。76共八十八頁輸入(shr)錯誤報告與處理 輸入過程需要(xyo)通過控制措施保證數(shù)據(jù)被正確的錄入系統(tǒng)，能夠識別和修改輸入錯誤。在數(shù)據(jù)轉(zhuǎn)換過程中需要修正數(shù)據(jù)轉(zhuǎn)換錯誤。錯誤可能來源于重復(fù)的交易事項或不正確的數(shù)據(jù)輸入。這種錯誤會極大的影響數(shù)據(jù)的完整性和

48、準(zhǔn)確性。輸入錯誤處理的方式可能有以下幾種：僅拒絕帶錯的交易；拒絕整個批次的交易；以掛起方式接受批處理任務(wù)；接受批處理任務(wù)，將錯誤的交易加以標(biāo)記。77共八十八頁聯(lián)機系統(tǒng)和數(shù)據(jù)庫系統(tǒng)中的批量(p lin)完整性 聯(lián)機系統(tǒng)也需要對輸入進(jìn)行控制?？梢詫⒁惶斓臉I(yè)務(wù)形成以上批處理任務(wù)，由指定的終端或人員輸入數(shù)據(jù)(shj)。上級領(lǐng)導(dǎo)應(yīng)檢查在線批處理任務(wù)，并提交給系統(tǒng)處理。78共八十八頁處理(chl)控制 1數(shù)據(jù)確認(rèn)與編輯應(yīng)采取一定措施保證輸入的數(shù)據(jù)與數(shù)據(jù)源盡可能的保持一致.程序設(shè)定的輸入格式確保數(shù)據(jù)以正確的方式存入正確的字段。如果輸入過程允許主管越過數(shù)據(jù)確認(rèn)和編輯過程，應(yīng)該自動的將情況登記入日志。其他的管理

49、人員應(yīng)對此日志進(jìn)行檢查。數(shù)據(jù)確認(rèn)用于鑒別(jinbi)數(shù)據(jù)錯誤、不完整或遺漏的數(shù)據(jù)、與相關(guān)項目不一致的數(shù)據(jù)。如果使用了智能終端的話，這些檢查可以在前臺進(jìn)行。編輯控制是用于計算機程序中，在數(shù)據(jù)處理之前進(jìn)行的預(yù)防性控制。如果缺乏編輯控制，就會對不正確的數(shù)據(jù)進(jìn)行處理。 79共八十八頁常見(chn jin)的確認(rèn)編輯包括：順序檢查 控制數(shù)字按順序排列，任何有重復(fù)號碼或斷號的業(yè)務(wù)都被拒絕，并生成異常（例外）報告。限制條件檢查 數(shù)據(jù)不能超過預(yù)先定義的數(shù)量范圍。一旦超過這個范圍，這個交易經(jīng)應(yīng)被拒絕，并作進(jìn)一步的檢查和證實。范圍檢查 數(shù)據(jù)的取值不能超過一定的范圍。例如產(chǎn)品類型代碼的范圍是從100到250。任何

50、超出該范圍的代碼都應(yīng)被作為一個非法的產(chǎn)品類型加以拒絕。有效性檢查 有效性檢查由程序自動(zdng)根據(jù)預(yù)先定義的規(guī)則對數(shù)據(jù)的有效性進(jìn)行檢查。例如人員表的性別字段只有兩個值“男”或“女”。輸入該字段的其他任何值都是非法的，不能被程序接受。80共八十八頁常見(chn jin)的確認(rèn)與編輯控制合理性檢查 輸入數(shù)據(jù)應(yīng)與預(yù)先定義的合理范圍進(jìn)行匹配。對于超出范圍的記錄，計算機程序應(yīng)能夠打印出一個警告提示。表查尋 將輸入數(shù)據(jù)與計算機系統(tǒng)所存有各種可能輸入值的表進(jìn)行比較。存在性檢查 數(shù)據(jù)被正確的輸入，符合(fh)預(yù)先定義好地合法性規(guī)則。鍵比較 由兩個不同的人將數(shù)據(jù)使用鍵盤敲入計算機，比較兩者的輸入是否相同。檢測數(shù) 附加于數(shù)據(jù)的末尾，用于檢查數(shù)據(jù)在輸入、傳送過程中是否發(fā)生錯誤的數(shù)。81共八十八頁常見的確認(rèn)(qurn)與編輯控制完整性檢查通過一個存儲非零或非空數(shù)據(jù)(shj)的字段，來確認(rèn)數(shù)據(jù)(shj)的完整。重復(fù)檢查檢查新的交易記錄是否已經(jīng)被輸入。邏輯關(guān)系檢查如果某個條件為真，其他的條件或數(shù)據(jù)輸入關(guān)系才可能是真，這個輸入才是合法。例如某個雇員的雇傭日期與生日只有相差16歲，該數(shù)據(jù)才可能是合法的。82共八十八頁處理(chl)控制過程 處理控制確保所積累數(shù)據(jù)的完整性和準(zhǔn)確性。以下是一些常用的處理控制技術(shù)：（1）手工重算可以通過對交易(jioy)進(jìn)行抽樣手工重算以確保計算機處理完成了預(yù)期的任務(wù)。（2）編輯