會計信息系統(tǒng)安全風險.ppt

第十三章 會計信息系統(tǒng)安全風險管理,學習目標 熟悉會計信息系統(tǒng)面臨的各類風險 掌握分析識別系統(tǒng)面臨的各類安全問題 掌握系統(tǒng)安全需求分析方法 掌握風險評估方法和技術(shù) 熟悉并應(yīng)用系統(tǒng)安全控制目標和控制措施的選擇 了解災難恢復和業(yè)務(wù)持續(xù)計劃的重要性 掌握制定災難恢復和業(yè)務(wù)持續(xù)計劃的方法，并能有效管理相關(guān)計劃,會計信息系統(tǒng)面臨的風險類型 信息安全相關(guān)問題 信息安全管理控制規(guī)范,會計信息系統(tǒng)的安全問題,（1）自然災害和政治災難 火災、水災、地質(zhì)災害等自然災害 恐怖活動、戰(zhàn)爭等政治災害 2006年12月26日臺灣地震導致國際海底光纜中斷 （2）軟件錯誤和設(shè)備故障 軟件程序的BUG、電力中斷、通信線路中斷等 例：用友軟件操作過程中遇見的問題,會計信息系統(tǒng)面臨的風險類型,（3）無意識的破壞行為 員工安全意識缺乏導致的系統(tǒng)及信息破壞 會計無意中刪除了重要的賬戶資料 （4）有意識的破壞行為 惡意軟件、非授權(quán)訪問和修改、偷竊、消息路徑錯誤和重定向 擔任世界最大衍生交易市場領(lǐng)導角色的法國第二大銀行興業(yè)銀行，2008年1月24日爆出該行歷史上最大違規(guī)操作丑聞。現(xiàn)年30多歲的交易員熱羅姆蓋維耶爾通過了銀行“5道安全關(guān)”獲得使用巨額資金的權(quán)限，在未經(jīng)授權(quán)情況下大量購買歐洲股指期貨，最終給銀行造成49億歐元（約合71.4億美元）損失。,會計信息系統(tǒng)面臨的風險類型,業(yè)務(wù)過程風險的類型,戰(zhàn)略風險：指做了錯誤的事情。 操作風險：指做了正確的事情，但用的是錯誤的方法。 財務(wù)風險：指面臨財務(wù)資源的損失、浪費或偷竊。 法律法規(guī)風險：指是否面臨違背法律法規(guī)的風險。 信息風險：如是否存在錯誤的或不相關(guān)的信息、不可靠的系統(tǒng)和不正確的報告。,信息是一種資產(chǎn)，和其他重要的業(yè)務(wù)資產(chǎn)一樣，對企業(yè)而言具有價值，需要保護。 信息安全是指防止信息資源的非授權(quán)泄露、更改、破壞，或使用非法系統(tǒng)辨識、控制和否認，以確保信息的機密性（confidentiality）、完整性（integrity）、可用性（availability）、真實性（authenticity）及有效性（utility）。,信息安全相關(guān)問題,信息安全一般可以通過實體安全、運行安全、管理安全等方面來加以控制實現(xiàn)。 信息安全主要通過采用計算機軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的機密性、完整性、真實性、可用性等不被波壞。,信息安全相關(guān)問題,機密性是指確保只有被授予特定權(quán)限的人才能訪問到信息。 公開信息 敏感信息 完整性是指保證信息及其處理方法的正確性和完整性。 在使用、傳輸、存儲信息的過程中不發(fā)生篡改信息、丟失信息、錯誤信息等現(xiàn)象。 信息處理方法正確，錯誤的操作，有可能造成重要文件的丟失和毀損，甚至造成整個系統(tǒng)的癱瘓。 可用性是確保授權(quán)用戶在需要的時候確實可以訪問系統(tǒng)獲得所需信息。 通信線路中斷、網(wǎng)絡(luò)擁堵都會造成信息在一段時間內(nèi)不可用，影響正常的業(yè)務(wù)運營。,信息安全相關(guān)問題,信息安全包括信息系統(tǒng)的安全和信息的安全，并以信息安全為最終目標。 實現(xiàn)信息安全必須從管理和技術(shù)兩方面著手，技術(shù)層面和管理層面的良好配合，是企業(yè)實現(xiàn)信息安全的有效途徑。 信息安全不僅僅是技術(shù)問題，在很大程度上更多的表現(xiàn)為管理問題。 據(jù)安永分析，在整個系統(tǒng)安全工作中，管理所占的比重應(yīng)該達到70%，而技術(shù)應(yīng)占30%。 在信息安全實務(wù)工作中，人們的注意力通常集中在計算機及其技術(shù)的使用、安裝、配置以及預防工具濫用等方面，容易忽視使用工具的人。,信息安全相關(guān)問題,常用的信息安全技術(shù) 密碼技術(shù)密碼編碼、密碼分析、認證、鑒別、數(shù)字簽名、密鑰管理、密鑰托管等 防病毒技術(shù)專用的防病毒軟件和硬件。 防火墻技術(shù)計算機防火墻、網(wǎng)絡(luò)防火墻，結(jié)合采用過濾技術(shù)、代理技術(shù)、電路網(wǎng)關(guān)技術(shù)。 入侵檢測技術(shù)檢測計算中網(wǎng)絡(luò)中違反安全策略的技術(shù)。 虛擬專用網(wǎng)VPN技術(shù)集成了鑒別認證、訪問控制和密碼變換的安全隧道技術(shù)。 信息偽裝技術(shù)將秘密信息隱藏與另一非機密文件內(nèi)容之中，不同于傳統(tǒng)的加密技術(shù)，不僅隱藏了信息的內(nèi)容，還隱藏了信息的存在。 單一的信息安全技術(shù)往往不能解決問題，必須綜合運用多種信息安全技術(shù)，實現(xiàn)信息安全。,信息安全相關(guān)問題,信息安全管理是企業(yè)用于指導和管理各種控制信息安全風險的、一組相互協(xié)調(diào)的活動，有效的信息安全管理要盡量做到在有限的成本下，保證安全“滴水不漏”。 信息安全管理一般包括制定信息安全政策、風險評估、控制目標和方式的選擇、制定規(guī)范的操作流程、對員工進行安全意識培訓等一系列工作，通過在安全方針策略、組織安全、資產(chǎn)分類與控制、人員安全、物理與環(huán)境安全、通信與運營安全、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)持續(xù)性管理、符合法律法規(guī)要求等十個領(lǐng)域內(nèi)建立管理控制措施，為企業(yè)建立一張完備的信息安全“保護網(wǎng)”，保證企業(yè)信息資產(chǎn)的安全與業(yè)務(wù)的連續(xù)性。,信息安全相關(guān)問題,信息安全國際標準 互操作標準 對稱加密標準EDS,3DES,IDEA,AES;非對稱加密標準RSA；VPN標準IPSec;傳輸層加密標準SSL；安全電子郵件標準S-MIME;安全電子交易標準SET;通用脆弱性描述標準CVE。 技術(shù)與工程標準 ISO/IEC15408信息產(chǎn)品通用測評標準 SSE-CMM安全系統(tǒng)工程能力成熟度模型 TESEC美國信息安全桔皮書 信息安全管理與控制標準 BS7799,ISO/IEC17799信息安全管理體系標準 COBIT信息和相關(guān)技術(shù)控制目標 ITIL基礎(chǔ)架構(gòu)庫 ISO13335信息安全管理標準,信息安全相關(guān)問題,信息安全國家標準 GB17895-1999計算機信息系統(tǒng)安全保護等級劃分準則 將信息系統(tǒng)安全分為自主保護級、系統(tǒng)審計保護級、安全標記保護級、結(jié)構(gòu)化保護級、訪問驗證保護級。 主要的安全考核指標：身份認證、自主訪問控制、數(shù)據(jù)完整性、審計等。 GA/T387-2002 計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)系統(tǒng)技術(shù)要求 GA/T388-2002 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求 GA/T389-2002 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 GA/T390-2002 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 GA/T391-2002 計算機信息系統(tǒng)安全等