會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn).ppt

第十三章 會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)管理,學(xué)習(xí)目標(biāo) 熟悉會(huì)計(jì)信息系統(tǒng)面臨的各類風(fēng)險(xiǎn) 掌握分析識(shí)別系統(tǒng)面臨的各類安全問題 掌握系統(tǒng)安全需求分析方法 掌握風(fēng)險(xiǎn)評(píng)估方法和技術(shù) 熟悉并應(yīng)用系統(tǒng)安全控制目標(biāo)和控制措施的選擇 了解災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃的重要性 掌握制定災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計(jì)劃的方法，并能有效管理相關(guān)計(jì)劃,會(huì)計(jì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)類型 信息安全相關(guān)問題 信息安全管理控制規(guī)范,會(huì)計(jì)信息系統(tǒng)的安全問題,（1）自然災(zāi)害和政治災(zāi)難 火災(zāi)、水災(zāi)、地質(zhì)災(zāi)害等自然災(zāi)害 恐怖活動(dòng)、戰(zhàn)爭(zhēng)等政治災(zāi)害 2006年12月26日臺(tái)灣地震導(dǎo)致國(guó)際海底光纜中斷 （2）軟件錯(cuò)誤和設(shè)備故障 軟件程序的BUG、電力中斷、通信線路中斷等 例：用友軟件操作過程中遇見的問題,會(huì)計(jì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)類型,（3）無意識(shí)的破壞行為 員工安全意識(shí)缺乏導(dǎo)致的系統(tǒng)及信息破壞 會(huì)計(jì)無意中刪除了重要的賬戶資料 （4）有意識(shí)的破壞行為 惡意軟件、非授權(quán)訪問和修改、偷竊、消息路徑錯(cuò)誤和重定向 擔(dān)任世界最大衍生交易市場(chǎng)領(lǐng)導(dǎo)角色的法國(guó)第二大銀行興業(yè)銀行，2008年1月24日爆出該行歷史上最大違規(guī)操作丑聞?，F(xiàn)年30多歲的交易員熱羅姆蓋維耶爾通過了銀行“5道安全關(guān)”獲得使用巨額資金的權(quán)限，在未經(jīng)授權(quán)情況下大量購買歐洲股指期貨，最終給銀行造成49億歐元（約合71.4億美元）損失。,會(huì)計(jì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)類型,業(yè)務(wù)過程風(fēng)險(xiǎn)的類型,戰(zhàn)略風(fēng)險(xiǎn)：指做了錯(cuò)誤的事情。 操作風(fēng)險(xiǎn)：指做了正確的事情，但用的是錯(cuò)誤的方法。 財(cái)務(wù)風(fēng)險(xiǎn)：指面臨財(cái)務(wù)資源的損失、浪費(fèi)或偷竊。 法律法規(guī)風(fēng)險(xiǎn)：指是否面臨違背法律法規(guī)的風(fēng)險(xiǎn)。 信息風(fēng)險(xiǎn)：如是否存在錯(cuò)誤的或不相關(guān)的信息、不可靠的系統(tǒng)和不正確的報(bào)告。,信息是一種資產(chǎn)，和其他重要的業(yè)務(wù)資產(chǎn)一樣，對(duì)企業(yè)而言具有價(jià)值，需要保護(hù)。 信息安全是指防止信息資源的非授權(quán)泄露、更改、破壞，或使用非法系統(tǒng)辨識(shí)、控制和否認(rèn)，以確保信息的機(jī)密性（confidentiality）、完整性（integrity）、可用性（availability）、真實(shí)性（authenticity）及有效性（utility）。,信息安全相關(guān)問題,信息安全一般可以通過實(shí)體安全、運(yùn)行安全、管理安全等方面來加以控制實(shí)現(xiàn)。 信息安全主要通過采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，信息的機(jī)密性、完整性、真實(shí)性、可用性等不被波壞。,信息安全相關(guān)問題,機(jī)密性是指確保只有被授予特定權(quán)限的人才能訪問到信息。 公開信息 敏感信息 完整性是指保證信息及其處理方法的正確性和完整性。 在使用、傳輸、存儲(chǔ)信息的過程中不發(fā)生篡改信息、丟失信息、錯(cuò)誤信息等現(xiàn)象。 信息處理方法正確，錯(cuò)誤的操作，有可能造成重要文件的丟失和毀損，甚至造成整個(gè)系統(tǒng)的癱瘓。 可用性是確保授權(quán)用戶在需要的時(shí)候確實(shí)可以訪問系統(tǒng)獲得所需信息。 通信線路中斷、網(wǎng)絡(luò)擁堵都會(huì)造成信息在一段時(shí)間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營(yíng)。,信息安全相關(guān)問題,信息安全包括信息系統(tǒng)的安全和信息的安全，并以信息安全為最終目標(biāo)。 實(shí)現(xiàn)信息安全必須從管理和技術(shù)兩方面著手，技術(shù)層面和管理層面的良好配合，是企業(yè)實(shí)現(xiàn)信息安全的有效途徑。 信息安全不僅僅是技術(shù)問題，在很大程度上更多的表現(xiàn)為管理問題。 據(jù)安永分析，在整個(gè)系統(tǒng)安全工作中，管理所占的比重應(yīng)該達(dá)到70%，而技術(shù)應(yīng)占30%。 在信息安全實(shí)務(wù)工作中，人們的注意力通常集中在計(jì)算機(jī)及其技術(shù)的使用、安裝、配置以及預(yù)防工具濫用等方面，容易忽視使用工具的人。,信息安全相關(guān)問題,常用的信息安全技術(shù) 密碼技術(shù)密碼編碼、密碼分析、認(rèn)證、鑒別、數(shù)字簽名、密鑰管理、密鑰托管等 防病毒技術(shù)專用的防病毒軟件和硬件。 防火墻技術(shù)計(jì)算機(jī)防火墻、網(wǎng)絡(luò)防火墻，結(jié)合采用過濾技術(shù)、代理技術(shù)、電路網(wǎng)關(guān)技術(shù)。 入侵檢測(cè)技術(shù)檢測(cè)計(jì)算中網(wǎng)絡(luò)中違反安全策略的技術(shù)。 虛擬專用網(wǎng)VPN技術(shù)集成了鑒別認(rèn)證、訪問控制和密碼變換的安全隧道技術(shù)。 信息偽裝技術(shù)將秘密信息隱藏與另一非機(jī)密文件內(nèi)容之中，不同于傳統(tǒng)的加密技術(shù)，不僅隱藏了信息的內(nèi)容，還隱藏了信息的存在。 單一的信息安全技術(shù)往往不能解決問題，必須綜合運(yùn)用多種信息安全技術(shù)，實(shí)現(xiàn)信息安全。,信息安全相關(guān)問題,信息安全管理是企業(yè)用于指導(dǎo)和管理各種控制信息安全風(fēng)險(xiǎn)的、一組相互協(xié)調(diào)的活動(dòng)，有效的信息安全管理要盡量做到在有限的成本下，保證安全“滴水不漏”。 信息安全管理一般包括制定信息安全政策、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)和方式的選擇、制定規(guī)范的操作流程、對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)等一系列工作，通過在安全方針策略、組織安全、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與運(yùn)營(yíng)安全、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性管理、符合法律法規(guī)要求等十個(gè)領(lǐng)域內(nèi)建立管理控制措施，為企業(yè)建立一張完備的信息安全“保護(hù)網(wǎng)”，保證企業(yè)信息資產(chǎn)的安全與業(yè)務(wù)的連續(xù)性。,信息安全相關(guān)問題,信息安全國(guó)際標(biāo)準(zhǔn) 互操作標(biāo)準(zhǔn) 對(duì)稱加密標(biāo)準(zhǔn)EDS,3DES,IDEA,AES;非對(duì)稱加密標(biāo)準(zhǔn)RSA；VPN標(biāo)準(zhǔn)IPSec;傳輸層加密標(biāo)準(zhǔn)SSL；安全電子郵件標(biāo)準(zhǔn)S-MIME;安全電子交易標(biāo)準(zhǔn)SET;通用脆弱性描述標(biāo)準(zhǔn)CVE。 技術(shù)與工程標(biāo)準(zhǔn) ISO/IEC15408信息產(chǎn)品通用測(cè)評(píng)標(biāo)準(zhǔn) SSE-CMM安全系統(tǒng)工程能力成熟度模型 TESEC美國(guó)信息安全桔皮書 信息安全管理與控制標(biāo)準(zhǔn) BS7799,ISO/IEC17799信息安全管理體系標(biāo)準(zhǔn) COBIT信息和相關(guān)技術(shù)控制目標(biāo) ITIL基礎(chǔ)架構(gòu)庫 ISO13335信息安全管理標(biāo)準(zhǔn),信息安全相關(guān)問題,信息安全國(guó)家標(biāo)準(zhǔn) GB17895-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 將信息系統(tǒng)安全分為自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問驗(yàn)證保護(hù)級(jí)。 主要的安全考核指標(biāo)：身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計(jì)等。 GA/T387-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)系統(tǒng)技術(shù)要求 GA/T388-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求 GA/T389-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 GA/T390-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求 GA/T391-2002 計(jì)算機(jī)信息系統(tǒng)安全等