信息系统的安全与持续性计划ppt

《信息系统的安全与持续性计划ppt》由会员分享，可在线阅读，更多相关《信息系统的安全与持续性计划ppt（89页珍藏版）》请在装配图网上搜索。

1、 信息系统的安全与持续性计划中级培训补充材料（不考）1主要内容：n信息系统的风险n信息系统的安全控制n物理控制与环境控制n逻辑访问控制n网络控制n持续性计划（灾难恢复计划）n信息系统的应用控制21.信息系统的风险风险的概念：风险是发生某种威胁使资产损失或破坏的潜在可能。风险的概念包括以下内容：n威胁、薄弱点、处理过程或资产；n对资产基于威胁和薄弱点的影响；n袭击的可能性。3风险评价管理过程确认信息系统资产潜在威胁与影响确认和评估安全措施获得具有成本效益的控制对策第一步第二步第三步第四步4信息系统资产n信息和数据n硬件n软件n服务n文档n人员另外还有一些需要考虑的传统资产包括：建筑物、存货、资金

2、和无形资产等。5信息的潜在威胁n错误n恶意破坏n欺诈n盗窃n软硬件故障6信息系统的薄弱点n用户缺乏知识n缺乏安全措施n口令缺少变化n未经测试的技术n无保护的数据传输7威胁一旦发生所造成的影响n直接的经济损失n违反法律n名誉声望受损n员工或客户受到威胁n信心受损n商业机会的损失n经营效率与性能的降低n商业经营中断。8整体风险整体风险是对企业风险的整体评价，通常做法是：影响可能性 9剩余风险 剩余风险是采用控制以后所遗留的风险水平。管理人员使用剩余风险确认某些地方是否需要更多的控制措施以进一步降低风险。102.信息系统的安全控制n控制的基本概念n物理控制与环境控制n逻辑访问控制n网络控制与互联网的

3、使用11控制的基本概念n控制是为实现企业目标，避免、检查、纠正不受欢迎事件发生提供合理担保的政策、措施和组织结构。n控制目标是通过实施控制过程要达到的目的或结果。12一些信息系统控制目标：n到目前为止自动系统上的数据一直被正确的处理和保存，从而处于安全状态。n每项操作都经过授权，并且只处理一次。n所有的操作都有记录，并且都是在正确的时间段进行的。n所有的拒绝操作都有报告。n重复操作有报告n文件都经过充分备份，以备正确的恢复。n对软件的所有变动都经核实，并进行了测试。13预防性控制 作用：n检查发现未发生的问题；n监督操作和输入；n在问题发生之前及时预测和调整；n避免错误、疏漏和欺诈行为的发生。

4、信息系统中常见的预防性控制 n只雇佣经过良好训练，具备任职资格的人员；n职责分离；n对接触或访问各种物理设备进行控制；n使用设计规范的文档；n建立适当的交接授权过程；n程序化的编辑检查；n使用访问控制软件，只有获得授权的人员才能访问敏感文件。14发现性控制 用于检测发生的错误、遗漏或者欺诈、作弊行为，并就当前状态作出汇报。信息系统中常见的发现性控制有：n哈西总数（hash totals）；n生产过程中的检测点（check points）；n远程通信中的回叫（echo）控制；n重复的计算检查；n定期报告各种变化和不一致；n内部审计职能。15纠正控制 纠正控制的作用包括：n降低威胁的影响；n对发现

5、的问题进行补救；n确认问题的原因；n修正已发问题引起的错误；n修改处理系统，降低将来再次发生问题的可能性。信息系统中常见的纠正控制包括：n意外事故计划；n备份过程；n系统重启过程。16综合控制与应用控制n综合控制是对组织各部门设计、安全、使用计算机程序的总体上的控制。n应用控制是各个计算机应用程序中的特别的控制。n综合控制是最低水平的控制。综合信息技术控制形成了一个整体控制信息技术行为和确保整体控制目标的框架。在此基础上可以进一步增加应用控制。17综合控制与应用控制审计线索固定数据输入 处理 输出应用控制物理与环境控制操作系统控制员工的选择、考评和培训网络访问控制系统安全与内部审计信息技术控制

6、框架信息技术控制框架18信息系统的综合控制 n综合信息技术控制主要关注企业的信息技术基础，包括任何与信息技术相关的政策、过程和工作实践。他们并不针对某一特别的交易流或财务应用系统。大多数情况下，综合控制的元素主要集中在信息技术部门或相似部门。19综合控制主要包括以下几类：n组织和管理（高水平的信息技术政策和标准）；n职责分离；n物理控制（接触与环境控制）；n逻辑访问控制；n系统开发和程序修改；n对计算机人员（包括程序员、系统分析员和计算机操作人员）的控制（包括内部和外部信息技术服务）；n确保计算机系统可用性的控制；n对最终用户计算的控制。20应用控制 应用控制特别针对某个应用系统，并对交易事务

7、的处理产生直接的影响。这些控制用于确保所有交易均是合法的，经过授权，并被记录下来。由于应用控制与交易流存在关系，因此通常包括：n交易（transactions）输入的控制；n处理控制；n输出控制；n固定数据（standing data）和主文件的控制。21物理与环境控制 n物理控制：是用于阻止对IT设备未经授权访问，防止其发生故障的机制和管理过程。n环境控制：是用于保护计算机软硬件，避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。22与物理和环境控制相关的风险（1）物理风险n员工（IT雇员、清洁工、警卫及其他人员）有意或无意的破坏；n计算机或其零部件失窃；n电压波动导致设备损坏或数据丢失

8、或损坏；n存在绕过逻辑访问控制的旁路；n复制或查阅敏感或机密的信息。n（2）环境风险n水灾或火灾破坏，以及其他自然灾害的破坏；n电源掉电导致内存数据丢失；n电压不稳导致系统故障、处理错误和设备部件的损坏；n由于温度、湿度恶劣导致系统故障；n炸弹破坏；n静电破坏敏感的电子部件；n其他诸如。照明设备停工，灰尘或污垢聚集等。23物理控制 三个方面：n安全区的物理控制 n管理控制 n门禁系统（locks on doors）24安全区的物理控制 n物理访问安全应基于信息技术设备所处区域的定义。例如，可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白，雇员能够意识到它的边

9、界。n从安全区的在外层防护到建筑物的入口、计算机间和终端，应该通过多层控制措施，控制对用户站点和安全区域的访问。25管理控制 n雇员佩带身份或姓名证章；n解除辞退人员的访问权限；n来访人员必须登记，包括他是谁，在哪工作，找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。n办公室无人照管时的控制过程。例如当雇员晚上回家或外出吃饭时，应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。26门禁系统（locks on doors）常见的门禁系统包括：n使用机械钥匙的锁。n组合门禁系统或密码锁n电子门禁系统n生物门禁系统27其他常见的物理控制措施 n电视摄像头n警卫n雇员在上班时间以外的控

10、制；n计算机锁n手工日志记录：来客需要登记姓名、单位、事由和会见人。在进入前需要出示身份证明。n电子日志：在电子或生物安全系统中，所有的来客都要做日志记录，特别是失败的进入试图需要被特别标记。n控制的来客接触：所有来客都应有雇员护送。28其他常见物理控制措施（续）n人员担保：所有服务人员应该有担保。n死人门（deadman doors）：该系统使用一对门。前一门未锁上，后一门不能打开。在两个门之间只能有一个人。以防止未经授权的人跟随其他人进入。n不宣扬敏感设备的位置；n计算机终端锁；n经控制的单个输入点；n夜贼警报系统；n安全的文件分发车。29环境控制 n火灾的预防、检测和扑救 n防水 n电源

11、的保护和控制 n高温、通风和空调 n维护与房间保洁 30火灾的预防、检测和扑救 n火灾的预防控制 n火灾扑救系统包括：n手持灭火器；n一些灭火器适合电子设备，例如二氧化碳或halon（BCF）灭火器。n水灭火器可以放在计算机耗材库房中。n自动灭火系统n自动灭火器通常使用水或halon。Halon对计算机设备无害，并且相对二氧化碳来说，危害较小。31防水 进入机房的水可能来自以下方面：n洪水；n屋顶漏水；n爆裂的管道；n洗手间或水池溢水；n冷却系统漏水。32逻辑访问控制 n基本概念 n逻辑访问的风险 n需要保护的资源、文件和工具 n访问安全框架 n操作系统和应用访问控制 n日志 33基本概念逻辑

12、访问安全有三个最基本的组成部份 n用户身份通常使用用户名或登录ID号，来表明用户的身份。n身份计算机需要核实这个人到底是谁。可以通过用户拥有的，或知道的东西加以确认。一般到办法是口令（passwords）、身份证代码、签名或其他生物特征例如手印等。n资源保护 资源是计算机文件、目录和外围设备。资源保护应基于每个用户的需要。例如当某个用户登录计算机以后，可以其只能访问某些文件、应用或其他工作需要的资源。34逻辑访问的风险 信息缺乏逻辑访问控制的主要影响包括：n未经允许的泄漏；n未经授权的修改；n系统完整性受到破坏。计算机系统可能受到不同方面的袭击，包括：（1）黑客（2）雇员（3）已辞退的雇员（4

13、）外部人员（5）供货商或咨询商35需要保护的资源、文件和工具 n（1）数据文件n（2）应用软件n（3）口令文件n（4）系统软件和工具n（5）日志文件n（6）缓冲区文件和临时文件36访问安全框架 n确保充分的控制应防范任何可能的风险是用户经理的责任。管理人员通过制定公司的访问安全政策，从而为逻辑访问控制指明方向。n在制定政策时，管理人员应定义企业经营对访问控制的需求，及每个系统的访问需求。公司的安全政策通常是以上较短的文档。包括以下内容：n定义n安全政策陈述；n责任n详细的逻辑访问控制将基于公司IT安全正团中的高层陈述。37操作系统和应用访问控制 n逻辑访问控制存在两个层次：系统层次（insta

14、llation level）和应用层次（application level）。因此访问控制可以建立于：n操作系统（或系统工具）n每个应用n每层的逻辑访问控制均由不同的管理员实现。IT部门人员负责管理谁能登录网络，以及登录网络以后可以访问什么应用和数据文件。这些人在系统层次控制访问。应用管理员则负责管理在应用软件中谁能做什么。nIT部门的系统管理员对操作系统及其资源有更好理解，知道什么应用软件和工具程序需要保护。这样可以保护系统资源不被外部人员和未经授权IT人员使用。n应用管理员对应用软件以及谁将使用软件比较了解。这有助于应用管理员依据每个用户的需要设置访问权限。这样可以确保用户只拥有工作需要的

15、访问权限。n系统管理员与应用管理员的职责应分离。38系统级的逻辑访问控制 n各种操作系统软件中都内置了逻辑访问控制，例如UNIX、Novell、NT。各家产品不同，逻辑访问控制的力度也不同。一些组织对操作系统的安全特征进行了独立测试。美国国家计算机安全信息中心（NCSC）于1983年提出了可信计算机系统评估准则TCSEC（trusted computer system evaluation criteria）,规定了安全计算机系统的基本准则，通常称为“桔皮书”（orange book）。n桔皮书将计算机系统的安全等级划分为四类七级：D、C1、C2、B1、B2、B3、A1。其中A1级是最安全的。

16、除非有特别的安全需要，否则多数财务系统都依照C2级标准。C2级标准要求操作系统使用登录控制、审计安全相关事件以及隔离资源等措施，控制访问。因此如果审计人员被告知该系统达到C2级，则意味着系统中包括了用户辨别（identification）、身份鉴定（authentication）和日志（logging）控制。n如果操作系统中没有逻辑访问安全措施，用户可以安装一个独立的软件包。例如在IBM大型机中安装访问控制软件包RACF或ACF2。也有一些用于微机的安全软件包。39逻辑访问控制n（1）登录过程（logon procedures）n（2）用户辨别（identification）n（3）身份鉴定（

17、authentication）n（4）资源保护n（5）其他逻辑访问控制40日志 n前面讲述到控制均用于防止非法用户访问计算机系统。而下一步控制则是检测非法用户的访问试图和行为。这通常可以从事件日志记录中获得。计算机系统中的审计日志一般有两种：安全审计日志和交易审计日志。n安全审计日志用于记录各种用户操作信息。n交易审计日志用于记录交易被系统处理的路径和过程。41网络控制与互联网的使用 n1与网络相关的风险n2网络控制（network controls）n3互联网控制（internet control）42与网络相关的风险 网络将用户的计算机带入了一个广阔，存在众多潜在匿名用户到空间。一旦客户的

18、系统连入了网络，就可能存在被外部人员（黑客）和未经授权的同事访问的风险。容易导致：n数据丢失：数据可能被故意删除或在传输过程中丢失。n数据破坏：数据可能被用户破坏，数据传输过程中可能发生错误。例如由于线路的噪音干扰，发出的数据“1”，接收时变成了“0”。n来自内部或外部的欺诈：窃贼不再依赖枪和盗窃工具来打劫银行。一个风度翩翩的君子在世界的另一端，就可以侵入银行系统，将资金划走。n系统无法使用：网络连接以及服务器都可以被轻易破坏。一个集线器的丢失，可以影响众多用户的操作处理。通信线路也超出了用户的范围而失去控制。n泄密：一旦一些重要 的系统例如，人事系统、科研开发系统被连接到网络上，就更增加了信

19、息有意或无意泄漏的风险。n病毒与蠕虫感染：蠕虫感染是特别经过设计，用于网络传播的。病毒感染经常发生，用户应经常使用杀病毒软件进行检查，并对杀病毒软件及时升级。n违反版权和数据保护法：由于用户可以从网上随便获得数据和软件，从而导致触犯当地的版权和数据保护法。43网络控制（network controls）n网络的特点决定了物理访问控制的作用是有限的。因此在保护网络设备不被滥用和盗窃的同时，还需要将精力集中于逻辑访问和管理控制。根据各个用户所确认的风险、操作系统、网络控制软件以及网络和通信政策不同，用户所需的逻辑访问控制也不一样。44审计人员可能遇到的控制：n（1）网络安全政策n这可能是企业整体I

20、T安全政策的一部分。n（2）网络标准、过程和操作指令n这些应该基于网络安全政策，并且文档化；相关人员应可以得到该文档的复印件。n（3）网络文档n用户应有数份描述网络逻辑和物理层次的文档。例如网络布线图。这些文档通常作为机密文档保存。n（4）逻辑访问控制n这是特别重要的。用户应确保拥有合适的登录口令和资源访问权限。n（5）对外部连接的限制，例如调制解调器。这些连接可能是用户系统的薄弱点，特别是当这些连接未被允许时。45审计人员可能遇到的控制：n（6）当用户被允许使用调制解调器时，可以考虑使用回叫调制解调器（call back modems）。这种调制解调器只允许由自己呼叫出去的连接访问。例如，一

21、个在家办公的远程用户希望访问系统。他可以通过调制解调器呼叫办公系统。办公系统建立连接并要求用户提供ID号。然后办公系统断开连接。如果ID号是正确的，办公系统按照预先设置好的电话号码拨回。在这里是该雇员家中的电话。然后该雇员就可以访问系统了。还可以通过使用其他标记（token）来进行控制，确认外部用户的确获得访问系统的权限。n（7）网络应该由经过适当培训，具备相当经验的雇员管理和控制。管理人员对这些雇员的工作进行监督管理。n（8）特定的网络事件应该被网络操作系统自动记入日志。应定期检查日志，寻找未经授权的行为。46审计人员可能遇到的控制：n（9）使用网络管理和监控软件包和设备。网络管理员可以找到

22、很多的工具、软件监督网络的使用及网络的性能。它们也可以用于检查每个终端用户计算机中所安装的软件。n（10）外部供应商和咨询商的访问也应受到监督。客户经常允许软件供应商通过远程访问连接对系统进行维护和故障修复。这些工具的使用应受到监督，并且只有在需要且经过授权以后才可以使用。远程连接的调制解调器只有管理人员同意才能激活，并且一旦任务完成，就应断开。n（11）联入网络的终端只能是特定的终端。这可以通过终端号码（例如网卡的号码）或IP地址进行控制。n（12）数据加密（data encryption）。在某些环境下，用户可以将网上数据加密。即使未授权用户能够搭线窃听获取了数据，也会因为加过密而无法使用

23、。47审计人员可能遇到的控制：n（13）使用应答设备（challenge-response devices）。这是典型的手持设备，大小与计算器相仿。这种设备通过允许远程用户对系统提出的信号作出应答的方式验证远程用户的身份。例如当有人想远程登录系统时，中心系统发出一个“挑战”例如“121288”。远程用户将这个代码输入手持设备。该手持设备生成一个相称的“响应”“22233”。一般情况，用户可以有60秒钟将信号输入计算机。中心系统收到响应信号以后，经核实正确就可以允许用户访问系统。这种设备 的优点在于每个“挑战”“响应”信号是唯一的。因此未授权用户无法重复使用密码访问系统。n（14）使用私有线路或

24、专线n如果线路是私有线路或专线，数据被截取的风险就低得多。并且使用专线可以传输更多的数据，数据传输错误也较少。n（15）使用数字线路而不是模拟线路。数字线路具有较高的容量，不需要调制解调器，不会发生数字与模拟信号转换错误。48互联网控制（internet control）如果需要将计算机直接连接到互联网络上，那么最安全的措施是：n将计算机与主要信息系统物理隔离；n指定有经验可靠的管理员管理互联网计算机；n禁止匿名访问计算机。如果一定要的话，应避免将目录设为即可读又可写；n从计算机中移走所有不必要的数据和软件；n关闭所有互联网服务器上不必要的逻辑端口；n监视登录计算机的企图；n只有经过仔细检查以

25、后，才将文件在主要信息系统和互联网计算机之间传递。应牢记程序可以附带在电子邮件信息中传递；n尽可能少的设置互联网计算机的用户帐户，并定期更换期密码；n如果不是特别需要的话，应避免运行一些诸如互联网聊天室之类的服务器应用。49其他安全控制技术n防火墙（firewall）n口令 n访问控制 n加密 n安全电子邮件PEM（privacy enhanced mail）n良好隐私PGP（pretty good privacy）n站点安全工具 n事故报告与更改 50持续计划 n基本概念 n灾难备份系统的组成 n灾难恢复计划的制定 51基本概念 1商业持续计划（business continuity pla

26、nning，BCP）n商业持续能力是指企业在信息系统支持中断情况下的继续经营能力以及发生灾难性事件情况下的生存能力。商业持续计划用于灾难的预测和预防处理。灾难包括从洪水、火灾、地震到劳动市场的动荡、重要文件的丢失。商业持续计划主要处理两个问题：公司信息完整性的维护，保持信息系统的运行直到正常业务能重新使用。商业持续计划是在灾难来临时如何恢复所有经营业务的方法，而不仅仅限于信息部门的业务。52基本概念2信息系统的灾难n信息系统灾难是指造成重要业务数据丢失，使业务中断了不可忍受的一段时间的计算机系统事故，这些事故导致银行丧失了全部或部分业务处理能力，引起企业营业收入下降、信誉降低和形象受损，甚至威

27、胁其生存。造成计算机系统灾难性事故的原因有自然灾害、基础设施的突发性事故、计算机系统故障和各种人为因素等。53基本概念n3灾难备份n 灾难备份是指为了减少灾难发生的概率，以及减少灾难发生时或发生后造成的损失而采取的各种防范措施。n4灾难恢复n 灾难恢复是一个在发生计算机系统灾难后，在远离灾难现场的地方重新组织系统运行和恢复营业的过程。n 灾难恢复的目标一是保护数据的完整性，使业务数据损失最少甚至没有业务数据损失。二是快速恢复营业，使业务停顿时间最短甚至不中断业务。54基本概念n 5灾难备份中心n 灾难备份中心是一个拥有备份系统与场地，配备了专职人员，建立并制定了一系列运行管理制度、数据备份策略

28、和灾难恢复程序，可以承担灾难恢复任务的机构。n6灾难应急方案n 灾难应急方案是指在发生计算机系统灾难事件时，为了尽可能减少损失，而对计算机应用系统采取的抢救措施、故障隔离措施、恢复过程以及工作人员救护和撤离计划等。n 7灾难恢复方案n灾难恢复方案是一套为保证在计算机系统发生灾难后恢复业务运行而预先制定的一套技术措施、管理方法和处理步骤。它是在充分考虑经济、技术、管理和社会条件的可行性的基础之上，提出的最佳灾难恢复策略。55灾难备份系统的组成 n 灾难备份系统一般由可接替生产系统运行的后备运行系统、数据备份系统、终端用户切换到备份系统的备用通讯线路等部分组成。n 在正常生产和数据备份状态下，生产

29、系统通过人工或网络传输方法向备份系统传送需备份的各种数据。备份中心与生产中心及终端用户的关系如图所示。主机生产中心终端用户数据备份场地后备运行系统灾难备份中心人工电子56灾难备份系统的组成n灾难发生后，备份系统将接替生产系统继续运行，备份中心、生产中心及终端用户三者之间的关系如图所示。此时重要营业终端用户将从生产主机切换到备份中心主机，继续对外营业。主机生产中心终端用户数据备份场地后备运行系统灾难备份中心57数据备份方式 n目前比较实用的的数据备份方式可分为本地备份异地保存、远程磁带库与光盘库、远程关键数据+定期备份、远程数据库复制、网络数据镜像、远程镜像磁盘等六种。n（1）本地备份异地保存n

30、 是指按一定的时间间隔（如一天）将系统某一时刻的数据备份到磁带、磁盘、光盘等介质上，然后及时地传递到远离运行中心的、安全的地方保存起来。n（2）远程磁带库、光盘库n 是指通过网络将数据传送到远离生产中心的磁带库或光盘库系统。本方式要求在生产系统与磁带库或光盘库系统之间建立通信线路。n（3）远程关键数据+定期备份n 本方式定期备份全部数据，同时生产系统实时向备份系统传送数据库日志或应用系统交易流水等关键数据。58数据备份方式n（4）远程数据库复制n 在与生产系统相分离的备份系统上建立生产系统上重要数据库的一个镜像拷贝，通过通信线路将生产系统的数据库日志传送到备份系统，使备份系统的数据库与生产系统

31、的数据库数据变化保持同步。n（5）网络数据镜像n 是指对生产系统的数据库数据和重要的数据与目标文件进行监控与跟踪，并将对这些数据及目标文件的操作日志通过网络实时传送到备份系统，备份系统则根据操作日志对磁盘中数据进行更新，以保证生产系统与备份系统数据同步。n（6）远程镜像磁盘n利用高速光纤通信线路和特殊的磁盘控制技术将镜像磁盘安放到远离生产系统的地方，镜像磁盘的数据与主磁盘数据以实时同步或实时异步方式保持一致。磁盘镜像可备份所有类型的数据。59后备运行系统的选择 可以选择的后备运行系统包括互助协定、冷站、温站和热站。n（1）互助协定（mutual aid）n互助协定是指两个或多个公司达成灾害发生

32、时相互共享资源的协定。要使该协定有效必须满足以下条件：n每家公司都必须具有额外的信息处理能力，或必须能够降低其业务量，以对另一家发生灾害的公司提供援助；n各公司业务系统的平台必须兼容；n所有签约方不能都受到灾害的影响；n公司之间具有很高的信任度。n由于这种方法在合并两家公司 的业务系统时，会出现意想不到的问题，所以现在已经不多采用。60后备运行系统的选择n（2）冷站（cold site）n公司为系统运行提供了最基本的环境，例如电源、空调、地板、办公桌椅等设备等。一旦发生灾难可以将恢复设备安装在该环境中。采用冷站备份企业还需 与设备供应商签订紧急情况下，及时供应设备的协议。n一旦发生灾难，可以从

33、设备供应商处购买新的设备。安装在冷站环境中，用数据备份介质（磁带或光盘）恢复应用数据，手工逐笔或自动批量追补孤立数据，将终端用户通过通讯线路切换到备份系统，恢复业务运行。n优点：设备投资较少，节省通信费用，通信环境要求不高。n缺点：恢复时间较长，一般要数天至一周，数据完整性与一致性较差。61后备运行系统的选择n（3）温站（worm site）n温站中装备了部分设备，例如办公环境、通信设备、存储设备等。但是考虑道主机价格比较昂贵，并且需要时，可以迅速从供应商处获得，因此温站中没有配备主机。使用温站设备一旦发生灾难，可以迅速租借或购买主机，使用定期备份数据，手工逐笔或自动批量追补孤立数据或，将终端

34、用户通过通讯线路切换到备份系统，恢复业务运行。n优点：设备投资较少，通信环境要求不高。n缺点：恢复时间长，一般要十几小时至数天，数据完整性与一致性较差。62后备运行系统的选择n（4）热站（hot site）n热站中装备了全套的处理设备，可以在数小时内投入运行。也可定时。一旦发生灾难，只需在备份系统上恢复生产系统的数据，并对备份后业务事项进行追补就可快速接替生产系统运行，恢复营业。n优点：恢复时间短，一般几十分钟到数小时，数据完整性与一致性最好，数据丢失可能性最小。n缺点：设备投资大。63后备运行系统的选择n（5）镜像系统（mirrored systems）n镜像系统是一个相对高成本的方案，适合

35、于一些运行非常重要任务 的系统。例如航线管理、银行业务等等。这种方法要求在相距较远的两个不同地方，同时运行两套或更多套系统。每发生一笔业务，两套系统中的数据同时并行修改。一旦一个系统发生故障，所有业务处理可以直接切换到镜像系统中，对用户不会造成任何影响。美国“911”袭击事件中，总部在世贸大楼的摩根斯坦利银行遭到毁灭性打击。但是其业务数据却没有受到任何影响，就是因为采用了镜像系统备份。64灾难备份技术的发展 灾难备份技术的发展趋势主要有三个方面：n（1）采用实时热备份技术。实时热备份技术具有一次性投资昂贵、通讯费用高等缺点，但具有最好的数据完整性与业务连续性保证。随着商业银行的业务发展及竞争需

36、要，银行的业务连续性要求将越来越高，采取实时热备份技术来实现灾难备份是未来的发展趋势。n（2）外包方式：灾难恢复计划涉及到业务风险分析、方案选择、实施、测试、培训、演习等内容，是一项既复杂又繁锁的工作。采用外包方式则可将灾难恢复计划交给专业计算机公司来完成，银行则可专心从事银行的生产与经营。n（3）开发灾难恢复计划辅助工具：灾难恢复计划是一项系统工程，开发灾难恢复计划的辅助工具与系统是非常必要的，它包括：备份策略决策系统，灾难恢复指引系统，自动运行管理系统等。65灾难恢复计划的制定 制定灾难恢复计划需要五个阶段：n阶段I对公司经营环境进行评估；n阶段II分析恢复策略；n阶段III灾难恢复计划的

37、文档；n阶段IV设计灾难恢复计划；n阶段V执行、评估和维护灾难恢复计划。66对公司经营环境进行评估n这个阶段的目标是确定公司遭受风险的类型和这些风险对信息系统运行的潜在影响。主要过程如下：n（1）确定公司最有可能面临的风险；n（2）确定公司遭受信息系统运行风险的潜在影响。公司应确定以下任务：n公司执行了信息系统那些功能；n确定系统中那些功能对业务成功是至关重要的；n确定如果在一小时、一天、一周、一个月或者更长的时间内不执行主要功能对公司将造成的影响。n最后，公司应对其可能遭受风险进行合理评估，并评估其对业务所造成的潜在影响。67分析恢复策略n这个阶段的目标是确定合适的信息资源，分析所有可选的恢

38、复措施，并挑选最能满足公司目标的措施。公司的信息系统资源包括：中央计算机、个人电脑、网络、应用软件、系统软件以及数据中心。68灾难恢复计划的文档n以文档的形式将灾难计划记录下来，主要步骤包括：n（1）制定恢复时间。公司为每个重要功能安排恢复时间（如主机一定在48小时内恢复，个人电脑必须在一周内更换）。n（2）为每一个主要功能制定恢复行动计划。这个计划包括：应当完成的任务、每项任务的负责人、时间安排、执行地点、如何完成。n（3）制定恢复规划表。恢复规划表是灾难发生时需要执行的时间规划表。69设计灾难恢复计划 n这个阶段的目的是制定灾难恢复计划。主要内容有：n（1）审阅灾难恢复计划。n（2）紧急应

39、对程序。综述在灾难发生时应当采取的程序（如计算机的关闭、火灾扑灭、疏散和警报程序等）。n（3）灾难应对计划。评估损失、警告职员、执行灾难恢复计划。n（4）恢复运行方法。恢复硬件、软件、网络程序并确保数据及时恢复运行。n（5）如何恢复运行。在灾难发生地或其他地点恢复运行的计划。这个计划应当包括构建新设备、获取新硬件和软件、在实施前测试新系统。n（6）如何测试和维护数据。测试和维护的详细计划。n（7）附录：包括硬件、软件的详细目录、职员合同、保险政策、软件安全协议、网络和硬件供应商支持协议以及工作地点之外储存数据列表和如何获得它的指令。n（8）术语汇编。在计划中使用的技术性术语的定义。n需要注意的

40、是，该计划一定要保存在与水火隔离的工作环境之外。一旦发生灾难，在必要保护下不会受到破坏。70执行评估和维护灾难恢复计划n这个阶段的主要目的是确保灾难恢复计划按照设计执行，并保证计划被正确地维护。测试的范围包括硬件、系统软件、应用软件和远程通信网络。主要步骤如下：n（1）研究灾难恢复计划测试目标和评估准则。特别是公司需要确定通过测试灾难恢复计划想要达到的目的，及如何评价测试的成功和失败。n（2）记录高水平测试灾难恢复计划。公司需要明确确认测试内容和测试方法。n（3）准备详细测试工作计划。n（4）执行测试。n（5）评估测试。n（6）准备测试报告。n（7）维护计划。定期审查和修订计划。714.应用软

41、件中的控制n应用控制是对应用系统的输入、处理和输出功能进行的控制。通过应用控制可以实现以下目标：n只有完整、准确、合法的数据才能被录入或修改；n处理操作完成正确的任务；n处理结果是所期望的结果；n数据被存储和维护。n这些控制可能包括：编辑测试、总数控制、调节与鉴定、错误报告、错误或例外数据。自动控制与手工过程应相配合使用，以保证例外情况处理的正确性。72输入控制 n输入控制过程必须保证每笔交易都准确、完整的被接收、处理和记录下来。并应保证只能输入合法和经过授权的信息，每笔交易只能处理一次。n1输入授权n输入授权用户证实所有交易均经过管理人员的授权和认可。输入授权用于确保只有授权的数据才能输入计

42、算机系统由应用软件处理。授权可以在数据输入系统的同时在线执行。也可以通过计算机自动生成一个项目清单，手工签字授权。在处理过程中确保授权数据不变的控制是很重要的。这可以通过内嵌于应用软件设计中的各种准确性和完整性检查来实现。73可以通过以下形式授权：n批量单据上的签名 提供了获得授权的证据。n在线访问控制 确保只有授权用户才可以 访问数据执行敏感功能。n唯一的口令 避免其他人通过所授予的权限访问数据。并且口令也有助于确认谁的操作导致了数据的变化。从而保证操作员为其操作负责。n终端鉴证 限制只有某些终端或某些人可用完成输入操作。74源文件n用于记录数据的表单。可能是一张纸、一个文档或终端显示的一个

43、图像。一个设计良好的源文件可以满足多个目标。包括：提高数据记录的速度和准确性；控制工作流；有助于使用图像识别设备录入数据；提高使用图像识别技术设备读如数据 的速度和准确性，并且便于按顺序到参考检查。n理想情况下，源文件应该是打印格式，以保证一致、准确、清晰可读。所有的源文件都应经过合适控制。所有的源文件都应顺序编号，以便于统计，保证所有文件都能输入系统。75批量控制与结算n批量控制组为了生成控制总数需要输入交易。批量控制可以基于金额数量汇总、项目汇总、文档汇总或者杂凑汇总（hash totals）。n批量首页表单是一个控制数据。所有输入 的表单都应清晰地标明应用名和交易代码。如果可能的话，所有

44、表单都应事先按照交易识别代码及其他顺序项目编码并打印。这样可以保证所有相关数据都可登记到输入表单中，减少数据输入错误。n批量结算可以通过手工或自动调整的方式实现。批量汇总必须有充分依次完成的步骤。提供充分到控制以确保，每一个交易事项都生成了一份输入文档资料、所有 的文档都包含进了批处理中。所有 的批次都被提交处理，所有的批次都被计算机接受，执行了批量结算，并对结果进行了检查和对不一致的地方做了修改，对被系统拒绝项目都重新作了处理。76输入错误报告与处理 n输入过程需要通过控制措施保证数据被正确的录入系统，能够识别和修改输入错误。n在数据转换过程中需要修正数据转换错误。错误可能来源于重复的交易事

45、项或不正确的数据输入。这种错误会极大的影响数据的完整性和准确性。n输入错误处理的方式可能有以下几种：n仅拒绝带错的交易；n拒绝整个批次的交易；n以挂起方式接受批处理任务；n接受批处理任务，将错误的交易加以标记。77联机系统和数据库系统中的批量完整性 n联机系统也需要对输入进行控制。可以将一天的业务形成以上批处理任务，由指定的终端或人员输入数据。上级领导应检查在线批处理任务，并提交给系统处理。78处理控制 n1数据确认与编辑n应采取一定措施保证输入的数据与数据源尽可能的保持一致.程序设定的输入格式确保数据以正确的方式存入正确的字段。如果输入过程允许主管越过数据确认和编辑过程，应该自动的将情况登记

46、入日志。其他的管理人员应对此日志进行检查。n数据确认用于鉴别数据错误、不完整或遗漏的数据、与相关项目不一致的数据。如果使用了智能终端的话，这些检查可以在前台进行。n编辑控制是用于计算机程序中，在数据处理之前进行的预防性控制。如果缺乏编辑控制，就会对不正确的数据进行处理。79常见的确认编辑包括：n顺序检查 控制数字按顺序排列，任何有重复号码或断号的业务都被拒绝，并生成异常（例外）报告。n限制条件检查 数据不能超过预先定义的数量范围。一旦超过这个范围，这个交易经应被拒绝，并作进一步的检查和证实。n范围检查 数据的取值不能超过一定的范围。例如产品类型代码的范围是从100到250。任何超出该范围的代码

47、都应被作为一个非法的产品类型加以拒绝。n有效性检查 有效性检查由程序自动根据预先定义的规则对数据的有效性进行检查。例如人员表的性别字段只有两个值“男”或“女”。输入该字段的其他任何值都是非法的，不能被程序接受。80常见的确认与编辑控制n合理性检查 输入数据应与预先定义的合理范围进行匹配。对于超出范围的记录，计算机程序应能够打印出一个警告提示。n表查寻 将输入数据与计算机系统所存有各种可能输入值的表进行比较。n存在性检查 数据被正确的输入，符合预先定义好地合法性规则。n键比较 由两个不同的人将数据使用键盘敲入计算机，比较两者的输入是否相同。n检测数 附加于数据的末尾，用于检查数据在输入、传送过程

48、中是否发生错误的数。81常见的确认与编辑控制n完整性检查n通过一个存储非零或非空数据的字段，来确认数据的完整。n重复检查n检查新的交易记录是否已经被输入。n逻辑关系检查n如果某个条件为真，其他的条件或数据输入关系才可能是真，这个输入才是合法。例如某个雇员的雇佣日期与生日只有相差16岁，该数据才可能是合法的。82处理控制过程 n处理控制确保所积累数据的完整性和准确性。以下是一些常用的处理控制技术：n（1）手工重算n可以通过对交易进行抽样手工重算以确保计算机处理完成了预期的任务。n（2）编辑检查（editing）n（3）连续运行汇总（run-to-run totals）n连续运行汇总具有在应用处理

49、各阶段检查数据值的能力。连续运行检查确保读入系统的数据能全部接受，并用于处理。n（4）程序化的控制（programmed control）n可以使用软件检测和修改数据中的错误。83处理控制过程n（5）计算数值的合理性检查（reasonableness verification of calculated amount）n应用程序能够检查被计算数据到合理性。任何发现不合理的交易都应拒绝处理，留待进一步检查。n（6）计算数的限制检查（limit checks on calculated amount）n通过使用预先定义的限制范围，确保数据未被错误输入。n（7）文件总数调和（reconciliati

50、on of file totals）n应定期进行文件总数调和。调和可以使用手工维护的帐册、文件控制记录或读的控制文件来完成。n（8）例外报告（exception reports）n程序将发现不正确的交易和数据生成例外报告。84数据文件控制 n文件控制用于确保只有经授权的处理才可以存储数据。数据文件控制的类型一般包括：n1交易处理前后映象报告n文件中的计算机数据在交易处理前后可以加以记录和生成报告。通过对比处理前后的映象，可以跟踪交易对计算机记录的影响。n2错误报告与处理n应通过适当的控制过程，确保所有的错误报告都及时得到调整和改正。为了保证职责分离，错误修正的检查和授权应该由交易操作员之外的其

51、他人负责。n3保存源文件n源文件应保存足够长的时间，以确保可以重新检索、构建或检查数据。应该加强对源文件的保存。生成源文件的部门应保存该文件的副本，并且确保只有经过授权的人才可以调阅。到一定期限以后，源文件应在一个安全、控制的环境下销毁。85数据文件控制n4内部和外部标签 可移动存储设备的内部或外部标签用于确保系统装入正确的数据进行处理。n5版本使用确保数据处理使用了正确版本的数据文件非常重要。例如为了恢复数据库系统中的数据，应选择最接近当前的数据备份。n6数据文件安全 数据文件安全控制防止未授权用户访问应用并修改数据文件。n7预设输入值 某些信息字段被预设为空值，以避免输入过程出错。n8交易

52、日志 所有的交易输入行为，都被记录在一个详细 的清单文件中，包括输入日期、时间、用户ID号和终端位置，从而为审计提供线索。n9文件修改与维护授权 适当的文件修改、维护授权可以确保所存储数据的安全、正确和时效性。n10奇偶校验 数据在传输过程中会出现错误。使用奇偶校验可以检查出这样的错误。86输出控制 输出控制用于确保给用户的数据均是需要的，并以一贯、安全的方式送达。输出控制包括：n1重要表格的登记与保存 敏感、重要的表单应登记存放在一个安全的地方，以防丢失或破坏。n2报告分发 输出报告应按照授权的分发表分发。操作人员应检查报告是否完整，是否按照计划分发。所有报告在分发以前都需登记。n3平衡与调

53、节 应用程序到输出结果经常需要与控制总数进行对比。n4输出错误处理 应建立对应用程序输出结果中错误进行报告和控制的过程。错误报告应及时送达原部门检查和修改错误。n5输出报告的保留n6收到报告的证明879、静夜四无邻，荒居旧业贫。22.7.3022.7.30Saturday,July 30,202210、雨中黄叶树，灯下白头人。3:09:413:09:413:097/30/2022 3:09:41 AM11、以我独沈久，愧君相见频。22.7.303:09:413:09Jul-2230-Jul-2212、故人江海别，几度隔山川。3:09:413:09:413:09Saturday,July 30,

54、202213、乍见翻疑梦，相悲各问年。22.7.3022.7.303:09:413:09:41July 30,202214、他乡生白发，旧国见青山。2022年7月30日星期六上午3时9分41秒3:09:4122.7.3015、比不了得就不比，得不到的就不要。2022年7月上午3时9分22.7.303:09July 30,202216、行动出成果，工作出财富。2022年7月30日星期六3时09分41秒3:09:4130 July 202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。上午3时9分41秒上午3时9分3:09:4122.7.309、没有失败，只有暂时停止成功

55、！。22.7.3022.7.30Saturday,July 30,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。3:09:413:09:413:097/30/2022 3:09:41 AM11、成功就是日复一日那一点点小小努力的积累。22.7.303:09:413:09Jul-2230-Jul-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。3:09:413:09:413:09Saturday,July 30,202213、不知香积寺，数里入云峰。22.7.3022.7.303:09:413:09:41July 30,202214、意志坚强的人能把世界放在手

56、中像泥块一样任意揉捏。2022年7月30日星期六上午3时9分41秒3:09:4122.7.3015、楚塞三湘接，荆门九派通。2022年7月上午3时9分22.7.303:09July 30,202216、少年十五二十时，步行夺得胡马骑。2022年7月30日星期六3时09分41秒3:09:4130 July 202217、空山新雨后，天气晚来秋。上午3时9分41秒上午3时9分3:09:4122.7.309、杨柳散和风，青山澹吾虑。22.7.3022.7.30Saturday,July 30,202210、阅读一切好书如同和过去最杰出的人谈话。3:09:413:09:413:097/30/2022

57、3:09:41 AM11、越是没有本领的就越加自命不凡。22.7.303:09:413:09Jul-2230-Jul-2212、越是无能的人，越喜欢挑剔别人的错儿。3:09:413:09:413:09Saturday,July 30,202213、知人者智，自知者明。胜人者有力，自胜者强。22.7.3022.7.303:09:413:09:41July 30,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月30日星期六上午3时9分41秒3:09:4122.7.3015、最具挑战性的挑战莫过于提升自我。2022年7月上午3时9分22.7.303:09July 30,2

58、02216、业余生活要有意义，不要越轨。2022年7月30日星期六3时09分41秒3:09:4130 July 202217、一个人即使已登上顶峰，也仍要自强不息。上午3时9分41秒上午3时9分3:09:4122.7.30MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉