信息系统安全1课件

第8章-信息系统安全ppt2023/1/2第8章信息系统安全ppt[1]第8章-信息系统安全ppt2022/12/18第8章信息系统1开篇案例：波士顿凯尔特人大败间谍软件波士顿凯尔特人在篮球场上争夺季后赛席位的同时，球队后方也打起了信息战。信息主管Wessel试图帮助球队摆脱间谍软件的困扰。Wessel带领他的团队管理约100台笔记本电脑，分属于教练、球探及销售、市场和财务部门的员工，他们的计算机被植入了许多恶意软件。Wessel认为“宾馆的网络是间谍软件活动的温床”。在外面受间谍软件侵害的计算机再带回波士顿球队总部使用，这样就造成网络阻塞。此外，间谍软件也会影响凯尔特人专用统计数据库的进入和使用。凯尔特人队标第8章信息系统安全ppt[1]开篇案例：波士顿凯尔特人大败间谍软件波士顿凯尔特人在2使用Mi5Webgate阻止间谍软件入侵计算机网络，同时阻止已被植入间谍软件的计算机连接外部网络使用SurfControl过滤电子邮件和网页浏览使用TrendMicro杀毒使用SonicWALL防火墙和入侵探测系统使用AladdineSafe阻止其他恶意软件凯尔特人队的技术解决方案：第8章信息系统安全ppt[1]使用Mi5Webgate阻止间谍软件入侵计算机网络，同时阻3凯尔特人夺得过17次NBA总冠军，年份分别是1957、1959、1960、1961、1962、1963、1964、1965、1966、1968、1969、1974、1976、1981、1984、1986、2008第8章信息系统安全ppt[1]凯尔特人夺得过17次NBA总冠军，年份分别是1957、19548.1系统脆弱性与滥用8.1.1为什么系统容易遭到破坏1、互联网的脆弱性左图为谷歌公布的被攻破网站的数量分布图，从多到少依次为：红色橙色、黄色、绿色、第8章信息系统安全ppt[1]8.1系统脆弱性与滥用8.1.1为什么系统容易遭到破坏52、无线网络的安全挑战如果和其他用户处在同一个Wifi区域内，则其他用户就有了直接攻击本机的能力注：Wifi是WirelessFidelity（无线保真）的缩写第8章信息系统安全ppt[1]2、无线网络的安全挑战如果和其他用户处在同一个Wifi区域内6案例：最恶劣的数据盗窃案在国外网站，单凭信用卡号及少数资料即可消费，没有密码。因此，如果购物网站没有妥善保管好用户的信用卡信息而被黑客窃取，将会给用户带来很大的损失。2008年8月初，美国联邦检察官指控5个国家的11名犯罪嫌疑人盗取4100多万个信用卡和借记卡号码。这是迄今为止历史上最大的信用卡号码盗窃案。他们的作案目标集中在大型零售连锁店，如OT.J.Maxx等。通过这些企业的网络漏洞，入侵其系统，截获客户的信用卡号并出售，非信用卡则直接去ATM机提取现金。第8章信息系统安全ppt[1]案例：最恶劣的数据盗窃案在国外网站，单凭信用卡号及少数资料即78.1.2恶意软件：病毒、蠕虫、木马、间谍软件恶意软件（malware）是指对计算机造成威胁的软件，如计算机病毒、蠕虫和木马。计算机病毒（computervirus）是指在用户不知晓或未允许的情况下，在计算机程序或数据文件中插入的可执行的一组计算机指令或者程序代码。大多数计算机病毒都会造成一定后果。蠕虫（worms）：不需要依赖其他程序，可独立存在，能通过网络在计算机之间实现自我复制和传播。木马(Trojanhorse)表面上没有什么破坏性，但是它所造成的后果会出乎意料。木马不会自我复制，从这个角度来看，它不是病毒，不过它经常把病毒或其他恶意代码带入计算机系统。间谍软件(spyware)也是恶意软件。这些小程序自动安装在计算机上，监控用户的上网记录并为广告服务。第8章信息系统安全ppt[1]8.1.2恶意软件：病毒、蠕虫、木马、间谍软件恶意软件（m82006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下，隐藏着巨大的传染潜力，短短三四个月，“烧香”潮波及上千万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。2007年2月3日，“熊猫烧香”病毒的制造者李俊落网。随着案情的揭露，一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件，盗号者追寻这些图案，利用木马等盗号软件，盗取电脑里的游戏账号密码，取得虚拟货币进行买卖。“熊猫烧香”案主犯李俊最终被判处有期徒刑4年第8章信息系统安全ppt[1]2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及98.1.3黑客与计算机犯罪1、电子欺骗和窃听黑客经常伪装成其他用户，以开展非法行为，这属于网络欺骗。例如，伪造虚假的邮件地址，冒用他人IP地址等……电子欺骗（spoofing）还可能涉及将网页链接重定向至与本来的地址不同的地址，该地址被伪装成目的地。第8章信息系统安全ppt[1]8.1.3黑客与计算机犯罪1、电子欺骗和窃听黑客经常伪装10嗅探器(sniffer)是一种可以监控网络中信息传输的窃听程序。嗅探器合法使用时，有助于发现潜在的网络故障点或网络犯罪活动，但在非法使用的情况下，它们的危害巨大并非常难以察觉。黑客可以利用嗅探器在网络上任何位置窃取专有信息，包括电子邮件、公司文件和机密报告。第8章信息系统安全ppt[1]嗅探器(sniffer)是一种可以监控网络中信息传输的窃听程112、拒绝服务攻击拒绝服务(denial-of-service,DoS)攻击是指黑客向网络服务器或Web服务器发送大量请求，使服务器来不及响应，从而无法正常工作。分布式拒绝服务(DDoS)攻击利用大量计算机从众多发射点发送请求，使网络崩溃。第8章信息系统安全ppt[1]2、拒绝服务攻击拒绝服务(denial-of-service123、计算机犯罪美国司法部对计算机犯罪（computercrime）的定义是“任何利用计算机技术，可以构成犯罪、审查或起诉的违法行为”根据2007年SCI对近500家企业有关计算机犯罪和安全的调查显示，它们因计算机犯罪和安全攻击年均损失350，424美元(Richardson,2007)。许多公司都不愿举报计算机犯罪，因为可能有本公司的员工涉案，或者担心暴露系统漏洞可能损害公司声誉。计算机犯罪中造成经济损失最大的是DoS攻击、植入病毒、窃取服务和破坏计算机系统。第8章信息系统安全ppt[1]3、计算机犯罪美国司法部对计算机犯罪（computercr134、身份盗用身份盗用(identitytheft)是一种犯罪行为，冒名者利用所获得的他人的重要个人信息，如社会安全号码、驾驶执照号码或信用卡号码，冒充他人身份。该信息可能被用于以受害人的身份获得信贷、商品或服务，或者提供虚假证明。网络钓鱼（phishing）是指建立虚假网站或发送看似来自合法企业的电子邮件或文本消息。双子星病毒（eviltwins）是一种假装提供可信的Wi-Fi以连接互联网的无线网络，比如机场大厅、旅馆里的无线网络。第8章信息系统安全ppt[1]4、身份盗用身份盗用(identitytheft)是一种犯145、点击欺诈当你点击搜索引擎上所显示的广告时，广告商通常要为每次点击支付一定费用，因为你被视为其产品的潜在买家。点击欺诈（clickfraud）是指个人或计算机程序点击网络广告，但不想了解广告商所发布的信息或无购买意向。第8章信息系统安全ppt[1]5、点击欺诈当你点击搜索引擎上所显示的广告时，广告商通常要为156、全球性威胁：网络恐怖主义和网络战互联网或其他网络存在的漏洞使数字网络更易受到恐怖分子、外国情报机构或希望造成大范围破坏和损害的其他群体的攻击。这种网络攻击可能针对电网运行所用的软件、空中交通控制系统或主要银行和金融机构的网络。至少有20个国家被认为是有能力发展进攻型和防御型网络战的国家。2007年，美国共有12，986项政府单位网络系统受袭的报告，其中美国军用网络被入侵的次数与上年同期相比增加了55%。美国国防部的承包公司也受到了攻击。第8章信息系统安全ppt[1]6、全球性威胁：网络恐怖主义和网络战互联网或其他网络存在的漏168.1.4内部威胁：员工人们总是认为，系统安全威胁都来自企业外部。实际上公司内部员工也会威胁系统安全。员工知晓公司安全系统的运作机制，可以收集机密信息且不留痕迹。研究发现，用户缺乏相关知识是导致网络安全遭到破坏的最主要原因。许多员工忘记他们进入计算机系统的密码或允许同事使用自己的密码，这些行为均会为系统带来威胁。有些恶意入侵者冒充企业内部员工，以工作需要为由让真实员工提供密码等信息，从而进入企业网络。第8章信息系统安全ppt[1]8.1.4内部威胁：员工人们总是认为，系统安全威胁都来自178.1.5软件漏洞软件的主要问题是存在隐藏错误（bugs）或程序代码缺陷。研究发现，对于大型软件而言，实际上无法完全消除所有程序错误。第8章信息系统安全ppt[1]8.1.5软件漏洞软件的主要问题是存在隐藏错误（bugs）188.2信息系统安全与控制的商业价值8.2.1电子记录管理的法规与制度要求8.2.2电子证据与计算机取证

计算机取证(computerforensics)是指科学地收集、审查、认证、保存和分析数据，该数据可从计算机存储媒介中获取或恢复，且可在法庭上作为有效证据使用。电子证据可能以文件的形式存留在计算机存储介质中，即环境数据，普通用户无法看见这些数据，例如已从计算机硬盘中删除的文件。人们可能通过各种技术恢复已被用户删除的数据。计算机取证专家可试图恢复该类隐藏数据作为证据提交。第8章信息系统安全ppt[1]8.2信息系统安全与控制的商业价值8.2.1电子记录198.3建立安全与控制的管理框架8.3.1信息系统的控制类型

一般控制（generalcontrols）指的是贯穿整个组织信息技术基础设施，为管理计算机程序的设计、安全和使用，以及数据文件安全而进行的总体控制活动。应用控制（applicationcontrols）是针对特定计算机应用（比如薪资结算或订单处理程序）的特殊控制活动。应用控制可分为：（1）输入控制；（2）处理控制；（3）输出控制。第8章信息系统安全ppt[1]8.3建立安全与控制的管理框架8.3.1信息系统的控20

8.3.2风险评估

风险评估（riskassessment）能够确定当某一活动或流程没有得到适当控制时公司面临的风险程度

第8章信息系统安全ppt[1]

8.3.2风险评估风险评估（riskasse218.3.3安全策略安全策略（securitypolicy）包括信息风险分级、确定可接受的安全目标以及实现安全目标的机制。第8章信息系统安全ppt[1]8.3.3安全策略安全策略（securitypolicy228.3.4灾难恢复计划和业务持续计划灾难恢复计划（disasterrecoveryplanning）是指在计算和通信服务遭到破坏后，为将其恢复所制定的计划。业务持续计划（businesscontinuityplanning）关注企业在遭受灾难后如何恢复业务运营。第8章信息系统安全ppt[1]8.3.4灾难恢复计划和业务持续计划灾难恢复计划（disa238.3.5审计的作用管理信息系统审计（MISaudit）要审查公司的整体安全环境以及个人使用信息系统的控制情况。第8章信息系统安全ppt[1]8.3.5审计的作用管理信息系统审计（MISaudit）248.4保护信息资源的技术与工具8.4.1访问控制访问控制(accesscontrol)是企业用来防止未经授权的内部访问和外部访问的所有政策和程序。用户须在授权和认证后才可访问系统中的信息。认证(authentication)用于确认用户的真实身份。访问控制软件只允许经过认证的授权用户使用系统或访问数据。通常情况下，用户可通过密码完成认证。终端用户可输入密码登录计算机系统，访问特定的系统和文件。然而，用户有时会忘记密码，与他人共用一个密码，或者密码设置过于简单，这些都会影响系统的安全性。第8章信息系统安全ppt[1]8.4保护信息资源的技术与工具8.4.1访问控制访问258.4.2防火墙、入侵探测系统与杀毒软件防火墙是由软件和硬件设备组合而成，控制进出网络的通信。防火墙一般设置在组织专用的内部网络和外部网络(如互联网)之间，也可用于内部网络，把某个部分与其他部分分隔开来。防火墙如同看门人，在允许访问之前，检查每个用户的凭证。防火墙可识别名称、IP地址、应用程序和进入网络通信的其他特征。它根据网络管理员事先设定的访问规则，检查相应信息。防火墙阻止未经授权的通信进出网络。第8章信息系统安全ppt[1]8.4.2防火墙、入侵探测系统与杀毒软件防火墙是由软件和26入侵探测系统入侵探测系统(intrusiondetectionsystems)对公司网络最脆弱的点或“热点”实施不间断的实时监控，及时发现和阻止入侵者。如果系统发现可疑或异常事件，就会生成警报。病毒扫描软件检查是否有与已知攻击类型相似的攻击，如错误口令，也检查重要文件是否已被删除或修改，并发送破坏警告或系统管理错误。监控软件检查正在运行的进程，即时发现安全攻击。入侵检测工具也可在收到未经授权的通信时，自行关闭网络中非常敏感的部分。第8章信息系统安全ppt[1]入侵探测系统入侵探测系统(intrusiondetecti27常见的杀毒软件和反间谍软件第8章信息系统安全ppt[1]常见的杀毒软件和反间谍软件第8章信息系统安全ppt[1]28统一威胁管理系统安全软件生产商为帮助企业降低成本，提高企业可管理性，把多种安全工具整合到一起，包括防火墙、虚拟专用网络、入侵探测系统、Web内容过滤和反垃圾邮件软件。整合的安全管理产品被称为统一威胁管理(unifiedthreatmanagement,UTM)系统。第8章信息系统安全ppt[1]统一威胁管理系统安全软件生产商为帮助企业降低成本，提高企业可298.4.3保障无线网络的安全尽管WEP有缺陷，但如果Wi-Fi用户激活WEP，它能提供一定程度的安全保障。阻止黑客最简单的方法是给SSID选择一个安全的名字，并隐藏路由器名字以免广播。企业可以在访问内部网络的数据时，同时使用Wi-Fi和虚拟专用网络(VPN)连接，进一步保证Wi-Fi的安全。第8章信息系统安全ppt[1]8.4.3保障无线网络的安全尽管WEP有缺陷，但如果Wi308.4.4加密和公共密钥基础架构许多企业在存储、传输或通过互联网发送数字信息时，将数字信息加密以保护其安全。加密(encryption)即将文本或数据转换成密码文本的过程，除发送方和接收方，其他人无法阅读。数据可通过数字代码进行加密，即密钥，密钥把普通数据转换为密文。信息必须由接收方解密。加密有两种方法：

对称密钥加密和公共密钥加密。对称密钥加密要求发送方和接收方在安全会话之前，商定一个密钥，在会话中双方使用同一密钥。这种密钥的位长越长，安全性越高。第8章信息系统安全ppt[1]8.4.4加密和公共密钥基础架构许多企业在存储、传输或通31所有对称加密方案的问题在于发送方和接收方须共享同一密钥，入侵者可能在密钥传输途中拦截和解密该密钥。公共密钥加密(publickeyencryption)更加安全，它采用两个密钥：一个是公钥，一个是私钥，这两个密钥之间在数学上有关联，因此由一个密钥加密的信息只能用另一个解密。交流双方在发送和接收信息之前，首先要分别创建公开和私密的密钥对。公钥保存在公开目录下，私钥则须用户秘密保存。信息的发送方用公钥加密信息。接收方收到信息后，使用他的私钥解密。第8章信息系统安全ppt[1]所有对称加密方案的问题在于发送方和接收方须共享同一密钥，入侵32数字证书(digitalcertificates)是用来确认用户身份的数据文件和用于保护网上交易的电子文档。数字证书系统委托可信赖的第三方，即证书授权中心（CA），验证用户身份。美国及世界其他地方有许多CA，如美国的VeriSign、IdenTrust和澳大利亚的KeyPost.数字证书可以用于确认个人身份或电子资产，通过提供安全、加密的网上交流以保护在线交易的安全。第8章信息系统安全ppt[1]数字证书(digitalcertificates)是用来确33美国的VeriSign：世界著名CA第8章信息系统安全ppt[1]美国的VeriSign：世界著名CA第8章信息系统安全ppt34经过VERISIGN认证的网站，可放心访问第8章信息系统安全ppt[1]经过VERISIGN认证的网站，可放心访问第8章信息系统安全358.4.5保证系统的可用性

企业的盈利和运作日渐依赖数字网络，它们需要采取更多方式保证系统和应用程序正常运行。例如，航空公司和金融服务公司需要联机处理交易，它们多年来一直使用容错计算机系统，以确保百分之百的可用性。联机交易处理(onlinetransactionprocessing)中，网上交易可立即由计算机处理，数据库内容随之改变，生成报表并实时响应信息需求。容错计算机系统(fault-tolerantcomputersystems)包含备用的硬件、软件和电力供应系统，确保系统可提供不间断的服务。容错计算机使用特殊的软件程序或内置的自我检查电路，检测硬件故障并可自动切换到备份设备。即使这些计算机的部件被移除或修复，整个计算机系统也不会停止工作。研究人员正在探索计算机系统在事故发生后恢复更快的方法，这种方法被称为面向恢复的计算(recovery-orientedcomputing)。这项工作包括设计迅速恢复的系统，开发功能和工具，帮助运营商迅速找出多组件系统故障的原因且排除故障。第8章信息系统安全ppt[1]8.4.5保证系统的可用性企业的盈利和运作日渐依368.4.6保证软件质量企业除实行有效的安全和控制措施外，还可以通过软件量度和严格的软件测试来提高系统质量和可靠性。软件量度是以量化形式客观评估系统。信息系统部门和终端用户可利用量度共同测试系统性能，并找出共有问题。第8章信息系统安全ppt[1]8.4.6保证软件质量企业除实行有效的安全和控制措施外，37案例：巴林银行的倒闭（备注：本案例与P283案例相似，但更有说服力。）巴林银行是世界上最古老的银行之一，1763年创办于英国，是世界上首家商业银行，也是英国皇室的首选银行。尼克·理森于1989年来到巴林银行的新加坡分行工作，由于表现出色，于1992年就任分行“期货与期权交易部”的部门经理。从事期货、股指交易。巴林银行原有一个“99905”的特殊账户，如果交易员发生错误造成损失，该笔交易必须记入此账户，由巴林总部审核。由于交易错误在所难免，因此99905是一个正常账户，所产生的损失也较小，属于巴林银行可承担的损失范围之内。该账户的重要作用是及时发现错误，并加以改正。1992年厦，伦敦总部要求新加坡分行另外设立一个帐号，用于记录微小错误并自行处理这些错误，以免影响总部的正常工作。考虑到“8”在中国是一个吉祥数字，里森设立了“88888”帐号。但随即伦敦总部又要求，所有错误还是通过99905帐号记录并向总部汇报。于是88888账户就被遗忘了，但是并未被删除。第8章信息系统安全ppt[1]案例：巴林银行的倒闭（备注：本案例与P283案例相似，但更有38从此以后，里森便利用了这个被人遗忘的账户，处理那些损失较大的交易，以便今后通过其他交易能够弥补损失。在一开始里森做的比较顺利，曾经在1993年成功弥补了该账户下的600万英镑的亏损，并略有盈余。于是里森的胆子越来越大。到了1994年7月，由于对市场判断失误，88888账户中的累计亏损多达5000万英镑，1995年，里森大量买进日元，但由于日本发生神户大地震，致使日元暴跌，所有这些损失都被计入88888账户，到了1995年2月23日，巴林银行账面亏损已高达8.6亿英镑，当晚里森畏罪潜逃，流亡4天后，在法兰克福机场被逮捕，此时巴林银行的亏损已高达14亿英镑。巴林银行向英国央行发出求救，但是考虑到日元仍会进一步下跌，巴林的损失会更大，因此无任何金融机构敢出手相救。巴林银行就此倒闭。第8章信息系统安全ppt[1]从此以后，里森便利用了这个被人遗忘的账户，处理那些损失较大的39演讲完毕，谢谢听讲!再见，seeyouagain3rew2023/1/2第8章信息系统安全ppt[1]演讲完毕，谢谢听讲!再见，seeyouagain3rew40第8章-信息系统安全ppt2023/1/2第8章信息系统安全ppt[1]第8章-信息系统安全ppt2022/12/18第8章信息系统41开篇案例：波士顿凯尔特人大败间谍软件波士顿凯尔特人在篮球场上争夺季后赛席位的同时，球队后方也打起了信息战。信息主管Wessel试图帮助球队摆脱间谍软件的困扰。Wessel带领他的团队管理约100台笔记本电脑，分属于教练、球探及销售、市场和财务部门的员工，他们的计算机被植入了许多恶意软件。Wessel认为“宾馆的网络是间谍软件活动的温床”。在外面受间谍软件侵害的计算机再带回波士顿球队总部使用，这样就造成网络阻塞。此外，间谍软件也会影响凯尔特人专用统计数据库的进入和使用。凯尔特人队标第8章信息系统安全ppt[1]开篇案例：波士顿凯尔特人大败间谍软件波士顿凯尔特人在42使用Mi5Webgate阻止间谍软件入侵计算机网络，同时阻止已被植入间谍软件的计算机连接外部网络使用SurfControl过滤电子邮件和网页浏览使用TrendMicro杀毒使用SonicWALL防火墙和入侵探测系统使用AladdineSafe阻止其他恶意软件凯尔特人队的技术解决方案：第8章信息系统安全ppt[1]使用Mi5Webgate阻止间谍软件入侵计算机网络，同时阻43凯尔特人夺得过17次NBA总冠军，年份分别是1957、1959、1960、1961、1962、1963、1964、1965、1966、1968、1969、1974、1976、1981、1984、1986、2008第8章信息系统安全ppt[1]凯尔特人夺得过17次NBA总冠军，年份分别是1957、195448.1系统脆弱性与滥用8.1.1为什么系统容易遭到破坏1、互联网的脆弱性左图为谷歌公布的被攻破网站的数量分布图，从多到少依次为：红色橙色、黄色、绿色、第8章信息系统安全ppt[1]8.1系统脆弱性与滥用8.1.1为什么系统容易遭到破坏452、无线网络的安全挑战如果和其他用户处在同一个Wifi区域内，则其他用户就有了直接攻击本机的能力注：Wifi是WirelessFidelity（无线保真）的缩写第8章信息系统安全ppt[1]2、无线网络的安全挑战如果和其他用户处在同一个Wifi区域内46案例：最恶劣的数据盗窃案在国外网站，单凭信用卡号及少数资料即可消费，没有密码。因此，如果购物网站没有妥善保管好用户的信用卡信息而被黑客窃取，将会给用户带来很大的损失。2008年8月初，美国联邦检察官指控5个国家的11名犯罪嫌疑人盗取4100多万个信用卡和借记卡号码。这是迄今为止历史上最大的信用卡号码盗窃案。他们的作案目标集中在大型零售连锁店，如OT.J.Maxx等。通过这些企业的网络漏洞，入侵其系统，截获客户的信用卡号并出售，非信用卡则直接去ATM机提取现金。第8章信息系统安全ppt[1]案例：最恶劣的数据盗窃案在国外网站，单凭信用卡号及少数资料即478.1.2恶意软件：病毒、蠕虫、木马、间谍软件恶意软件（malware）是指对计算机造成威胁的软件，如计算机病毒、蠕虫和木马。计算机病毒（computervirus）是指在用户不知晓或未允许的情况下，在计算机程序或数据文件中插入的可执行的一组计算机指令或者程序代码。大多数计算机病毒都会造成一定后果。蠕虫（worms）：不需要依赖其他程序，可独立存在，能通过网络在计算机之间实现自我复制和传播。木马(Trojanhorse)表面上没有什么破坏性，但是它所造成的后果会出乎意料。木马不会自我复制，从这个角度来看，它不是病毒，不过它经常把病毒或其他恶意代码带入计算机系统。间谍软件(spyware)也是恶意软件。这些小程序自动安装在计算机上，监控用户的上网记录并为广告服务。第8章信息系统安全ppt[1]8.1.2恶意软件：病毒、蠕虫、木马、间谍软件恶意软件（m482006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下，隐藏着巨大的传染潜力，短短三四个月，“烧香”潮波及上千万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。2007年2月3日，“熊猫烧香”病毒的制造者李俊落网。随着案情的揭露，一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件，盗号者追寻这些图案，利用木马等盗号软件，盗取电脑里的游戏账号密码，取得虚拟货币进行买卖。“熊猫烧香”案主犯李俊最终被判处有期徒刑4年第8章信息系统安全ppt[1]2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及498.1.3黑客与计算机犯罪1、电子欺骗和窃听黑客经常伪装成其他用户，以开展非法行为，这属于网络欺骗。例如，伪造虚假的邮件地址，冒用他人IP地址等……电子欺骗（spoofing）还可能涉及将网页链接重定向至与本来的地址不同的地址，该地址被伪装成目的地。第8章信息系统安全ppt[1]8.1.3黑客与计算机犯罪1、电子欺骗和窃听黑客经常伪装50嗅探器(sniffer)是一种可以监控网络中信息传输的窃听程序。嗅探器合法使用时，有助于发现潜在的网络故障点或网络犯罪活动，但在非法使用的情况下，它们的危害巨大并非常难以察觉。黑客可以利用嗅探器在网络上任何位置窃取专有信息，包括电子邮件、公司文件和机密报告。第8章信息系统安全ppt[1]嗅探器(sniffer)是一种可以监控网络中信息传输的窃听程512、拒绝服务攻击拒绝服务(denial-of-service,DoS)攻击是指黑客向网络服务器或Web服务器发送大量请求，使服务器来不及响应，从而无法正常工作。分布式拒绝服务(DDoS)攻击利用大量计算机从众多发射点发送请求，使网络崩溃。第8章信息系统安全ppt[1]2、拒绝服务攻击拒绝服务(denial-of-service523、计算机犯罪美国司法部对计算机犯罪（computercrime）的定义是“任何利用计算机技术，可以构成犯罪、审查或起诉的违法行为”根据2007年SCI对近500家企业有关计算机犯罪和安全的调查显示，它们因计算机犯罪和安全攻击年均损失350，424美元(Richardson,2007)。许多公司都不愿举报计算机犯罪，因为可能有本公司的员工涉案，或者担心暴露系统漏洞可能损害公司声誉。计算机犯罪中造成经济损失最大的是DoS攻击、植入病毒、窃取服务和破坏计算机系统。第8章信息系统安全ppt[1]3、计算机犯罪美国司法部对计算机犯罪（computercr534、身份盗用身份盗用(identitytheft)是一种犯罪行为，冒名者利用所获得的他人的重要个人信息，如社会安全号码、驾驶执照号码或信用卡号码，冒充他人身份。该信息可能被用于以受害人的身份获得信贷、商品或服务，或者提供虚假证明。网络钓鱼（phishing）是指建立虚假网站或发送看似来自合法企业的电子邮件或文本消息。双子星病毒（eviltwins）是一种假装提供可信的Wi-Fi以连接互联网的无线网络，比如机场大厅、旅馆里的无线网络。第8章信息系统安全ppt[1]4、身份盗用身份盗用(identitytheft)是一种犯545、点击欺诈当你点击搜索引擎上所显示的广告时，广告商通常要为每次点击支付一定费用，因为你被视为其产品的潜在买家。点击欺诈（clickfraud）是指个人或计算机程序点击网络广告，但不想了解广告商所发布的信息或无购买意向。第8章信息系统安全ppt[1]5、点击欺诈当你点击搜索引擎上所显示的广告时，广告商通常要为556、全球性威胁：网络恐怖主义和网络战互联网或其他网络存在的漏洞使数字网络更易受到恐怖分子、外国情报机构或希望造成大范围破坏和损害的其他群体的攻击。这种网络攻击可能针对电网运行所用的软件、空中交通控制系统或主要银行和金融机构的网络。至少有20个国家被认为是有能力发展进攻型和防御型网络战的国家。2007年，美国共有12，986项政府单位网络系统受袭的报告，其中美国军用网络被入侵的次数与上年同期相比增加了55%。美国国防部的承包公司也受到了攻击。第8章信息系统安全ppt[1]6、全球性威胁：网络恐怖主义和网络战互联网或其他网络存在的漏568.1.4内部威胁：员工人们总是认为，系统安全威胁都来自企业外部。实际上公司内部员工也会威胁系统安全。员工知晓公司安全系统的运作机制，可以收集机密信息且不留痕迹。研究发现，用户缺乏相关知识是导致网络安全遭到破坏的最主要原因。许多员工忘记他们进入计算机系统的密码或允许同事使用自己的密码，这些行为均会为系统带来威胁。有些恶意入侵者冒充企业内部员工，以工作需要为由让真实员工提供密码等信息，从而进入企业网络。第8章信息系统安全ppt[1]8.1.4内部威胁：员工人们总是认为，系统安全威胁都来自578.1.5软件漏洞软件的主要问题是存在隐藏错误（bugs）或程序代码缺陷。研究发现，对于大型软件而言，实际上无法完全消除所有程序错误。第8章信息系统安全ppt[1]8.1.5软件漏洞软件的主要问题是存在隐藏错误（bugs）588.2信息系统安全与控制的商业价值8.2.1电子记录管理的法规与制度要求8.2.2电子证据与计算机取证

计算机取证(computerforensics)是指科学地收集、审查、认证、保存和分析数据，该数据可从计算机存储媒介中获取或恢复，且可在法庭上作为有效证据使用。电子证据可能以文件的形式存留在计算机存储介质中，即环境数据，普通用户无法看见这些数据，例如已从计算机硬盘中删除的文件。人们可能通过各种技术恢复已被用户删除的数据。计算机取证专家可试图恢复该类隐藏数据作为证据提交。第8章信息系统安全ppt[1]8.2信息系统安全与控制的商业价值8.2.1电子记录598.3建立安全与控制的管理框架8.3.1信息系统的控制类型

一般控制（generalcontrols）指的是贯穿整个组织信息技术基础设施，为管理计算机程序的设计、安全和使用，以及数据文件安全而进行的总体控制活动。应用控制（applicationcontrols）是针对特定计算机应用（比如薪资结算或订单处理程序）的特殊控制活动。应用控制可分为：（1）输入控制；（2）处理控制；（3）输出控制。第8章信息系统安全ppt[1]8.3建立安全与控制的管理框架8.3.1信息系统的控60

8.3.2风险评估

风险评估（riskassessment）能够确定当某一活动或流程没有得到适当控制时公司面临的风险程度

第8章信息系统安全ppt[1]

8.3.2风险评估风险评估（riskasse618.3.3安全策略安全策略（securitypolicy）包括信息风险分级、确定可接受的安全目标以及实现安全目标的机制。第8章信息系统安全ppt[1]8.3.3安全策略安全策略（securitypolicy628.3.4灾难恢复计划和业务持续计划灾难恢复计划（disasterrecoveryplanning）是指在计算和通信服务遭到破坏后，为将其恢复所制定的计划。业务持续计划（businesscontinuityplanning）关注企业在遭受灾难后如何恢复业务运营。第8章信息系统安全ppt[1]8.3.4灾难恢复计划和业务持续计划灾难恢复计划（disa638.3.5审计的作用管理信息系统审计（MISaudit）要审查公司的整体安全环境以及个人使用信息系统的控制情况。第8章信息系统安全ppt[1]8.3.5审计的作用管理信息系统审计（MISaudit）648.4保护信息资源的技术与工具8.4.1访问控制访问控制(accesscontrol)是企业用来防止未经授权的内部访问和外部访问的所有政策和程序。用户须在授权和认证后才可访问系统中的信息。认证(authentication)用于确认用户的真实身份。访问控制软件只允许经过认证的授权用户使用系统或访问数据。通常情况下，用户可通过密码完成认证。终端用户可输入密码登录计算机系统，访问特定的系统和文件。然而，用户有时会忘记密码，与他人共用一个密码，或者密码设置过于简单，这些都会影响系统的安全性。第8章信息系统安全ppt[1]8.4保护信息资源的技术与工具8.4.1访问控制访问658.4.2防火墙、入侵探测系统与杀毒软件防火墙是由软件和硬件设备组合而成，控制进出网络的通信。防火墙一般设置在组织专用的内部网络和外部网络(如互联网)之间，也可用于内部网络，把某个部分与其他部分分隔开来。防火墙如同看门人，在允许访问之前，检查每个用户的凭证。防火墙可识别名称、IP地址、应用程序和进入网络通信的其他特征。它根据网络管理员事先设定的访问规则，检查相应信息。防火墙阻止未经授权的通信进出网络。第8章信息系统安全ppt[1]8.4.2防火墙、入侵探测系统与杀毒软件防火墙是由软件和66入侵探测系统入侵探测系统(intrusiondetectionsystems)对公司网络最脆弱的点或“热点”实施不间断的实时监控，及时发现和阻止入侵者。如果系统发现可疑或异常事件，就会生成警报。病毒扫描软件检查是否有与已知攻击类型相似的攻击，如错误口令，也检查重要文件是否已被删除或修改，并发送破坏警告或系统管理错误。监控软件检查正在运行的进程，即时发现安全攻击。入侵检测工具也可在收到未经授权的通信时，自行关闭网络中非常敏感的部分。第8章信息系统安全ppt[1]入侵探测系统入侵探测系统(intrusiondetecti67常见的杀毒软件和反间谍软件第8章信息系统安全ppt[1]常见的杀毒软件和反间谍软件第8章信息系统安全ppt[1]68统一威胁管理系统安全软件生产商为帮助企业降低成本，提高企业可管理性，把多种安全工具整合到一起，包括防火墙、虚拟专用网络、入侵探测系统、Web内容过滤和反垃圾邮件软件。整合的安全管理产品被称为统一威胁管理(unifiedthreatmanagement,UTM)系统。第8章信息系统安全ppt[1]统一威胁管理系统安全软件生产商为帮助企业降低成本，提高企业可698.4.3保障无线网络的安全尽管WEP有缺陷，但如果Wi-Fi用户激活WEP，它能提供一定程度的安全保障。阻止黑客最简单的方法是给SSID选择一个安全的名字，并隐藏路由器名字以免广播。企业可以在访问内部网络的数据时，同时使用Wi-Fi和虚拟专用网络(VPN)连接，进一步保证Wi-Fi的安全。第8章信息系统安全ppt[1]8.4.3保障无线网络的安全尽管WEP有缺陷，但如果Wi708.4.4加密和公共密钥基础架构许多企业在存储、传输或通过互联网发送数字信息时，将数字信息加密以保护其安全。加密(encryption)即将文本或数据转换成密码文本的过程，除发送方和接收方，其他人无法阅读。数据可通过数字代码进行加密，即密钥，密钥把普通数据转换为密文。信息必须由接收方解密。加密有两种方法：

对称密钥加密和公共密钥加密。对称密钥加密要求发送方和接收方在安全会话之前，商定一个密钥，在会话中双方使用同一密钥。这种密钥的位长越长，安全性越高。第8章信息系统安全ppt[1]8.4.4加密和公共密钥基础架构许多企业在存储、传输或通71所有对称加密方案的问题在于发送方和接收方须共享同一密钥，入侵者可能在密钥传输途中拦截和解密该密钥。公共密钥加密(publickeyencryption)更加安全，它采用两个密钥：一个是公钥，一个是私钥，这两个密钥之间在数学上有关联，因此由一个密钥加密的信息只能用另一个解密。交流双方在发送和接收信息之前，首先要分别创建公开和私密的密钥对。公钥保存在公开目录下，私钥则须用户秘密保存。信息的发送方用公钥加密信息。接收方收到信息后，使用他的私钥解密。第8章信息系统安全ppt[1]所有对称加密方案的问题在于发送方和接收方须共享同一密钥，入侵72数字证书(digitalcertificates)是用来确认用户身份的数据文件和用于保护网上交易的电子文档。数字证书系统委托可信赖的第三方，即证书授权中心（CA），验证用户身份。美国及世界其他地方有许多CA，如美国的VeriSign、IdenTrust和澳大利亚的KeyPost.数字证书可以用于确认个人身份或电子资产，通过提供安全、加密的网上交流以保护在线交易的安全。第8章信息系统安全ppt[1]数字证书(digitalcertificates)是用来确73美国的VeriSign：