电脑安全管理.pptVIP

電腦安全管理 目的：保護電腦資源（軟硬體、資料、人員、程序），以防止變更、破壞及 未授權使用。 資訊安全三大目標：完整性、保密性、可用性。 安全性責任分為：1.安全計劃的設計　2.每日安全程序之執行 　 電腦安全問題來源：  1.人為疏忽  2.電腦犯罪  3.天然或政治上災害  4.軟硬體失靈  電腦安全控制技巧 一、電腦化系統控制分類 1.使用者控制：負責資訊的真實性、安全性和適當性。 2.電子資料處理控制：又分為一般控制及應用控制。 （兩者負責單位不同） 二、一般控制（與所有和很多電腦應用系統有關的EDP控制） 適當劃分職責：最重要的劃分電腦作業（包括：操作員、輸入員、資料控制 員、資料館員和系統程式設計師）和程式編寫（了解系統者，包括主管、系統分析及應用系統設計師）的工作。 對電腦程式的控制：對開發、外購、變更現有系統均予適當控制。步驟為：開始、測試、完成。 對資料的控制：確保經授權者及程式才可進入資料檔案之控制程式，尤其在遠端資料傳輸的系統中。 其他一般控制：災害復原計劃及備援程序。 三、應用控制（常賴一般控制） （一）使用者控制：確保電腦處理資料的真實性、完整性與適當性。 1.控制總數 2.資料的審閱和調節 3.改正錯誤、重新輸入執行 （二）EDP控制 1.輸入：控制總數、驗證等 2.檔案：確保使用了適當的檔案版本 3.處理：偵測錯誤 4.輸出：以人工檢閱方式來做 電腦安全問題的責任歸屬 安全管理範圍有： 1.實體安全管理 2.系統軟體管理 3.人事管理 4.應用系統與資料管理 5.電子通訊管理 6.電腦作業管理 現存電腦安全問題與課題 1.不能由一個人或部門來承 擔 2.須要更多人參與，而非僅是技術問題 3.員工離職程序不完備 4.員工不了解公司有關電腦安全的規定、政策 5.員工沒有定期參加安全課程 6.被列為次要問題 7.高階主管不了解其重大影響 評估電腦安全的六大步驟： 1.計劃的擬定：評估的目的、範圍、資源預算表、欲完成的工作、時間表、任務小組的組織...... 2.資產的確認與評價：人員、資料、設備、物料、硬體、應用軟體、系統軟體...... 3.威脅來源的確認及發生機率的估計：天災、資源中斷、操作失誤、人為因素、電波、不可靠之系統...... 4.損失分析：指在現有控制下可能發生之預期損失。 5.重新調整電腦安全控制 6.電腦安全評估報告之編製  分散式環境之威脅 1.涉及竊取的威脅：偷取主檔、資料、設備、輸出...... 2.涉及破壞的威脅：設備、資料檔。 3.涉及操作的威脅：刪除特定output、改變主檔及輸出、修改程式、潛入資料。  電腦犯罪的預防 1.小心任用人選 2.警覺員工之不滿 3.將重要的企業機能劃分（分工） 4.限制系統的使用 5.使用密碼及卡片鎖 6.對資料保密 7.監控系統交易 使用內部資源  1.多個電腦中心：對重要之應用程式提供備援。 2.分散式處理：針對重要作業。 3.通訊設備的備援：建立二個通訊網路設施，用另一種科技加以調動（例如微波）。 4.區域網路 二、使用外部資源 1.整合式的災害復原服務：有各式不同設備以提供不同客戶。 2.特定式的災害復原服務：針對某種設備（迷你電腦）或硬體供應商所提供。 3.線上離線的資料儲存：儲存在另一處，一是定時傳送，一是在交易發生時就同時儲存。 4.資料處理服務中心或合作聯盟：與他家使用者合作，但須確定相容性。 參考文獻 .tw/yaoer/mis_note/mis1_22.htm * *