信息技术与信息系统相关的风险控制 # h: Q R4 y! W* M8 \" d* C6 _
, G) q& h. ]# B( D$ ] 系统和数据很容易受到损失的原因:即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。
, C2 e3 i6 H3 G; Q: w
/ F: D$ B" r' K* |- f& t (一)信息安全控制 9 ?, y9 r2 o9 Q: n+ S
% D, z3 ~3 z4 P' F6 B% ?
安全控制可以从以下四个方面进行界定, 以发挥其特性。 4 B1 b6 B# F0 n7 J' T3 s( w- a1 M
- t! P+ s$ K+ X1 X 1.预测性。确定可能的问题并提出适当的控制。 : D G) H8 m, z, @: m: e
/ I8 O+ s! x6 @( m: o+ @
2.预防性。将发生风险的可能降至最低,例如,防火墙可以防止未经授权的访问。 - \* J/ m4 l! J/ K. I
9 u, o& @% e$ f; H, c1 V
3.侦察性。日志能够保存那些未经授权的访问记录。
! Q4 n5 t7 K% u+ j4 ~
+ I, C- R9 R: c 4.矫正性。对未经授权的访问造成的后果提出修正的方法。
$ A9 Q1 b# B& M- ?0 d! }2 g$ s! I( N5 b1 e- {; ^
(二)信息技术/信息系统控制类型 ( R9 \) a' z q$ F9 c
, L' S- Y% N0 f+ S
1. 一般控制。从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性,防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。
7 u9 m M5 N& j. u! R, D% } 2. 应用控制
6 ~. D4 M5 r8 S- c, X y* r
4 ^, x& F9 S9 c- Y! X2 i& {! o 应用控制与管理政策配合,对程序和输入、处理和输出数据进行适当的控制,可以弥补一般控制的某些不足。包括: 输入控制、 过程控制、输出控制。
( k- |' ]* v: Y- [+ s) s/ z* K0 F
: T& H: Q/ Z5 [/ \* q7 A$ }' d 3. 软件控制和软件盗版
3 Q8 R+ h4 M1 y0 t' N S8 ?! }: \. U
4. 网络控制
# f ~( y) [8 [6 M- t- q" s) P
1 ]! h8 Y- O5 V" R4 _$ l; S2 B 最常用的网络控制有防火墙、数据加密、授权和病毒防护。
- {& F7 Z8 @. k" ~ V1 x$ \. @ k& Y4 I; f
(1)防火墙。它包括相应的硬件和软件,存在于企业内部网和公共网络之间。它是一套控制程序,即允许公众访问公司计算机系统的某些部分,同时限制其访问其它部分。 5 i6 U7 j. D7 F c% u4 c% P4 O
/ l3 R1 X. A* o5 O
(2)数据加密。数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。
) b8 r, a0 }5 N" V. ?$ I* Y& v! }6 L) J3 o% ]2 S0 [/ U6 I& N
(3)授权。客户通过身份和密码进行注册。 . X9 @; _* @4 ^! r8 G0 q6 P
$ l% }6 t& f8 y- J$ H* V (4)病毒防护。病毒是一种计算机程序,它能够自我复制,并在被感染的计算机之间传播。病毒能够修改、删除文件,甚至删除计算机硬盘驱动中的所有内容。因此,使用病毒检测和防护软件扫描病毒,更改用户和删除病毒有助于避免计算机数据遭到破坏。
3 L5 l7 p; F; C, O, M: K/ N) t; A6 q8 q- w( F
! u9 q3 Y1 f7 x5 o/ L+ o' x, y+ C
. B, x; ]- f9 a0 T9 d+ F' G5 L |
发表于 2012-2-22 20:43:02
