Kiểm tra và bảo mật hệ thống
Kiểm tra hệ thống
Nó là một cuộc điều tra để xem xét hoạt động của một hệ thống hoạt động. Các mục tiêu của việc thực hiện đánh giá hệ thống như sau:
Để so sánh hiệu suất thực tế và kế hoạch.
Để xác minh rằng các mục tiêu đã nêu của hệ thống vẫn còn hiệu lực trong môi trường hiện tại.
Để đánh giá việc đạt được các mục tiêu đã nêu.
Để đảm bảo độ tin cậy của thông tin tài chính và thông tin khác dựa trên máy tính.
Để đảm bảo tất cả các hồ sơ được bao gồm trong khi xử lý.
Để đảm bảo bảo vệ khỏi gian lận.
Kiểm tra việc sử dụng hệ thống máy tính
Kiểm toán viên xử lý dữ liệu kiểm tra việc sử dụng hệ thống máy tính để kiểm soát nó. Đánh giá viên cần dữ liệu kiểm soát do hệ thống máy tính tự thu thập.
Kiểm toán hệ thống
Vai trò của đánh giá viên bắt đầu từ giai đoạn phát triển ban đầu của hệ thống để hệ thống kết quả được an toàn. Nó mô tả một ý tưởng về việc sử dụng hệ thống có thể được ghi lại, giúp lập kế hoạch tải và quyết định các thông số kỹ thuật phần cứng và phần mềm. Nó đưa ra một dấu hiệu về việc sử dụng hệ thống máy tính một cách khôn ngoan và có thể sử dụng sai hệ thống.
Thử nghiệm kiểm toán
Bản kiểm tra đánh giá hoặc nhật ký đánh giá là một hồ sơ bảo mật bao gồm ai đã truy cập vào hệ thống máy tính và những hoạt động nào được thực hiện trong một khoảng thời gian nhất định. Thử nghiệm đánh giá được sử dụng để truy tìm chi tiết dữ liệu trên hệ thống đã thay đổi như thế nào.
Nó cung cấp bằng chứng tài liệu về các kỹ thuật kiểm soát khác nhau mà một giao dịch phải tuân theo trong quá trình xử lý. Các thử nghiệm đánh giá không tồn tại độc lập. Chúng được thực hiện như một phần của kế toán phục hồi các giao dịch bị mất.
Phương pháp kiểm toán
Kiểm toán có thể được thực hiện theo hai cách khác nhau -
Kiểm toán xung quanh máy tính
- Lấy đầu vào mẫu và áp dụng thủ công các quy tắc xử lý.
- So sánh đầu ra với đầu ra của máy tính.
Kiểm toán thông qua máy tính
- Thiết lập thử nghiệm đánh giá cho phép kiểm tra các kết quả trung gian đã chọn.
- Tổng kiểm soát cung cấp các kiểm tra trung gian.
Cân nhắc Kiểm toán
Xem xét đánh giá kiểm tra kết quả phân tích bằng cách sử dụng cả tường thuật và mô hình để xác định các vấn đề gây ra do đặt sai chức năng, các quy trình hoặc chức năng bị chia nhỏ, luồng dữ liệu bị hỏng, dữ liệu bị thiếu, xử lý thừa hoặc không đầy đủ và các cơ hội tự động hóa không được giải quyết.
Các hoạt động trong giai đoạn này như sau:
- Xác định các vấn đề môi trường hiện tại
- Xác định nguyên nhân sự cố
- Xác định các giải pháp thay thế
- Đánh giá và phân tích tính khả thi của từng giải pháp
- Lựa chọn và đề xuất giải pháp phù hợp và thiết thực nhất
- Ước tính chi phí dự án và phân tích lợi ích chi phí
Bảo vệ
Bảo mật hệ thống đề cập đến việc bảo vệ hệ thống khỏi hành vi trộm cắp, truy cập và sửa đổi trái phép cũng như thiệt hại do ngẫu nhiên hoặc không cố ý. Trong các hệ thống máy tính, bảo mật liên quan đến việc bảo vệ tất cả các bộ phận của hệ thống máy tính bao gồm dữ liệu, phần mềm và phần cứng. Bảo mật hệ thống bao gồm quyền riêng tư của hệ thống và tính toàn vẹn của hệ thống.
System privacy giải quyết việc bảo vệ các hệ thống cá nhân khỏi bị truy cập và sử dụng mà không có sự cho phép / kiến thức của các cá nhân liên quan.
System integrity quan tâm đến chất lượng và độ tin cậy của dữ liệu thô cũng như dữ liệu đã xử lý trong hệ thống.
Các biện pháp kiểm soát
Có nhiều biện pháp kiểm soát có thể được phân loại rộng rãi như sau:
Sao lưu
Thường xuyên sao lưu cơ sở dữ liệu hàng ngày / hàng tuần tùy theo thời gian và quy mô.
Sao lưu tăng dần trong khoảng thời gian ngắn hơn.
Các bản sao lưu được lưu giữ ở vị trí từ xa an toàn, đặc biệt cần thiết để khắc phục thảm họa.
Hệ thống trùng lặp chạy và tất cả các giao dịch được sao chép nếu nó là một hệ thống rất quan trọng và không thể chịu đựng bất kỳ sự gián đoạn nào trước khi lưu trữ trong đĩa.
Kiểm soát truy cập vật lý vào các cơ sở
- Khóa vật lý và xác thực sinh trắc học. Ví dụ: dấu tay
- Chứng minh thư hoặc thẻ ra vào đang được nhân viên an ninh kiểm tra.
- Nhận dạng tất cả những người đọc hoặc sửa đổi dữ liệu và ghi dữ liệu đó vào một tệp.
Sử dụng Điều khiển lôgic hoặc Phần mềm
- Hệ thống mật khẩu.
- Mã hóa dữ liệu / chương trình nhạy cảm.
- Đào tạo nhân viên về chăm sóc / xử lý và bảo mật dữ liệu.
- Phần mềm chống vi-rút và bảo vệ tường lửa khi kết nối với internet.
Phân tích rủi ro
Rủi ro là khả năng mất một thứ gì đó có giá trị. Phân tích rủi ro bắt đầu bằng việc lập kế hoạch cho hệ thống an toàn bằng cách xác định tính dễ bị tổn thương của hệ thống và tác động của điều này. Kế hoạch sau đó được thực hiện để quản lý rủi ro và đối phó với thảm họa. Nó được thực hiện để truy cập xác suất của thảm họa có thể xảy ra và chi phí của chúng.
Phân tích rủi ro là một hoạt động làm việc theo nhóm của các chuyên gia có nền tảng khác nhau như hóa chất, lỗi của con người và thiết bị xử lý.
Các bước sau đây phải được thực hiện trong khi tiến hành phân tích rủi ro:
Nhận dạng tất cả các thành phần của hệ thống máy tính.
Nhận dạng tất cả các mối đe dọa và nguy cơ mà mỗi thành phần phải đối mặt.
Định lượng rủi ro tức là đánh giá tổn thất trong trường hợp các mối đe dọa trở thành hiện thực.
Phân tích rủi ro - Các bước chính
Khi rủi ro hoặc mối đe dọa đang thay đổi và tổn thất tiềm ẩn cũng thay đổi, việc quản lý rủi ro cần được thực hiện định kỳ bởi các nhà quản lý cấp cao.
Quản lý rủi ro là một quá trình liên tục và nó bao gồm các bước sau:
Xác định các biện pháp an ninh.
Tính toán chi phí thực hiện các biện pháp an ninh.
So sánh chi phí của các biện pháp an ninh với tổn thất và xác suất của các mối đe dọa.
Lựa chọn và thực hiện các biện pháp an ninh.
Xem xét việc thực hiện các biện pháp an ninh.