2015《公司戰略》簡答題易考點：信息系統安全管理的概念

　　【東奧小編】現階段進入2015年注會強化提高沖刺備考期，為幫助考生們在最后階段提高備考效率，我們根據2015年注冊會計師考試大綱為考生們總結了《公司戰略與風險管理》科目的選擇題、簡答題和綜合題易考點，下面我們一起來復習2015《公司戰略與風險管理》簡答題易考點：信息系統安全管理的概念。

　　本考點能力等級：

　　能力等級 2—— 基本應用能力

　　考生應當在理解基本理論、基本原理和相關概念的基礎上，在比較簡單的職業環境上，堅守職業價值觀、遵循職業道德、堅持職業態度，運用相關專業學科知識解決實務問題。

　　本知識點屬于《公司戰略與風險管理》科目第八章管理信息系統的應用與管理第三節信息系統管理的內容。

　　

　　簡答題易考點：信息系統安全管理的概念

　　1.信息系統的不安全因素及風險。

　　信息系統安全威脅是指對于信息系統的組成要素及其功能造成某種損害的潛在可能。

　　從不同的角度對于信息系統安全威脅的分類有以下幾類。

　　(1)按照威脅的來源分類。

　�、僮匀粸暮ν�脅。

　�、谝馔馊藶橥�脅。

　　③有意人為威脅。

　　(2)按照作用對象分類。

　　按照所作用的對象，可以將信息系統的威脅分為以下兩種。

　　第一種，針對信息的威脅。針對信息(資源)的威脅又可以歸結為以下幾類：

　　①信息破壞：非法取得信息的使用權，刪除、修改、插入、惡意添加或重發某些數據， 以影響正常用戶對信息的正常使用。

　　②信息泄密：故意或偶然地非法偵收、截獲、分析某些信息系統中的信息，造成系統數據泄密。

　　③假冒或否認：假冒某一可信任方進行通信或者對發送的數據事后予以否認。

　　第二種，針對系統的威脅。針對系統的威脅包括對系統硬件的威脅、對系統軟件的威脅 和對于系統使用者的威脅。對于通信線路、計算機網絡以及主機、光盤、磁盤等的盜竊和破壞都是對于系統硬件(實體)的威脅;病毒等惡意程序是對系統軟件的威脅;流氓軟件等是對于系統使用者的威脅。

　　(3)按照威脅方法的分類。

　　按照威脅的手段，可以將信息系統的威脅分為以下六種：

　　第一種，信息泄露。信息泄露是指系統的敏感數據有意或無意地被未授權者知曉。

　　第二種，掃描。掃描是指利用特定的軟件工具向目標發送特制的數據包，對響應進行分析，以了解目標網絡或主機的特征。

　　第三種，入侵。入侵即非授權訪問，是指沒有經過授權(同意)就獲得系統的訪問權限或特權，對系統進行非正常訪問，或擅自擴大訪問權限越權訪問系統信息。

　　第四種，拒絕服務。拒絕服務是指系統可用性因服務中斷而遭到破壞。拒絕服務攻擊常常通過用戶進程消耗過多的系統資源造成系統阻塞或癱瘓。

　　第五種，抵賴(否認)。通信一方由于某種原因而實施的下列行為都稱為抵賴：

　�、侔l方事后否認自己曾經發送過某些消息;

　　②收方事后否認自己曾經收到過某些消息;

　�、郯l方事后否認自己曾經發送過某些消息的內容;

　�、苁辗绞潞蠓裾J自己曾經收到過某些消息的內容。

　　第六種，濫用。濫用泛指一切對信息系統產生不良影響的活動，主要內容如下：

　�、賯鞑�惡意代碼。

　�、趶椭浦胤拧�

　�、郯l布或傳播不良信息。

　　2.信息系統的安全管理技術。

　　(1)通信保密，包括數據保密、認證技術和訪問控制等。

　　數據保密就是隱蔽數據，防止信息被竊取，其方法有以下兩種：

　�、贁祿�加密，即隱蔽數據的可讀性，將可讀的數據轉換為不可讀數據，即將明文轉換為密文，使非法者不能直接了解數據的內容。加密的逆過程稱為解密。

　　②數據隱藏，即隱藏數據的存在性，將數據隱藏在一個容量更大的數據載體之中，形成隱秘載體，使非法者難以察覺其中隱藏有某些數據，或者難以從中提取被隱藏數據。

　　從認證的對象看，認證技術可以分為報文認證和身份認證。報文認證包括報文鑒別(主要用于數據完整性保護，也稱為消息鑒別，即要鑒別報文在傳輸中有沒有被刪除、添加或篡改)和數字簽名(主要用于抗抵賴性保護，能夠驗證簽名者的身份，以及簽名的日期和時間;能夠用于證實被簽報文的內容的真實性;簽名可以由第三方驗證，以解決雙方在通信中的爭議。)，身份認證(如口令、指紋等)主要用于真實性保護。

　　訪問控制是從系統資源安全保護的角度對要進行的訪問進行授權控制。它從訪問的角度將系統對象分為主體和客體兩類。主體也稱為訪問發起者，主要指用戶、用戶組、進程以及服務等;客體也稱資源，主要指文件、目錄、機器等。授權就是賦予主體一定的權限(修改、查看等)，賦予客體一定的訪問屬性(如讀、寫、添加、執行、發起鏈接等)，同時在主體與客體之間建立一套安全訪問規則，通過對客體的讀出、寫入、修改、刪除、運行等管理，確保主體對客體的訪問是經過授權的，同時要拒絕非授權的訪問。

　　【相關鏈接】訪問控制是對信息系統資源的訪問范圍以及方式進行限制的策略。簡單地說，就是防止合法用戶的非法操作。它是建立在身份認證之上的操作權限控制。身份認證解決了訪問者是否是合法者，但并非身份合法就什么都可以做，還要根據不同的訪問者，規定他們分別可以訪問哪些資源，以及對這些可以訪問的資源可以用什么方式(讀、寫、執行、刪除等)訪問。它是基于權限管理的一種非常重要的安全策略。對用戶權限的設定，稱為授權。

　　(2)信息防護技術。

　　信息防護技術有防火墻技術，信息系統安全審計和報警，數據容錯、容災和備份等。

　　防火墻是設置在可信任的內部網絡與不可信任的外界之間的一道屏障。它可以屏蔽非法請求，一定程度地防止跨權限訪問并產生安全報警，有效地監控了內部網和互聯網之間的任何活動。

　　信息系統安全審計(按確定規則的要求，對與安全相關的事件進行審計，以日志方式記錄必要信息，并作出相應處理的安全機制。相當于飛機上的“黑匣子”)和報警是信息系統安全中一項極為重要的安全服務措施。它有如下功能：

　�、儆涗浥c系統安全活動有關的全部或部分信息;

　�、趯λ�有記錄的信息進行分析、評價、審查，發現系統的安全隱患;

　　③對潛在的攻擊者進行威懾或警告;

　�、艹霈F安全事故后，追查造成安全事故的原因并落實對安全事故負責的實體或機構，為信息系統安全策略的調整和修改提供建議。

　　安全審計和報警不可分割。但是安全審計不直接阻止安全違規。安全報警一般在安全相關事件達到某一或一些預定義域值時發出。

　　數據容錯、容災和備份是信息系統安全的重要保障。為了保證系統的可靠性，經過長期的摸索，人們總結出三種方法，即避錯、糾錯和容錯。錯誤沒有辦法完全避免，糾錯作為避錯的補充，在系統出現故障時起作用，而容錯是指硬件故障或軟件錯誤時，系統仍能執行一組規定的程序或程序不會因為系統的故障而中斷或被修改，并且執行結果也不包含因故障而引起的差錯。

　　數據容災系統，對于IT而言，就是為計算機信息系統提供的一個能應付各種災難的環境。當計算機系統在遭受如火災、水災、地震、戰爭等不可抗拒的自然災難以及計算機犯罪、計算機病毒、掉電、網絡/通信失敗、硬件/軟件錯誤和人為操作錯誤等人為災難時，容災系統將保證用戶數據的安全性(數據容災)。

　　從保護數據的安全性出發，數據備份是數據容錯、數據容災以及數據恢復的重要保證。

　　(3)信息保障，即信息系統安全風險評估。

　　系統的安全強度可以通過風險大小衡量。科學地分析信息系統的風險，綜合平衡風險和代價的過程就是信息系統安全風險評估。世界各國信息化的經驗表明：

　　①不計代價、片面地追求系統安全是不切實際的;

　�、诓豢紤]風險存在的信息系統是危險的，是要付出代價，甚至是災難性代價的;

　　③所有的信息系統建設的生命周期都應當從安全風險評估開始。

　　通過信息系統安全風險評估，組織可以達到如下目的：

　　①了解組織信息系統的管理和安全現狀。

　　②確定資產威脅源的分布，如入侵者、內部人員、自然災害等;確定其實施的可能性;分析威脅發生后，資產的價值損失、敏感性和嚴重性，確定相應級別;確定最敏感、最重要資產在威脅發生后的損失。

　�、哿私庀到y的脆弱性分布。

　�、苊魑�組織的安全需求，指導建立安全管理框架，合理規劃安全建設計劃。

　　信息系統安全風險評估應選擇恰當的時機。信息系統安全風險評估是信息系統每個生命周期的起點和動因。具體地說，應當在下面的一些時機進行：

　�、僖�設計規劃或升級到新的信息系統時;

　�、诮o目前的信息系統增加新的應用或新的擴充(包括進行互聯)時;

　�、郯l生一次安全事件后;

　�、芙M織具有結構性變動時;

　�、莅凑找幎ɑ蚰承┨厥庖�求對信息系統的安全進行評估時。

　　信息系統安全風險評估的準則有：

　�、僖幏缎栽瓌t，具有三層含義：

　　1)評估方案和實施，要根據有關標準進行。

　　2)選擇的評估部門需要被國家認可，并具有一定等級的資質。

　　3)評估過程和文檔要規范。

　�、谡�體性原則，評估要從業務的整體需求出發，不能局限于某些局部。

　　③最小影響原則，具有兩層含義：

　　1)評估要有充分的計劃性，不對系統運行產生顯著影響。

　　2)所使用的評估工具要經過多次使用考驗，具有很好的可控性。

　　④保密性原則，具有三層含義：

　　1)對評估數據嚴格保密。

　　2)不得泄露參評人員資料。

　　3)不得使用評估數據對被評方造成利益損失。

　　信息系統安全風險評估應采用恰當的模式。安全風險評估模式是進行安全風險評估時應當遵循的操作過程和方式。以下是幾種常用的風險評估模式。

　�、倩�線評估。采用基線風險評估，組織根據自己的實際情況(所在行業、業務環境與性質等)，對信息系統進行安全基線檢查(拿現有的安全措施與安全基線規定的措施進行比較，找出其中的差距)，得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。

　　所謂的安全基線，是在諸多標準規范中規定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環境下的所有系統，可以滿足基本的安全需求，能使系統達到一定的安全防護水平。

　　這種評估模式需要的資源少，評估周期短，操作簡單，是最經濟有效的風險評估模式。但是，基線水平的高低確定困難。

　　②詳細評估。詳細評估要求對信息系統中的所有資源都進行詳細識別和評價，對可能引起風險的威脅和弱點水平進行評估，根據風險評估的結果來識別和選擇安全措施。

　　這種評估模式集中體現了風險管理的思想，即識別資產的風險并將風險降低到可接受的水平，以此證明管理者所采用的安全控制措施是恰當的。但是，這種評估模式需要相當多的財力、物力、時間、精力和專業能力的投入，最后獲得的結果有可能有一定的時間滯后。

　�、劢M合評估。組合評估是上述兩種模式的結合。它首先對所有信息系統進行一次較高級別的安全分析，并關注每一個實際分析對整個業務的價值以及它所面臨的風險的程度。然后對非常重要業務或面臨嚴重風險的部分進行詳細評估分析，對其他部分進行基線評估分析。這種評估模式注意了耗費與效率之間的平衡，還注意了高風險系統的安全防范。

　　3.信息安全道德規范。

　　信息系統作為信息技術的一種應用形式，它所涉及的道德問題主要包括隱私問題、正確性問題、產權問題和存取權問題。

　　(1)隱私問題。信息技術強大的信息搜集能力為組織提供全方位服務的同時，應該考慮信息收集對人的隱私權的尊重。

　　(2)正確性問題。正確性問題是指關于誰有責任保證信息的權威性、可信性和正確性，以及誰來統計和解決錯誤等問題。

　　(3)產權問題。產權問題主要涉及誰擁有信息，什么是信息交換的公平價值，誰擁有傳輸信息的渠道，如何分配這些稀有的資源等問題。

　　(4)存取權問題。存取權問題應該規定什么人對什么信息有特權取得，在什么條件下有什么安全保障。

　　一些在國際上有影響力的組織推出的關于企業的道德標準值得學習和借鑒。下面以數據處理管理聯盟(Data Processing Managemengt Association，DPMA)的標準為例說明。DPMA專業標準包括針對業主、針對社會的和針對專業的內容。

---

　　東奧2015年注會考試強化提高階段學習計劃

　　2015注會六科基礎考點與階段測試題匯總