會計信息系統(tǒng)安全風險.ppt

第十三章 會計信息系統(tǒng)安全風險管理,學習目標 熟悉會計信息系統(tǒng)面臨的各類風險 掌握分析識別系統(tǒng)面臨的各類安全問題 掌握系統(tǒng)安全需求分析方法 掌握風險評估方法和技術 熟悉并應用系統(tǒng)安全控制目標和控制措施的選擇 了解災難恢復和業(yè)務持續(xù)計劃的重要性 掌握制定災難恢復和業(yè)務持續(xù)計劃的方法，并能有效管理相關計劃,會計信息系統(tǒng)面臨的風險類型 信息安全相關問題 信息安全管理控制規(guī)范,會計信息系統(tǒng)的安全問題,（1）自然災害和政治災難 火災、水災、地質災害等自然災害 恐怖活動、戰(zhàn)爭等政治災害 2006年12月26日臺灣地震導致國際海底光纜中斷 （2）軟件錯誤和設備故障 軟件程序的BUG、電力中斷、通信線路中斷等 例：用友軟件操作過程中遇見的問題,會計信息系統(tǒng)面臨的風險類型,（3）無意識的破壞行為 員工安全意識缺乏導致的系統(tǒng)及信息破壞 會計無意中刪除了重要的賬戶資料 （4）有意識的破壞行為 惡意軟件、非授權訪問和修改、偷竊、消息路徑錯誤和重定向 擔任世界最大衍生交易市場領導角色的法國第二大銀行興業(yè)銀行，2008年1月24日爆出該行歷史上最大違規(guī)操作丑聞?，F(xiàn)年30多歲的交易員熱羅姆蓋維耶爾通過了銀行“5道安全關”獲得使用巨額資金的權限，在未經授權情況下大量購買歐洲股指期貨，最終給銀行造成49億歐元（約合71.4億美元）損失。,會計信息系統(tǒng)面臨的風險類型,業(yè)務過程風險的類型,戰(zhàn)略風險：指做了錯誤的事情。 操作風險：指做了正確的事情，但用的是錯誤的方法。 財務風險：指面臨財務資源的損失、浪費或偷竊。 法律法規(guī)風險：指是否面臨違背法律法規(guī)的風險。 信息風險：如是否存在錯誤的或不相關的信息、不可靠的系統(tǒng)和不正確的報告。,信息是一種資產，和其他重要的業(yè)務資產一樣，對企業(yè)而言具有價值，需要保護。 信息安全是指防止信息資源的非授權泄露、更改、破壞，或使用非法系統(tǒng)辨識、控制和否認，以確保信息的機密性（confidentiality）、完整性（integrity）、可用性（availability）、真實性（authenticity）及有效性（utility）。,信息安全相關問題,信息安全一般可以通過實體安全、運行安全、管理安全等方面來加以控制實現(xiàn)。 信息安全主要通過采用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施，來保護信息在其生命周期內的產生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的機密性、完整性、真實性、可用性等不被波壞。,信息安全相關問題,機密性是指確保只有被授予特定權限的人才能訪問到信息。 公開信息 敏感信息 完整性是指保證信息及其處理方法的正確性和完整性。 在使用、傳輸、存儲信息的過程中不發(fā)生篡改信息、丟失信息、錯誤信息等現(xiàn)象。 信息處理方法正確，錯誤的操作，有可能造成重要文件的丟失和毀損，甚至造成整個系統(tǒng)的癱瘓。 可用性是確保授權用戶在需要的時候確實可以訪問系統(tǒng)獲得所需信息。 通信線路中斷、網絡擁堵都會造成信息在一段時間內不可用，影響正常的業(yè)務運營。,信息安全相關問題,信息安全包括信息系統(tǒng)的安全和信息的安全，并以信息安全為最終目標。 實現(xiàn)信息安全必須從管理和技術兩方面著手，技術層面和管理層面的良好配合，是企業(yè)實現(xiàn)信息安全的有效途徑。 信息安全不僅僅是技術問題，在很大程度上更多的表現(xiàn)為管理問題。 據安永分析，在整個系統(tǒng)安全工作中，管理所占的比重應該達到70%，而技術應占30%。 在信息安全實務工作中，人們的注意力通常集中在計算機及其技術的使用、安裝、配置以及預防工具濫用等方面，容易忽視使用工具的人。,信息安全相關問題,常用的信息安全技術 密碼技術密碼編碼、密碼分析、認證、鑒別、數字簽名、密鑰管理、密鑰托管等 防病毒技術專用的防病毒軟件和硬件。 防火墻技術計算機防火墻、網絡防火墻，結合采用過濾技術、代理技術、電路網關技術。 入侵檢測技術檢測計算中網絡中違反安全策略的技術。 虛擬專用網VPN技術集成了鑒別認證、訪問控制和密碼變換的安全隧道技術。 信息偽裝技術將秘密信息隱藏與另一非機密文件內容之中，不同于傳統(tǒng)的加密技術，不僅隱藏了信息的內容，還隱藏了信息的存在。 單一的信息安全技術往往不能解決問題，必須綜合運用多種信息安全技術，實現(xiàn)信息安全。,信息安全相關問題,信息安全管理是企業(yè)用于指導和管理各種控制信息安全風險的、一組相互協(xié)調的活動，有效的信息安全管理要盡量做到在有限的成本下，保證安全“滴水不漏”。 信息安全管理一般包括制定信息安全政策、風險評估、控制目標和方式的選擇、制定規(guī)范的操作流程、對員工進行安全意識培訓等一系列工作，通過在安全方針策略、組織安全、資產分類與控制、人員安全、物理與環(huán)境安全、通信與運營安全、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務持續(xù)性管理、符合法律法規(guī)要求等十個領域內建立管理控制措施，為企業(yè)建立一張完備的信息安全“保護網”，保證企業(yè)信息資產的安全與業(yè)務的連續(xù)性。,信息安全相關問題,信息安全國際標準 互操作標準 對稱加密標準EDS,3DES,IDEA,AES;非對稱加密標準RSA；VPN標準IPSec;傳輸層加密標準SSL；安全電子郵件標準S-MIME;安全電子交易標準SET;通用脆弱性描述標準CVE。 技術與工程標準 ISO/IEC15408信息產品通用測評標準 SSE-CMM安全系統(tǒng)工程能力成熟度模型 TESEC美國信息安全桔皮書 信息安全管理與控制標準 BS7799,ISO/IEC17799信息安全管理體系標準 COBIT信息和相關技術控制目標 ITIL基礎架構庫 ISO13335信息安全管理標準,信息安全相關問題,信息安全國家標準 GB17895-1999計算機信息系統(tǒng)安全保護等級劃分準則 將信息系統(tǒng)安全分為自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。 主要的安全考核指標：身份認證、自主訪問控制、數據完整性、審計等。 GA/T387-2002 計算機信息系統(tǒng)安全等級保護網絡系統(tǒng)技術要求 GA/T388-2002 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求 GA/T389-2002 計算機信息系統(tǒng)安全等級保護數據庫管理系統(tǒng)技術要求 GA/T390-2002 計算機信息系統(tǒng)安全等級保護通用技術要求 GA/T391-2002 計算機信息系統(tǒng)安全等