管理信息系统：信息系统安全

信息系统安全学习目标管理信息系统（精要版）信息系统安全为什么信息系统容易遭到破坏、滥用和发生错误？安全和控制的商业价值何在？组织的安全和控制框架由哪些部分组成？最重要的保护信息资源的工具和技术有哪些？波士顿凯尔特人对防范间谍软件大获成功问题:

频繁使用无线网络把凯尔特人内部系统暴露在间谍软件面前采用先进的安全系统来识别威胁和减少黑客攻击的可能性。管理信息系统（精要版）信息系统安全波士顿凯尔特人队防范间谍软件大获成功Mi5Networks公司的Webgate安全闸道器方案被设置在凯尔特人队的防火墙与互联网之间，以阻止间谍软件进入其内联网络，同时也防止已经收到感染的机器连接到外链网络。显示了信息技术在保卫和维护电脑安全中的作用阐述了数字技术在达到安全网络中的作用。管理信息系统（精要版）信息系统安全波士顿凯尔特人队防范间谍软件大获成功管理信息系统（精要版）信息系统安全系统漏洞和滥用一台不受保护的计算机连接到互联网后可能在几秒钟内瘫痪。安全用以阻止对信息系统的未经授的访问、修改、盗窃或者物理破的策略、程序和技术措施。控制:确保组织资产安全、会计记录精确可靠、管理标准严格执行的方法、策略和组织程序。管理信息系统（精要版）信息系统安全系统易受攻击的原因硬件问题计算机硬件本身的故障、配置和使用不当以及因非法操作而损害硬件均会导致系统故障。软件问题编程错误、安装不当以及非法变更则会导致计算机软件失灵。灾难停电、洪水、火灾或者其他自然灾害同样会对计算机系统造成破坏。在公司控制之外使用网络和电脑例如：与国内外企业合作系统漏洞和滥用管理信息系统（精要版）信息系统安全ContemporarySecurityChallengesandVulnerabilities基于Web的应用软件架构通常包括客户机、服务器以及连接到数据库的企业信息系统。每一部分都遇到了安全挑战和漏洞。洪水、火灾、停电以及其他一些电子问题也会对网络中的任何一个节点造成破坏。系统漏洞和滥用图

7-1管理信息系统（精要版）信息系统安全互联网的脆弱性大型公用网络。互联网的覆盖范围如此之大，以致滥用行为一旦发生，其影响面将非常大。固定的互联网地址使其成为电脑黑客的固定攻击目标。电子邮件附件运用电子邮件传送重要的商业秘密信息管理消息缺乏安全保障，易被拦截系统漏洞和滥用管理信息系统（精要版）信息系统安全无线网络的安全挑战无线传输的频率易被扫描出来SSIDs(服务集标识符)识别网络访问点.多次经广播向外发送。驾驶攻击窃听者驾车到建筑物外试图截取无线网络的通信流量。入侵者使用正确的SSID与某个访问点去的联系后，就能访问网络中的其他资源。WEP(有线等效私隐)802.11的安全标准基本的WEP规范要求访问点和所有连接到它的用户共享同一个的加密密码。许多用户会忘记使用WEP加密技术系统漏洞和滥用管理信息系统（精要版）信息系统安全无线网络的安全挑战图7-2入侵者利用嗅探器程序获取地址，轻易入侵Wi-Fi网络，并非法访问网络资源。系统漏洞和滥用管理信息系统（精要版）信息系统安全恶意软件：病毒、蠕虫、木马和间谍软件恶意软件病毒附加到其他软件程序或数据文件中，以便在未经用户同意或许可的前提下得以执行的流氓软件程序。蠕虫是独立的软件程序，能通过网络在计算机间进行自我复制并传播。特洛伊木马是一种表面看似良性，所造成的危害却出乎意料的软件程序。系统漏洞和滥用管理信息系统（精要版）信息系统安全恶意软件：病毒、蠕虫、木马和间谍软件恶意软件（续）间谍软件能秘密地在计算机上自行安装的小程序，以监控用户的上网记录并为广告服务。击键记录器可记录计算机上的每一次击键操作，以窃取软件的序列号，发动互联网攻击，访问电子邮件账户，获取计算机系统的密码，或者截取诸如信用卡号等个人信息。系统漏洞和滥用管理信息系统（精要版）信息系统安全黑客和计算机犯罪系统漏洞和滥用黑客与骇客活动包括：系统入侵系统破坏网络破坏故意破坏甚至摧毁网站或公司的信息系统管理信息系统（精要版）信息系统安全黑客和计算机犯罪系统漏洞和滥用电子欺骗利用伪造的电子邮件地址或假装成其他人来欺骗别人、谎报信息。将网页链接重定向至与原本地址不同的地址，将该地址伪装成目的地嗅探器是一种监控网络上所传输信息的窃听程序黑客利用嗅探器可以从网络上的任何地方窃取包括邮件信、公司文档以及机密报告在内的私有信息。管理信息系统（精要版）信息系统安全黑客和计算机犯罪系统漏洞和滥用拒绝服务攻击(DoS)黑客向网络服务器或web服务器发送成千上万的虚假通信或服务请求。分布式拒绝服务攻击(DDoS)利用大量的计算机从众多发射点涌向网络并将其淹没。僵尸网络僵尸网络由被恶意软件感染，不受所有者控制的计算机构成。管理信息系统（精要版）信息系统安全黑客和计算机犯罪系统漏洞和滥用计算机犯罪定义为“任何在犯罪实施、侦查及诉讼过程中涉及计算机技术知识的刑事违法行为”计算机作为犯罪的目标破坏受保护的计算机数据的机密性非法进入计算机系统计算机作为犯罪的工具:窃取商业机密利用电子邮件进行威胁或骚扰管理信息系统（精要版）信息系统安全黑客和计算机犯罪系统漏洞和滥用身份盗用盗用者窃取诸如社会保险号、驾照号码或者信用卡号之类重要的个人信息来假冒他人的犯罪行为网络钓鱼建立虚假网站或发送看似来自合法企业的电子邮件或文本消息，向用户索要个人隐私资料。双子星病毒是一种假装提供可靠的Wi-Fi互联网连接的无线网络。管理信息系统（精要版）信息系统安全黑客和计算机犯罪系统漏洞和滥用域欺骗即使用户在浏览器中键入正确的网址，也会将用户重定向至虚假的网页。点击欺骗个人或计算机程序点击在线广告，却不想进一步了解广告商信息或无购买意向的欺骗行为。管理信息系统（精要版）信息系统安全阅读互动讨论材料并讨论下列问题列举并描述HannafordBros.和TJX公司在安全控制方面的不足。导致这些问题的人员、组织和技术因素有哪些？数据丢失对TJX和Hannaford公司及其他客户的业务有何影响？TJX和Hannaford公司采取的解决方案是否行之有效？为什么？互动讨论：组织美国史上最严重的数据盗用系统漏洞和滥用管理信息系统（精要版）信息系统安全来自内部的威胁：员工企业的安全威胁常常来自组织内部内幕不严密的安全程序用户缺乏相关知识社会工程：恶意侵入者有时会伪装成公司内部成员，以工作需要为由诱骗珍视员工提供自己的密码，从而进入企业系统。系统漏洞和滥用管理信息系统（精要版）信息系统安全软件漏洞系统漏洞和滥用商业软件的缺陷会带来安全漏洞潜在的漏洞(程序代码中存在的缺陷)在大型程序中，零缺陷是无法实现的，全面的测试是不可能的。商业软件中的缺陷会使得网络对入侵者开放。补丁软件供应商创建被称为补丁的小程序来修复这些缺陷。然而，要维护公司所有设备和服务的补丁，既费时又费钱恶意软件产生得如此之快，以至于公司在漏洞及补丁发布与漏洞为恶意软件所用之间的这段时间内几乎来不及做出反应。管理信息系统（精要版）信息系统安全失灵了的电脑系统会导致严重的或者完全的公司功能丧失。企业现在比以往更易受攻击的一个安全漏洞可能几乎立即降低企业的市场价值。企业还可能因为缺乏足够的安全和控制而承担法律重责。安全和控制的商业价值管理信息系统（精要版）信息系统安全电子记录管理的法律法规要求安全和控制的商业价值企业要对电子记录的保留与存储以及隐私的保护承担新的法律义务。健康保险流通与责任法案（HIPAA）:该法案阐述了医疗安全和个人隐私保护的规则和程序。格雷姆-里奇-比利雷法案（Gramm-Leach-BlileyAct）:该法案要求金融机构确保客户数据的安全性和保密性。萨班斯-奥克斯利法案（Sarbanes-OxleyAct）:法案规定，公司及管理层有责任保证财务信息在对内使用和对外公布时的准确性和完整性。管理信息系统（精要版）信息系统安全电子证据和计算机取证大部分股票诈骗、贪污、盗窃公司商业机密、计算机犯罪以及许多民事案件的证据均为数字形式。这些数据或者存储在闪存、光盘和计算机硬盘中，或者存在于电子邮件、即时通信和在线商务交易信息中。有效的数据管理能在相应公示数据时节省时间和费用计算机取证:科学地收集、审查、鉴定、保存和分析数据、以便能在法庭上作为证据使用，这些数据是从计算机存储媒介中获取或者恢复的包含恢复隐含数据安全和控制的商业价值管理信息系统（精要版）信息系统安全安全和控制框架的建立信息系统控制一般控制是指贯穿整个组织信息技术基础设施，为确保计算机程序的设计、安全和使用，以及数据文件安全而进行的总体控制活动。适用于所有的计算机应用程序用来创造一个整体的控制环境的硬件、软件和手工流程组成。.管理信息系统（精要版）信息系统安全安全和控制框架的建立一般控制类型软件控制硬件控制计算机操作控制数据安全控制实施控制管理控制管理信息系统（精要版）信息系统安全安全和控制框架的建立应用控制针对特定计算机应用（比如工资结算或订单处理）的特殊控制活动包括自动和手动控制确保只有经过授权的数据才能完全且准确地通过应用程序处理包括：输入控制处理控制输出控制管理信息系统（精要版）信息系统安全安全和控制框架的建立风险评估确定当某一活动或流程没有得到适当控制时公司面临的风险程度风险类型年发生率潜在损失，风险价值预计年损失EXPOSUREPROBABILITYLOSSRANGEEXPECTEDANNUALLOSSPowerfailure30%$5K-$200K$30,750Embezzlement5%$1K-$50K$1,275Usererror98%$200-$40K$19,698管理信息系统（精要版）信息系统安全安全和控制框架的建立安全策略包括信息风险分级，确定可接受的安全目标以及实现安全目标的机制。其他策略的驱动可接受使用策略(AUP)规定企业信息资源和计算设备的可接受使用情况授权策略确定不同级别的用户对信息资产的不同访问级别管理信息系统（精要版）信息系统安全安全和控制框架的建立授权管理系统确定用户在何时何地可以访问某网站或公司数据库的特定部分依据事先设定的访问规则，该系统只允许用户进入允许其访问的部分系统管理信息系统（精要版）信息系统安全人事系统的安全类型图7-3这两个例子描述了人事系统中可能会用到的两种权限类型，或者说数据安全模式，根据权限类别，用户在访问组织系统、数据时会受到一定的限制.系统漏洞和滥用管理信息系统（精要版）信息系统安全安全和控制框架的建立灾难恢复计划：

指在计算和通信服务遭到破坏以后，为将其恢复所指定的计划。业务持续计划:关注企业在遭受灾难后如何恢复业务运营的计划这两类计划都需要确定公司最关键的系统必须进行业务影响分析以确定系统停运对业务的影响管理层必须确定哪些业务应最先恢复灾难恢复计划和业务持续计划管理信息系统（精要版）信息系统安全安全和控制框架的建立审计的作用管理信息系统审计审查公司的整体安全环境以及管理个人使用信息系统的控制情况对技术、程序、文档、培训工作和员工各方面的审查可能会模拟攻击或灾难、测试技术、信息系统工作人员和企业员工的反应通过审计可得出所用的控制缺陷及其分级，估计它们的发生概率评估各种威胁对财务和组织的影响管理信息系统（精要版）信息系统安全控制缺陷的审计列表样本图7-4该图是一个控制缺陷列表样本，这些控制缺陷可能是某审计员在一家地方性商业银行的贷款系统中发现的。该表记录并评估控制缺陷，显示与管理层讨论这些缺陷后得出的结果，以及管理层采取的修正方案。系统漏洞和滥用管理信息系统（精要版）信息系统安全访问控制保护信息资源的技术和工具企业用来防止未经授权的内部访问和外部访问的所有政策和程序。授权认证密码系统令牌智能卡生物认证管理信息系统（精要版）信息系统安全防火墙：有硬件和软件组合而成，能够阻止未经授权用户访问私有网络其中包含的技术有:静态数据包过滤网络地址转换应用代理过滤防火墙、入侵检测系统以及杀毒软件管理信息系统（精要版）信息系统安全保护信息资源的技术和工具公司防火墙图7-5防火墙设置在公司专用网络与公共互联网或其他不可信网络之间，防止非法通信管理信息系统（精要版）信息系统安全保护信息资源的技术和工具入侵检测系统:对企业网络最易受攻击的点或“热点”进行持续检测采用实时监控工具及时发现和阻止入侵杀毒软件和反间谍软件检查计算机系统和驱动器中是否存在计算机病毒通常也清除隔离区的病毒必须不断更新防火墙、入侵检测系统以及杀毒软件保护信息资源的技术和工具管理信息系统（精要版）信息系统安全WEP安全性可被提高激活给网络的SSID分配一个独特的名称将其与虚拟专用网络（VPN）技术相结合联盟最终确定了WAP2规范，以其更强大的安全标准取代WEP可持续变化的密钥包含中央认证服务器的加密认证系统保护无线网络管理信息系统（精要版）信息系统安全保护信息资源的技术和工具加密将纯文本或者数据转换成密码文本，除发送方和目标接收方外，其他人都无法读取两种网络通信的加密方法网络套阶层协议SSL)and及其改进版安全传输层协议(TLS)安全超文本传输协议(S-HTTP)加密和公钥基础设施管理信息系统（精要版）信息系统安全保护信息资源的技术和工具两种加密方法对称密钥加密发送者和接受者共用同一密钥公钥加密使用两种密钥：公钥和私钥发送方用接收方的公钥对信息进行加密接收方在十大信息后用自己的私钥解密管理信息系统（精要版）信息系统安全保护信息资源的技术和工具加密和公钥基础设施公钥加密图

7-6公钥加密系统可看做一系列公钥和私钥，数据传输时用其对数据加密，收到数据后用其解密。发送方从目录中找到接收方的公钥，并用其加密信息。信息会以加密的形式在互联网或私有网络上传输。当加密信息到达后，接收方用自己的私钥解密并读取信息。管理信息系统（精要版）信息系统安全保护信息资源的技术和工具数字证书安全在线交易中用于鉴定用户身份和电子资产的数据文件利用受信任的第三方，即认真中心，验证用户身份可离线验证数字证书用户的身份。该信息存放在CA服务器中，服务器会生成一个包含所有者身份信息和公钥副本的加密数字证书公钥基础设施(PKI)将公钥加密系统与数字证书相结合广泛应用于电子商务管理信息系统（精要版）信息系统安全保护信息资源的技术和工具加密和公钥基础设施