▲安全与控制 ◆基本概念:
安全:用于组织对信息系统未经授权的访问、修改、盗窃或物理破坏的、程序和技术措施。
所有能确保组织资产安全、会计记录精确可靠、管理标准严格执行的方法、和组织程序被称为控制。 ▲信息系统可能遭受的破坏
恶意软件包括一系列具有威胁性的软件程序,如计算机病毒、蠕虫和木马。 计算机病毒是附加在其它软件程序或者数据文档上已得到执行的流氓软件程序,通常未经用户同意或允许。
能够通过网络进行自我复制的计算机程序被称为蠕虫。
特洛伊木马是一种看似合法的软件程序,但却包含其它隐藏的、可以造成损害的功能。
间谍软件:在个人或组织不知情的情况下搜集其信息的技术,可以充当恶意软件。 击键记录器:可记录计算机上每一次击键的间谍软件。
试图非法访问计算机系统的人成为黑客。在黑客社区,骇客通常是指有犯罪倾向的黑客。
电子欺骗指在互联网上制造虚假身份或将一个网页链接重新指向一个错误的地址,该地址被伪装成目的地。
嗅探器是一种监视网络上传输的信息的窃听程序。
拒绝服务攻击是指黑客向网络服务器或web服务器发送虚假通信信息或服务请求,以使网络崩溃。
分布式拒绝服务攻击:利用无数计算机从无数个发射点涌向网络并淹没它。 僵尸网络:在用户不知情的情况下被僵尸病毒感染的一组计算机。
计算机犯罪的定义:任何违反刑事法律的行为,涉及计算机技术知识的犯罪、调查或起诉。
身份盗用:盗窃关键个人信息,从而以被盗用者的名义购买商品或服务或者获得虚假身份。
网络钓鱼:一种电子骗术,通过建立虚假网站或发送看似来自合法企业的电子邮件,包括电话和个人数字助理。
双子星病毒:伪装成合法的Wi-Fi网络的无线网络,诱使使用者登陆而暴露其密
码或信用卡号码。
域欺骗诱导用户到假网页的“网络钓鱼”技术,即使用户在它的浏览器中输入了正确的网页地址。
计算机滥用:指与计算机有关的可能不违法但被认为是不道德的行为。一种很普遍的形式是发送垃圾邮件。
试图进入系统的恶意入侵者有时会伪装成公司的合法成员来欺骗员工,声称自己需要信息以诱骗他们泄露自己的密码,这种做法被称为社会工程。 ◆商业价值
一个健全的安全和控制框架能保护企业信息资产,从而能产生高的投资回报。
计算机取证:指科学地收集、审查、鉴定、保存和分析取自计算机存储媒介中的数据,这种信息可作为法庭上的证据。 ◆管理框架
ISO17799作为安全和控制的一套国际标准,提供了有用的指导方针。他明确了信息系统安全和控制的最佳实践,包括安全策略、业务连续性规划、物理安全、访问控制、要遵守的制度以及在组织内建立的安全保护功能。
风险评估:能够确定一个问题的潜在发生频率和真正发生时的潜在损失,用于决定一项控制的成本或收益。
安全策略:包括信息风险分级、确定可接受的安全目标以及实现这些 目标的机制。
可接受使用策略:规定了公司的信息资源和计算机设备的可接受使用情况,并详细说明不服从的结果。
授权策略:确定了一个组织内不同级别的用户访问信息资产的不同级别的权限。 授权管理系统:依据一套准入规则中给出的信息,只允许每个用户进入系统或网络允许访问的部分。
停机时间:系统无法运行的时间段。
联机事务处理:事务处理模式,在该模式中进入网络的事物会被计算机及时处理。 容错计算机系统:包含特别的硬件、软件和电源供应元件的系统,他们能够支持备份和避免系统故障以维持系统的运行。
高可用性计算是指这样一类工具和技术,包括备份的硬件资源和使系统从崩溃中迅速恢复过来。
面向恢复的计算:出现故障时能够快速恢复的计算机系统。
灾难恢复计划包括在计算和通信服务遭到诸如地震之类的自然灾害破坏后,为其恢复制定的程序。
业务持续计划:关于企业在遭受灾难后如何恢复商业运营的计划。
管理信息系统审计要查明管理每一个信息系统的所有控制并评估其效力。 ▲主要的安全技术和工具 ◆访问控制
认证指一种能力,这种能力能够弄清一个人究竟是不是他所声称的那个人,~允许参与事务的每一方都能够确定对方的身份。 访问控制:一个公司用来防止未被授权的内部和外部人士不正当地访问系统的所与和程序。
令牌是一个类似于身份证的物理设备,用来证明单个用户的身份。
生物统计身份认证:将一个人的指纹脸型视网膜图像等特征与这些特征的储存资料进行比较,以此来鉴别系统用户的技术。 ◆防火墙、入侵检测系统、反病毒软件
防火墙是硬件和软件的一种结合,它能控制网络通信中输入和输出的流量。 包过滤:堆在可信网络与互联网之间流动的数据包抱头的选定区域进行检测。 状态检测:通过确定数据包是不是发送者和接受者之间正在进行的对话的一部分,来提供额外的安全保护。
网络地址转换:能够隐藏组织内部主机的IP地址,已组织防火墙外的探测程序找到组织,并利用这些信息进入内部系统。 应用代理过滤:用代理服务器检查和转移数据包的流入和流出,一是组织的所有内部应用都使用一个代理应用程序与外部交流
入侵检测系统监视网络上最易受攻击的地方,以便检测和阻止未授权的用户。 反病毒软件被设计用来检测和清除信息系统中的流氓软件程序。 ◆加密技术
加密就是将编码打乱,以防止未经授权的阅读和访问。
网络上加密网络通信的方法有:SSL(安全套接层协议:使客户和服务器计算机在一个安全的网络通信环境中进行交流时,可以管理加密和解密活动)和S-HTTP(传输层安全协议:SSL的替代者)
安全超文本传输协议:加密互联网上数据流的协议,仅限于个人信息。 ●公钥加密技术及其应用
公钥加密:~方法使用两种密钥:公钥和私钥
应用:数据传输时用其对数据加密,收到数据后用其解密。 数据签名和数据证书对认证有进一步帮助。
数字签名:是一个只有发送者用其私钥才能创建的加密信息(如发送者姓名),用来验证信息的来源和内容。
数字证书是一种用来确定用户和电子资产身份的数据文件,以保护网上交易。 公钥基础设施:利用公约加密与证书颁发机构来验证身份,正成为互联网上电子商务的一种主要的安全技术。
