管理信息系統(tǒng)：信息系統(tǒng)安全

信息系統(tǒng)安全學習目標管理信息系統(tǒng)（精要版）信息系統(tǒng)安全為什么信息系統(tǒng)容易遭到破壞、濫用和發(fā)生錯誤？安全和控制的商業(yè)價值何在？組織的安全和控制框架由哪些部分組成？最重要的保護信息資源的工具和技術有哪些？波士頓凱爾特人對防范間諜軟件大獲成功問題:

頻繁使用無線網(wǎng)絡把凱爾特人內(nèi)部系統(tǒng)暴露在間諜軟件面前采用先進的安全系統(tǒng)來識別威脅和減少黑客攻擊的可能性。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全波士頓凱爾特人隊防范間諜軟件大獲成功Mi5Networks公司的Webgate安全閘道器方案被設置在凱爾特人隊的防火墻與互聯(lián)網(wǎng)之間，以阻止間諜軟件進入其內(nèi)聯(lián)網(wǎng)絡，同時也防止已經(jīng)收到感染的機器連接到外鏈網(wǎng)絡。顯示了信息技術在保衛(wèi)和維護電腦安全中的作用闡述了數(shù)字技術在達到安全網(wǎng)絡中的作用。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全波士頓凱爾特人隊防范間諜軟件大獲成功管理信息系統(tǒng)（精要版）信息系統(tǒng)安全系統(tǒng)漏洞和濫用一臺不受保護的計算機連接到互聯(lián)網(wǎng)后可能在幾秒鐘內(nèi)癱瘓。安全用以阻止對信息系統(tǒng)的未經(jīng)授的訪問、修改、盜竊或者物理破的策略、程序和技術措施?？刂?確保組織資產(chǎn)安全、會計記錄精確可靠、管理標準嚴格執(zhí)行的方法、策略和組織程序。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全系統(tǒng)易受攻擊的原因硬件問題計算機硬件本身的故障、配置和使用不當以及因非法操作而損害硬件均會導致系統(tǒng)故障。軟件問題編程錯誤、安裝不當以及非法變更則會導致計算機軟件失靈。災難停電、洪水、火災或者其他自然災害同樣會對計算機系統(tǒng)造成破壞。在公司控制之外使用網(wǎng)絡和電腦例如：與國內(nèi)外企業(yè)合作系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全ContemporarySecurityChallengesandVulnerabilities基于Web的應用軟件架構(gòu)通常包括客戶機、服務器以及連接到數(shù)據(jù)庫的企業(yè)信息系統(tǒng)。每一部分都遇到了安全挑戰(zhàn)和漏洞。洪水、火災、停電以及其他一些電子問題也會對網(wǎng)絡中的任何一個節(jié)點造成破壞。系統(tǒng)漏洞和濫用圖

7-1管理信息系統(tǒng)（精要版）信息系統(tǒng)安全互聯(lián)網(wǎng)的脆弱性大型公用網(wǎng)絡?；ヂ?lián)網(wǎng)的覆蓋范圍如此之大，以致濫用行為一旦發(fā)生，其影響面將非常大。固定的互聯(lián)網(wǎng)地址使其成為電腦黑客的固定攻擊目標。電子郵件附件運用電子郵件傳送重要的商業(yè)秘密信息管理消息缺乏安全保障，易被攔截系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全無線網(wǎng)絡的安全挑戰(zhàn)無線傳輸?shù)念l率易被掃描出來SSIDs(服務集標識符)識別網(wǎng)絡訪問點.多次經(jīng)廣播向外發(fā)送。駕駛攻擊竊聽者駕車到建筑物外試圖截取無線網(wǎng)絡的通信流量。入侵者使用正確的SSID與某個訪問點去的聯(lián)系后，就能訪問網(wǎng)絡中的其他資源。WEP(有線等效私隱)802.11的安全標準基本的WEP規(guī)范要求訪問點和所有連接到它的用戶共享同一個的加密密碼。許多用戶會忘記使用WEP加密技術系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全無線網(wǎng)絡的安全挑戰(zhàn)圖7-2入侵者利用嗅探器程序獲取地址，輕易入侵Wi-Fi網(wǎng)絡，并非法訪問網(wǎng)絡資源。系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全惡意軟件：病毒、蠕蟲、木馬和間諜軟件惡意軟件病毒附加到其他軟件程序或數(shù)據(jù)文件中，以便在未經(jīng)用戶同意或許可的前提下得以執(zhí)行的流氓軟件程序。蠕蟲是獨立的軟件程序，能通過網(wǎng)絡在計算機間進行自我復制并傳播。特洛伊木馬是一種表面看似良性，所造成的危害卻出乎意料的軟件程序。系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全惡意軟件：病毒、蠕蟲、木馬和間諜軟件惡意軟件（續(xù)）間諜軟件能秘密地在計算機上自行安裝的小程序，以監(jiān)控用戶的上網(wǎng)記錄并為廣告服務。擊鍵記錄器可記錄計算機上的每一次擊鍵操作，以竊取軟件的序列號，發(fā)動互聯(lián)網(wǎng)攻擊，訪問電子郵件賬戶，獲取計算機系統(tǒng)的密碼，或者截取諸如信用卡號等個人信息。系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全黑客和計算機犯罪系統(tǒng)漏洞和濫用黑客與駭客活動包括：系統(tǒng)入侵系統(tǒng)破壞網(wǎng)絡破壞故意破壞甚至摧毀網(wǎng)站或公司的信息系統(tǒng)管理信息系統(tǒng)（精要版）信息系統(tǒng)安全黑客和計算機犯罪系統(tǒng)漏洞和濫用電子欺騙利用偽造的電子郵件地址或假裝成其他人來欺騙別人、謊報信息。將網(wǎng)頁鏈接重定向至與原本地址不同的地址，將該地址偽裝成目的地嗅探器是一種監(jiān)控網(wǎng)絡上所傳輸信息的竊聽程序黑客利用嗅探器可以從網(wǎng)絡上的任何地方竊取包括郵件信、公司文檔以及機密報告在內(nèi)的私有信息。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全黑客和計算機犯罪系統(tǒng)漏洞和濫用拒絕服務攻擊(DoS)黑客向網(wǎng)絡服務器或web服務器發(fā)送成千上萬的虛假通信或服務請求。分布式拒絕服務攻擊(DDoS)利用大量的計算機從眾多發(fā)射點涌向網(wǎng)絡并將其淹沒。僵尸網(wǎng)絡僵尸網(wǎng)絡由被惡意軟件感染，不受所有者控制的計算機構(gòu)成。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全黑客和計算機犯罪系統(tǒng)漏洞和濫用計算機犯罪定義為“任何在犯罪實施、偵查及訴訟過程中涉及計算機技術知識的刑事違法行為”計算機作為犯罪的目標破壞受保護的計算機數(shù)據(jù)的機密性非法進入計算機系統(tǒng)計算機作為犯罪的工具:竊取商業(yè)機密利用電子郵件進行威脅或騷擾管理信息系統(tǒng)（精要版）信息系統(tǒng)安全黑客和計算機犯罪系統(tǒng)漏洞和濫用身份盜用盜用者竊取諸如社會保險號、駕照號碼或者信用卡號之類重要的個人信息來假冒他人的犯罪行為網(wǎng)絡釣魚建立虛假網(wǎng)站或發(fā)送看似來自合法企業(yè)的電子郵件或文本消息，向用戶索要個人隱私資料。雙子星病毒是一種假裝提供可靠的Wi-Fi互聯(lián)網(wǎng)連接的無線網(wǎng)絡。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全黑客和計算機犯罪系統(tǒng)漏洞和濫用域欺騙即使用戶在瀏覽器中鍵入正確的網(wǎng)址，也會將用戶重定向至虛假的網(wǎng)頁。點擊欺騙個人或計算機程序點擊在線廣告，卻不想進一步了解廣告商信息或無購買意向的欺騙行為。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全閱讀互動討論材料并討論下列問題列舉并描述HannafordBros.和TJX公司在安全控制方面的不足。導致這些問題的人員、組織和技術因素有哪些？數(shù)據(jù)丟失對TJX和Hannaford公司及其他客戶的業(yè)務有何影響？TJX和Hannaford公司采取的解決方案是否行之有效？為什么？互動討論：組織美國史上最嚴重的數(shù)據(jù)盜用系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全來自內(nèi)部的威脅：員工企業(yè)的安全威脅常常來自組織內(nèi)部內(nèi)幕不嚴密的安全程序用戶缺乏相關知識社會工程：惡意侵入者有時會偽裝成公司內(nèi)部成員，以工作需要為由誘騙珍視員工提供自己的密碼，從而進入企業(yè)系統(tǒng)。系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全軟件漏洞系統(tǒng)漏洞和濫用商業(yè)軟件的缺陷會帶來安全漏洞潛在的漏洞(程序代碼中存在的缺陷)在大型程序中，零缺陷是無法實現(xiàn)的，全面的測試是不可能的。商業(yè)軟件中的缺陷會使得網(wǎng)絡對入侵者開放。補丁軟件供應商創(chuàng)建被稱為補丁的小程序來修復這些缺陷。然而，要維護公司所有設備和服務的補丁，既費時又費錢惡意軟件產(chǎn)生得如此之快，以至于公司在漏洞及補丁發(fā)布與漏洞為惡意軟件所用之間的這段時間內(nèi)幾乎來不及做出反應。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全失靈了的電腦系統(tǒng)會導致嚴重的或者完全的公司功能喪失。企業(yè)現(xiàn)在比以往更易受攻擊的一個安全漏洞可能幾乎立即降低企業(yè)的市場價值。企業(yè)還可能因為缺乏足夠的安全和控制而承擔法律重責。安全和控制的商業(yè)價值管理信息系統(tǒng)（精要版）信息系統(tǒng)安全電子記錄管理的法律法規(guī)要求安全和控制的商業(yè)價值企業(yè)要對電子記錄的保留與存儲以及隱私的保護承擔新的法律義務。健康保險流通與責任法案（HIPAA）:該法案闡述了醫(yī)療安全和個人隱私保護的規(guī)則和程序。格雷姆-里奇-比利雷法案（Gramm-Leach-BlileyAct）:該法案要求金融機構(gòu)確?？蛻魯?shù)據(jù)的安全性和保密性。薩班斯-奧克斯利法案（Sarbanes-OxleyAct）:法案規(guī)定，公司及管理層有責任保證財務信息在對內(nèi)使用和對外公布時的準確性和完整性。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全電子證據(jù)和計算機取證大部分股票詐騙、貪污、盜竊公司商業(yè)機密、計算機犯罪以及許多民事案件的證據(jù)均為數(shù)字形式。這些數(shù)據(jù)或者存儲在閃存、光盤和計算機硬盤中，或者存在于電子郵件、即時通信和在線商務交易信息中。有效的數(shù)據(jù)管理能在相應公示數(shù)據(jù)時節(jié)省時間和費用計算機取證:科學地收集、審查、鑒定、保存和分析數(shù)據(jù)、以便能在法庭上作為證據(jù)使用，這些數(shù)據(jù)是從計算機存儲媒介中獲取或者恢復的包含恢復隱含數(shù)據(jù)安全和控制的商業(yè)價值管理信息系統(tǒng)（精要版）信息系統(tǒng)安全安全和控制框架的建立信息系統(tǒng)控制一般控制是指貫穿整個組織信息技術基礎設施，為確保計算機程序的設計、安全和使用，以及數(shù)據(jù)文件安全而進行的總體控制活動。適用于所有的計算機應用程序用來創(chuàng)造一個整體的控制環(huán)境的硬件、軟件和手工流程組成。.管理信息系統(tǒng)（精要版）信息系統(tǒng)安全安全和控制框架的建立一般控制類型軟件控制硬件控制計算機操作控制數(shù)據(jù)安全控制實施控制管理控制管理信息系統(tǒng)（精要版）信息系統(tǒng)安全安全和控制框架的建立應用控制針對特定計算機應用（比如工資結(jié)算或訂單處理）的特殊控制活動包括自動和手動控制確保只有經(jīng)過授權(quán)的數(shù)據(jù)才能完全且準確地通過應用程序處理包括：輸入控制處理控制輸出控制管理信息系統(tǒng)（精要版）信息系統(tǒng)安全安全和控制框架的建立風險評估確定當某一活動或流程沒有得到適當控制時公司面臨的風險程度風險類型年發(fā)生率潛在損失，風險價值預計年損失EXPOSUREPROBABILITYLOSSRANGEEXPECTEDANNUALLOSSPowerfailure30%$5K-$200K$30,750Embezzlement5%$1K-$50K$1,275Usererror98%$200-$40K$19,698管理信息系統(tǒng)（精要版）信息系統(tǒng)安全安全和控制框架的建立安全策略包括信息風險分級，確定可接受的安全目標以及實現(xiàn)安全目標的機制。其他策略的驅(qū)動可接受使用策略(AUP)規(guī)定企業(yè)信息資源和計算設備的可接受使用情況授權(quán)策略確定不同級別的用戶對信息資產(chǎn)的不同訪問級別管理信息系統(tǒng)（精要版）信息系統(tǒng)安全安全和控制框架的建立授權(quán)管理系統(tǒng)確定用戶在何時何地可以訪問某網(wǎng)站或公司數(shù)據(jù)庫的特定部分依據(jù)事先設定的訪問規(guī)則，該系統(tǒng)只允許用戶進入允許其訪問的部分系統(tǒng)管理信息系統(tǒng)（精要版）信息系統(tǒng)安全人事系統(tǒng)的安全類型圖7-3這兩個例子描述了人事系統(tǒng)中可能會用到的兩種權(quán)限類型，或者說數(shù)據(jù)安全模式，根據(jù)權(quán)限類別，用戶在訪問組織系統(tǒng)、數(shù)據(jù)時會受到一定的限制.系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全安全和控制框架的建立災難恢復計劃：

指在計算和通信服務遭到破壞以后，為將其恢復所指定的計劃。業(yè)務持續(xù)計劃:關注企業(yè)在遭受災難后如何恢復業(yè)務運營的計劃這兩類計劃都需要確定公司最關鍵的系統(tǒng)必須進行業(yè)務影響分析以確定系統(tǒng)停運對業(yè)務的影響管理層必須確定哪些業(yè)務應最先恢復災難恢復計劃和業(yè)務持續(xù)計劃管理信息系統(tǒng)（精要版）信息系統(tǒng)安全安全和控制框架的建立審計的作用管理信息系統(tǒng)審計審查公司的整體安全環(huán)境以及管理個人使用信息系統(tǒng)的控制情況對技術、程序、文檔、培訓工作和員工各方面的審查可能會模擬攻擊或災難、測試技術、信息系統(tǒng)工作人員和企業(yè)員工的反應通過審計可得出所用的控制缺陷及其分級，估計它們的發(fā)生概率評估各種威脅對財務和組織的影響管理信息系統(tǒng)（精要版）信息系統(tǒng)安全控制缺陷的審計列表樣本圖7-4該圖是一個控制缺陷列表樣本，這些控制缺陷可能是某審計員在一家地方性商業(yè)銀行的貸款系統(tǒng)中發(fā)現(xiàn)的。該表記錄并評估控制缺陷，顯示與管理層討論這些缺陷后得出的結(jié)果，以及管理層采取的修正方案。系統(tǒng)漏洞和濫用管理信息系統(tǒng)（精要版）信息系統(tǒng)安全訪問控制保護信息資源的技術和工具企業(yè)用來防止未經(jīng)授權(quán)的內(nèi)部訪問和外部訪問的所有政策和程序。授權(quán)認證密碼系統(tǒng)令牌智能卡生物認證管理信息系統(tǒng)（精要版）信息系統(tǒng)安全防火墻：有硬件和軟件組合而成，能夠阻止未經(jīng)授權(quán)用戶訪問私有網(wǎng)絡其中包含的技術有:靜態(tài)數(shù)據(jù)包過濾網(wǎng)絡地址轉(zhuǎn)換應用代理過濾防火墻、入侵檢測系統(tǒng)以及殺毒軟件管理信息系統(tǒng)（精要版）信息系統(tǒng)安全保護信息資源的技術和工具公司防火墻圖7-5防火墻設置在公司專用網(wǎng)絡與公共互聯(lián)網(wǎng)或其他不可信網(wǎng)絡之間，防止非法通信管理信息系統(tǒng)（精要版）信息系統(tǒng)安全保護信息資源的技術和工具入侵檢測系統(tǒng):對企業(yè)網(wǎng)絡最易受攻擊的點或“熱點”進行持續(xù)檢測采用實時監(jiān)控工具及時發(fā)現(xiàn)和阻止入侵殺毒軟件和反間諜軟件檢查計算機系統(tǒng)和驅(qū)動器中是否存在計算機病毒通常也清除隔離區(qū)的病毒必須不斷更新防火墻、入侵檢測系統(tǒng)以及殺毒軟件保護信息資源的技術和工具管理信息系統(tǒng)（精要版）信息系統(tǒng)安全WEP安全性可被提高激活給網(wǎng)絡的SSID分配一個獨特的名稱將其與虛擬專用網(wǎng)絡（VPN）技術相結(jié)合聯(lián)盟最終確定了WAP2規(guī)范，以其更強大的安全標準取代WEP可持續(xù)變化的密鑰包含中央認證服務器的加密認證系統(tǒng)保護無線網(wǎng)絡管理信息系統(tǒng)（精要版）信息系統(tǒng)安全保護信息資源的技術和工具加密將純文本或者數(shù)據(jù)轉(zhuǎn)換成密碼文本，除發(fā)送方和目標接收方外，其他人都無法讀取兩種網(wǎng)絡通信的加密方法網(wǎng)絡套階層協(xié)議SSL)and及其改進版安全傳輸層協(xié)議(TLS)安全超文本傳輸協(xié)議(S-HTTP)加密和公鑰基礎設施管理信息系統(tǒng)（精要版）信息系統(tǒng)安全保護信息資源的技術和工具兩種加密方法對稱密鑰加密發(fā)送者和接受者共用同一密鑰公鑰加密使用兩種密鑰：公鑰和私鑰發(fā)送方用接收方的公鑰對信息進行加密接收方在十大信息后用自己的私鑰解密管理信息系統(tǒng)（精要版）信息系統(tǒng)安全保護信息資源的技術和工具加密和公鑰基礎設施公鑰加密圖

7-6公鑰加密系統(tǒng)可看做一系列公鑰和私鑰，數(shù)據(jù)傳輸時用其對數(shù)據(jù)加密，收到數(shù)據(jù)后用其解密。發(fā)送方從目錄中找到接收方的公鑰，并用其加密信息。信息會以加密的形式在互聯(lián)網(wǎng)或私有網(wǎng)絡上傳輸。當加密信息到達后，接收方用自己的私鑰解密并讀取信息。管理信息系統(tǒng)（精要版）信息系統(tǒng)安全保護信息資源的技術和工具數(shù)字證書安全在線交易中用于鑒定用戶身份和電子資產(chǎn)的數(shù)據(jù)文件利用受信任的第三方，即認真中心，驗證用戶身份可離線驗證數(shù)字證書用戶的身份。該信息存放在CA服務器中，服務器會生成一個包含所有者身份信息和公鑰副本的加密數(shù)字證書公鑰基礎設施(PKI)將公鑰加密系統(tǒng)與數(shù)字證書相結(jié)合廣泛應用于電子商務管理信息系統(tǒng)（精要版）信息系統(tǒng)安全保護信息資源的技術和工具加密和公鑰基礎設施