系统安全和审计

系统审计

这是一项审查操作系统性能的调查。进行系统审计的目的如下 −

• 比较实际和计划的性能。

• 验证系统的既定目标在当前环境中是否仍然有效。

• 评估既定目标的实现情况。

• 确保基于计算机的财务和其他信息的可靠性。

• 确保在处理过程中包含所有记录。

• 确保防止欺诈。

计算机系统使用情况审计

数据处理审计员审计计算机系统的使用情况以对其进行控制。审计员需要计算机系统本身获取的控制数据。

系统审计员

审计员的角色始于系统开发的初始阶段，以确保最终系统的安全。它描述了可以记录的系统利用率，有助于负载规划和决定硬件和软件规格。它表明计算机系统的合理使用以及系统可能的滥用。

审计试验

审计试验或审计日志是一种安全记录，包括在给定时间段内谁访问了计算机系统以及执行了哪些操作。审计试验用于详细追踪系统上的数据如何变化。

它提供了交易在处理过程中所受各种控制技术的书面证据。审计试验并不独立存在。它们是作为恢复丢失交易的会计工作的一部分进行的。

审计方法

审计可以通过两种不同的方式进行 −

围绕计算机进行审计

• 获取样本输入并手动应用处理规则。
• 将输出与计算机输出进行比较。

通过计算机进行审计

• 建立审计试验，允许检查选定的中间结果。
• 控制总数提供中间检查。

审计注意事项

审计注意事项通过使用叙述和模型来检查分析结果，以确定由于功能错位、流程或功能分散、数据流中断、数据丢失、处理冗余或不完整以及未解决的自动化而导致的问题机会。

此阶段的活动如下： −

• 识别当前环境问题
• 识别问题原因
• 识别替代解决方案
• 评估和分析每个解决方案的可行性
• 选择和推荐最实用和最合适的解决方案
• 项目成本估算和成本效益分析

安全

系统安全是指保护系统免遭盗窃、未经授权的访问和修改以及意外或无意的损坏。在计算机系统中，安全涉及保护计算机系统的所有部分，包括数据、软件和硬件。系统安全包括系统隐私和系统完整性。

• 系统隐私用于保护个人系统，防止未经相关个人许可/知情而访问和使用。

• 系统完整性涉及系统中原始数据和处理数据的质量和可靠性。

控制措施

控制措施种类繁多，大致可分为以下几类 −

备份

• 根据时间紧迫性和规模，每天/每周定期备份数据库。

• 以较短的间隔进行增量备份。

• 备份副本保存在安全的远程位置，这对于灾难恢复尤其必要。

• 重复系统运行，所有交易如果系统非常关键，在存储到磁盘之前不能容忍任何中断，则进行镜像。

设施的物理访问控制

• 物理锁和生物特征认证。例如，指纹
• 安全人员检查身份证或通行证。
• 识别所有读取或修改数据的人员并将其记录在文件中。

使用逻辑或软件控制

• 密码系统。
• 加密敏感数据/程序。
• 对员工进行数据维护/处理和安全培训。
• 连接到互联网时使用防病毒软件和防火墙保护。

风险分析

风险是丢失贵重物品的可能性。风险分析从规划安全系统开始，通过识别系统的脆弱性及其影响。然后制定计划来管理风险并应对灾难。这样做是为了评估可能发生灾难的概率及其成本。

风险分析是具有不同背景的专家的团队合作，例如化学品、人为错误和工艺设备。

进行风险分析时应遵循以下步骤 −

• 识别计算机系统的所有组件。

• 识别每个组件面临的所有威胁和危害。

• 量化风险，即在威胁成为现实的情况下评估损失。

风险分析 - 主要步骤

由于风险或威胁在变化，潜在损失也在变化，高级管理人员应定期进行风险管理。

风险管理是一个持续的过程，它涉及以下步骤 −

• 识别安全措施。

• 计算实施安全措施的成本。

• 将安全措施的成本与威胁的损失和概率进行比较。

• 安全措施的选择和实施。

• 审查安全措施的实施情况。