论文部分内容阅读
随着计算机技术和网络技术的迅猛发展,企业越来越依赖信息系统来提高效率、改进服务、加强管理和提高生产力,信息系统的安全和功能的完善在此时尤为重要,企业需要对信息系统的数据进行全面和有效的管理,以控制各种信息风险,保护电子信息不会丢失、不会被破坏、被无意泄露和被拒绝提供,确保其符合企业的经营目标。信息系统的数据管理分为两类:访问控制和备份控制。访问控制旨在防止非授权的个人对企业的数据进行查看、检索和破坏。备份控制确保企业在由于非授权访问、设备故障或物理性灾难而发生数据丢失时能够恢复数据库。
一、访问控制
在平面文件模型环境中,单个文件之间互不关联,最终用户只占有自己的文件,不与其他用户共享文件,数据处理是由单一应用程序而不是集成系统完成的。尽管平面文件模型存在数据完整性的问题,但用户单独占有数据能有效控制数据的非授权访问,当用户不使用平面文件模型时,该平面文件模型对其他用户是关闭的、非在线的,可安全保存在文件库中。相反,在数据库环境中,为了保持数据整合和共享,数据库必须保持在线且对所有用户是开放的。在共享数据库环境中,访问控制风险包括数据的残缺、被盗、误用和破坏,这些威胁来自于非授权的侵入者和超越访问权限的授权用户。常用的访问控制主要有:
1.用户模式:用户模式是数据库的子集,它用来定义用户的数据域,提供对数据库的访问。其作用如图1所示,用户的数据库访问权限应定义成与其规定的需求相一致。用户模式能够限制用户对有限数据集的访问,但用户模式并不定义读、删、写等任务权限。通常几个用户可以共享一个单独的用户模式,但他们拥有不同的权限,例如,用户A、B、C都拥有访问同样数据集的权限,假设他们都有读的权限,但通过数据库权限表的限制,可仅使B具有修改和删除数据的权限。
2.数据库权限表:数据库权限表包含用户行为的规则,它类似于操作系统的访问控制列表。每个用户被授予一定的权限,这些权限记录在权限表中,用于鉴定用户的行为请求,权限表表明用户根据正确的密码进入系统采取行为的层次(读、修改或删除等)。
3.用户定义过程:使用户能够创建个人安全方案或程序,提供比单一密码更为有效的用户标识。除密码外,安全过程要询问一系列只有合法用户才知道的个人问题(如用户母亲姓名)。
4.数据加密:许多数据库系统利用加密程序来保护在通讯线路上传输的数据,或高度敏感的数据,如产品配方、人员工资、密码文件和某些财务数据。数据加密利用算法打乱选定的数据,加密后的数据对侵入者来说是不可读的。
5.生物特征测定装置:该装置用以测量各种个人特征,如指纹、声音、视网膜特征或签字特征等。这些用户特征被数字化并永久地存储在数据库的安全文件或用户携带的身份识别卡上。当某人试图访问数据库时,由一个特别扫描装置捕获其生物特征,与存储在安全文件或身份识别卡上的个人数据进行比较。如果数据不匹配,访问就被拒绝。
6.推理控制:数据库查询功能的一个优点就是为用户决策提供汇总和统计数据,但这类合法的查询有时涉及到访问机密的数据,个别用户可以被允许以汇总和统计查询的方式访问机密数据,但不允许直接访问这些数据。为了保护数据库的机密性和完整性,应当使用推理控制防止用户通过查询功能来推理其没有授权访问的特定数据的值。推理控制旨在防止对数据库的三种破坏:正破坏确定出一个数据项的特定值;负破坏确定出一个数据项不具备的一个特定值;近似破坏则用户无法确定出一个数据项的确切值,但能够以一定的准确性估计它的值,从而破坏数据的保密性。
7.终端设备使用限制:主要有两种方式:一是终端设备安全,限制基于该终端设备的逻辑及物理地址的使用,如只能执行某些特定事务。二是终端设备锁定,在终端设备不使用时将终端设备锁定,以避免非授权使用。
8.回拨技术:控制拨号访问的一种方式。系统在拨接后立即切断与计算机主机的连线,并由计算机主动回叫原始拨号者,只有当拨接者从正确的电话号码拨号时才能建立与主机的连线。拨号号码应定期更换且不与办公室号码类似,也不应显示在终端设备上,以确保安全。
9.审计目标:审计数据库访问权限和优先权是否根据用户的合法需要予以分配。
10.审计程序:
(1)权限表和用户模式的责任:审计师应当确认数据库管理员对创建权限表和设计用户模式负有惟一的责任。审计证据有三个来源:一是检查企业政策和职责描述,这些文件应对上述技术责任做出说明;二是通过检查程序员权限表,查证其访问数据定义语言(DDL)命令的特权;三是通过与程序员和DBA人员的访谈来获取相关审计证据。
(2)适当的访问权限:审计师可以选择一些用户的样本,确认权限表中的访问特权与他们在机构中的职责是否一致。
(3)生物特征控制:审计师应当评估生物特征控制的成本和效益,一般地,生物特征控制适合于数量非常有限的用户对高度敏感数据的访问。
(4)推理控制:审计师应当确认数据库查询控制是存在的,以防止通过推理进行非授权访问,审计师可以通过用户样本的模拟访问和推理查询检索非授权数据来测试控制。
(5)加密控制:审计师应当确认像密码这样的敏感数据得到了适当的加密,打印文件内容到硬拷贝可以做到这点。
(6)终端设备确认:审计师按取得的终端设备存储位置的清单盘点终端设备的库存数,以确认记录的正确性及其在网络上是否存在,然后做试图越权访问,了解安全管理员是否追查这些越权的非法访问行为。
(7)拨号访问控制:审计师应分别从有授权和无授权的电话线路作拨号测试,若控制良好则仅有授权的能拨通,有些回拨程序可以被“电话跟随”所误导,拨号者可以先用“电话跟随”将该号码转至另一已授权的号码,再作拨号式通话就可避开回拨管理。一旦拨号访问通信连接成功建立后,应该应用相应的逻辑访问控制规则。
二、备份控制
外部黑客和内部个别雇员的恶意破坏,磁盘故障,程序错误,火灾、水灾和地震都能造成数据的破坏和毁坏。为了从上述灾难中恢复数据,企业必须实施一系列的政策、程序和技术,对关键文件进行系统的和倒行的备份。
1.平面文件环境中的备份控制
备份技术的选用取决于介质和文件结构,顺序文件(磁盘和磁带)常用一种名为祖孙三代(GPC)的备份技术,它是主文件更新过程不可或缺的组成部分,直接存取文件需要一个独立的备份过程。
(1)GDC备份:用于顺序文件批处理系统的 GDC技术。当前主文件(双亲)根据交易文件进行处理,当产生一个新的更新过的主文件(子女)时,备份过程就开始了。对下一批交易,子女变成了当前主文件(双亲),原来的双亲变成了备份(祖父母)文件。从更新过程中产生的新的主文件就是子女。每一批新的交易使这个过程得以继续,创建一代又一代的备份文件。当备份达到希望的数量时,最早的备份就删除。如果当前主文件被破坏,根据相应交易文件对最近的备份文件进行处理就能重新产生这个主文件。
决定一个应用程序所需主文件的备份数量的因素有两个:一是系统在财务上的意义;二是文件活动的程度。例如,一个一天之内需要更新几次的主文件需要30—40代的备份,而每月仅需更新一次的文件只需要4—5个备份版本。目前大多数操作系统允许每个应用程序创建多至256个备份。 (2)直接存取文件备份:直接存取文件中的数据值是通过名为破坏性替换的过程就地改变的。因此,一旦数据值改变,原来的值就被破坏,只保留该文件的最近版本。为了提供备份,直接存取文件必须在更新以前予以拷贝。直接存取备份的时间取决于所采用的处理方法,在批处理系统中,文件备份通常在更新过程之前,而实时处理系统由于交易是连续处理的,备份过程就发生在一天里的特定时段,即采用定时备份。如果主文件的当前版本由于磁盘故障或程序错误而遭到破坏,可用一个专门的恢复程序从最近的备份文件中重新创建主文件,在实时系统中,从上一个备份之后到这次故障之前处理的交易将会丢失,因此需要重新处理,使主文件恢复到当前状态。
(3)非现场存储:作为附加的安全措施,用GDC方法和直接存取方法创建的备份文件应当存储在非现场的安全地方。
(4)审计目标:审查备份控制的有效性,以防止数据文件的物理损坏、丢失、意外删除或由于系统故障和程序错误造成的数据破坏。
(5)审计程序
①顺序文件备份:审计师应当选择系统样本,根据系统文档测定每一系统GDC备份文件数量的适当性。如果没有足够的备份版本,则不可能从某些故障中恢复文件。
②备份交易文件:审计师应当通过观察,确认用于重新创建主文件的交易文件也得到保存,没有相应的交易文件,主文件的重新创建是不可能的。
③直接存取文件备份:审计师应当选择应用程序的一个样本,找出每个系统中更新的直接存取文件,确认每个直接存取文件在更新之前是否已拷贝到磁带或磁盘。
④非现场存储:审计师应当确认非现场存储的存在性和充分性,这个审计程序也应作为对灾难恢复计划或计算机中操作控制审查的一部分。
2.在数据库环境中的备份控制
数据共享是数据库应用的一个基本目标,因此数据库环境特别容易受到个别用户的破坏。一个非授权的步骤、一个恶意的行为或一个错误的程序都可能使整个用户群体失去信息资源。由于数据的集中化,像磁盘故障这样的小灾难都可能影响许多用户。当类似事件发生时,企业需要将数据库程序恢复至故障前的状态。只有对数据库进行了适当的备份,重建才能得以实现。大部分大型数据库管理系统都有一个类似于图2的备份和恢复系统。这个系统提供了四项备份和恢复功能:
(1)备份:对整个数据库进行定期备份,这是一个自动过程,每天至少一次,完成的备份应当存放在安全的非现场地区。
(2)交易日志:提供所有已处理交易的审计轨迹。在交易日志文件中列出所有交易,在独立的数据库变化曰志中记录对数据库产生结果的变化。
(3)检查点:当系统核对交易日志与数据库变化曰志时,检查点功能将挂起所有数据处理。在这个点上系统处于“静止状态”,检查点在一个小时内自动出现几次。如果出现故障,通常从上一个检查点重新开始处理,这样只需要重复几分钟的交易处理就可恢复。
(4)恢复模块:发生故障后,恢复模块功能利用曰志和备份文件重新启动系统。
(5)审计目标:证实对数据资源的控制是充分的,以保护数据库的完整性和物理安全。
(6)审计程序:审计师应当证实备份是例行并频繁地进行的,以保障被丢失、毁坏或破坏的数据能够在不需要过多的重新处理的情况下得以恢复。数据库应当定期拷贝,而频繁的备份活动带来不便,但故障后恢复数据库而需要过多的重新处理将导致商业中断,因此需要在二者之间寻找平衡。审计师应当证实自动备份程序是否存在并发挥作用,数据库的备份是否保存在非现场以获得进一步的安全保障。
一、访问控制
在平面文件模型环境中,单个文件之间互不关联,最终用户只占有自己的文件,不与其他用户共享文件,数据处理是由单一应用程序而不是集成系统完成的。尽管平面文件模型存在数据完整性的问题,但用户单独占有数据能有效控制数据的非授权访问,当用户不使用平面文件模型时,该平面文件模型对其他用户是关闭的、非在线的,可安全保存在文件库中。相反,在数据库环境中,为了保持数据整合和共享,数据库必须保持在线且对所有用户是开放的。在共享数据库环境中,访问控制风险包括数据的残缺、被盗、误用和破坏,这些威胁来自于非授权的侵入者和超越访问权限的授权用户。常用的访问控制主要有:
1.用户模式:用户模式是数据库的子集,它用来定义用户的数据域,提供对数据库的访问。其作用如图1所示,用户的数据库访问权限应定义成与其规定的需求相一致。用户模式能够限制用户对有限数据集的访问,但用户模式并不定义读、删、写等任务权限。通常几个用户可以共享一个单独的用户模式,但他们拥有不同的权限,例如,用户A、B、C都拥有访问同样数据集的权限,假设他们都有读的权限,但通过数据库权限表的限制,可仅使B具有修改和删除数据的权限。
2.数据库权限表:数据库权限表包含用户行为的规则,它类似于操作系统的访问控制列表。每个用户被授予一定的权限,这些权限记录在权限表中,用于鉴定用户的行为请求,权限表表明用户根据正确的密码进入系统采取行为的层次(读、修改或删除等)。
3.用户定义过程:使用户能够创建个人安全方案或程序,提供比单一密码更为有效的用户标识。除密码外,安全过程要询问一系列只有合法用户才知道的个人问题(如用户母亲姓名)。
4.数据加密:许多数据库系统利用加密程序来保护在通讯线路上传输的数据,或高度敏感的数据,如产品配方、人员工资、密码文件和某些财务数据。数据加密利用算法打乱选定的数据,加密后的数据对侵入者来说是不可读的。
5.生物特征测定装置:该装置用以测量各种个人特征,如指纹、声音、视网膜特征或签字特征等。这些用户特征被数字化并永久地存储在数据库的安全文件或用户携带的身份识别卡上。当某人试图访问数据库时,由一个特别扫描装置捕获其生物特征,与存储在安全文件或身份识别卡上的个人数据进行比较。如果数据不匹配,访问就被拒绝。
6.推理控制:数据库查询功能的一个优点就是为用户决策提供汇总和统计数据,但这类合法的查询有时涉及到访问机密的数据,个别用户可以被允许以汇总和统计查询的方式访问机密数据,但不允许直接访问这些数据。为了保护数据库的机密性和完整性,应当使用推理控制防止用户通过查询功能来推理其没有授权访问的特定数据的值。推理控制旨在防止对数据库的三种破坏:正破坏确定出一个数据项的特定值;负破坏确定出一个数据项不具备的一个特定值;近似破坏则用户无法确定出一个数据项的确切值,但能够以一定的准确性估计它的值,从而破坏数据的保密性。
7.终端设备使用限制:主要有两种方式:一是终端设备安全,限制基于该终端设备的逻辑及物理地址的使用,如只能执行某些特定事务。二是终端设备锁定,在终端设备不使用时将终端设备锁定,以避免非授权使用。
8.回拨技术:控制拨号访问的一种方式。系统在拨接后立即切断与计算机主机的连线,并由计算机主动回叫原始拨号者,只有当拨接者从正确的电话号码拨号时才能建立与主机的连线。拨号号码应定期更换且不与办公室号码类似,也不应显示在终端设备上,以确保安全。
9.审计目标:审计数据库访问权限和优先权是否根据用户的合法需要予以分配。
10.审计程序:
(1)权限表和用户模式的责任:审计师应当确认数据库管理员对创建权限表和设计用户模式负有惟一的责任。审计证据有三个来源:一是检查企业政策和职责描述,这些文件应对上述技术责任做出说明;二是通过检查程序员权限表,查证其访问数据定义语言(DDL)命令的特权;三是通过与程序员和DBA人员的访谈来获取相关审计证据。
(2)适当的访问权限:审计师可以选择一些用户的样本,确认权限表中的访问特权与他们在机构中的职责是否一致。
(3)生物特征控制:审计师应当评估生物特征控制的成本和效益,一般地,生物特征控制适合于数量非常有限的用户对高度敏感数据的访问。
(4)推理控制:审计师应当确认数据库查询控制是存在的,以防止通过推理进行非授权访问,审计师可以通过用户样本的模拟访问和推理查询检索非授权数据来测试控制。
(5)加密控制:审计师应当确认像密码这样的敏感数据得到了适当的加密,打印文件内容到硬拷贝可以做到这点。
(6)终端设备确认:审计师按取得的终端设备存储位置的清单盘点终端设备的库存数,以确认记录的正确性及其在网络上是否存在,然后做试图越权访问,了解安全管理员是否追查这些越权的非法访问行为。
(7)拨号访问控制:审计师应分别从有授权和无授权的电话线路作拨号测试,若控制良好则仅有授权的能拨通,有些回拨程序可以被“电话跟随”所误导,拨号者可以先用“电话跟随”将该号码转至另一已授权的号码,再作拨号式通话就可避开回拨管理。一旦拨号访问通信连接成功建立后,应该应用相应的逻辑访问控制规则。
二、备份控制
外部黑客和内部个别雇员的恶意破坏,磁盘故障,程序错误,火灾、水灾和地震都能造成数据的破坏和毁坏。为了从上述灾难中恢复数据,企业必须实施一系列的政策、程序和技术,对关键文件进行系统的和倒行的备份。
1.平面文件环境中的备份控制
备份技术的选用取决于介质和文件结构,顺序文件(磁盘和磁带)常用一种名为祖孙三代(GPC)的备份技术,它是主文件更新过程不可或缺的组成部分,直接存取文件需要一个独立的备份过程。
(1)GDC备份:用于顺序文件批处理系统的 GDC技术。当前主文件(双亲)根据交易文件进行处理,当产生一个新的更新过的主文件(子女)时,备份过程就开始了。对下一批交易,子女变成了当前主文件(双亲),原来的双亲变成了备份(祖父母)文件。从更新过程中产生的新的主文件就是子女。每一批新的交易使这个过程得以继续,创建一代又一代的备份文件。当备份达到希望的数量时,最早的备份就删除。如果当前主文件被破坏,根据相应交易文件对最近的备份文件进行处理就能重新产生这个主文件。
决定一个应用程序所需主文件的备份数量的因素有两个:一是系统在财务上的意义;二是文件活动的程度。例如,一个一天之内需要更新几次的主文件需要30—40代的备份,而每月仅需更新一次的文件只需要4—5个备份版本。目前大多数操作系统允许每个应用程序创建多至256个备份。 (2)直接存取文件备份:直接存取文件中的数据值是通过名为破坏性替换的过程就地改变的。因此,一旦数据值改变,原来的值就被破坏,只保留该文件的最近版本。为了提供备份,直接存取文件必须在更新以前予以拷贝。直接存取备份的时间取决于所采用的处理方法,在批处理系统中,文件备份通常在更新过程之前,而实时处理系统由于交易是连续处理的,备份过程就发生在一天里的特定时段,即采用定时备份。如果主文件的当前版本由于磁盘故障或程序错误而遭到破坏,可用一个专门的恢复程序从最近的备份文件中重新创建主文件,在实时系统中,从上一个备份之后到这次故障之前处理的交易将会丢失,因此需要重新处理,使主文件恢复到当前状态。
(3)非现场存储:作为附加的安全措施,用GDC方法和直接存取方法创建的备份文件应当存储在非现场的安全地方。
(4)审计目标:审查备份控制的有效性,以防止数据文件的物理损坏、丢失、意外删除或由于系统故障和程序错误造成的数据破坏。
(5)审计程序
①顺序文件备份:审计师应当选择系统样本,根据系统文档测定每一系统GDC备份文件数量的适当性。如果没有足够的备份版本,则不可能从某些故障中恢复文件。
②备份交易文件:审计师应当通过观察,确认用于重新创建主文件的交易文件也得到保存,没有相应的交易文件,主文件的重新创建是不可能的。
③直接存取文件备份:审计师应当选择应用程序的一个样本,找出每个系统中更新的直接存取文件,确认每个直接存取文件在更新之前是否已拷贝到磁带或磁盘。
④非现场存储:审计师应当确认非现场存储的存在性和充分性,这个审计程序也应作为对灾难恢复计划或计算机中操作控制审查的一部分。
2.在数据库环境中的备份控制
数据共享是数据库应用的一个基本目标,因此数据库环境特别容易受到个别用户的破坏。一个非授权的步骤、一个恶意的行为或一个错误的程序都可能使整个用户群体失去信息资源。由于数据的集中化,像磁盘故障这样的小灾难都可能影响许多用户。当类似事件发生时,企业需要将数据库程序恢复至故障前的状态。只有对数据库进行了适当的备份,重建才能得以实现。大部分大型数据库管理系统都有一个类似于图2的备份和恢复系统。这个系统提供了四项备份和恢复功能:
(1)备份:对整个数据库进行定期备份,这是一个自动过程,每天至少一次,完成的备份应当存放在安全的非现场地区。
(2)交易日志:提供所有已处理交易的审计轨迹。在交易日志文件中列出所有交易,在独立的数据库变化曰志中记录对数据库产生结果的变化。
(3)检查点:当系统核对交易日志与数据库变化曰志时,检查点功能将挂起所有数据处理。在这个点上系统处于“静止状态”,检查点在一个小时内自动出现几次。如果出现故障,通常从上一个检查点重新开始处理,这样只需要重复几分钟的交易处理就可恢复。
(4)恢复模块:发生故障后,恢复模块功能利用曰志和备份文件重新启动系统。
(5)审计目标:证实对数据资源的控制是充分的,以保护数据库的完整性和物理安全。
(6)审计程序:审计师应当证实备份是例行并频繁地进行的,以保障被丢失、毁坏或破坏的数据能够在不需要过多的重新处理的情况下得以恢复。数据库应当定期拷贝,而频繁的备份活动带来不便,但故障后恢复数据库而需要过多的重新处理将导致商业中断,因此需要在二者之间寻找平衡。审计师应当证实自动备份程序是否存在并发挥作用,数据库的备份是否保存在非现场以获得进一步的安全保障。