System Security and Audit

System Audit

它是对业务系统业绩进行审查的调查。 进行系统审计的目标如下:

比较实际和计划的业绩。

核实在目前环境下,系统的既定目标仍然有效。

评价既定目标的实现情况。

确保基于计算机的财务和其他信息的可靠性。

确保处理过程中列入的所有记录。

确保防止欺诈。

Audit of Computer System Usage

数据处理审计员对计算机系统的使用进行了审计,以便控制该系统。 审计员需要计算机系统本身获得的控制数据。

The System Auditor

审计员的作用始于系统开发的初始阶段,以确保由此产生的系统安全。 它描述了一种能够记录下来的系统利用的想法,这有助于负荷规划,决定硬件和软件规格。 这表明了计算机系统的明智使用和系统的可能滥用。

Audit Trial

审计审判或审计记录是一份安全记录,由谁进入计算机系统,在一定时期内开展哪些业务。 审计审判被用来详细追踪系统数据变化情况。

它提供了各种控制技术的文件证据,证明交易在处理过程中必须进行。 审计审判没有独立存在。 进行会计核算是为了收回损失的交易。

Audit Methods

可以通过两种不同方式进行审计:

Auditing around the Computer

Take sample inputs and manually apply processing rules.

Compare outputs with computer outputs.

Auditing through the Computer

Estabpsh audit trial which allows examining selected intermediate results.

Control totals provide intermediate checks.

Audit Considerations

审计考虑利用说明和模型来审查分析结果,查明因职能不当、程序分散或职能、数据流动中断、数据缺失、处理重复或不完整以及没有处理自动化机会而产生的问题。

本阶段的活动如下:

Identification of the current environment problems

Identification of problem causes

Identification of alternative solutions

Evaluation and feasibipty analysis of each solution

Selection and recommendation of most practical and appropriate solution

Project cost estimation and cost benefit analysis

Security

系统安全是指保护系统免遭偷窃、擅自获取和更改以及意外或无意损害。 在计算机系统中,安保涉及保护计算机系统的所有部分,包括数据、软件和硬件。 系统安全包括系统隐私和系统完整性。

系统隐私涉及保护个人系统不受相关个人的许可/了解而进入和使用。

系统完整性涉及系统原始和加工数据的质量和可靠性。

Control Measures

各种控制措施可大致分类如下:

Backup

根据时间紧迫性和规模,每天/每周定期支持数据库。

更长时间递增。

备份副本存放在安全的边远地点,对灾后恢复尤为必要。

复制系统运行,所有交易如果是一个非常关键的系统,在存储磁盘之前不能容忍任何干扰,就反映了这种系统。

Physical Access Control to Facipties

Physical locks and Biometric authentication. For example, finger print

ID cards or entry passes being checked by security staff.

Identification of all persons who read or modify data and logging it in a file.

Using Logical or Software Control

Password system.

Encrypting sensitive data/programs.

Training employees on data care/handpng and security.

Antivirus software and Firewall protection while connected to internet.

Risk Analysis

风险是可能失去某种价值。 风险分析首先通过确定系统的脆弱性及其影响来规划安全制度。 然后,该计划是为了管理风险和应对灾害。 这样做是为了了解可能发生的灾害及其成本。

风险分析是具有不同背景的专家的团队工作,如化学品、人为错误和加工设备。

在进行风险分析时将遵循以下步骤:

计算机系统所有组成部分的识别。

查明每个构成部分面临的所有威胁和危险。

量化风险,即评估发生威胁时的损失,已成为现实。

Risk Analysis – Main Steps

由于风险或威胁正在发生变化,潜在损失也在发生变化,高级管理人员应当定期进行风险管理。

风险管理是一个持续的过程,涉及以下步骤:

确定安全措施。

计算安全措施的执行费用。

比较安全措施的成本与威胁的损失和可能性。

选择和执行安全措施。

审查安全措施的执行情况。