第十三章 计算机网络信息系统的控制与审计.doc

第十三章 计算机网络信息系统的控制与审计 随着计算机网络信息系统的逐渐普及，对计算机网络信息系统的控制与审计显得越来越迫切。目前我国对计算机网络信息系统的控制与审计还处于探索阶段。由于计算机网络信息系统的复杂性，使得对计算机网络信息系统的控制与审计更加困难。 本章主要阐述计算机网络信息系统的风险、控制与审计方法。第一节 计算机网络信息系统的风险计算机网络的发展使得计算机在数据处理中的应用日益广泛与深入，同时也使计算机网络信息系统的风险问题日益突出。一方面，计算机网络提供了信息的共享性，通过分散工作负荷，提高了数据处理工作的效率；另一方面，也增加了计算机网络信息系统的风险。信息的共享和分布增加了计算机网络信息系统受攻击的可能性。对单机环境下计算机信息系统风险的防范措施已不足以保证计算机网络信息系统的安全性。目前对单机环境下的计算机信息系统风险防范措施的研究、开发与评价要达到严密的程度尚且困难，更不用说计算机网络信息系统了。而且通过网桥和网关进行的网络扩充与互连，大大增加了网络覆盖的范围和密度，使得难以分清网络的界限，难以预料信息传递的路径，更增加了计算机网络信息系统风险的防范难度。计算机网络信息系统的风险主要有：一、 物理风险物理风险主要包括：、 计算机网络信息系统硬件选配不合适。其一是对文件服务器没有从网络应用的需求出发而给予足够的重视，其设计和选型考虑不周，致使网络功能发挥受阻，影响网络的可靠性和扩充性；其二是网卡及工作站的选配、购置为质量低下的产品，导致网络不稳定及失败。、 网络工作环境、电源、地线等不合要求，直接影响了网络的可靠性，甚至损坏网络设备。、 网络设备安装不规范，走线不合理，缺乏紧固措施，网络插头不佳导致总线过长或移动、碰撞，使网络运行不稳定。、 网络系统设计不规范、不合理，缺少风险防范措施。、 网络操作系统及应用软件的安装、生成、维护不善。、 网络的管理制度不健全。如缺少日常维护、数据备份管理、用户权限管理、应用软件的维护等措施都会对计算机网络信息系统构成严重的威胁。、 对计算机病毒的侵蚀不重视，没有必要的防范措施，一旦病毒蔓延将对网络造成极大的损失。、 防火、防水、防震措施不落实。上述这些风险，轻者使计算机网络信息系统工作不稳定，经常出现工作站“死机”、“脱网”，重者可以造成计算机网络信息系统的瘫痪，对系统和信息造成不可挽回的损失。二、 对信息保密性的破坏从技术上说，任何传输线路，包括电缆（双绞或同轴）、光缆、微波和卫星，都是可能被窃听的。对于电缆的窃听，可以是接触式的，也可以是非接触式的。通过电磁感应或利用电磁辐射来窃听，现在已有灵敏度很高的设备。无线电传输可以用天线接收。即使象微波那样的视距传播，由于波束有一定的宽度，天线也可以放在射线中央以外地区接收。光缆没有电磁发射，连通前都经过仔细调节，一旦搭接就会影响光缆传输的性能，窃听即使可能也要被发现。但是光缆传输前总要有转接器、分路器及其他接口，这些仍然可能成为薄弱环节。由于同轴电缆、微波、卫星通讯中同时传输着大量的信息，要窃听其中指定一路的信息是很困难的。但是从安全的角度来说，总是假定没有绝对安全的通讯线路。利用公共交换网的广域网当然保密性受到影响。即使对于局域网来说，无论在结构上是总线型还是环型，也不管媒体存取控制采用竞争方式还是令牌方式，都运用了广播传输的方法。因此，也具有潜在的不安全性。 对信息的窃听不但是窃听信息的内容，还可以在不了解通信内容的情况下窃听信息的流量和流向、通信的频度和长度，由此推出有用的信息，这叫通信流分析。对信息的截取也不一定是非法分子，也包括某些合法用户采用不正当手段读取本人权限以外的信息。 对信息保密性的破坏是被动型的破坏，它并不改变信息的内容、形式与流向。三、 对信息完整性的破坏破坏信息完整性的原因有人为和非人为的因素。后者如通讯传输中的干扰与噪声、系统硬件或软件的差错等。这里主要讨论人为的因素。人为因素又包括有意和无意两种。前者如非法分子对计算机网络信息系统的侵入、合法用户越权对网络内数据的处理以及隐藏程序对数据的破坏等，计算机病毒、逻辑炸弹等都属于隐藏程序。无意危害如操作失误和使用不当。对信息的破坏是主动型的破坏。它可以篡改信息的内容、形式或流向，插入伪造的数据，删除有用的数据，颠倒数据传输的次序，别有企图地将数据录制下来以后重放这些数据等等。破坏信息的方式是多种多样的。计算机网络信息系统中还有一个特殊的安全问题：网络中主体的验证。由于网络中用户和终端分布在各处，给识别和验证造成困难。非法分子会冒充合法用户避开端口保护或访问控制进入网络。非法分子也可能冒充主机，用伪造的访问控制程序欺骗合法用户，套取口令的密钥。对于计算机网络信息系统来说，对信息完整性的破坏是系统的主要风险。而信息的完整性是一个很广泛的问题。例如，分布式数据库中关于并发性操作或者对多个数据副本的更新所引起的数据一致性问题。又如，由于系统的设计不完善造成使用不当或操作失误所引起的数据完整性问题等等，已经涉及数据库安全、分布处理、软件可靠性、人机工学等领域了。四、 对系统运行的干扰对计算机网络信息系统运行的干扰包括合法的用户不能正常访问网络的资源和有严格时间要求的服务不能得到及时的响应。影响计算机网络信息系统正常运行的因素包括人为与非人为的两种。前者如非法占用网络资源、切断或阻塞网络通讯、通过计算机病毒或蠕虫降低网络性能、甚至使网络瘫痪等等。后者如灾害事故（火、水、雷电等）和系统死锁、系统故障等。第二节 计算机网络信息系统的内部控制一、 系统设计控制（一） 合理选择网络结构建立可靠的计算机网络信息系统必须对网络的品质有一个初步的了解，进而考虑什么样的网络结构才能保证系统的安全性与可靠性。在总体设计时，必须从下列几个方面考虑网络的品质要求：、 网络的覆盖范围要求；、 网络的标准化、兼容性、连接性；、 处理能力，包括网内最大工作站数、信道容量、传递速率、信道利用率、响应时间等；、 数据库的功能，包括共享性与共享面；、 可靠性、安全性、可维护性及可扩展性；、 建网安装、使用的方便性，对环境的适应性；、 性能价格比合理，网络维护费用适中等。根据上述要求选择合适的网络及其操作系统，是建立计算机网络信息系统的内部控制的一个重要措施。目前，流行的十多种网络及操作系统，网及其是其中的佼佼者。它提供了一些列数据保护措施及防止文件服务器数据非法访问的四级保密手段，可供我们设计时考虑。、 的数据保护措施双重目录和文件分配表（）使其在磁盘不同区域进行双重备份，避免数据丢失；采用热定位功能和写后读验证技术，以保证存入磁盘的信息的正确性；随时的“磁盘镜像”技术，防止磁盘失效而丢失数据。、 的安全保密措施为防止数据越权访问，它对文件共享提供了“用户名口令”、“信任用户权限”、“目录最大权限”和“文件属性”等四级完善的保密措施，这些都是设计计算机网络信息系统时要考虑的。一个网络及其操作系统的安全保护和保密功能是选择网络时首先要考虑的重要问题，它直接影响到今后网络的功能和安全。（二） 优选网络硬件、 通信线路的选择计算机通过线路进行通信有几种方法可供选择。选择的依据主要从信息传输量、每天通信线路占用时间、线路租用费用、通信设备购置费用、已有设备的接口情况、公用通信网线路保密情况等方面进行考虑。（1） 无线通信有线通信 有线通信是使用较为普遍的通信方式，通信线路中传输的信号可以是模拟信号，也可以是数字信号。模拟线路的租用费用一般比较便宜，使用电话线和机就可以进行远程联机、收发电子邮件等。这种线路在不采取保密措施的情况下具有相对较低的安全性，因为有很多人具备这种通信条件，其中会有心怀恶意的人在伺机突破系统。数字线路一般适用于较高速率的信号传输，其速率可在或更高。这种快速的数字信号传输可应用在远程多媒体计算机信息传递、计算机局域网与广域网之间的联接。数字线路较模拟线路的租用费用高，终端设备的费用价格一般也较高。但利用具有较低干扰噪声的高质量线路，能够快速而可靠地传递大量数据，在网络存取频繁的场合，数据线路是适宜的选择。无线通信可以使移动的计算机连网工作，或使不便辅设缆线的若干计算机网实现互连。利用频谱扩展技术和高速通信技术，无线计算机网络不仅具有高速的特性，而且安全、保密和可靠。（） 拨号线与专线在辅设电话线路时，可以申请拨号线路，也可以申请专线。拨号线路被用于计算机通信时，处于频繁地建立和拆除连接的状态中。为了安全起见，每建立一次会话都需要进行各种身份鉴别。在使用异步拨号线路时，若不采取专门的措施，就不能得到较好的安全保障，因为无法预知谁在线路的另一端。 专线线路主要用于计算机网络之间的连接。由于不需要经常变换连接对象，外部人员不易获得进入计算机网络的途径，因而具有较好的安全性。在计算机网络信息系统设计的时候，应该把安全存取信息的设计一起加以考虑，而不要等出现了问题，造成了损失才想起应该采取的措施。、 远程控制和远程结点的选择远程用户通过线路访问局域网时，可以采用两种方式：远程控制和远程结点。如同局域网的本地站点，用户在远地结点工作时，从文件服务器中调用的任何程序和数据都径由通信线路传送到远地结点机的进行处理。在这种远程结点方式下，远程结点就是实际网络的一个距离延长了的结点。远程上网的另一种方式是远程控制方式。与远程结点相反，从文件服务器中调用的程序和数据不是通过通信线路传送到远端工作站上，而是在本地网的一台称做异步通信服务器的机器上进行处理。异步通信服务器将程序运行结果的屏幕显示通过线路送往远端，并接收远端工作站发出的键盘输入数据。远程控制的方式在远程数据查询、分布式数据处理等场合是十分合适的。与本地结点一样，远端用户无论用何种方式登录入网都必须提供帐号和口令。利用远程控制方式时，系统管理员可以通过设置存取控制口令，只允许被授权的用户访问网络。由于远程控制的方式是在线路上传递键盘信息和屏幕信息，且这些信息是以明文方式传送，安全级别是不高的。而在远程结点方式下，线路上传递的是协议包，可以达到相对较高的安全级别。对于这两种远程访问方式，只有在增加额外的保安措施后才能达到更高的安全级别。、 选择高速调制解调器高速调制解调器在通信线路质量不断得到改善的同时会得到越来越普遍的应用。在线路条件许可的情况下，应尽可能采用高速率的调制解调器，这至少可以带来三个方面的好处。首先，增加了整个计算机网络信息系统的安全性，速率较高的调制解调器一般价格相对较高，适用于需要频繁传输数据的场所。大量的捣乱者网络“黑客”一般只具有廉价的调制解调器，他们根本无法搭接高速网络端口，从而屏蔽掉一大批麻烦。其次，使用高速的调制解调器可以快速地传送大量的数据而只占用较少的线路时间，在使用拨号线路的情况下，能降低通信费用。第三，可以改进整体性能，提高工作效率。、 网络互连设备的选择网络互连设备主要包括中继器、网桥、路由器。中继器工作在七层协议最低层，通常用于增强电信号的强度，连接局域网的网段，使局域网的电缆布线可以伸展到更长的距离。中继器是个插上电源就可以工作的设备，不需要任何调整。网桥工作在数据链路层，可以延长网络的跨越距离，将多个子网连接成一个逻辑大网。路由器工作在网络层，可以将两个以上的具有相同或不同拓朴结构和协议类型的网络连接起来，实现互连的网络在物理上和逻辑上各自仍是独立的。路由器是个智能设备，需要进行配置，价格相对较高。、 选择优质的网络服务器 网络服务器要能安装运行多用户网络操作系统以管理共享资源；速度要满足要求（由适配器、内存、及总线决定）；在资源共享中，能同时迅速响应多个用户的请求（由网络接口子系统及硬盘决定）；要能与不同厂家产品兼容，有较强的扩充能力和高性能的网络接口。、 选择合理的工作站从用户的特点出发，配备有盘或无盘工作站。检查其硬件及内存的要求（根据要装入的系统及要运行的应用软件确定），选用稳定性较好的，内存在以上就可以作为工作站使用。二、 网络信息存取控制技术（一） 回呼技术回呼是许多通过电话网进行信息远程通信采用的一种技术。回呼技术的基本思想是先将远程用户或系统的电话号码登记在本地网络或主机内，本地系统管理员定义一个通信端口专门与该端用户相连。由于电话号码是跟该用户相关的，因此当本地的这个通信端口接收到联网请求时，并不象未采用ial-Back措施的系统一样，马上与远程用户连通，而是先挂断线路，再由本地系统向已登记的用户反向发起呼叫，回叫该远程用户，将其连入本地系统。（二） 鉴证技术鉴证技术是广泛使用的多种个人身份鉴别方法的统称。常见的口令保护以及个人身份标识器都可以实现不同安全程度的个人身份鉴证。或计算机网络等多用户系统都提供用户口令识别，且口令都是加密存放在系统内的。对网来讲，用户的口令通过线路传递时都按加密形式进行的。运行存储在系统中的应用软件，按需要可以配以口令，以拒绝非授权运行。由用户自己开发的应用软件可以在软件内部实现口令管理，对购买的商品化应用软件则可以在其外部包上一层提供口令防护的外壳实现安全管理。（三） 口令选取技术用户对口令的选取应特别加以注意，因为口令选取不当会引起信息的泄露。选取的口令越没有规律，口令被猜中的可能性就越小，系统的安全性就越高。某些系统还能对用户输入的新口令进行检查，对不符合实际要求的口令给出警告并拒绝接收。（四） 标识设备技术标识设备是另一种数据安全保安设备。标识的设备分成两部分，其中访问控制设备安装在主机或网络的一侧，用户则使用另一部分，即个人密码发生器。该密码发生器在发放给用户之前，要先与访问控制进行同步，然后才可以使用。用户在注册入网或使用某种系统资源时，除了要提供口令外，还要向系统提供密码发生器产生的密码。这种密码与常规的口令不一样，它是随机变化的，每次使用时所产生的密码均不相同。因此，万一某次密码被外人得到，也不能被用以进入系统。（五） 防火墙技术防火墙通常采用路由器作为通信保安设备。在这个设计中，受保护的是与路由器连接的本地网，所有的通信只允许从本地网流向远程用户或远程网，路由器设置成只许信息单向流动的“二级管”，不允许外地用户注册到本地网。这样，即使某个“黑客”能突破防护进入到文件服务器，由于单向配置的路由器阻挡，他也无法进入到受保护的本地网中，起到了很好的安全作用。（六） 保密传真技术保密传真是保证传真数据安全可靠的系统，加密技术在保密传真系统中占有重要的地位。保密传真机只与保密传真机通信，线路上传送信息也还会被其它传真机截取。美国 公司不仅提供传真机的端加密模块，还提供基于局域网的 卡。加密传真机除了传输加密外，开机取阅传真件时还要求提供口令，实现了输出端的信息安全。传真加密和加密调制解调器在使用时一般要得到各国各地法律部门和有关机构的批准和认可。加密调制解调器适用于专线或拨号线环境下的数据通信。除了具体可达的高速调制解调器的各种功能外，还提供基于硬件的加密方法。加密密钥在每次通信过程中都是不同的，保证了高度的保密性。三、 网络数据加密数据加密是计算机网络信息系统中防止信息失真的最基本的控制技术。网络中的数据加密除了选择加密算法和密钥以外，两个主要问题是实现加密的网络协议层以及密钥的管理分配。数据加密可以在协议参考模型的多个层次上实现。通常把网络层以下（、层）的加密叫做链路加密，网络层以上加密叫做端间加密。链路加密是面向节点的，对于网络的高层主体是透明的，它对高层的协议信息（地址、检错、甚至帧头、帧尾）都加密，因此数据在传输中是密文的。但是在中间节点必须解密得到路由信息。端间加密则是面向网络高层主体的，它不对下层协议信息加密。协议信息以明文形式传输，用户数据在中间节点不需要解密。两种加密方法对路经信息与用户信息的保密，各有其特点。链路加密是目前最常用的加密方法。通常用硬件在物理层实现。用户没有选择的余地，也不需要了解加密技术的细节。一旦在一条线路上采用链路加密，往往需要在全网内部都采用链路加密。端间加密则可以由用户选择，选择加密与否，选择对哪些数据加密甚至用什么加密算法。端间加密一般用软件完成。在网络高层进行加密，不需要考虑网络低层的线路、调制解调器、接口与传输码。但是用户的联机自动加密软件必须与网络通信协议软件完全结合，而各厂家的通信协议软件往往又各不相同。因此，目前的端间加密往往是采用脱机调用方式。端间加密也可以用硬件来实现，不过该加密设备要么能识别特殊的命令字，要么能识别低层协议而仅对用户数据加密，硬件实现有很大的难度。在计算机网络信息系统中，可以同时采用链路与端间加密两种方法。四、 网络的端口保护网络中对端口的保护控制属于系统访问控制的一种。由于远程终端和通信线路是安全的薄弱环节，尤其是利用公共电话交换网的计算机网络信息系统更是如此。所以，端口保护成为防止信息失真的一个重要措施。端口保护的基本要求是：（）用户的标识与验证；（）有关安全事件的记录与报告；（）限制对网络的攻击；（）保护传输的信息。端口保护可分类如下： 主机端保护（各种设备） 单端保护 用户端保护（安全）端口保护 用户验证 双端保护 终端验证在端口保护技术中，主机端保护是用得最多的，包括各种（端口保护设备）。主要针对终端的拨号访问，是与主机独立的安全设备。有的装在调制解调器的数字侧（调制解调器与主机之间），也有的装在调制解调器的模拟侧（调制解调器与电话机之间）。各种具有以下的部分或全部特点：、 口令字表。用户只有输入正确的口令才能访问主机。这是所有的提供的基本保护措施。还限制每次拨号的登录次数。、 主机伪装。目的在于防止网络的侵入者发现这是一个主机或这是什么主机。有的装在模拟侧的可以模拟人声。而有的静默调制解调器，可以接通后不立即发出调制声，防止对方发觉这是一个计算机。还有的可以发出自己的显示屏以隐蔽主机的型号。、 在受到非法授权的访问时，能通过面板显示或通过内存、磁盘记录。、 自动回叫。在用户拨通主机线路并发出个人标识或口令以后，挂断线路，查出该用户的电话号码后再反挂出去，以防止假冒合法的非法用户。用户端保护设备主要是安全调制解调器。用户只有输入正确的口令以及经授权的电话号码才能接通调制解调器访问主机。装在用户端的保护设备很容易被绕过而不起作用。双端保护是在主机端与用户端均采取控制措施，是用户端保护设备与主机访问控制软件之间配合验证的过程。对用户的验证由用户介入，通常采用携带式的验证设备，如验证器、访问卡、磁卡、安全码发生器等等。这些验证器功能各异。对终端的验证不需要用户介入，包括外加式和内装式两种设备。外加式设备装在通信线路中，往往是一对。一个装在终端与调制解调器之间，另一个装在主机的端口。其验证方式也是采用类似对用户验证的询问应答方式。典型的外加式终端验证设备可以包含有多个端口，连接多个终端。内装式终端验证作为插件或电路直接安装在终端或工作站里。它们具有唯一的终端标识码及应答存储器。对于主机的标准询问，内装式终端验证设备可以作出正确的应答。对端口保护设备的选用要注意以下几点：、 是否选用端口保护设备。根据对数据的保密性、完整性要求，对系统的及时服务要求以及目前系统本身的保护能力，决定是否必须采用端口保护设备。因为采用端口保护设备是有代价的。这些代价包括：（） 增加用户的不便。要求用户记住口令。用户验证设备要求用户保管好访问卡。端口保护设备由于有验证的过程，还会增加线路接通的延迟时间。（） 增加了管理工作。在风险分析中，管理往往是安全的薄弱环节。使用端口保护设备以后，需要增加对口令的管理，包括口令的产生、分配、更换、取消等等。忽略了管理，反而会造成更多的风险。管理责任的增加也意味着人手的增加。（） 费用。除了端口保护设备的费用以外，还需要考虑维护费用。在自动回叫时，还要增加电话费用。有些端口保护设备可能比终端本身还要贵。、 采用单端保护还是双端保护。对数据保密性、完整性与访问控制要求较高的场合往往采用双端保护。单端保护主要提供访问控制。有些双端保护不要求用户记住口令（如终端验证）。一般双端保护也不采用自动回叫技术，延迟时间较短。、 单端保护设备的选用。需要注意口令输入方式、口令修改方式以及自动回叫技术的采用。（） 口令的输入。主要有两种方式，一种用电话小键盘输入，另一种用终端键盘输入。模拟端口保护设备采用音频信号组合，其口令的范围有限。数字端口保护设备则有较大的口令选择范围。（） 口令字的修改。都应该允许修改口令表。简单的用手工方式或使用相连的终端，没有特别的保护措施。更安全的方法是采用专门的口令加上钥匙才能进入修改状态。（） 自动回叫。如果端口保护本身的口令系统比较可靠，自动回叫显然有些多余。自动回叫的目的是限制用户可以联机的地点，但是也带来许多不便，如增加了联机的延迟、增加了电话费用，而且实践表明并不能完全杜绝入侵者的侵入。因此，较新的一般已不采用自动回叫，或仅作为一种选项。（） 双端保护设备的选用。当单端保护不足以满足系统安全要求时，可选用双端保护。例如，对信息保密性有要求，可用链路加密；对信息完整性有要求，可用信息验证码（）；对用户需要特殊的标识与验证，可用用户验证设备；需要掌握特定的终端或特定的联机地点，则可用终端验证设备，不过自动回叫也有类似的功能，而且代价更低。五、 网络中的主体验证端口保护实质上就是对终端或用户的验证。验证一个主体涉及两个因素。一个是该主体独自具有、难以伪造的信息，另一个是可靠地交换信息的方式。用于验证主体的信息，可以是只有该主体了解的秘密，如口令、密钥；也可以是只有该主体携有的物品，如磁卡、智能卡；还可以是只有该主体具有的特征或能力，如指纹、签字等等。最常用的自然是口令了。但是不适当地使用口令却并不能增强系统的安全性。安全的口令系统应具有以下一些特点：（）选用字符集的范围要大；（）口令有足够的长度；（）口令内容的选择与使用者无关，最好是无意义的字符；（）口令要经常更换，只使用一次的口令又叫做动态口令。以上特点对于人来说是难于掌握的。目前安全的口令系统多使用动态口令，并借助于验证器来完成验证。在网络中还有双向验证的问题，即用户如何相信面对的主机是可靠的呢？非法用户有可能用假冒的访问控制程序来套取合法用户的口令字。在主机与用户共有一个密钥时，可以采用下面的验证协议（：主机，：用户）：k（）；主机要求用户出示口令时，附带时间标志。用户用与验证主机。：k（，）；主机用密钥与口令验证用户。在计算机网络中两台主机之间采用上述验证方法需要大量密钥。主机之间的双向验证可以通过第三者（如）进行：ka（，）；为当前时间。：ka（，kb（，）；用，验证。：kb（，）；用，验证。：kc（，）；用，验证。：kc（，）；用，验证。用于，的会唔钥。六、 网络中数据的完整性保护网络中传输的数据的完整性保护措施包括：（）数据来自正确的发送方，而非假冒；（）数据送到了正确的接收方，而无丢失或误送；（）数据的内容与发送时一致；（）数据接收的次序与发送时一致；（）数据没有重复接收。保护数据内容是否完整的方法有两种：（）数据加密。共享密钥的双方就能验证数据内容是否被改变。当然在数据内容本身无法辩别时还要附加一些信息，如约定的格式、双方的标识、日期等等。（）报文验证码（），对数据本身不加密，只是对数据按其一定的验证函数进行处理，将处理结果截取一定的长度作为。验证函数可以用加密算法，也可以用其它运算。但是验证的保密性应取决于密钥而不能依赖验证函数本身。实际的长度从位到位。对数据发送方或接收方的验证，一方面可以确认数据的来源或去向，另一方面在某些应用中也可以防止通讯双方事后否认曾经发出或曾经接收过信息。这一般用“数字签名”的方法。数字签名运用非对称加密体制（公钥体制、双钥体制）。密钥由本人掌握，公钥对其签名验证pk(）。由于只有发送方掌握，因此能够用恢复的文件必定来自原发送方。七、 并发控制在计算机网络信息系统中，由于各个工作站都可以随时访问存储在服务器上的共享数据，这样就不可避免地会发生两个或两个以上的用户同时对同一数据进行操作，而这种两个或两个以上的用户同时对同一数据进行操作会带来在单机环境中不会出现的冲突问题。因而在计算机网络信息系统中需要采用控制措施对数据加以保护。常用的保护方法有文件打开特性和数据的封锁两种，文件打开特性是对数据文件规定可以用两种不同的方式打开，一种是用“排它”方式打开，另一种是用“共享”方式打开。采用前者方式时，谁先打开则为其独用，后者必须等前者处理完毕才能继续进行处理。采用后者方式时，任何用户均可打开，在这种情况下，为了防止出现差错，可对数据文件采取特殊的封锁方法来进行局部的或全部的封锁。这种加锁功能实际上是当用户需要对数据进行修改时，系统根据时间优先的原则对先期打开数据文件的用户加上相应的操作码，当修改结束存入数据库时对这种操作码进行核对，核对相符即认为修改有效。由于后者对数据库进行修改存盘时，会产生由于操作码与数据库中原操作码不一致，因此出现不允许进行存入的情况，使得后者的修改无效，借以保证不出现差错。八、 文档控制计算机网络信息系统设计内容都应形成文档，包括全部线路的端点、线路的传输速度、连接每一线路的设备和用于每一线路的规约。文档应随着网络的变化而修改。当出现问题时文档应提供有价值的工具来评估问题可能造成的影响。网络控制组应保持硬件、通信线路和所有其它系统设备的可靠性记录。这种信息可用于预测和纠正问题，表明修复任何故障部件的平均时间。打算对计算机网络信息系统进行改动时，也需要有足够的文档。如果文档不是进行全部更新，就可能依据不完全的信息来作出决策。另外一种类型的文档是用来表示有关正在运行的计算机网络信息系统的运转情况。这种类型的文档被称为审计线索。审计线索为再现系统出现的事项提供了充分的信息。这种线索可用来研究异常情况或作为一种审计核实的工具。数据处理的电算化将审计线索的形式由书面形式转为电子形式，由于电算化系统所提供的直接存取和修改数据的便利条件，充分的审计线索显得更为重要。在计算机网络信息系统中，必须详细统计有关硬件、软件以及数据通信设备的容量和异常情况，应保持所有系统的详细事务记录。第三节 计算机网络信息系统的审计一、 审查计算机网络信息系统的硬件计算机网络信息系统硬件的主要控制问题是硬件的责任性（）与相容性（）。所谓硬件的责任性，是指硬件应具有明确的控制特性，能提供经授权的使用单位或人员在其授权范围内有效使用硬件，并能预防、制止及记录非法的接触和破坏，使硬件的管理与使用的责任能明确划分。所谓硬件的相容性，是指系统内所有节点的计算机及其外围设备，均可不经转换，即可接受或处理另一节点计算机所产生数据的能力。由于硬件具有此种相容性，因此可按使用单位需要的缓急及处理数据数量的多少，随时调拨分配或指定供使用的硬件。在计算机网络信息系统内，各节点处的硬件均为系统资源的一部分，这些资源必须能随时被指定供该系统内任何使用单位运用。硬件的可指定性，意味着硬件可移送其他节点使用，或虽不实际移送到其他节点，但经由适当地分配通信线路，可将硬件的使用权交予其它单位，而不必去管硬件与使用单位间实际距离有多远（可能相隔数百公里或数千公里以上）。计算机网络信息系统的硬件是否具有合理的责任区分能力，是确定系统可靠性与完整性的主要依据。因此，审计时应对硬件的责任性与相容性进行测试。测试时，应选择适当的测试方式，并选择该测试方式适用的审计工具与技术，以确定其是否遵循下列控制原则：、 应制定适当的硬件责任性与相容性功能的验收标准，使计算机网络信息系统的控制在一定的水准以上。、 各节点的使用单位，应保存完整的硬件使用记录，以便事后检查以及明确责任。、 在计算机网络信息系统中，其硬件所具有的各种控制特性，应充分加以利用，以防止非法的破坏。、 使用或改变系统内所存储的数据时，应事先经过允许，并将使用或变更情况予以记录。、 为避免硬件故障，导致部分工作站的处理中断，应规定设置若干备用硬件，以供紧急使用。二、 审查计算机网络信息系统的处理事项计算机网络信息系统的处理事项，包括该系统使用的应用程序、操作系统以及操作人员操作设备三部分。由于这三部分的结合运用，使计算机网络信息系统的硬件能有效运转，产生处理结果。因此，审查计算机网络信息系统的处理事项，应就系统处理能力的完备性与可指定性、操作人员训练的适当性等进行测试。测试时，应选择适当的测试方式，并选择该测试方式适用的审核工具与技术进行审查，以确定其是否遵循下列控制原则： 、各工作站处理单位间通信的接收与传输方法、系统停顿后重新开始与恢复的步骤等，均应编成作业手册分送各处理单位。 、基于审核与备用的目的，从其它工作站所收到的信息，均应载入日志中，以供查考。、 对于计算机网络信息系统的各种处理要求，均应制定详细而周密的处理计划。、 计算机网络信息系统信息处理的优先性应予明确规定，使最重要的信息与处理能优先传送或完成。、 在意外的峰值数据超过了通信软件的承受能力时，会发生故障，系统应能警告操作员，以便及时采取措施，关闭一些线路。此外，系统应建立溢出检验功能。三、 审查计算机网络信息系统的数据在数据库环境下，常会发生同一数据被多个应用作业同时存取的情况。若仅有一个数据库，其主要的做法是，当同一数据在作更新时，先锁住，禁止其它应用作业同时存取，以便明确责任，并避免未更新的数据被使用。若有多个数据库，彼此均含有共同的数据元素，在面对许多使用单位同时进行存取的情况下，如何运用锁住方式解决同一数据在各数据库之间不一致的现象，将更加复杂。计算机网络信息系统的另一个问题，是数据定义的一致性。计算机网络信息系统的各节点之间虽然有一定的独立性，但数据的定义方式，应有统一的规定，并应禁止各节点按本身的需要擅自定义。审查计算机网络信息系统的数据，应就数据的共同使用、数据库的控制方法以及数据定义等方面进行测试。测试时，应选择适当的测试方式，并选择该测试方式适用的审计工具与技术进行审查，以确定其是否遵循下列控制原则：、 为使各工作站处理单位明确数据正确性的责任，应设定适当的锁定措施，以防止两个以上的应用作业同时存在同一数据的情况发生。、 为提高数据的使用价值，原则上，计算机网络信息系统的任一工作站点的数据，应能与其它工作站点相互流通。、 由各工作站送出的每一信息，均应附有发送单位及该信息预期接收者的识别码。、 应建立数据定义的统一规范，规定所有使用单位均应采用标准的数据定义，并应禁止任何使用单位任意重新定义数据。、 计算机网络信息系统内的数据库，当需要时，应能重新归并为以整个机构为范围的数据库。、 当共同数据需更新时，应规定同时更新其它数据库内所有相同的数据。四、 审查计算机网络信息系统的控制事项控制分散，是计算机网络信息系统的最主要问题。由于计算机网络信息系统较为复杂，并且在我国的发展历史较短，目前尚无有效的控制标准可供遵循。随着控制的分散与控制标准的缺乏，使得计算机网络信息系统处理结果的正确性与完整性令人担忧。审查计算机网络信息系统的控制事项，应就控制的适当性、控制标准的制定以及控制的自主性等方面进行测试。测试时，应选择适当的审计工具与技术进行审查，以确定是否遵循下列控制原则：、 单位在政策上，应确定哪些业务应纳入计算机网络信息系统进行处理；计算机网络信息系统的建立，应制定详细计划及进度表。此外，每项业务在转入计算机网络信息系统时，应制定详细的转换计划。、 应制定详细的人员培训计划，使得使用计算机网络信息系统的所有人员，均能够接受适当且足够的训练。、 在计算机网络信息系统正式投入使用前，应建立适当的验收标准。、 应建立适当的监督程序，以监督错误处理发生的次数以及时间的长短等。、 严禁一工作站处理单位逾越另一工作站处理单位的处理规则，或代为输入主要指令，以避免计算机网络信息系统处理上的混淆。、 各工作站发出的信息，应检查是否均含有有效的目的地址。五、 审查计算机网络信息系统的安全事项在单机信息系统环境下，有较高的数据处理技术人员集中在一起，随时可监督数据处理的安全，因而提高了数据处理的安全性。在计算机网络信息系统环境下，随着处理的分散，各终端负责数据处理的人员平均技术水平将降低，加以对通信线路的依赖程度加重，增添了许多安全上的隐患。在计算机网络信息系统环境下，已往单机系统以计算机机房为中心的“保险箱”式安全措施已不适用。大量的信息经常穿梭于计算机机房与其通信线路间。因此，必须同时兼顾通信线路与计算机机房的安全。由于硬件、数据、处理以及控制的分散，使计算机网络信息系统需具备的安全性，大大超过单机信息系统应具备的安全性标准。为确保通信线路的安全，应采用更有效的控制方法，例如运用密码传输、采用回叫技术以及在其它实务上经证明对保证通讯线路上的数据有效的通讯控制方法等。俗话说：“合则成，分则败”，实为计算机网络信息系统的真实写照。由于处理分散，使得安全性大大降低。在计算机网络信息系统中，过分强调计算机机房的安全，并不切实际。随着计算机网络信息系统的资源指派 ，硬件、处理及控制的转移，今天处理可能集中在甲处，明天可能在乙处，后天可能在丙处。这种不断移动的处理与数据，需要有更灵活的安全措施