勞頓管理信息系統(tǒng)第11版教學(xué)課件mis11e chchs

信息系統(tǒng)安全第8章管理信息系統(tǒng)

第8章信息系統(tǒng)安全學(xué)習目標解釋信息系統(tǒng)脆弱、易破壞、被濫用的原因。評價安全控制的商業(yè)價值。確定安全和控制的組織架構(gòu)組成部分。評估保護信息資源的重要工具和技術(shù)。管理信息系統(tǒng)

第8章信息系統(tǒng)安全波士頓凱爾特人成績大點反間諜軟件問題：在團隊旅行過程中，間諜軟件將筆記本電腦感染病毒，從而影響可接入性和私有系統(tǒng)的性能。解決方案：部署安全軟件來減少間諜軟件。軍情五處的網(wǎng)絡(luò)安全設(shè)備工具Webgate，安置在企業(yè)防火墻與防間諜軟件進入口之間，或者安置在防火墻與被感染的計算機之間。演示打擊惡意軟件過程中IT的作用說明實現(xiàn)網(wǎng)絡(luò)安全時數(shù)字技術(shù)的作用。管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用安全使用政策、程序和技術(shù)措施來防止的訪問、修改、盜竊，或者對信息系統(tǒng)的物理損壞?？刂苼泶_保組織的資產(chǎn)完全的方法、政策和組織程序；會計記錄的準確性和可靠性及遵守的業(yè)務(wù)管理水平管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用系統(tǒng)為什么脆弱？硬件問題故障、錯誤配置、使用不當和行為惡意。軟件問題程序錯誤、安裝錯誤、未授權(quán)的修改災(zāi)難停電、洪水、火災(zāi)等網(wǎng)絡(luò)的使用和外界對公司計算機的控制例如，國內(nèi)或離岸外包廠商當代安全挑戰(zhàn)及不穩(wěn)定因素圖8-1典型的基于網(wǎng)絡(luò)應(yīng)用程序架構(gòu)包括：web客戶端、服務(wù)器和連接數(shù)據(jù)庫的企業(yè)信息系統(tǒng)。每一個組件都出現(xiàn)安全挑戰(zhàn)和不確定因素。洪水、火災(zāi)、停電和其他電器問題可能導(dǎo)致網(wǎng)絡(luò)中的任何一點受干擾。管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用硬件操作系統(tǒng)軟件數(shù)據(jù)偷盜拷貝數(shù)據(jù)數(shù)據(jù)改動硬件故障軟件故障黑客病毒和蠕蟲偷盜和欺詐故意毀壞拒絕服務(wù)攻擊竊聽測錯消息變化

偷盜和欺詐輻射非權(quán)威訪問錯誤網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)對每人開放互聯(lián)網(wǎng)的規(guī)模意味著濫用可能有廣泛的影響使用固定因特網(wǎng)地址與因特網(wǎng)進行永久連接很容易被黑客識別。電子郵件附件使用電子郵件發(fā)送商業(yè)機密即時消息缺乏安全性，可能很容易被截獲管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用無線安全挑戰(zhàn)無線電頻段容易被掃描到（服務(wù)集標識符）確定接入點多波播出駕駛攻擊竊聽者駕車經(jīng)過建筑物，并嘗試攔截網(wǎng)絡(luò)流量當黑客有權(quán)獲得SSID時，可以訪問網(wǎng)絡(luò)資源有限等效加密802.11安全標準為用戶和接入點使用基本規(guī)范共享密碼用戶經(jīng)常無法使用安全功能管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用無線安全挑戰(zhàn)圖8-2許多無線網(wǎng)絡(luò)可能被入侵者滲透，利用嗅探程序獲取一個地址，并且很容易地訪問的網(wǎng)絡(luò)資源。閱讀交互會話：組織，然后討論以下問題：列舉和描述TJX公司安全控制的薄弱環(huán)節(jié)。什么管理、組織和技術(shù)因素助長這些薄弱環(huán)節(jié)出問題？JTX數(shù)據(jù)的丟失對JTX公司、顧客和銀行有何業(yè)務(wù)影響？JTX如何有效地處理這些問題？在本案例中，誰應(yīng)該為使用欺詐性的信用卡所造成的損失承擔責任？發(fā)行信用卡的銀行還是顧客？為你的回答辯護。你介意使用什么解決方案來阻止問題的發(fā)生？最壞的數(shù)據(jù)盜竊究竟是什么？管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用惡意軟件病毒：流氓軟件程序，附著在其他軟件程序或數(shù)據(jù)文件上可以執(zhí)行。蠕蟲：獨立計算機程序能夠自我復(fù)制和通過網(wǎng)絡(luò)在計算機間傳播特洛伊木馬：看起來沒什么破壞性的軟件程序，但是會做一些意想不到的事情。間諜軟件：秘密地安裝在計算機上的小應(yīng)用程序，能夠監(jiān)控用戶網(wǎng)上沖浪活動和發(fā)送廣告。鍵盤記錄器：記錄計算機上的每一個擊鍵，盜取序列號、密碼，啟動互聯(lián)網(wǎng)攻擊。管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用黑客和計算機犯罪黑客與駭客活動包括：系統(tǒng)入侵商品和信息的偷盜系統(tǒng)損壞網(wǎng)絡(luò)破壞故意分解、污損、破壞網(wǎng)站或企業(yè)信息系統(tǒng)管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用欺騙通過使用假郵件地址或偽裝成其他人來隱瞞自己真實身份。重定向網(wǎng)頁連結(jié)到不同的目的地址，以偽裝網(wǎng)站為目的嗅探器：通過網(wǎng)絡(luò)竊聽計劃、監(jiān)視信息流動拒絕服務(wù)：向網(wǎng)絡(luò)服務(wù)器發(fā)送大量錯誤請求，使服務(wù)器來不及響應(yīng)，從而無法正常工作。分布式拒絕服務(wù)：使用無數(shù)計算機啟動一個拒絕服務(wù)。僵尸網(wǎng)絡(luò)：通過僵尸對“僵尸”電腦網(wǎng)絡(luò)進行滲透管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用計算機犯罪定義為“在導(dǎo)致成功起訴的非法行為中,計算機技術(shù)和知識起了基本作用的非法行為”計算機可能會是犯罪的目標，例如：違反被保護可計算數(shù)據(jù)的機密訪問一個的計算機系統(tǒng)計算機可能是犯罪的工具，例如：盜竊商業(yè)機密使用電子郵件威脅或騷擾管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用身份盜竊：利用個人信息（社保號、駕駛證或信用卡號）冒充他人身份。.網(wǎng)絡(luò)釣魚：建立假冒網(wǎng)站或發(fā)送電子郵件，看起來像合法的企業(yè)獲得用戶個人保密資料。邪惡的雙胞胎：無線網(wǎng)絡(luò)，假裝提供可靠的Wi-Fi連接到互聯(lián)網(wǎng)域欺騙：用戶重定向到一個假網(wǎng)頁，即使個別類型正確的Web瀏覽器進入他或她的網(wǎng)頁地址管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用點擊欺詐個人或計算機程序在線點擊廣告，沒有任何學(xué)習和購買意圖。全球性威脅-網(wǎng)絡(luò)恐怖主義和網(wǎng)絡(luò)戰(zhàn)爭關(guān)注互聯(lián)網(wǎng)和其他網(wǎng)絡(luò)的脆弱性，使數(shù)字網(wǎng)絡(luò)成為恐怖主義、外國情報機構(gòu)或其他團體采用數(shù)字攻擊容易攻擊的目標管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用內(nèi)部威脅雇員安全威脅常常源于組織內(nèi)部內(nèi)部知識草率的安全程序用戶知識的缺乏社會工程假裝是公司的合法成員誘騙員工暴露他們的密碼，竊取需要的信息管理信息系統(tǒng)

第8章信息系統(tǒng)安全系統(tǒng)的脆弱性和濫用軟件漏洞商業(yè)軟件有缺陷，容易造成安全漏洞隱藏的錯誤（程序代碼缺陷）零缺陷不可能實現(xiàn)，因為大程序不可能進行完全測試缺陷網(wǎng)絡(luò)入侵者是開放的補丁軟件供應(yīng)商發(fā)布修復(fù)缺陷的小程序然而，用軟件創(chuàng)建業(yè)績量可能要比補丁發(fā)布和實現(xiàn)更快管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全及控制的企業(yè)價值安全控制缺乏可能導(dǎo)致收入損失失敗的計算機系統(tǒng)可以導(dǎo)致嚴重的或全部業(yè)務(wù)功能的喪失降低市場價值：信息資產(chǎn)可以有巨大的價值一個安全漏洞可能會立即削減公司的市場價值法律責任降低員工工作效率較高的經(jīng)營成本管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全及控制的企業(yè)價值電子記錄管理的法律和監(jiān)管需求企業(yè)面臨保留和電子檔案存儲的新法律義務(wù)，以及隱私保護HIPAA標準：醫(yī)療安全和隱私規(guī)則和程序格拉姆-Leach-Bliley法案：要求金融機構(gòu)確保安全和客戶數(shù)據(jù)的保密性薩班斯法案：將責任強加于公司和其管理之上，以維護對內(nèi)使用、對外發(fā)布的財務(wù)信息的準確性和完整性。電子證據(jù)以數(shù)字形式顯示白領(lǐng)犯罪證據(jù)存儲在計算機設(shè)備上的數(shù)據(jù)，電子郵件、即時消息、電子商務(wù)事務(wù)當響應(yīng)法律發(fā)現(xiàn)的要求時，恰當?shù)臄?shù)據(jù)控制可以節(jié)省時間、金錢。計算機取證：科學(xué)的收集、審查、鑒定、保存和從計算機存儲媒介得到的數(shù)據(jù)，這些分析數(shù)據(jù)可作為法庭證據(jù)。包括周圍的和隱藏的數(shù)據(jù)恢復(fù)管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全和控制的企業(yè)價值管理信息系統(tǒng)

第8章信息系統(tǒng)安全建立安全控制架構(gòu)信息系統(tǒng)控制一般控制控制設(shè)計、安全、以及計算機程序和整個組織的IT基礎(chǔ)設(shè)施數(shù)據(jù)的使用結(jié)合硬件、軟件、手動程序創(chuàng)建的總體控制環(huán)境一般控制類型軟件控制硬件控制計算機操作控制數(shù)據(jù)安全控制執(zhí)行控制管理控制應(yīng)用程序控制每個計算應(yīng)用程序的專業(yè)控制，例如工資或訂貨單處理包括自動和手動過程確保只有經(jīng)過授權(quán)的數(shù)據(jù)才能由該應(yīng)用程序完全準確地處理應(yīng)用程序控制的類型輸入控制處理控制輸出控制管理信息系統(tǒng)

第8章信息系統(tǒng)安全建立安全控制架構(gòu)風險評估確定公司風險水平，是否存在特定的活動或過程沒有適當?shù)目刂仆{類型在當年發(fā)生的概率潛在的損失、威脅值預(yù)期年度虧損EXPOSUREPROBABILITYLOSS

RANGE

(AVERAGE)EXPECTEDANNUAL

LOSSPower

failure30%$5K

-

$200K

($102,500)$30,750Embezzlement5%$1K

-

$50K

($25,500)$1,275User

error98%$200

-

$40K

($20,100)$19,698管理信息系統(tǒng)

第8章信息系統(tǒng)安全建立安全控制框架安全策略排列信息風險，確定可接受的安全目標，并確定實現(xiàn)這些目標的機制其他政策驅(qū)動可接受使用政策（AUP）：定義企業(yè)信息資源和計算設(shè)備的可接受使用方法授權(quán)政策：確定不同層次的用戶對信息資產(chǎn)的不同應(yīng)用水平。授權(quán)管理系統(tǒng)允許每個用戶只能訪問系統(tǒng)的部分功能，這部分人允許進入系統(tǒng)，依據(jù)訪問規(guī)則和概況建立信息。管理信息系統(tǒng)

第8章信息系統(tǒng)安全建立安全控制架構(gòu)管理信息系統(tǒng)

第8章信息系統(tǒng)安全建立安全控制架構(gòu)個人信息系統(tǒng)安全概述圖8-3這兩個例子描述兩個安全配置文件或者數(shù)據(jù)安全典范，這些典型案例在個人系統(tǒng)中能夠找到。依賴安全配置文件，用戶訪問各種系統(tǒng)、站點或組織中的數(shù)據(jù)時，將有一定的約束。管理信息系統(tǒng)

第8章信息系統(tǒng)安全建立安全控制架構(gòu)災(zāi)難恢復(fù)計劃：恢復(fù)中斷的服務(wù)設(shè)想計劃業(yè)務(wù)連續(xù)性計劃：災(zāi)后恢復(fù)業(yè)務(wù)運行兩種類型的計劃，以確定企業(yè)所需的關(guān)鍵系統(tǒng)和業(yè)務(wù)流程業(yè)務(wù)影響分析來確定中斷影響管理部門必須確定系統(tǒng)癱瘓的最大時間哪些系統(tǒng)必須首先恢復(fù)管理信息系統(tǒng)審計檢查公司的整體安全環(huán)境和控制管理個人信息管理系統(tǒng)評論技術(shù)、程序、文檔、培訓(xùn)和人員甚至可以模擬災(zāi)難去測試技術(shù)、工作人員、其他員工的反應(yīng)列舉和排列所有控制的弱點，估計他們發(fā)生的概率。評估各種威脅的經(jīng)濟和組織影響。管理信息系統(tǒng)

第8章信息系統(tǒng)安全建立安全控制架構(gòu)樣品審計員的控制劣勢表圖8-4This

chart

is

a

sample

page

froma

list

of

control

weaknesses

thatan

auditor

might

find

in

a

loansystem

in

a

local

commercialbank.

This

form

helps

auditorsrecord

and

evaluate

controlweaknesses

and

shows

theresults

of

discussing

thoseweaknesses

with

management,

as

well

as

any

corrective

actionstaken

by

management.這個圖標是控制弱點列表的樣本頁。一個審計員可能在當?shù)厣虡I(yè)銀行的

借貸系統(tǒng)中找到這些控制弱點。這張表幫組審計員記錄和評價控制劣勢及顯示討論這些弱點的結(jié)果。管理人員可能采取行動。管理信息系統(tǒng)

第8章信息系統(tǒng)安全建立安全控制架構(gòu)管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具訪問控制：政策和程序來防止的業(yè)內(nèi)人士和局外人不正當?shù)卦L問系統(tǒng)授權(quán)認證密碼系統(tǒng)令牌智能卡生物識別認證管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具防火墻：硬件和/或軟件，以防止地訪問專用網(wǎng)絡(luò)篩選技術(shù)包過濾狀態(tài)檢查網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）應(yīng)用代理過濾入侵檢測系統(tǒng)：對網(wǎng)絡(luò)監(jiān)控薄弱環(huán)節(jié)來檢測和阻止入侵者審查正在發(fā)生的事件來發(fā)現(xiàn)正在進行的攻擊掃描網(wǎng)絡(luò)，尋找攻擊的指示模式管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具企業(yè)防火墻防火墻安裝在公司專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)（或另一個非信任網(wǎng)絡(luò)）之間防止的通信。圖8-5管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具防病毒和反間諜軟件：檢查計算機是否存在惡意軟件，并且常常可以消除它需要不斷更新統(tǒng)一威脅管理（UTM）全面安全地管理產(chǎn)品工具包括：防火墻入侵檢測虛擬專用網(wǎng)Web內(nèi)容過濾反垃圾郵件軟件管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具確保無線網(wǎng)絡(luò)WEP安全性可以得到改善：激活它給網(wǎng)絡(luò)的SSID分配唯一的名稱，采用VPN技術(shù)Wi-Fi聯(lián)盟完成WAP2規(guī)范，用更強的標準取代WEP不斷變化的密鑰使用中央服務(wù)器加密認證系統(tǒng)管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具加密：文本或數(shù)據(jù)轉(zhuǎn)化成密文，無法被意想不到的收件人閱讀兩個加密網(wǎng)絡(luò)流量的方法)安全套接字層（SSL）和繼任者傳輸層安全性（TLS）安全超文本傳輸協(xié)議。兩種加密方法對稱密鑰加密公共密鑰加密公共關(guān)鍵密鑰加密圖7-6一個公開密鑰加密系統(tǒng)被視為一個公共和私人密鑰的序列，當他們被傳遞時加密，當被接受時解密。發(fā)送方指定接收方公共密鑰的方向，使用這個公共密鑰加密消息。消息通過因特網(wǎng)或私人網(wǎng)絡(luò)以加密的形式傳遞。當加密消息到達時，接收方用他的私人密鑰解密數(shù)據(jù)讀取消息。管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具發(fā)送方使用公開密鑰加密炒消息公開密鑰解密接收方管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具數(shù)字證書：用來建立用戶身份和電子資產(chǎn)來保護在線交易的數(shù)據(jù)文件。使用一個受信任的第三方，認證機構(gòu)（CA），來驗證用戶的身份認證機構(gòu)驗證用戶的身份，將信息存儲在CA服務(wù)器，生成加密的數(shù)字證書包含所有者ID信息和所有者公共密鑰的副本公鑰基礎(chǔ)設(shè)施（PKI）公共密鑰加密與權(quán)威認證的使用廣泛應(yīng)用于電子商務(wù)數(shù)字證書圖8-7數(shù)字證書幫助建立人的身份或電子資產(chǎn)。他們保護在線交易通過提供確切的、加密的在線通信。管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具機構(gòu)/個人主題請求證書交易伙伴：網(wǎng)上商家

或客戶證書接收數(shù)字證書序列號版本發(fā)行人名稱發(fā)行/到期日主題名稱主題公共密鑰證書權(quán)威簽名其他信息證書機關(guān)管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具確保系統(tǒng)的可用性在線交易處理需要100％的可用性，沒有停機時間容錯計算機系統(tǒng)對于連續(xù)可用性包含有多余的硬件、軟件和電源供應(yīng)組件，以提供連續(xù)的、不間斷的服務(wù)高可用性計算幫助迅速恢復(fù)崩潰最小化，并不消除停機時間管理信息系統(tǒng)

第8章信息系統(tǒng)安全安全技術(shù)和工具回收型計算具有快速恢復(fù)功能的設(shè)計系統(tǒng)，幫助運營商迅速查明和糾正在多組分系統(tǒng)故障控制網(wǎng)絡(luò)流量深度包檢測（DPI）安全外包托管安全服務(wù)提供商（MSSPs）管理信息系統(tǒng)

第8章信息系