东北财经大学会计信息系统课件 第十章.ppt

第十章 信息系统安全 信息安全系统是控制与企业业务处理信息系统有关的特别风险的系统。是企业业务处理信息系统的伴随系统或称影子系统，因为只要有信息系统，就要建立信息安全系统。 第一节 信息系统安全概览 信息安全系统和任何一个信息系统一样有其基本构成要素：如硬件、数据库、处理过程以及报告等。例如，涉及软件使用的记录和违反安全的情况被实时收集，存储于数据库，用于生成报告。 一、 信息安全系统的生命周期 信息安全系统也是一种信息系统，也有自己的生命周期。也要经历系统分析、设计、实施，以及运行、评价和维护各生命阶段。它从生到死各阶段的目标如下表所示： 二、 组织中的信息安全系统 信息安全系统若想有效，必须由一位首席安全官(cso)来管理。为使其工作具有足够的独立性和少受干扰，此人应当直接向董事会报告，以获批准。报告应分阶段如下表所示： 三、 信息系统的脆弱性与威胁分析 分析信息系统的脆弱性与威胁有两种方法：定量分析方法和定性分析方法。 定量分析方法 每种损失风险由单个损失成本与其发生的可能性的乘积计算而得。见下。 定性分析方法 这种方法仅仅列出信息系统的各种脆弱性和威胁，根据他们对组织总损失风险影响的大小，主观地将其分为各个等级。有时为了直观醒目，每种等级用一种颜色表示，如：黑色、红色、橙色、黄色和绿色等。 不论哪种分析方法，以下几个方面都要进行分析评估：业务中断；软件损失；数据损失；硬件损失；设备损失；服务与人员损失。 第二节 信息系统的 脆弱性与面临的威胁 脆弱性是指信息系统的薄弱环节，威胁是利用这种脆弱性的可能性。威胁有两种：主动威胁（利用信息系统舞弊和破坏）与被动威胁（系统故障和自然灾害）。 一、 信息系统舞弊的严重性 系统安全是一个国际问题，各国都吃过利用计算机舞弊带来的苦果，因此纷纷制定了严厉的相关法律。 二、 把威胁引入信息系统的个人 对信息系统的成功攻击需要接近硬件、软件或敏感数据。三类人最有可能将威胁引入信息系统，他们是：计算机系统员工、用户和计算机窃密者。 计算机系统员工 包括维护员、程序员、操作员、信息系统管理员和数据控制员。维护员经常安装硬件和软件、维修硬件和修改软件上的小错误。在任何情况下，维护人员都可能运用这种权力非法浏览并修改数据和程序文档。程序员可能对存在的程序作不良修改，或者编写不良的新程序。 网络操作员可以秘密地监控所有的网络通信（包括用户的输入口令），以及存取系统里的任何文档。系统管理员处于被充分信赖的地位，通常有权接近安全秘密、文档和程序等。如系统账户管理员有能力编造虚假会计科目，或者泄露现有会计科目的密码。数据控制员负责把数据手工或自动输入计算机，他们可以欺诈性地操纵所输入的数据。 2. 用户 在信息系统高度自动化情况下，用户可利用远程终端或触摸屏等直接使用信息系统内的一些敏感数据，并有可能向我们的竞争者披露。  3. 计算机窃密者 窃密者是指那些未经正当授权就使用设备、电子数据或文档的人。他们通过搭线密听、借道、模仿等非法欺诈手段，进入计算机信息系统，窃取机密。这些人纯属主动的恶意的破坏者。 三、信息系统主动威胁的类型 输入操作 输入操作是计算机舞弊采用最多的方法，因为这种方法要求最少的技术技能，一个不懂计算机系统操作的人也可以改变输入内容。例如在美国的一个案例中，一名女性通过篡改输入文件，在十年间不仅每月盗窃200美元，而且给自己发放双份工资。 2. 程序变更 程序变更可能是计算机舞弊中使用最少的方法，因为它需要掌握编程技术的人才能做到。在美国，一名程序员通过给计算机编程来忽略自己账户上的透支额。当计算机出现故障不得不手工处理这些记录时，他的行为才被发现。一家经纪人公司的数据处理经理多年来盗窃金额达81000美元，其做法就是修改未被授权修改的程序。 3. 文档直接变更 在某些情况下，个人可以利用其他软件如EXCEL 伪造数据文件并输入到数据库里。这种情况一旦发生，后果则是灾难性的。华尔街十大经纪人公司之一的沃特森公司的一名雇员，通过把一部分公司收入转到他的个人账户上非法盗窃了278000美元。事后，检察官承认，如果被告不认罪，起诉是不会有证据的。 4. 数据窃取 重要数据的窃取是当今商务领域的一个严重问题。在许多高度竞争的行业中，对竞争对手的定量和定性的信息挖掘从未停止过。例如：据说大不列颠百科全书曾指控其上晚班的电脑操作员从公司最具价值的客户名单中复制了近 300万个名字，并将其卖给一个电子邮件广告直销商。该公司称被盗的名单价值 300