信息系统安全ppt课件

1、信息系统安全,1,第十章 信息系统安全,信息系统安全,2,信息安全系统是为控制与企业业务处理信息系统有关风险而建立的安全保障系统。是企业业务处理信息系统的伴随系统或称影子系统，因为只要有信息系统，就要建立信息安全系统。,信息系统安全,3,第一节 信息安全系统概述,我们知道，企业的业务处理信息系统本身面临许多特别的风险和安全威胁。而企业借以实现生产、经营、管理和决策的这个信息系统，不允许出现任何闪失和不稳定，它的安全必须有所保证。为此，必须针对信息系统的特别风险建立安全保障体系，我们把这个体系称为信息安全系统。,信息系统安全,4,信息安全系统和任何一个信息系统一样有其基本构成要素：如硬件、数据库

2、、处理过程以及报告等。 信息安全系统若想有效，必须由一位首席信息官（CIO）以外的高管来管理，这个人称为首席安全官(CSO)，CSO与CIO处于同一领导层。,信息系统安全,5,一、 信息安全系统的生命周期,信息安全系统也是一种信息系统，也有自己的生命周期。也要经历系统分析、设计、实施，以及运行、评价和维护各生命阶段。而在每一个生命阶段都有相应的追求目标。如下表所示：,表10-1 生命周期各阶段目标,信息系统安全,6,二、信息安全系统各阶段报告,为使CSO的工作具有足够的独立性和少受干扰， CSO有权直接向董事会或最高管理层报告。CSO根据信息安全系统所处的不同阶段和不同目标，分别起草有针对性的

3、报告并呈报给董事会和企业的最高管理层，以获得批准和支持。见表10-2所示：,表10-2 生命周期各阶段（ cso ）应提交的报告,信息系统安全,7,三、 信息系统的脆弱性与威胁分析,分析信息系统的脆弱性与威胁有两种方法：定量分析方法和定性分析方法。 定量分析方法 每种损失风险由单个损失成本与其发生的可能性的乘积计算而得。见下。,表6-3威胁分析报告,信息系统安全,8,定性分析方法 这种方法仅仅列出信息系统的各种脆弱性和威胁，根据他们对组织总损失风险影响的大小，主观地将其分为各个等级。有时为了直观醒目，每种等级用一种颜色表示，如：黑色、红色、橙色、黄色和绿色等。 不论哪种分析方法，以下几个方面都

4、要进行分析评估：业务中断；软件损失；数据损失；硬件损失；设备损失；服务与人员损失。,信息系统安全,9,第二节 信息系统的 脆弱性与面临的威胁,脆弱性是指信息系统的薄弱环节，威胁是利用这种脆弱性的可能性。威胁有两种：主动威胁（利用信息系统舞弊和破坏）与被动威胁（系统故障和自然灾害）。 一、 信息系统舞弊的严重性 系统安全是一个国际问题，各国都吃过利用计算机舞弊带来的苦果，因此纷纷制定了严厉的相关法律。,信息系统安全,10,二、 把威胁引入信息系统的个人,对信息系统的成功攻击需要接近硬件、软件或敏感数据。三类人最有可能将威胁引入信息系统，他们是：计算机系统员工、用户和计算机窃密者。 计算机系统员工

5、 包括维护员、程序员、操作员、信息系统管理员和数据控制员。维护员经常安装硬件和软件、维修硬件和修改软件上的小错误。在任何情况下，维护人员都可能运用这种权力非法浏览并修改数据和程序文档。程序员可能对存在的程序作不良修改，或者编写不良的新程序。,信息系统安全,11,网络操作员可以秘密地监控所有的网络通信（包括用户的输入口令），以及存取系统里的任何文档。系统管理员处于被充分信赖的地位，通常有权接近安全秘密、文档和程序等。如系统账户管理员有能力编造虚假会计科目，或者泄露现有会计科目的密码。数据控制员负责把数据手工或自动输入计算机，他们可以欺诈性地操纵所输入的数据。 2. 用户 在信息系统高度自动化情况

6、下，用户可利用远程终端或触摸屏等直接使用信息系统内的一些敏感数据，并有可能向我们的竞争者披露这些数据，还有可能攻击我们的系统。,信息系统安全,12,3. 计算机窃密者 窃密者是指那些未经正当授权就使用设备、电子数据或文档的人。他们通过搭线密听、借道、模仿等非法欺诈手段，进入计算机信息系统，窃取机密。这些人纯属主动的恶意的破坏者。,信息系统安全,13,三、信息系统主动威胁的类型,输入操作 输入操作是计算机舞弊采用最多的方法，因为这种方法要求最少的技术技能，一个不懂计算机系统操作的人也可以改变输入内容。例如在美国的一个案例中，一名女性通过篡改输入文件，在十年间不仅每月盗窃200美元，而且给自己发放

7、双份工资。,信息系统安全,14,2. 程序变更 程序变更可能是计算机舞弊中使用最少的方法，因为它需要掌握编程技术的人才能做到。在美国，一名程序员通过修改计算机程序忽略自己账户上的透支额。当计算机出现故障不得不手工处理这些记录时，他的行为才被发现。一家经纪人公司的数据处理经理多年来盗窃金额达71000美元，其做法也是修改未被授权修改的程序。,信息系统安全,15,3. 直接变更文档 在某些情况下，个人可以利用其他软件如EXCEL 伪造数据文件并输入到数据库里。这种情况一旦发生，后果则是灾难性的。华尔街十大经纪人公司之一的沃特森公司的一名雇员，通过把一部分公司收入转到他的个人账户上非法盗窃了2770

8、00美元。事后，检察官承认，如果被告不认罪，起诉是不会有证据的。,信息系统安全,16,4. 数据窃取 重要数据的窃取是当今商务领域的一个严重问题。在许多高度竞争的行业中，对竞争对手的定量和定性的信息挖掘从未停止过。例如：据说大不列颠百科全书曾指控其上晚班的电脑操作员从公司最具价值的客户名单中复制了近 300万个名字，并将其卖给一个电子邮件广告直销商。该公司称被盗的名单价值 300万美元。,信息系统安全,17,5. 恶意破坏 恶意破坏对于任何信息系统都将是致命的威胁，尤其高度信息化了的企业，对其信息系统不论软件还是硬件的破坏都足以导致该企业的破产。在某些情况下，舞弊者会通过恶意破坏引起混乱，借以

9、掩盖其舞弊行为。例如，某罪犯篡改了会计数据，然后试图通过破坏电脑硬盘或其他载体来加以掩饰。又如，某信用卡公司数据中心的负责人，出于对最高管理层的不满，洗去了总值数百万美元的应收账款的电脑资料。,信息系统安全,18,第三节 信息系统的安全系统,实行安全措施和偶然事件计划可以对信息系统的威胁进行控制。安全措施主要用于防止和发现威胁，偶然事件计划主要用于补救威胁造成的后果。一种被广泛接受的理论认为：一是某些主动威胁不可能被完全阻止，因为过度地保证系统的安全性可能会丧失系统的实用性，也即安全控制是有限度的；二是如果组织内没有一个总体诚实和谐的气氛，再好的安全系统也不会有价值。,信息系统安全,19,一、

10、构建良好的人文控制环境,控制环境是保证安全系统有效性的基础。建立一个良好的控制环境依赖于下列要素： 管理风格 构造安全系统的第一个也是最重要的活动是制造高昂的士气和有利于系统安全的良好氛围。不断的安全教育可以使员工对于安全问题取得共识，员工间良好的沟通可以减少问题的发生。有关安全的事务都应严肃对待，任何破坏行为都应立即予以惩罚。处于管理层的人员应该做出榜样。,信息系统安全,20,组织结构,企业信息化以后，一定要建立新的清晰的权责关系，保证不相容职责的分离。不然系统分析员和程序员可能被召集到一起去设计、编写和实施一个应收账款模块，而一个会计师可能被要求对一个会计模块进行修改。对于这样的活动，需要

11、一条清晰的组织结构链来表明活动决策权的归属。一般常采用组织结构图、政策手册、员工手册、岗位职责说明等形式将每一个职位上的权力和责任以及必须回避的作业规定清楚。,信息系统安全,21,董事会及下属委员会,董事会必须任命一个审计委员会，审计委员会任命一个内部审计师。该审计师应该有计算机背景，并能起到首席计算机安全官的作用，不论什么情况，都要负责定期向审计委员会汇报计算机产权系统的状况。 管理控制活动 实施对所有计算机和信息系统资源的使用和责任划分的控制。应该对所需购置的硬件、软件、日常运营费用做好预算，然后将这三方面实际费用与预算费用进行比较，对意外情况加以控制。,信息系统安全,22,内部审计职能,

12、必须经常审核计算机安全系统，然后根据公司的要求进行改进。对安全方针及程序的一致性和有效性都要测试，恶客的逮捕和法办往往成为安全系统良好运作的证明；还要定期使用假想事件对系统进行挑战性测试。 人事政策 职责分离、适当监督、岗位轮换、强制休假及双重检查都是很好的人事政策。雇用和解雇的人事政策的执行也很重要，用人要筛选，解雇要谨慎。,信息系统安全,23,外部影响,公司的信息系统必须遵从所有的法律法规。有些历史资料、商业技术机密和某些个人资料可能不允许向国外传递，否则可能被视为犯罪。 贯彻一套良好的内部控制措施防止使用盗版软件、防止非法拷贝、禁止流传别人已被版权保护的软件，以免引起法律纠纷。,信息系统

13、安全,24,二、对主动威胁进行控制,预防主动威胁的主要办法是用连续层面（多道关卡）来控制进入（接触）敏感源。如果所有设备、软件和数据等都管理得井井有条，现在考虑的重点就可以集中在减少或避免未经授权的人对敏感设备和资料的接触上，使作案的人没有机会。也就是把有不良企图的人同他觊觎的目标隔离开来。 具体分为：站点进入控制、系统进入控制及文档进入控制。,信息系统安全,25,站点进入控制,站点进入控制的目标是从物理上将未授权个体与计算机资源隔离开来。常用的方法有： 出入存放计算机或敏感数据的房间要进行身份认证。 门要上锁，最好是智能锁。 数据库和服务器所在地周围安装监视器，连续监控接近者。 一切输出设备

14、尽可能隐蔽保管，通过密码才能使用。,信息系统安全,26,系统进入控制,系统进入控制是一种用来阻止未被授权的使用者进入系统软件的导向型控制，目的是通过用户名、密码、IP地址和硬件配置等手段来鉴别使用者。每一个内部使用者都可以从以下9个级别上分配到相应的用户名和密码：个人电脑或工作站级别、网络级别、主机级别、文档服务器级别、文档目录级别、程序级别、文档数据或数据库级别、记录级别、数据领域级别。这些级别联合起来提供了一个连续层面的保护，基本上可将窃密者与敏感数据隔离。,信息系统安全,27,文档进入控制,文档进入控制阻止对数据和程序文档的未经授权的访问。最基本的文档进入控制是针对访问（看）和改变（修改

15、）文档建立一套授权模式和控制程序。没有书面批准的情况下任何人包括系统维护员均不得实施程序的修改，有书面授权的情况下也只能在原程序的副本上进行正确的授权改动。特别重要的程序都应该保存在加锁的文档中，这就意味着这些程序只可以运行，但不能看，更不能改。,信息系统安全,28,三、 对被动威胁进行控制,被动威胁包括供电系统和硬件系统的故障。对此类问题的控制包括预防和修复两个方面。 容错系统 如果系统的一部分出现问题，一个冗余部分接替该部分，使得系统继续运行而不致中断或只是暂短中断。 网络通过双重交互路径来建立容错机制。 存储采用双机热备建立容错机制。 电力供应采用不间断电源（UPS）建立容错机制。 文件

16、备份（全备，增量备，差异备）是防数据混乱和丢失的容错机制。,信息系统安全,29,四、互联网安全,互联网是一个自由的、开放的网络，企业的计算机连接到互联网上之后，便会成为世界上所有主动威胁者潜在的攻击目标。因此，我们要认识到与互联网有关的脆弱性，然后采取可能的安全防范措施。互联网的脆弱性主要有以下几个方面：,信息系统安全,30,1. 网络操作系统的脆弱性,网络服务器上运行的网络操作系统从本质上讲是计算机操作系统的一个延伸。这就导致在操作系统层面上的任何安全弱点都会在网络服务器上产生相应的问题。同时，截止目前还没有任何操作系统可以对外来攻击是完全免疫的。黑客们不断寻找和发现新的系统安全隐患。因此，

17、系统管理员必须时刻注意由操作系统开发商或其代理商发布的系统安全公告。例如，微软公司每天都在自己的主页上发布新的关于windows的安全信息或软件补丁。,信息系统安全,31,2. 网络服务器的脆弱性,网络服务器和操作系统类似，需要时刻关注所发布的关于安全的信息或系统配置的公告。因为网络服务器与网络浏览器的升级比操作系统更加频繁，而且，每一次升级几乎都意味着存在一个新的隐患。网络服务器也是信息系统安全防范的第一道防线，因为它是外来访问者最经常经过的入口。 不恰当的配置会大大降低网络服务器的安全性。,信息系统安全,32,3. 局域网络的脆弱性,连接了许多客户端的局域网有时也会面临一些特别的风险，比如

18、黑客可以从其中某一客户端的计算机进入而攻击整个局域网。如果该客户端拥有进入局域网服务器主机的权限，那么黑客就可能以该客户端为突破口，攻击局域网服务器主机。服务器管理员无力保证所有的客户端都具有足够的安全性，因为在许多公司里，局域网上的用户往往同时连接在互联网上，甚至经常运行一些来自互联网上的陌生而不安全的程序，有时还对自己的计算机进行不恰当的配置。,信息系统安全,33,4. 各种服务程序的脆弱性,许多网络服务器主机上不仅运行网络服务程序，还提供一些其他服务。比如FTP服务（一种计算机间的文件传输服务）、电子邮件服务和远程控制服务（允许合法用户远程控制主机）等。网络服务器每增加一项服务的同时，也

19、就增加了一份系统的安全隐患，相当于为网络黑客打开了一扇大门，网络服务器主机上的程序和文件就有可能受到攻击，甚至攻击连在同一局域网内的其它计算机。,信息系统安全,34,第四节 灾难风险管理,灾难总会发生，不依人的意志为转移。本世纪初一次大的意外灾难. 灾难风险管理的实质是保证在灾难发生时，系统能够正常工作。灾难风险管理包括灾难预防和偶然事件计划两个方面。,信息系统安全,35,一、 预防灾难,研究显示下列灾难发生的比例为： 自然灾害 30% 蓄意破坏 45% 人为错误 25% 经验表明，良好的安全政策与计划可以预防许多由于蓄意破坏或误操作引起的灾难。计算机设备和数据集中放置在难以被暴风雨、地震、洪水侵袭的建筑物中可以减少许多自然灾害导致的灾难。,信息系统安全,36,二、 偶然事件防范预案,偶然事件防范预案在企业里必须被高度贯彻执行。该预案必须作为计算机安全计划的一个重要组成部分，在董事会上讨论通过。据估算，灾难恢复计划所需的费用大概应占到整个信息系统预算的2%10%。 偶然事件防范预案主要包括四个方面：评估企业的关键需要；将关键需要按优先级列表；制定恢复策略和替换过程规划。,信息