会计信息系统第10章 信息系统安全与控制体系

第十章信息系统安全与控制体系Slide

1Security

&

Controls

for

Information

System主要内容第一节信息系统安全概述第二节脆弱性与威胁第三节控制体系第四节灾难风险管理第五节信息系统安全与风险控制Slide

1信息系统安全概述Slide

1一、信息系统安全与信息安全二、信息系统安全的影响因素分析三、信息安全系统的目标分析与组织的信息安全系统四、信息系统安全特性五、信息系统安全等级划分一、信息系统安全与信息安全（1）Slide

1

信息系统安全（informationsystemssecurity）与信息安全（information

security）是一对不太完全相同的概念。

信息安全与信息系统安全是安全集与安全子集的关系，具有包含与被包含的关系。

信息安全有着更广泛、更普遍的意义，它涵盖了人工和自动信息处理的安全，网络化与非网络化的信息安全，泛指一切以声、光、电信号、磁信号、语音及约定形式等为媒体的信息的安全，一般也包含以纸介质、磁介质、胶片、有线信道及无线信道为媒体的信息，在获取（包括信息转换）、分类、排序、检索、传递和共享中的安全。一、信息系统安全与信息安全（2）Slide

1信息系统安全可理解为：与人、网络、环境有关的技术安全、结构安全和管理安全的总和，旨在确保在计算机网络系统中进行自动通信、处理和利用的、以电磁信号为主要形式的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，始终具有可信性、机密性、完整性、可用性、和抗抵赖性等安全特质。从系统过程与控制角度看，信息系统安全就是信息在存取、处理、集散和传输中保持其可信性、

机密性、完整性、可用性和抗抵赖性的系统识别、控制、策略和过程。一、信息系统安全与信息安全（3）Slide

1上述概念中，系统识别主要研究如何建立系统的数学模型，内容包括模型类型的确定、参数估计方法和达到高精度估计的试验设计方法。控制指信息系统根据变化进行调控，使其始终保持动态平衡状态。因此，调控的方向和目标就是使信息系统始终处于风险可接受的幅度内，并逐步收敛至风险趋于最小的状态。一、信息系统安全与信息安全（4）Slide

1策略就是针对信息系统安全面临的系统脆弱性和各种威胁，进行安全风险分析，确定安全目标，建立安全模型和安全等级，提出控制对策，并对信息系统安全进行评估、制定安全保障和安全仲裁等对策。过程指信息系统的变化在时间上的持续和空间上的延伸。过程和状态不可分割，二者相互依存、相互作用和制约。信息系统的状态决定和影响着过程，而过程又决定和影响着新的状态。二、信息系统安全的影响因素分析Slide

1信息系统本身由于系统主体和客体的原因可能存在不同程度的脆弱性，这就为各种动机的攻击提供了入侵、骚扰和破坏信息系统可利用的途径和方法。影响信息系统安全的因素主要有以下几个方面：硬件组织软件组织网络和通讯协议管理者三、信息安全系统的目标分析与组织中的信息安全系统（1）Slide

1信息系统安全系统的目标√为了控制与计算机信息系统有关的特别风险，一个特殊的系统——信息安全系统诞生了，这个系统具有任何一个信息系统的基本物理要素，它也是一种信息系统。√该系统的总体目标就是确保其他信息系统的安全。√信息安全系统的总体目标可以分解到生命周期的各阶段中去，如表11-1所示。表10-1信息安全系统生命周期各阶段的目标生命周期阶段该阶段目标系统分析分析信息系统的脆弱性和面临的威胁及其连带的风险系统设计针对风险设计安全控制措施并制订偶然事件计划系统实施按照设计实施安全控制措施系统运行、评价和控制运行该系统并评估其效果和效率，对其存在的问题可做纠偏调整Slide

1三、信息安全系统的目标分析与组织中的信息安全系统（2）√表11-1中的四个阶段合起来被称为信息系统风险管理，其目标就是为了评估和控制信息系统风险，确保信息系统安全。组织中的信息安全系统√在一个已经实施信息系统的组织中，为了确保信息安全系统的有效性，必须安排一个专门负责人——首席安全官（CSO）来管理，并且为了保持

CSO的完全独立性，应当规定由他或她直接向董事会报告。CSO的主要责任之一便是将涉及信息系统安全的报告呈交董事会以求后者审批通过，报告的内容可参见表11-2。表11-2

CSO向董事会提交的有关报告一览表生命周期阶段此阶段应向董事会提交的报告系统分析有关所有损失风险的总结报告系统设计控制损失风险的详细计划，包括信息安全系统的整体预算系统实施、系统运行、评价和控制信息安全系统的实施细节、包括损失和破坏的分条细目、符合性分析以及信息安全系统的运行成本四、信息系统安全特性（1）抗抵赖性完整性可信性可用性机密性信息系统安全特性通常可从以下五个方面来认识：指要求信息系统对信息输入、处理和输出的全Slide

1过程必须进行必要的识别和验证，以确保信息的真实可靠。四、信息系统安全特性（2）信息系统安全特性通常可从以下五个方面来认识：抗抵赖性可信性完整性机密性可用性信息系统能够在规定条件下和规定的时间内完成规定的功能的特性，它是信息系统安全的最基本要求之一。Slide

1四、信息系统安全特性（3）信息系统安全特性通常可从以下五个方面来认识：抗抵赖性可信性完整性机密性可用性机密性也叫保密性，是指信息系统能够保证信息不被泄露给任何非授权的用户、实体或过程，或者供后者利用的特性，即保证信息只给授权用户合理使用的特性。Slide

1四、信息系统安全特性（4）信息系统安全特性通常可从以下五个方面来认识：抗抵赖性可信性完整性机密性可用性Slide

1指信息在未经授权之下不能擅自变更的特性，即网络信息在存储或传输过程中保持不被偶然或故意删除、修改、伪造、插入、重置等行为破坏和丢失的特性。四、信息系统安全特性（5）抗抵赖性完整性可信性可用性机密性Slide

1信息系统安全特性通常可从以下五个方面来认识：指要求信息系统在信息的传输、处理和存储等过程中要有据可查，使得相应的操作主体或者交易主体无法否认过去真实发生的、对信息所做的记录、处理、查询或者其他操作性行为。五、信息系统安全等级划分（1）Slide

1信息系统的安全问题事关重大，通过等级划分对信息系统安全程度进行分析和评估是非常必要的，也是很有意义的。目前，各国颁布的信息系统安全等级标准不尽相同。美国国防部于1985公布的《可信计算机系统评估准则（Trusted

Computer

System

EvaluationCriteria，TCSEC）》使用了TCB（TrustedComputing

Base）概念，将安全问题分成四个方面：安全策略、可说明性、安全保障和文档。五、信息系统安全等级划分（2）Slide

1在TCSEC中，安全策略包括自主式接入控制（DAC，是指由文件的持有者来决定拒绝或允许用户对信息的访问）、受控式接入控制（MAC，是指由系统来决定对文件的访问

权）、敏感标记和对象重用等。

该标准根据所采用的安全策略及系统所具备的安全功能将系统分为4类7个安全级别，参见表11-3所示。

值得注意的是，TCSEC原来主要针对的是操作系统的安

全评估，后来有关方面为了使TCSEC能够适用于网络等

系统，于1987年出版了一系列有关可信计算机数据库、可信计算机网络等方面的指南，较好地解释了网络环境下的软件产品如何进行安全性评估的问题。表11-3

TCSEC安全等级划分类别名称安全级别安全作用可信程度A可证实保护A保护性能极高，目前的技术条件难以得到最高B受控式保护B3安全域保护现实最高B2结构式保护高B1带有标示的保护次高C自主式保护C2受控式访问保护中C1自主式访问保护低D最小保护D不具备安全特性最低五、信息系统安全等级划分（4）Slide

1我国于1999年由公安部主持、国家质量技术监督局发布的GB7895-1999《计算机信息系统安全保护等级划分准则》将信息系统安全分为五个等级，分别是：第一级，用户自主保护级。它的安全保护机制可使用户具备自主安全保护的能力，以使用户的信息免受非法的读写破坏；第二级，系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己行为的合法性负责；五、信息系统安全等级划分（5）Slide

1第三级，安全标记保护级。除继承上一级别的安全保护功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制功能；第四级，结构化保护级。在继承前述安全级别的安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问这对访问对象的存取，从而加强系统的抗渗透能力；第五级，访问验证保护级。该级别特别增设了访问验证功能，负责仲裁访问者对访问对象对象的所有访问活动

。主要内容第一节信息系统安全概述第二节脆弱性与威胁第三节控制体系第四节灾难风险管理第五节信息系统安全与风险控制Slide

1脆弱性与威胁Slide

1一、脆弱性与威胁的分析方法二、信息系统舞弊三、对信息系统构成威胁的个人及其实施的主动威胁四、因特网的脆弱性与威胁一、脆弱性与威胁的分析方法（1）Slide

1脆弱性是指一个系统的薄弱环节；威胁则是指利用这种脆弱性对信息资源造成破坏或者损失的可能性；威胁一般有两种：主动威胁和被动威胁，前者主要包括信息系统舞弊和计算机破坏行为，后者则包括系统故障和自然灾害等。威胁一旦发生，其结果势必给系统造成影响，威胁利用脆弱性使组织产生短期或长期、直接或间接的经济损失。一、脆弱性与威胁的分析方法（2）Slide

1系统的脆弱性是客观存在的，其本身没有实际的伤害，但威胁可以利用脆弱性来发挥作用。从这点来说，可以将信息系统的风险理解为威胁利用了系统的脆弱性而导致的。对信息系统的脆弱性和威胁的分析方法一般有两种方法，即定量分析方法和定性分析方法。定量分析方法是将每种威胁的潜在损失与其发生的概率（风险系数）的乘积来计算损失风险，如表11-4所示。表11-4威胁分析报告威胁类型潜在损失（元）风险系数损失风险（元）数据窃取700

0000000.05035

000000舞弊与病毒攻击1

200

0000000.02530

000000恶意破坏2

500

0000000.01025

000000文档变更400

0000000.05020

000000程序变更80

0000000.0201

600000一、脆弱性与威胁的分析方法（4）Slide

1根据表11-4可知，数据窃取可能造成的损失风险最大，其次是舞弊与病毒攻击，而自然灾害可能造成的损失风险最小。但是，从威胁发生的可能性来看，最可能发生的威胁是设备盗窃，但它造成的损失风险未必最大。通过这种定量分析方法，对各种威胁发生的可能性大小、以及造成的损失风险的大小一目了然，有助于我们采取相应的措施以提高信息系统抗威胁的能力。一、脆弱性与威胁的分析方法（5）Slide

1

值得注意的是，将定量分析方法用于评估损失风险在实际操作上会存在许多困难。最大的困难恐怕在于确定单位损失的相关成本以及风险发生的可能性方面。

定性分析方法仅仅列出系统脆弱性和威胁，根据它们对组织总损失风险的影响大小，人为地将其分成几个等级，规定脆弱性和威胁对组织总损失风险的影响越大，其等级越高，反之，其等级越低。通过这种分析，我们可以重点关注处于较高等级的威胁。

不管采取上述哪种分析方法，都需要对以下几个方面进行分析评估：业务中断、设备与硬件损失、软件损失、数据损失、服务与人员损失等。二、信息系统舞弊（2）Slide

1商业环境下的舞弊有其特殊的含义，它通常指一种故意的伪造、滥用公司财产以及操作财务数据已谋取不当利益。舞弊的方式多种多样，在企业日益重视信息系统应用的今天，信息系统舞弊（也可笼统视为计算机舞弊）已经成为一种新型舞弊形式，它对企业所造成的损失占企业各项损失总和的比例正在呈现上升势头。二、信息系统舞弊（3）Slide

1信息系统舞弊主要包括以下内容：通过修改信息系统可读取的记录和文件来偷窃、滥用和侵吞资产；通过修改信息系统软件的处理逻辑来偷窃、滥用和侵吞资产；对信息系统可读取信息的偷窃和非法使用谋取不当利益；对信息系统软件的偷窃、贪污、非法拷贝和故意破坏；对信息系统硬件的偷窃、滥用和侵吞。二、信息系统舞弊（4）Slide

1事实上，通过对会计信息系统通用模型（参见下图11-1）的分析，我们不难知道，在该模型的每一个阶段——数据采集、数据处理、数据库管理和信息生成——都是信息系统舞弊可能发生的

“高危”领域。图11-1会计信息系统的通用模型示意图二、信息系统舞弊（6）Slide

1数据采集阶段。数据采集属于信息系统的第一个运行阶段，其目的是保证进入系统的交易事件数据是有效、完整并且没有重大错误。而最简单的信息系统舞弊就可能发生在数据采集阶段或数据输入阶段。在这个阶段实施舞弊行为仅仅需要一点点或者根本不需要计算机技能，舞弊者只需了解系统工如何输入将要处理的数据就可以了。二、信息系统舞弊（7）Slide

1数据采集阶段（续）这可以是删除、修改或者增加一项交易。比如，要进行工资舞弊，舞弊者只需通过改变其他合法的工资记录上的工时字段的数值来增加工资转账的金额（现在大部分企业已通过银行代发工资），当然，这项改动行为有可能被企业内部控制发现而无效，但仍有存在逃过内部控制检查的可能性。二、信息系统舞弊（8）Slide

1数据采集阶段（续）这种舞弊的一个变种是清偿一项假的应付项目。通过在应付项目的数据采集阶段输入虚假的应付凭单（订单、收货报告单和供应商发票），舞弊者可以欺骗系统为不存在的交易创建应付账款记录，一旦记录被成功创建，系统将认为它是合法的并且到期就应偿付的负债，而背后的得利者是伪造单据的舞弊者。二、信息系统舞弊（9）Slide

1数据处理阶段数据处理阶段的舞弊可归为两类：一类是程序舞弊，另一类是操作舞弊。程序舞弊包括使用创建非法程序、用计算机病毒破坏正常程序的逻辑、改变程序的逻辑使数据处理不正常。这方面最为典型的例子就是萨拉米舞弊，它通过修改银行计算客户存款利息的程序的处理逻辑，将利息计算的四舍五入的一分钱不再随机加入到原账户，而是被加到了舞弊者指定的账户上，这可以为舞弊者收集到为数不少的现金，但在银行的会计记录上却始终能够保持平衡而不被发现。操作舞弊是指滥用或偷窃公司的计算机资源。二、信息系统舞弊（10）Slide

1数据库管理阶段公司的数据库是其财务和非财务数据的物理集散地，利用数据库管理的机会进行的舞弊称为数据库管理舞弊，它包括更改、删除、乱序、毁坏或偷窃公司的数据，这种舞弊常常与交易舞弊和程序舞弊相关联。信息生成阶段信息生成是为用户编译、安排、格式化和表达信息的过程。在这一阶段的舞弊常见的形式是偷窃、误导或滥用信息系统的输出信息。二、信息系统舞弊（11）Slide

1今天，信息系统舞弊已经是非常严重，很多国家为此制定了计算机安全的法律美国于1986年颁布的计算机舞弊与滥用法案将以下行为称为联邦犯罪：有意地、欺诈性地、未经授权地接近存储于金融机构、联邦政府或洲际商业计算机中的数据。非法尝试接近计算机系统的密码行为也是被法律禁止的。我国在新修订的《刑法》中也明确了计算机犯罪的主要形式和相应的刑罚规定。三、对信息系统构成威胁的个人及其可能实施的主动威胁（1）Slide

1对信息系统构成威胁的几类个体对信息系统实施主动攻击必须接近硬件、敏感数据文件或关键程序，因此下列三类个体最有可能给信息系统带来主动威胁：信息系统工作人员、用户、非法入侵者。信息系统工作人员信息系统工作人员主要包括计算机系统维护员、程序员、网络操作员、信息系统管理员以及数据控制员。三、对信息系统构成威胁的个人及其可能实施的主动威胁（2）Slide

1用户用户人群构成比较复杂，但由于他们不进行数据处理，因此比较容易与其他人员（信息系统工作人员）区分出来，用户通常会被系统允许访问信息系统中的数据甚至是敏感数据。这类人员有可能将这些重要数据透露给竞争者。非法入侵者未经合法授权而闯入信息系统并非法使用其上的设备、数据或者文件的人统称为非法入侵者。按照其入侵系统的方式不同或者意图不同可进一步将其细分成黑客、搭线密听者、借道者、被忽视的入侵者、假冒身份入侵者、窃听者等。三、对信息系统构成威胁的个人及其可能实施的主动威胁（3）Slide

1个体对信息系统实施的主动威胁类型个体可能对信息系统实施主动威胁的方法，经过合理的分类之后可总结为以下5种：输入操作程序变更文档直接变更数据窃取恶意破坏四、因特网的脆弱性与威胁（1）Slide

1当组织越来越多地通过组织内的计算机连接进入因特网时，组织的信息系统就有可能成为世界上所有黑客的攻击目标，更有可能无意中将网络中的恶意病毒引入组织的信息系统，所有这些都给组织的信息系统带来了极大的威胁。与因特网有关的脆弱性可能来自以下几个方面的薄弱环节：操作系统及其配置---操作系统的脆弱性网络服务器及其配置---网络服务器的脆弱性内部网络及其配置------局域网的脆弱性四、因特网的脆弱性与威胁（2）Slide

1各种服务程序-----各种服务程序的脆弱性主要的安全步骤----其固有的局限性主要内容第一节信息系统安全概述第二节脆弱性与威胁第三节控制体系第四节灾难风险管理第五节信息系统安全与风险控制Slide

1控制体系Slide

1一、控制环境二、针对主动威胁可实施的控制三、针对被动威胁可实施的控制四、IT过程控制体系一、控制环境（1）Slide

1由于计算机安全系统（即信息安全系统）本身是公司内部控制系统的一部分，这就意味着内部控制的基本要素对于计算机安全系统的构建是至关重要的。COSO内部控制基本要素概述根据COSO报告的精神，内部控制包括五个基本要素，分别是：控制环境、风险评估、控制活动、信息与沟通、监控。监控控制环境信息与沟通控制活动风险评估控制环境提供组织的基础结构和基础规范，决定了组织的基调，并影响到组织中人员的控制意识，内部控制的其他要素均是基于控制环境而建立的。控制环境的因素具体包括：诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。COSO内部控制基本要素概述监控控制环境信息与沟通控制活动风险评估COSO内部控制基本要素概述风险评估就是识别并分析与组织实现目标有关的风险，它是决定哪种风险需要控制以及采用哪种控制措施来对付风险的基础。监控控制环境信息与沟通控制活动风险评估COSO内部控制基本要素概述控制活动是指确保管理层的指令得以执行的政策和程序，比如核准、授权、验证、调节、复核营业绩效、保护资产安全及职务分工等。监控控制环境信息与沟通控制活动风险评估信息与沟通是内部控制的第四个要素，这里的信息指的是一个组织的会计制度，它包括用来确认、收集、分析、分类、记录和报告组织的交易遗迹为相关资产和负债进行会计处理的方法和记录；这里的沟通是为关于控制的所有政策和程序提供一个明确的理解手段。COSO内部控制基本要素概述监控是评估一段时期的内部控制质量的过程，监控过程包括及时评估控制的设计和运行，并在需要的时候采取必要的行动。监控信息与沟通控制环境风险评估控制活动COSO内部控制基本要素概述一、控制环境（7）Slide

1管理哲学和经营风格构建安全控制体系的第一个也是最重要的一个活动，就是鼓舞士气并营造有利于系统安全的良好氛围。公司应对员工进行持续的、有效的安全知识培训，以使所有的公司成员对安全问题取得足够的共识。公司还应严肃对待安全事件，特别对于那些破坏信息系统安全的行为应该立即加以制止并进行处罚。在遵守信息系统安全规则方面，公司的管理人员更应该以身作则。一、控制环境（8）Slide

1组织结构应该在组织结构设计中明确到底谁对会计软件和会计处理程序负责，并指定专人负责计算机安全系统。董事会及下属委员会董事会必须任命一个审计委员会，再由审计委员会来任命一名内部审计师。该审计师最好拥有良好的计算机安全教育背景并能首席计算机安全官的作用。不管在什么情况下，该审计师都应向审计委员会报告计算机安全系统各阶段的安全状况。审计委员会负责针对首席安全官和计算机安全系统的表现情况，定期与外部审计师以及高层管理人员进行商议。一、控制环境（9）Slide

1管理控制活动对所有涉及计算机和信息系统资源的使用和责任划分进行控制是非常重要的。应做好购置硬件、软件的采购预算以及系统运行成本的预算然后将这三方面实际发生的成本和预算成本相比较，若发现两者间存在较大的出入则应当进行细致的调查分析。预算控制在企业信息化过程中显得尤为重要，因为企业经常在信息技术方面超支或把钱花错了地方。一、控制环境（10）Slide

1内部审计职能计算机安全系统必须经常性加以审计，并根据变化的情况进行适时的完善。首席安全官负责制定针对现存系统及系统改进的安全政策。所有的系统调整，无论是硬件、软件还是人员，都必须严格贯彻执行既定的安全政策。安全政策及程序的一致性和有效性都应该加以测试。内审人员还应定期会同信息系统营运人员使用假想事件对信息系统进行挑战性测试。除此之外，还应当追溯引起主文档变动的相关源文件，这种追溯方法是判断主文档是否被未经授权者非法修改的有效方法之一。一、控制环境（11）Slide

1人事政策和实践责任分离、适当监督、岗位轮换、双重检查等都是很重要的人事事件。在信息系统环境下，最重要的规则是坚持用户和计算机系统职员的职责分离。用户经常接触公司的实物资产，而计算机系统职员经常接触存储会计库存记录的数据文件，将这两种接触放在一人身上就有可能滋生舞弊和欺诈行为。二、针对主动威胁可实施的控制（1）Slide

1预防主动威胁的主要措施是采用连续层面（即类似设置多道关卡）来控制进入（或接触）敏感地带（或敏感源）。假如一般控制和数据处理控制都执行正常的话，那么主要的措施应该是尽量减少或避免未经授权接触敏感数据和设备。一旦未经授权者接触不到敏感数据和设备，他或她就不可能实施计算机舞弊行为。分层进入控制的基本原理在于，通过建立多层次的控制可以将潜在犯罪者和其觊觎的目标隔离开来。二、针对主动威胁可实施的控制（2）Slide

1分层控制具体可分为三种类型：站点进入控制、系统进入控制和文件存取控制。（一）站点进入控制站点进入控制的目标是从物理上将未授权者与计算机资源隔离开来。这种物理隔离方法特别适用于硬件、数据输入输出、数据库以及通信线路。具体的隔离措施包括五项，分别是：√任何人出入存放计算机设备和敏感数据的房间要通过安全认证；√计算机数据的集中处（如数据库、网络打印机、数据输入输出点）和设备都应该隐蔽保管，并加上智能锁；二、针对主动威胁可实施的控制（3）Slide

1（一）站点进入控制（续）√禁止闲杂人等进入应高度保密的数据集中输入中心；√任何软件未经安全核准不得在公司任何计算机上安装；√员工工作所用机器采用无盘工作站或者安装只读操作系统，这样可以最大限度地限制病毒侵入。二、针对主动威胁可实施的控制（4）Slide

1（二）系统进入控制系统进入控制是一种用来阻止未经授权的使用者进入系统的面向软件的控制，其目的是通过用户名、密码、IP地址和硬件配置等手段来鉴别使用者。每一个内部使用者都可从以下9个级别上分配到相应的用户名和密码：工作站或者个人电脑级别、网络级别、主机级别、文件服务器级别、文件目录级别、程序级别、数据文件或数据库级别、数据字段级别等二、针对主动威胁可实施的控制（5）Slide

1（二）系统进入控制（续）这些级别联合起来提供了一个连续层面的保护，基本上可将非法入侵者与敏感数据隔离开来。在合法使用者进入上述各个保护层面，工作系统会自动记录时间、日期以及所有访问用户的号码。一旦有非法闯入的事件发生，这些信息有助于追溯调查。与此同时，使用者的身份验证状况和输入交易的时间也会被系统自动记录到主文档和关键数据库的条目之中，以便将来可以对所有的单笔业务进行审查。二、针对主动威胁可实施的控制（6）Slide

1（三）文件存取控制文件存储控制是分层控制的最后一层，它的目的是阻止对数据和程序文件的未经授权的访问。最基本的文件存取控制是针对文件访问和修改来建立一套授权模式和控制程序。在没有书面批准的情况下，任何程序设计人员均不得访问公司任何计算机文件。操作员和监管员应该被告之在没有书面批准的情况下不接受程序员的任何指示。甚至已授权的程序变更在没有书面批准的情况下也不能实施。对任何程序的改动都不能直接在原程序上进行，而必须在原程序的副本上进行正确的授权改动。二、针对主动威胁可实施的控制（7）Slide

1（三）文件存取控制（续）所有重要的程序都必须“上锁”，这意味着对这些程序不能阅读，更不能修改，只能被调用执行。只有安全部门才知道如何给这些程序“解锁”。程序也可以像电子信息一样使用数字签名，这样既可以准确地辨别程序的来源，又可以验证程序是否被修改过。除此之外，还有一种文件存取控制的有效办法，即安装一个常驻内存程序让它来动态检查染毒或文件修改的情况，一旦有异常，该程序会自动弹出提示窗口告诉用户加以注意，或者会直接禁止非法的文件存取。三、针对被动威胁可实施的控制被动威胁包括供电系统和硬件系统的故障。对此类问题的控制包括预防和修正两个方

面。有关内容可以参考灾难风险管理部分。Slide

1四、IT过程控制体系（1）Slide

1信息安全管理正在逐步受到企业的重视，加强信息安全管理被普遍认为是解决信息系统安全问题的重要途径。而要切实做好信息安全管理工作，权威的信息系统控制标准是至关重要的。COBIT提供了一个比较科学、比较完善的IT过程控制体系。COBIT的全称是Control

Objectives

for

Information

and

related

Technology，它是由信息系统审计与控制协会（Information

System

Audit

and

Control

Assosiciation，ISACA）在1996年公布的业界标准，

2002年7月，该协会又发布了COBIT第三版，这是迄

今为止国际上公认的最先进、最具权威性的安全与信息技术管理和控制的标准。四、IT过程控制体系（2）Slide

1COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构，如图

11-2所示。COBIT三维体系模型示四、IT过程控制体系（4）Slide

1这个模型为企业管理的成功提供了集成的IT管理，通过保证有关企业处理过程的高效的改进措施，可以更快、更安全、更好地响应企业需求，它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。IT准则维集中反映了企业的战略目标，从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可

用性等方面来保证信息的安全性、可靠性和有效性；IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；四、IT过程控制体系（5）Slide

1IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、获得与实施、传递与支持、监控等四个方面确定了34个信息技术处理过程（参见表11-5）。每个阶段又细分为多个关键控制点，总共有34个控制程序，每个控制程序又明确了相应的控制目标，所有

34个IT过程共包含了302个控制目标，这些控制目标为IT控制提供了一个用来明晰策略和良好的实施知道的关键方针。对信息系统的评价就是针对这34个关键控制点和302个控制目标的达成情况来进行的。1、规划与组织（Planning

and

Organization）3、传递与支持（Delivery

and

Support）PO1定义IT战略规划DS1定义服务水平PO2定义信息系统体系结构DS2第三方服务管理PO3确定技术方向DS3业绩与性能的管理PO4定义IT结构和关系DS4确保持续服务PO5

IT投资管理DS5确保系统安全PO6管理目标与方针的关系DS6区分和归属成本PO7人力资源管理DS7终端用户的教育与培训PO8确保与外部需求的一致性DS8对IT顾客的协助和建议PO9风险评估DS9配置管理P010项目管理DS10问题和意外事件管理PO11质量管理DS11

数据管理

表11-5

COBIDS12设施管理DS13运行管理2、获得与实施（Acquisition

and

Implementation4、监控（Monitoring）AI1确定解决方案M1过程的监控AI2购买和维护应用软件M2评估内部控制的充分性AI3购买和维护硬件M3获取外部的独立保证AI4规划和维护IT程序M4为独立审计提供条件AI5安装系统及授权AI6相关变动的管理T的34个信息技术处主要内容第一节信息系统安全概述第二节脆弱性与威胁第三节控制体系第四节灾难风险管理第五节信息系统安全与风险控制Slide

1灾难风险管理Slide

1一、风险管理与灾难风险管理的含义二、预防灾难三、灾难恢复一、风险管理与灾难风险管理的含义（1）Slide

1

风险管理是指根据信息资源对于组织的价值，通过识别、评价组织的信息资源可能存在的脆弱性及威胁，来决定采取哪些措施以求将风险降低到可接受的水平。具体来说，风险管理包括以下几层意思：第一层是风险管理技术，主要强调对目标的主动控制，对系统项目实现过程中可能遭遇的风险和干扰因素进行预防，进而尽可能地减少损失；第二层是风险管理的目标，旨在使风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断，保证系统的良性循环。风险管理通常分为三个阶段：风险识别、风险评估和风险监控。一、风险管理与灾难风险管理的含义（2）Slide

1对于信息系统而言，灾难意味着前述的重大威胁的发生，人们当然不太愿意看到这样的事情出现，然而当灾难真的降临时，我们应该怎样做呢？是

听之任之，还是有所作为？聪明的人总是选择后

者。于是灾难风险管理便应运而生。灾难风险管理就是要在灾难事件发生时，尽可能保证信息系统仍能正常工作。为此，需要做好两件事：一是灾难预防，二是灾难恢复计划的制定与实施。二、预防灾难Slide

1预防灾难是灾难风险管理要做的第一件事。研究数据表明各种灾难发生的概率如下：自然灾害（30%）、蓄意破坏（45%）、人为错误（25%）。也就是说，信息系统面临的灾难最多可能来自蓄意破坏，其次是自然灾害，最少是人为错误。良好的安全政策与计划可以预防许多由于蓄意破坏或者人为错误所引起的灾难。当然，与信息系统所在地有关联的自然灾害的风险也应该引起足够的重视。计算机设备与数据最好放置在建筑物中最难以被自然灾害和恶意破坏所破坏的场所。三、灾难恢复（1）Slide

1（一）灾难恢复的意义由于系统中断造成的意外损失已经让许多公司感受到了灾难恢复的重要性。假如没有定期严格的数据备份工作和制定相应的灾难恢复计划作为后盾，对于一个依赖网络来进

行经营管理的公司来说，服务器故障及其所含重

要数据的丢失所造成的损失显然是致命性的打击。三、灾难恢复（2）Slide

1灾难恢复的意义（续）根据明尼苏达大学Bush-Kugel的研究报告的结论，企业在没有信息资料可用的情况下，金融业最多能运作2天商业能运作3.3天工业则为5天而保险业约为5.6天。而从经济角度来看，有25%的企业，因为数据的损毁可能会立即破产，40%会在两年内宣布破产，只有7%不到的企业在五年后能够继续存活。三、灾难恢复（3）Slide

1灾难恢复的意义（续）根据明尼苏达大学Bush-Kugel的研究报告的结论，企业在没有信息资料可用的情况下，金融业最多能运作2天商业能运作3.3天工业则为5天而保险业约为5.6天。而从经济角度来看，有25%的企业，因为数据的损毁可能会立即破产，40%会在两年内宣布破产，只有7%不到的企业在五年后能够继续存活。三、灾难恢复（4）Slide

1灾难恢复具有以下三点意义：第一，灾难恢复有助于降低风险，即在灾难发生时借助于灾难恢复能够确保业务系统不间断运行，极大地降低组织的损失；第二，在遇到灾难袭击时，有助于最大限度地保护组织数据的实时性、完整性和一致性，降低数据的损失，快速恢复操作系统、应用和数据；第三，能够提供各种恢复策略选择，尽量减少数据损失和恢复时间。三、灾难恢复（5）Slide

1（二）数据备份灾难恢复方案主要包括备份计划和灾难恢复计划两大部分。备份是一种数据安全策略，通过备份软件事先将数据备份到系统以外的存储设备上，如可读写光盘、磁带或者活动硬盘等。这样，在信息系统面临灾难侵袭导致原始数据丢失或者遭受严重破坏的情况下，就可以利用备份数据把原始数据恢复出来，使系统能够正常继续工作。三、灾难恢复（6）Slide

1备份策略选择备份策略主要有四种：全备份：即指将信息系统中的所有数据信息全部备份；增量备份：即只备份上次备份之后系统中变化过的数据信息，包括新增的数据信息和对原数据所做的修改或者删除操作；差分备份：即只备份上次完全备份以后变化过的数据信息；备份介质轮换：即轮流使用不同备份介质所实施的备份策略，主要为了避免同种备份介质被频繁使用而导致备份介质使用寿命大大缩短的现象。三、灾难恢复（7）Slide

1备份方式选择备份方式主要有三种，分别是：人工备份：人工级的备份是最原始的备份方式，也是最简单和有效的一种方式；软件备份：指将系统数据保存到其他介质上，当系统出现错误时可将系统恢复到备份时的状态，由于这种备份是由软件来完成的，因而取名得之。硬件备份：指应冗余的硬件来保证系统的连续运行，比如磁盘镜象、磁盘阵列、双机容错等方式。三、灾难恢复（8）Slide

1备份场所的选择备份解决方案还必须一定条件确定备份中心，这些条件包括：与生产中心具备相似的网络和通信设置；具备业务应用运行的基本系统配置；具备稳定、高效的通讯线路连接中心；与生产中心保持足够的安全距离；应能避免与生产中心遭受同样的灾难。三、灾难恢复（9）Slide

1（三）灾难恢复灾难恢复方式主要有以下三种：全自动恢复方式手动恢复方式数据备份系统应用恢复的需求分析在制定合适的灾难恢复计划之前，首先要有明确的应用恢复需求，通过充分评估应用恢复的具体需求来设计符合要求的灾难应对策略。三、灾难恢复（10）Slide

1主要应该关注以下几个要点：恢复点的目标。这一目标要求明确规定组织中的数据必须保持有效的时间以及允许丢失的数据幅度。比如，对于象金融机构这样的组织往往不允许任何数据丢失，为此就需要采用特殊完善的恢复策略来确保系统的实时有效。恢复时间的目标。这一目标指定了在一个灾难恢复站点恢复应用所需的最大时间，这个时间主要包括鉴别故障问题、系统激活正常运转、重装数据以及重起应用等所需的时间。三、灾难恢复（11）Slide

1主要应该关注以下几个要点（续）：恢复技术的选择。当明确了用户特定的灾难恢复的应用需求之后，下一步关键工作就是要选好能够满足这种需求的恢复技术，以保证组织在能够容忍的时间范围内修复系统重起应用。恢复关键应用的目标。关键应用一旦遭受灾难袭击，必须在尽可能短的时间范围得到恢复，为此，要提出切实的恢复目标，并采取相应的技术来保证。三、灾难恢复（12）Slide

1灾难恢复计划为了能够有效地进行灾难恢复，一份周密细致的灾难恢复计划是必不可少的。该计划最好能够作为信息系统安全计划的一个重要组成部分提交给董事会进行讨论。可将生命周期理论应用到该计划的设计、贯彻、执行以及评价过程中。据粗略估计，贯彻灾难恢复计划所需的费用大概占到整个信息系统预算的2%—5%。三、灾难恢复（13）Slide

1灾难恢复计划（续）一般来说，灾难恢复计划的设计主要包括三大部分：√评估公司的关键需要√恢复优先级列表√恢复的策略与过程除此之外，还应做好替换过程的工作安排。灾难恢复计划中最重要的一环就是在主计算机系统被摧毁或者不能正常使用以后，需要启用后备系统。后备系统根据其造价以及恢复的时间长短一般有三种模式：冷站点、热站点和飞启站点。三、灾难恢复（14）Slide

1灾难恢复计划（续）冷站点（ColdSite）模式一般只有计算机的配置图而没有具体的机器设备；热站点（Hot

Site）模式既包括配置图又有机器；飞启站点（Flying-startSite）则既拥有配置图、机器设备还事先已安装了适当的软件并留有每天更新的数据备份。显然，采用冷站点模式完成恢复可能需要几天甚至更长的时间，而采用热站点可能只需要几个小时，采用飞启站点则更快，可以在几分钟甚至几秒钟内就完成计算机后备系统的启动。三、灾难恢复（15）灾难恢复计划（续）当然，这三种模式所需的成本也是高低不同的，冷站点最低，热站点其次，飞启站点成本最高，具体采用哪种模式作为后备系统应该根据公司的成本利润分析，当然也要综合考虑应用系统的规模和重要性程度。Slide

1主要内容第一节信息系统安全概述第二节脆弱性与威胁第三节控制体系第四节灾难风险管理第五节信息系统安全与风险控制Slide

1信息系统安全与风险控制Slide

1一、信息系统风险的概要分析二、信息系统控制目标与控制类型三、信息系统的一般控制四、信息系统的应用控制一、信息系统风险的概要分析Slide

1

信息系统的应用一方面可以防范手工环境下的一些风险，另一方面，又给企业带来了与手工环境不同来源、不同性质的风险，而且随着应用的逐渐深入，潜在的风险也在不断变化。这些风险主要表现为以下几个方面：信息安全风险信息处理差错反复发生风险计算机交易授权风险传统职责分离失效引致的风险信息系统脆弱性与威胁引致的风险二、信息系统控制目标与控制类型（1）Slide

1信息系统控制目标的设定有多种模式，COBIT对IT过程控制目标的规范设定便是其中之一。我们也可以按照信息系统的IPO结构来分析设定信息系统的控制目标，如图11-3所示。图11-3信息系统控制目标模型二、信息系统控制目标与控制类型（3）Slide

1信息系统内部控制按照“如何执行控制”的观点，可分为人工控制（或使用者控制）和程序控制（或自动控制）；而按照“控制执行的范围”的要求，可分为一般控制和应用控制。一般控制（GeneralControl）泛指各个应用系统均适用的控制，也叫基础控制或环境控制，它的种类很多，比较重要者有：组织控制、系统开发与维护控制、整体安全或存取控制、硬件和系统软件控制等。二、信息系统控制目标与控制类型（4）Slide

1

应用控制（Application

Control）专指那些专门为某个应用系统设计且执行的控制，根据应用系统的数据处理阶段可划分成三种类型：输入控制、处理控制和输出控制。输入控制的基本控制目标是确保输入合法、正确和完整；

处理控制的基本控制目标是要保证信息系统的处理按照各个模块所预先设定的程序进行，这些处理活动必须经过授权，所有经过授权的处理都被系统进行过而没有遗漏，任何未经授权的处理都没有进行过，整个处理的过程是正确的、及时的和有效的；

输出控制的基本控制目标是保证信息系统所处理的资料完整、正确，所处理的结果正确，并且保证只有经过授权的部门和人员才能获得这些输出资料。三、信息系统的一般控制（1）Slide

1（一）组织控制（Organizational

control）在信息化环境下，组织控制着重可就以下两个方面来设计：第一方面，信息部门（或电算处理部门）和用户部门（或业务部门）功能的划分；第二方面，信息部门内部不相兼容职能的划分。三、信息系统的一般控制（2）Slide

1组织控制的主要内容包括以下几个方面：信息部门与用户部门的职责分离；信息部门内部的职责分离；人事控制。信息部门与用户部门的职责分离的具体做法：信息部门不能负责业务的批准和执行，所有业务均应由用户部门发起或授权。信息部门不能保管除计算机系统以外的任何资产。三、信息系统的一般控制（3）Slide

1所有业务记录与主文件记录的改变均需用户部门授权，信息部门无权私自改动业务记录和有关文件；所有业务过程中产生的错误数据均应由用户部门负责或授权改正，信息部门只允许改正数据在输入、处理、输出过程中由于操作疏忽而引起的错误。所有现有系统的改进，新系统的应用都由用户部门授权，信息部门无权私自修改系统程序。三、信息系统的一般控制（4）Slide

1信息部门内部的职责分离具体做法：对系统开发职能与数据处理职能分离对数据处理职能进行分离。（二）系统开发与维护控制（Systemsdevelopment

and

maintenance

control）信息系统的开发一般要分成若干个前后有序的阶段来开展，因此系统开发与维护控制应当贯穿整个系统开发的全过程。三、信息系统的一般控制（5）Slide

1具体做法：应坚持最终使用单位与审计人员参与系统需求分析；对系统设计阶段的工作验收控制；系统编程的质量控制；系统测试控制；系统转换控制系统维护控制；系统文档控制。三、信息系统的一般控制（6）（三）整体安全或存取控制（Accesscontrol）可参见本章第三节的有关内容（四）硬件和系统软件控制（Hardware

andsystems

software

control）Slide

1四、信息系统的应用控制（1）Slide

1对单独的应用而言，应用控制是明确的，它通常被分成输入、处理和输出控制，这种分类与信息系统的处理步骤是相符合的。（一）输入控制输入控制用来防止或发现在数据的采集和输入阶段的数据错误，并保证输入数据的完整性和经过授权。完整性是指所有有待输入的数据均已被输入；经过授权是指输入的数据经过批准。根据之前所学的内容可知，输入阶段对于整个信息系统的信息安全来说至关重要，在这一阶段未被发现的输入数据将即将影响到后续的数据处理和信息输出，因此，对输入环节安排再多的控制手段也不为过。四、信息系统的应用控制（2）Slide

1输入控制措施是非常多的，典型的控制措施有以下几种：输入授权控制：通过该控制可确保输入员是经过系统授权的业务审批控制：一切业务在进入系统处理之前，必须经过主管领导的审批。操作员无权审批业务，也不能擅自修改业务记录输入校验控制：输入校验控制主要包括逻辑关系控制、总量控制、校验码控制、二次输入控制等等，本课程

对此不做介绍。特别介绍以下几种输入校验控制：四、信息系统的应用控制（3）Slide

1√试算平衡控制√凭证连续编号控制√时序控制√科目合法或非法对应关系控制数据审核控制√包括原始单据审核控制和记账凭证审核控制。任何合法输入到信息系统中的数据都必须经过第二人审核才能做进一步处理，这是对输入数据合法性和正确的再确认（正式确认）。四、信息系统的应用控制（4）Slide

1输入项目完整性检查控制√其主要目的在于保证关键数据项目必须输入有效数据而不能空白对待。比如输入销售发票时，要求必须输入日期、产品编号等数据。合理性检查控制√可用于测试输入的内容是否在原先预设的数据合理范围之内，若超出此范围则视为无效数据。存在性检查控制四、信息系统的应用控制（5）Slide

1（二）处理控制数据输入计算机后，按照预定的程序进行加工处理，在数据处理过程中极少人工干预，一般控制和输入控制对保证数据处理的正确和可靠起着非常重要的作用。但是针对计算错误、用错文件、用错记录、用错程序、输入数据错误在输入过程中没检查出来等情况，还必须在处理过程中设置处理控制。这些处理控制措施大都为纠正性和检查性控制，而且多是程序控制。四、信息系统的应用控制（6）处理控制主要包括以下几种控制措施：业务时序控制数据有效性检验程序化处理有效性检验错误更正控制审计轨迹控制数据合理性检查平衡及勾稽关系校验Slide

1四、信息系统的应用控制（7）Slide

1（三）输出控制

输出控制的基本控制目标是保证信息系统所处理的资料完整、正确，所处理的结果正确，并且保证只有经过授权的部门和人员才能获得这些输出资料。可采取以下一些典型的输出控制手段：输出授权控制总数核对控制静态目测检查控制输出信息的分发控制平衡关系控制四、信息系统的应用控制（8）输入、处理、输出控制是信息系统运行过程中有着内在联系的三个重要环节。从控制的角度看，一个环节上的控制会涉及其他两个环节。应用控制的有效性必须从整体掌控，从具体控制手段入手，不论是应用控制的设计还是评价都是如此。从审计的角度看，要保证应用控制的质量，就必须在应用控制过程中保留足够的审计线索。Slide

1本章小结（1）Slide

1第一部分：信息系统安全与信息安全是一对既有关系又有区别的概念，两者是子集和全集的关系。影响信息系统安全的主要因素有四方面：硬件组织、软件组织、网络和通信协议、管理者。组织中的信息安全系统是一种特殊的信息系统，是组织结构的子系统，控制与信息系统相关的具体风险，是从系统分析、设计、实施、运行、评价和控制的传统的生命周期方法发展而来的。本章小结（2）Slide

1第一部分（续）信息系统安全特性主要有五个：可信性、可用性、机密性、完整性、抗抵赖性。美国国防部于1985公布的TCSEC将信息系统安全等级划分为4类7个安全等级，其中A为最高级别，

D为最低级别。我国的《计算机信息系统安全保护等级划分准则》将信息系统安全分为五个等级，其中最低为用户自主保护级，最高为访问验证保

护级。本章小结（3）Slide

1第二部分：分析系统的脆弱性及威胁有两种方法。在定量分析方法中，每种损失风险是由单个损失成本与其发生的概率（风险系数）的乘积计算得到的。而在定性方法中，通常是将系统的脆弱性和威胁列表显示，并根据它们对组织总损失风险的影响大小，人为地将其分成几个等级，规定脆弱性和威胁对组织总损失风险的影响越大，其等级越高，反之，其等级越低。➢本章小结（4）Slide

1第二部分（续）：脆弱性是指信息系统中存在的薄弱环节，而威胁则是对脆弱性的潜在利用。要对信息系统实施攻击关键在于接近硬件、敏感数据文档或关键程序