企业信息管理的安全与控制Word文档下载推荐.docx
《企业信息管理的安全与控制Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《企业信息管理的安全与控制Word文档下载推荐.docx(19页珍藏版)》请在冰豆网上搜索。
一般而言,企业在实施信息化以前,企业的数据资料往往分散在各个分离的业务部门,以纸张形式记录保存。
企业通过实施信息化建设,则利用信息系统把企业的数据资料集中在计算机系统中进行管理和维护,企业中的各个部门和很多的人员甚至企业以外的组织或者个人可以访问使用企业信息系统中的数据。
因此,企业实施信息化建设以后,其数据资料如果得不到妥善的管理,则更容易被破坏和滥用。
当企业的信息系统不能按要求去运转或工作时,严重依赖计算机的企业就会在业务上受到很大的影响,并且遭受损失。
计算机系统出现问题的时间越长,对企业的影响就越严重。
所以说,企业的计算机系统出现问题时,能够及时得到修复,对于企业而言是非常重要的。
一般而言,企业的信息管理会面临以下几个不安全因素:
计算机犯罪、非法访问和使用、修改和破坏数据、灾难、系统质量问题、数据质量问题等。
企业必须从技术和管理两个方面着手来加强企业信息安全的管理,企业的信息安全从广义上而言应该包括信息资源的安全、系统硬件的安全、系统软件的安全、数据库的安全、网络安全以及信息系统的安全等。
一.企业信息资源安全的管理和控制
当企业的大量数据以电子形式被存储时,它们远比手工存储形式更容易受到更多的威胁。
企业信息管理的不安全来自于多个方面,企业信息系统的硬件设施或者软件系统会出现故障,可能导致企业数据丢失;
企业信息系统的硬件设施或者软件系统有可能遭到企业员工等蓄意的破坏,导致系统瘫痪;
黑客、计算机病毒等都有可能使企业信息的信息管理面临重大的挑战。
比如说,许多人可以直接进入企业的在线信息系统,系统的合法用户能非常容易地获得部分没有被授权浏览的计算机数据,而且XX的个人也可能进入企业的系统。
通信技术和计算机软件在得到快速发展的同时也扩大了企业信息系统的脆弱性,通过通信网络,企业的网络和企业外部的网络相互连接,XX的进入、滥用等可能在网络的任何节点发生。
1计算机犯罪及其控制
随着计算机技术在各个领域的广泛应用,计算机犯罪已经成为一个非常突出的问题。
在20世纪90年代以来,计算机犯罪已经严重地影响到了企业以及其他组织的信息资源的安全,并且有些已经造成了重大的损失,可以说,计算机犯罪已经成为信息时代企业所面临的一个重要的挑战。
(1)计算机犯罪的特点
计算机犯罪是随着计算机的产生和发展而产生的,它和其他的犯罪相比具有独特的特征,最主要的特征是:
犯罪手段新、不容易留下痕迹、系统内部人员犯罪较多、时空限制性小、多利用管理制度和技术漏洞。
1)犯罪手段比较新
企业信息化的成果是企业信息系统,企业信息系统是由在地理上比较分散的计算机以及通信设施等构成,这样就为犯罪分子提供了多个途径和目标。
而计算机既是犯罪的手段和工具,又是罪犯攻击的目标对象。
随着计算机和电信技术的快速发展,近些年来,许多犯罪分子往往采用先进的电子跟踪技术和电子扫描技术等来进行犯罪活动。
计算机犯罪的手段具有多种形式,但是大都采用技术手段而非暴力手段,下面给出一些目前在现实当中计算机犯罪分子常常采用的形式。
●非法访问和使用。
信息已经成为企业的重要资源,而且某些关键的商业机密对于企业而言可能是生死攸关的。
目前,信息的非法访问和使用对于企业而言是一个极大的挑战。
如果企业系统的安全措施采取不当,企业的信息很有可能被非法访问和使用。
互联网的使用可以说是以爆炸方式增长,互联网的快速发展为企业提供了无限的商机,同时,互联网也给企业的信息管理带来了挑战,这个挑战便来自于不受欢迎的入侵者,即黑客。
黑客(hacker)是出于获得利润、损害他人或者获得个人的乐趣等为目的,XX而非法访问计算机系统的人。
黑客往往使用新的技术,运用他们的技能,故意强行闯入他人的计算机系统,非法访问和使用他人的计算机系统,甚至进行破坏,使计算机系统瘫痪。
黑客可能是企业内部人员,也可能是企业外部人员,甚至是跨国界的。
正如本章开篇案例中所描述的,计算机黑客对企业信息系统以及企业信息管理的安全构成了很大的威胁。
●修改和破坏系统数据。
犯罪分子通过合法身份和便利条件直接利用企业的计算机或者通过远程计算机登陆到企业的计算机系统,进行非法的数据修改和破坏。
●特洛伊木马术。
在计算机系统内部非法装入秘密的指令或者程序,系统运行一段时间或者一定次数后,这些秘密指令或者程序开始发作,导致系统出现故障而不能够正常运转。
●计算机病毒。
计算机病毒实际上是附着在其他程序上的程序,当它们被带进计算机系统时就会中断程序处理,或者引起程序处理错误,甚至破坏系统程序、数据以及硬件。
还有一种计算机病毒叫做蠕虫,它是一段独立的程序,它在破坏其他系统和程序或者中断网络和计算机系统的运行时,会自行复制。
逻辑炸弹也是计算机病毒的一种类型,该病毒实际上是犯罪分子在计算机系统中输入的一段指令,它会在指定的时间或者条件下发作,破坏系统的数据文件或者系统的功能。
比如说,CIH病毒就属于这一类型。
●香肠术。
该技术主要被犯罪分子用来在金融信息系统中一点点地窃取客户的存款,比如说,犯罪分子窃取客户帐户上的利息尾数,积少成多。
●陷阱术。
犯罪分子利用便于调试、修改或者扩充功能等所设置的计算机系统的硬件和软件的某些断点或者接口来插入犯罪指令或者装置。
●废品利用。
从废弃的存储设备诸如磁盘、磁带、光盘等以及文件资料中提取有用的信息或者提取系统的密码等。
工作应用1
2)不容易留下痕迹
计算机犯罪和传统犯罪的一个很大的区别在于它几乎不留痕迹,很难被发现,也不容易被侦破。
这也是计算机犯罪越来越多的原因之一。
3)系统内部人员犯罪较多
和传统的犯罪形式不太一样,计算机犯罪人员往往是系统内部人员,而这些人员还往往是精通计算机技术、熟知系统的功能并且具有合法身份或者便利条件的高智商员工。
当然,目前随着互联网的快速发展,外部人员通过远程方式从事计算机犯罪活动的现象越来越多。
据有关资料表明,在过去,接近80%的违反信息安全的记录都来自于企业或者组织内部。
但是现在看来,来自于外部黑客攻击的数量基本赶上了内部违规的数量。
4)时空限制性小
由于计算机网络已经成为企业信息管理的基础设施,而且许多企业的网络和企业外部的网络以及互联网连接,所以计算机犯罪在一定程度上而言根本不受时间和空间的限制,犯罪分子几乎可以在任何时候、在任何一个和企业网络相通的一台计算机终端上从事计算机犯罪活动,从远程对目标进行攻击或者非法窃取数据。
5)多利用管理制度和技术漏洞
计算机犯罪的客体往往是计算机系统中以电子形式存在的数据和信息,而对信息系统中的数据的存取控制机制和相应的管理制度是防止系统中的数据和信息被窃取和破坏的重要屏障。
不管是存取技术还是管理制度,只要两者之一存在漏洞,就会给不法分子提供机会,会给企业信息的安全带来威胁。
比如说,如果一个企业没有对它的信息系统管理系统中的营销管理子系统中的产品价格等重要数据的存取在技术上和管理上采取适当的控制,那么,这些数据就很容易被泄漏和窃取,从而对企业的经营造成不利的影响。
(2)计算机犯罪的防范和控制
和防范传统犯罪一样,法律手段是非常重要的。
虽然计算机犯罪是比较新的一种犯罪形式,但是我们国家已经制定了相关的法律和政策。
除了依靠法律的威慑力之外,企业更要从管理和技术上入手,在各个环节上加强企业的信息资源的安全管理。
为了最大程度地减少计算机犯罪的破坏,企业必须把专门的政策和步骤融合到信息资源的管理当中,做好管理和控制工作。
控制是保证企业信息管理安全的最为根本的手段。
所谓控制是指根据管理标准,为保证企业的信息系统的安全运行而进行的人工方法和自动化方法的结合。
在过去,企业对信息资源的安全控制往往被作为事后控制来对待,只是在临近执行信息系统的后期和安装系统之前被提及。
然而,目前企业对信息系统十分依赖,企业信息资源的任何不安全都会对企业的经营造成严重的影响,所以说企业必须尽早地识别出企业信息资源管理的薄弱环节并且加以控制。
信息系统的安全控制必须是企业信息化建设的一个部分。
防范计算机犯罪,要加强以下几个方面的管理和控制。
1)系统硬件资源使用控制硬件控制的主要作用是保证计算机硬件在物理上是安全,所谓计算机系统硬件的物理安全是指企业只允许被授权的个人接触计算机硬件设施,以防治犯罪分子的破坏。
工作应用2
2)系统信息资源使用控制。
企业信息资源是犯罪分子的目标,所以管理和控制企业系统的信息资源是至关重要的。
要做好系统新系资源的控制,必须在做好以下几点:
●同一性检查所谓同一性检查是指用户在使用系统的资源时,要事先检查该用户是否具备访问系统资源的权限。
它要求不仅仅要检查用户的代码,还要检查用户的口令,如果这两者都和系统中设置的代码完全匹配时,才能够使用系统的资源。
这样可以阻止未授权的人员对系统资源的访问。
而且,用户的代码和口令不应该长期不变,应该经常更换,这样可以防止用户代码和口令破译等。
●用户使用权限分配和检查企业信息系统具有很多的用户,实际上这些用户对于企业资源的访问和使用权限是不同的。
所以说,企业系统资源的管理人员必须授予相应的用户一个适当的权限。
有些用户可能只有对企业系统的某个子系统中的某些数据资源具有读的资格,而有些高级别用户可能具有改写系统数据的权限。
所以说,在分配系统使用的权限时,一定要根据具体的业务情况,在设置权限控制清单时,不能够由半点的模糊,而且要给用户规定实际需要的最小权限。
●必须建立系统运行日志建立系统运行日志的目的是可以确认、跟踪和系统的数据资源的处理和使用等相关的事务,它可以提供监查系统的具体使用情况等信息,可以帮助发现权限问题、系统的故障等。
工作应用3
3)系统的操作和处理的控制
系统的操作和处理控制包括数据的输入控制、通信控制、数据处理控制、数据存储控制以及对系统的访问控制。
●输入控制输入控制是指在数据进入系统时检查数据的正确性和完整性,以保证数据在输入前和输入过程中的正确性,防止伪造和非法输入。
在输入控制中,对于输入授权、数据转换、数据编辑和错误处理等都应该具有明确的控制手段。
当外部源文件流入计算机系统时,该输入必须要经过适当地授权、记录和监控。
比如说,企业应该设置正规的程序,只向销售部门的人员授权,让他们使用订单录入系统准备销售事务。
在向系统输入的过程中,当从一种形式转换成另一种形式时,不能够有任何的错误,只有这样,向计算机的输入才能被正确地转换成计算机处理的事务。
比如说,当企业财务部门的工作人员将原始凭证上的数据录入到计算机系统的机长凭证时,不能够出现任何的微小差错,否则的话,就会导致企业的财务数据不准确。
使用源数据自动控制形式的输入方式比如条码扫描等就能够排除或减少向系统输入的错误。
编辑检查包括多种方法和手段,并且通过程序实现,其目的是在错误的数据被处理之前,能够通过执行特定的程序对输的入数据进行编辑,检查错误,对于不符合编辑标准的事务,计算机则拒绝对其处理。
编辑程序应该产生一份错误清单,以备以后改正。
比如说,当财务部门的工作人员在录入记账凭证时,计算机程序运用“借贷必相等”这一原则检查录入的数据是否正确,如果借贷金额不等,计算机系统就会拒绝继续处理该事务。
提高数据的质量对于企业系统来说非常重要,而编辑和校验是输入控制的重要手段。
表12-1列出了一些重要的编辑技术。
表12-4输入控制的编辑技术
编辑技术描述举例
合理性校验被接受的数据必须处于如工资系统规定一个人的工资的上限为10,000
事先设定的某个限制范围元,而向系统录入时,录入了100,000元,该系
之内,否则将被拒绝。
统就会拒绝该错误数据,不执行该事务。
规范性检查系统检查数据字段的内容(人力资源系统规定身份证号不能包含任何字母,
字母/数字)、长度和标志只能是数字形式。
如果录入身份证号码时,录入
等特征。
了字符,则系统拒绝接受。
存在性检查计算机把输入的数据同计算利用库存系统录入某个产品入库情况时,系统会
机系统中已经制定的表格或检查录入的产品代码是否已经存在,若不存在,
着主文件中的数据进行对照,则说明录入有误,系统将会拒绝接受。
以确保使用有效代码。
依赖性检查计算机检查同一个事务中的财务系统检查记账凭证的借贷双方的金额是否
数据之间是否保持着一种逻一致,如果不一致,则拒绝接受。
辑关系。
若没有,则拒绝该
事务处理。
●通信控制通信控制是指通过采用数据加密、用户鉴别、终端鉴别以及口令等来保护数据在传输过程中不被修改和破坏。
对于拨号系统应该防止直接访问和依次访问成功。
●数据处理控制处理控制的作用是保证在系统处理和更新数据期间数据是完整的和正确的。
数据处理过程是通过执行应用程序来完成规定的计算任务,控制好数据处理过程靠人工控制是很困难的,比如说,很多计算机病毒都是随着应用程序的运行而对系统中的数据或者程序起破坏作用,这就需要企业制定专门的安全机制和使用专门的安全系统来进行控制,以保证数据在处理过程中不被非法改变和破坏。
●数据存储控制数据存储控制的目的是确保不论是在磁盘上还是在磁带上存储的对于企业而言具有价值的数据文件不受到XX的访问、修改和破坏。
不论数据文件是在使用之中,还是正在被准备存储,或者已经存储,这样的控制都是必须的。
企业需要通过数据加密技术、完善的行政管理制度以及技术规章制度等来保障存储在系统中的数据被遭受破坏或者窃取。
企业一定要加强对存储介质的管理,比如说,员工不能够随身携带软盘或者移动磁盘等介质。
●访问控制对所有的进入企业系统的用户的权限都要进行存取访问的控制,而且要进行实时的监控。
●输出控制输出控制的作用是确保计算机处理的结果是准确的、完整的,并且被合理地分发。
常用的输出控制包括审核计算机处理日志,以判定所有正确的计算机执行的工作都得到了适当地处理;
制定说明被授权负责系统输出报告以及其他重要文档的部门和人员的正规程序和文件等。
工作应用4
4)行政管理控制
行政管理控制是企业制定的正式标准、规则程序和控制纪律,它被用来确保企业正确地执行和实施其他控制。
通过制定信息资源安全管理的行政制度以及计划,企业可以有效地执行其他控制,杜绝信息系统的不安全因素的发生。
企业不仅要建立、实施相应的制度和计划,而且要对制度和计划的具体实施进行监控和评估,以进行及时调整。
在行政管理控制中,比较重要的几个方面是
(1)职责分离,
(2)多人负责,(3)书面政策和程序控制,(4)监督控制,和(5)安全管理审计。
●职责分离控制所谓职责分离是指企业在工作职能的安排方面应该进行很好的设计,目的是最最小化错误风险以及企业资产的欺诈操纵风险。
比如说,在设置人员职能时,负责系统运行的这个人就不能够同时负责利用该系统进行资产改变的业务。
我们可以让企业的信息系统部门专门负责系统的数据和程序文件,而处于终端的财务部门则负责支付和支票等具体交易的处理。
以前我们常常听说金融系统有些职员利用计算机从事违法犯罪活动,这从一定程度上也暴露出企业在管理制度上明显存在职能隔离执行不好的问题。
处于安全考虑,应该对以下的信息处理工作职能分开
(1)计算机编程人员和系统的操作人员;
(2)机密信息和资料的接受和传送人员;
(3)系统程序编制人员和应用程序编制人员;
(4)安全管理人员和系统管理人员;
(5)用户权限和口令的管理人员和其他应用工作人员。
●多人负责多人负责控制是指对于每一项和信息资源安全相关的活动都必须要求至少两个人或者多个人在场。
而且要求对工作情况进行记录并签署,以使安全工作得到保障。
比如说,企业可以使用专门的保管磁带或者磁盘等存储介质的设施,该设施的密码钥匙分别由两个保管人员保管,要打开这种设施,必须两个保管人员都在场的情况下才能完成。
●书面政策和程序控制企业之所以要制定书面的政策和程序,是因为可以通过这些政策和程序建立控制信息资源访问的正式标准。
程序必须以正式方式书写,并且必须要清晰地说明义务和责任。
●监督控制参与控制过程的人员监督确保对信息资源安全管理的控制能够按着所预期的目的执行。
如果没有足够的监督,即使控制方法设计得再好,也很可能得不到有效的执行。
●安全管理审计企业的管理人员如何判定企业信息资源管理和控制的有效性呢?
要解决这个问题,企业必须进行全面的和系统的审计。
通过对企业信息系统的审计,确定所有个别信息系统的管理和控制,并评价管理和控制的效用。
为实现这一点,审计人员必须对企业系统的操作、物理设施、远程通信、控制系统、数据安全目标、组织结构、人员、人工程序和每个应用进行透彻的、全面的了解。
审计是记录用户使用系统进行所有活动的过程,它是用来提高系统安全性的重要措施。
审计技术通过利用信息系统的自身功能,自动记录系统中的机器运行的时间、敏感的操作以及违纪操作等。
审计的作用是为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的实施处理提供详细可靠的依据或者支持。
2计算机病毒及其防范
企业的信息除了要面对黑客等非法的访问和使用的挑战以外,还要面对计算机病毒修改和破坏系统数据的威胁。
传播计算机病毒是黑客入侵的一种手段,也是计算机犯罪的一种形式,某些计算机病毒在计算即网络上的传播速度很快,阻碍计算机存储或者破坏程序和数据,甚至摧毁计算机系统软件和硬件。
计算机病毒实际上是附着在其他程序上的程序,当它们被带进计算机系统时就会中断程序处理,或者引起程序处理错误,甚至破坏系统程序、数据以及硬件。
我们在这里把计算机病毒和蠕虫统称为计算机病毒。
有些病毒破坏个人计算机,而其它的病毒则会破坏网络系统。
个人计算机往往通过使用携带病毒的软盘、软件或者通过互联网接收携带病毒的电子邮件、下载携带病毒的软件等而被感染。
破坏计算机网络系统的病毒的危害性则更大,它会在很短的时间内感染成百上千台网络计算机以及其他网络设备。
美国的罗伯特·
默里斯曾经将计算机病毒插进阿帕网(ARPANET)中,导致网上的6千多台计算机被感染。
截至到1991年,全球病毒数量不到500种;
到1998年,病毒数量不足1万种;
但是到了2002年,病毒数量已经增加到6万种。
在人类跨入新世纪以来,计算机病毒以每年将近2万种的数量激增。
计算机病毒对于企业的信息安全而言一直是一个严重的威胁,因为病毒会破坏重要的数据,如果没有充分的备份,有可能导致数据和程序无法恢复。
(1)计算机病毒的基本特征
1)破坏性绝大多数的计算机病毒都具有破坏性,它不仅仅是占用系统的资源,逐渐导致系统无法运行,而且还会删除文件和数据,毁坏硬盘,甚至使整个计算机网络系统瘫痪,会给企业信息资源以及信息系统的安全造成很大的威胁。
2)可传染性计算机病毒非常可怕的特征是可传染性。
计算机病毒的再生机制能够自动地把它的复制品或者变种传染到其他的程序体上。
计算机病毒一旦被加载到当前运行的程序中,它就开始搜索能感染的其他程序,从而大范围扩散,使得整个计算机系统被感染。
在网络环境中,计算机病毒的传播速度更快,对系统的破坏性更大。
3)潜伏性计算机病毒往往是附着在其他的介质或者程序上,它可以在合法的文件当中隐藏很久而不被人们发现。
而且,计算机病毒在潜伏期更容易大范围传染,比如说,通过磁盘、邮件等可以将计算机病毒从一个介质或者设备传染到另一个介质或者设备。
在条件满足时,该病毒就会发作,对计算机系统进行破坏。
4)可触发性计算机病毒实际上是程序指令,从实质上而言,计算机病毒是一种逻辑炸弹,它需要一定的条件触发,一旦条件满足之后,计算机病毒程序就会被激活,并且按照设计者的要求对系统发起进攻。
计算机病毒的触发条件包括多种形式,比如说特定的时间和日期、特定的文件的出现和使用以及文件使用的次数等等。
(2)计算机病毒的类型
最常见的计算机病毒是应用型病毒和系统型病毒。
应用型病毒感染可执行文件和命令文件(带有.exe和.com扩展名的程序),诸如字处理程序。
当执行这些程序时,病毒就会感染计算机系统。
系统型病毒一般感染操作系统或者其他的系统文件,这类病毒往往是在启动计算机时感染系统。
还有一种被称作“逻辑炸弹”的病毒,它是一种会在某个特定的日期或者时间被激活的应用型或者系统型病毒。
CIH病毒就是这种病毒的一个典型的例子。
在它发作之前,很多企业的IT部门往往会集中精力对计算机系统的时间进行修改,不让该病毒发作,以躲避此劫难。
文件型病毒现在也是越来越猖獗,它是一种附着在文档文件上而不是在系统文件或者应用文件上的病毒。
文档可以是我们使用Word等字处理软件创建的一封信函或者是用其它软件创建的图表文件或者数据文件等,一些文件型病毒隐藏在宏代码中或者文档的其他地方,不容易被查找。
可以从国家计算机病毒应急处理中心网站(http:
//www.antivirus-
(3)计算机病毒的防范
防范计算机病毒的侵害对于企业来说是非常重要的,企业应该要从两方面着手,一方面通过技术手段来防范计算机病毒,另一方面则是通过管理控制手段进行防范。
1)技术防范技术防范包括硬件防范和软件防范两种形式。
硬件防范的主要手段是利用防病毒卡防止病毒的入侵;
软件防范的主要手段是采用反病毒软件来预防病毒的入侵和消灭计算机病毒。
企业能够使用反病毒软件减少被传染计算机病毒的机会。
反病毒软件是专用软件,它被专门用于检查出现计算机病毒的计算机系统和硬盘。
反病毒软件通常能够把病毒从被感染区排除掉。
然而,大多数反病毒软件只能对大家熟知的病毒有效。
为了保护他们的系统,管理者必须不断更新他们的反病毒软件。
流行的反病
升级会员 