系统安全与审计

系统审计

这是一项审查操作系统性能的调查。进行系统审计的目标如下 –

• 比较实际和计划的性能。

• 验证系统的既定目标在当前环境中仍然有效。

• 评估既定目标的实现情况。

• 确保基于计算机的财务和其他信息的可靠性。

• 确保在处理时包含所有记录。

• 以确保免受欺诈。

计算机系统使用审计

数据处理审核员审核计算机系统的使用以对其进行控制。审计师需要通过计算机系统本身获得的控制数据。

系统审计员

审计员的角色始于系统开发的初始阶段，以便最终系统是安全的。它描述了可以记录的系统利用率的想法，这有助于负载规划和决定硬件和软件规格。它表明了计算机系统的明智使用和系统可能的误用。

审计审判

审计试验或审计日志是一种安全记录，其中包括谁访问了计算机系统以及在给定时间段内执行了哪些操作。审计试验用于详细跟踪系统上的数据如何变化。

它提供了交易在处理过程中受制于的各种控制技术的书面证据。审计试验不是独立存在的。它们是作为恢复丢失交易的会计处理的一部分进行的。

审计方法

审计可以通过两种不同的方式进行 –

围绕计算机进行审计

• 获取样本输入并手动应用处理规则。
• 将输出与计算机输出进行比较。

通过计算机审计

• 建立允许检查选定的中间结果的审计试验。
• 控制总计提供中间检查。

审计注意事项

审计考虑通过使用叙述和模型来检查分析结果，以确定由于错位的功能、分裂的流程或功能、损坏的数据流、丢失的数据、冗余或不完整的处理以及未解决的自动化机会而导致的问题。

此阶段的活动如下 –

• 识别当前的环境问题
• 识别问题原因
• 确定替代解决方案
• 每个解决方案的评估和可行性分析
• 选择和推荐最实用、最合适的解决方案
• 项目成本估算和成本效益分析

安全

系统安全是指保护系统免遭盗窃、未经授权的访问和修改以及意外或无意的损坏。在计算机化系统中，安全涉及保护计算机系统的所有部分，包括数据、软件和硬件。系统安全包括系统隐私和系统完整性。

• 系统隐私涉及保护个人系统不被访问和使用未经有关个人的许可/知识。

• 系统完整性与系统中原始数据和已处理数据的质量和可靠性有关。

控制措施

有多种控制措施，可大致分类如下 –

备份

• 根据时间紧迫性和大小，每天/每周定期备份数据库。

• 以更短的间隔增量备份。

• 备份副本保存在安全的远程位置，对于灾难恢复尤其必要。

• 如果它是一个非常关键的系统并且在存储到磁盘之前不能容忍任何中断，则重复系统运行并且所有事务都被镜像。

对设施的物理访问控制

• 物理锁和生物特征认证。例如，指纹
• 保安人员正在检查身份证或入境通行证。
• 识别所有读取或修改数据并将其记录在文件中的人员。

使用逻辑或软件控制

• 密码系统。
• 加密敏感数据/程序。
• 对员工进行数据维护/处理和安全方面的培训。
• 连接到互联网时的防病毒软件和防火墙保护。

风险分析

风险是失去某些有价值的东西的可能性。风险分析首先通过识别系统的脆弱性及其影响来规划安全系统。然后制定计划来管理风险和应对灾难。这样做是为了访问可能发生灾难的概率及其成本。

风险分析是由具有不同背景（如化学品、人为错误和工艺设备）的专家组成的团队。

在进行风险分析时应遵循以下步骤 –

• 识别计算机系统的所有组件。

• 识别每个组件面临的所有威胁和危害。

• 量化风险，即在威胁成为现实的情况下评估损失。

风险分析——主要步骤

由于风险或威胁在变化，潜在损失也在变化，高级管理人员应定期进行风险管理。

风险管理是一个持续的过程，它涉及以下步骤 –

• 确定安全措施。

• 计算实施安全措施的成本。

• 安全措施成本与威胁损失和概率的比较。

• 安全措施的选择和实施。

• 审查安全措施的实施。