系统安全控制
出处:按学科分类—经济 中国科学技术出版社《内审操作手册》第128页(983字)
(1)调阅资料:系统管理制度、系统操作规定、系统档案资料等。
(2)检查方法及要点:
①系统是否有安全保密设计。如管理权限的配置和密码的设计、关键数据的加密和校验是否合理;在系统中是否留有适当的检查接口或规定数据库结构,以便检查人员根据检查任务的需要在适当的时候,将系统与相应检查程序相连接,以进行检查或直接获取中间数据进行检查。
②系统场地的安全保护是否符合要求。主要是检查系统场地是否存在安全隐患,是否配置防火、防尘、不间断电源、稳压、温控等设备。
③对系统的接触控制是否严格。检查是否为防止未经授权人员接触动用计算机系统,建立了机器物理接触控制(如设置门禁系统、机器加锁等)、授权控制(限定计算机或终端所能动用的程序和文件)、标识控制(如密码控制)、数据通讯系统接触控制(以密码通讯等防止外人“窃听”通讯中的信息)。
④系统是否独立运行,与其他系统或网络的链接是否合规,是否设置了“防火墙”。
⑤对数据文件是否按规定进行了备份,是否制定了严格的系统恢复程序,恢复程序是否明确了有关人员的职责。
⑥系统档案的保管是否存在安全隐患。主要检查是否建立起严格的数据文件(档案)保管制度,是否对文件、资料、传递、分类保管的程序等予以严格规定;检查是否采取了相关技术手段对系统档案进行了控制,如设置文件内部标签、外部标签、磁盘驱动器只读开关等。
注意事项:
①检查人员要结合实地检查,以确定各项制度的落实情况,如机房或终端是否上锁,未经批准的人是否有可能接触系统,程序员有无可能接触系统的数据文件,操作人员有无可能接触系统设计和程序设计的有关资料,操作人员有无不退出系统离开工作岗位现象等。
②对磁盘等外部存储设备的保管、复制是否符合要求。