E15　系统安全

系统安全是在风险分析的基础上，选择适宜的控制目标与控制方式，对系统的安全进行控制，使信息资产的风险降到组织可以接受的水平。 
15.1 General Control V8.Application Control 
一般控制和应用控制 
应用控制与一般控制是两个不同层次的控制手段： 
一般控制（General Contr01）包括各种相对通用的控制手段和技术，包括：管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和数据安全控制等。 
应用控制（Application Control）包括和特定应用相关的、为保障应用程序正确运行而设定的控制，如输入控制（input contr01）、处理控制（process control）、输出控制（output contr01）等。 
相对于应用控制，一般控制更为基础，且其有效性不受应用控制的影响。相反，应用控制的有效性则往往受到一般控制，尤其是操作系统访问控制的影响。当审计师审查一个应用系统的应用控制时，应首先确认该系统已经建立完善的一般控制。对于较复杂的信息系统，通常应结合使用这两种控制技术。 
一般控制包括： 
管理控制（administrative contr01）的主要目标是实现职责分离。常见的管理控制包括：系统分析员不应该接触计算机设备、数据和程序；计算机编程人员不应该接触计算机设备、数据和已交付使用的程序；操作员不应该参与系统设计或更改程序，这样可以最好地防止拥有充分技术的人员绕过安全程序，对生产程序进行修改。 
运行控制（operations control）包括： 
计算机运行控制是为确保系统的正常运行而实施的控制。例如，对不需要的文件要在受控条件下及时删除； 
系统实施控制（implementation control）是在系统开发实施过程的各个环节都建立控制点并编制文档以保证系统的实施是在适当的控制和管理之下，文档应从技术和应用两个角度说明系统是如何运行的； 
软件控制（software control）是保证已投入运行的软件未经许可不得修改的控制； 
硬件控制（hardware contr01）是保证硬件正常运行的控制，如回波检验（echo check）、奇偶校验（parity check）等； 
访问控制（access contr01）是确保只有 被授权用户才能实现对特定数据和资源进行访问的控制，通常特指逻辑访问控制（logical access control）； 
物理设备控制（physical device contr01）是防止对物理设备的非授权接触的控制。 
应用控制包括： 
输入控制（input contr01）包括输入授权（input authorization）、数据转换（data conversion）和编辑检验（edit checks）。其中，编辑检验又包括合理性检验 （reasonableness checks）、格式检验（format checks）、存在性检验（existence checks）、依赖性检验（dependency checks） （又称相关性检验）、检验位 （check digit）、重新输入控制（reinput control）等。 
处理控制（processing contr01），包括运行总数控制（run control totals）、计算机匹配（computer matching）、并发控制（concurrency contr01）。 
输出控制（output contr01）包括平衡总数（balancing totals）、复核处理日志（review of processing logs）、审核输出报告（audit of output report）、审核制度与文件（audit of procedures and documentation）。 
15.2 Access Control Technologies 
访问控制技术 
访问控制技术确保只有被授权用户才能实现对特定数据和资源的访问。访问控制技术可以应用在信息系统的不同层次，如操作系统访问控制、数据库访问控制、网页访问控制等。但访问控制技术的应用必须适当合理，尤其应注意系统安全性和系统可用性之间的平衡。访问控制技术包括 用户身份标识（identification）和鉴别（authentication）、访问控制列表（ACL：access control list）和审计追踪（audit trails）等。 
用户标识（UID：user identifier）：用于唯一地确定一个用户的身份，是实施访问控制的前提。 
口令（passwords）：鉴别用户身份的常用手段之一，通过使用口令可以明确用户的责任。例如，对应付款系统数据终端的访问控制就可以要求激活终端数据必须使用口令并对数据终端的活动进行记录，以明确该终端用户对其所进行活动应负的责任。 
口令应由用户掌握和修改，还可以按用户的权限设置不同的口令等级，以防止掌握口令的人非法访问服务器上的所有用户文件。口令应该严格保密，并且在终端输入时不应该显示。 为了防止口令被猜出，可使用能够实施口令组合标准的访问控制软件；为了防止存储在系统中的口令被窃取，可使用能够实施口令加密的访问控制软件。 
有的用户因为进入系统过程较琐碎枯燥，就把登录串包括口令存在个人电脑里，以待进入主机设施时再调用，这样任何能访问用户个人计算机的人就能访问主机。因此，对于高安全级别的系统，应采用更安全的身份识别技术，如智能IC卡、生物技术（biometric technologies）等。 
屏幕保护程序口令安全性较低，因为它很容易被绕过。 
授权（Authorization）使用户能访问特定的数据和资源。应建立数据分级方案和用户标识方案，并根据“知必所需 "（need to know）的原则建立访问控制列表，确保雇员只能访问对完成其工作确有必要的信息。 
访问日志（Access Log）对用户访问信息系统的时间、内容等进行记录，便于分析控制。安装访问日志系统属于检测性控制措施，它虽然可以发现未经授权的访问，但不能防止其发生。 
自动注销登录（Automatic Log-off）自动撤消非活动终端的登录可以防止通过无人照管的终端来访问主机上的敏感数据。 
回拨（Callback）指远程用户拨叫主机后应立即挂断，由主机回拨该用户以保证信息按指定线路传输。例如：在电子资金汇划系统中，为了保证数据只传送给被授权的用户，最有效的控制措施就是 要求接受数据的金融机构使用回拨系统。 
工具软件（Utility Software Restrictions）可以绕过访问控制和审计，管理层应制定限制使用具有访问特权的工具软件的政策，以降低利用特权软件进行非法访问的风险。 
安全软件（security software）的功能是限制对系统资源的访问，但不能限制未经许可软件的安装，也不能监控职责分离。使用安全软件要注意使安全软件与操作系统在安全控制方面保持同步。 
15.3 Firewall 
防火墙 
防火墙（firewall）是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在的破坏性侵入。它可以通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部信息、结构和运行状况，以此来实现网络安全保护。利用Internet实现电子商务必须使用防火墙。 
防火墙按其工作层次可分为： 
数据包过滤型。通常安装在路由器上，工作在网络层，逻辑简单、价格便宜、易于安装和使用。 
应用网关型。通常安装在专用工作站上，工作在应用层，安全性能好，但价格比较贵，安装和使用比较复杂。 
应用程序应安装在防火墙里面的服务器上，如果将应用程序安装在防火墙外面的服务器上，那么防火墙就起不到应有的作用，会增加非法访问的风险。对于某些面向公开用户的应用系统，如电子询价系统，必须允许公众用户访问公司资源，此时可利用防火墙将系统划分为内部应用区和中间应用区，并根据文件的访问种类将其存放在不同区域，公众用户允许访问中间区但不能进入内部区，从而确保公司数据的安全性。 
审计防火墙的有效性需要核实路由器访问控制列表、测试调制解调器和集线器的位置、审查控制记录。 
入侵检测系统（IDS:Intrusion Detection System）工作在应用层，可以对应用数据流进行检测并检测出可能的入侵行为。IDS可分为两类：基于行为的和基于知识的。基于行为的IDS基于已知的入侵行为特征进行过滤，而基于知识的IDS则根据知识库推断，是可以发现未曾预见的攻击的专家系统。 
入侵检测系统和防火墙的集成可以构成入侵防御系统（IPS:Instrusion Prevention System）。 
15.4 Physical Computer Security 
计算机的物理安全 
计算机物理安全包括防火防潮、不间断电源的使用、计算机附近铁路公路的风险评价、尽量不要暴露数据中心的位置以防止恐怖分子袭击、生物统计访问系统的应用等物理因素，但不包括访问授权等逻辑因素。 
对于使用租赁线路的网络应保证设置在各营业场所的传输线路的安全以防止非法访问网络。 
15.5 Outsourcing Services 
外包服务／第三方服务 
企业为了提高组织结构的适应性，使之能集中精力于核心业务，从而以最小的成本获取最大的边际利润，往往通过签订协议将其信息部门的部分或全部职能交给第三方服务机构来承担，即所谓的服务外包。第三方服务机构的类型及特点如下： 
设备管理机构（facilities management organizations）：按照用户的要求来管理运行用户拥有的数据处理设备。 
计算机租赁公司（computer leasing companies）：只提供设备，不负责设备管理运行。 
服务局（service bureaus）：管理运行自己拥有的数据处理设备，为不同客户提供处理服务。 
共享服务商（time-sharing vendors）：管理运行自己拥有的数据处理设备和系统，使各类组织能使用它们的系统。 
采用第三方服务是目前的流行趋势，但是这种服务同时也带来了合同纠纷、系统失败、运行不良、放弃日常操作控制等风险。