Mục đích của việc thiết kế các kiểm soát
- Tính chính xác :Hệ thống làm việc đúng đắn, dữ liệu xác thực. - Tính an toàn : Hệ thống không bị xâm hại khi có lỗi kỹ thuật. - Tính bảo mật : Khả năng ngăn ngừa xâm hại từ phía người dùng. - Tính riêng tư : Quyền riêng tư của các loại người dùng khác nhau.
Các khía cạnh cần kiểm soát
- Kiểm tra thông tin nhập/xuất.
- Tình huống gián đoạn chương trình. - Tình huống xâm hại từ con người.
Kiểm tra thông tin nhập/xuất :
- Mục đích của việc kiểm tra thông tin nhập xuất là để đảm bảo tính xác thực của thông tin.
- Yêu cầu: Kiểm tra mọi thông tin nhập/xuất, kiểm tra nguồn thông tin đầu vào, thông tin cung cấp từ phía khách hàng, thông tin do hệ thống xử lý. Khi phát hiện lỗi yêu cầu cần báo lại cho khách hàng để kiểm tra lại thông tin, hoặc báo cho nhà quản lý của hệ thống các thông tin do lỗi hệ thống gây ra.
Yêu cầu khi lập trình phải đảm bảo được các ràng buộc nhập, ví dụ như Tên khách hàng bắt buộc phải nhập dữ liệu dạng text, hay số điện thoại ràng buộc nhập kiểu số,hoặc kiểm tra cú pháp email đã đúng chưa.
Các tình huống gián đoạn chương trình :
Thứ nhất,do hỏng phần cứng : rủi ro này có thể mang lại những hậu quả nặng nề,có thể gây mất dữ liệu khách hàng,hoặc trục trặc hệ thống, hệ thống không làm việc theo đúng yêu cầu.Chính vì vậy khi triển khai hệ thống tại công ty cần đảm bảo các yếu tố do phân cứng đó là : cấu hình máy chủ, linh kiện điện tử,đảm bảo hệ thống điện, đảm bảo hệ thống được đặt trong môi trường thoáng mát, không ẩm ướt.Thường xuyên có biện pháp kiểm tra bảo hành, bảo dượng các thiết bị phần cứng để đảm bảo hệ thống được hoạt động tốt.
Thứ hai, do hỏng hệ điều hành : ngoài các vấn đề về phần cứng nêu trên, ta cần chú ý đến hệ điều hành.Hệ điều hành như một bộ não của máy tính,vì vậy khi có các lỗi do hệ điều hành gây nên có thể gây ra các hậu quả nghiêm trọng như hệ thống không đảm bảo được tính chính xác, tính bảo mật hay tính an toàn về dữ liệu. Người quản trị hệ thống cần thường xuyên chú ý đến hệ điều hành, cài đặt nâng cấp hệ điều hành,thường xuyên cập nhật các bản vá lỗi của nhà sản xuất.
Thứ ba, nhầm lẫn trong thao tác : thao tác của người dùng có thể gây đến nhầm lẫn, điều này ảnh hưởng đến mối quan hệ đối với khách hàng, làm mất uy tín của công ty đối với khách hàng.Do vậy tất cả các nhân viên sửu dụng hệ thống cân được đào tạo các nghiệp vụ chuyên sâu để sử dụng hệ thống một cách đúng nhất,hiệu quả nhất.
Thứ tư, do dữ liệu sai : điều này đã nói ở trên trong phần kiểm tra các thông tin nhập xuất.Dữ liệu sai có thể gây ra các xung đột dữ liệu vì vậy hệ thống không thể hoạt động đúng như mong muốn của người thiết kế.Khi xây dựng cơ sở dữ liệu cần đảm bảo tính đúng đắn của dữ liêu, đảm bảo về các ràng buộc sữ liệu. Các bảng dữ liệu phải được chuẩn hóa.Chuẩn tốt nhất đó là chuẩn Boycode, tránh việc dư thừa dữ liệu gây tốn tài nguyên lưu trữ của hệ thống.
Thứ năm, do lập trình sai : Điểu này gây đến nhưng hậu quả nghiêm trọng trong việc đảm bảo tính đúng đắn và an toàn của hệ thống.Vì vậy cần xây sựng các ca kiểm thử thực tế trước khi đưa hệ thống vào hoạt động.
Trước các tình huống gây gián đoạn chương trình đã nêu ở trên cần có biện pháp xử lý khi có gián đoạn, các biện pháp sao lưu dữ liệu, các biện pháp đảm bảo được môi trường vật lý của hệ thống, các biện pháp khác do người quản trị hệ thống xử lý khi hệ thống gặp sự cố.
Xâm hại từ con người
Các hình thức xâm hại có thể do vô tình: nhầm lẫn, tò mò không ác ý hay cố ý: tấn công hệ thống nhằm lấy cắp dữ liệu, phá hoại dữ liệu, gây các quyết định sai lạc, gây thất thoát, lãng phí tài sản.
Các biện pháp kiểm soát : phân quyền người dùng, mỗi nhân viên được cấp một tài khoản cà mật khẩu riêng để truy cập vào hệ thống,quyền của nhân viên tương ứng với chức vụ của nhân viên đó.
Xây dựng giải pháp kiểm soát hệ thống. Hai loại giải pháp đó là : Liên quan đến phần cứng
- Biện pháp vật lý: chống hư hỏng vật lý: bảo vệ ổ ghi dữ liệu, bảo vệ máy in… - Sử dụng thiết bị đi kèm bảo vệ phần cứng.
Liên quan đến phần mềm và tổ chức dữ liệu. - Tổ chức các hệ lưu trữ dự phòng.
- Tổ chức kiểm soát truy cập.
- Mã hóa thông tin trên đường truyền