更多服务

特色服务

找学习资源

查报考信息

看备考资讯

备考工具箱

报考指南

报考查询

报名模拟

CPA交流群

考试日历

资料中心

预约提醒

证件照

免费题库

全部

2015注册会计师《公司战略与风险管理》：信息系统安全管理概念

来源：高顿网校 2015-10-14

　　1.信息系统的不安全因素及风险。

　　信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。

　　从不同的角度对于信息系统安全威胁的分类有以下几类。

　　(1)按照威胁的来源分类。

　　①自然灾害威胁。

　　②意外人为威胁。

　　③有意人为威胁。

　　(2)按照作用对象分类。

　　按照所作用的对象，可以将信息系统的威胁分为以下两种。

　　*9种，针对信息的威胁。针对信息(资源)的威胁又可以归结为以下几类：

　　①信息破坏：非法取得信息的使用权，删除、修改、插入、恶意添加或重发某些数据，以影响正常用户对信息的正常使用。

　　②信息泄密：故意或偶然地非法侦收、截获、分析某些信息系统中的信息，造成系统数据泄密。

　　③假冒或否认：假冒某一可信任方进行通信或者对发送的数据事后予以否认。

　　第二种，针对系统的威胁。针对系统的威胁包括对系统硬件的威胁、对系统软件的威胁和对于系统使用者的威胁。对于通信线路、计算机网络以及主机、光盘、磁盘等的盗窃和破坏都是对于系统硬件(实体)的威胁;病毒等恶意程序是对系统软件的威胁;流氓软件等是对于系统使用者的威胁。

　　(3)按照威胁方法的分类。

　　按照威胁的手段，可以将信息系统的威胁分为以下六种：

　　*9种，信息泄露。信息泄露是指系统的敏感数据有意或无意地被未授权者知晓。

　　第二种，扫描。扫描是指利用特定的软件工具向目标发送特制的数据包，对响应进行分析，以了解目标网络或主机的特征。

　　第三种，入侵。入侵即非授权访问，是指没有经过授权(同意)就获得系统的访问权限或特权，对系统进行非正常访问，或擅自扩大访问权限越权访问系统信息。

　　第四种，拒绝服务。拒绝服务是指系统可用性因服务中断而遭到破坏。拒绝服务攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。

　　第五种，抵赖(否认)。通信一方由于某种原因而实施的下列行为都称为抵赖：

　　①发方事后否认自己曾经发送过某些消息;

　　②收方事后否认自己曾经收到过某些消息;

　　③发方事后否认自己曾经发送过某些消息的内容;

　　④收方事后否认自己曾经收到过某些消息的内容。

　　第六种，滥用。滥用泛指一切对信息系统产生不良影响的活动，主要内容如下：

　　①传播恶意代码。

　　②复制重放。

　　③发布或传播不良信息。

　　2.信息系统的安全管理技术。

　　(1)通信保密，包括数据保密、认证技术和访问控制等。

　　数据保密就是隐蔽数据，防止信息被窃取，其方法有以下两种：

　　①数据加密，即隐蔽数据的可读性，将可读的数据转换为不可读数据，即将明文转换为密文，使非法者不能直接了解数据的内容。加密的逆过程称为解密。

　　②数据隐藏，即隐藏数据的存在性，将数据隐藏在一个容量更大的数据载体之中，形成隐秘载体，使非法者难以察觉其中隐藏有某些数据，或者难以从中提取被隐藏数据。

　　从认证的对象看，认证技术可以分为报文认证和身份认证。报文认证包括报文鉴别(主要用于数据完整性保护，也称为消息鉴别，即要鉴别报文在传输中有没有被删除、添加或篡改)和数字签名(主要用于抗抵赖性保护，能够验证签名者的身份，以及签名的日期和时间;能够用于证实被签报文的内容的真实性;签名可以由第三方验证，以解决双方在通信中的争议。)，身份认证(如口令、指纹等)主要用于真实性保护。

　　访问控制是从系统资源安全保护的角度对要进行的访问进行授权控制。它从访问的角度将系统对象分为主体和客体两类。主体也称为访问发起者，主要指用户、用户组、进程以及服务等;客体也称资源，主要指文件、目录、机器等。授权就是赋予主体一定的权限(修改、查看等)，赋予客体一定的访问属性(如读、写、添加、执行、发起链接等)，同时在主体与客体之间建立一套安全访问规则，通过对客体的读出、写入、修改、删除、运行等管理，确保主体对客体的访问是经过授权的，同时要拒绝非授权的访问。

　　(2)信息防护技术。

　　信息防护技术有防火墙技术，信息系统安全审计和报警，数据容错、容灾和备份等。

　　防火墙是设置在可信任的内部网络与不可信任的外界之间的一道屏障。它可以屏蔽非法请求，一定程度地防止跨权限访问并产生安全报警，有效地监控了内部网和互联网之间的任何活动。

　　信息系统安全审计(按确定规则的要求，对与安全相关的事件进行审计，以日志方式记录必要信息，并作出相应处理的安全机制。相当于飞机上的“黑匣子”)和报警是信息系统安全中一项极为重要的安全服务措施。它有如下功能：

　　①记录与系统安全活动有关的全部或部分信息;

　　②对所有记录的信息进行分析、评价、审查，发现系统的安全隐患;

　　③对潜在的攻击者进行威慑或警告;

　　④出现安全事故后，追查造成安全事故的原因并落实对安全事故负责的实体或机构，为信息系统安全策略的调整和修改提供建议。

　　安全审计和报警不可分割。但是安全审计不直接阻止安全违规。安全报警一般在安全相关事件达到某一或一些预定义域值时发出。

　　数据容错、容灾和备份是信息系统安全的重要保障。为了保证系统的可靠性，经过长期的摸索，人们总结出三种方法，即避错、纠错和容错。错误没有办法完全避免，纠错作为避错的补充，在系统出现故障时起作用，而容错是指硬件故障或软件错误时，系统仍能执行一组规定的程序或程序不会因为系统的故障而中断或被修改，并且执行结果也不包含因故障而引起的差错。

　　数据容灾系统，对于IT而言，就是为计算机信息系统提供的一个能应付各种灾难的环境。当计算机系统在遭受如火灾、水灾、地震、战争等不可抗拒的自然灾难以及计算机犯罪、计算机病毒、掉电、网络/通信失败、硬件/软件错误和人为操作错误等人为灾难时，容灾系统将保证用户数据的安全性(数据容灾)。

　　从保护数据的安全性出发，数据备份是数据容错、数据容灾以及数据恢复的重要保证。

　　(3)信息保障，即信息系统安全风险评估。

　　系统的安全强度可以通过风险大小衡量。科学地分析信息系统的风险，综合平衡风险和代价的过程就是信息系统安全风险评估。世界各国信息化的经验表明：

　　①不计代价、片面地追求系统安全是不切实际的;

　　②不考虑风险存在的信息系统是危险的，是要付出代价，甚至是灾难性代价的;

　　③所有的信息系统建设的生命周期都应当从安全风险评估开始。

　　通过信息系统安全风险评估，组织可以达到如下目的：

　　①了解组织信息系统的管理和安全现状。

　　②确定资产威胁源的分布，如入侵者、内部人员、自然灾害等;确定其实施的可能性;分析威胁发生后，资产的价值损失、敏感性和严重性，确定相应级别;确定最敏感、最重要资产在威胁发生后的损失。

　　③了解系统的脆弱性分布。

　　④明晰组织的安全需求，指导建立安全管理框架，合理规划安全建设计划。

　　信息系统安全风险评估应选择恰当的时机。信息系统安全风险评估是信息系统每个生命周期的起点和动因。具体地说，应当在下面的一些时机进行：

　　①要设计规划或升级到新的信息系统时;

　　②给目前的信息系统增加新的应用或新的扩充(包括进行互联)时;

　　③发生一次安全事件后;

　　④组织具有结构性变动时;

　　⑤按照规定或某些特殊要求对信息系统的安全进行评估时。

　　信息系统安全风险评估的准则有：

　　①规范性原则，具有三层含义：

　　1)评估方案和实施，要根据有关标准进行。

　　2)选择的评估部门需要被国家认可，并具有一定等级的资质。

　　3)评估过程和文档要规范。

　　②整体性原则，评估要从业务的整体需求出发，不能局限于某些局部。

　　③最小影响原则，具有两层含义：

　　1)评估要有充分的计划性，不对系统运行产生显著影响。

　　2)所使用的评估工具要经过多次使用考验，具有很好的可控性。

　　④保密性原则，具有三层含义：

　　1)对评估数据严格保密。

　　2)不得泄露参评人员资料。

　　3)不得使用评估数据对被评方造成利益损失。

　　信息系统安全风险评估应采用恰当的模式。安全风险评估模式是进行安全风险评估时应当遵循的操作过程和方式。以下是几种常用的风险评估模式。

　　①基线评估。采用基线风险评估，组织根据自己的实际情况(所在行业、业务环境与性质等)，对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距)，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。

　　所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。

　　这种评估模式需要的资源少，评估周期短，操作简单，是最经济有效的风险评估模式。但是，基线水平的高低确定困难。

　　②详细评估。详细评估要求对信息系统中的所有资源都进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。

　　这种评估模式集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。但是，这种评估模式需要相当多的财力、物力、时间、精力和专业能力的投入，最后获得的结果有可能有一定的时间滞后。

　　③组合评估。组合评估是上述两种模式的结合。它首先对所有信息系统进行一次较高级别的安全分析，并关注每一个实际分析对整个业务的价值以及它所面临的风险的程度。然后对非常重要业务或面临严重风险的部分进行详细评估分析，对其他部分进行基线评估分析。这种评估模式注意了耗费与效率之间的平衡，还注意了高风险系统的安全防范。

　　3.信息安全道德规范。

　　信息系统作为信息技术的一种应用形式，它所涉及的道德问题主要包括隐私问题、正确性问题、产权问题和存取权问题。

　　(1)隐私问题。信息技术强大的信息搜集能力为组织提供全方位服务的同时，应该考虑信息收集对人的隐私权的尊重。

　　(2)正确性问题。正确性问题是指关于谁有责任保证信息的权威性、可信性和正确性，以及谁来统计和解决错误等问题。

　　(3)产权问题。产权问题主要涉及谁拥有信息，什么是信息交换的公平价值，谁拥有传输信息的渠道，如何分配这些稀有的资源等问题。

　　(4)存取权问题。存取权问题应该规定什么人对什么信息有特权取得，在什么条件下有什么安全保障。

　　一些在国际上有影响力的组织推出的关于企业的道德标准值得学习和借鉴。下面以数据处理管理联盟(DataProcessingManagemengtAssociation，DPMA)的标准为例说明。DPMA专业标准包括针对业主、针对社会的和针对专业的内容。

专业的cpa考生学习平台与职业发展平台，干货满满，抢鲜分享。欢迎关注微信号gaoduncpa

免费题库【手机题库】 | 在线直播

CPA名师班		立即免费试听

注册会计师考试精彩推荐：

2015年注册会计师（CPA）招生专题

2015年全国财会考试月历考试时间汇总

2015年注册会计师备考指南专题

2015年注册会计师考试合格证书办理及证书领取

2015年注册会计师考试新手指南

版权声明：本条内容自发布之日起，有效期为一个月。凡本网站注明“来源高顿教育”或“来源高顿网校”或“来源高顿”的所有作品，均为本网站合法拥有版权的作品，未经本网站授权，任何媒体、网站、个人不得转载、链接、转帖或以其他方式使用。经本网站合法授权的，应在授权范围内使用，且使用时必须注明“来源高顿教育”或“来源高顿网校”或“来源高顿”，并不得对作品中出现的“高顿”字样进行删减、替换等。违反上述声明者，本网站将依法追究其法律责任。本网站的部分资料转载自互联网，均尽力标明作者和出处。本网站转载的目的在于传递更多信息，并不意味着赞同其观点或证实其描述，本网站不对其真实性负责。如您认为本网站刊载作品涉及版权等问题，请与本网站联系(邮箱fawu@gaodun.com，电话：021-31587497)，本网站核实确认后会尽快予以处理。

展开全文咨询在线

点一下领资料

【回忆版】注会6科考试真题

真题高频考点，刷题全靠这份资料

下载合集

CPA全科学习思维导图

梳理核心考点，一图看懂全部章节

下载合集

2023年CPA备考学习打卡表

全科备考学习打卡表,备考按照计划走

CPA备考热门问题解答

注会考试怎么搭配科目？: 建议优先选择相关联的科目进行搭配报考，这样可以提高备考效率，减轻备考压力，①《会计》与《审计》科目关联度较高，建议搭配报考；②《税法》与《经济法》同属法律范畴，建议搭配报考；③《财务成本管理》与《公司战略与风险管理》的联系极为紧密，建议搭配报考。

cpa一共几门几年考完？: cpa总共考7门，其中专业阶段6门需要5年内考完，综合阶段1门没有时间限制，不过要等到专业阶段6门全部通过之后才能报考。

cpa一年考几次？: cpa考试一年考1次，考生在一个考试年度中，只有一次报名和参加考试的机会，近几年的cpa考试时间都是安排在8月份，报名则是在每年4月开始，考生一旦错过每年规定的cpa报名、缴费、准考证打印，都只能等到下一年报考。

cpa的含金量如何？: 在财会行业中，cpa的含金量可以说非常高！cpa证书执业人员，具有在审计报告签字权，能够在审计报告上签字，签字具有法律效力，能够获得其它的机构认可，持有cpa证书可以在会计师事务所从事审计、会计服务等方面的工作，也可以在商业银行、上市公司、政府部门等单位从事财会相关的工作。很受业内人士认可和重视，年薪基本都是10万起步，而且升职、加薪的机会也更多。

在线提问

严选名师全流程服务

郁刚

高顿CPA研究院主任