信息系统安全ppt课件
表10-1 生命周期各阶段目标
生命周期阶段
系统分析 系统设计
系统实施 系统运行、评价和 维护
各阶段目标
分析信息系统的脆弱性和面临的威胁极其损失风险
针对上述分析的各种安全风险,设计安全控制措施并 制定偶然事件计划。 按照上述设计实施安全控制措施
运行安全系统并评估其效果和效率,对其存在的问题 和不足进行修正完善。
以及运行安全系统的成本。
信息系统安全
6
三、 信息系统的脆弱性与威胁分析
分析信息系统的脆弱性与威胁有两种方法:定量分析方法和定 性分析方法。
• 定量分析方法
每种损失风险由单个损失成本与其发生的可能性的乘积计算 而得。见下。
表6-3威胁分析报告
风险类型
数据窃取 舞弊与病毒攻击 恶意破坏 文档变更 程序变更 设备盗窃 自然灾害
信息系统安全
5
二、信息安全系统各阶段报告
为使CSO的工作具有足够的独立性和少受干扰, CSO有 权直接向董事会或最高管理层报告。CSO根据信息安全系 统所处的不同阶段和不同目标,分别起草有针对性的报告 并呈报给董事会和企业的最高管理层,以获得批准和支持。 见表10-2所示:
表10-2 生命周期各阶段( cso )应提交的报告
一、 信息系统舞弊的严重性
系统安全是一个国际问题,各国都吃过利用计算 机舞弊带来的苦果,因此纷纷制定了严厉的相关 法律。
信息系统安全
9
二、 把威胁引入信息系统的个人
对信息系统的成功攻击需要接近硬件、软件或 敏感数据。三类人最有可能将威胁引入信息系 统,他们是:计算机系统员工、用户和计算机 窃密者。
1. 计算机系统员工
包括维护员、程序员、操作员、信息系统管理员和数 据控制员。维护员经常安装硬件和软件、维修硬件和修 改软件上的小错误。在任何情况下,维护人员都可能运 用这种权力非法浏览并修改数据和程序文档。程序员可 能对存在的程序作不良修改,或者编写不良的新程序。
信息系统安全
10
网络操作员可以秘密地监控所有的网络通信 (包括用户的输入口令),以及存取系统里 的任何文档。系统管理员处于被充分信赖的 地位,通常有权接近安全秘密、文档和程序 等。如系统账户管理员有能力编造虚假会计 科目,或者泄露现有会计科目的密码。数据 控制员负责把数据手工或自动输入计算机, 他们可以欺诈性地操纵所输入的数据。
13
2. 程序变更
程序变更可能是计算机舞弊中使用最少的方法, 因为它需要掌握编程技术的人才能做到。在美 国,一名程序员通过修改计算机程序忽略自己 账户上的透支额。当计算机出现故障不得不手 工处理这些记录时,他的行为才被发现。一家 经纪人公司的数据处理经理多年来盗窃金额达 71000美元,其做法也是修改未被授权修改的程 序。
不论哪种分析方法,以下几个方面都要进 行分析评估:业务中断;软件损失;数据 损失;硬件损失;设备损失;服务与人员 损失。
信息系统安全
8
第二节 信息系统的 脆弱性与面临的威胁
脆弱性是指信息系统的薄弱环节,威胁是利用这 种脆弱性的可能性。威胁有两种:主动威胁(利 用信息系统舞弊和破坏)与被动威胁(系统故障 和自然灾害)。
生命周期阶段
给董事会的报告
系统分析
一份关于信息系统面临各种风险和安全隐患的分析报告。
系统设计
一份控制风险和消除安全隐患的详细计划报告。其中包括 按此计划建立的信息安全系统的整体预算。
一份关于信息安全系统运行情况的报告。其中包括如何屏 系统实施,系统运行、 蔽某些安全威胁的具体案例,关于安全系统的符合性分析 评价和维护
信息系统安全
12
三、信息系统主动威胁的类型
1. 输入操作
输入操作是计算机舞弊采用最多的方法,因为这 种方法要求最少的技术技能,一个不懂计算机 系统操作的人也可以改变输入内容。例如在美 国的一个案例中,一名女性通过篡改输入文件, 在十年间不仅每月盗窃200美元,而且给自己发 放双份工资。
信息系统安全
第十章 信息系统安全
信息系统安全
1
信息安全系统是为控制与企业业务处理信息系 统有关风险而建立的安全保障系统。是企业业务 处理信息系统的伴随系统或称影子系统,因为只 要有信息系统,就要建立信息安全系统。
信息系统安全
2
第一节 信息安全系统概述
我们知道,企业的业务处理信息系统本身面临 许多特别的风险和安全威胁。而企业借以实现生 产、经营、管理和决策的这个信息系统,不允许 出现任何闪失和不稳定,它的安全必须有所保证。 为此,必须针对信息系统的特别风险建立安全保 障体系,我们把这个体系称为信息安全系统。
信息系统安全
3
信息安全系统和任何一个信息系统一样有其基 本构成要素:如硬件、数据库、处理过程以及报 告等。
信息安全系统若想有效,必须由一位首席信息 官(CIO)以外的高管来管理,这个人称为首席安 全官(CSO),CSO与CIO处于同一领导层。
信息系统安全
4
一、 信息安全系统的生命周期
信息安全系统也是一种信息系统,也有自己的生命周 期。也要经历系统分析、设计、实施,以及运行、评价和 维护各生命阶段。而在每一个生命阶段都有相应的追求目 标。如下表所示:
潜在损失
风险系数
700000000 1200000000 2500000000
400000000
100000000
0.050 0.025 0.010 0.050 0.020 0.100 0.007
损失风险
700000
信息系统安全
7
• 定性分析方法
这种方法仅仅列出信息系统的各种脆弱性和 威胁,根据他们对组织总损失风险影响的 大小,主观地将其分为各个等级。有时为 了直观醒目,每种等级用一种颜色表示, 如:黑色、红色、橙色、黄色和绿色等。
2. 用户
在信息系统高度自动化情况下,用户可利用 远程终端或触摸屏等直接使用信息系统内的 一些敏感数据,并有可能向我们的竞争者披 露这些数据,还有可能攻击我们的系统。
信息系统安全
11
3. 计算机窃密者
窃密者是指那些未经正当授权就使用设备、 电子数据或文档的人。他们通过搭线密听、 借道、模仿等非法欺诈手段,进入计算机信 息系统,窃取机密。这些人纯属主动的恶意 的破坏者。
信息系统安全
14
3. 直接变更文档
在某些情况下,个人可以利用其他软件如EXCEL 伪造数据文件并输入到数据库里。这种情况一旦 发生,后果则是灾难性的。华尔街十大经纪人公 司之一的沃特森公司的一名雇员,通过把一部分 公司收入转到他的个人账户上非法盗窃了277000 美元。事后,检察官承认,如果被告不认罪,起 诉是不会有证据的。
