信息系统的安全与持续性计划.pdf

资源描述

1、信息系统的安全与持续性计划1主要内容:-信息系统的风险-信息系统的安全控制物理控制与环境控制.逻辑访问控制-网络控制持续性计划（灾难恢复计划）-信息系统的应用控制1.信息系统的风险风险的概念：风险是发生某种威胁使资产损失或破坏的潜在可能。风险的概念包括以下内容：威胁、薄弱点、处理过程或资产；对资产基于威胁和薄弱点的影响；-袭击的可能性。3风险评价管理过程第一步第二步第三步第四步获得五有成宗效益的控制对策4信息系统资产-信息和数据硬件-软件-服务-文档-人员另外还有一些需要考虑的传统资产包括：建筑物、存货、资金和无形资产等。5信息的潜在威胁-错误恶意破坏-欺诈盗窃-软硬件故障6信息系

2、统的薄弱点-用户缺乏知识-缺乏安全措施口令缺少变化-未经测试的技术无保护的数据传输7威胁一旦发生所造成的影响直接的经济损失违反法律-名誉声望受损-员工或客户受到威胁信心受损-商业机会的损失-经营效率与性能的降低商业经营中断。8整体风险整体风险是对企业风险的整体评价，通常做法是：2影响x可能性9剩余风险剩余风险是采用控制以后所遗留的风险水平。管理人员使用剩余风险确认某些地方是否需要更多的控制措施以进一步降低风险。102.信息系统的安全控制控制的基本概念-物理控制与环境控制-逻辑访问控制-网络控制与互联网的使用11控制的基本概念控制是为实现企业目标，避免、检查、纠正不受欢迎事

3、件发生提供合理担保的政策、措施和组织结构。-控制目标是通过实施控制过程要达到的目的或结果。12些信息系统控制目标:到目前为止自动系统上俯双癌一直被市确的处理和保存，从而处于安全状态。-每项操作都经过授权,并且只处理一次。-所有的操作都有记录,并且都是在正确的时间段进行的。-所有的拒绝操作都有报告。-重复操作有报告-文件都经过充分备份,以备正确的恢复。对软件的所有变动都经核实，并进行了测试。13预防性控制作用：检查发现未发生的问题；监督操作和输入；-在问题发生之前及时预测和调整；避免错误、疏漏和欺诈行为的发生。信息系统中常见的预防性控制只雇佣经过良好训练，具备任职资格的

4、人员；职责分离；对接触或访问各种物理设备进行控制；使用设计规范的文档；建立适当的交接授权过程；程序化的编辑检查；使用访问控制软件，只有获得授权的人员才能访问敏感文件。14发现性控制用于检测发生的错误、遗漏或者欺诈、作弊行为，并就当前状态作出汇报。信息系统中常见的发现性控制有：哈西总数(hash totals)；生产过程中的检测点(checkpoints)；远程通信中的回叫(echo)控制；-重复的计算检查；-定期报告各种变化和不一致；-内部审计职能。15纠正控制纠正控制的作用包括：-降低威胁的影响；-对发现的问题进行补救;确认问题的原因；修正已发问题引起的错误；修改处理系统，降低将

5、来再次发生问题的可能性。信息系统中常见的纠正控制包括：-意外事故计划；-备份过程；系统重启过程。16综合控制与应用控制-综合控制是对组织各部门设计、安全、使用计算机程序的总体上的控制。-应用控制是各个计算机应用程序中的特别的控制。-综合控制是最低水平的控制。综合信息技术控制形成了一个整体控制信息技术行为和确保整体控制目标的框架。在此基础上可以进一步增加应用控制。17综合控制与应用控制信息技术控制框架物理与环境控制系统安全与内部审计员工的选择、考评和培训)网络访问控制操作系统控制输入处理输出审计线索固定数据18信息系统的综合控制-综合信息技术控制主要关注企业的信息技术基础

6、，包括任何与信息技术相关的政策、过程和工作实践。他们并不针对某一特别的交易流或财务应用系统。大多数情况下，综合控制的元素主要集中在信息技术部门或相似部门。19综合控制主要包括以下几类:组织和管理（高水平的信息技术政策和标准）；-职责分离；物理控制（接触与环境控制）；逻辑访问控制；系统开发和程序修改；对计算机人员（包括程序员、系统分析员和计算机操作人员）的控制（包括内部和外部信息技术服务）；确保计算机系统可用性的控制；对最终用户计算的控制。20应用控制应用控制特别针对某个应用系统，并对交易事务的处理产生直接的影响。这些控制用于确保所有交易均是合法的，经过授权，并被记录下来。由于应用

7、控制与交易流存在关系，因此通常包括：交易(transactions)输入的控制；处理控制；输出控制；固定数据(standing data)和主文件的控制。21物理与环境控制-物理控制：是用于阻止对IT设备未经授权访问，防止其发生故障的机制和管理过程。-环境控制：是用于保护计算机软硬件，避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。22与物理和环境控制相关的风险(1)物理风险员工(IT雇员、清洁工、警卫及其他人员)有意或无意的破坏；计算机或其零部件失窃；电压波动导致设备损坏或数据丢失或损坏；存在绕过逻辑访问控制的旁的；复制或查阅敏感或机密的信息。(2)环境风险水灾或

8、火灾破坏，以及其他自然灾害的破坏；电源掉电导致内存数据丢失；电压不稳导致系统故障、处理错误和设备部件的损坏；由于温度、湿度恶劣导致系统故障；炸弹破坏；静电破坏敏感的电子部件；其他诸如。照明设备停工，灰尘或污垢聚集等。23物理控制三个方面:安全区的物理控制-管理控制-门禁系统(locksdoors)24安全区的物理控制-物理访问安全应基于信息技术设备所处区域的定义。例如，可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白，雇员能够意识到它的边界。-从安全区的在外层防护到建筑物的入口、计算机间和终端，应该通过多层控制措施，控制对用户站点和安全区域的

9、访问。25管理控制-雇员佩带身份或姓名证章；-解除辞退人员的访问权限；-来访人员必须登记，包括他是谁，在哪工作，找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。办公室无人照管时的控制过程。例如当雇员晚上回家或外出吃饭时，应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。26门禁系统(locks on doors)常见的门禁系统包括：-使用机械钥匙的锁。-组合门禁系统或密码锁-电子门禁系统-生物门禁系统27其他常见的物理控制措施电视摄像头警卫施员在上班时间以外的控制；计算机锁手工日志记录：来客需要登记姓名、单位、事山和会见天。在进入前需要出小身初证明。电子日志：在

10、电子或生物安全系统中，所有的来客都要做目志记录，特别是失败的进入试图需要被特别标记。控制的来客接触：所有来客都应有雇员护送。28其他常见物理控制措施(续)人员担保：所有服务人员应该有担保。死人门(deadman doors)：该系统使用一对门。前一门未锁上，后一门不能打开。在两人门之间只能有一个人。以防止未经授权的人跟随其他人进入。-不宣扬敏感设备的位置；计算机终端锁；-经控制的单个输入点；-夜贼警报系统；安全的文件分发车。29环境控制-火灾的预防、检测和扑救防水-电源的保护和控制图温、通风和空调-维护与房间保洁30火灾的预防、检测和扑救火灾的预防控制-火灾扑救系统包括：-手持

11、灭火器；一些灭火器适合电子设备，例如二氧化碳或 halon(BCF)灭火器。水灭火器可以放在计算机耗材库房中。自动灭火系统自动灭火器通常使用水或halon。Halon对计算机设备无害，并且相对二氧化碳来说，危害较小。31防水进入机房的水可能来自以下方面:-洪水；屋顶漏水；-爆裂的管道；-洗手间或水池溢水；冷却系统漏水。32逻辑访问控制基本概念-逻辑访问的风险-需要保护的资源、文件和工具-访问安全框架-操作系统和应用访问控制日志33基本概念逻辑访问安全有三个最基本的组成部份用户身份通常使用用户名或登录ID号，来表明用户的身份。身份计算机需要核实这个人到底是谁。可以通过用户拥有的灯或知道的

12、东而加以确认。一般到办法是口令(passwords)身份证代码、签名或其他生物特征例如手印等。资源保护资源是计算机文件、目录和外围设备。资源保护应基于每个用户的需要。例如当某个用户登录计算机以后，可以其只能访问某些文件、应用或其他工作需要的资源。34逻辑访问的风险信息缺乏逻辑访问控制的主要影响包括：-未经允许的泄漏；未经授权的修改；系统完整性受到破坏。计算机系统可能受到不同方面的袭击，包括:(1)黑客(2)雇员(3)已辞退的雇员(4)外部人员(5)供货商或咨询商35需要保护的资源、文件和工具-(1)数据文件(2)应用软件(3)口令文件(4)系统软件和工具-(5)日志文件(6)缓冲区文件

13、和临时文件36访问安全框架-确保充分的控制应防范任何可能的风险是用户经理的责任。管理人员通过制定公司的访问安全政策，从而为逻辑访问控制指明方向。在制定政策时，管理人员应定义企业经营对访问控制的需求，及每个系统的访问需求。公司的安全政策通常是以上较短的文档。包括以下内容：定义-安全政策陈述；责任详细的逻辑访问控制将基于公司IT安全正团中的高层陈述。37操作系统和应用访问控制逻辑访问控制存在两个层次：系统层次(installation level)和应用层次(application level)。囱氏访问控制句以建立于：-操作系统(或系统工具)-每个应用每层的逻辑访问控制均由不同的管理

14、员实现。IT部门人员负责管理谁能登录网络，以及登录网络以后可以访问什么应用和数据文更牛常豁黯篓层次控制访问。应用管理员则负责管理在应用-IT部门的系统管理员对操作系统及其资源有更好理解，知道什么应用软件和工具程序需要保护。这样可以保护系统资源不被外部人员和未经授权IT人员使用。-应用管理员对应用软件以及谁将使用软件比较了解。这有助于应用管理员依据每个用户的需要设置访问权限。这样可以确保用户只拥有工作需要的访问权限。系统管理员与应用管理员的职责应分离。38系统级的逻辑访问控制各种操作系统软件中都内置了逻辑访问控制，例如UNIX、NovelK NT。各家产品不同，逻辑访问控制的力度也不

15、同。一些组织对操作系统的安全特征进行了独立测试。美国国家计算机安全信息中心(NCSC)于1983年提出了可信计算机系统评估准则TCSEC(trusted computer system evaluation criteria)，顼定宁安荃汗算机系统的基本准则，通常标为“桔皮书”(orange book)。桔皮书将计算机系统的安全等级划分为四类七级：D、C1、C2、B1、B2、B3、A1O其中A1级是最安全的。除非有特别的安全需要，否则多数财务系统都依照C2级标准。C2级标准要求操作系统使用登录控制、审计安全相关事件以及隔离资源等措施，控制访问。因此如果审计人员被告知该系统达主(2级，

16、则意味着萦境中包括丁用户辨别(idenMfication)、身份鉴定(authentication)和日志(ogging)控制。-如果操作圣统中没有逻辑访问安全措施，用户可以安装一个独立的软件包。例如由BM大型机中安装访问控制软件包RACF或ACF2。也有一些用于微机的安全软件包。39逻辑访问控制(1)登录过程(logon procedures)(2)用户辨别(identification)(3)身份鉴定(authentication)-(4)资源保护-(5)其他逻辑访问控制40日志-前面讲述到控制均用于防止非法用户访问计算机系统。而下一步控制则是检测非法用户的访问试图和行为。这通常

17、可以从事件日志记录中获得。计算机系统中的审计日志一般有两种：安全审计日志和交易审计日志。安全审计日志用于记录各种用户操作信息。交易审计日志用于记录交易被系统处理的路径和过程。41网络控制与互联网的使用-1.与网络相关的风险 2.网络控制(networkcontrols)3.互联网控制(internet control)42与网络相关的风险网络将用户的计算机带入了一个广阔，存在众多潜在匿名用户到空间。一旦客户的系统连入了网络，就可能存在被外部人员（黑客）和未经授权的同事访问的风险。容易导致：-数据丢失：数据可能被故意删除或在传输过程中丢失。数据破坏：数据可能被用户破坏，数据传输过程中可能发

18、生错误。例如由于线路的噪音干扰，发出的数据“1”，接收时变成了“0”。塞延银行。一个风度翩翩来自内部或外部的欺诈：窃贼不再依赖枪和盗窃工具的君子在世界的另一端，就可以侵入银行系统，将资系统无法使用：网络连接以及服务器都可以被轻易破坏。一个集线器的丢失，可以影响众多用户的操作处理。通信线路也超出了用户的范围而失去控制。泄密：一旦一些重要的系统例如，人事系统、科研开发系统被连接到网络上，就更增加了信息有意或无意泄漏的风险。病毒与蠕虫感染：蠕虫感染是特别经过设计，用于网络传播的。病毒感染经常发生，用户应经常使用杀病毒软件进行检查，并对杀病毒软件及时升级。违反版权和数据保护法：由于用户可以

19、从网上随便获得数据和软件，从而导致触犯当地的版权和数据保护法。43网络控制(network controls)-网络的特点决定了物理访问控制的作用是有限的。因此在保护网络设备不被滥用和盗窃的同时，还需要将精力集中于逻辑访问和管理控制。根据各个用户所确认的风险、操作系统、网络控制软件以及网络和通信政策不同，用户所需的逻辑访问控制也不一样。44审计人员可能遇到的控制:(1)网络安全政策这可能是企业整体IT安全政策的一部分。(2)网络标准、过程和操作指令这些应该基于网络安全政策，并且文档化；相关人员应可以得到该文档的复印件。(3)网络文档用户应有数份描述网络逻辑和物理层次的文档

20、。例如网络布线图。这些文档通常作为机密文*当保存。(4)逻辑访问控制这是特别重要的。用户应确保拥有合适的登录口令和资源访问权限。(5)对外部连接的限制，例如调制解调器。这些连接可能是用户系统的薄弱点，特别是当这些连接未被允许时。45审计人员可能遇到的控制:(6)当用户被允许使用调制解调器时，可以考虑使用回叫调制解调器(call back modems)。这种调制繇调器只允许由白白呼叫出去的连接访问。例如，一个在家办公的远程用户希望访问系统。他可以通过调制解调器呼叫办公系统。办公系统建立连接并要求用户提供ID号。然后办公系统断开连接。如果ID号是正确的，办公系统按照预先设置好的电话号码

21、拨回。在这里是该雇员家中的电话。然后该雇员就可以访问系统了。还可以通过使用其他标记(token)来进行控制，确认外部用户的确获得访问系统的权限。(7)网络应该由经过适当培训，具备相当经验的雇员管理和控制。管理人员对这些雇员的工作进行监督管理。(8)特定的网络事件应该被网络操作系统自动记入日志。应定期检查日志，寻找未经授权的行为。46审计人员可能遇到的控制:(9)使用网络管理和监控软件包和设备。网络管理员可以找到很多的工具、软件监督网络的使用及网络的性能。它们也可以用于检查每个终端用户计算机中所安装的软件。(10)外部供应商和咨询商的访问也应受到监督。客户经常允许软件供应商通过远程访问连

22、接对系统进行维护和故障修复。这些工具的使用应受到监督，并且只有在需要且经过授权以后才可以使用。远程连接的调制解调器只有管理人员同意才能激活，并且一旦任务完成，就应断开。(11)联入网络的终端只能是特定的终端。这可以通过终端号码(例如网卡的号码)或IR地址进行控制。(12)数据加密(dataencryption)o在某些环境下，用户可以将网上数据加密。即使未授用用户能够搭线窃听获取了数据，也会因为加过密而无法使用。47审计人员可能遇到的控制:(13)使用应答设备(challenge-responsedevices)。这是典型的手持设备，大小与计算器相信。这种设备通过允许远程用户对系

23、统提出的信号作出应答的方式验证远程用户的身份。例如当有人想远程登录系统时，中心系统发出一个“挑战”例如“121288”。远程用户将这个代码输入手持设备。该手持设备生成一个相称的“响应”“22233。一般情况，用户可以有60秒钟将信号输入计算机。中心系统收到响应信号以后，经核实正确就可以允许用户访句系统。这种设备的优点在于每人“挑战”“响应”信号是唯一的。因此未授权用户无法重复使用密码访问系统。(14)使用私有线路或专线如果线路是私有线路或专线，数据被截取的风险就低得多。并且使用专线可以传输更多的数据，数据传输错误也较少。(15)使用数字线路而不是模拟线路。数字线路具有较高的容量,

24、不需要调制解调器，不会发生数字与模拟信号转换错误。48互联网控制(internet control)如果需要将计算机直接连接到互联网络上，那么最安全的措施是：将计算机与主要信息系统物理隔离；指定有经验可靠的管理员管理互联网计算机；禁止匿名访问计算机。如果一定要的话，应避免将目录设为即可读又可写；从计算机中移走所有不必要的数据和软件；关闭所有互联网服务器上不必要的逻辑端口；监视登录计算机的企图；只有经过仔细检查以后，才将文件在主要信息系统和互联网计算机之间传递。应牢记程序可以附带在电子邮件信息中传递；尽可能少的设置互联网计算机的用户帐户，并定期更换期密码；如果不是特别需要的话，应避免运行一些

25、诸如互联网聊天室之类的服务器应用。49其他安全控制技术防火墙(firewall)口令-访问控制加密安全电子邮件PEM(privacy enhanced mail)良好隐私PGP(pretty good privacy)-站点安全工具-事故报告与更改50持续计划基本概念-灾难备份系统的组成-灾难恢复计划的制定51基本概念1.商业持续计划(businesscontinuity planning,BCP)商业持续能力是指企业在信息系统支持中断情况下的继续经营能力以及发生灾难性事件情况下的生存能力。商业持续计划用于灾难的预测和预防处理。灾难包括从洪水、火灾、地震到劳动市场的动荡、重要文件

26、的丢失。商业持续计划主要处理两个问题：公司信息完整性的维护，保持信息系统的运行直到正常业务能重新使用。商业持续计划是在灾难来临时如何恢复所有经营业务的方法，而不仅仅限于信息部门的业务。52基本概念2.信息系统的灾难信息系统灾难是指造成重要业务数据丢失，使业务中断了不可忍受的一段时间的计算机系统事故，这些事故导致银行丧失了全部或部分业务处理能力，引起企业营业收入下降、信誉降低和形象受损，甚至威胁其生存。造成计算机系统灾难性事故的原因有自然灾害、基础设施的突发性事故、计算机系统故障和各种人为因素等。53基本概念 3.灾难备份灾难备份是指为了减少灾难发生的概率，以及减

27、少灾难发生时或发生后造成的损失而采取的各种防范措施。4.灾难恢复灾难恢复是一个在发生计算机系统灾难后，在远离灾难现场的地方重新组织系统运行和恢复营业的过程。灾难恢复的目标一是保护数据的完整性，使业务数据损失最少甚至没有业务数据损失。二是快速恢复营业，使业务停顿时间最短甚至不中断业务。54基本概念5.灾难备份中心灾难备份中心是一个拥有备份系统与场地，配备了专职人员,数据备份策略和灾难恢复程6.灾难应急方案灾难应急方案是指在发生计算机系统灾难事件时，为了尽可能减少损失，而对计算机应用系统采取的抢救措施、故障隔离措施、恢复过程以及工作人员救护和撤离计划等。7.灾难恢复方案灾难恢复方案是一套为

28、保证在计算机系统发生灾难后恢复业务运行而预先制定的一套技术措施、管理方法和处理步骤。它是在充分考虑经济、技术、管理和社会条件的可行性的基础之上，提出的最佳灾难恢复策略。55】灾难备份系统的组成 F灾难备份系统一般由可接替生产系统运行的后备运行系统、数据备份系统、终端用户切换到备份系统的备用通讯线路等部分组成。在正常生产和数据备份状态下，生产系统通过人工或网络传输方法向备份系统传送需备份的各种数据。备份中心与生产中心及终端用户的关系如图所示。终端用户56灾难备份系统的组成灾难发生后，备份系统将接替生产系统继续运行,备份中心、生产中心及终端用户三者之间的关系如图所

29、示。止k时重要营业终端用户将从生产主机切换到备份中心主机，继续对外营业。57数据备份方式目前比较实用的的数据备份方式可分为本地备份异地保存、远程磁带库与光盘库、远程关键数据+定期备份、远程数据库复制、网络数据镜像、远程镜像磁盘等六种。(1)本地备份异地保存是指按一定的时间间隔(如一天)将系统某一时刻的数据备份到磁带、磁盘、光盘等介质上，然后及时地传递到远离运行中心的、安全的地方保存起来。(2)远程磁带库、光盘库是指通过网络将数据传送到远离生产中心的磁带库或光盘库系统。本方式要求在生产系统与磁带库或光盘库系统之间建立通信线路。(3)远程关键数据+定期备份本方式定期备份全部

30、数据，同时生产系统实时向备份系统传送数据库日志或应用系统交易流水等关键数据。58数据备份方式(4)远程数据库复制在与生产系统相分离的备份系统上建立生产系统上重要数据库的一个镜像拷贝，通过通信线路将生产系统的数据库日志传送到备份系统，使备份系统的数据库与生产系统的数据库数据变化保持同步。(5)网络数据镜像是指对生产系统的数据库数据和重要的数据与目标文件进行监控与跟踪，并将对这些数据及目标文件的操作日志通过网络实时传送到备份家统，备位系统可根据操作日志对磁盘中数据进行更新,以膜证生产系统后备份素统数据同步。(6)远程镜像磁盘利用高速光纤通信线路和特殊的磁盘控制技术将镜像磁盘安放到远

31、离生产备统的地方，镜像磁盘的数据与主磁盘数据以实时同步或实时异步方式保持一致。磁盘镜像可备份所有类型的数据。59后备运行系统的选择可以选择的后备运行系统包括互助协定、冷站、温站和热站。(1)互助协定(mutual aid)-互助协定是指两个或多个公司达成灾害发生时相互共享资源的协定。要使该协定有效必须满足以下条件：每家公司都必须具有轨外的信息处理能力，或必须能够降低其业务量，以对另一彖发生灵害的公司提供援助；各公司业务系统的平台必须兼容；所有签约方不能都受到灾害的影响；公司之间具有很高的信任度。由于这种方法在合并两家公司的业务系统时，会出现意想不到的问题，所以现在已经不多采用。60后

32、备运行系统的选择(2)冷站(cold site)公司为系统运行提供了最基本的环境，例如电源、空调、地板、办公桌椅等设备等。一旦发生灾难可以恢复设备安装在该环境中。采用冷站备份企业还需与设备供应啬签订紧急情况下，及时供应设备的协议。一旦发生灾难，可以从设备供应商处购买新的设备。安装在冷站环境中，用数据备份介质(磁带或光盘)恢复应用数据，手工逐笔或自动批量追补孤立数据，将终端用户通过通讯线路切换到备份系统，恢复业务运行。优点：设备投资较少，节省通信费用，通信环境要求不高。二缺点：恢复时间较长，一般要数天至一周，数据完整性与一致性较差。61后备运行系统的选择(3)温站(worm site

33、)温站中装备了部分设备，例如办公环境、通信设备、存储设备等。但是考虑道主机价格比较昂贵，并且需要时，可以迅速从供应商处获得，因此温站中没有配备主机。使用温站设备一旦发生灾难，可以迅速租借或购买主机，使用定期备份数据，手工逐笔或自动批量追补孤立数据或，将终端用户通过通讯线路切换到备份系统，恢复业务运行。优点：设备投资较少，通信环境要求不高。-缺点：恢复时间长，一般要十几小时至数天，数据完整性与一致性较差。62后备运行系统的选择(4)热站(hot site)热站中装备了全套的处理设备，可以在数小时内投入运行。也可定时。一旦发生灾难，只需在备份系统上恢复生产系统的数据，并对备份后业务事

34、项进行追补就可快速接替生产系统运行，恢复普业。优点：恢复时间短，一般几十分钟到数小时，数据完整性与一致性最好，数据丢失可能性最小。缺点：设备投资大。63后备运行系统的选择(5)镜像系统(mirrored systems)镜像系统是一个相对高成本的方案，适合于一些运行非常重要任务的系统。例如航线管理、银行业务等等。这种方法要求在相距较远的两个不同地方，同时运行两套或更多套系统。每发生一笔业务，两套系统中的数据同时并行修改。一旦一个系统发生故障，所有业务处理可以直接切换到镜像系统中，对用户不会造成任何影响。美国“91袭击事件中，总部在世贸大楼的摩根斯坦利银行遭到毁灭性打击。但是其业

35、务数据却没有受到任何影响，就是因为采用了镜像系统备份。64灾难备份技术的发展灾难备份技术的发展趋势主要有三个方面:（1）采用实时热备份技术。实时热备份技术具有一次性投资昂贵、通讯费用高等缺点，但具有最好的数据完整性与业务连续性保证。随着商业银行的业务发展及竞争需要，银行的业务连续性要求将越来越高，采取实时热备份技术来实现灾难备份是未来的发展趋势。（2）外包方式：灾难恢复计划涉及到业务风险分析、方案选择、实施、测试、培训、演习等内容，是一项既复杂又繁锁的工作。采用外包方式则可将灾难恢复计划交给专业计算机公司来完成,银行则可专心从事银行的生产与经营。（3）开发灾难恢复计划辅助工具：灾难恢

36、复计划是一项系统工程，开发灾难恢复计划的辅助工具与系统是非常必要的，它包括:备份策略决策系统，灾难恢复指引系统，自动运行管理系统等。65灾难恢复计划的制定制定灾难恢复计划需要五个阶段：-阶段I一一对公司经营环境进行评估；-阶段II一一分析恢复策略；-阶段卬一一灾难恢复计划的文档；-阶段IV一设计灾难恢复计划；-阶段V一执行、评估和维护灾难恢复计划。66对公司经营环境进行评估这个阶段的目标是确定公司遭受风险的类型和这些风险对信息系统运行的潜在影响。主要过程如下：-(1)确定公司最有可能面临的风险；(2)确定公司遭受信息系统运行风险的潜在影响。公司应确定以下任务：公司执行了信息系统那些功能；

37、确定系统中那些功能对业务成功是至关重要的；-确定如果在一小时、一天、一周、一个月或者更长的时间内不执行主要功能对公司将造成的影响。最后，公司应对其可能遭受风险进行合理评估，并评估其对业务所造成的潜在影响。67分析恢复策略-这个阶段的目标是确定合适的信息资源，分析所有可选的恢复措施，并挑选最能满足公司目标的措施。公司的信息系统资源包括：中央计算机、个人电脑、网络、应用软件、系统软件以及数据中心。68灾难恢复计划的文档以文档的形式将灾难计划记录下来，主要步骤包括：-(1)制定恢复时间。公司为每个重要功能安排恢复时间(如主机一定在48小时内恢复，个人电脑必须在一周内更换)。-(2)为每

38、一个主要功能制定恢复行动计划。这企计划包括：应当完成的任务、每项任务的负责人、时间安排、执行地点、如何完成。-(3)制定恢复规划表。恢复规划表是灾难发生时需要执行的时间规划表。69设计灾难恢复计划-这个阶段的目的是制定灾难恢复计划。主要内容有：(1)审阅灾难恢复计划。-(2)紧急应对程序。综述在灾难发生时应当采取的程序(如计算机的关闭、火灾扑灭、疏散和警报程序等)。-(3)灾难应对计划。评估损失、警告职员、执行灾难恢复计划。-(4)恢复运行方法。恢复硬件、软件、网络程序并确保数据及时恢复运行。-(5)如何恢复运行。在灾难发生地或其他地点恢复运行的计划。这个计划应当包括构建新设备、获取新硬件和

39、软件、在实施前测试新系统。-(6)如何测试和维护数据。测试和维护的详细计划。-(7)附录：包括硬件、软件的详细目录、职员合同、保险政策、软件安全协议、网络和硬件供应商支持协议以及工作地点之外储存数据列表和如何获得它的指令。-(8)术语汇编。在计划中使用的技术性术语的定义。-需要注意的是，该计划一定要保存在与水火隔离的工作环境之外。一旦发生灾难，在必要保护下不会受到破坏。70执行评估和维护灾难恢复计划这个阶段的主要目的是确保灾难恢复计划按照设计执行，并保证计划被正确地维护。测试的范围包括硬件、系统软件、应用软件和远程通信网络。主要步骤如下：(1)研究灾难恢复计划测试目标和评估准则。特别是公

40、司需要确定通过测试灾难恢复计划想要达到的目的，及如何评价测试的成功和失败。(2)记录高水平测试灾难恢复计划。公司需要明确确认测试内容和测试方法。(3)准备详细测试工作计划。(4)执行测试。(5)评估测试。(6)准备测试报告。(7)维护计划。定期审查和修订计划。714,应用软件中的控制-应用控制是对应用系统的输入、处理和输出功能进行的控制。通过应用控制可以实现以下目标：只有完整、准确、合法的数据才能被录入或修改；处理操作完成正确的任务；处理结果是所期望的结果；数据被存储和维护。-这些控制可能包括：编辑测试、总数控制、调节与鉴定、错误报告、错误或例外数据。自动控制与手工过程应相配合使

41、用，以保证例外情况处理的正确性。72输入控制-输入控制过程必须保证每笔交易都准确、完整的被接收、处理和记录下来。并应保证只能输入合法和经过授权的信息，每笔交易只能处理一次。1.输入授权输入授权用户证实所有交易均经过管理人员的授权和认可。输入授权用于确保只有授权的数据才能输入计算机系统由应用软件处理。授权可以在数据输入系统的同时在线执行。也可以通过计算机自动生成一个项目清单，手工签字授权。在处理过程中确保授权数据不变的控制是很重要的。这可以通过内嵌于应用软件设计中的各种准确性和完整性检查来实现。73可以通过以下形式授权:批量单据上的签名提供了获得授权的证据。在线访问控制确保只

42、有授权用户才可以访问数据执行敏感功能。唯一的口令避免其他人通过所授予的权限访问数据。并且口令也有助于确认谁的操作导致了数据的变化。从而保证操作员为其操作负责。终端鉴证限制只有某些终端或某些人可用完成输入操作。74源文件-用于记录数据的表单。可能是一张纸、一个文档或终端显示的一个图像。一个设计良好的源文件可以满足多个目标。包括：提高数据记录的速度和准确性；控制工作流；有助于使用图像识别设备录入数据；提高使用图像识别技术设备读如数据的速度和准确性，并且便于按顺序到参考检查。理想情况下，源文件应该是打印格式，以保证一致、准确、清晰可读。所有的源文件都应经过合适控制。所有的源文件都

43、应顺序编号，以便于统计，保证所有文件都能输入系统。75批量控制与结算批量控制组为了生成控制总数需要输入交易。批量控制可以基于金额数量汇总、项目汇总、文档汇总或者杂凑汇总(hash totals)o 批量首页表单是一个控制数据。所有输入的表单都应清晰地标明应用名和交易代码。如果可能的话，所有表单都应事先按照交易识别代码及其他顺序项目编码并打印。这样可以保证所有相关数据都可登记到输入表单中，减少数据输入错误。批量结算可以通过手工或自动调整的方式实现。批量汇总必须有充分依次完成的步骤。提供充分到控制以确保，每一个交易事项都生成了一份输入文档资料、所有的文档都包含进了批处理中。所有的批

44、次都被提交处理，所有的批次都被计算机接受，执行了批量结算，并对结果进行了检查和对不一致的地方做了修改，对被系统拒绝项目都重新作了处理。76输入错误报告与处理-输入过程需要通过控制措施保证数据被正确的录入系统，能够识别和修改输入错误。在数据转换过程中需要修正数据转换错误。错误可能来源于重复的交易事项或不正确的数据输入。这种错误会极大的影响数据的完整性和准确性。-输入错误处理的方式可能有以下几种：-仅拒绝带错的交易；拒绝整个批次的交易；以挂起方式接受批处理任务；接受批处理任务，将错误的交易加以标记。77联机系统和数据库系统中的批量完整性-联机系统也需要对输入进行控制。可以将一天的业

45、务形成以上批处理任务，由指定的终端或人员输入数据。上级领导应检查在线批处理任务，并提交给系统处理。78处理控制 1.数据确认与编辑应采取一定措施保证输入的数据与数据源尽可能的保持一致.程序设定的输入格式确保数据以正确的方式存入正确的字段。如果输入过程允许主管越过数据确认和编辑过程，应该自动的将情况登记入日志。其他的管理人员应对此日志进行检查。数据确认用于鉴别数据错误、不完整或遗漏的数据、与相关项目不一致的数据。如果使用了智能终端的话,这些检查可以在前台进行。编辑控制是用于计算机程序中，在数据处理之前进行的预防性控制。如果缺乏编辑控制，就会对不正确的数据进行处理。79常见的确认

46、编辑包括:顺序检查控制数字按顺序排列，任何有重复号码或断号的业务都被拒绝，并生成异常（例外）报告。限制条件检查数据不能超过预先定义的数量范围。一旦超过这个范围，这个交易经应被拒绝，并作进一步的检查和证实。范围检查数据的取值不能超过一定的范围。例如产品类型代码的范围是从 100到250。任何超出该范围的代码都应被作为一个非法的产品类型加以拒绝。有效性检查有效性检查由程序自动根据预先定义的规则对数据的有效性进行检查。例如人员表的性别字段只有两个值“男”或女”。输入该字段的其他任何值都是非法的，不能被程序接受。80常见的确认与编辑控制合理性检查输入数据应与预先定义的合理范围进行匹配。对于超

47、出范围的记录，计算机程序应能够打印出一个警告提示。表查寻将输入数据与计算机系统所存有各种可能输入值的表进行比较。存在性检查数据被正确的输入，符合预先定义好地合法性规则。键比较由两个不同的人将数据使用键盘敲入计算机，比较两者的输入是否相同。检测数附加于数据的末尾，用于检查数据在输入、传送过程中是否发生错误的数。81常见的确认与编辑控制完整性检查通过一个存储非零或非空数据的字段，来确认数据的完整。重复检杳-检查新晶交易记录是否已经被输入。逻辑关系检查如果某个条件为真，其他的条件或数据输入关系才可能是真，这人输入才是合法。例如某个雇员的雇佣日期与生日只有相差16岁，该数据才可能是

48、合法的。82处理控制过程处理控制确保所积累数据的完整性和准确性。以下是一些常用的处理控制技耒：(1)手工重算-可以通过对交易进行抽样手工重算以确保计算机处理完成了预期的任务。(2)编辑检查(ecHting)(3)连续运行汇总(run-to-run totals)-连续运行汇总具有在应用处理各阶段检查数据值的能力。连续运行检查确保读入系统的数据能全部接受，并用于处理。(4)程序化的控制(programmed control)-可以使用软件检测和修改数据中的错误。83处理控制过程(5)计算数值的合理性检查(reasonablenessverification of calculated a

49、mount)应用程序能够检查被计算数据到合理性。任何发现不合理的交易都应拒绝处理，留待进一步检查。(6)计算数的限制检查(limit checks on calculated amount)通过使用预先定义的限制范围，确保数据未被错误输入。(7)文件总数调和(reconciliation of file totals)应定期进行文件总数调和。调和可以使用手工维护的帐册、文件控制记录或读的控制文件来完成。(8)例外报告(exception reports)程序将发现不正确的交易和数据生成例外报告。84数据文件控制-文件控制用于确保只有经授权的处理才可以存储数据。数据文件控制的类型一般包括：

50、-1.交易处理前后映象报告-文件中的计算机数据在交易处理前后可以加以记录和生成报告。通过对比处理前后的映象，可以跟踪交易对计算机记录的影响。2.错误报告与处理-应通过适当的控制过程，确保所有的错误报告都及时得到调整和改正。为了保证职责分离，错误修正的检查和授权应该由交易操作员之外的其他人负责。3.保存源文件源文件应保存足够长的时间，以确保可以重新检索、构建或检查数据。应该加强对源文件的保存。生成源文件的部门应保存该文件的副本,并且确保只有经过授权的人才可以调阅。到一定期限以后，源文件应在一个安全、控制的环境下销毁。85数据文件控制-4.内部和外部标签可移动存储设备的内部或外部标签用于确保

展开阅读全文