第15章 信息系统安全汇编.pptVIP

? Copyright by Xu Huijie 管理学院 ? Copyright by Xu Huijie 管理学院 管理学院 ? Copyright by Xu Huijie 管理学院 管理学院 ? Copyright by Xu Huijie 管理学院 管理学院 ? Copyright by Xu Huijie 管理学院 管理学院 ? Copyright by Xu Huijie 管理学院 管理学院 ? Copyright by Xu Huijie 管理学院 管理学院 ? Copyright by Xu Huijie 管理学院 管理学院 ? Copyright by Xu Huijie 管理学院 管理学院 ? Copyright by Xu Huijie 管理学院 管理学院 第15章 信息安全 信息系统安全 人与信息的保护 15.1 信息系统安全 15.1.1 系统的易损和滥用 随着计算机网络技术的发展和互联网的广泛应用，信息的公开和共享性大大提高，使安全问题成为当前信息系统需要解决的最为紧迫的问题之一。 系统自身容易受到破坏 恶意软件：病毒、蠕虫、木马和间谍软件 黑客和计算机犯罪 欺骗和嗅探器、拒绝服务攻击、计算机犯罪、身份盗窃、点击诈骗、软件缺陷、来自员工的内部威胁 2007年，国内著名游戏厂商联众世界遭受了一次有组织的大型分布式拒绝服务（DDoS）攻击，经济损失惨重； 2009年5月19日，“暴风影音”服务器遭受DDoS攻击引发了多省大规模网络故障事件；7月，美、韩两国政府诸多商务网站和军事网站频频遭受DDoS攻击，造成近30个网站访问延迟甚至崩溃…… 2013年8月25日0时6分，国家CN域名解析系统主节点服务器遭受大规模分布式拒绝服务攻击，造成网络链路拥塞、服务器性能下降，部分CN域名网站访问缓慢或中断。 15.1.2 安全和控制的商业价值 安全和监管上的不足会导致承担严厉的法律责任。企业不仅要保护企业的信息，还要保护企业客户、员工和合作伙伴的信息。如果不能做到这一点，企业将会卷入泄露数据的复杂诉讼。如果企业没有采取一定的措施防止泄露机密信息、数据毁损、侵犯隐私，企业将长期处于纠纷之中。 2011年12月21日下午，微博爆料称，国内最大的程序员网站——CSDN的数据库遭到黑客攻击，涉及600余万用户的信息被泄露，众多用户账号密码赤裸裸地被公开，立即引发了互联网业界一片哗然。此后，陆续又有多家公司的账号被泄露，在这其中，安全软件公司金山毒霸的用户数据库赫然在列。 2014年3月22日，国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。而该信息加密级别并不够高，可以被骇客轻易获取。泄露的信息包括用户的：持卡人姓名、身份证、所持银行卡类别(比如，招商银行信用卡、中国银行信用卡)、卡号、CVV码(信用卡背后的一组数字)以及用于支付的6位密码。 暴露出的“隐私泄露”问题并非携程一个企业存在，7天等连锁酒店去年就被曝出存在系统安全漏洞，导致2000万用户身份证、手机、住址及开房时间等信息遭到泄露…… 据中国电子商务研究中心监测数据显示，5亿手机网民对软件商搜集个人信息的风险浑然不知，65.5%的网站存在安全漏洞，2013年中国网民在网上损失近1500亿元。74.1%的网民在过去半年时间内遇到过信息安全问题，总人数达4.38亿，全国因信息安全事件而造成的个人经济损失达到了196.3亿元。因网上购物遇到过安全问题的网民达2010.6万人，其中因网购遭遇个人信息泄露和账号密码被盗分别为42.9%、23.8%。电脑网络支付时，资金被盗、被骗和账号密码被盗的比例达32.1%。 15.1.3 安全与控制基本框架的建立 除非知道问题在哪里及知道如何抵御，否则，即使有最好的安全工具，信息系统也不是绝对可靠和安全的。所以，有必要建立一种安全措施和计划来维持商业运营。 1．信息系统控制 信息系统控制是手工的也是自动化的，由一般性控制和应用性控制构成。 一般性控制 应用控制 应用控制是与其他信息化应用不同的特殊控制，如工资表和订单处理，它们通过自动和手动的方法来确保只有认可的数据才能得到精确地处理。应用控制可以分为输入控制、过程控制和输出控制。 2．风险评估 企业在投资实施安全控制措施之前，应该了解哪些信息资源需要保护，需要什么程度的保护。风险评估可以帮助回答这些问题，协助企业找到安全控制最有成本效益、最合算的方法。实际上，风险评估就是确定信息系统存在的潜在风险的等级的。 不是所有的风险都可以得到预计和测量的，但大部分公司能够有着对所面临的