国际注册内部审计师

12.7 End—User Computing

终端用户计算（终端用户开发）

指系统的终端用户在没有或只有很少技术专家正式协助的条件下，自行完成系统开发的一种开发策略。这存在一定的风险，包括：系统整体分析功能常被忽略，难以和其他系统集成和共享数据；系统内会产生一些专用的信息系统；缺乏标准和文档，使用及维护都严重地依赖开发者；由于缺乏监督，致使相同的信息可能被以不同的方式处理，失去了信息的一致性，这也是终端用户开发的系统中最难发现的缺陷。

对应用终端用户计算的审计包括：确定终端用户计算的应用程序、对应用程序风险进行排列、对控制情况进行文件处理和测试等。

为降低终端用户计算的风险，内部审计师可以建议：在组织内部成立以咨询服务为

主要职能的“信息中心”；制定相应的政策、规章制度来管理用户开发。

12.8 Application User Authentication

应用系统用户认证

用户认证是一种从数据库到操作系统等各类软件中都很常见的安全防范技术，应用系统用户认证从概念上来说是非常简单的：系统的每一位用户都被分配了一个唯一的用户名。对关联该用户名的资源或功能的访问都要接受特定口令的保护。用户认证机制的主要优点是它可以为创造出更复杂的授权方案提供选择。所谓的认证（authentication）是证明用户身份的过程，而授权（authorization）则是标识认证用户可访问资源的过程。

在特殊情况下，用户认证类型有可能采用多种复合认证技术，基本上分为：

只有你知道的事情，如账号和密码；

只有你拥有的东西，如身份证、工作证；

只有你具有的特征，如指纹、声音、虹膜。

 相关推荐

更多内审师考试模拟试题

更多内审师考试辅导资料

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页