責任分離是內部控制的一項關鍵機制。責任分離是通過在多個人之間分散任務及其與特定安全過程相關的特權來實現的。9 c3 n0 @, ^) _' d- k
責任分離(sod)原則廣泛應用於金融會計系統中。各個規模大小的公司都明白角色分離的重要性,如接受分期償還檢查、審批銷賬、存入現金、核對銀行對帳單、審批時間登記卡、保管支票等這些工作都需要由不同的人來擔任。
責任分離是人們在處理與錢相關的工作時通常採用的一種機制,這樣,欺詐行為至少需要雙方或多方相互勾結才有可能。這大大降低了欺詐一類的犯罪行為。資訊也應該通過類似的方法來處理。因此,乙個組織的這種責任分離的設計很重要,這樣,就不會有任何人可以單獨地洩露組織的安全控制。
雖然sod對於it組織來說還屬於一種全新的觀點,但是在it領域,sod受到了越來越多的關注,薩班斯-奧克斯利法案(sarbanes- oxley act)的內部控制問題有很大一部分都來自或依賴it。責任分離是很多日常管制授權的基本原則,如薩班斯-奧克斯利法案和格雷姆-里奇-比利雷法法案 (gramm-leach-bliley act)都是依據這種原則的。因此,現在的it組織必須在所有功能領域中更加重視責任分離機制,特別是在安全領域。9 n; [+ m2 o+ b- m2 n/ y
責任分離與安全相關,主要體現在兩個方面。第一,它能防止利益衝突、侵權行為、欺詐、濫用私權及錯誤行為。第二,它能檢測到控制故障,包括安全侵犯、資訊竊取、安全控制欺詐等。(安全控制措施用來保護資訊系統免於外界攻擊,從而保護其上的計算機系統、網路及其資料的機密性、完整性和可用性。)
責任分離嚴格限制了每個單獨個體的權力和影響力的大小。它還要確保每個個體之間不存在責任衝突,不負責對其自身或上級匯報。
這裡簡單地對責任分離作了一項測試。首先,看看在沒有任何檢測的情況下,是否有人可以改變或毀壞你的財務資料?然後,看看是否有人可以竊取或透露敏感資訊。最後,看看是否有人可以對控制設計和執行產生影響,以及是否會對這種控制的有效性的匯報產生影響。如果以上3個問題的答案都是「是」,那麼你需要重點考慮一下責任分離。& k6 m! l: f- @9 v t
負責設計和執行資訊安全性的人和負責安全性測試、安全性審查或是監視和匯報安全性問題的人不應該是同乙個人。因此,每個負責資訊保安的人不應該向首席資訊官(cio)匯報。i8 h% {; ?( o. v$ h1 g
以下是在資訊保安領域實現責任分離5大關鍵選項,是基於我的經驗按照可接受性程度進行劃分的。+ b1 t) c/ n# q) p
● 選項1:讓每乙個負責資訊保安的人都向首席安全官(也即cso,負責處理資訊和物理安全的人)匯報,然後讓cso向cio直接匯報。
● 選項2:讓每乙個負責資訊保安的人向審查委員會主 席匯報。
● 選項3:使用第三方來監視安全性,對安全檢查執行突然襲擊,並且做安全測試,然後,讓第三方向董事會或者是審查委員會主 席做匯報。
● 選項4:讓每乙個負責資訊保安的人都向董事會做匯報。
● 選項5:讓每乙個負責資訊保安的人向內審人員匯報,只要內審人員不向負責財務的執行者匯報。7 t: |3 ~: f& r. w) n; o
責任分離顯得越來越重要。由於cso和首席資訊保安官之間的責任不清晰不明確,導致責任的混亂。安全性和所有安全控制的開發、操作和測試的分離很重要。責任必須要按照這種方式分配給每個不同的個體,從而在系統內部建立檢查和平衡機制,使非法的訪問和欺詐機率降到最低。
記住,與責任分離相關的控制技術需要接受外部審查人員的檢查。過去,當外審人員在判斷風險高達一定程度時,其會在審查報告中列出sod故障作為一種重要缺陷。it安全領域執行這項責任分離技術是遲早的事,既然這樣,為什麼不現在就開始與外審人員一起討論責任分離問題呢?盡早地從他們那獲得對責任分離的看法和建議,可以節省你很多成本,並且降低政治衝突。
雲儲存是確保資料安全的關鍵嗎?
雲計算提供了方便和相對安全的資料,但採用內部儲存和外部硬碟驅動器也有其自己的好處。雲儲存如今已成為保持資料安全的最流行的方式。從個人到小型企業的每個人都在使用,雲儲存不僅可以保護他們的檔案,而且在旅途中隨時訪問。但是,在黑客對蘋果公司等雲計算提供商進行高調攻擊後,人們開始質疑雲儲存是否是確保資料安全...
微服務安全測試的關鍵 介面安全機制
主要包括以下幾個方面 認證 確保你的使用者或客戶端真的是他們自己。授權 確保每個針對api的訪問都是經過授權的。審計 確保所有的操作都被記錄,以便追溯和監控。流控 防止使用者請求淹沒api。加密 確保出入api的資料都是私密的。下圖會對我們理解介面的 安全機制有很大的幫助,最右面是我們提供的api,...
移動終端管理系統的關鍵技術研究 轉貼
移動終端管理系統的關鍵技術研究 2007年9月10日10 50 中國聯通 1 前言 隨著移動資料業務日趨豐富和複雜,業務對終端的依賴性越來越高。移動終端作為使用者使用移動業務的載體,已成為移動運營服務體系中不可或缺的重要組成部分。未來終端製造商推出新產品的週期將越來越短,運營商推出新業務的產品週期也...