會計信息系統(tǒng)第10章 信息系統(tǒng)安全與控制體系

第十章信息系統(tǒng)安全與控制體系Slide

1Security

&

Controls

for

Information

System主要內容第一節(jié)信息系統(tǒng)安全概述第二節(jié)脆弱性與威脅第三節(jié)控制體系第四節(jié)災難風險管理第五節(jié)信息系統(tǒng)安全與風險控制Slide

1信息系統(tǒng)安全概述Slide

1一、信息系統(tǒng)安全與信息安全二、信息系統(tǒng)安全的影響因素分析三、信息安全系統(tǒng)的目標分析與組織的信息安全系統(tǒng)四、信息系統(tǒng)安全特性五、信息系統(tǒng)安全等級劃分一、信息系統(tǒng)安全與信息安全（1）Slide

1

信息系統(tǒng)安全（informationsystemssecurity）與信息安全（information

security）是一對不太完全相同的概念。

信息安全與信息系統(tǒng)安全是安全集與安全子集的關系，具有包含與被包含的關系。

信息安全有著更廣泛、更普遍的意義，它涵蓋了人工和自動信息處理的安全，網絡化與非網絡化的信息安全，泛指一切以聲、光、電信號、磁信號、語音及約定形式等為媒體的信息的安全，一般也包含以紙介質、磁介質、膠片、有線信道及無線信道為媒體的信息，在獲?。òㄐ畔⑥D換）、分類、排序、檢索、傳遞和共享中的安全。一、信息系統(tǒng)安全與信息安全（2）Slide

1信息系統(tǒng)安全可理解為：與人、網絡、環(huán)境有關的技術安全、結構安全和管理安全的總和，旨在確保在計算機網絡系統(tǒng)中進行自動通信、處理和利用的、以電磁信號為主要形式的信息內容，在各個物理位置、邏輯區(qū)域、存儲和傳輸介質中，始終具有可信性、機密性、完整性、可用性、和抗抵賴性等安全特質。從系統(tǒng)過程與控制角度看，信息系統(tǒng)安全就是信息在存取、處理、集散和傳輸中保持其可信性、

機密性、完整性、可用性和抗抵賴性的系統(tǒng)識別、控制、策略和過程。一、信息系統(tǒng)安全與信息安全（3）Slide

1上述概念中，系統(tǒng)識別主要研究如何建立系統(tǒng)的數(shù)學模型，內容包括模型類型的確定、參數(shù)估計方法和達到高精度估計的試驗設計方法。控制指信息系統(tǒng)根據變化進行調控，使其始終保持動態(tài)平衡狀態(tài)。因此，調控的方向和目標就是使信息系統(tǒng)始終處于風險可接受的幅度內，并逐步收斂至風險趨于最小的狀態(tài)。一、信息系統(tǒng)安全與信息安全（4）Slide

1策略就是針對信息系統(tǒng)安全面臨的系統(tǒng)脆弱性和各種威脅，進行安全風險分析，確定安全目標，建立安全模型和安全等級，提出控制對策，并對信息系統(tǒng)安全進行評估、制定安全保障和安全仲裁等對策。過程指信息系統(tǒng)的變化在時間上的持續(xù)和空間上的延伸。過程和狀態(tài)不可分割，二者相互依存、相互作用和制約。信息系統(tǒng)的狀態(tài)決定和影響著過程，而過程又決定和影響著新的狀態(tài)。二、信息系統(tǒng)安全的影響因素分析Slide

1信息系統(tǒng)本身由于系統(tǒng)主體和客體的原因可能存在不同程度的脆弱性，這就為各種動機的攻擊提供了入侵、騷擾和破壞信息系統(tǒng)可利用的途徑和方法。影響信息系統(tǒng)安全的因素主要有以下幾個方面：硬件組織軟件組織網絡和通訊協(xié)議管理者三、信息安全系統(tǒng)的目標分析與組織中的信息安全系統(tǒng)（1）Slide

1信息系統(tǒng)安全系統(tǒng)的目標√為了控制與計算機信息系統(tǒng)有關的特別風險，一個特殊的系統(tǒng)——信息安全系統(tǒng)誕生了，這個系統(tǒng)具有任何一個信息系統(tǒng)的基本物理要素，它也是一種信息系統(tǒng)?！淘撓到y(tǒng)的總體目標就是確保其他信息系統(tǒng)的安全?！绦畔踩到y(tǒng)的總體目標可以分解到生命周期的各階段中去，如表11-1所示。表10-1信息安全系統(tǒng)生命周期各階段的目標生命周期階段該階段目標系統(tǒng)分析分析信息系統(tǒng)的脆弱性和面臨的威脅及其連帶的風險系統(tǒng)設計針對風險設計安全控制措施并制訂偶然事件計劃系統(tǒng)實施按照設計實施安全控制措施系統(tǒng)運行、評價和控制運行該系統(tǒng)并評估其效果和效率，對其存在的問題可做糾偏調整Slide

1三、信息安全系統(tǒng)的目標分析與組織中的信息安全系統(tǒng)（2）√表11-1中的四個階段合起來被稱為信息系統(tǒng)風險管理，其目標就是為了評估和控制信息系統(tǒng)風險，確保信息系統(tǒng)安全。組織中的信息安全系統(tǒng)√在一個已經實施信息系統(tǒng)的組織中，為了確保信息安全系統(tǒng)的有效性，必須安排一個專門負責人——首席安全官（CSO）來管理，并且為了保持

CSO的完全獨立性，應當規(guī)定由他或她直接向董事會報告。CSO的主要責任之一便是將涉及信息系統(tǒng)安全的報告呈交董事會以求后者審批通過，報告的內容可參見表11-2。表11-2

CSO向董事會提交的有關報告一覽表生命周期階段此階段應向董事會提交的報告系統(tǒng)分析有關所有損失風險的總結報告系統(tǒng)設計控制損失風險的詳細計劃，包括信息安全系統(tǒng)的整體預算系統(tǒng)實施、系統(tǒng)運行、評價和控制信息安全系統(tǒng)的實施細節(jié)、包括損失和破壞的分條細目、符合性分析以及信息安全系統(tǒng)的運行成本四、信息系統(tǒng)安全特性（1）抗抵賴性完整性可信性可用性機密性信息系統(tǒng)安全特性通?？蓮囊韵挛鍌€方面來認識：指要求信息系統(tǒng)對信息輸入、處理和輸出的全Slide

1過程必須進行必要的識別和驗證，以確保信息的真實可靠。四、信息系統(tǒng)安全特性（2）信息系統(tǒng)安全特性通?？蓮囊韵挛鍌€方面來認識：抗抵賴性可信性完整性機密性可用性信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內完成規(guī)定的功能的特性，它是信息系統(tǒng)安全的最基本要求之一。Slide

1四、信息系統(tǒng)安全特性（3）信息系統(tǒng)安全特性通?？蓮囊韵挛鍌€方面來認識：抗抵賴性可信性完整性機密性可用性機密性也叫保密性，是指信息系統(tǒng)能夠保證信息不被泄露給任何非授權的用戶、實體或過程，或者供后者利用的特性，即保證信息只給授權用戶合理使用的特性。Slide

1四、信息系統(tǒng)安全特性（4）信息系統(tǒng)安全特性通?？蓮囊韵挛鍌€方面來認識：抗抵賴性可信性完整性機密性可用性Slide

1指信息在未經授權之下不能擅自變更的特性，即網絡信息在存儲或傳輸過程中保持不被偶然或故意刪除、修改、偽造、插入、重置等行為破壞和丟失的特性。四、信息系統(tǒng)安全特性（5）抗抵賴性完整性可信性可用性機密性Slide

1信息系統(tǒng)安全特性通?？蓮囊韵挛鍌€方面來認識：指要求信息系統(tǒng)在信息的傳輸、處理和存儲等過程中要有據可查，使得相應的操作主體或者交易主體無法否認過去真實發(fā)生的、對信息所做的記錄、處理、查詢或者其他操作性行為。五、信息系統(tǒng)安全等級劃分（1）Slide

1信息系統(tǒng)的安全問題事關重大，通過等級劃分對信息系統(tǒng)安全程度進行分析和評估是非常必要的，也是很有意義的。目前，各國頒布的信息系統(tǒng)安全等級標準不盡相同。美國國防部于1985公布的《可信計算機系統(tǒng)評估準則（Trusted

Computer

System

EvaluationCriteria，TCSEC）》使用了TCB（TrustedComputing

Base）概念，將安全問題分成四個方面：安全策略、可說明性、安全保障和文檔。五、信息系統(tǒng)安全等級劃分（2）Slide

1在TCSEC中，安全策略包括自主式接入控制（DAC，是指由文件的持有者來決定拒絕或允許用戶對信息的訪問）、受控式接入控制（MAC，是指由系統(tǒng)來決定對文件的訪問

權）、敏感標記和對象重用等。

該標準根據所采用的安全策略及系統(tǒng)所具備的安全功能將系統(tǒng)分為4類7個安全級別，參見表11-3所示。

值得注意的是，TCSEC原來主要針對的是操作系統(tǒng)的安

全評估，后來有關方面為了使TCSEC能夠適用于網絡等

系統(tǒng)，于1987年出版了一系列有關可信計算機數(shù)據庫、可信計算機網絡等方面的指南，較好地解釋了網絡環(huán)境下的軟件產品如何進行安全性評估的問題。表11-3

TCSEC安全等級劃分類別名稱安全級別安全作用可信程度A可證實保護A保護性能極高，目前的技術條件難以得到最高B受控式保護B3安全域保護現(xiàn)實最高B2結構式保護高B1帶有標示的保護次高C自主式保護C2受控式訪問保護中C1自主式訪問保護低D最小保護D不具備安全特性最低五、信息系統(tǒng)安全等級劃分（4）Slide

1我國于1999年由公安部主持、國家質量技術監(jiān)督局發(fā)布的GB7895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》將信息系統(tǒng)安全分為五個等級，分別是：第一級，用戶自主保護級。它的安全保護機制可使用戶具備自主安全保護的能力，以使用戶的信息免受非法的讀寫破壞；第二級，系統(tǒng)審計保護級。除具備第一級所有的安全保護功能外，要求創(chuàng)建和維護訪問的審計跟蹤記錄，使所有的用戶對自己行為的合法性負責；五、信息系統(tǒng)安全等級劃分（5）Slide

1第三級，安全標記保護級。除繼承上一級別的安全保護功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問權限，實現(xiàn)對訪問對象的強制功能；第四級，結構化保護級。在繼承前述安全級別的安全功能的基礎上，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分直接控制訪問這對訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力；第五級，訪問驗證保護級。該級別特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象對象的所有訪問活動

。主要內容第一節(jié)信息系統(tǒng)安全概述第二節(jié)脆弱性與威脅第三節(jié)控制體系第四節(jié)災難風險管理第五節(jié)信息系統(tǒng)安全與風險控制Slide

1脆弱性與威脅Slide

1一、脆弱性與威脅的分析方法二、信息系統(tǒng)舞弊三、對信息系統(tǒng)構成威脅的個人及其實施的主動威脅四、因特網的脆弱性與威脅一、脆弱性與威脅的分析方法（1）Slide

1脆弱性是指一個系統(tǒng)的薄弱環(huán)節(jié)；威脅則是指利用這種脆弱性對信息資源造成破壞或者損失的可能性；威脅一般有兩種：主動威脅和被動威脅，前者主要包括信息系統(tǒng)舞弊和計算機破壞行為，后者則包括系統(tǒng)故障和自然災害等。威脅一旦發(fā)生，其結果勢必給系統(tǒng)造成影響，威脅利用脆弱性使組織產生短期或長期、直接或間接的經濟損失。一、脆弱性與威脅的分析方法（2）Slide

1系統(tǒng)的脆弱性是客觀存在的，其本身沒有實際的傷害，但威脅可以利用脆弱性來發(fā)揮作用。從這點來說，可以將信息系統(tǒng)的風險理解為威脅利用了系統(tǒng)的脆弱性而導致的。對信息系統(tǒng)的脆弱性和威脅的分析方法一般有兩種方法，即定量分析方法和定性分析方法。定量分析方法是將每種威脅的潛在損失與其發(fā)生的概率（風險系數(shù)）的乘積來計算損失風險，如表11-4所示。表11-4威脅分析報告威脅類型潛在損失（元）風險系數(shù)損失風險（元）數(shù)據竊取700

0000000.05035

000000舞弊與病毒攻擊1

200

0000000.02530

000000惡意破壞2

500

0000000.01025

000000文檔變更400

0000000.05020

000000程序變更80

0000000.0201

600000一、脆弱性與威脅的分析方法（4）Slide

1根據表11-4可知，數(shù)據竊取可能造成的損失風險最大，其次是舞弊與病毒攻擊，而自然災害可能造成的損失風險最小。但是，從威脅發(fā)生的可能性來看，最可能發(fā)生的威脅是設備盜竊，但它造成的損失風險未必最大。通過這種定量分析方法，對各種威脅發(fā)生的可能性大小、以及造成的損失風險的大小一目了然，有助于我們采取相應的措施以提高信息系統(tǒng)抗威脅的能力。一、脆弱性與威脅的分析方法（5）Slide

1

值得注意的是，將定量分析方法用于評估損失風險在實際操作上會存在許多困難。最大的困難恐怕在于確定單位損失的相關成本以及風險發(fā)生的可能性方面。

定性分析方法僅僅列出系統(tǒng)脆弱性和威脅，根據它們對組織總損失風險的影響大小，人為地將其分成幾個等級，規(guī)定脆弱性和威脅對組織總損失風險的影響越大，其等級越高，反之，其等級越低。通過這種分析，我們可以重點關注處于較高等級的威脅。

不管采取上述哪種分析方法，都需要對以下幾個方面進行分析評估：業(yè)務中斷、設備與硬件損失、軟件損失、數(shù)據損失、服務與人員損失等。二、信息系統(tǒng)舞弊（2）Slide

1商業(yè)環(huán)境下的舞弊有其特殊的含義，它通常指一種故意的偽造、濫用公司財產以及操作財務數(shù)據已謀取不當利益。舞弊的方式多種多樣，在企業(yè)日益重視信息系統(tǒng)應用的今天，信息系統(tǒng)舞弊（也可籠統(tǒng)視為計算機舞弊）已經成為一種新型舞弊形式，它對企業(yè)所造成的損失占企業(yè)各項損失總和的比例正在呈現(xiàn)上升勢頭。二、信息系統(tǒng)舞弊（3）Slide

1信息系統(tǒng)舞弊主要包括以下內容：通過修改信息系統(tǒng)可讀取的記錄和文件來偷竊、濫用和侵吞資產；通過修改信息系統(tǒng)軟件的處理邏輯來偷竊、濫用和侵吞資產；對信息系統(tǒng)可讀取信息的偷竊和非法使用謀取不當利益；對信息系統(tǒng)軟件的偷竊、貪污、非法拷貝和故意破壞；對信息系統(tǒng)硬件的偷竊、濫用和侵吞。二、信息系統(tǒng)舞弊（4）Slide

1事實上，通過對會計信息系統(tǒng)通用模型（參見下圖11-1）的分析，我們不難知道，在該模型的每一個階段——數(shù)據采集、數(shù)據處理、數(shù)據庫管理和信息生成——都是信息系統(tǒng)舞弊可能發(fā)生的

“高?！鳖I域。圖11-1會計信息系統(tǒng)的通用模型示意圖二、信息系統(tǒng)舞弊（6）Slide

1數(shù)據采集階段。數(shù)據采集屬于信息系統(tǒng)的第一個運行階段，其目的是保證進入系統(tǒng)的交易事件數(shù)據是有效、完整并且沒有重大錯誤。而最簡單的信息系統(tǒng)舞弊就可能發(fā)生在數(shù)據采集階段或數(shù)據輸入階段。在這個階段實施舞弊行為僅僅需要一點點或者根本不需要計算機技能，舞弊者只需了解系統(tǒng)工如何輸入將要處理的數(shù)據就可以了。二、信息系統(tǒng)舞弊（7）Slide

1數(shù)據采集階段（續(xù)）這可以是刪除、修改或者增加一項交易。比如，要進行工資舞弊，舞弊者只需通過改變其他合法的工資記錄上的工時字段的數(shù)值來增加工資轉賬的金額（現(xiàn)在大部分企業(yè)已通過銀行代發(fā)工資），當然，這項改動行為有可能被企業(yè)內部控制發(fā)現(xiàn)而無效，但仍有存在逃過內部控制檢查的可能性。二、信息系統(tǒng)舞弊（8）Slide

1數(shù)據采集階段（續(xù)）這種舞弊的一個變種是清償一項假的應付項目。通過在應付項目的數(shù)據采集階段輸入虛假的應付憑單（訂單、收貨報告單和供應商發(fā)票），舞弊者可以欺騙系統(tǒng)為不存在的交易創(chuàng)建應付賬款記錄，一旦記錄被成功創(chuàng)建，系統(tǒng)將認為它是合法的并且到期就應償付的負債，而背后的得利者是偽造單據的舞弊者。二、信息系統(tǒng)舞弊（9）Slide

1數(shù)據處理階段數(shù)據處理階段的舞弊可歸為兩類：一類是程序舞弊，另一類是操作舞弊。程序舞弊包括使用創(chuàng)建非法程序、用計算機病毒破壞正常程序的邏輯、改變程序的邏輯使數(shù)據處理不正常。這方面最為典型的例子就是薩拉米舞弊，它通過修改銀行計算客戶存款利息的程序的處理邏輯，將利息計算的四舍五入的一分錢不再隨機加入到原賬戶，而是被加到了舞弊者指定的賬戶上，這可以為舞弊者收集到為數(shù)不少的現(xiàn)金，但在銀行的會計記錄上卻始終能夠保持平衡而不被發(fā)現(xiàn)。操作舞弊是指濫用或偷竊公司的計算機資源。二、信息系統(tǒng)舞弊（10）Slide

1數(shù)據庫管理階段公司的數(shù)據庫是其財務和非財務數(shù)據的物理集散地，利用數(shù)據庫管理的機會進行的舞弊稱為數(shù)據庫管理舞弊，它包括更改、刪除、亂序、毀壞或偷竊公司的數(shù)據，這種舞弊常常與交易舞弊和程序舞弊相關聯(lián)。信息生成階段信息生成是為用戶編譯、安排、格式化和表達信息的過程。在這一階段的舞弊常見的形式是偷竊、誤導或濫用信息系統(tǒng)的輸出信息。二、信息系統(tǒng)舞弊（11）Slide

1今天，信息系統(tǒng)舞弊已經是非常嚴重，很多國家為此制定了計算機安全的法律美國于1986年頒布的計算機舞弊與濫用法案將以下行為稱為聯(lián)邦犯罪：有意地、欺詐性地、未經授權地接近存儲于金融機構、聯(lián)邦政府或洲際商業(yè)計算機中的數(shù)據。非法嘗試接近計算機系統(tǒng)的密碼行為也是被法律禁止的。我國在新修訂的《刑法》中也明確了計算機犯罪的主要形式和相應的刑罰規(guī)定。三、對信息系統(tǒng)構成威脅的個人及其可能實施的主動威脅（1）Slide

1對信息系統(tǒng)構成威脅的幾類個體對信息系統(tǒng)實施主動攻擊必須接近硬件、敏感數(shù)據文件或關鍵程序，因此下列三類個體最有可能給信息系統(tǒng)帶來主動威脅：信息系統(tǒng)工作人員、用戶、非法入侵者。信息系統(tǒng)工作人員信息系統(tǒng)工作人員主要包括計算機系統(tǒng)維護員、程序員、網絡操作員、信息系統(tǒng)管理員以及數(shù)據控制員。三、對信息系統(tǒng)構成威脅的個人及其可能實施的主動威脅（2）Slide

1用戶用戶人群構成比較復雜，但由于他們不進行數(shù)據處理，因此比較容易與其他人員（信息系統(tǒng)工作人員）區(qū)分出來，用戶通常會被系統(tǒng)允許訪問信息系統(tǒng)中的數(shù)據甚至是敏感數(shù)據。這類人員有可能將這些重要數(shù)據透露給競爭者。非法入侵者未經合法授權而闖入信息系統(tǒng)并非法使用其上的設備、數(shù)據或者文件的人統(tǒng)稱為非法入侵者。按照其入侵系統(tǒng)的方式不同或者意圖不同可進一步將其細分成黑客、搭線密聽者、借道者、被忽視的入侵者、假冒身份入侵者、竊聽者等。三、對信息系統(tǒng)構成威脅的個人及其可能實施的主動威脅（3）Slide

1個體對信息系統(tǒng)實施的主動威脅類型個體可能對信息系統(tǒng)實施主動威脅的方法，經過合理的分類之后可總結為以下5種：輸入操作程序變更文檔直接變更數(shù)據竊取惡意破壞四、因特網的脆弱性與威脅（1）Slide

1當組織越來越多地通過組織內的計算機連接進入因特網時，組織的信息系統(tǒng)就有可能成為世界上所有黑客的攻擊目標，更有可能無意中將網絡中的惡意病毒引入組織的信息系統(tǒng)，所有這些都給組織的信息系統(tǒng)帶來了極大的威脅。與因特網有關的脆弱性可能來自以下幾個方面的薄弱環(huán)節(jié)：操作系統(tǒng)及其配置---操作系統(tǒng)的脆弱性網絡服務器及其配置---網絡服務器的脆弱性內部網絡及其配置------局域網的脆弱性四、因特網的脆弱性與威脅（2）Slide

1各種服務程序-----各種服務程序的脆弱性主要的安全步驟----其固有的局限性主要內容第一節(jié)信息系統(tǒng)安全概述第二節(jié)脆弱性與威脅第三節(jié)控制體系第四節(jié)災難風險管理第五節(jié)信息系統(tǒng)安全與風險控制Slide

1控制體系Slide

1一、控制環(huán)境二、針對主動威脅可實施的控制三、針對被動威脅可實施的控制四、IT過程控制體系一、控制環(huán)境（1）Slide

1由于計算機安全系統(tǒng)（即信息安全系統(tǒng)）本身是公司內部控制系統(tǒng)的一部分，這就意味著內部控制的基本要素對于計算機安全系統(tǒng)的構建是至關重要的。COSO內部控制基本要素概述根據COSO報告的精神，內部控制包括五個基本要素，分別是：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。監(jiān)控控制環(huán)境信息與溝通控制活動風險評估控制環(huán)境提供組織的基礎結構和基礎規(guī)范，決定了組織的基調，并影響到組織中人員的控制意識，內部控制的其他要素均是基于控制環(huán)境而建立的?？刂骗h(huán)境的因素具體包括：誠信的原則和道德價值觀、評定員工的能力、董事會和審計委員會、管理哲學和經營風格、組織結構、責任的分配與授權、人力資源政策及實務。COSO內部控制基本要素概述監(jiān)控控制環(huán)境信息與溝通控制活動風險評估COSO內部控制基本要素概述風險評估就是識別并分析與組織實現(xiàn)目標有關的風險，它是決定哪種風險需要控制以及采用哪種控制措施來對付風險的基礎。監(jiān)控控制環(huán)境信息與溝通控制活動風險評估COSO內部控制基本要素概述控制活動是指確保管理層的指令得以執(zhí)行的政策和程序，比如核準、授權、驗證、調節(jié)、復核營業(yè)績效、保護資產安全及職務分工等。監(jiān)控控制環(huán)境信息與溝通控制活動風險評估信息與溝通是內部控制的第四個要素，這里的信息指的是一個組織的會計制度，它包括用來確認、收集、分析、分類、記錄和報告組織的交易遺跡為相關資產和負債進行會計處理的方法和記錄；這里的溝通是為關于控制的所有政策和程序提供一個明確的理解手段。COSO內部控制基本要素概述監(jiān)控是評估一段時期的內部控制質量的過程，監(jiān)控過程包括及時評估控制的設計和運行，并在需要的時候采取必要的行動。監(jiān)控信息與溝通控制環(huán)境風險評估控制活動COSO內部控制基本要素概述一、控制環(huán)境（7）Slide

1管理哲學和經營風格構建安全控制體系的第一個也是最重要的一個活動，就是鼓舞士氣并營造有利于系統(tǒng)安全的良好氛圍。公司應對員工進行持續(xù)的、有效的安全知識培訓，以使所有的公司成員對安全問題取得足夠的共識。公司還應嚴肅對待安全事件，特別對于那些破壞信息系統(tǒng)安全的行為應該立即加以制止并進行處罰。在遵守信息系統(tǒng)安全規(guī)則方面，公司的管理人員更應該以身作則。一、控制環(huán)境（8）Slide

1組織結構應該在組織結構設計中明確到底誰對會計軟件和會計處理程序負責，并指定專人負責計算機安全系統(tǒng)。董事會及下屬委員會董事會必須任命一個審計委員會，再由審計委員會來任命一名內部審計師。該審計師最好擁有良好的計算機安全教育背景并能首席計算機安全官的作用。不管在什么情況下，該審計師都應向審計委員會報告計算機安全系統(tǒng)各階段的安全狀況。審計委員會負責針對首席安全官和計算機安全系統(tǒng)的表現(xiàn)情況，定期與外部審計師以及高層管理人員進行商議。一、控制環(huán)境（9）Slide

1管理控制活動對所有涉及計算機和信息系統(tǒng)資源的使用和責任劃分進行控制是非常重要的。應做好購置硬件、軟件的采購預算以及系統(tǒng)運行成本的預算然后將這三方面實際發(fā)生的成本和預算成本相比較，若發(fā)現(xiàn)兩者間存在較大的出入則應當進行細致的調查分析。預算控制在企業(yè)信息化過程中顯得尤為重要，因為企業(yè)經常在信息技術方面超支或把錢花錯了地方。一、控制環(huán)境（10）Slide

1內部審計職能計算機安全系統(tǒng)必須經常性加以審計，并根據變化的情況進行適時的完善。首席安全官負責制定針對現(xiàn)存系統(tǒng)及系統(tǒng)改進的安全政策。所有的系統(tǒng)調整，無論是硬件、軟件還是人員，都必須嚴格貫徹執(zhí)行既定的安全政策。安全政策及程序的一致性和有效性都應該加以測試。內審人員還應定期會同信息系統(tǒng)營運人員使用假想事件對信息系統(tǒng)進行挑戰(zhàn)性測試。除此之外，還應當追溯引起主文檔變動的相關源文件，這種追溯方法是判斷主文檔是否被未經授權者非法修改的有效方法之一。一、控制環(huán)境（11）Slide

1人事政策和實踐責任分離、適當監(jiān)督、崗位輪換、雙重檢查等都是很重要的人事事件。在信息系統(tǒng)環(huán)境下，最重要的規(guī)則是堅持用戶和計算機系統(tǒng)職員的職責分離。用戶經常接觸公司的實物資產，而計算機系統(tǒng)職員經常接觸存儲會計庫存記錄的數(shù)據文件，將這兩種接觸放在一人身上就有可能滋生舞弊和欺詐行為。二、針對主動威脅可實施的控制（1）Slide

1預防主動威脅的主要措施是采用連續(xù)層面（即類似設置多道關卡）來控制進入（或接觸）敏感地帶（或敏感源）。假如一般控制和數(shù)據處理控制都執(zhí)行正常的話，那么主要的措施應該是盡量減少或避免未經授權接觸敏感數(shù)據和設備。一旦未經授權者接觸不到敏感數(shù)據和設備，他或她就不可能實施計算機舞弊行為。分層進入控制的基本原理在于，通過建立多層次的控制可以將潛在犯罪者和其覬覦的目標隔離開來。二、針對主動威脅可實施的控制（2）Slide

1分層控制具體可分為三種類型：站點進入控制、系統(tǒng)進入控制和文件存取控制。（一）站點進入控制站點進入控制的目標是從物理上將未授權者與計算機資源隔離開來。這種物理隔離方法特別適用于硬件、數(shù)據輸入輸出、數(shù)據庫以及通信線路。具體的隔離措施包括五項，分別是：√任何人出入存放計算機設備和敏感數(shù)據的房間要通過安全認證；√計算機數(shù)據的集中處（如數(shù)據庫、網絡打印機、數(shù)據輸入輸出點）和設備都應該隱蔽保管，并加上智能鎖；二、針對主動威脅可實施的控制（3）Slide

1（一）站點進入控制（續(xù)）√禁止閑雜人等進入應高度保密的數(shù)據集中輸入中心；√任何軟件未經安全核準不得在公司任何計算機上安裝；√員工工作所用機器采用無盤工作站或者安裝只讀操作系統(tǒng)，這樣可以最大限度地限制病毒侵入。二、針對主動威脅可實施的控制（4）Slide

1（二）系統(tǒng)進入控制系統(tǒng)進入控制是一種用來阻止未經授權的使用者進入系統(tǒng)的面向軟件的控制，其目的是通過用戶名、密碼、IP地址和硬件配置等手段來鑒別使用者。每一個內部使用者都可從以下9個級別上分配到相應的用戶名和密碼：工作站或者個人電腦級別、網絡級別、主機級別、文件服務器級別、文件目錄級別、程序級別、數(shù)據文件或數(shù)據庫級別、數(shù)據字段級別等二、針對主動威脅可實施的控制（5）Slide

1（二）系統(tǒng)進入控制（續(xù)）這些級別聯(lián)合起來提供了一個連續(xù)層面的保護，基本上可將非法入侵者與敏感數(shù)據隔離開來。在合法使用者進入上述各個保護層面，工作系統(tǒng)會自動記錄時間、日期以及所有訪問用戶的號碼。一旦有非法闖入的事件發(fā)生，這些信息有助于追溯調查。與此同時，使用者的身份驗證狀況和輸入交易的時間也會被系統(tǒng)自動記錄到主文檔和關鍵數(shù)據庫的條目之中，以便將來可以對所有的單筆業(yè)務進行審查。二、針對主動威脅可實施的控制（6）Slide

1（三）文件存取控制文件存儲控制是分層控制的最后一層，它的目的是阻止對數(shù)據和程序文件的未經授權的訪問。最基本的文件存取控制是針對文件訪問和修改來建立一套授權模式和控制程序。在沒有書面批準的情況下，任何程序設計人員均不得訪問公司任何計算機文件。操作員和監(jiān)管員應該被告之在沒有書面批準的情況下不接受程序員的任何指示。甚至已授權的程序變更在沒有書面批準的情況下也不能實施。對任何程序的改動都不能直接在原程序上進行，而必須在原程序的副本上進行正確的授權改動。二、針對主動威脅可實施的控制（7）Slide

1（三）文件存取控制（續(xù)）所有重要的程序都必須“上鎖”，這意味著對這些程序不能閱讀，更不能修改，只能被調用執(zhí)行。只有安全部門才知道如何給這些程序“解鎖”。程序也可以像電子信息一樣使用數(shù)字簽名，這樣既可以準確地辨別程序的來源，又可以驗證程序是否被修改過。除此之外，還有一種文件存取控制的有效辦法，即安裝一個常駐內存程序讓它來動態(tài)檢查染毒或文件修改的情況，一旦有異常，該程序會自動彈出提示窗口告訴用戶加以注意，或者會直接禁止非法的文件存取。三、針對被動威脅可實施的控制被動威脅包括供電系統(tǒng)和硬件系統(tǒng)的故障。對此類問題的控制包括預防和修正兩個方

面。有關內容可以參考災難風險管理部分。Slide

1四、IT過程控制體系（1）Slide

1信息安全管理正在逐步受到企業(yè)的重視，加強信息安全管理被普遍認為是解決信息系統(tǒng)安全問題的重要途徑。而要切實做好信息安全管理工作，權威的信息系統(tǒng)控制標準是至關重要的。COBIT提供了一個比較科學、比較完善的IT過程控制體系。COBIT的全稱是Control

Objectives

for

Information

and

related

Technology，它是由信息系統(tǒng)審計與控制協(xié)會（Information

System

Audit

and

Control

Assosiciation，ISACA）在1996年公布的業(yè)界標準，

2002年7月，該協(xié)會又發(fā)布了COBIT第三版，這是迄

今為止國際上公認的最先進、最具權威性的安全與信息技術管理和控制的標準。四、IT過程控制體系（2）Slide

1COBIT將IT過程、IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，形成一個三維的體系結構，如圖

11-2所示。COBIT三維體系模型示四、IT過程控制體系（4）Slide

1這個模型為企業(yè)管理的成功提供了集成的IT管理，通過保證有關企業(yè)處理過程的高效的改進措施，可以更快、更安全、更好地響應企業(yè)需求，它在商業(yè)風險、控制需要和技術問題之間架起了一座橋梁，以滿足管理的多方面需要。IT準則維集中反映了企業(yè)的戰(zhàn)略目標，從質量、成本、時間、資源利用率、系統(tǒng)效率、保密性、完整性、可

用性等方面來保證信息的安全性、可靠性和有效性；IT資源維主要包括以人、應用系統(tǒng)、技術、設施及數(shù)據在內的信息相關的資源，這是IT治理過程的主要對象；四、IT過程控制體系（5）Slide

1IT過程維則是在IT準則的指導下，對信息及相關資源進行規(guī)劃與處理，從信息技術的規(guī)劃與組織、獲得與實施、傳遞與支持、監(jiān)控等四個方面確定了34個信息技術處理過程（參見表11-5）。每個階段又細分為多個關鍵控制點，總共有34個控制程序，每個控制程序又明確了相應的控制目標，所有

34個IT過程共包含了302個控制目標，這些控制目標為IT控制提供了一個用來明晰策略和良好的實施知道的關鍵方針。對信息系統(tǒng)的評價就是針對這34個關鍵控制點和302個控制目標的達成情況來進行的。1、規(guī)劃與組織（Planning

and

Organization）3、傳遞與支持（Delivery

and

Support）PO1定義IT戰(zhàn)略規(guī)劃DS1定義服務水平PO2定義信息系統(tǒng)體系結構DS2第三方服務管理PO3確定技術方向DS3業(yè)績與性能的管理PO4定義IT結構和關系DS4確保持續(xù)服務PO5

IT投資管理DS5確保系統(tǒng)安全PO6管理目標與方針的關系DS6區(qū)分和歸屬成本PO7人力資源管理DS7終端用戶的教育與培訓PO8確保與外部需求的一致性DS8對IT顧客的協(xié)助和建議PO9風險評估DS9配置管理P010項目管理DS10問題和意外事件管理PO11質量管理DS11

數(shù)據管理

表11-5

COBIDS12設施管理DS13運行管理2、獲得與實施（Acquisition

and

Implementation4、監(jiān)控（Monitoring）AI1確定解決方案M1過程的監(jiān)控AI2購買和維護應用軟件M2評估內部控制的充分性AI3購買和維護硬件M3獲取外部的獨立保證AI4規(guī)劃和維護IT程序M4為獨立審計提供條件AI5安裝系統(tǒng)及授權AI6相關變動的管理T的34個信息技術處主要內容第一節(jié)信息系統(tǒng)安全概述第二節(jié)脆弱性與威脅第三節(jié)控制體系第四節(jié)災難風險管理第五節(jié)信息系統(tǒng)安全與風險控制Slide

1災難風險管理Slide

1一、風險管理與災難風險管理的含義二、預防災難三、災難恢復一、風險管理與災難風險管理的含義（1）Slide

1

風險管理是指根據信息資源對于組織的價值，通過識別、評價組織的信息資源可能存在的脆弱性及威脅，來決定采取哪些措施以求將風險降低到可接受的水平。具體來說，風險管理包括以下幾層意思：第一層是風險管理技術，主要強調對目標的主動控制，對系統(tǒng)項目實現(xiàn)過程中可能遭遇的風險和干擾因素進行預防，進而盡可能地減少損失；第二層是風險管理的目標，旨在使風險的發(fā)生概率和結果降低到可接受水平，并采取措施保證業(yè)務不會因風險的發(fā)生而中斷，保證系統(tǒng)的良性循環(huán)。風險管理通常分為三個階段：風險識別、風險評估和風險監(jiān)控。一、風險管理與災難風險管理的含義（2）Slide

1對于信息系統(tǒng)而言，災難意味著前述的重大威脅的發(fā)生，人們當然不太愿意看到這樣的事情出現(xiàn)，然而當災難真的降臨時，我們應該怎樣做呢？是

聽之任之，還是有所作為？聰明的人總是選擇后

者。于是災難風險管理便應運而生。災難風險管理就是要在災難事件發(fā)生時，盡可能保證信息系統(tǒng)仍能正常工作。為此，需要做好兩件事：一是災難預防，二是災難恢復計劃的制定與實施。二、預防災難Slide

1預防災難是災難風險管理要做的第一件事。研究數(shù)據表明各種災難發(fā)生的概率如下：自然災害（30%）、蓄意破壞（45%）、人為錯誤（25%）。也就是說，信息系統(tǒng)面臨的災難最多可能來自蓄意破壞，其次是自然災害，最少是人為錯誤。良好的安全政策與計劃可以預防許多由于蓄意破壞或者人為錯誤所引起的災難。當然，與信息系統(tǒng)所在地有關聯(lián)的自然災害的風險也應該引起足夠的重視。計算機設備與數(shù)據最好放置在建筑物中最難以被自然災害和惡意破壞所破壞的場所。三、災難恢復（1）Slide

1（一）災難恢復的意義由于系統(tǒng)中斷造成的意外損失已經讓許多公司感受到了災難恢復的重要性。假如沒有定期嚴格的數(shù)據備份工作和制定相應的災難恢復計劃作為后盾，對于一個依賴網絡來進

行經營管理的公司來說，服務器故障及其所含重

要數(shù)據的丟失所造成的損失顯然是致命性的打擊。三、災難恢復（2）Slide

1災難恢復的意義（續(xù)）根據明尼蘇達大學Bush-Kugel的研究報告的結論，企業(yè)在沒有信息資料可用的情況下，金融業(yè)最多能運作2天商業(yè)能運作3.3天工業(yè)則為5天而保險業(yè)約為5.6天。而從經濟角度來看，有25%的企業(yè)，因為數(shù)據的損毀可能會立即破產，40%會在兩年內宣布破產，只有7%不到的企業(yè)在五年后能夠繼續(xù)存活。三、災難恢復（3）Slide

1災難恢復的意義（續(xù)）根據明尼蘇達大學Bush-Kugel的研究報告的結論，企業(yè)在沒有信息資料可用的情況下，金融業(yè)最多能運作2天商業(yè)能運作3.3天工業(yè)則為5天而保險業(yè)約為5.6天。而從經濟角度來看，有25%的企業(yè)，因為數(shù)據的損毀可能會立即破產，40%會在兩年內宣布破產，只有7%不到的企業(yè)在五年后能夠繼續(xù)存活。三、災難恢復（4）Slide

1災難恢復具有以下三點意義：第一，災難恢復有助于降低風險，即在災難發(fā)生時借助于災難恢復能夠確保業(yè)務系統(tǒng)不間斷運行，極大地降低組織的損失；第二，在遇到災難襲擊時，有助于最大限度地保護組織數(shù)據的實時性、完整性和一致性，降低數(shù)據的損失，快速恢復操作系統(tǒng)、應用和數(shù)據；第三，能夠提供各種恢復策略選擇，盡量減少數(shù)據損失和恢復時間。三、災難恢復（5）Slide

1（二）數(shù)據備份災難恢復方案主要包括備份計劃和災難恢復計劃兩大部分。備份是一種數(shù)據安全策略，通過備份軟件事先將數(shù)據備份到系統(tǒng)以外的存儲設備上，如可讀寫光盤、磁帶或者活動硬盤等。這樣，在信息系統(tǒng)面臨災難侵襲導致原始數(shù)據丟失或者遭受嚴重破壞的情況下，就可以利用備份數(shù)據把原始數(shù)據恢復出來，使系統(tǒng)能夠正常繼續(xù)工作。三、災難恢復（6）Slide

1備份策略選擇備份策略主要有四種：全備份：即指將信息系統(tǒng)中的所有數(shù)據信息全部備份；增量備份：即只備份上次備份之后系統(tǒng)中變化過的數(shù)據信息，包括新增的數(shù)據信息和對原數(shù)據所做的修改或者刪除操作；差分備份：即只備份上次完全備份以后變化過的數(shù)據信息；備份介質輪換：即輪流使用不同備份介質所實施的備份策略，主要為了避免同種備份介質被頻繁使用而導致備份介質使用壽命大大縮短的現(xiàn)象。三、災難恢復（7）Slide

1備份方式選擇備份方式主要有三種，分別是：人工備份：人工級的備份是最原始的備份方式，也是最簡單和有效的一種方式；軟件備份：指將系統(tǒng)數(shù)據保存到其他介質上，當系統(tǒng)出現(xiàn)錯誤時可將系統(tǒng)恢復到備份時的狀態(tài)，由于這種備份是由軟件來完成的，因而取名得之。硬件備份：指應冗余的硬件來保證系統(tǒng)的連續(xù)運行，比如磁盤鏡象、磁盤陣列、雙機容錯等方式。三、災難恢復（8）Slide

1備份場所的選擇備份解決方案還必須一定條件確定備份中心，這些條件包括：與生產中心具備相似的網絡和通信設置；具備業(yè)務應用運行的基本系統(tǒng)配置；具備穩(wěn)定、高效的通訊線路連接中心；與生產中心保持足夠的安全距離；應能避免與生產中心遭受同樣的災難。三、災難恢復（9）Slide

1（三）災難恢復災難恢復方式主要有以下三種：全自動恢復方式手動恢復方式數(shù)據備份系統(tǒng)應用恢復的需求分析在制定合適的災難恢復計劃之前，首先要有明確的應用恢復需求，通過充分評估應用恢復的具體需求來設計符合要求的災難應對策略。三、災難恢復（10）Slide

1主要應該關注以下幾個要點：恢復點的目標。這一目標要求明確規(guī)定組織中的數(shù)據必須保持有效的時間以及允許丟失的數(shù)據幅度。比如，對于象金融機構這樣的組織往往不允許任何數(shù)據丟失，為此就需要采用特殊完善的恢復策略來確保系統(tǒng)的實時有效。恢復時間的目標。這一目標指定了在一個災難恢復站點恢復應用所需的最大時間，這個時間主要包括鑒別故障問題、系統(tǒng)激活正常運轉、重裝數(shù)據以及重起應用等所需的時間。三、災難恢復（11）Slide

1主要應該關注以下幾個要點（續(xù)）：恢復技術的選擇。當明確了用戶特定的災難恢復的應用需求之后，下一步關鍵工作就是要選好能夠滿足這種需求的恢復技術，以保證組織在能夠容忍的時間范圍內修復系統(tǒng)重起應用?；謴完P鍵應用的目標。關鍵應用一旦遭受災難襲擊，必須在盡可能短的時間范圍得到恢復，為此，要提出切實的恢復目標，并采取相應的技術來保證。三、災難恢復（12）Slide

1災難恢復計劃為了能夠有效地進行災難恢復，一份周密細致的災難恢復計劃是必不可少的。該計劃最好能夠作為信息系統(tǒng)安全計劃的一個重要組成部分提交給董事會進行討論?？蓪⑸芷诶碚搼玫皆撚媱澋脑O計、貫徹、執(zhí)行以及評價過程中。據粗略估計，貫徹災難恢復計劃所需的費用大概占到整個信息系統(tǒng)預算的2%—5%。三、災難恢復（13）Slide

1災難恢復計劃（續(xù)）一般來說，災難恢復計劃的設計主要包括三大部分：√評估公司的關鍵需要√恢復優(yōu)先級列表√恢復的策略與過程除此之外，還應做好替換過程的工作安排。災難恢復計劃中最重要的一環(huán)就是在主計算機系統(tǒng)被摧毀或者不能正常使用以后，需要啟用后備系統(tǒng)。后備系統(tǒng)根據其造價以及恢復的時間長短一般有三種模式：冷站點、熱站點和飛啟站點。三、災難恢復（14）Slide

1災難恢復計劃（續(xù)）冷站點（ColdSite）模式一般只有計算機的配置圖而沒有具體的機器設備；熱站點（Hot

Site）模式既包括配置圖又有機器；飛啟站點（Flying-startSite）則既擁有配置圖、機器設備還事先已安裝了適當?shù)能浖⒘粲忻刻旄碌臄?shù)據備份。顯然，采用冷站點模式完成恢復可能需要幾天甚至更長的時間，而采用熱站點可能只需要幾個小時，采用飛啟站點則更快，可以在幾分鐘甚至幾秒鐘內就完成計算機后備系統(tǒng)的啟動。三、災難恢復（15）災難恢復計劃（續(xù)）當然，這三種模式所需的成本也是高低不同的，冷站點最低，熱站點其次，飛啟站點成本最高，具體采用哪種模式作為后備系統(tǒng)應該根據公司的成本利潤分析，當然也要綜合考慮應用系統(tǒng)的規(guī)模和重要性程度。Slide

1主要內容第一節(jié)信息系統(tǒng)安全概述第二節(jié)脆弱性與威脅第三節(jié)控制體系第四節(jié)災難風險管理第五節(jié)信息系統(tǒng)安全與風險控制Slide

1信息系統(tǒng)安全與風險控制Slide

1一、信息系統(tǒng)風險的概要分析二、信息系統(tǒng)控制目標與控制類型三、信息系統(tǒng)的一般控制四、信息系統(tǒng)的應用控制一、信息系統(tǒng)風險的概要分析Slide

1

信息系統(tǒng)的應用一方面可以防范手工環(huán)境下的一些風險，另一方面，又給企業(yè)帶來了與手工環(huán)境不同來源、不同性質的風險，而且隨著應用的逐漸深入，潛在的風險也在不斷變化。這些風險主要表現(xiàn)為以下幾個方面：信息安全風險信息處理差錯反復發(fā)生風險計算機交易授權風險傳統(tǒng)職責分離失效引致的風險信息系統(tǒng)脆弱性與威脅引致的風險二、信息系統(tǒng)控制目標與控制類型（1）Slide

1信息系統(tǒng)控制目標的設定有多種模式，COBIT對IT過程控制目標的規(guī)范設定便是其中之一。我們也可以按照信息系統(tǒng)的IPO結構來分析設定信息系統(tǒng)的控制目標，如圖11-3所示。圖11-3信息系統(tǒng)控制目標模型二、信息系統(tǒng)控制目標與控制類型（3）Slide

1信息系統(tǒng)內部控制按照“如何執(zhí)行控制”的觀點，可分為人工控制（或使用者控制）和程序控制（或自動控制）；而按照“控制執(zhí)行的范圍”的要求，可分為一般控制和應用控制。一般控制（GeneralControl）泛指各個應用系統(tǒng)均適用的控制，也叫基礎控制或環(huán)境控制，它的種類很多，比較重要者有：組織控制、系統(tǒng)開發(fā)與維護控制、整體安全或存取控制、硬件和系統(tǒng)軟件控制等。二、信息系統(tǒng)控制目標與控制類型（4）Slide

1

應用控制（Application

Control）專指那些專門為某個應用系統(tǒng)設計且執(zhí)行的控制，根據應用系統(tǒng)的數(shù)據處理階段可劃分成三種類型：輸入控制、處理控制和輸出控制。輸入控制的基本控制目標是確保輸入合法、正確和完整；

處理控制的基本控制目標是要保證信息系統(tǒng)的處理按照各個模塊所預先設定的程序進行，這些處理活動必須經過授權，所有經過授權的處理都被系統(tǒng)進行過而沒有遺漏，任何未經授權的處理都沒有進行過，整個處理的過程是正確的、及時的和有效的；

輸出控制的基本控制目標是保證信息系統(tǒng)所處理的資料完整、正確，所處理的結果正確，并且保證只有經過授權的部門和人員才能獲得這些輸出資料。三、信息系統(tǒng)的一般控制（1）Slide

1（一）組織控制（Organizational

control）在信息化環(huán)境下，組織控制著重可就以下兩個方面來設計：第一方面，信息部門（或電算處理部門）和用戶部門（或業(yè)務部門）功能的劃分；第二方面，信息部門內部不相兼容職能的劃分。三、信息系統(tǒng)的一般控制（2）Slide

1組織控制的主要內容包括以下幾個方面：信息部門與用戶部門的職責分離；信息部門內部的職責分離；人事控制。信息部門與用戶部門的職責分離的具體做法：信息部門不能負責業(yè)務的批準和執(zhí)行，所有業(yè)務均應由用戶部門發(fā)起或授權。信息部門不能保管除計算機系統(tǒng)以外的任何資產。三、信息系統(tǒng)的一般控制（3）Slide

1所有業(yè)務記錄與主文件記錄的改變均需用戶部門授權，信息部門無權私自改動業(yè)務記錄和有關文件；所有業(yè)務過程中產生的錯誤數(shù)據均應由用戶部門負責或授權改正，信息部門只允許改正數(shù)據在輸入、處理、輸出過程中由于操作疏忽而引起的錯誤。所有現(xiàn)有系統(tǒng)的改進，新系統(tǒng)的應用都由用戶部門授權，信息部門無權私自修改系統(tǒng)程序。三、信息系統(tǒng)的一般控制（4）Slide

1信息部門內部的職責分離具體做法：對系統(tǒng)開發(fā)職能與數(shù)據處理職能分離對數(shù)據處理職能進行分離。（二）系統(tǒng)開發(fā)與維護控制（Systemsdevelopment

and

maintenance

control）信息系統(tǒng)的開發(fā)一般要分成若干個前后有序的階段來開展，因此系統(tǒng)開發(fā)與維護控制應當貫穿整個系統(tǒng)開發(fā)的全過程。三、信息系統(tǒng)的一般控制（5）Slide

1具體做法：應堅持最終使用單位與審計人員參與系統(tǒng)需求分析；對系統(tǒng)設計階段的工作驗收控制；系統(tǒng)編程的質量控制；系統(tǒng)測試控制；系統(tǒng)轉換控制系統(tǒng)維護控制；系統(tǒng)文檔控制。三、信息系統(tǒng)的一般控制（6）（三）整體安全或存取控制（Accesscontrol）可參見本章第三節(jié)的有關內容（四）硬件和系統(tǒng)軟件控制（Hardware

andsystems

software

control）Slide

1四、信息系統(tǒng)的應用控制（1）Slide

1對單獨的應用而言，應用控制是明確的，它通常被分成輸入、處理和輸出控制，這種分類與信息系統(tǒng)的處理步驟是相符合的。（一）輸入控制輸入控制用來防止或發(fā)現(xiàn)在數(shù)據的采集和輸入階段的數(shù)據錯誤，并保證輸入數(shù)據的完整性和經過授權。完整性是指所有有待輸入的數(shù)據均已被輸入；經過授權是指輸入的數(shù)據經過批準。根據之前所學的內容可知，輸入階段對于整個信息系統(tǒng)的信息安全來說至關重要，在這一階段未被發(fā)現(xiàn)的輸入數(shù)據將即將影響到后續(xù)的數(shù)據處理和信息輸出，因此，對輸入環(huán)節(jié)安排再多的控制手段也不為過。四、信息系統(tǒng)的應用控制（2）Slide

1輸入控制措施是非常多的，典型的控制措施有以下幾種：輸入授權控制：通過該控制可確保輸入員是經過系統(tǒng)授權的業(yè)務審批控制：一切業(yè)務在進入系統(tǒng)處理之前，必須經過主管領導的審批。操作員無權審批業(yè)務，也不能擅自修改業(yè)務記錄輸入校驗控制：輸入校驗控制主要包括邏輯關系控制、總量控制、校驗碼控制、二次輸入控制等等，本課程

對此不做介紹。特別介紹以下幾種輸入校驗控制：四、信息系統(tǒng)的應用控制（3）Slide

1√試算平衡控制√憑證連續(xù)編號控制√時序控制√科目合法或非法對應關系控制數(shù)據審核控制√包括原始單據審核控制和記賬憑證審核控制。任何合法輸入到信息系統(tǒng)中的數(shù)據都必須經過第二人審核才能做進一步處理，這是對輸入數(shù)據合法性和正確的再確認（正式確認）。四、信息系統(tǒng)的應用控制（4）Slide

1輸入項目完整性檢查控制√其主要目的在于保證關鍵數(shù)據項目必須輸入有效數(shù)據而不能空白對待。比如輸入銷售發(fā)票時，要求必須輸入日期、產品編號等數(shù)據。合理性檢查控制√可用于測試輸入的內容是否在原先預設的數(shù)據合理范圍之內，若超出此范圍則視為無效數(shù)據。存在性檢查控制四、信息系統(tǒng)的應用控制（5）Slide

1（二）處理控制數(shù)據輸入計算機后，按照預定的程序進行加工處理，在數(shù)據處理過程中極少人工干預，一般控制和輸入控制對保證數(shù)據處理的正確和可靠起著非常重要的作用。但是針對計算錯誤、用錯文件、用錯記錄、用錯程序、輸入數(shù)據錯誤在輸入過程中沒檢查出來等情況，還必須在處理過程中設置處理控制。這些處理控制措施大都為糾正性和檢查性控制，而且多是程序控制。四、信息系統(tǒng)的應用控制（6）處理控制主要包括以下幾種控制措施：業(yè)務時序控制數(shù)據有效性檢驗程序化處理有效性檢驗錯誤更正控制審計軌跡控制數(shù)據合理性檢查平衡及勾稽關系校驗Slide

1四、信息系統(tǒng)的應用控制（7）Slide

1（三）輸出控制

輸出控制的基本控制目標是保證信息系統(tǒng)所處理的資料完整、正確，所處理的結果正確，并且保證只有經過授權的部門和人員才能獲得這些輸出資料。可采取以下一些典型的輸出控制手段：輸出授權控制總數(shù)核對控制靜態(tài)目測檢查控制輸出信息的分發(fā)控制平衡關系控制四、信息系統(tǒng)的應用控制（8）輸入、處理、輸出控制是信息系統(tǒng)運行過程中有著內在聯(lián)系的三個重要環(huán)節(jié)。從控制的角度看，一個環(huán)節(jié)上的控制會涉及其他兩個環(huán)節(jié)。應用控制的有效性必須從整體掌控，從具體控制手段入手，不論是應用控制的設計還是評價都是如此。從審計的角度看，要保證應用控制的質量，就必須在應用控制過程中保留足夠的審計線索。Slide

1本章小結（1）Slide

1第一部分：信息系統(tǒng)安全與信息安全是一對既有關系又有區(qū)別的概念，兩者是子集和全集的關系。影響信息系統(tǒng)安全的主要因素有四方面：硬件組織、軟件組織、網絡和通信協(xié)議、管理者。組織中的信息安全系統(tǒng)是一種特殊的信息系統(tǒng)，是組織結構的子系統(tǒng)，控制與信息系統(tǒng)相關的具體風險，是從系統(tǒng)分析、設計、實施、運行、評價和控制的傳統(tǒng)的生命周期方法發(fā)展而來的。本章小結（2）Slide

1第一部分（續(xù)）信息系統(tǒng)安全特性主要有五個：可信性、可用性、機密性、完整性、抗抵賴性。美國國防部于1985公布的TCSEC將信息系統(tǒng)安全等級劃分為4類7個安全等級，其中A為最高級別，

D為最低級別。我國的《計算機信息系統(tǒng)安全保護等級劃分準則》將信息系統(tǒng)安全分為五個等級，其中最低為用戶自主保護級，最高為訪問驗證保

護級。本章小結（3）Slide

1第二部分：分析系統(tǒng)的脆弱性及威脅有兩種方法。在定量分析方法中，每種損失風險是由單個損失成本與其發(fā)生的概率（風險系數(shù)）的乘積計算得到的。而在定性方法中，通常是將系統(tǒng)的脆弱性和威脅列表顯示，并根據它們對組織總損失風險的影響大小，人為地將其分成幾個等級，規(guī)定脆弱性和威脅對組織總損失風險的影響越大，其等級越高，反之，其等級越低。?本章小結（4）Slide

1第二部分（續(xù)）：脆弱性是指信息系統(tǒng)中存在的薄弱環(huán)節(jié)，而威脅則是對脆弱性的潛在利用。要對信息系統(tǒng)實施攻擊關鍵在于接近硬件、敏感數(shù)據文檔或關鍵程序