返回
信息系统审计(南京审计学院)chap6.ppt

信息系统审计(南京审计学院)chap6.ppt

ID:48139085

大小:440.00 KB

页数:52页

时间:2020-01-17

信息系统审计(南京审计学院)chap6.ppt_第1页
信息系统审计(南京审计学院)chap6.ppt_第2页
信息系统审计(南京审计学院)chap6.ppt_第3页
信息系统审计(南京审计学院)chap6.ppt_第4页
信息系统审计(南京审计学院)chap6.ppt_第5页
资源描述:

《信息系统审计(南京审计学院)chap6.ppt》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、第六章信息安全控制与审计在信息化环境下,由于信息更具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。因此信息安全问题正变得日益突出。在信息化环境下,其风险主要来源于:组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁。因此需要对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。为了达到信息化环境下信息安全的目标,组织必须采取一系列适当的

2、信息安全控制和审计措施,以使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。第一节信息安全及管理一、信息安全概述信息安全:是在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。(国际标准化组织(ISO)定义)信息安全一般包括:实体安全、运行安全、信息安全和管理安全实体安全:是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。运行安全:是指为

3、保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。另外,美国国家电信与信息系统安全委员会(NTISSC)认为,信息安全应包括六个方面:通信安全、计算机安全、 符合瞬时电磁脉冲辐射标准、传输安全、物理安全、人员安全信息安全的内容包括:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)和有效性(Utility)。信息安全:是指防止信息资源的非授权泄露、更改、破坏,或使信

4、息被非法系统辨识、控制和否认。即确保信息的完整性、机密性、可用性和可控性。管理安全:是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。二、信息安全管理根据木桶原理,一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息安全管理标准:BS7799(ISO/IEC17799)国际信息安全管理标准体系作用:指导组织安全实践的信息安全管理标准信息安全管理一般包括:制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训,等为了给组织建立起一

5、张完备的信息安全“保护网”,来保证组织信息资产的安全与业务的连续性,应在以下十个领域建立管理控制措施:1、安全方针策略;2、组织安全;3、资产分类与控制;4、人员安全;5、物理与环境安全;6、通信与运营安全;7、访问控制;8、系统开发与维护;9、业务持续性管理;10、符合法律法规要求。第二节网络信息安全等级保护制度在网络化环境下,必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。因此,有必要从技术和管理控制角度建立一套网络信息安全等级保护机制。一、国外等级保护的发展美国国防部早在80年代成立了所属的机构--

6、国家计算机安全中心(NCSC)1983年他们公布了可信计算机系统评估准则(TCSEC,俗称橘皮书)NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等(俗称彩虹系列)。从网络安全的角度出发,从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求。90年代西欧四国(英、法、荷、德)联合提出了信息技术安全评估标准(ITSEC)(又称欧洲白皮书),除了吸收TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概

7、念,把可信计算机的概念提高到可信信息技术的高度上来认识。根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。1991年1月美国联合其他国家宣布了制定通用安全评估准则(CC)的计划。1996年1月出版了1.0版。它的基础是欧洲的ITSEC。CC标准吸收了TCSEC、加拿大的CTCPEC以及国际标准化组织ISO:SC27WG3的安全评估标准等各先进国家对现代信息系统信息安全的经验与知识。二、我国的等级保护体系1989年公安部开始

8、设计起草法律和标准,从法律、管理和技术三个方面着手研究信息安全等级保护制度。1999年9月13日由公安部组织制订的《计算机信息系统安全保护等级划分准则》国家标准由国家质量技术监督局审查通过并正式批准发布,已于2001年1月1日执行。《准则》的配套标准分两类:一是《计算机信息系统安全保护等级划分准则应用指南》,它包括技术指南、建设指南和管理指南;

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。