2015《公司戰(zhàn)略》簡答題易考點(diǎn)：信息系統(tǒng)安全管理的概念

　　【東奧小編】現(xiàn)階段進(jìn)入2015年注會強(qiáng)化提高沖刺備考期，為幫助考生們在最后階段提高備考效率,，我們根據(jù)2015年注冊會計(jì)師考試大綱為考生們總結(jié)了《公司戰(zhàn)略與風(fēng)險管理》科目的選擇題,、簡答題和綜合題易考點(diǎn)，下面我們一起來復(fù)習(xí)2015《公司戰(zhàn)略與風(fēng)險管理》簡答題易考點(diǎn)：信息系統(tǒng)安全管理的概念,。

　　本考點(diǎn)能力等級：

　　能力等級 2—— 基本應(yīng)用能力

　　考生應(yīng)當(dāng)在理解基本理論,、基本原理和相關(guān)概念的基礎(chǔ)上，在比較簡單的職業(yè)環(huán)境上,，堅(jiān)守職業(yè)價值觀,、遵循職業(yè)道德、堅(jiān)持職業(yè)態(tài)度,，運(yùn)用相關(guān)專業(yè)學(xué)科知識解決實(shí)務(wù)問題,。

　　本知識點(diǎn)屬于《公司戰(zhàn)略與風(fēng)險管理》科目第八章管理信息系統(tǒng)的應(yīng)用與管理第三節(jié)信息系統(tǒng)管理的內(nèi)容,。

　　

　　簡答題易考點(diǎn)：信息系統(tǒng)安全管理的概念

　　1.信息系統(tǒng)的不安全因素及風(fēng)險,。

　　信息系統(tǒng)安全威脅是指對于信息系統(tǒng)的組成要素及其功能造成某種損害的潛在可能,。

　　從不同的角度對于信息系統(tǒng)安全威脅的分類有以下幾類,。

　　(1)按照威脅的來源分類,。

　�,、僮匀粸�(zāi)害威脅。

　�,、谝馔馊藶橥�脅,。

　�,、塾幸馊藶橥�脅。

　　(2)按照作用對象分類,。

　　按照所作用的對象,，可以將信息系統(tǒng)的威脅分為以下兩種,。

　　第一種,，針對信息的威脅,。針對信息(資源)的威脅又可以歸結(jié)為以下幾類：

　　①信息破壞：非法取得信息的使用權(quán),，刪除,、修改、插入,、惡意添加或重發(fā)某些數(shù)據(jù),， 以影響正常用戶對信息的正常使用。

　�,、谛畔⑿姑埽汗室饣蚺既坏胤欠▊墒�,、截獲、分析某些信息系統(tǒng)中的信息,，造成系統(tǒng)數(shù)據(jù)泄密,。

　�,、奂倜盎蚍裾J(rèn)：假冒某一可信任方進(jìn)行通信或者對發(fā)送的數(shù)據(jù)事后予以否認(rèn)。

　　第二種,，針對系統(tǒng)的威脅,。針對系統(tǒng)的威脅包括對系統(tǒng)硬件的威脅、對系統(tǒng)軟件的威脅 和對于系統(tǒng)使用者的威脅,。對于通信線路,、計(jì)算機(jī)網(wǎng)絡(luò)以及主機(jī)、光盤,、磁盤等的盜竊和破壞都是對于系統(tǒng)硬件(實(shí)體)的威脅;病毒等惡意程序是對系統(tǒng)軟件的威脅;流氓軟件等是對于系統(tǒng)使用者的威脅,。

　　(3)按照威脅方法的分類。

　　按照威脅的手段,，可以將信息系統(tǒng)的威脅分為以下六種：

　　第一種,，信息泄露。信息泄露是指系統(tǒng)的敏感數(shù)據(jù)有意或無意地被未授權(quán)者知曉,。

　　第二種,，掃描。掃描是指利用特定的軟件工具向目標(biāo)發(fā)送特制的數(shù)據(jù)包,，對響應(yīng)進(jìn)行分析,，以了解目標(biāo)網(wǎng)絡(luò)或主機(jī)的特征。

　　第三種,，入侵,。入侵即非授權(quán)訪問，是指沒有經(jīng)過授權(quán)(同意)就獲得系統(tǒng)的訪問權(quán)限或特權(quán),，對系統(tǒng)進(jìn)行非正常訪問，或擅自擴(kuò)大訪問權(quán)限越權(quán)訪問系統(tǒng)信息,。

　　第四種,，拒絕服務(wù)。拒絕服務(wù)是指系統(tǒng)可用性因服務(wù)中斷而遭到破壞。拒絕服務(wù)攻擊常常通過用戶進(jìn)程消耗過多的系統(tǒng)資源造成系統(tǒng)阻塞或癱瘓。

　　第五種,，抵賴(否認(rèn)),。通信一方由于某種原因而實(shí)施的下列行為都稱為抵賴：

　�,、侔l(fā)方事后否認(rèn)自己曾經(jīng)發(fā)送過某些消息;

　�,、谑辗绞潞蠓裾J(rèn)自己曾經(jīng)收到過某些消息;

　�,、郯l(fā)方事后否認(rèn)自己曾經(jīng)發(fā)送過某些消息的內(nèi)容;

　　④收方事后否認(rèn)自己曾經(jīng)收到過某些消息的內(nèi)容,。

　　第六種,，濫用,。濫用泛指一切對信息系統(tǒng)產(chǎn)生不良影響的活動，主要內(nèi)容如下：

　�,、賯鞑�惡意代碼,。

　　②復(fù)制重放,。

　�,、郯l(fā)布或傳播不良信息,。

　　2.信息系統(tǒng)的安全管理技術(shù),。

　　(1)通信保密,，包括數(shù)據(jù)保密,、認(rèn)證技術(shù)和訪問控制等。

　　數(shù)據(jù)保密就是隱蔽數(shù)據(jù),，防止信息被竊取,，其方法有以下兩種：

　　①數(shù)據(jù)加密,，即隱蔽數(shù)據(jù)的可讀性,，將可讀的數(shù)據(jù)轉(zhuǎn)換為不可讀數(shù)據(jù)，即將明文轉(zhuǎn)換為密文，使非法者不能直接了解數(shù)據(jù)的內(nèi)容,。加密的逆過程稱為解密,。

　　②數(shù)據(jù)隱藏,，即隱藏?cái)?shù)據(jù)的存在性,，將數(shù)據(jù)隱藏在一個容量更大的數(shù)據(jù)載體之中，形成隱秘載體,，使非法者難以察覺其中隱藏有某些數(shù)據(jù),，或者難以從中提取被隱藏?cái)?shù)據(jù)。

　　從認(rèn)證的對象看,，認(rèn)證技術(shù)可以分為報(bào)文認(rèn)證和身份認(rèn)證,。報(bào)文認(rèn)證包括報(bào)文鑒別(主要用于數(shù)據(jù)完整性保護(hù)，也稱為消息鑒別,，即要鑒別報(bào)文在傳輸中有沒有被刪除,、添加或篡改)和數(shù)字簽名(主要用于抗抵賴性保護(hù)，能夠驗(yàn)證簽名者的身份,，以及簽名的日期和時間;能夠用于證實(shí)被簽報(bào)文的內(nèi)容的真實(shí)性;簽名可以由第三方驗(yàn)證,，以解決雙方在通信中的爭議。),，身份認(rèn)證(如口令,、指紋等)主要用于真實(shí)性保護(hù)。

　　訪問控制是從系統(tǒng)資源安全保護(hù)的角度對要進(jìn)行的訪問進(jìn)行授權(quán)控制,。它從訪問的角度將系統(tǒng)對象分為主體和客體兩類,。主體也稱為訪問發(fā)起者，主要指用戶,、用戶組,、進(jìn)程以及服務(wù)等;客體也稱資源，主要指文件,、目錄,、機(jī)器等。授權(quán)就是賦予主體一定的權(quán)限(修改,、查看等),，賦予客體一定的訪問屬性(如讀、寫,、添加,、執(zhí)行、發(fā)起鏈接等),，同時在主體與客體之間建立一套安全訪問規(guī)則,，通過對客體的讀出,、寫入、修改,、刪除,、運(yùn)行等管理，確保主體對客體的訪問是經(jīng)過授權(quán)的,，同時要拒絕非授權(quán)的訪問,。

　　【相關(guān)鏈接】訪問控制是對信息系統(tǒng)資源的訪問范圍以及方式進(jìn)行限制的策略。簡單地說,，就是防止合法用戶的非法操作,。它是建立在身份認(rèn)證之上的操作權(quán)限控制。身份認(rèn)證解決了訪問者是否是合法者,，但并非身份合法就什么都可以做,，還要根據(jù)不同的訪問者，規(guī)定他們分別可以訪問哪些資源,，以及對這些可以訪問的資源可以用什么方式(讀,、寫、執(zhí)行,、刪除等)訪問,。它是基于權(quán)限管理的一種非常重要的安全策略。對用戶權(quán)限的設(shè)定,，稱為授權(quán),。

　　(2)信息防護(hù)技術(shù)。

　　信息防護(hù)技術(shù)有防火墻技術(shù),，信息系統(tǒng)安全審計(jì)和報(bào)警,，數(shù)據(jù)容錯、容災(zāi)和備份等,。

　　防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)與不可信任的外界之間的一道屏障,。它可以屏蔽非法請求，一定程度地防止跨權(quán)限訪問并產(chǎn)生安全報(bào)警,，有效地監(jiān)控了內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的任何活動,。

　　信息系統(tǒng)安全審計(jì)(按確定規(guī)則的要求，對與安全相關(guān)的事件進(jìn)行審計(jì),，以日志方式記錄必要信息,，并作出相應(yīng)處理的安全機(jī)制。相當(dāng)于飛機(jī)上的“黑匣子”)和報(bào)警是信息系統(tǒng)安全中一項(xiàng)極為重要的安全服務(wù)措施,。它有如下功能：

　�,、儆涗浥c系統(tǒng)安全活動有關(guān)的全部或部分信息;

　　②對所有記錄的信息進(jìn)行分析,、評價,、審查，發(fā)現(xiàn)系統(tǒng)的安全隱患;

　�,、蹖�潛在的攻擊者進(jìn)行威懾或警告;

　�,、艹霈F(xiàn)安全事故后，追查造成安全事故的原因并落實(shí)對安全事故負(fù)責(zé)的實(shí)體或機(jī)構(gòu),，為信息系統(tǒng)安全策略的調(diào)整和修改提供建議,。

　　安全審計(jì)和報(bào)警不可分割。但是安全審計(jì)不直接阻止安全違規(guī),。安全報(bào)警一般在安全相關(guān)事件達(dá)到某一或一些預(yù)定義域值時發(fā)出,。

　　數(shù)據(jù)容錯、容災(zāi)和備份是信息系統(tǒng)安全的重要保障,。為了保證系統(tǒng)的可靠性,，經(jīng)過長期的摸索，人們總結(jié)出三種方法,，即避錯,、糾錯和容錯。錯誤沒有辦法完全避免,，糾錯作為避錯的補(bǔ)充,，在系統(tǒng)出現(xiàn)故障時起作用，而容錯是指硬件故障或軟件錯誤時,，系統(tǒng)仍能執(zhí)行一組規(guī)定的程序或程序不會因?yàn)橄到y(tǒng)的故障而中斷或被修改,，并且執(zhí)行結(jié)果也不包含因故障而引起的差錯。

　　數(shù)據(jù)容災(zāi)系統(tǒng),，對于IT而言,，就是為計(jì)算機(jī)信息系統(tǒng)提供的一個能應(yīng)付各種災(zāi)難的環(huán)境。當(dāng)計(jì)算機(jī)系統(tǒng)在遭受如火災(zāi),、水災(zāi),、地震、戰(zhàn)爭等不可抗拒的自然災(zāi)難以及計(jì)算機(jī)犯罪,、計(jì)算機(jī)病毒,、掉電、網(wǎng)絡(luò)/通信失敗,、硬件/軟件錯誤和人為操作錯誤等人為災(zāi)難時,，容災(zāi)系統(tǒng)將保證用戶數(shù)據(jù)的安全性(數(shù)據(jù)容災(zāi))。

　　從保護(hù)數(shù)據(jù)的安全性出發(fā),，數(shù)據(jù)備份是數(shù)據(jù)容錯,、數(shù)據(jù)容災(zāi)以及數(shù)據(jù)恢復(fù)的重要保證。

　　(3)信息保障,，即信息系統(tǒng)安全風(fēng)險評估,。

　　系統(tǒng)的安全強(qiáng)度可以通過風(fēng)險大小衡量,。科學(xué)地分析信息系統(tǒng)的風(fēng)險,，綜合平衡風(fēng)險和代價的過程就是信息系統(tǒng)安全風(fēng)險評估,。世界各國信息化的經(jīng)驗(yàn)表明：

　　①不計(jì)代價,、片面地追求系統(tǒng)安全是不切實(shí)際的;

　�,、诓豢紤]風(fēng)險存在的信息系統(tǒng)是危險的，是要付出代價,，甚至是災(zāi)難性代價的;

　�,、鬯�有的信息系統(tǒng)建設(shè)的生命周期都應(yīng)當(dāng)從安全風(fēng)險評估開始。

　　通過信息系統(tǒng)安全風(fēng)險評估,，組織可以達(dá)到如下目的：

　�,、倭私饨M織信息系統(tǒng)的管理和安全現(xiàn)狀。

　�,、诖_定資產(chǎn)威脅源的分布,，如入侵者、內(nèi)部人員,、自然災(zāi)害等;確定其實(shí)施的可能性;分析威脅發(fā)生后,，資產(chǎn)的價值損失、敏感性和嚴(yán)重性,，確定相應(yīng)級別;確定最敏感,、最重要資產(chǎn)在威脅發(fā)生后的損失。

　�,、哿私庀到y(tǒng)的脆弱性分布,。

　　④明晰組織的安全需求,，指導(dǎo)建立安全管理框架,，合理規(guī)劃安全建設(shè)計(jì)劃。

　　信息系統(tǒng)安全風(fēng)險評估應(yīng)選擇恰當(dāng)?shù)臅r機(jī),。信息系統(tǒng)安全風(fēng)險評估是信息系統(tǒng)每個生命周期的起點(diǎn)和動因,。具體地說，應(yīng)當(dāng)在下面的一些時機(jī)進(jìn)行：

　�,、僖�設(shè)計(jì)規(guī)劃或升級到新的信息系統(tǒng)時;

　�,、诮o目前的信息系統(tǒng)增加新的應(yīng)用或新的擴(kuò)充(包括進(jìn)行互聯(lián))時;

　　③發(fā)生一次安全事件后;

　�,、芙M織具有結(jié)構(gòu)性變動時;

　�,、莅凑找�(guī)定或某些特殊要求對信息系統(tǒng)的安全進(jìn)行評估時。

　　信息系統(tǒng)安全風(fēng)險評估的準(zhǔn)則有：

　�,、僖�(guī)范性原則,，具有三層含義：

　　1)評估方案和實(shí)施,，要根據(jù)有關(guān)標(biāo)準(zhǔn)進(jìn)行。

　　2)選擇的評估部門需要被國家認(rèn)可,，并具有一定等級的資質(zhì),。

　　3)評估過程和文檔要規(guī)范,。

　�,、谡�體性原則，評估要從業(yè)務(wù)的整體需求出發(fā),，不能局限于某些局部,。

　　③最小影響原則,，具有兩層含義：

　　1)評估要有充分的計(jì)劃性,，不對系統(tǒng)運(yùn)行產(chǎn)生顯著影響。

　　2)所使用的評估工具要經(jīng)過多次使用考驗(yàn),，具有很好的可控性,。

　　④保密性原則,，具有三層含義：

　　1)對評估數(shù)據(jù)嚴(yán)格保密,。

　　2)不得泄露參評人員資料。

　　3)不得使用評估數(shù)據(jù)對被評方造成利益損失,。

　　信息系統(tǒng)安全風(fēng)險評估應(yīng)采用恰當(dāng)?shù)哪Ｊ�,。安全風(fēng)險評估模式是進(jìn)行安全風(fēng)險評估時應(yīng)當(dāng)遵循的操作過程和方式。以下是幾種常用的風(fēng)險評估模式,。

　�,、倩�線評估。采用基線風(fēng)險評估,，組織根據(jù)自己的實(shí)際情況(所在行業(yè),、業(yè)務(wù)環(huán)境與性質(zhì)等)，對信息系統(tǒng)進(jìn)行安全基線檢查(拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較,，找出其中的差距),，得出基本的安全需求，通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險,。

　　所謂的安全基線,，是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng),，可以滿足基本的安全需求,，能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。

　　這種評估模式需要的資源少,，評估周期短,，操作簡單,，是最經(jīng)濟(jì)有效的風(fēng)險評估模式。但是,，基線水平的高低確定困難,。

　　②詳細(xì)評估,。詳細(xì)評估要求對信息系統(tǒng)中的所有資源都進(jìn)行詳細(xì)識別和評價,，對可能引起風(fēng)險的威脅和弱點(diǎn)水平進(jìn)行評估，根據(jù)風(fēng)險評估的結(jié)果來識別和選擇安全措施,。

　　這種評估模式集中體現(xiàn)了風(fēng)險管理的思想,，即識別資產(chǎn)的風(fēng)險并將風(fēng)險降低到可接受的水平，以此證明管理者所采用的安全控制措施是恰當(dāng)?shù)�,。但是,，這種評估模式需要相當(dāng)多的財(cái)力、物力,、時間,、精力和專業(yè)能力的投入，最后獲得的結(jié)果有可能有一定的時間滯后,。

　�,、劢M合評估。組合評估是上述兩種模式的結(jié)合,。它首先對所有信息系統(tǒng)進(jìn)行一次較高級別的安全分析,，并關(guān)注每一個實(shí)際分析對整個業(yè)務(wù)的價值以及它所面臨的風(fēng)險的程度。然后對非常重要業(yè)務(wù)或面臨嚴(yán)重風(fēng)險的部分進(jìn)行詳細(xì)評估分析,，對其他部分進(jìn)行基線評估分析,。這種評估模式注意了耗費(fèi)與效率之間的平衡，還注意了高風(fēng)險系統(tǒng)的安全防范,。

　　3.信息安全道德規(guī)范,。

　　信息系統(tǒng)作為信息技術(shù)的一種應(yīng)用形式，它所涉及的道德問題主要包括隱私問題,、正確性問題,、產(chǎn)權(quán)問題和存取權(quán)問題。

　　(1)隱私問題,。信息技術(shù)強(qiáng)大的信息搜集能力為組織提供全方位服務(wù)的同時,，應(yīng)該考慮信息收集對人的隱私權(quán)的尊重。

　　(2)正確性問題,。正確性問題是指關(guān)于誰有責(zé)任保證信息的權(quán)威性,、可信性和正確性，以及誰來統(tǒng)計(jì)和解決錯誤等問題。

　　(3)產(chǎn)權(quán)問題,。產(chǎn)權(quán)問題主要涉及誰擁有信息,，什么是信息交換的公平價值，誰擁有傳輸信息的渠道,，如何分配這些稀有的資源等問題,。

　　(4)存取權(quán)問題。存取權(quán)問題應(yīng)該規(guī)定什么人對什么信息有特權(quán)取得,，在什么條件下有什么安全保障,。

　　一些在國際上有影響力的組織推出的關(guān)于企業(yè)的道德標(biāo)準(zhǔn)值得學(xué)習(xí)和借鑒。下面以數(shù)據(jù)處理管理聯(lián)盟(Data Processing Managemengt Association,，DPMA)的標(biāo)準(zhǔn)為例說明,。DPMA專業(yè)標(biāo)準(zhǔn)包括針對業(yè)主,、針對社會的和針對專業(yè)的內(nèi)容,。

---

　　東奧2015年注會考試強(qiáng)化提高階段學(xué)習(xí)計(jì)劃

　　2015注會六科基礎(chǔ)考點(diǎn)與階段測試題匯總