第十章 信息系统安全与控制体系.ppt

《第十章 信息系统安全与控制体系.ppt》由会员分享，可在线阅读，更多相关《第十章 信息系统安全与控制体系.ppt（132页珍藏版）》请在三一办公上搜索。

1、第十章 信息系统安全与控制体系Security&Controls for Information System,主要内容,第一节 信息系统安全概述第二节 脆弱性与威胁第三节 控制体系第四节 灾难风险管理第五节 信息系统安全与风险控制,信息系统安全概述,一、信息系统安全与信息安全 二、信息系统安全的影响因素分析 三、信息安全系统的目标分析与组织的信息安全系统 四、信息系统安全特性 五、信息系统安全等级划分,网络钓鱼,网络钓鱼（Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户

2、名、口令、帐号 ID、ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。,计算机舞弊的手段,计算机舞弊是指以计算机为工具或以计算机资产为对象实施的舞弊行为。计算机舞弊主要表现在：篡改输入、篡改文件、篡改程序、非法操作、篡改输出。计算机舞弊常采用的手段如下：1、篡改输入输出数据：数据有可能在输入前、输出后或输入过程中被篡改。2、木马计：计算机木马又名特洛伊木马，其名称取自希腊神话的特洛伊木马记，它是一

3、种基于远程控制的黑客工具。计算机木马类似于计算机病毒，也是一组寄生性的计算机程序，它一般不具有破坏性。典型的木马是窃取别人的账号和口令，如网上银行的用户密码等，它甚至可以控制硬件，如鼠标，键盘等。计算机系统一旦被木马控制，计算机系统将毫无秘密可言，这是相当危险的。3、截尾术：如将存款利息四舍五入的部分据为己有。4、越级法：在该程序越过所控制，修改或暴露计算机内容。5、天窗：“程序后门”又被称为“活动天窗”，是指程序员为了某种目的，在开发系统时特地留下的后门，从而为其日后侵入系统访问有关程序提供便利。通过“程序后门”，程序员可以很轻松地让软件系统执行未经授权的功能，例如舞弊者窃取密码进入软件系统

4、，进而进行舞弊活动。,6、逻辑炸弹：逻辑炸弹是计算机系统中适时或安定期执行的一种破坏性程序，它通过设定系统中未经授权的有害事件的发生条件，当系统运行过程中引发或满足其具体条件时产生破坏的行为。7、拾遗：在一项作业执行完毕后，取得遗留在计算机系统内或附近的信息。8、数据泄密：从计算机系统或计算机设施中取走数据。9、乘虚而入：联机实时系统中，计算机系统自动验证用户身份，如果某隐蔽的终端通过电话接转设备与同一线路连接，并在合法用户没有使用终端之前运行，则计算机有可能无法进行区分，只能认定前者为合法用户，使作弊者乘虚而入。10、冒名顶替：以别人的身份出现。11、通信窃取：在在网络系统上通过设备从系统通

5、信线路上直接截取信息，或接收计算机设备和通信线路辐射出的电磁波信号实施舞弊。12、仿造与模拟：在个人计算机上仿造其他计算机工作程序，或对作案计划方法进行模拟试验，以确定成功的可能性，然后实施。13、计算机病毒：计算机病毒有传播、激发和潜伏性，正成为计算机舞弊者对大、中、小、微型计算机及计算机网络进行破坏的有效手段。,计算机舞弊的手段,1、完善计算机安全与犯罪的法制建设。2、建立健全有效的内部控制系统。3、发挥审计的作用。4、加强技术性防范。5、提高人员素质。,计算机舞弊的防范,一、信息系统安全与信息安全（1）,信息系统安全（information systems security）与信息安全（

6、information security）是一对不太完全相同的概念。信息安全与信息系统安全是安全集与安全子集的关系，具有包含与被包含的关系。信息安全有着更广泛、更普遍的意义，它涵盖了人工和自动信息处理的安全，网络化与非网络化的信息安全，泛指一切以声、光、电信号、磁信号、语音及约定形式等为媒体的信息的安全，一般也包含以纸介质、磁介质、胶片、有线信道及无线信道为媒体的信息，在获取（包括信息转换）、分类、排序、检索、传递和共享中的安全。,一、信息系统安全与信息安全（2）,信息系统安全可理解为：与人、网络、环境有关的技术安全、结构安全和管理安全的总和，旨在确保在计算机网络系统中进行自动通信、处理和利用

7、的、以电磁信号为主要形式的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，始终具有可信性、机密性、完整性、可用性、和抗抵赖性等安全特质。从系统过程与控制角度看，信息系统安全就是信息在存取、处理、集散和传输中保持其可信性、机密性、完整性、可用性和抗抵赖性的系统识别、控制、策略和过程。,一、信息系统安全与信息安全（3）,上述概念中，系统识别主要研究如何建立系统的数学模型，内容包括模型类型的确定、参数估计方法和达到高精度估计的试验设计方法。控制指信息系统根据变化进行调控，使其始终保持动态平衡状态。因此，调控的方向和目标就是使信息系统始终处于风险可接受的幅度内，并逐步收敛至风险趋于最小的状态。,

8、一、信息系统安全与信息安全（4）,策略就是针对信息系统安全面临的系统脆弱性和各种威胁，进行安全风险分析，确定安全目标，建立安全模型和安全等级，提出控制对策，并对信息系统安全进行评估、制定安全保障和安全仲裁等对策。过程指信息系统的变化在时间上的持续和空间上的延伸。过程和状态不可分割，二者相互依存、相互作用和制约。信息系统的状态决定和影响着过程，而过程又决定和影响着新的状态。,二、信息系统安全的影响因素分析,信息系统本身由于系统主体和客体的原因可能存在不同程度的脆弱性，这就为各种动机的攻击提供了入侵、骚扰和破坏信息系统可利用的途径和方法。影响信息系统安全的因素主要有以下几个方面：硬件组织软件组织网

9、络和通讯协议管理者,三、信息安全系统的目标分析与组织中的信息安全系统（1）,信息系统安全系统的目标为了控制与计算机信息系统有关的特别风险，一个特殊的系统信息安全系统诞生了，这个系统具有任何一个信息系统的基本物理要素，它也是一种信息系统。该系统的总体目标就是确保其他信息系统的安全。信息安全系统的总体目标可以分解到生命周期的各阶段中去，如表11-1所示。,表10-1 信息安全系统生命周期各阶段的目标,三、信息安全系统的目标分析与组织中的信息安全系统（2）,表11-1中的四个阶段合起来被称为信息系统风险管理，其目标就是为了评估和控制信息系统风险，确保信息系统安全。组织中的信息安全系统在一个已经实施信

10、息系统的组织中，为了确保信息安全系统的有效性，必须安排一个专门负责人首席安全官（CSO）来管理，并且为了保持CSO的完全独立性，应当规定由他或她直接向董事会报告。CSO的主要责任之一便是将涉及信息系统安全的报告呈交董事会以求后者审批通过，报告的内容可参见表11-2。,表11-2 CSO向董事会提交的有关报告一览表,四、信息系统安全特性（1）,信息系统安全特性通常可从以下五个方面来认识：,指要求信息系统对信息输入、处理和输出的全过程必须进行必要的识别和验证，以确保信息的真实可靠。,四、信息系统安全特性（2）,信息系统安全特性通常可从以下五个方面来认识：,信息系统能够在规定条件下和规定的时间内完成

11、规定的功能的特性，它是信息系统安全的最基本要求之一。,四、信息系统安全特性（3）,信息系统安全特性通常可从以下五个方面来认识：,机密性也叫保密性，是指信息系统能够保证信息不被泄露给任何非授权的用户、实体或过程，或者供后者利用的特性，即保证信息只给授权用户合理使用的特性。,四、信息系统安全特性（4）,信息系统安全特性通常可从以下五个方面来认识：,指信息在未经授权之下不能擅自变更的特性，即网络信息在存储或传输过程中保持不被偶然或故意删除、修改、伪造、插入、重置等行为破坏和丢失的特性。,四、信息系统安全特性（5）,信息系统安全特性通常可从以下五个方面来认识：,指要求信息系统在信息的传输、处理和存储等

12、过程中要有据可查，使得相应的操作主体或者交易主体无法否认过去真实发生的、对信息所做的记录、处理、查询或者其他操作性行为。,五、信息系统安全等级划分（1）,信息系统的安全问题事关重大，通过等级划分对信息系统安全程度进行分析和评估是非常必要的，也是很有意义的。目前，各国颁布的信息系统安全等级标准不尽相同。美国国防部于1985公布的可信计算机系统评估准则（Trusted Computer System Evaluation Criteria，TCSEC）使用了TCB（Trusted Computing Base）概念，将安全问题分成四个方面：安全策略、可说明性、安全保障和文档。,五、信息系统安全等级

13、划分（2）,在TCSEC中，安全策略包括自主式接入控制（DAC，是指由文件的持有者来决定拒绝或允许用户对信息的访问）、受控式接入控制（MAC，是指由系统来决定对文件的访问权）、敏感标记和对象重用等。该标准根据所采用的安全策略及系统所具备的安全功能将系统分为4类7个安全级别，参见表11-3所示。值得注意的是，TCSEC原来主要针对的是操作系统的安全评估，后来有关方面为了使TCSEC能够适用于网络等系统，于1987年出版了一系列有关可信计算机数据库、可信计算机网络等方面的指南，较好地解释了网络环境下的软件产品如何进行安全性评估的问题。,表11-3 TCSEC安全等级划分,五、信息系统安全等级划分（

14、4）,我国于1999年由公安部主持、国家质量技术监督局发布的GB7895-1999计算机信息系统安全保护等级划分准则将信息系统安全分为五个等级，分别是：第一级，用户自主保护级。它的安全保护机制可使用户具备自主安全保护的能力，以使用户的信息免受非法的读写破坏；第二级，系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己行为的合法性负责；,五、信息系统安全等级划分（5）,第三级，安全标记保护级。除继承上一级别的安全保护功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制功能；第四级，结构化保护级。在继承前述安全级别的安全

15、功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问这对访问对象的存取，从而加强系统的抗渗透能力；第五级，访问验证保护级。该级别特别增设了访问验证功能，负责仲裁访问者对访问对象对象的所有访问活动。,主要内容,第一节 信息系统安全概述第二节 脆弱性与威胁第三节 控制体系第四节 灾难风险管理第五节 信息系统安全与风险控制,脆弱性与威胁,一、脆弱性与威胁的分析方法 二、信息系统舞弊 三、对信息系统构成威胁的个人及其实施的主动威胁 四、因特网的脆弱性与威胁,一、脆弱性与威胁的分析方法（1）,脆弱性是指一个系统的薄弱环节；威胁则是指利用这种脆弱性对信息资源造成破坏或者损失的可能

16、性；威胁一般有两种：主动威胁和被动威胁，前者主要包括信息系统舞弊和计算机破坏行为，后者则包括系统故障和自然灾害等。威胁一旦发生，其结果势必给系统造成影响，威胁利用脆弱性使组织产生短期或长期、直接或间接的经济损失。,一、脆弱性与威胁的分析方法（2）,系统的脆弱性是客观存在的，其本身没有实际的伤害，但威胁可以利用脆弱性来发挥作用。从这点来说，可以将信息系统的风险理解为威胁利用了系统的脆弱性而导致的。对信息系统的脆弱性和威胁的分析方法一般有两种方法，即定量分析方法和定性分析方法。定量分析方法是将每种威胁的潜在损失与其发生的概率（风险系数）的乘积来计算损失风险，如表11-4所示。,表11-4 威胁分析

17、报告,一、脆弱性与威胁的分析方法（4）,根据表11-4可知，数据窃取可能造成的损失风险最大，其次是舞弊与病毒攻击，而自然灾害可能造成的损失风险最小。但是，从威胁发生的可能性来看，最可能发生的威胁是设备盗窃，但它造成的损失风险未必最大。通过这种定量分析方法，对各种威胁发生的可能性大小、以及造成的损失风险的大小一目了然，有助于我们采取相应的措施以提高信息系统抗威胁的能力。,一、脆弱性与威胁的分析方法（5）,值得注意的是，将定量分析方法用于评估损失风险在实际操作上会存在许多困难。最大的困难恐怕在于确定单位损失的相关成本以及风险发生的可能性方面。定性分析方法仅仅列出系统脆弱性和威胁，根据它们对组织总损

18、失风险的影响大小，人为地将其分成几个等级，规定脆弱性和威胁对组织总损失风险的影响越大，其等级越高，反之，其等级越低。通过这种分析，我们可以重点关注处于较高等级的威胁。不管采取上述哪种分析方法，都需要对以下几个方面进行分析评估：业务中断、设备与硬件损失、软件损失、数据损失、服务与人员损失等。,二、信息系统舞弊（1）,舞弊（fraud）是指向另一方做出的、对重要事实的虚假陈述，意在欺骗或诱导对方有理由相信有损于他或她的事实。根据惯例，一项舞弊行为必须满足以下五个条件：虚假陈述重要事实主观故意有理由的信赖已造成损失或者损害。,二、信息系统舞弊（2）,商业环境下的舞弊有其特殊的含义，它通常指一种故意的

19、伪造、滥用公司财产以及操作财务数据已谋取不当利益。舞弊的方式多种多样，在企业日益重视信息系统应用的今天，信息系统舞弊（也可笼统视为计算机舞弊）已经成为一种新型舞弊形式，它对企业所造成的损失占企业各项损失总和的比例正在呈现上升势头。,二、信息系统舞弊（3）,信息系统舞弊主要包括以下内容：通过修改信息系统可读取的记录和文件来偷窃、滥用和侵吞资产；通过修改信息系统软件的处理逻辑来偷窃、滥用和侵吞资产；对信息系统可读取信息的偷窃和非法使用谋取不当利益；对信息系统软件的偷窃、贪污、非法拷贝和故意破坏；对信息系统硬件的偷窃、滥用和侵吞。,二、信息系统舞弊（4）,事实上，通过对会计信息系统通用模型（参见下图

20、11-1）的分析，我们不难知道，在该模型的每一个阶段数据采集、数据处理、数据库管理和信息生成都是信息系统舞弊可能发生的“高危”领域。,图11-1 会计信息系统的通用模型示意图,二、信息系统舞弊（6）,数据采集阶段。数据采集属于信息系统的第一个运行阶段，其目的是保证进入系统的交易事件数据是有效、完整并且没有重大错误。而最简单的信息系统舞弊就可能发生在数据采集阶段或数据输入阶段。在这个阶段实施舞弊行为仅仅需要一点点或者根本不需要计算机技能，舞弊者只需了解系统工如何输入将要处理的数据就可以了。,二、信息系统舞弊（7）,数据采集阶段（续）这可以是删除、修改或者增加一项交易。比如，要进行工资舞弊，舞弊者

21、只需通过改变其他合法的工资记录上的工时字段的数值来增加工资转账的金额（现在大部分企业已通过银行代发工资），当然，这项改动行为有可能被企业内部控制发现而无效，但仍有存在逃过内部控制检查的可能性。,二、信息系统舞弊（8）,数据采集阶段（续）这种舞弊的一个变种是清偿一项假的应付项目。通过在应付项目的数据采集阶段输入虚假的应付凭单（订单、收货报告单和供应商发票），舞弊者可以欺骗系统为不存在的交易创建应付账款记录，一旦记录被成功创建，系统将认为它是合法的并且到期就应偿付的负债，而背后的得利者是伪造单据的舞弊者。,二、信息系统舞弊（9）,数据处理阶段数据处理阶段的舞弊可归为两类：一类是程序舞弊，另一类是操

22、作舞弊。程序舞弊包括使用创建非法程序、用计算机病毒破坏正常程序的逻辑、改变程序的逻辑使数据处理不正常。这方面最为典型的例子就是萨拉米舞弊，它通过修改银行计算客户存款利息的程序的处理逻辑，将利息计算的四舍五入的一分钱不再随机加入到原账户，而是被加到了舞弊者指定的账户上，这可以为舞弊者收集到为数不少的现金，但在银行的会计记录上却始终能够保持平衡而不被发现。操作舞弊是指滥用或偷窃公司的计算机资源。,二、信息系统舞弊（10）,数据库管理阶段公司的数据库是其财务和非财务数据的物理集散地，利用数据库管理的机会进行的舞弊称为数据库管理舞弊，它包括更改、删除、乱序、毁坏或偷窃公司的数据，这种舞弊常常与交易舞弊

23、和程序舞弊相关联。信息生成阶段信息生成是为用户编译、安排、格式化和表达信息的过程。在这一阶段的舞弊常见的形式是偷窃、误导或滥用信息系统的输出信息。,二、信息系统舞弊（11）,今天，信息系统舞弊已经是非常严重，很多国家为此制定了计算机安全的法律美国于1986年颁布的计算机舞弊与滥用法案将以下行为称为联邦犯罪：有意地、欺诈性地、未经授权地接近存储于金融机构、联邦政府或洲际商业计算机中的数据。非法尝试接近计算机系统的密码行为也是被法律禁止的。我国在新修订的刑法中也明确了计算机犯罪的主要形式和相应的刑罚规定。,三、对信息系统构成威胁的个人及其可能实施的主动威胁（1）,对信息系统构成威胁的几类个体对信息

24、系统实施主动攻击必须接近硬件、敏感数据文件或关键程序，因此下列三类个体最有可能给信息系统带来主动威胁：信息系统工作人员、用户、非法入侵者。信息系统工作人员信息系统工作人员主要包括计算机系统维护员、程序员、网络操作员、信息系统管理员以及数据控制员。,三、对信息系统构成威胁的个人及其可能实施的主动威胁（2）,用户用户人群构成比较复杂，但由于他们不进行数据处理，因此比较容易与其他人员（信息系统工作人员）区分出来，用户通常会被系统允许访问信息系统中的数据甚至是敏感数据。这类人员有可能将这些重要数据透露给竞争者。非法入侵者未经合法授权而闯入信息系统并非法使用其上的设备、数据或者文件的人统称为非法入侵者。

25、按照其入侵系统的方式不同或者意图不同可进一步将其细分成黑客、搭线密听者、借道者、被忽视的入侵者、假冒身份入侵者、窃听者等。,三、对信息系统构成威胁的个人及其可能实施的主动威胁（3）,个体对信息系统实施的主动威胁类型 个体可能对信息系统实施主动威胁的方法，经过合理的分类之后可总结为以下5种：输入操作 程序变更文档直接变更 数据窃取 恶意破坏,四、因特网的脆弱性与威胁（1）,当组织越来越多地通过组织内的计算机连接进入因特网时，组织的信息系统就有可能成为世界上所有黑客的攻击目标，更有可能无意中将网络中的恶意病毒引入组织的信息系统，所有这些都给组织的信息系统带来了极大的威胁。与因特网有关的脆弱性可能来

26、自以下几个方面的薄弱环节：操作系统及其配置-操作系统的脆弱性网络服务器及其配置-网络服务器的脆弱性 内部网络及其配置-局域网的脆弱性,四、因特网的脆弱性与威胁（2）,各种服务程序-各种服务程序的脆弱性主要的安全步骤-其固有的局限性,主要内容,第一节 信息系统安全概述第二节 脆弱性与威胁第三节 控制体系第四节 灾难风险管理第五节 信息系统安全与风险控制,控制体系,一、控制环境 二、针对主动威胁可实施的控制 三、针对被动威胁可实施的控制 四、IT过程控制体系,一、控制环境（1）,由于计算机安全系统（即信息安全系统）本身是公司内部控制系统的一部分，这就意味着内部控制的基本要素对于计算机安全系统的构建

27、是至关重要的。COSO内部控制基本要素概述 根据COSO报告的精神，内部控制包括五个基本要素，分别是：控制环境、风险评估、控制活动、信息与沟通、监控。,控制环境提供组织的基础结构和基础规范，决定了组织的基调，并影响到组织中人员的控制意识，内部控制的其他要素均是基于控制环境而建立的。控制环境的因素具体包括：诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。,COSO内部控制基本要素概述,COSO内部控制基本要素概述,风险评估就是识别并分析与组织实现目标有关的风险，它是决定哪种风险需要控制以及采用哪种控制措施来对付风险的

28、基础。,COSO内部控制基本要素概述,控制活动是指确保管理层的指令得以执行的政策和程序，比如核准、授权、验证、调节、复核营业绩效、保护资产安全及职务分工等。,COSO内部控制基本要素概述,信息与沟通是内部控制的第四个要素，这里的信息指的是一个组织的会计制度，它包括用来确认、收集、分析、分类、记录和报告组织的交易遗迹为相关资产和负债进行会计处理的方法和记录；这里的沟通是为关于控制的所有政策和程序提供一个明确的理解手段。,COSO内部控制基本要素概述,监控是评估一段时期的内部控制质量的过程，监控过程包括及时评估控制的设计和运行，并在需要的时候采取必要的行动。,一、控制环境（7）,管理哲学和经营风格

29、构建安全控制体系的第一个也是最重要的一个活动，就是鼓舞士气并营造有利于系统安全的良好氛围。公司应对员工进行持续的、有效的安全知识培训，以使所有的公司成员对安全问题取得足够的共识。公司还应严肃对待安全事件，特别对于那些破坏信息系统安全的行为应该立即加以制止并进行处罚。在遵守信息系统安全规则方面，公司的管理人员更应该以身作则。,一、控制环境（8）,组织结构 应该在组织结构设计中明确到底谁对会计软件和会计处理程序负责，并指定专人负责计算机安全系统。董事会及下属委员会董事会必须任命一个审计委员会，再由审计委员会来任命一名内部审计师。该审计师最好拥有良好的计算机安全教育背景并能首席计算机安全官的作用。不

30、管在什么情况下，该审计师都应向审计委员会报告计算机安全系统各阶段的安全状况。审计委员会负责针对首席安全官和计算机安全系统的表现情况，定期与外部审计师以及高层管理人员进行商议。,一、控制环境（9）,管理控制活动 对所有涉及计算机和信息系统资源的使用和责任划分进行控制是非常重要的。应做好购置硬件、软件的采购预算以及系统运行成本的预算然后将这三方面实际发生的成本和预算成本相比较，若发现两者间存在较大的出入则应当进行细致的调查分析。预算控制在企业信息化过程中显得尤为重要，因为企业经常在信息技术方面超支或把钱花错了地方。,一、控制环境（10）,内部审计职能 计算机安全系统必须经常性加以审计，并根据变化的

31、情况进行适时的完善。首席安全官负责制定针对现存系统及系统改进的安全政策。所有的系统调整，无论是硬件、软件还是人员，都必须严格贯彻执行既定的安全政策。安全政策及程序的一致性和有效性都应该加以测试。内审人员还应定期会同信息系统营运人员使用假想事件对信息系统进行挑战性测试。除此之外，还应当追溯引起主文档变动的相关源文件，这种追溯方法是判断主文档是否被未经授权者非法修改的有效方法之一。,一、控制环境（11）,人事政策和实践 责任分离、适当监督、岗位轮换、双重检查等都是很重要的人事事件。在信息系统环境下，最重要的规则是坚持用户和计算机系统职员的职责分离。用户经常接触公司的实物资产，而计算机系统职员经常接

32、触存储会计库存记录的数据文件，将这两种接触放在一人身上就有可能滋生舞弊和欺诈行为。,二、针对主动威胁可实施的控制（1）,预防主动威胁的主要措施是采用连续层面（即类似设置多道关卡）来控制进入（或接触）敏感地带（或敏感源）。假如一般控制和数据处理控制都执行正常的话，那么主要的措施应该是尽量减少或避免未经授权接触敏感数据和设备。一旦未经授权者接触不到敏感数据和设备，他或她就不可能实施计算机舞弊行为。分层进入控制的基本原理在于，通过建立多层次的控制可以将潜在犯罪者和其觊觎的目标隔离开来。,二、针对主动威胁可实施的控制（2）,分层控制具体可分为三种类型：站点进入控制、系统进入控制和文件存取控制。（一）站

33、点进入控制 站点进入控制的目标是从物理上将未授权者与计算机资源隔离开来。这种物理隔离方法特别适用于硬件、数据输入输出、数据库以及通信线路。具体的隔离措施包括五项，分别是：任何人出入存放计算机设备和敏感数据的房间要通过安全认证；计算机数据的集中处（如数据库、网络打印机、数据输入输出点）和设备都应该隐蔽保管，并加上智能锁；,二、针对主动威胁可实施的控制（3）,（一）站点进入控制（续）禁止闲杂人等进入应高度保密的数据集中输入中心；任何软件未经安全核准不得在公司任何计算机上安装；员工工作所用机器采用无盘工作站或者安装只读操作系统，这样可以最大限度地限制病毒侵入。,二、针对主动威胁可实施的控制（4）,（

34、二）系统进入控制 系统进入控制是一种用来阻止未经授权的使用者进入系统的面向软件的控制，其目的是通过用户名、密码、IP地址和硬件配置等手段来鉴别使用者。每一个内部使用者都可从以下9个级别上分配到相应的用户名和密码：工作站或者个人电脑级别、网络级别、主机级别、文件服务器级别、文件目录级别、程序级别、数据文件或数据库级别、数据字段级别等,二、针对主动威胁可实施的控制（5）,（二）系统进入控制（续）这些级别联合起来提供了一个连续层面的保护，基本上可将非法入侵者与敏感数据隔离开来。在合法使用者进入上述各个保护层面，工作系统会自动记录时间、日期以及所有访问用户的号码。一旦有非法闯入的事件发生，这些信息有助

35、于追溯调查。与此同时，使用者的身份验证状况和输入交易的时间也会被系统自动记录到主文档和关键数据库的条目之中，以便将来可以对所有的单笔业务进行审查。,二、针对主动威胁可实施的控制（6）,（三）文件存取控制文件存储控制是分层控制的最后一层，它的目的是阻止对数据和程序文件的未经授权的访问。最基本的文件存取控制是针对文件访问和修改来建立一套授权模式和控制程序。在没有书面批准的情况下，任何程序设计人员均不得访问公司任何计算机文件。操作员和监管员应该被告之在没有书面批准的情况下不接受程序员的任何指示。甚至已授权的程序变更在没有书面批准的情况下也不能实施。对任何程序的改动都不能直接在原程序上进行，而必须在原

36、程序的副本上进行正确的授权改动。,二、针对主动威胁可实施的控制（7）,（三）文件存取控制（续）所有重要的程序都必须“上锁”，这意味着对这些程序不能阅读，更不能修改，只能被调用执行。只有安全部门才知道如何给这些程序“解锁”。程序也可以像电子信息一样使用数字签名，这样既可以准确地辨别程序的来源，又可以验证程序是否被修改过。除此之外，还有一种文件存取控制的有效办法，即安装一个常驻内存程序让它来动态检查染毒或文件修改的情况，一旦有异常，该程序会自动弹出提示窗口告诉用户加以注意，或者会直接禁止非法的文件存取。,三、针对被动威胁可实施的控制,被动威胁包括供电系统和硬件系统的故障。对此类问题的控制包括预防和

37、修正两个方面。有关内容可以参考灾难风险管理部分。,四、IT过程控制体系（1）,信息安全管理正在逐步受到企业的重视，加强信息安全管理被普遍认为是解决信息系统安全问题的重要途径。而要切实做好信息安全管理工作，权威的信息系统控制标准是至关重要的。COBIT提供了一个比较科学、比较完善的IT过程控制体系。COBIT的全称是Control Objectives for Information and related Technology，它是由信息系统审计与控制协会（Information System Audit and Control Assosiciation，ISACA）在1996年公布的业界标

38、准，2002年7月，该协会又发布了COBIT第三版，这是迄今为止国际上公认的最先进、最具权威性的安全与信息技术管理和控制的标准。,四、IT过程控制体系（2）,COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构，如图11-2所示。,COBIT三维体系模型示意图,四、IT过程控制体系（4）,这个模型为企业管理的成功提供了集成的IT 管理，通过保证有关企业处理过程的高效的改进措施，可以更快、更安全、更好地响应企业需求，它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。IT准则维集中反映了企业的战略目标，从质量、成本、时间、资源利用率、系统

39、效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性和有效性；IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；,四、IT过程控制体系（5）,IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、获得与实施、传递与支持、监控等四个方面确定了34个信息技术处理过程（参见表11-5）。每个阶段又细分为多个关键控制点，总共有34个控制程序，每个控制程序又明确了相应的控制目标，所有34个IT过程共包含了302个控制目标，这些控制目标为IT控制提供了一个用来明晰策略和良好的实施知道的关键方针。对信息系统的评价就

40、是针对这34个关键控制点和302个控制目标的达成情况来进行的。,表11-5 COBIT的34个信息技术处理过程,主要内容,第一节 信息系统安全概述第二节 脆弱性与威胁第三节 控制体系第四节 灾难风险管理第五节 信息系统安全与风险控制,灾难风险管理,一、风险管理与灾难风险管理的含义 二、预防灾难 三、灾难恢复,一、风险管理与灾难风险管理的含义（1）,风险管理是指根据信息资源对于组织的价值，通过识别、评价组织的信息资源可能存在的脆弱性及威胁，来决定采取哪些措施以求将风险降低到可接受的水平。具体来说，风险管理包括以下几层意思：第一层是风险管理技术，主要强调对目标的主动控制，对系统项目实现过程中可能遭

41、遇的风险和干扰因素进行预防，进而尽可能地减少损失；第二层是风险管理的目标，旨在使风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断，保证系统的良性循环。风险管理通常分为三个阶段：风险识别、风险评估和风险监控。,一、风险管理与灾难风险管理的含义（2）,对于信息系统而言，灾难意味着前述的重大威胁的发生，人们当然不太愿意看到这样的事情出现，然而当灾难真的降临时，我们应该怎样做呢？是听之任之，还是有所作为？聪明的人总是选择后者。于是灾难风险管理便应运而生。灾难风险管理就是要在灾难事件发生时，尽可能保证信息系统仍能正常工作。为此，需要做好两件事：一是灾难预防，二是灾难恢复计划

42、的制定与实施。,二、预防灾难,预防灾难是灾难风险管理要做的第一件事。研究数据表明各种灾难发生的概率如下：自然灾害（30%）、蓄意破坏（45%）、人为错误（25%）。也就是说，信息系统面临的灾难最多可能来自蓄意破坏，其次是自然灾害，最少是人为错误。良好的安全政策与计划可以预防许多由于蓄意破坏或者人为错误所引起的灾难。当然，与信息系统所在地有关联的自然灾害的风险也应该引起足够的重视。计算机设备与数据最好放置在建筑物中最难以被自然灾害和恶意破坏所破坏的场所。,三、灾难恢复（1）,（一）灾难恢复的意义 由于系统中断造成的意外损失已经让许多公司感受到了灾难恢复的重要性。假如没有定期严格的数据备份工作和制

43、定相应的灾难恢复计划作为后盾，对于一个依赖网络来进行经营管理的公司来说，服务器故障及其所含重要数据的丢失所造成的损失显然是致命性的打击。,三、灾难恢复（2）,灾难恢复的意义（续）根据明尼苏达大学Bush-Kugel的研究报告的结论，企业在没有信息资料可用的情况下，金融业最多能运作2天商业能运作3.3天工业则为5天而保险业约为5.6天。而从经济角度来看，有25%的企业，因为数据的损毁可能会立即破产，40%会在两年内宣布破产，只有7%不到的企业在五年后能够继续存活。,三、灾难恢复（3）,灾难恢复的意义（续）根据明尼苏达大学Bush-Kugel的研究报告的结论，企业在没有信息资料可用的情况下，金融业

44、最多能运作2天商业能运作3.3天工业则为5天而保险业约为5.6天。而从经济角度来看，有25%的企业，因为数据的损毁可能会立即破产，40%会在两年内宣布破产，只有7%不到的企业在五年后能够继续存活。,三、灾难恢复（4）,灾难恢复具有以下三点意义：第一，灾难恢复有助于降低风险，即在灾难发生时借助于灾难恢复能够确保业务系统不间断运行，极大地降低组织的损失；第二，在遇到灾难袭击时，有助于最大限度地保护组织数据的实时性、完整性和一致性，降低数据的损失，快速恢复操作系统、应用和数据；第三，能够提供各种恢复策略选择，尽量减少数据损失和恢复时间。,三、灾难恢复（5）,（二）数据备份 灾难恢复方案主要包括备份计

45、划和灾难恢复计划两大部分。备份是一种数据安全策略，通过备份软件事先将数据备份到系统以外的存储设备上，如可读写光盘、磁带或者活动硬盘等。这样，在信息系统面临灾难侵袭导致原始数据丢失或者遭受严重破坏的情况下，就可以利用备份数据把原始数据恢复出来，使系统能够正常继续工作。,三、灾难恢复（6）,备份策略选择 备份策略主要有四种：全备份：即指将信息系统中的所有数据信息全部备份；增量备份：即只备份上次备份之后系统中变化过的数据信息，包括新增的数据信息和对原数据所做的修改或者删除操作；差分备份：即只备份上次完全备份以后变化过的数据信息；备份介质轮换：即轮流使用不同备份介质所实施的备份策略，主要为了避免同种备

46、份介质被频繁使用而导致备份介质使用寿命大大缩短的现象。,三、灾难恢复（7）,备份方式选择 备份方式主要有三种，分别是：人工备份：人工级的备份是最原始的备份方式，也是最简单和有效的一种方式；软件备份：指将系统数据保存到其他介质上，当系统出现错误时可将系统恢复到备份时的状态，由于这种备份是由软件来完成的，因而取名得之。硬件备份：指应冗余的硬件来保证系统的连续运行，比如磁盘镜象、磁盘阵列、双机容错等方式。,三、灾难恢复（8）,备份场所的选择备份解决方案还必须一定条件确定备份中心，这些条件包括：（1）与生产中心具备相似的网络和通信设置；（2）具备业务应用运行的基本系统配置；（3）具备稳定、高效的通讯线

47、路连接中心；（4）与生产中心保持足够的安全距离；（5）应能避免与生产中心遭受同样的灾难。,三、灾难恢复（9）,（三）灾难恢复灾难恢复方式主要有以下三种：全自动恢复方式 手动恢复方式 数据备份系统 应用恢复的需求分析 在制定合适的灾难恢复计划之前，首先要有明确的应用恢复需求，通过充分评估应用恢复的具体需求来设计符合要求的灾难应对策略。,三、灾难恢复（10）,主要应该关注以下几个要点：恢复点的目标。这一目标要求明确规定组织中的数据必须保持有效的时间以及允许丢失的数据幅度。比如，对于象金融机构这样的组织往往不允许任何数据丢失，为此就需要采用特殊完善的恢复策略来确保系统的实时有效。恢复时间的目标。这一

48、目标指定了在一个灾难恢复站点恢复应用所需的最大时间，这个时间主要包括鉴别故障问题、系统激活正常运转、重装数据以及重起应用等所需的时间。,三、灾难恢复（11）,主要应该关注以下几个要点（续）：恢复技术的选择。当明确了用户特定的灾难恢复的应用需求之后，下一步关键工作就是要选好能够满足这种需求的恢复技术，以保证组织在能够容忍的时间范围内修复系统重起应用。恢复关键应用的目标。关键应用一旦遭受灾难袭击，必须在尽可能短的时间范围得到恢复，为此，要提出切实的恢复目标，并采取相应的技术来保证。,三、灾难恢复（12）,灾难恢复计划 为了能够有效地进行灾难恢复，一份周密细致的灾难恢复计划是必不可少的。该计划最好能

49、够作为信息系统安全计划的一个重要组成部分提交给董事会进行讨论。可将生命周期理论应用到该计划的设计、贯彻、执行以及评价过程中。据粗略估计，贯彻灾难恢复计划所需的费用大概占到整个信息系统预算的2%5%。,三、灾难恢复（13）,灾难恢复计划（续）一般来说，灾难恢复计划的设计主要包括三大部分：评估公司的关键需要 恢复优先级列表 恢复的策略与过程 除此之外，还应做好替换过程的工作安排。灾难恢复计划中最重要的一环就是在主计算机系统被摧毁或者不能正常使用以后，需要启用后备系统。后备系统根据其造价以及恢复的时间长短一般有三种模式：冷站点、热站点和飞启站点。,三、灾难恢复（14）,灾难恢复计划（续）冷站点（Co

50、ld Site）模式一般只有计算机的配置图而没有具体的机器设备；热站点（Hot Site）模式既包括配置图又有机器；飞启站点（Flying-start Site）则既拥有配置图、机器设备，还事先已安装了适当的软件并留有每天更新的数据备份。显然，采用冷站点模式完成恢复可能需要几天甚至更长的时间，而采用热站点可能只需要几个小时，采用飞启站点则更快，可以在几分钟甚至几秒钟内就完成计算机后备系统的启动。,三、灾难恢复（15）,灾难恢复计划（续）当然，这三种模式所需的成本也是高低不同的，冷站点最低，热站点其次，飞启站点成本最高，具体采用哪种模式作为后备系统应该根据公司的成本利润分析，当然也要综合考虑应用