信息系统的安全与持续性计划ppt资料

1、 信息系统的安全(nqun)与持续性计划中级培训补充(bchng)材料（不考）1共八十八页主要(zhyo)内容：信息系统的风险信息系统的安全控制物理(wl)控制与环境控制逻辑访问控制网络控制持续性计划（灾难恢复计划）信息系统的应用控制2共八十八页1.信息系统的风险(fngxin)风险的概念：风险是发生某种威胁使资产损失(snsh)或破坏的潜在可能。风险的概念包括以下内容：威胁、薄弱点、处理过程或资产；对资产基于威胁和薄弱点的影响；袭击的可能性。 3共八十八页风险(fngxin)评价管理过程4共八十八页信息系统资产(zchn)信息和数据硬件软件服务文档人员另外还有一些(yxi)需要考虑的传统资产

2、包括：建筑物、存货、资金和无形资产等。5共八十八页信息的潜在(qinzi)威胁错误恶意( y)破坏欺诈盗窃软硬件故障6共八十八页信息系统的薄弱点用户缺乏知识缺乏安全措施口令缺少变化未经测试的技术(jsh)无保护的数据传输7共八十八页威胁(wixi)一旦发生所造成的影响直接的经济损失违反(wifn)法律名誉声望受损员工或客户受到威胁信心受损商业机会的损失经营效率与性能的降低商业经营中断。 8共八十八页整体(zhngt)风险整体风险(fngxin)是对企业风险(fngxin)的整体评价，通常做法是：影响可能性 9共八十八页剩余(shngy)风险 剩余风险是采用控制以后所遗留的风险水平。管理人员使用

3、剩余风险确认某些地方是否需要(xyo)更多的控制措施以进一步降低风险。10共八十八页2.信息系统的安全控制控制(kngzh)的基本概念物理控制与环境控制逻辑访问控制网络控制与互联网的使用11共八十八页控制(kngzh)的基本概念控制是为实现企业目标，避免、检查、纠正不受欢迎事件发生提供合理担保的政策(zhngc)、措施和组织结构。控制目标是通过实施控制过程要达到的目的或结果。12共八十八页一些(yxi)信息系统控制目标：到目前为止自动系统上的数据一直被正确的处理和保存，从而处于(chy)安全状态。每项操作都经过授权，并且只处理一次。所有的操作都有记录，并且都是在正确的时间段进行的。所有的拒绝操

4、作都有报告。重复操作有报告文件都经过充分备份，以备正确的恢复。对软件的所有变动都经核实，并进行了测试。13共八十八页预防性控制(kngzh) 作用(zuyng)：检查发现未发生的问题；监督操作和输入；在问题发生之前及时预测和调整；避免错误、疏漏和欺诈行为的发生。信息系统中常见的预防性控制 只雇佣经过良好训练，具备任职资格的人员；职责分离；对接触或访问各种物理设备进行控制；使用设计规范的文档；建立适当的交接授权过程；程序化的编辑检查；使用访问控制软件，只有获得授权的人员才能访问敏感文件。14共八十八页发现(fxin)性控制 用于检测发生的错误、遗漏或者欺诈、作弊行为，并就当前状态作出汇报。信息系

5、统中常见的发现性控制有：哈西总数（hash totals）；生产过程中的检测点（check points）；远程通信中的回叫（echo）控制；重复的计算检查；定期报告各种变化和不一致；内部审计(shn j)职能。 15共八十八页纠正(jizhng)控制 纠正控制的作用包括：降低威胁(wixi)的影响；对发现的问题进行补救；确认问题的原因；修正已发问题引起的错误；修改处理系统，降低将来再次发生问题的可能性。信息系统中常见的纠正控制包括：意外事故计划；备份过程；系统重启过程。16共八十八页综合(zngh)控制与应用控制综合控制是对组织各部门设计、安全、使用计算机程序的总体上的控制。应用控制是各个计

6、算机应用程序中的特别(tbi)的控制。 综合控制是最低水平的控制。综合信息技术控制形成了一个整体控制信息技术行为和确保整体控制目标的框架。在此基础上可以进一步增加应用控制。17共八十八页综合控制(kngzh)与应用控制(kngzh)18共八十八页信息系统的综合(zngh)控制 综合信息技术控制主要关注企业的信息技术基础(jch)，包括任何与信息技术相关的政策、过程和工作实践。他们并不针对某一特别的交易流或财务应用系统。大多数情况下，综合控制的元素主要集中在信息技术部门或相似部门。19共八十八页综合控制主要包括(boku)以下几类：组织和管理（高水平的信息技术政策和标准）；职责分离；物理控制（接

7、触与环境控制）；逻辑访问控制；系统开发和程序修改；对计算机人员（包括(boku)程序员、系统分析员和计算机操作人员）的控制（包括(boku)内部和外部信息技术服务）；确保计算机系统可用性的控制；对最终用户计算的控制。20共八十八页应用(yngyng)控制 应用控制特别(tbi)针对某个应用系统，并对交易事务的处理产生直接的影响。这些控制用于确保所有交易均是合法的，经过授权，并被记录下来。由于应用控制与交易流存在关系，因此通常包括：交易（transactions）输入的控制；处理控制；输出控制；固定数据（standing data）和主文件的控制。21共八十八页物理(wl)与环境控制 物理控制：

8、是用于阻止对IT设备(shbi)未经授权访问，防止其发生故障的机制和管理过程。环境控制：是用于保护计算机软硬件，避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。22共八十八页与物理和环境(hunjng)控制相关的风险 （1）物理风险员工(yungng)（IT雇员、清洁工、警卫及其他人员）有意或无意的破坏；计算机或其零部件失窃；电压波动导致设备损坏或数据丢失或损坏；存在绕过逻辑访问控制的旁路；复制或查阅敏感或机密的信息。（2）环境风险水灾或火灾破坏，以及其他自然灾害的破坏；电源掉电导致内存数据丢失；电压不稳导致系统故障、处理错误和设备部件的损坏；由于温度、湿度恶劣导致系统故障；炸弹破坏；静

9、电破坏敏感的电子部件；其他诸如。照明设备停工，灰尘或污垢聚集等。23共八十八页物理(wl)控制 三个方面(fngmin)：安全区的物理控制 管理控制 门禁系统（locks on doors） 24共八十八页安全区的物理(wl)控制 物理访问(fngwn)安全应基于信息技术设备所处区域的定义。例如，可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白，雇员能够意识到它的边界。从安全区的在外层防护到建筑物的入口、计算机间和终端，应该通过多层控制措施，控制对用户站点和安全区域的访问。 25共八十八页管理控制 雇员佩带身份(shn fen)或姓名证章；解除辞退人员的访问

10、权限；来访人员必须登记，包括他是谁，在哪工作，找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。办公室无人照管时的控制过程。例如当雇员晚上回家或外出吃饭时，应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。26共八十八页门禁系统（locks on doors） 常见的门禁系统包括：使用机械(jxi)钥匙的锁。组合门禁系统或密码锁电子门禁系统生物门禁系统27共八十八页其他(qt)常见的物理控制措施 电视摄像头警卫雇员在上班时间以外的控制；计算机锁手工日志记录：来客需要登记姓名、单位、事由和会见人。在进入前需要出示身份证明。电子日志：在电子或生物安全系统中，所有的来客都要做日志记录，

11、特别(tbi)是失败的进入试图需要被特别(tbi)标记。控制的来客接触：所有来客都应有雇员护送。28共八十八页其他常见(chn jin)物理控制措施（续）人员担保：所有服务人员应该有担保。死人门（deadman doors）：该系统使用一对门。前一门未锁上，后一门不能打开。在两个门之间只能有一个人。以防止未经授权的人跟随(n su)其他人进入。不宣扬敏感设备的位置；计算机终端锁；经控制的单个输入点；夜贼警报系统；安全的文件分发车。29共八十八页环境(hunjng)控制 火灾的预防、检测和扑救 防水 电源(dinyun)的保护和控制 高温、通风和空调 维护与房间保洁 30共八十八页火灾的预防(y

12、fng)、检测和扑救 火灾的预防控制 火灾扑救系统包括：手持灭火器；一些(yxi)灭火器适合电子设备，例如二氧化碳或halon（BCF）灭火器。水灭火器可以放在计算机耗材库房中。自动灭火系统自动灭火器通常使用水或halon。Halon对计算机设备无害，并且相对二氧化碳来说，危害较小。 31共八十八页防水(fn shu) 进入机房的水可能来自以下方面：洪水；屋顶漏水(lu shu)；爆裂的管道；洗手间或水池溢水；冷却系统漏水。32共八十八页逻辑(lu j)访问控制 基本概念 逻辑访问的风险 需要保护的资源、文件和工具(gngj) 访问安全框架 操作系统和应用访问控制 日志 33共八十八页基本概念

13、逻辑访问安全有三个最基本的组成部份 用户身份通常使用用户名或登录ID号，来表明用户的身份。身份计算机需要核实这个人到底是谁。可以通过用户拥有的，或知道的东西加以确认。一般(ybn)到办法是口令（passwords）、身份证代码、签名或其他生物特征例如手印等。资源保护 资源是计算机文件、目录和外围设备。资源保护应基于每个用户的需要。例如当某个用户登录计算机以后，可以其只能访问某些文件、应用或其他工作需要的资源。34共八十八页逻辑访问(fngwn)的风险 信息缺乏逻辑(lu j)访问控制的主要影响包括：未经允许的泄漏；未经授权的修改；系统完整性受到破坏。计算机系统可能受到不同方面的袭击，包括：（1

14、）黑客（2）雇员（3）已辞退的雇员（4）外部人员（5）供货商或咨询商35共八十八页需要保护(boh)的资源、文件和工具 （1）数据文件（2）应用软件（3）口令文件(wnjin)（4）系统软件和工具（5）日志文件（6）缓冲区文件和临时文件36共八十八页访问(fngwn)安全框架 确保充分的控制应防范任何可能的风险是用户经理的责任。管理人员通过制定公司的访问安全政策，从而为逻辑访问控制指明方向。在制定政策时，管理人员应定义企业经营对访问控制的需求，及每个系统的访问需求。公司的安全政策通常是以上较短的文档。包括(boku)以下内容：定义安全政策陈述；责任详细的逻辑访问控制将基于公司IT安全正团中的高

15、层陈述。37共八十八页操作系统(co zu x tn)和应用访问控制 逻辑访问控制存在两个层次：系统层次（installation level）和应用层次（application level）。因此访问控制可以建立于：操作系统（或系统工具(gngj)）每个应用每层的逻辑访问控制均由不同的管理员实现。IT部门人员负责管理谁能登录网络，以及登录网络以后可以访问什么应用和数据文件。这些人在系统层次控制访问。应用管理员则负责管理在应用软件中谁能做什么。IT部门的系统管理员对操作系统及其资源有更好理解，知道什么应用软件和工具程序需要保护。这样可以保护系统资源不被外部人员和未经授权IT人员使用。应用管理员

16、对应用软件以及谁将使用软件比较了解。这有助于应用管理员依据每个用户的需要设置访问权限。这样可以确保用户只拥有工作需要的访问权限。系统管理员与应用管理员的职责应分离。 38共八十八页系统(xtng)级的逻辑访问控制 各种操作系统软件中都内置了逻辑访问控制，例如UNIX、Novell、NT。各家产品不同，逻辑访问控制的力度也不同。一些组织对操作系统的安全特征进行了独立测试。美国国家计算机安全信息中心（NCSC）于1983年提出了可信计算机系统评估准则TCSEC（trusted computer system evaluation criteria）,规定了安全计算机系统的基本准则，通常称为“桔皮书

17、”（orange book）。桔皮书将计算机系统的安全等级划分为四类七级：D、C1、C2、B1、B2、B3、A1。其中A1级是最安全的。除非有特别的安全需要，否则多数财务系统都依照C2级标准。C2级标准要求操作系统使用登录控制、审计安全相关事件以及隔离资源等措施，控制访问。因此如果审计人员被告知该系统达到C2级，则意味着系统中包括了用户辨别（identification）、身份鉴定（authentication）和日志（logging）控制。如果操作系统中没有(mi yu)逻辑访问安全措施，用户可以安装一个独立的软件包。例如在IBM大型机中安装访问控制软件包RACF或ACF2。也有一些用于微机

18、的安全软件包。39共八十八页逻辑(lu j)访问控制（1）登录过程（logon procedures）（2）用户辨别（identification）（3）身份鉴定（authentication） （4）资源(zyun)保护（5）其他逻辑访问控制40共八十八页日志(rzh) 前面讲述到控制均用于防止非法(fif)用户访问计算机系统。而下一步控制则是检测非法(fif)用户的访问试图和行为。这通常可以从事件日志记录中获得。计算机系统中的审计日志一般有两种：安全审计日志和交易审计日志。安全审计日志用于记录各种用户操作信息。 交易审计日志用于记录交易被系统处理的路径和过程。41共八十八页网络(wnglu

19、)控制与互联网的使用 1与网络相关(xinggun)的风险2网络控制（network controls）3互联网控制（internet control ）42共八十八页与网络(wnglu)相关的风险 网络将用户的计算机带入了一个广阔，存在众多潜在匿名用户到空间。一旦客户的系统连入了网络，就可能存在被外部人员（黑客）和未经授权的同事访问的风险。容易导致：数据丢失：数据可能被故意删除或在传输过程中丢失。数据破坏：数据可能被用户破坏，数据传输过程中可能发生错误。例如由于线路的噪音干扰，发出的数据“1”，接收时变成了“0”。来自内部或外部的欺诈：窃贼不再依赖枪和盗窃工具来打劫银行。一个风度翩翩的君子在

20、世界的另一端，就可以侵入银行系统，将资金(zjn)划走。系统无法使用：网络连接以及服务器都可以被轻易破坏。一个集线器的丢失，可以影响众多用户的操作处理。通信线路也超出了用户的范围而失去控制。泄密：一旦一些重要 的系统例如，人事系统、科研开发系统被连接到网络上，就更增加了信息有意或无意泄漏的风险。病毒与蠕虫感染：蠕虫感染是特别经过设计，用于网络传播的。病毒感染经常发生，用户应经常使用杀病毒软件进行检查，并对杀病毒软件及时升级。违反版权和数据保护法：由于用户可以从网上随便获得数据和软件，从而导致触犯当地的版权和数据保护法。 43共八十八页网络(wnglu)控制（network controls）

21、网络的特点决定了物理访问控制的作用是有限的。因此在保护(boh)网络设备不被滥用和盗窃的同时，还需要将精力集中于逻辑访问和管理控制。根据各个用户所确认的风险、操作系统、网络控制软件以及网络和通信政策不同，用户所需的逻辑访问控制也不一样。44共八十八页审计人员(rnyun)可能遇到的控制：（1）网络安全政策这可能是企业整体IT安全政策的一部分。（2）网络标准、过程和操作指令这些应该基于网络安全政策，并且(bngqi)文档化；相关人员应可以得到该文档的复印件。（3）网络文档用户应有数份描述网络逻辑和物理层次的文档。例如网络布线图。这些文档通常作为机密文档保存。（4）逻辑访问控制这是特别重要的。用户

22、应确保拥有合适的登录口令和资源访问权限。（5）对外部连接的限制，例如调制解调器。这些连接可能是用户系统的薄弱点，特别是当这些连接未被允许时。45共八十八页审计人员可能(knng)遇到的控制：（6）当用户被允许使用调制解调器时，可以考虑使用回叫调制解调器（call back modems）。这种调制解调器只允许由自己呼叫出去的连接访问。例如，一个在家办公的远程用户希望访问系统(xtng)。他可以通过调制解调器呼叫办公系统(xtng)。办公系统(xtng)建立连接并要求用户提供ID号。然后办公系统(xtng)断开连接。如果ID号是正确的，办公系统(xtng)按照预先设置好的电话号码拨回。在这里是该

23、雇员家中的电话。然后该雇员就可以访问系统(xtng)了。还可以通过使用其他标记（token）来进行控制，确认外部用户的确获得访问系统(xtng)的权限。（7）网络应该由经过适当培训，具备相当经验的雇员管理和控制。管理人员对这些雇员的工作进行监督管理。（8）特定的网络事件应该被网络操作系统自动记入日志。应定期检查日志，寻找未经授权的行为。46共八十八页审计(shn j)人员可能遇到的控制：（9）使用网络管理和监控软件(run jin)包和设备。网络管理员可以找到很多的工具、软件(run jin)监督网络的使用及网络的性能。它们也可以用于检查每个终端用户计算机中所安装的软件(run jin)。（1

24、0）外部供应商和咨询商的访问也应受到监督。客户经常允许软件供应商通过远程访问连接对系统进行维护和故障修复。这些工具的使用应受到监督，并且只有在需要且经过授权以后才可以使用。远程连接的调制解调器只有管理人员同意才能激活，并且一旦任务完成，就应断开。（11）联入网络的终端只能是特定的终端。这可以通过终端号码（例如网卡的号码）或IP地址进行控制。（12）数据加密（data encryption）。在某些环境下，用户可以将网上数据加密。即使未授权用户能够搭线窃听获取了数据，也会因为加过密而无法使用。47共八十八页审计人员可能(knng)遇到的控制：（13）使用应答设备（challenge-respon

25、se devices）。这是典型的手持设备，大小与计算器相仿。这种设备通过允许远程用户对系统提出的信号作出应答的方式验证远程用户的身份。例如当有人想远程登录系统时，中心系统发出一个“挑战”例如“121288”。远程用户将这个代码输入手持设备。该手持设备生成一个相称的“响应”“22233”。一般情况，用户可以有60秒钟将信号输入计算机。中心系统收到响应信号以后，经核实正确就可以允许用户访问系统。这种设备 的优点在于每个“挑战”“响应”信号是唯一的。因此未授权用户无法重复使用密码访问系统。（14）使用私有线路或专线(zhunxin)如果线路是私有线路或专线，数据被截取的风险就低得多。并且使用专线可

26、以传输更多的数据，数据传输错误也较少。（15）使用数字线路而不是模拟线路。数字线路具有较高的容量，不需要调制解调器，不会发生数字与模拟信号转换错误。48共八十八页互联网控制(kngzh)（internet control） 如果需要将计算机直接连接到互联网络上，那么最安全的措施是：将计算机与主要信息系统物理隔离；指定有经验可靠的管理员管理互联网计算机；禁止匿名访问计算机。如果一定要的话，应避免将目录设为即可读又可写；从计算机中移走所有不必要的数据和软件；关闭所有互联网服务器上不必要的逻辑端口；监视登录(dn l)计算机的企图；只有经过仔细检查以后，才将文件在主要信息系统和互联网计算机之间传递。

27、应牢记程序可以附带在电子邮件信息中传递；尽可能少的设置互联网计算机的用户帐户，并定期更换期密码；如果不是特别需要的话，应避免运行一些诸如互联网聊天室之类的服务器应用。49共八十八页其他(qt)安全控制技术防火墙（firewall） 口令 访问控制 加密 安全电子邮件PEM（privacy enhanced mail） 良好隐私PGP（pretty good privacy） 站点安全工具 事故报告(bogo)与更改 50共八十八页持续(chx)计划 基本概念 灾难备份系统的组成(z chn) 灾难恢复计划的制定 51共八十八页基本概念 1商业持续计划（business continuity p

28、lanning，BCP）商业持续能力是指企业在信息系统支持中断情况下的继续经营能力以及发生灾难性事件情况下的生存能力。商业持续计划用于灾难的预测和预防处理。灾难包括从洪水、火灾、地震到劳动市场的动荡、重要文件的丢失。商业持续计划主要处理两个问题：公司信息完整性的维护，保持信息系统的运行直到正常业务能重新使用。商业持续计划是在灾难来临时如何(rh)恢复所有经营业务的方法，而不仅仅限于信息部门的业务。52共八十八页基本概念2信息系统的灾难信息系统灾难是指造成重要业务数据丢失，使业务中断了不可忍受的一段时间的计算机系统事故，这些事故导致银行丧失了全部或部分业务处理能力，引起企业营业收入下降、信誉降低

29、和形象受损，甚至威胁(wixi)其生存。造成计算机系统灾难性事故的原因有自然灾害、基础设施的突发性事故、计算机系统故障和各种人为因素等。53共八十八页基本概念3灾难备份 灾难备份是指为了减少(jinsho)灾难发生的概率，以及减少(jinsho)灾难发生时或发生后造成的损失而采取的各种防范措施。4灾难恢复 灾难恢复是一个在发生计算机系统灾难后，在远离灾难现场的地方重新组织系统运行和恢复营业的过程。 灾难恢复的目标一是保护数据的完整性，使业务数据损失最少甚至没有业务数据损失。二是快速恢复营业，使业务停顿时间最短甚至不中断业务。54共八十八页基本概念 5灾难备份中心 灾难备份中心是一个拥有备份系统

30、与场地，配备了专职人员，建立并制定了一系列运行管理制度、数据备份策略和灾难恢复程序，可以承担灾难恢复任务的机构。6灾难应急方案 灾难应急方案是指在发生计算机系统灾难事件时，为了尽可能减少损失，而对计算机应用系统采取的抢救措施、故障隔离措施、恢复过程以及工作人员救护和撤离计划等。 7灾难恢复方案灾难恢复方案是一套为保证(bozhng)在计算机系统发生灾难后恢复业务运行而预先制定的一套技术措施、管理方法和处理步骤。它是在充分考虑经济、技术、管理和社会条件的可行性的基础之上，提出的最佳灾难恢复策略。55共八十八页灾难(zinn)备份系统的组成 灾难备份系统一般由可接替(jit)生产系统运行的后备运行

31、系统、数据备份系统、终端用户切换到备份系统的备用通讯线路等部分组成。 在正常生产和数据备份状态下，生产系统通过人工或网络传输方法向备份系统传送需备份的各种数据。备份中心与生产中心及终端用户的关系如图所示。56共八十八页灾难(zinn)备份系统的组成灾难发生后，备份系统(xtng)将接替生产系统(xtng)继续运行，备份中心、生产中心及终端用户三者之间的关系如图所示。此时重要营业终端用户将从生产主机切换到备份中心主机，继续对外营业。 57共八十八页数据备份方式(fngsh) 目前比较实用的的数据备份方式可分为本地备份异地保存、远程磁带库与光盘库、远程关键数据+定期备份、远程数据库复制、网络数据镜

32、像、远程镜像磁盘等六种。（ 1）本地备份异地保存 是指按一定的时间间隔（如一天）将系统某一时刻的数据备份到磁带、磁盘、光盘等介质上，然后及时地传递到远离运行中心的、安全的地方保存起来。（2）远程磁带库、光盘库 是指通过网络将数据传送到远离生产中心的磁带库或光盘库系统。本方式要求在生产系统与磁带库或光盘库系统之间建立(jinl)通信线路。 （ 3）远程关键数据+定期备份 本方式定期备份全部数据，同时生产系统实时向备份系统传送数据库日志或应用系统交易流水等关键数据。58共八十八页数据备份方式(fngsh)（4）远程数据库复制 在与生产系统相分离的备份系统上建立生产系统上重要数据库的一个镜像拷贝，通

33、过通信线路将生产系统的数据库日志传送到备份系统，使备份系统的数据库与生产系统的数据库数据变化保持同步。（5）网络数据镜像 是指对生产系统的数据库数据和重要的数据与目标文件进行监控与跟踪，并将对这些数据及目标文件的操作日志通过网络实时传送到备份系统，备份系统则根据操作日志对磁盘中数据进行更新，以保证生产系统与备份系统数据同步。（6）远程镜像磁盘利用高速光纤通信线路(xinl)和特殊的磁盘控制技术将镜像磁盘安放到远离生产系统的地方，镜像磁盘的数据与主磁盘数据以实时同步或实时异步方式保持一致。磁盘镜像可备份所有类型的数据。59共八十八页后备运行系统(xtng)的选择 可以选择的后备运行系统包括互助协

34、定、冷站、温站和热站。（1）互助协定（mutual aid）互助协定是指两个或多个公司(n s)达成灾害发生时相互共享资源的协定。要使该协定有效必须满足以下条件：每家公司都必须具有额外的信息处理能力，或必须能够降低其业务量，以对另一家发生灾害的公司提供援助；各公司业务系统的平台必须兼容；所有签约方不能都受到灾害的影响；公司之间具有很高的信任度。由于这种方法在合并两家公司 的业务系统时，会出现意想不到的问题，所以现在已经不多采用。60共八十八页后备(hubi)运行系统的选择（2）冷站（cold site）公司为系统运行提供了最基本的环境，例如电源、空调、地板、办公桌椅等设备等。一旦发生灾难可以将

35、恢复设备安装在该环境中。采用冷站备份企业还需 与设备供应商签订紧急情况下，及时供应设备的协议。一旦发生灾难，可以从设备供应商处购买新的设备。安装在冷站环境中，用数据备份介质（磁带或光盘）恢复应用数据，手工逐笔或自动批量追补孤立数据，将终端用户通过通讯线路切换到备份系统，恢复业务运行。优点：设备投资较少，节省通信费用，通信环境要求(yoqi)不高。缺点：恢复时间较长，一般要数天至一周，数据完整性与一致性较差。61共八十八页后备运行系统(xtng)的选择（3）温站（worm site）温站中装备了部分设备，例如办公环境、通信设备、存储设备等。但是考虑道主机价格比较昂贵(nggu)，并且需要时，可以

36、迅速从供应商处获得，因此温站中没有配备主机。使用温站设备一旦发生灾难，可以迅速租借或购买主机，使用定期备份数据，手工逐笔或自动批量追补孤立数据或，将终端用户通过通讯线路切换到备份系统，恢复业务运行。优点：设备投资较少，通信环境要求不高。缺点：恢复时间长，一般要十几小时至数天，数据完整性与一致性较差。62共八十八页后备(hubi)运行系统的选择（4）热站（hot site）热站中装备了全套的处理设备，可以在数小时内投入运行。也可定时。一旦(ydn)发生灾难，只需在备份系统上恢复生产系统的数据，并对备份后业务事项进行追补就可快速接替生产系统运行，恢复营业。优点：恢复时间短，一般几十分钟到数小时，数

37、据完整性与一致性最好，数据丢失可能性最小。缺点：设备投资大。63共八十八页后备(hubi)运行系统的选择（5）镜像系统（mirrored systems）镜像系统是一个相对高成本的方案，适合于一些运行非常重要任务 的系统。例如航线(hngxin)管理、银行业务等等。这种方法要求在相距较远的两个不同地方，同时运行两套或更多套系统。每发生一笔业务，两套系统中的数据同时并行修改。一旦一个系统发生故障，所有业务处理可以直接切换到镜像系统中，对用户不会造成任何影响。美国“911”袭击事件中，总部在世贸大楼的摩根斯坦利银行遭到毁灭性打击。但是其业务数据却没有受到任何影响，就是因为采用了镜像系统备份。64共

38、八十八页灾难备份技术(jsh)的发展 灾难备份技术的发展趋势主要有三个方面：（1）采用实时热备份技术。实时热备份技术具有一次性投资昂贵、通讯费用高等缺点，但具有最好的数据完整性与业务连续性保证。随着商业银行的业务发展及竞争需要，银行的业务连续性要求将越来越高，采取实时热备份技术来实现灾难备份是未来的发展趋势。（2）外包方式：灾难恢复计划涉及到业务风险分析、方案选择、实施、测试、培训、演习等内容，是一项既复杂又繁锁的工作。采用外包方式则可将灾难恢复计划交给专业计算机公司来完成，银行则可专心从事银行的生产与经营。（3）开发灾难恢复计划辅助工具：灾难恢复计划是一项系统工程，开发灾难恢复计划的辅助工具

39、与系统是非常必要的，它包括：备份策略决策系统，灾难恢复指引系统，自动(zdng)运行管理系统等。65共八十八页灾难恢复(huf)计划的制定 制定灾难恢复计划(jhu)需要五个阶段：阶段I对公司经营环境进行评估；阶段II分析恢复策略；阶段III灾难恢复计划的文档；阶段IV设计灾难恢复计划；阶段V执行、评估和维护灾难恢复计划。66共八十八页对公司(n s)经营环境进行评估这个阶段的目标是确定公司遭受风险(fngxin)的类型和这些风险(fngxin)对信息系统运行的潜在影响。主要过程如下：（1）确定公司最有可能面临的风险；（2）确定公司遭受信息系统运行风险的潜在影响。公司应确定以下任务：公司执行了

40、信息系统那些功能；确定系统中那些功能对业务成功是至关重要的；确定如果在一小时、一天、一周、一个月或者更长的时间内不执行主要功能对公司将造成的影响。最后，公司应对其可能遭受风险进行合理评估，并评估其对业务所造成的潜在影响。67共八十八页分析恢复(huf)策略这个阶段的目标是确定合适的信息资源，分析所有(suyu)可选的恢复措施，并挑选最能满足公司目标的措施。公司的信息系统资源包括：中央计算机、个人电脑、网络、应用软件、系统软件以及数据中心。68共八十八页灾难(zinn)恢复计划的文档以文档的形式将灾难计划记录下来，主要步骤包括：（1）制定恢复时间。公司为每个重要功能安排恢复时间（如主机一定(yd

41、ng)在48小时内恢复，个人电脑必须在一周内更换）。（2）为每一个主要功能制定恢复行动计划。这个计划包括：应当完成的任务、每项任务的负责人、时间安排、执行地点、如何完成。（3）制定恢复规划表。恢复规划表是灾难发生时需要执行的时间规划表。69共八十八页设计(shj)灾难恢复计划 这个阶段的目的是制定灾难恢复计划。主要内容有：（1）审阅灾难恢复计划。（2）紧急应对程序。综述在灾难发生时应当采取的程序（如计算机的关闭、火灾(huzi)扑灭、疏散和警报程序等）。（3）灾难应对计划。评估损失、警告职员、执行灾难恢复计划。（4）恢复运行方法。恢复硬件、软件、网络程序并确保数据及时恢复运行。（5）如何恢复运

42、行。在灾难发生地或其他地点恢复运行的计划。这个计划应当包括构建新设备、获取新硬件和软件、在实施前测试新系统。（6）如何测试和维护数据。测试和维护的详细计划。（7）附录：包括硬件、软件的详细目录、职员合同、保险政策、软件安全协议、网络和硬件供应商支持协议以及工作地点之外储存数据列表和如何获得它的指令。（8）术语汇编。在计划中使用的技术性术语的定义。需要注意的是，该计划一定要保存在与水火隔离的工作环境之外。一旦发生灾难，在必要保护下不会受到破坏。70共八十八页执行评估(pn )和维护灾难恢复计划这个阶段的主要目的是确保灾难恢复计划按照设计执行，并保证计划被正确地维护。测试的范围包括硬件、系统软件、

43、应用软件和远程通信网络。主要步骤如下：（1）研究灾难恢复计划测试目标和评估准则。特别是公司需要(xyo)确定通过测试灾难恢复计划想要达到的目的，及如何评价测试的成功和失败。（2）记录高水平测试灾难恢复计划。公司需要明确确认测试内容和测试方法。（3）准备详细测试工作计划。（4）执行测试。（5）评估测试。（6）准备测试报告。（7）维护计划。定期审查和修订计划。71共八十八页4.应用软件中的控制(kngzh)应用控制是对应用系统的输入、处理和输出功能进行的控制。通过应用控制可以实现以下目标：只有完整、准确、合法的数据才能被录入或修改；处理操作完成正确的任务；处理结果是所期望(qwng)的结果；数据被

44、存储和维护。这些控制可能包括：编辑测试、总数控制、调节与鉴定、错误报告、错误或例外数据。自动控制与手工过程应相配合使用，以保证例外情况处理的正确性。72共八十八页输入(shr)控制 输入控制过程必须保证每笔交易都准确、完整的被接收、处理和记录下来。并应保证只能输入合法和经过授权的信息，每笔交易只能处理一次。1输入授权输入授权用户证实所有交易均经过管理人员的授权和认可。输入授权用于确保只有授权的数据才能输入计算机系统由应用软件处理。授权可以在数据输入系统的同时在线执行。也可以通过计算机自动生成一个(y )项目清单，手工签字授权。在处理过程中确保授权数据不变的控制是很重要的。这可以通过内嵌于应用软

45、件设计中的各种准确性和完整性检查来实现。73共八十八页可以(ky)通过以下形式授权：批量单据上的签名 提供了获得授权的证据。在线访问控制 确保只有(zhyu)授权用户才可以 访问数据执行敏感功能。唯一的口令 避免其他人通过所授予的权限访问数据。并且口令也有助于确认谁的操作导致了数据的变化。从而保证操作员为其操作负责。终端鉴证 限制只有某些终端或某些人可用完成输入操作。74共八十八页源文件用于记录数据的表单。可能是一张纸、一个文档或终端显示的一个图像(t xin)。一个设计良好的源文件可以满足多个目标。包括：提高数据记录的速度和准确性；控制工作流；有助于使用图像(t xin)识别设备录入数据；提

46、高使用图像(t xin)识别技术设备读如数据 的速度和准确性，并且便于按顺序到参考检查。理想情况下，源文件应该是打印格式，以保证一致、准确、清晰可读。所有的源文件都应经过合适控制。所有的源文件都应顺序编号，以便于统计，保证所有文件都能输入系统。75共八十八页批量控制(kngzh)与结算批量控制组为了生成控制总数需要输入交易。批量控制可以基于金额数量汇总、项目汇总、文档汇总或者杂凑汇总（hash totals）。批量首页表单是一个控制数据。所有输入 的表单都应清晰地标明应用名和交易代码。如果可能的话，所有表单都应事先按照交易识别代码及其他顺序项目编码并打印。这样可以保证所有相关数据都可登记到输入

47、表单中，减少数据输入错误。批量结算可以通过手工或自动调整的方式实现。批量汇总必须有充分依次完成的步骤。提供充分到控制以确保，每一个交易事项都生成了一份输入文档资料、所有 的文档都包含(bohn)进了批处理中。所有 的批次都被提交处理，所有的批次都被计算机接受，执行了批量结算，并对结果进行了检查和对不一致的地方做了修改，对被系统拒绝项目都重新作了处理。76共八十八页输入(shr)错误报告与处理 输入过程需要(xyo)通过控制措施保证数据被正确的录入系统，能够识别和修改输入错误。在数据转换过程中需要修正数据转换错误。错误可能来源于重复的交易事项或不正确的数据输入。这种错误会极大的影响数据的完整性和

48、准确性。输入错误处理的方式可能有以下几种：仅拒绝带错的交易；拒绝整个批次的交易；以挂起方式接受批处理任务；接受批处理任务，将错误的交易加以标记。77共八十八页联机系统和数据库系统中的批量(p lin)完整性 联机系统也需要对输入进行控制。可以将一天的业务形成以上批处理任务，由指定的终端或人员输入数据(shj)。上级领导应检查在线批处理任务，并提交给系统处理。78共八十八页处理(chl)控制 1数据确认与编辑应采取一定措施保证输入的数据与数据源尽可能的保持一致.程序设定的输入格式确保数据以正确的方式存入正确的字段。如果输入过程允许主管越过数据确认和编辑过程，应该自动的将情况登记入日志。其他的管理

49、人员应对此日志进行检查。数据确认用于鉴别(jinbi)数据错误、不完整或遗漏的数据、与相关项目不一致的数据。如果使用了智能终端的话，这些检查可以在前台进行。编辑控制是用于计算机程序中，在数据处理之前进行的预防性控制。如果缺乏编辑控制，就会对不正确的数据进行处理。 79共八十八页常见(chn jin)的确认编辑包括：顺序检查 控制数字按顺序排列，任何有重复号码或断号的业务都被拒绝，并生成异常（例外）报告。限制条件检查 数据不能超过预先定义的数量范围。一旦超过这个范围，这个交易经应被拒绝，并作进一步的检查和证实。范围检查 数据的取值不能超过一定的范围。例如产品类型代码的范围是从100到250。任何

50、超出该范围的代码都应被作为一个非法的产品类型加以拒绝。有效性检查 有效性检查由程序自动(zdng)根据预先定义的规则对数据的有效性进行检查。例如人员表的性别字段只有两个值“男”或“女”。输入该字段的其他任何值都是非法的，不能被程序接受。80共八十八页常见(chn jin)的确认与编辑控制合理性检查 输入数据应与预先定义的合理范围进行匹配。对于超出范围的记录，计算机程序应能够打印出一个警告提示。表查寻 将输入数据与计算机系统所存有各种可能输入值的表进行比较。存在性检查 数据被正确的输入，符合(fh)预先定义好地合法性规则。键比较 由两个不同的人将数据使用键盘敲入计算机，比较两者的输入是否相同。检测数 附加于数据的末尾，用于检查数据在输入、传送过程中是否发生错误的数。81共八十八页常见的确认(qurn)与编辑控制完整性检查通过一个存储非零或非空数据(shj)的字段，来确认数据(shj)的完整。重复检查检查新的交易记录是否已经被输入。逻辑关系检查如果某个条件为真，其他的条件或数据输入关系才可能是真，这个输入才是合法。例如某个雇员的雇佣日期与生日只有相差16岁，该数据才可能是合法的。82共八十八页处理(chl)控制过程 处理控制确保所积累数据的完整性和准确性。以下是一些常用的处理控制技术：（1）手工重算可以通过对交易(jioy)进行抽样手工重算以确保计算机处理完成了预期的任务。（2）编辑