第10章 信息系统安全与控制体系.pptVIP

第十章 信息系统安全与控制体系Security Controls for Information System QA 二、针对主动威胁可实施的控制（6） （三）文件存取控制 文件存储控制是分层控制的最后一层，它的目的是阻止对数据和程序文件的未经授权的访问。 最基本的文件存取控制是针对文件访问和修改来建立一套授权模式和控制程序 。 在没有书面批准的情况下，任何程序设计人员均不得访问公司任何计算机文件。操作员和监管员应该被告之在没有书面批准的情况下不接受程序员的任何指示。甚至已授权的程序变更在没有书面批准的情况下也不能实施。对任何程序的改动都不能直接在原程序上进行，而必须在原程序的副本上进行正确的授权改动。 二、针对主动威胁可实施的控制（7） （三）文件存取控制（续） 所有重要的程序都必须“上锁”，这意味着对这些程序不能阅读，更不能修改，只能被调用执行。只有安全部门才知道如何给这些程序“解锁”。 程序也可以像电子信息一样使用数字签名，这样既可以准确地辨别程序的来源，又可以验证程序是否被修改过。 除此之外，还有一种文件存取控制的有效办法，即安装一个常驻内存程序让它来动态检查染毒或文件修改的情况，一旦有异常，该程序会自动弹出提示窗口告诉用户加以注意，或者会直接禁止非法的文件存取。 三、针对被动威胁可实施的控制 被动威胁包括供电系统和硬件系统的故