高顿财经CPA培训中心
第八章 管理信息系统的应用与管理
第三节 管理信息系统的管理
二、信息系统安全管理
(二)信息系统安全管理策略(★★) 1.基于网络的安全策略。
管理者为防止对网络的非法访问或非授权用户使用的情况发生,应采取以下策略。 (1)监视日志。
①读取日志,根据日志的内容至少可确定访问者的情况; ②确保日志本身的安全; ③对日志进行定期检查;
④应将日志保存到下次检查时。 (2)对不正当访问的检测功能。
当出现不正当访问时应设置能够将其查出并通知风险管理者的检测功能。 ①设置对网络及主机等工作状态的监控功能;
②若利用终端进行访问,则对该终端设置指定功能;
③设置发现异常情况时能够使网络、主机等停止工作的功能。 (3)口令。
对依据口令进行认证的网络应采取以下策略: ①用户必须设定口令,并努力做到保密; ②若用户设定口令时,应指导他们尽量避免设定易于猜测的词语,并在系统上设置拒绝这种口令的机制;
③指导用户每隔适当时间就更改口令,并在系统中设置促使更改的功能; ④限制口令的输入次数,采取措施使他人难以推测口令; ⑤用户一旦忘记口令,就提供口令指示,确认后口令恢复; ⑥对口令文本采取加密方法,努力做到保密; ⑦在网络访问登录时,进行身份识别和认证;
⑧对于认证方法,应按照信息系统的安全需求进行选择; ⑨设定可以确认前次登录日期与时间的功能。 (4)用户身份识别(用户ID)管理
①对于因退职、调动、长期出差或留学而不再需要或长期不使用的用户ID予以注销; ②对长期未进行登记的用户以书面形式予以通知。 (5)加密。
①进行通信时根据需要对数据实行加密; ②要切实做好密钥的保管工作,特别是对用户密钥进行集中保管时要采取妥善的保管措施。
(6)数据交换。
①在进行数据交换之前,对欲进行通信的对象进行必要的认证; ②以数字签名等形式确认数据的完整性;
③设定能够证明数据发出和接收以及可以防止欺骗的功能; ④在前三步利用加密操作的情况下,对用户的密钥进行集中管理时,要寻求妥善的管理方法。
高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
(7)灾害策略。
为防止因灾害、事故造成线路中断,有必要做成热备份线路。 2.基于主机的安全策略。
管理者为防止发生对主机非法访问或未授权用户使用等情况,应采取以下策略。 (1)监视日志
①读取日志,根据日志的内容至少可确定访问者的情况; ②确保日志本身的安全; ③对日志进行定期检查;
④应将日志保存到下次检查时; ⑤具备检测不正当访问的功能;
⑥设置出现不正当访问时,能够将其查出并通知风险管理者的功能。 (2)口令。
对依据口令进行认证的主机等应采取以下策略: ①用户必须设定口令,并努力做到保密; ②若用户设定口令时,应指导他们尽量避免设定易于猜测的词语,并在系统上设置拒绝这种口令的机制;
③指导用户每隔适当时间就更改口令,并在系统中设置促使更改的功能; ④限制口令的输入次数,采取措施使他人难以推测口令; ⑤用户一旦忘记口令,就提供口令指示,确认后口令恢复; ⑥对口令文本采取加密方法,努力做到保密。 (3)对主机的访问。
①在记录日志时进行识别和认证;
②对于认证方法,按照信息系统所需的安全要求进行选择; ③设置可以确认前次日志记录日期的功能;
④根据安全方针,除了对主机的访问加以控制外,对数据库的数据、移动存储设备也应分别进行控制;
⑤为确保访问控制等功能的安全,有必要选择具有相应功能的操作系统。 (4)安全漏洞。
①采用专用软件,对是否存在安全漏洞进行检测; ②发现安全漏洞时,要采取措施将其清除。 (5)加密。
①在保管数据时,要根据需要对数据进行加密; ②要切实做好密钥的保管工作,特别是对用户密钥进行集中保管时要采取妥善的保管措施。
(6)对主机的管理。
①应采取措施使各装置不易拆卸、安装或搬运;
②要采取措施,避免显示屏上的信息让用户以外的人直接得到或易于发现。 (7)预防灾害策略。
①根据需要将装置做成热备份的,要设置替代功能; ②设置自动恢复功能。 3.基于设施的安全策略。
管理者为了防止重要的计算机主机系统设施不受外部人员的侵入或遭受灾害,应采取以下办法。
(1)授予资格。 高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
①建立进入设施的资格(以下称资格);
②资格授予最小范围的必需者,并限定资格的有效时间; ③资格仅授予个人;
④授予资格时,要注明可能进入的设施范围及进入设施的目的。 (2)建立身份标识。
①对拥有资格的人员发给记有资格的有效期、可进入的设施范围及进入的目的等事项的身份标识和IC卡等(以下称身份证)
②制作标识的材料应采用不易伪造的材料,另外要严格管理标识原件(指存档的),不使之丢失。当有资格的人员标识遗失或损坏时,应立即报告安全总负责人,并当即宣布该标识无效。
(3)设施出入管理。
①为获准进入设施,要提交身份标识确认资格; ②限定允许出入设施的期限;
③将允许进入人员的姓名、准许有效期限、可进入的设施范围、进入目的以及进入设施的许可(以下称许可)等记录下来并妥善保存;
④允许进入的人员发给徽章等进入设施的标志,并将该标志佩戴在明显的位置; ⑤进入设施的标志应按照身份标识中的②~④项要求执行; ⑥在建筑物或计算机房的出入口处查验是否具有资格和许可;
⑦当从设施中搬出或搬入物资时,都应对该物资和搬运工作进行查验; ⑧物资搬运出入时,应记录负责人的姓名、物资名称、数量、搬运出入时间等,并保存; ⑨保安人员负责出入管理。 (4)防范措施。
①限定设施出入口的数量,设置进行身份确认的措施;
②在设施内装设报警和防范摄像装置,以便在发现侵入时采取必要的防范措施;
③在建筑物、机房及外设间、配电室、空调室、主配电室、中间配电室、数据保存室等的入口处设置报警装置,以便在发现侵入时采取必要的防范措施;
④让保安人员在设施内外进行巡视。 (5)灭害策略。
①设施的地点应尽可能选在自然灾害较少的地方; ②建筑物应选择抗震、防火结构;
③各种设备都应采取措施,防止因地震所导致的移动、翻倒或振动; ④内装修应使用耐燃材料,采取防火措施; ⑤对电源设备要采取防止停电措施;
⑥对空气调节装置要采取防火和防水措施,使用水冷或热式空调设备时要采取防水的措施。
4.基于数据管理的安全策略。 (1)数据管理。
①当重要数据的日志不再使用时,应先将数据淸除,再将存储介质破坏,随后立即将该记录文件销毁;
②对记录有重要数据的记录文件应采取措施,做好保管场所携带出入的管理,将数据用密码保护;
③对移动存储介质,根据需要应采取数据加密或物理方法禁止写入等措施。 (2)数据备份。
应定期或尽可能频繁地进行备份。备份介质应制定妥善的保存办法、保存期限,与原介 高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
质在不同地方保管。 (3)审计。
①应从信息系统的安全性、可信度、保全性和预防犯罪的角度进行审计; ②制定审计的方法并制成手册; ③有计划、定期地进行审计,若有重大事故发生或认为有危险发生时,应随时进行审计; ④提交审计报告;
⑤安全总负责人应根据审计结果迅速采取必要的措施。 5.信息系统开发、运行和维护中的安全策略。 (1)开发中的安全策略。
①采取措施防止将基础数据泄露给从事开发以外的其他人员; ②制定专门的系统设计文档; ③制定专门的运行和维护手册;
④运行手册中应制定出危机范围和风险应对策略。 (2)运行中的安全策略。 ①根据手册操作; ②记录运行情况日志。 (3)维护中的安全策略。 ①根据手册操作; ②记录维护情况日志。
6.基于安全事件的安全策略。
管理者在发现犯罪事件时能确保与有关部门取得联系,为危机进行切实应对,从而确保安全,应采取以下策略。
(1)发现攻击时应采取的管理措施 ①发现对用户等进行攻击、事故或侵害等其他信息系统安全的行为或事件(以下简称攻击)时,有义务立即向危机管理负责人报告;
②应将受到攻击的对象、非法访问的结果、出入时的日志以及其后审计或调查所需的信息等,作为发现攻击行为的状态保存下来;
③及时向相关部门通报;
④发现非法访问行为且需要得到相关部门援助时,提出申请; ⑤调查结束,在进行系统恢复时,应将操作过程记录下来。 (2)组织体制。
为明确责任和权限应建立以下体制:
①日常事务体制:设立专职的安全总负责人和审计负责人;
②风险管理体制:设专职的风险管理责任人、风险管理设备执行人和其他责任人。 (3)教育及培训。
①将风险发生时的防范措施制成手册,发给用户并进行定期训练; ②让用户了解风险对社会带来较大的危害,从而提高安全意识; ③对用户策略实施情况进行审计,对措施不完备的地方加以改进。 7.与开放性网络连接的信息系统应追加的安全措施。
对于信息系统来说,除了前面所述安全策略之外,从预防非法访问、计算机病毒侵入的角度来看,与互联网等开放性网络连接,还应追加下列安全措施。 (1)一般措施。
网络系统考虑通过开放性网络引入的不正当访问和恶意程序侵入,应当追加如下措施。 ①开放性网络的连接应限定在最小范围的功能、线路和主机; 高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
②与开放性网络连接时,应采取措施预防对信息系统进行不正当的访问; ③利用防火墙时,应设定适当的条件;
④使用计算机系统时,应采取一定的安全措施,确保该信息系统的安全; ⑤关于网络结构等重要信息除非必要时,不得公开。 (2)监视措施。
应当设置对线路负荷状况的监视功能。发现异常情况时,应根据需要使之与相连接的开放性网络断开。
(3)安全事件应对措施。
在确保攻击发生时能与相关部门取得联系。对危机进行准确应对的同时,还应采取如下措施:
①与相关机构合作,把握受侵害的情况,采取措施,防止侵害的扩大;
②对攻击进行分析,查明原因,与相关机构合作采取措施,防止攻击再次发生; ③限定用户,即尽可能将可通过开放性网络进行访问的用户(数)加以限制; ④信息收集,即平时要注意收集通过开放性网络进行非法访问的信息。 (三)应急响应与灾难恢复(★★) 一般来说,每个使用信息系统的组织都应当有一套应急响应机制。这个机制包括三个环节,即应急响应组织、紧急预案、灾难恢复。
1.应急响应组织。
应急响应组织的主要工作有:
(1)安全事件与软件安全缺陷分析研究;
(2)安全知识库(包括漏洞知识、入侵检测等)的开发与管理; (3)安全管理和应急知识的教育与培训;
(4)发布安全信息(如系统漏洞与补丁、病毒警告等); (5)安全事件紧急处理
应急响应组织包括应急保障领导小组和应急技术保障小组。
应急保障领导小组的主要职责是领导与协调突发事件及自然灾害的应急处理。 应急技术保障小组主要解决安全事件的技术问题,如物理实体和环境安全技术、网络通信技术、系统平台技术、应用系统技术等。
2.紧急预案。
(1)紧急预案及基本内容。
应急预案是指根据不同的突发紧急事件类型和意外情形预先制定的处理方案。 应急预案一般包括如下内容:
①执行紧急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法); ②系统紧急事件类型及处理措施的详细说明; ③应急处理的具体步骤和操作顺序。 (2)常见安全事件。
紧急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考:
①物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾和水灾等; ②网络通信类安全事件,如网络蠕虫侵害等;
③主机系统类安全事件,如计算机病毒、口令丢失等; ④应用系统类安全事件,如客户信息丟失等。 (3)应急事件处理的基本流程。 ①安全事件报警。 高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述并作书面记录。 ②安全事件确认。
确定安全事件的类型,以便启动相应的预案。 ③启动紧急预案。
首先要能够找到紧急预案,其次保护现场证据(如系统事件、处理者采取的行动与外界的沟通等),避免灾害扩大。
④恢复系统。包括:
第一,安装干净的操作系统版本。如果主机被侵入,就应当考虑系统中的任何东西都可能被攻击者修改过了,包括内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常,需要从发布介质上重装操作系统,然后再重新连接到网络上之前安装所有的安全补丁,只有这样才会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的。建议使用干净的备份程序备份整个系统,然后重装系统。
第二,取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。通常,最保守的策略是取消所有的服务,只启动自己需要的服务。
第三,安装供应商提供的所有补丁,建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次入侵,这是最重要的一步。
第四,查阅计算机安全应急响应组的安全建议、安全总结和供应商的安全提示。
第五,谨慎使用备份数据。在从备份中恢复数据时,要确认备份主机没有被入侵。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。
第六,改变密码。在弥补了安全漏洞或者解决了配置问题之后,建议改变系统中所有账户的密码。
⑤加强系统和网络的安全。 ⑥进行应急工作总结。 ⑦撰写安全事件报告。 3.灾难恢复。
灾难恢复是安全事件应急预案中特别重要的部分。从发现入侵的时刻起就应进行处理。 灾难恢复应当包括如下几项内容:
(1)与高层管理人员协商。恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持和配合。 (2)夺回系统控制权。为了夺回对被入侵系统的控制权,先要将入侵从网络上断开,包括拨号连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就可能破坏所进行的恢复工作。进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入侵者发现。但是,也要采取其他一些措施,避免入侵蔓延。
(3)复制一份被侵入系统的映像。在进行入侵分析之前,最好对被入侵系统进行备份。 这个备份在恢复失败时非常有用。
(4)入侵评估。入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查。下面介绍围绕这些工作进行的调查工作。
①详细审查系统日志文件和显示器输出,检查异常现象。
②入侵者遗留物分析。包括:检查入侵者对系统文件和配置文件的修改;检查被修改的数据;检查入侵者留下的工具和数据;检查网络监听工具。
③其他,如网络的周边环境和涉及的远程站点。
(5)清除后门。后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、系统木 高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
马程序、修改了的系统内核等。 (6)记录恢复过程中所有的步骤。记录恢复过程中采取的每一步措施是非常重要的。 恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人做出一些草率的决定。记录自己所做的每一步可以帮助避免做出草率的决定,还可以留作以后的参考,还可能对法律调查提供帮助。
(7)系统恢复。各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器和数据库等系统特别重要的设备,则要单独订立紧急恢复预案。
①服务器的恢复。—旦服务器因故障完全停止运行,常规的恢复方法是在一个新的硬件平台上重建。用手工进行服务器的恢复是非常麻烦的。如果能设计一种专门的软件包,可以生成存有服务器镜像文件的启动盘,用来恢复服务器,就便利多了。
②数据库系统的恢复。数据库系统恢复的目的是在足够备份的基础上,使数据库尽快恢复到正常。
高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
2015CPA《风险》第八章 管理信息系统的应用与管理07
