注会考试科目《公司战略》第八章 管理信息系统的应用及管理07.pdfVIP

高顿财经CPA培训中心 第八章 管理信息系统的应用与管理 第三节 管理信息系统的管理 二、信息系统安全管理 （二）信息系统安全管理策略（★★） 1.基于网络的安全策略 管理者为防止对网络的非法访问或非授权用户使用的情况发生，应采取以 下策略 （1）监视日志 ①读取日志，根据日志的内容至少可确定访问者的情况； ②确保日志本身的安全； ③对日志进行定期检查； ④应将日志保存到下次检查时 （2）对不正当访问的检测功能 当出现不正当访问时应设置能够将其查出并通知风险管理者的检测功能 ①设置对网络及主机等工作状 的监控功能； ②若利用终端进行访问，则对该终端设置指定功能； ③设置发现异常情况时能够使网络、主机等停止工作的功能 （3）口令 对依据口令进行认证的网络应采取以下策略： ①用户必须设定口令，并努力做到保密； ②若用户设定口令时，应指导他们尽量避免设定易于猜测的词语，并在系统 上设置拒绝这种口令的机制； 高顿财经CPA培训中心 电话：400-600-8011 网址：cpa.gaodun.cn 微信公众号：gaoduncpa 高顿财经CPA培训中心 ③指导用户每隔适当时间就更改口令，并在系统中设置促使更改的功能； ④限制口令的输入次数，采取措施使他人难以推测口令； ⑤用户一旦忘记口令，就提供口令指示，确认后口令恢复； ⑥对口令文本采取加密方法，努力做到保密； ⑦在网络访问登录时，进行身份识别和认证； ⑧对于认证方法，应按照信息系统的安全需求进行选择； ⑨设定可以确认前次登录日期与时间的功能 （4）用户身份识别（用户ID）管理 ①对于因退职、调动、长期出差或留学而不再需要或长期不使用的用户ID予 以注销； ②对长期未进行登记的用户以书面形式予以通知 （5）加密 ①进行通信时根据需要对数据实行加密； ②要切实做好密钥的保管工作，特别是对用户密钥进行集中保管时要采取 妥善的保管措施 （6）数据交换 ①在进行数据交换之前，对欲进行通信的对象进行必要的认证； ②以数字签名等形式确认数据的完整性； ③设定能够证明数据发出和接收以及可以防止欺骗的功能； ④在前三步利用加密操作的情况下，对用户的密钥进行集中管理时，要寻求 妥善的管理方法 （7）灾害策略 为防止因灾害、事故造成线路中断，有必要做成热备份线路 2.基于主机的安全策略 高顿财经CPA培训中心 电话：400-600-8011 网址：cpa.gaodun.cn 微信公众号：gaoduncpa 高顿财经CPA培训中心 管理者为防止发生对主机非法访问或未授权用户使用等情况，应采取以下 策略 （1）监视日志 ①读取日志，根据日志的内容至少可确定访问者的情况； ②确保日志本身的安全； ③对日志进行定期检查； ④应将日志保存到下次检查时； ⑤具备检测不正当访问的功能； ⑥设置出现不正当访问时，能够将其查出并通知风险管理者的功能 （2）口令 对依据口令进行认证的主机等应采取以下策略： ①用户必须设定口令，并努力做到保密； ②若用户设定口令时，应指导他们尽量避免设定易于猜测的词语，并在系统 上设置拒绝这种口令的机制； ③指导用户每隔适当时间就更改口令，并在系统中设置促使更改的功能； ④限制口令的输入次数，采取措施使他人难以推测口令； ⑤用户一旦忘记口令，就提供口令指示，确认后口令恢复； ⑥对口令文本采取加密方法，努力做到保密 （3）对主机的访问 ①在记录日志时进行识别和认证； ②对于认证方法，按照信息系统所需的安全要求进行选择； ③设置可以确认前次日志记录日期的功能； 高顿财经CPA培训中心