2016CPA《风险》第八章 管理信息系统的应用与管理06.pdfVIP

高顿财经CPA培训中心 第八章 管理信息系统的应用与管理 第三节 管理信息系统的管理 二、信息系统安全管理 （一）信息系统安全管理概念（★★） 1.信息系统的不安全因素及风险。 信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的 潜在可能。 从不同的角度对于信息系统安全威胁的分类有以下几类。 （1）按照威胁的来源分类。 ①自然灾害威胁。 ②意外人为威胁。 ③有意人为威胁。 （2）按照作用对象分类。 按照所作用的对象，可以将信息系统的威胁分为以下两种。 第一种，针对信息的威胁。针对信息（资源）的威胁又可以归结为以下几类： ①信息破坏：非法取得信息的使用权，删除、修改、插入、恶意添加或重发某 些数据， 以影响正常用户对信息的正常使用。 ②信息泄密：故意或偶然地非法侦收、截获、分析某些信息系统中的信息， 造成系统数据泄密。 高顿财经CPA培训中心 电话：400-600-8011 网址：cpa.gaodun.cn 微信公众号：gaoduncpa 高顿财经CPA培训中心 ③假冒或否认：假冒某一可信任方进行通信或者对发送的数据事后予以否 认。 第二种，针对系统的威胁。针对系统的威胁包括对系统硬件的威胁、对系统 软件的威胁 和对于系统使用者的威胁。对于通信 路、计算机网络以及主机、光盘、磁盘等 的盗窃和破 坏都是对于系统硬件（实体）的威胁；病毒等恶意程序是对系统软件的威胁；流氓 软件等是对于系统使用者的威胁。 （3）按照威胁方法的分类。 按照威胁的手段，可以将信息系统的威胁分为以下六种： 第一种，信息泄露。信息泄露是指系统的敏感数据有意或无意地被未授权者 知晓。 第二种，扫描。扫描是指利用特定的软件工具向目标发送特制的数据包，对 响应进行分析，以了解目标网络或主机的特征。 第三种，入侵。入侵即非授权访问，是指没有经过授权（同意）就获得系统的 访问权限或特权，对系统进行非正常访问，或擅自扩大访问权限越权访问系统信 息。 第四种，拒绝服务。拒绝服务是指系统可用性因服务中断而遭到破坏。拒绝 服务攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。 第五种，抵赖（否认）。通信一方由于某种原因而实施的下列行为都称为抵赖 ： ①发方事后否认自己曾经发送过某些消息； ②收方事后否认自己曾经收到过某些消息； 高顿财经CPA培训中心 电话：400-600-8011 网址：cpa.gaodun.cn 微信公众号：gaoduncpa 高顿财经CPA培训中心 ③发方事后否认自己曾经发送过某些消息的内容； ④收方事后否认自己曾经收到过某些消息的内容。 第六种，滥用。滥用泛指一切对信息系统产生不良影响的活动，主要内容如 下： ①传播恶意代码。 ②复制重放。 ③发布或传播不良信息。 2.信息系统的安全管理技术。 （1）通信必威体育官网网址，包括数据必威体育官网网址、认证技术和访问控制等。 数据必威体育官网网址就是隐蔽数据，防止信息被窃取，其方法有以下两种： ①数据加密，即隐蔽数据的可读性，将可读的数据转换为不可读数据，即将 明文转换为密文，使非法者不能直接了解数据的内容。加密的逆过程称为解密。 ②数据隐藏，即隐藏数据的存在性，将数据隐藏在一个容量更大的数据载体 之中，形成隐秘载体，使非法者难以察觉其中隐藏有某些数据，或者难以从中提 取被隐藏数据。 从认证的对象看，认证技术可以分为报文认证和身份认证。报文认证包括报 文鉴别（主要用于数据完整性保护，也称为消息鉴别，即要鉴别报文在传输中有 没有被删除、添加或篡改）和数字签名（主要用于抗抵赖性保护，能够验证签名者 的身份，以及签名的日期和时间；能够用于证实被签报文的内容的真实性；签名 可以由第三方验证，以解决双方在通信中的争议。），身份认证（如口令、指纹等） 主要用于真实性保护。 访问控制是从系统资源安全保护的角度对要进