การตรวจสอบความปลอดภัยข้อมูล

จากวิกิพีเดีย สารานุกรมเสรี

การตรวจสอบความปลอดภัยข้อมูล เป็นการตรวจสอบในระดับการรักษาความปลอดภัยข้อมูลในองค์กรภายในขอบเขตของการรักษาความปลอดภัยข้อมูลการตรวจสอบมีหลายประเภทของการตรวจสอบวัตถุประสงค์การตรวจสอบแตกต่างกันหลายเป็นต้นส่วนใหญ่มักถูกควบคุมตรวจสอบสามารถแบ่งการเทคนิคทางกายภาพและการบริหาร ตรวจสอบความปลอดภัยของข้อมูลครอบคลุมหัวข้อจากการตรวจสอบความปลอดภัยทางกายภาพของศูนย์ข้อมูลการตรวจสอบความปลอดภัยของฐานข้อมูลเชิงตรรกะและไฮไลท์ส่วนประกอบสำคัญในการหาและวิธีการที่แตกต่างกันสำหรับการตรวจสอบพื้นที่เหล่านี้

เมื่อศูนย์กลางด้านไอทีของความปลอดภัยของข้อมูลก็สามารถเห็นได้เป็นส่วนหนึ่งของการตรวจสอบเทคโนโลยีสารสนเทศ มันมักจะอ้างแล้วว่าเทคโนโลยีสารสนเทศตรวจสอบความปลอดภัยหรือตรวจสอบความปลอดภัยคอมพิวเตอร์ อย่างไรก็ตามการรักษาความปลอดภัยข้อมูลครอบคลุมมากกว่า IT

การตรวจสอบ[แก้]

การวางแผนการตรวจสอบและจัดเตรียม[แก้]

ผู้สอบบัญชีควรมีการศึกษาอย่างเพียงพอเกี่ยวกับ บริษัท ฯ และกิมทางธุรกิจที่สำคัญในครั้งก่อนการตรวจสอบศูนย์ข้อมูล วัตถุประสงค์ของศูนย์ข้อมูลคือการจัดกิจกรรมศูนย์ข้อมูลกับเป้าหมายของธุรกิจในขณะที่รักษาความปลอดภัยและความสมบูรณ์ของข้อมูลที่สำคัญและกระบวนการ เพื่อพิจารณาว่าเพียงพอหรือไม่เป้าหมายของลูกค้าจะถูกความ, ผู้สอบบัญชีจะต้องดำเนินการดังต่อไปนี้ก่อนการตรวจสอบ :

  • พบกับ IT การจัดการเพื่อกำหนดพื้นที่ที่เป็นไปได้ของความกังวล
  • ทบทวนปัจจุบันแผนผังองค์กรไอที
  • ตรวจสอบรายละเอียดการทำงานของพนักงานศูนย์ข้อมูล
  • การวิจัยทุกระบบปฏิบัติการและโปรแกรมซอฟต์แวร์ข้อมูลศูนย์ปฏิบัติการอุปกรณ์ภายในศูนย์ข้อมูล
  • ทบทวนนโยบายของ บริษัท ไอทีและวิธีการ
  • ประเมินงบประมาณ IT ของ บริษัท และระบบการวางแผนเอกสาร
  • ศูนย์ตรวจสอบข้อมูลของแผนกู้คืนระบบ

การตั้งวัตถุประสงค์การตรวจสอบ[แก้]

ขั้นตอนถัดไปในการดำเนินการตรวจสอบของศูนย์ข้อมูลองค์กรที่เกิดขึ้นเมื่อผู้สอบบัญชีเค้าร่างข้อมูลศูนย์วัตถุประสงค์การตรวจสอบ ผู้ตรวจสอบพิจารณาปัจจัยหลายตัวที่เกี่ยวข้องกับการศูนย์ข้อมูลและการระบุความเสี่ยงที่อาจตรวจสอบในสภาพแวดล้อมการดำเนินงานและประเมินผลการควบคุมในสถานที่ที่ลดความเสี่ยงที่ หลังจากการทดสอบอย่างละเอียดและการวิเคราะห์ผู้สอบบัญชีสามารถพอทราบว่าศูนย์ข้อมูลการควบคุมดูแลที่เหมาะสมและมีการดำเนินงานอย่างมีประสิทธิภาพและมีประสิทธิภาพ ต่อไปนี้เป็นรายการของวัตถุประสงค์ของผู้สอบบัญชีควรตรวจสอบ :

  • วิธีการและความรับผิดชอบของบุคลากรรวมทั้งระบบและ cross * functional ฝึกอบรม
  • เปลี่ยนกระบวนการการจัดการอยู่ในสถานที่และตามด้วย IT และการบริหารงานบุคคล
  • เหมาะสมสำรองการอยู่ในสถานที่เพื่อลดการหยุดทำงานและป้องกันการสูญหายของข้อมูลสำคัญ
  • ศูนย์ข้อมูลมีความปลอดภัยทางกายภาพเพียงพอการควบคุมเพื่อป้องกันการเข้าถึงไปยังศูนย์ข้อมูล
  • เพียงพอการควบคุมสิ่งแวดล้อมในสถานที่เพื่อให้อุปกรณ์การป้องกันจากไฟและน้ำท่วม

ดำเนินการตรวจสอบ[แก้]

ขั้นต่อไปคือการรวบรวมหลักฐานเพื่อตอบสนองวัตถุประสงค์การตรวจสอบข้อมูลศูนย์ นี้เกี่ยวข้องกับการเดินทางไปยังสถานที่ศูนย์ข้อมูลและการสังเกตกระบวนการและขั้นตอนการดำเนินการภายในศูนย์ข้อมูล ต่อไปนี้การตรวจสอบจะต้องดำเนินการเพื่อตอบสนองความก่อนกำหนดวัตถุประสงค์การตรวจสอบ :

  • ข้อมูลบุคลากรศูนย์ บุคลากรศูนย์ข้อมูลควรอนุญาตให้เข้าถึงศูนย์ข้อมูล (บัตรหลัก login ID ของ รหัสผ่านที่ปลอดภัย ฯลฯ ) ศูนย์ข้อมูลพนักงานมีความรู้อย่างเพียงพอเกี่ยวกับอุปกรณ์ของศูนย์ข้อมูลและ การงานของตนอย่างถูกต้อง ผู้ขายผู้ให้บริการจะดูแลเมื่อทำงานบนอุปกรณ์ของศูนย์ข้อมูล ผู้สอบบัญชีควรสังเกตและข้อมูลพนักงานสัมภาษณ์ศูนย์เพื่อสนองวัตถุประสงค์
  • อุปกรณ์ – ผู้สอบบัญชีควรตรวจสอบว่าอุปกรณ์ของศูนย์ข้อมูลทำงานได้อย่างถูกต้องและมีประสิทธิภาพ อุปกรณ์รายงานการใช้ตรวจสอบอุปกรณ์เพื่อความเสียหายและการทำงานบันทึกการหยุดทำงานของระบบและการวัดประสิทธิภาพของอุปกรณ์ทั้งหมดช่วยผู้สอบบัญชีตรวจสอบสภาพของข้อมูลอุปกรณ์ศูนย์ นอกจากนี้ผู้สอบบัญชีควรสัมภาษณ์พนักงานเพื่อตรวจสอบว่านโยบายการป้องกันการบำรุงรักษาอยู่ในสถานที่และดำเนินการ
  • นโยบายและขั้นตอน นโยบายศูนย์ข้อมูลและวิธีการที่จะบันทึกและตั้งอยู่ที่ศูนย์ข้อมูล ที่สำคัญขั้นตอนเอกสารรวมถึงข้อมูลบุคลากรรับผิดชอบงานศูนย์สำรองนโยบายนโยบายความมั่นคงนโยบายยกเลิกพนักงานการระบบปฏิบัติการและภาพรวมของระบบปฏิบัติการ
  • ความปลอดภัยทางกายภาพ / ควบคุมสิ่งแวดล้อม – ผู้สอบบัญชีควรประเมินความปลอดภัยของศูนย์ข้อมูลของลูกค้า ความปลอดภัยทางกายภาพมีบอดี้การ์ด, ล็อคกรง, กับดักคน, ทางเข้าเดียวปิดลงอุปกรณ์และระบบการตรวจสอบคอมพิวเตอร์ นอกจากนี้ควรควบคุมสิ่งแวดล้อมในสถานที่เพื่อความปลอดภัยของข้อมูลอุปกรณ์ศูนย์ เหล่านี้รวมถึงเครื่องปรับอากาศ, ยกชั้นความชื้นและยูพีเอส
  • การ Backup – ผู้สอบบัญชีควรตรวจสอบว่าลูกค้ามีการสำรองข้อมูลในสถานที่ในกรณีที่ระบบล้มเหลว ลูกค้าอาจดูแลศูนย์ข้อมูลสำรองที่สถานที่แยกต่างหากที่ช่วยให้พวกเขาทันทีต่อการดำเนินการในกรณีของระบบล้มเหลว

ออกรายงานการตรวจสอบ[แก้]

ข้อมูลศูนย์รายงานการตรวจสอบจะสรุปผลการสอบบัญชีและคล้ายรูปแบบรายงานตรวจสอบมาตรฐาน รายงานการตรวจสอบควรเป็นวันที่สำเร็จการสอบถามผู้สอบบัญชีและวิธีการ สิ่งที่รัฐควรตรวจสอบ entailed และอธิบายว่าทบทวนให้เท่านั้น"ประกัน จำกัด "เพื่อบุคคลที่สาม

ระบบตรวจสอบ[แก้]

ช่องโหว่เครือข่าย[แก้]

บทความหลัก : ตรวจสอบความปลอดภัยคอมพิวเตอร์

  • การตัด : ข้อมูลที่จะถูกส่งผ่านเครือข่ายเป็นความเสี่ยงที่จะถูกลักลอบโดยบุคคลอื่นที่ไม่ได้ตั้งใจที่จะนำข้อมูลไปใช้ที่เป็นอันตราย
  • Availability : เครือข่ายได้กลายเป็นกว้างครอบคลุม, ข้ามหลายร้อยหรือหลายพันไมล์ซึ่งหลายพึ่งพาการเข้าถึงข้อมูลของ บริษัท และสูญเสียการเชื่อมต่ออาจทำให้เกิดการหยุดชะงักทางธุรกิจ
  • Access point รายการ : เครือข่ายมีความเสี่ยงที่จะเข้าที่ไม่พึงประสงค์ จุดบกพร่องในเครือข่ายสามารถทำให้ข้อมูลที่มีให้ผู้บุกรุก นอกจากนี้ยังสามารถให้จุดเข้าไวรัสและม้าโทรจัน

การควบคุม[แก้]

  • ควบคุมการตัด : การสกัดกั้นสามารถ deterred บางส่วนโดยการควบคุมการเข้าถึงทางกายภาพที่ศูนย์ข้อมูลและสำนักงานรวมทั้งเชื่อมโยงการสื่อสารที่ยุติและที่เดินสายเครือข่ายและกระจายอยู่ การเข้ารหัสยังช่วยรักษาความปลอดภัยเครือข่ายไร้สาย
  • ควบคุม Availability : การควบคุมที่ดีที่สุดคือการมีสถาปัตยกรรมเครือข่ายที่ดีและตรวจสอบเครือข่ายควรมีเส้นทางสำรองระหว่างทรัพยากรทุกจุดเชื่อมอัตโนมัติและเปลี่ยนเส้นทางการจราจรในเส้นทางได้โดยไม่ต้องสูญเสียข้อมูลหรือเวลา
  • Access / ควบคุมจุดรายการ : ส่วนควบคุมเครือข่ายที่วางที่จุดที่เครือข่ายที่เชื่อมต่อกับเครือข่ายภายนอก ควบคุมเหล่านี้ จำกัด การจราจรที่ผ่านเครือข่าย เหล่านี้รวมถึง firewalls, ระบบตรวจจับการบุกรุกและซอฟต์แวร์ป้องกันไวรัส

ผู้สอบบัญชีควรถามคำถามบางอย่างเพื่อทำความเข้าใจเครือข่ายและช่องโหว่ของ ผู้สอบบัญชีควรประเมินสิ่งที่ขอบเขตของเครือข่ายเป็นอย่างไรและมีโครงสร้าง แผนภาพเครือข่ายสามารถช่วยผู้สอบบัญชีในขั้นตอนนี้ คำถามต่อไปผู้สอบบัญชีเป็นสิ่งที่ควรถามข้อมูลสำคัญของเครือข่ายนี้จะต้องป้องกัน สิ่งต่างๆเช่นระบบองค์กรเซิร์ฟเวอร์อีเมล, เว็บเซิร์ฟเวอร์และโปรแกรมโฮสต์เข้าถึงได้โดยลูกค้ามักจะเน้นพื้นที่ นอกจากนี้ยังสำคัญรู้ที่มีการเข้าถึงและสิ่งที่ส่วน อย่าให้ลูกค้าและผู้ขายสามารถเข้าถึงระบบเครือข่ายหรือไม่ สามารถเข้าถึงข้อมูลของพนักงานจากที่บ้าน? สุดท้ายผู้สอบบัญชีควรประเมินว่าเครือข่ายเชื่อมต่อกับเครือข่ายภายนอกและวิธีการป้องกัน เครือข่ายส่วนใหญ่จะเชื่อมต่ออย่างน้อยอินเทอร์เน็ตซึ่งอาจเป็นจุดเสี่ยง เหล่านี้เป็นคำถามสำคัญในการปกป้องเครือข่าย

ตรวจสอบการเข้ารหัสและ IT[แก้]

ในการประเมินความต้องการลูกค้าให้ดำเนินการตามนโยบายการเข้ารหัสสำหรับองค์กรของตน Auditor ควรดำเนินการวิเคราะห์ความเสี่ยงของลูกค้าและค่าข้อมูล งาน บริษัท กับผู้ใช้ภายนอกหลายอีคอมเมิร์ซและลูกค้าที่สำคัญข้อมูลพนักงาน / ควรรักษานโยบายเข้มงวดการเข้ารหัสเพื่อเข้ารหัสข้อมูลที่ถูกต้องในระยะที่เหมาะสมในการเก็บรวบรวมข้อมูล

ผู้สอบบัญชีอย่างต่อเนื่องควรประเมินนโยบายการเข้ารหัสของลูกค้าและวิธีการ บริษัท ที่มีมากพึ่งพาอีคอมเมิร์ซและระบบเครือข่ายไร้สายมีมากเสี่ยงต่อการถูกขโมยและการสูญเสียข้อมูลที่สำคัญในการส่ง นโยบายและกระบวนการควรเป็นเอกสารและดำเนินการเพื่อให้มั่นใจว่าข้อมูลทั้งหมดที่ส่งมีการป้องกัน บริษัท สามารถฐานนโยบายในการวัตถุประสงค์สำหรับข้อมูลที่เกี่ยวข้อง Technology (COBIT) แนวทางการจัดตั้งขึ้นตาม IT Governance Institute (ITGI) และระบบสารสนเทศตรวจสอบและควบคุม Association (ISACA) ผู้สอบบัญชีควรทราบเพียงพอเกี่ยวกับแนวทาง COBIT

ผู้สอบบัญชีควรตรวจสอบว่าการจัดการมีการควบคุมในสถานที่มากกว่าการเข้ารหัสข้อมูลขั้นตอนการจัดการ เข้าถึงปุ่มควรต้องควบคุม dual คีย์ควรจะประกอบด้วยสองส่วนแยกและควรเก็บในคอมพิวเตอร์ที่ไม่สามารถเข้าถึงโปรแกรมเมอร์หรือผู้ใช้ภายนอก นอกจากการจัดการควรยืนยันว่านโยบายการเข้ารหัสข้อมูลให้อยู่ในระดับที่ต้องการการป้องกันและตรวจสอบว่าค่าใช้จ่ายในการเข้ารหัสข้อมูลที่ไม่เกินค่าของข้อมูลตัวที่ ข้อมูลที่จำเป็นทั้งหมดจะคงปริมาณครอบคลุมเวลาที่ควรได้รับการเข้ารหัสและการขนส่งไปยังสถานที่ห่างไกล ขั้นตอนควรอยู่ในสถานที่ที่จะรับประกันว่าการเข้ารหัสข้อมูลที่สำคัญมาถึงสถานที่และจัดเก็บอย่างถูกต้อง ในที่สุดผู้สอบบัญชีจะต้องสำเร็จการยืนยันจากการจัดการที่เป็นระบบการเข้ารหัสที่แข็งแกร่งไม่ attackable และสอดคล้องกับกฎหมายท้องถิ่นและระหว่างประเทศและระเบียบ

ตรวจสอบความปลอดภัย Logical[แก้]

ขั้นตอนแรกในการตรวจสอบของระบบใด ๆ เพื่อขอให้เข้าใจองค์ประกอบและโครงสร้างของเมื่อตรวจสอบความปลอดภัยตรรกะผู้สอบบัญชีควรตรวจสอบสิ่งที่ควบคุมการรักษาความปลอดภัยอยู่ในสถานที่และวิธีการทำงาน โดยเฉพาะพื้นที่ตามจุดสำคัญในการตรวจสอบมีความปลอดภัยตรรกะ :

  • รหัสผ่าน : ทุก บริษัท ควรมีนโยบายเกี่ยวกับการเขียนรหัสผ่านและใช้พนักงานของพวกเขา รหัสผ่านไม่ควรใช้ร่วมกันและพนักงานควรจะมีการเปลี่ยนแปลงกำหนดการบังคับ พนักงานควรมีสิทธิ์ผู้ใช้ที่สอดคล้องกับการทำงานงานของพวกเขา พวกเขายังควรทราบ log เหมาะสมใน / log off การ ยังเป็นประโยชน์สัญญาณรักษาความปลอดภัยอุปกรณ์ขนาดเล็กที่ผู้ใช้โปรแกรมคอมพิวเตอร์หรือเครือข่ายที่ดำเนินการเพื่อช่วยในการยืนยันตัวตน นอกจากนี้ยังสามารถเก็บกุญแจเข้ารหัสลับและ Biometric ข้อมูล ที่นิยมมากที่สุดของความปลอดภัย token (RSA ของ SecurID) แสดงหมายเลขที่เปลี่ยนแปลงทุกนาที ผู้ใช้สิทธิ์โดยการใส่หมายเลขประจำตัวบุคคลและจำนวนที่ token
  • ขั้นตอนการบอกเลิกสัญญา : เหมาะสมการยกเลิกเพื่อให้พนักงานเก่าไม่สามารถเข้าถึงเครือข่ายซึ่งสามารถทำได้โดยการเปลี่ยนรหัสผ่านและรหัส นอกจากนี้ทุก cards id และป้ายที่อยู่ในการหมุนเวียนควรจะบันทึกและคิด
  • พิเศษบัญชีผู้ใช้ : Special บัญชีผู้ใช้และบัญชีสิทธิพิเศษอื่น ๆ ควรจะตรวจสอบและมีการควบคุมที่เหมาะสมในสถานที่
  • Remote Access : การเข้าถึงระยะไกลมักจะเป็นจุดที่ผู้บุกรุกสามารถเข้าสู่ระบบ เครื่องมือรักษาความปลอดภัยตรรกะที่ใช้ในการเข้าถึงระยะไกลควรจะเข้มงวดมาก การเข้าถึงระยะไกลควรจะเข้าสู่ระบบ

เครื่องมือเฉพาะที่ใช้ในการรักษาความปลอดภัยเครือข่าย[แก้]

การรักษาความปลอดภัยเครือข่ายทำได้โดยเครื่องมือต่างๆรวมทั้งไฟร์วอลล์และเซิร์ฟเวอร์พร็อกซี่, การเข้ารหัสความปลอดภัยตรรกะและควบคุมการเข้าถึงซอฟต์แวร์ป้องกันไวรัสและระบบการตรวจสอบเช่นการเข้าสู่ระบบ

ไฟร์วอลล์เป็นส่วนมากพื้นฐานของเครือข่ายความปลอดภัย พวกเขามักจะอยู่ระหว่างเครือข่ายท้องถิ่นเอกชนและอินเทอร์เน็ต ไฟร์วอลล์ให้ไหลผ่านการจราจรที่จะสามารถรับรองความถูกต้อง, ตรวจสอบ, บันทึกและรายงาน บางชนิดของไฟร์วอลล์ ได้แก่ ไฟร์วอลล์ชั้นเครือข่ายไฟร์วอลล์ screened subnet ไฟร์วอลล์กรอง packet, packet dynamic ไฟร์วอลล์กรองไฟร์วอลล์ hybrid ไฟร์วอลล์โปร่งใสและไฟร์วอลล์สมัครระดับ

กระบวนการของการเข้ารหัสลับเกี่ยวกับการแปลงข้อความธรรมดาเป็นชุดของตัวอักษรอ่านไม่ได้เรียกว่า ciphertext หากข้อความที่เข้ารหัสถูกขโมยหรือบรรลุในขณะที่การขนส่ง, เนื้อหานั้นอ่านไม่ได้ไปดู นี้รับประกันการส่งปลอดภัยและมีประโยชน์อย่างมากให้กับ บริษัท ส่ง / รับข้อมูลที่สำคัญ การเข้ารหัสข้อมูลเมื่อมาถึงผู้รับในกระบวนการถอดรหัสจะใช้งานเพื่อคืน ciphertext กลับไป plaintext

เซิร์ฟเวอร์ Proxy ซ่อนที่อยู่ที่แท้จริงของเวิร์กสเตชันลูกค้าและยังสามารถทำหน้าที่เป็นไฟร์วอลล์ พร็อกซี่เซิร์ฟเวอร์ที่มีซอฟต์แวร์ไฟร์วอลล์พิเศษในการบังคับใช้การตรวจสอบ พร็อกซี่เซิร์ฟเวอร์ที่ทำหน้าที่เป็นไฟร์วอลล์ชายกลางสำหรับหน้าผู้ใช้

โปรแกรมป้องกันไวรัสเช่น McAfee และ Symantec ซอฟต์แวร์ค้นหาและกำจัดของเนื้อหาที่เป็นอันตราย เหล่านี้โปรแกรมป้องกันไวรัสทำงานปรับปรุงอยู่เพื่อให้แน่ใจว่ามีข้อมูลล่าสุดเกี่ยวกับไวรัสคอมพิวเตอร์ที่รู้จักกัน

รวมถึงการรักษาความปลอดภัย Logical ซอฟต์แวร์สำหรับระบบขององค์กรรวมทั้ง ID และเข้าถึงผู้ใช้รหัสผ่านการตรวจสอบสิทธิการเข้าถึงและระดับอำนาจ มาตรการเหล่านี้เพื่อให้มั่นใจว่าผู้ใช้อำนาจเท่านั้นที่สามารถดำเนินการหรือการเข้าถึงข้อมูลในเครือข่ายหรือเวิร์กสเตชัน

ตรวจสอบระบบการติดตามและบันทึกสิ่งที่เกิดขึ้นบนเครือข่ายขององค์กร โซลูชั่นระบบการจัดการมักจะใช้เส้นทางจากส่วนกลางรวบรวมตรวจสอบจากระบบต่างกันในการวิเคราะห์และนิติการจัดการระบบที่ดีเยี่ยมสำหรับการติดตามและระบุผู้ใช้ที่อาจไม่ได้รับอนุญาตพยายามเข้าถึงเครือข่ายและสิ่งที่ผู้ใช้มีการเข้าถึงเครือข่ายและการเปลี่ยนแปลงผู้ใช้อำนาจ ซอฟต์แวร์ที่บันทึกและการใช้ดัชนีในรอบหน้าต่างเช่น ObserveIT ให้ตรวจสอบเส้นทางครอบคลุมกิจกรรมของผู้ใช้เมื่อเชื่อมต่อระยะไกลผ่านบริการ terminal, Citrix และซอฟต์แวร์การเข้าถึงระยะไกลอื่น ๆ =

ตาม 2006 การสำรวจผู้ใช้ Nmap 3243 โดย Insecure.Org, Nessus, Wireshark, และ Snort บางเครื่องบนเครือข่ายความปลอดภัยสูงสุดคือ ตามการสำรวจเดียวกันที่ BackTrack Live CD คือการตรวจสอบข้อมูลด้านความปลอดภัยสูงสุดและการกระจายการทดสอบการเจาะNessus เป็นสแกนเนอร์การรักษาความปลอดภัยจากระยะไกลที่มีประสิทธิภาพเหนือกว่า 1,200 ตรวจสอบความปลอดภัยสำหรับ Linux, BSD, และ Solaris Wireshark วิเคราะห์โพรโทคอลเครือข่ายสำหรับ Unix และ Windows, และ Snort เป็นระบบตรวจจับการบุกรุกที่ยังสนับสนุน Microsoft Windows Nessus, Wireshark, และ Snort ได้ฟรี บางผลิตภัณฑ์เป็นที่นิยมอื่น ๆ เพื่อความปลอดภัยเครือข่ายรวม OmniGuard, Guardian และ LANGuard Omniguard เป็นไฟร์วอลล์ที่เป็นผู้ปกครองที่ยังมีการป้องกันไวรัส LANGuard ให้ตรวจสอบเครือข่ายตรวจจับการบุกรุกและการจัดการเครือข่าย สำหรับการจัดการเข้าสู่การแก้ปัญหาจากผู้ขายเช่น SenSage และอื่น ๆ เป็นทางเลือกสำหรับหน่วยงานราชการและสูงควบคุมอุตสาหกรรม

ตรวจสอบความปลอดภัยโปรแกรม[แก้]

ความปลอดภัย Application[แก้]

ศูนย์ Application Security รอบสามหน้าที่หลัก

  • Programming
  • การประมวลผล
  • Access

เมื่อมาถึงการเขียนโปรแกรมเป็นสิ่งสำคัญเพื่อให้การป้องกันทางกายภาพและรหัสผ่านที่ถูกต้องอยู่รอบ ๆ และเซิร์ฟเวอร์เมนเฟรมสำหรับการพัฒนาและปรับปรุงระบบกุญแจ มีการรักษาความปลอดภัยการเข้าถึงทางกายภาพที่ศูนย์ข้อมูลสำนักงานหรือของคุณเช่นป้ายอิเล็กทรอนิคส์และอ่านป้าย, ยามรักษาความปลอดภัย choke จุดและกล้องรักษาความปลอดภัยเป็นสิ่งสำคัญอย่างจำเป็นเพื่อประกันความปลอดภัยของโปรแกรมและข้อมูลของคุณ แล้วคุณจะต้องมีการรักษาความปลอดภัยรอบการเปลี่ยนแปลงของระบบ ที่จะต้องทำกับการเข้าถึงการรักษาความปลอดภัยที่เหมาะสมในการเปลี่ยนแปลงและมีการอนุมัติในที่ที่เหมาะสมสำหรับการดึงผ่านการเปลี่ยนแปลงจากการพัฒนาโปรแกรมผ่านการทดสอบและสุดท้ายในการผลิต

กับการประมวลผลเป็นเรื่องสำคัญที่วิธีการและตรวจสอบด้านต่างบางเช่นใส่การปลอมแปลงหรือข้อมูลผิดพลาดการประมวลผลไม่สมบูรณ์และการประมวลผลรายการที่ซ้ำกันไม่เหมาะจะอยู่ในสถานที่ ให้แน่ใจว่าท่านจะสุ่มตรวจสอบหรือการประมวลผลทั้งหมดที่มีการอนุมัติถูกต้องเป็นวิธีการตรวจสอบนี้ เป็นสิ่งสำคัญที่จะสามารถระบุการประมวลผลไม่สมบูรณ์และมั่นใจว่าวิธีการที่เหมาะสมในสถานที่ทั้งการจนเสร็จสิ้นหรือลบออกจากระบบหากมีข้อผิดพลาด นอกจากนี้ยังควรเป็นวิธีการระบุและแก้ไขซ้ำรายการ ในที่สุดเมื่อมาถึงการไม่ได้ถูกทำในเวลาที่เหมาะสมที่คุณควร back – ติดตามข้อมูลที่เกี่ยวข้องเพื่อดูว่าล่าช้ามาจากการระบุหรือไม่ล่าช้านี้สร้างความกังวลการควบคุมใดๆ

แบ่งแยกหน้าที่[แก้]

เมื่อคุณมีฟังก์ชันที่เกี่ยวข้องกับเงินทั้งขาเข้าหรือส่งออกสำคัญมากเพื่อให้แน่ใจว่าหน้าที่จะแยกเพื่อลดและหวังป้องกันการโกง วิธีหนึ่งที่สำคัญเพื่อให้เหมาะสมแยกหน้าที่ (สด) จากมุมมองที่เป็นระบบตรวจสอบการอนุญาตให้เข้าถึงบุคคล' ระบบบางอย่างเช่น SAP อ้างมาพร้อมกับความสามารถในการดำเนินการทดสอบสด แต่การทำงานให้เป็นประถมต้องค้นหาเสียเวลามากที่จะสร้างและ จำกัด ระดับรายการเท่านั้นที่มีการใช้น้อยหรือไม่มีวัตถุหรือข้อมูลค่า กำหนดให้ผู้ใช้ผ่านการทำธุรกรรมที่มักเข้าใจผิดผลการผลิต สำหรับระบบที่ซับซ้อนเช่น SAP ก็มักจะต้องการใช้เครื่องมือพัฒนาพิเศษเพื่อประเมินและวิเคราะห์ความขัดแย้งสดและประเภทอื่น ๆ กิจกรรมระบบ สำหรับระบบอื่น ๆ หรือระบบหลายรูปแบบที่คุณควรตรวจสอบผู้ใช้ที่สามารถเข้าถึงผู้ใช้ super ระบบให้พวกเขาเข้าไม่ จำกัด ทุกด้านของระบบ นอกจากนี้การพัฒนา matrix สำหรับฟังก์ชันทั้งหมดเน้นจุดที่แยกเหมาะสมของหน้าที่ถูกละเมิดจะช่วยหาจุดอ่อนวัสดุที่อาจเกิดขึ้นโดยการข้ามเข้าใช้บริการของพนักงานแต่ละคน นี้เป็นสิ่งสำคัญหากไม่ดังนั้นในฟังก์ชันการพัฒนาตามที่ผลิต มั่นใจว่าผู้พัฒนาโปรแกรมไม่ได้คนที่มีสิทธิ์ดึงลงในการผลิตคือกุญแจสำคัญในการป้องกันโปรแกรมที่ไม่ได้รับอนุญาตในระบบการผลิตที่พวกเขาสามารถใช้เพื่อกระทำผิดฉ้อโกง

สรุป[แก้]

โดยและขนาดใหญ่สองแนวคิดของการรักษาความปลอดภัยของโปรแกรมประยุกต์และแยกหน้าที่ทั้งในหลายเชื่อมต่อและพวกเขาทั้งสองมีเป้าหมายเดียวกันเพื่อป้องกันความสมบูรณ์ของข้อมูล บริษัท ที่'และการป้องกันการโกง เพื่อความปลอดภัยโปรแกรมประยุกต์ได้จะทำอย่างไรกับการป้องกันการเข้าถึงฮาร์ดแวร์และซอฟต์แวร์โดยมีมาตรการรักษาความปลอดภัยที่เหมาะสมทั้งทางกายภาพและทางอิเล็กทรอนิกส์ในสถานที่ ด้วยการแยกหน้าที่เป็นหลักพิจารณาทางกายภาพของการเข้าถึงบุคคล'ระบบและการประมวลผลและตรวจสอบว่ามีไม่มีการทับซ้อนที่อาจนำไปสู่การฉ้อโกง

อ้างอิงและอ่านเพิ่มเติม[แก้]

  • "บันทึกและเล่นซ้ำการเข้าถึงระยะไกลปลอดภัยของผู้ให้บริการภายนอกและพนักงาน ห่างไกล" ObserveIT http://www.observeit* sys.com/record_secure_remote_access.asp เรียก 2008* 11* 23