国际注册内部审计师

• 第1页：系统安全相关知识

• 第2页：典型试题

E15　系统安全

系统安全是在风险分析的基础上，选择适宜的控制目标与控制方式，对系统的安全进行控制，使信息资产的风险降到组织可以接受的水平。
15.1 General Control V8.Application Control
一般控制和应用控制
应用控制与一般控制是两个不同层次的控制手段：
一般控制（General Contr01）包括各种相对通用的控制手段和技术，包括：管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和数据安全控制等。
应用控制（Application Control）包括和特定应用相关的、为保障应用程序正确运行而设定的控制，如输入控制（input contr01）、处理控制（process control）、输出控制（output contr01）等。
相对于应用控制，一般控制更为基础，且其有效性不受应用控制的影响。相反，应用控制的有效性则往往受到一般控制，尤其是操作系统访问控制的影响。当审计师审查一个应用系统的应用控制时，应首先确认该系统已经建立完善的一般控制。对于较复杂的信息系统，通常应结合使用这两种控制技术。
一般控制包括：
管理控制（administrative contr01）的主要目标是实现职责分离。常见的管理控制包括：系统分析员不应该接触计算机设备、数据和程序；计算机编程人员不应该接触计算机设备、数据和已交付使用的程序；操作员不应该参与系统设计或更改程序，这样可以最好地防止拥有充分技术的人员绕过安全程序，对生产程序进行修改。
运行控制（operations control）包括：
计算机运行控制是为确保系统的正常运行而实施的控制。例如，对不需要的文件要在受控条件下及时删除；
系统实施控制（implementation control）是在系统开发实施过程的各个环节都建立控制点并编制文档以保证系统的实施是在适当的控制和管理之下，文档应从技术和应用两个角度说明系统是如何运行的；
软件控制（software control）是保证已投入运行的软件未经许可不得修改的控制；
硬件控制（hardware contr01）是保证硬件正常运行的控制，如回波检验（echo check）、奇偶校验（parity check）等；
访问控制（access contr01）是确保只有 被授权用户才能实现对特定数据和资源进行访问的控制，通常特指逻辑访问控制（logical access control）；
物理设备控制（physical device contr01）是防止对物理设备的非授权接触的控制。
应用控制包括：
输入控制（input contr01）包括输入授权（input authorization）、数据转换（data conversion）和编辑检验（edit checks）。其中，编辑检验又包括合理性检验 （reasonableness checks）、格式检验（format checks）、存在性检验（existence checks）、依赖性检验（dependency checks） （又称相关性检验）、检验位 （check digit）、重新输入控制（reinput control）等。
处理控制（processing contr01），包括运行总数控制（run control totals）、计算机匹配（computer matching）、并发控制（concurrency contr01）。
输出控制（output contr01）包括平衡总数（balancing totals）、复核处理日志（review of processing logs）、审核输出报告（audit of output report）、审核制度与文件（audit of procedures and documentation）。
15.2 Access Control Technologies
访问控制技术
访问控制技术确保只有被授权用户才能实现对特定数据和资源的访问。访问控制技术可以应用在信息系统的不同层次，如操作系统访问控制、数据库访问控制、网页访问控制等。但访问控制技术的应用必须适当合理，尤其应注意系统安全性和系统可用性之间的平衡。访问控制技术包括 用户身份标识（identification）和鉴别（authentication）、访问控制列表（ACL：access control list）和审计追踪（audit trails）等。
用户标识（UID：user identifier）：用于唯一地确定一个用户的身份，是实施访问控制的前提。
口令（passwords）：鉴别用户身份的常用手段之一，通过使用口令可以明确用户的责任。例如，对应付款系统数据终端的访问控制就可以要求激活终端数据必须使用口令并对数据终端的活动进行记录，以明确该终端用户对其所进行活动应负的责任。
口令应由用户掌握和修改，还可以按用户的权限设置不同的口令等级，以防止掌握口令的人非法访问服务器上的所有用户文件。口令应该严格保密，并且在终端输入时不应该显示。 为了防止口令被猜出，可使用能够实施口令组合标准的访问控制软件；为了防止存储在系统中的口令被窃取，可使用能够实施口令加密的访问控制软件。
有的用户因为进入系统过程较琐碎枯燥，就把登录串包括口令存在个人电脑里，以待进入主机设施时再调用，这样任何能访问用户个人计算机的人就能访问主机。因此，对于高安全级别的系统，应采用更安全的身份识别技术，如智能IC卡、生物技术（biometric technologies）等。
屏幕保护程序口令安全性较低，因为它很容易被绕过。
授权（Authorization）使用户能访问特定的数据和资源。应建立数据分级方案和用户标识方案，并根据“知必所需 "（need to know）的原则建立访问控制列表，确保雇员只能访问对完成其工作确有必要的信息。
访问日志（Access Log）对用户访问信息系统的时间、内容等进行记录，便于分析控制。安装访问日志系统属于检测性控制措施，它虽然可以发现未经授权的访问，但不能防止其发生。
自动注销登录（Automatic Log-off）自动撤消非活动终端的登录可以防止通过无人照管的终端来访问主机上的敏感数据。
回拨（Callback）指远程用户拨叫主机后应立即挂断，由主机回拨该用户以保证信息按指定线路传输。例如：在电子资金汇划系统中，为了保证数据只传送给被授权的用户，最有效的控制措施就是 要求接受数据的金融机构使用回拨系统。
工具软件（Utility Software Restrictions）可以绕过访问控制和审计，管理层应制定限制使用具有访问特权的工具软件的政策，以降低利用特权软件进行非法访问的风险。
安全软件（security software）的功能是限制对系统资源的访问，但不能限制未经许可软件的安装，也不能监控职责分离。使用安全软件要注意使安全软件与操作系统在安全控制方面保持同步。
15.3 Firewall
防火墙
防火墙（firewall）是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在的破坏性侵入。它可以通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部信息、结构和运行状况，以此来实现网络安全保护。利用Internet实现电子商务必须使用防火墙。
防火墙按其工作层次可分为：
数据包过滤型。通常安装在路由器上，工作在网络层，逻辑简单、价格便宜、易于安装和使用。
应用网关型。通常安装在专用工作站上，工作在应用层，安全性能好，但价格比较贵，安装和使用比较复杂。
应用程序应安装在防火墙里面的服务器上，如果将应用程序安装在防火墙外面的服务器上，那么防火墙就起不到应有的作用，会增加非法访问的风险。对于某些面向公开用户的应用系统，如电子询价系统，必须允许公众用户访问公司资源，此时可利用防火墙将系统划分为内部应用区和中间应用区，并根据文件的访问种类将其存放在不同区域，公众用户允许访问中间区但不能进入内部区，从而确保公司数据的安全性。
审计防火墙的有效性需要核实路由器访问控制列表、测试调制解调器和集线器的位置、审查控制记录。
入侵检测系统（IDS:Intrusion Detection System）工作在应用层，可以对应用数据流进行检测并检测出可能的入侵行为。IDS可分为两类：基于行为的和基于知识的。基于行为的IDS基于已知的入侵行为特征进行过滤，而基于知识的IDS则根据知识库推断，是可以发现未曾预见的攻击的专家系统。
入侵检测系统和防火墙的集成可以构成入侵防御系统（IPS:Instrusion Prevention System）。
15.4 Physical Computer Security
计算机的物理安全
计算机物理安全包括防火防潮、不间断电源的使用、计算机附近铁路公路的风险评价、尽量不要暴露数据中心的位置以防止恐怖分子袭击、生物统计访问系统的应用等物理因素，但不包括访问授权等逻辑因素。
对于使用租赁线路的网络应保证设置在各营业场所的传输线路的安全以防止非法访问网络。
15.5 Outsourcing Services
外包服务／第三方服务
企业为了提高组织结构的适应性，使之能集中精力于核心业务，从而以最小的成本获取最大的边际利润，往往通过签订协议将其信息部门的部分或全部职能交给第三方服务机构来承担，即所谓的服务外包。第三方服务机构的类型及特点如下：
设备管理机构（facilities management organizations）：按照用户的要求来管理运行用户拥有的数据处理设备。
计算机租赁公司（computer leasing companies）：只提供设备，不负责设备管理运行。
服务局（service bureaus）：管理运行自己拥有的数据处理设备，为不同客户提供处理服务。
共享服务商（time-sharing vendors）：管理运行自己拥有的数据处理设备和系统，使各类组织能使用它们的系统。
采用第三方服务是目前的流行趋势，但是这种服务同时也带来了合同纠纷、系统失败、运行不良、放弃日常操作控制等风险。

相关推荐：国际注册内审师考试《经营分析和信息技术》讲义汇总
新添考试应用：
①资讯订阅，查询最新考试信息②章节习题 海量套题全免费体验！！ 

• 第1页：系统安全相关知识

• 第2页：典型试题

典型试题
1.用户和管理人员都需认可最初的建议、设计规划、转换计划和信息系统测试计划。这是以下哪项控制的例证?
a.实施控制。
b.硬件控制。
c.计算机运行控制。
d.数据安全性控制。
『正确答案』a
『解题思路』
a.正确。实施控制应存在于系统开发过程的各个环节，以确保系统实施处于适当的控制和管理之下。
b.不正确。硬件控制用以保证计算机硬件的物理安全和检查设备的故障。
c.不正确。计算机运行控制应用在计算机部门的工作中，保证程序化的作业规程在数据的存储和处理过程中得到一贯正确地执行。
d.不正确。数据安全性控制保证在磁盘或磁带上的数据文件不被非法访问、修改或毁坏
2.以下哪项是信息系统逻辑安全控制的目标?
a.保证数据记录的完整和准确。
b.保证数据处理的完整和准确。
c.限制对特定数据和资源的访问。
d.提供处理结果的审计轨迹。
『正确答案』c
『解题思路』
a.不正确。保证数据记录的完整和准确是输入控制的目标。
b.不正确。保证数据处理的完整和准确是处理控制的目标。
c.正确。限制对特定数据和资源的访问是逻辑安全控制的目标。
d.不正确。提供处理结果的审计轨迹属于输出控制的目标。
3. 要防止通过将无人照管的终端直接连接到主机上而对敏感数据进行非法访问，以下哪项安全控制效果最佳?
a.使用带密码的屏幕保护程序。
b.使用工作站脚本程序。
c.对数据文件加密。
d.自动注销不活动用户。
『正确答案』d
『解题思路』
a.不正确。无人照管终端的主要风险是该终端可能已经合法地登录主机，因此任何人都可以利用该终端访问主机中的敏感数据。在这种情况下，带密码的屏幕保护程序较容易被绕过，如用另一台终端替换该终端。
b.不正确。工作站脚本程序用来定制终端的运行环境，只有在终端登录时起作用。
c.不正确。对数据文件加密不能防止攻击者访问敏感数据，因此时攻击者已获得了合法用户的身份，系统会自动解密数据文件。
d.正确。自动注销不活动用户可使攻击者失去获得合法用户的机会。
4.以下哪项应用程序控制能够为库存数据完整、准确地输入提供合理保证?
a.顺序检查。
b.批量总额。
C.限额检查。
d.检验数位。
『正确答案』b
『解题思路』
a.不正确。顺序检查是一种测试输入完整性的相当好的控制，但它并不测试正确性。
b.正确。批量汇总检查对测试输入完整性和正确性均很有效。
c.不正确。限额检查只能判定输入的数据是否在可接受的范围内，因此也不能用来测试输入的正确性。
d.不正确。数字检验位可以使计算机机械地拒绝错误的输入。生成数字校验位需要进行繁琐的运算，因而这种方法只适用于少数关键的输入项。数字校验位绝不会用于测试成批数据输入的正确性。
5.为了避免非法数据的输入，某银行在每个账号结尾新加一个数字并对新加的数字进行一种计算，此种技术被称为：
a.光学字符识别。
b.校验数位。
c.相关性检验。
d.格式检验。
『正确答案』b
『解题思路』
a.不正确。光学字符识别将印刷字符转换成计算机可以识别的内部代码。
b.正确。校验数位是对某字段进行某种计算后得出，并附加在该字段之后的校验位。通过重新计算校验位并和原校验位进行比较，可以发现该字段内容是否已发生变化
c.不正确。相关性检验用于检查多个字段之间是否存在某种关联，来判断字段内容的正确性
d.不正确。格式检验用于检查字段内容是否遵循某种特定的格式，如日期字段应该具有如下格式：YYYY：MM：DD
6.以下哪项不是典型的输出控制?
a.审查计算机处理记录，以确定所有正确的计算机作业都得到正确执行。
b.将输入数据与主文件上的信息进行匹配，并将不对应的项目放入暂记文件中。
c.定期对照输出报告，以确认有关总额、格式和关键细节的正确性及其与输入信息的一致性。
d.通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者。
『正确答案』b
『解题思路』
a.不正确。审查计算机处理记录是典型的输出控制。
b.正确.将输人数据与主文件上的信息进行匹配是一项输入控制。
c.不正确。定期对照输出报告是典型的输出控制。
d.不正确。通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者是典型的输出控制。
7.因为某公司的大部分日常交易信息对其竞争对手都是机密信息，该公司只允许雇员访问对完成各自工作有必要的信息，这种访问信息的方法是基于：
a.知必所需原则
b.个体可追踪原则。
c.即时性原则。
d.例外管理原则。
『正确答案』a
『解题思路』
a.正确。知必所需原则指雇员只能获得其完成工作所必需的信息。
b.不正确。个体可追踪原则指雇员能够为其授权操作行为承担责任。
c.不正确。即时性原则要求为生产某项产品所需的原材料或存货能在最适当的时间和最合适的数量准备好，既不形成过多的库存，又不延误产品的生产。
d.不正确。例外管理原则强调更多地关注例外条件，认为这样比花费同样的时间来关注正常运行过程效果更好。
8.用来确定应用程序系统需要建立多少控制的标准不包括以下哪项内容？
a.数据在系统中的重要性。
b.应用网络监测软件的可行性。
c.某项活动或处理没有受到适当控制所产生的风险水平。
d.每种控制措施的效率、复杂性和费用。
『正确答案』b
『解题思路』
a.不正确。例如，重要的财务和会计系统，如证券交易所的股票买卖跟踪系统，相对于记录员工培训和技能的系统而言，必须具有更高的控制标准。
b.正确。网络监测软件并不参与应用系统内部的控制。
c.不正确。问题的发生频率及其潜在的危害应决定在一个系统中建立多少控制。
d.不正确。例如，在一个每天处理成千上万笔支付业务的系统中，完全的逐项检查可能过于费时而不可操作，但如仅检查关键的数据则可能是可行的，如检查金额、账号而忽略姓名和地址。
9. 以下哪种关于互联网是一种可靠的商业网络的说法是正确的？
a.公司若想保持内部数据的安全性，必须应用防火墙。
b.公司必须向互联网提出申请，得到创造主页的许可，从事电子商务。
c.希望在互联网上参与电子商务活动的公司必须遵守互联网供应商联盟确立的安全标准。
d.上述说法都对。
『正确答案』a
『解题思路』
a.正确。防火墙可以通过设立安全策略来控制互联网的人员对公司内网的访问。
b.不正确。任何公司均可在互联网上创建主页并从事电子商务，并不需要提出申请。
c.不正确。互联网是一个松散管理的网络，不存在互联网供应商联盟，当然也不存在互联网供应商联盟确立的安全标准。
d.不正确。
10.使用安全软件（Security Software）的主要目的是：
a.控制对系统资源的访问。
b.限制安装未经许可的工具软件。
c.检测病毒的出现。
d.对应用程序中职责分离的监控。
『正确答案』a
『解题思路』
a.正确。安全软件的目标就是控制对系统资源的访问，这些资源包括工具软件、程序库、各种敏感级别的数据文件等。
b.不正确。安全软件只控制对工具的使用，但不会限制其安装。
c.不正确。能检测病毒出现的是防病毒软件。
d.不正确。可利用安全软件实现职责分离，但不能对职责分离进行监控。
11. 从微机上载的数据可能有误，以下哪种方法能最好地解决此问题？
a.主机应该定期备份。
b.上载数据时应有两个人同时在微机旁边。
c.主机应该对上载数据实施与联机输入数据时同样的编辑和合法性检查例程。
d.要求用户检查已处理数据的随机样本。
『正确答案』c
『解题思路』
a.不正确。定期备份对发生故障后的系统恢复非常有用，但不能防止和发现数据上传的错误。
b.不正确。上传数据时两人同时在场对防止数据上传中的舞弊问题有效，但对防止数据错误的作用很小。
c.正确。主机对上载数据实施与联机输入数据时同样的编辑和合法性检查例程能实时地发现并防止错误数据进入系统。
d.不正确。检查已处理数据的随机样本属于发现性的控制，但不能预防错误发生。
12. 通过以下哪种方式可以最好地防止拥有充分技术的人员绕过安全程序对生产程序进行修改？
a.对已完成工作的报告进行检查。
b.将生产程序与独立控制的拷贝进行比较。
c.定期运行测试数据。
d.制定合适的职责分离。
『正确答案』d
『解题思路』
a.不正确。对已处理作业进行检查只能发现非法访问的事实，但不能防止其发生。
b.不正确。比较生产程序和受控拷贝只能发现程序改变的事实，但不能防止其发生。
c.不正确。定期运行检测数据可以发现改变，但不能防止改变。
d.正确。在职责分离的情况下，用户无法获得程序的详细知识，而计算机操作员则很难不受监督地接触生产程序。

相关推荐：国际注册内审师考试《经营分析和信息技术》讲义汇总
新添考试应用：
①资讯订阅，查询最新考试信息②章节习题 海量套题全免费体验！！ 

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页