1、 外文翻译:原版书:管理信息系统英文名字:MANAGEMENT INFORMATION SYSTEMS 北京大学出版社 第九版ISBN:7-301-10614-9Raymond Mcleod,Jr. George P.Schell 著摘选与该书第 216 页倒数第五行至 220 页信息安全技术控制 技术控制是指那些由系统开发到系统建立在系统开发生命周期。包括对项目团队的内部审计人员是一个很好的方式,以确保这些管制措施是作为系统设计的一部分。大部分的安全控制是基于硬件和软件技术。其中比较受欢迎的说明如下。 访问控制 抵御风险的安全基础是未经授权的人存取权限将被控制,这个原因也很简单:既是没有授权
2、的人将被剥夺所需的信息资源,因而不能对系统产生威胁。访问控制是通过一个三步骤的过程,包括用户识别,用户认证和用户授权的手段。这些措施纳入到一个安全系统,如图 9.4 所示。图 9.4 访问控制功能1。用户识别。用户首先确定提供一些他们知道的东西,比如自己的密码。这种识别还可以包括用户的位置,比如电话号码或网络入口点。 2。用户身份验证。一旦初步鉴定已经完成,用户提供一些如智能卡或令牌,或识别芯片验证其身份则可以访问他们了。用户也可以提供例如签名、声音或说话的方式进行身份验证。 3。用户授权。用户识别和认证检查通过后,则被授权访问或使用一定程度的该系统资源。例如:一个用户可能只被授权读取一个文件
3、,而另一个可能是授权修改该文件。 识别和认证用户资料,或根据用户拥有授权的描述使得每个用户只能访问和控制自己应有权限水平的文件。 一旦用户满足三个访问控制功能,他们可以使用访问控制约束范围内的档案信息资源。审计日志是包含所有访问控制活动,例如日期时间和当天终端识别时间,这是用于制备安全性报告和维护。入侵检测系统 入侵检测系统的基本逻辑是承认企图违反安全之前该入侵有机会造成损害。一个很好的例子就是有效应付运行在电子邮件中病毒的防病毒软件,当被证明是针对电子邮件传输的病毒有效时,该软件则只可识别携带病毒的信息,并对此向用户发出警告。此种软件必须不断进行更新以有效的对抗病毒的入侵。 另一种入侵检测的
4、例子是在发现潜在入侵者,他们有机会造成损害之前的软件。内部威胁检测已发展到可以考察该人在公司的地位,以及访问敏感数据、改变硬件的工具组件、各种类型的应用程序使用、文件拥有操作权限,某些网络协议的使用权限等都可以检测出。在这些威胁之中有些是法定量。输出归类可以分为可能的蓄意威胁,潜在的意外威胁,多疑,内部威胁,无害等类别。 防火墙 当计算机连接到时计算机的网络资源是受到威胁的。在网内的其他用户通过根绝你的计算机的风险水平通过网络访问您的计算机网络资源。 保证安全的方法之一是从物理上建立一个包含敏感数据和信息系统的公司的网站独立的公司的内部网络,其中另一个方法是为用户提供密码,通过密码验证使他们能
5、够从互联网进入贸易伙伴内部网络的,第三个办法是建立一个保护墙或者防火墙。 防火墙作为一个过滤器和屏障,限制了往返与互联网与公司之间的数据流。防火墙的意思是它建立了一个全公司的网咯保障,而不是在每台计算机之上的。现在有一些制造防病毒软件的公司(如麦菲在 WWW.MCAFEE.COM 和诺顿在WWW.NORTON.COM)制造的防毒软件都是包括防火墙的,当您购买防病毒软件时是会带有防火墙的并不额外收费, 。 防火墙包括三种类型其中有包过滤级,电路级和应用级。 包过滤防火墙的设备,通常是在一个网络中包含一个路由器,它控制网络流量。当路由器被放置在互联网的 IP 地址之间时则显示出具有政策过滤的功能。
6、路由器控制网路之中的每个传输,使某些从互联网位置(IP 地址)的邮件只有特定类型可以通过。 每台计算机是由一个四 0 到 255 的数字所组成的的唯一标识 IP 连接到互联网。但是路由器的有一个局限是它是一个单点的安全,因此,如果黑客通过了路由器那么企业可能就会遇到麻烦了。 所谓的“IP 欺骗”就是黑客通过一种方法骗过路由器的访问用户的电脑。 电路级防火墙安全是跨过路由器的,电路级防火墙它是一种跨越互联网与该公司之间的网络的网路防火墙,但它比路由器更接近通信介质之间(即电路)电路级防火墙。虽然单点的安全限制仍然适用,但电路级防火墙这种方法允许的身份验证和过滤级别高级,比一个路由器更高。 。 应
7、用程序级防火墙是一种位于防火墙和路由器之间的计算机执行应用程序。它有充足的权力进行更多的安全检查。请求后已被授权的网络从一(电路级)和被授权的计算机(包过滤)来验证,应用程序可以请求,如要求进一步二次密码验证信息,确认身份,甚至可以检查看是否在正常工作时间要求的。虽然这是最有效的防火墙类型,它往往会降低对资源的访问。另一个问题是网络程序员必须为每个应用程序编写特定的程序代码,因为程序代码正在被添加或修改,所以每个程序代码都必须更改。加密控制 存储和传输的数据和信息可以得到保护,可以避免未经授权披露,通过加密,这是通过数学过程目前的数据和信息的手段,可编码加密,它驻留在储存和传输是通过网络使用。
8、如果未经授权的人得以进入,加密使该数据和信息变的毫无意义,可防止滥用。 加密技术越来越受欢迎,是由于电子商务中制定了该应用程序的特殊协议,旨在应用已经制定出来。一个是 SET(安全电子交易) ,使用数字签名执行安全检查。拥有签名的人可以参与电子商务交易。这些签名由顾客,商户和金融机构发放的双签名,而不是用信用卡号码。 目前正在针对加密各国政府相当重视也非常担心,该编码也可以用来掩盖犯罪或恐怖活动。因而一直对加密使用上设置了几个限制。目前,还有一些从外国进口的加密软件,但没有任何限制有出口限制,古巴,伊朗,伊拉克,利比亚,朝鲜,苏丹和叙利亚。组织和国家为捍卫个人的权利,反对限制使用加密。 随着电
9、子商务和加密技术的不断发展,日益普及,它的使用预计将增加并在政府的限制范围内。 物理控制 禁止未经授权入侵的第一道预防措施是锁定电脑室的门。随着之后的改进导致更复杂的锁,由掌纹和声音识别,并拥有监视摄像头和保安人员。企业可以通过物理控制地震、洪水和飓风等自然灾害,尤其是敏感的领域。 技术控制可视化 你可以从这一长串的技术控制(在此我们没有全部列出) ,那么多的一直在利用技术来保护信息的技术指导可以看,监控而被确认为一种最安全的措施。企业通常从列表中选择和实施,被认为最现实的保障组合。 正式控制 正式控制包括建立行为准则,制定预期程序和做法,以及检测和预防与既定行为准则之外的各种活动。这些控制的
10、制定是为了长期用于今后的管理之中。它将会以书面的形式表示,以希望与成为一种长期的约束力。这种正式控制如果要有效的运行,必须要最高管理层积极的参与协议的制定和执行。 非正式控制 非正式控制包括对员工灌输公司的道德信念的活动,确保员工对公司的使命和目标,教育和培训方案,计划和管理发展计划的了解。这些管制的目的是确保公司的员工都理解和支持的安全计划。实现适当级别的控制这里有技术控制、正式和非正式成本控制全部三种类型。但是它不是一个良好的商业做法,因为它花费了更多的钱去控制风险损失,这种控制是建立在适当的风险级别上的。因此控制的决定因素还是成本和收益,但在某些行业解决和注意其他因素。例如,在银行业中,
11、从事具有风险的自动取款机的管理,控制措施必须保证系统的安全,但是不能以牺牲客户方便应用为成本。此外,在医疗保健行业,病人的健康权和隐私权等问题必须加以考虑。系统安全控制不应以减少录入患者信息为代价来确保系统安全,医院和医生要对病人健康负责任。政府与工业界的协议一些国家政府和国际组织已经制定了一下行为准则旨在于将此作为组织之间的信息安全的准则。其中有些标准已经是之前的风险管理的形式准则。有一些准则在与之不同,它是使用一定的界线尺度。因此组织不需要遵循准则,相反,他们的目标是为公司协助建立一定的安全目标水平,以下是一些示例:1 英国的 BS7799 认证。英国建立的一套基准控制包括。澳大利亚和新西
12、兰都是在 BS7799 的基础上实行控制。2 英国标准协会的 IT 基准保护手册。基准的制定方法也是模仿德国Bundesamt fur Sicherheit in der Information stechnik(BSI)的。该基线是为了在一般的保护时提供合理的安全保护要求。基线也可以充当在需要更高的保护程度时作为基础。3 COBIT. 它是由从事信息系统审计和控制的一个基金会(英文简称是ISACAF)制定的一个侧重于文本写入和维护信息安全标准的公司。4 GASSP.通用系统安全原则(英文简称 GASSP),它是由美国研究理事会制定的,重点是建立一个安全系统策略。5 GMITS。 信息管理系统安全控制指导书(英文简称 GMITS),它是由国际化标准组织联合技术委员会(ISO)制定的, 它提供了组建信息系统安全的策略,也为组织提供了一系列的项目安全标准的清单。6 ISF 。 国际海运联盟标准(英文简称 ISF),它是经过良好的实践经验得出的一系列的安全准线,它的安全考虑也覆盖了项目之中没有提供标准守则的用户,因而这些东西放到一起之后便可以为公司提供一个良好的安全基础,以提供一个符合自己公司企业文化的安全控制策略支持。
