`
holdbelief
  • 浏览: 707763 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

[转贴] 数据安全的关键:责任分离

    博客分类:
  • Java
阅读更多

[转贴] 数据安全的关键:责任分离

责任分离是内部控制的一项关键机制。责任分离是通过在多个人之间分散任务及其与特定安全过程相关的特权来实现的。9 C3 n0 @, ^) _' D- K
  责任分离(SoD)原则广泛应用于金融会计系统中。各个规模大小的公司都明白角色分离的重要性,如接受分期偿还检查、审批销账、存入现金、核对银行对帐单、审批时间登记卡、保管支票等这些工作都需要由不同的人来担任。
  责任分离是人们在处理与钱相关的工作时通常采用的一种机制,这样,欺诈行为至少需要双方或多方相互勾结才有可能。这大大降低了欺诈一类的犯罪行为。信息也应该通过类似的方法来处理。因此,一个组织的这种责任分离的设计很重要,这样,就不会有任何人可以单独地泄露组织的安全控制。
  虽然SoD对于IT组织来说还属于一种全新的观点,但是在IT领域,SoD受到了越来越多的关注,萨班斯-奥克斯利法案(Sarbanes- Oxley Act)的内部控制问题有很大一部分都来自或依赖IT。责任分离是很多日常管制授权的基本原则,如萨班斯-奥克斯利法案和格雷姆-里奇-比利雷法法案 (Gramm-Leach-Bliley Act)都是依据这种原则的。因此,现在的IT组织必须在所有功能领域中更加重视责任分离机制,特别是在安全领域。9 n; [+ M2 o+ B- M2 n/ Y
  责任分离与安全相关,主要体现在两个方面。第一,它能防止利益冲突、侵权行为、欺诈、滥用私权及错误行为。第二,它能检测到控制故障,包括安全侵犯、信息窃取、安全控制欺诈等。(安全控制措施用来保护信息系统免于外界攻击,从而保护其上的计算机系统、网络及其数据的机密性、完整性和可用性。)
  责任分离严格限制了每个单独个体的权力和影响力的大小。它还要确保每个个体之间不存在责任冲突,不负责对其自身或上级汇报。
  这里简单地对责任分离作了一项测试。首先,看看在没有任何检测的情况下,是否有人可以改变或毁坏你的财务数据?然后,看看是否有人可以窃取或透露敏感信息。最后,看看是否有人可以对控制设计和执行产生影响,以及是否会对这种控制的有效性的汇报产生影响。如果以上3个问题的答案都是“是”,那么你需要重点考虑一下责任分离。& K6 m! l: F- @9 v  t
  负责设计和执行信息安全性的人和负责安全性测试、安全性审查或是监视和汇报安全性问题的人不应该是同一个人。因此,每个负责信息安全的人不应该向首席信息官(CIO)汇报。  i8 H% {; ?( O. V$ H1 g
  以下是在信息安全领域实现责任分离5大关键选项,是基于我的经验按照可接受性程度进行划分的。+ b1 t) c/ n# Q) P
  ● 选项1:让每一个负责信息安全的人都向首席安全官(也即CSO,负责处理信息和物理安全的人)汇报,然后让CSO向CIO直接汇报。
  ● 选项2:让每一个负责信息安全的人向审查委员会主  席汇报。
  ● 选项3:使用第三方来监视安全性,对安全检查执行突然袭击,并且做安全测试,然后,让第三方向董事会或者是审查委员会主   席做汇报。
  ● 选项4:让每一个负责信息安全的人都向董事会做汇报。
  ● 选项5:让每一个负责信息安全的人向内审人员汇报,只要内审人员不向负责财务的执行者汇报。7 T: |3 ~: f& R. w) n; o
  责任分离显得越来越重要。由于CSO和首席信息安全官之间的责任不清晰不明确,导致责任的混乱。安全性和所有安全控制的开发、操作和测试的分离很重要。责任必须要按照这种方式分配给每个不同的个体,从而在系统内部建立检查和平衡机制,使非法的访问和欺诈机率降到最低。
  记住,与责任分离相关的控制技术需要接受外部审查人员的检查。过去,当外审人员在判断风险高达一定程度时,其会在审查报告中列出SoD故障作为一种重要缺陷。IT安全领域执行这项责任分离技术是迟早的事,既然这样,为什么不现在就开始与外审人员一起讨论责任分离问题呢?尽早地从他们那获得对责任分离的看法和建议,可以节省你很多成本,并且降低政治冲突。
分享到:
评论

相关推荐

    转贴 PXE指南 作者:Climbing (xclimbing@msn.com)

    启动PE环境通常用于系统安装前的环境准备,便于执行系统维护、数据备份等工作。基于PXE启动PE需准备特定文件,具体如下: 1. **startrom.n12**:源自Windows Server 2003 SP1/SP2光盘,符合PXE启动规范,可用作直接...

    易语言源码动网转贴.rar

    易语言是一种基于中文编程的计算机...总的来说,易语言源码动网转贴不仅涵盖了网络编程、数据处理、用户交互等基础知识,还涉及到安全、性能优化等多个领域,对于学习和理解易语言及网络应用开发有着重要的实践价值。

    易语言动网转贴.rar

    2. **数据解析与处理**:帖子数据可能以XML或JSON格式存在,需要解析后提取关键信息,如帖子ID、作者、内容、时间等。 3. **数据库操作**:将抓取的数据存入目标论坛的数据库,可能涉及到SQL语句的编写,以及数据库...

    电子政务-导电泡棉转贴装置.zip

    综上所述,"导电泡棉转贴装置"在电子政务中的应用涉及到硬件设计、设备维护、电磁兼容性和法规遵从等多个方面,是保障电子政务系统稳定运行的关键技术之一。通过阅读"行业分类-电子政务-导电泡棉转贴装置.pdf"这份...

    ZZ: 时间管理方法(转贴)

    标题中的“ZZ: 时间管理方法(转贴)”表明这是一篇关于时间管理的文章,可能是从其他地方转载而来。从描述中的“博文链接:https://lkfnn.iteye.com/blog/33600”我们可以推测,这是一篇在ITeye技术社区发表的博客...

    [转贴]计算几何(附:计算几何函数库)

    6. 最近点对和最近点查询:寻找几何对象间的最小距离,这在路径规划、数据结构设计等方面有重要应用。 7. 面积、体积计算:理解如何计算平面图形和立体的面积和体积。 8. 几何算法:学习如Dijkstra算法、Floyd算法...

    动易系统的论坛转贴工具 -ASP源码.zip

    2. ASP内置对象:如Request、Response、Session、Application等,它们在处理用户请求、响应数据、管理会话和全局变量等方面起着关键作用。 3. 数据库交互:可能使用ADO(ActiveX Data Objects)来连接和查询数据库,...

    转贴:利用钩子技术控制进程创建.txt

    - **内存断点**:在API函数的关键位置设置断点,当执行到这些位置时转入Hook函数。 - **内核模式Hook**:利用驱动程序在内核级别Hook API调用。 #### 2. 内核级Hooking 对于某些需要更深层次控制的情况,如控制...

    动网转贴.e.rar

    【标题】"动网转贴.e.rar"是一个压缩文件,很可能包含了有关动网论坛或社区的相关资源、数据或用户帖子的备份。动网是中国早期知名的网络论坛软件之一,提供了丰富的社区功能,允许用户发帖、回帖、互动等。这个...

    动网转贴.zip易语言项目例子源码下载

    总的来说,“动网转贴”项目实例是一个全面展示易语言应用的范例,涵盖了网络通信、数据处理和界面设计等多个关键领域,对于所有想要提升易语言编程技能的人来说,都是不容错过的宝贵资源。通过深入研究和实践,你将...

    转贴:随心所欲的Web页面打印技术

    然而,需要注意的是,使用ActiveX控件可能受到浏览器安全设置的影响,特别是现代浏览器对ActiveX的支持越来越少,因此在开发时需要考虑到兼容性和安全性的问题。 总之,随心所欲的Web页面打印技术通过自定义打印...

    易语言动网转贴

    5. **打开指定文件**和**关闭指定文件**:这是文件处理的一部分,易语言提供了相应的命令来执行这些操作,比如`打开文件`和`关闭文件`,确保数据能正确读取和安全关闭。 6. **取出文件时间**:在编程中,我们可以...

    discuz X2转帖工具、采集工具

    1. 内容抓取:工具具备采集功能,可以从其他网站或者论坛抓取感兴趣的内容,快速转贴到自己的Discuz! X2论坛上,增加论坛的信息来源和内容丰富度。 2. 自动格式转换:采集到的内容会自动适应Discuz! X2的格式,确保...

Global site tag (gtag.js) - Google Analytics