當前位置:

2010年國際內(nèi)審師考試經(jīng)營分析和信息技術輔導信息保護

發(fā)表時間:2014/4/15 17:00:00 來源:中大網(wǎng)校 點擊關注微信:關注中大網(wǎng)校微信
關注公眾號
2010年國際內(nèi)審師考試經(jīng)營分析和信息技術輔導信息保護

信息保護

1 Elements of Information Security

信息安全的基本要素

信息的保密性、完整性和可用性是信息安全的基本要素:

· 保密性:保證敏感信息(包括隱私信息)不被非授權地瀏覽或截取。

· 完整性:保證信息(如財務報告)的完整和準確。

· 可用性:保證信息隨時可用,并能在各種故障或災難發(fā)生后能迅速恢復數(shù)據(jù)。

信息安全是大多數(shù)IT控制的基礎,它包括數(shù)據(jù)安全和基礎設施安全兩個方面。數(shù)據(jù)安全通過基于角色的訪問控制等手段,保證信息不被非授權的用戶所訪問,并通過日志系統(tǒng)保留用戶活動的審計蹤跡;安全基礎設施則是應用安全的系統(tǒng)基礎,包括其主機和服務器系統(tǒng),通過各種安全軟件保證基礎系統(tǒng)不被非法侵入。

2 Malware

惡意軟件

惡意軟件統(tǒng)指各種以非法途徑訪問系統(tǒng),并以控制、破壞系統(tǒng)或竊取數(shù)據(jù)為目的的軟件?,F(xiàn)在以營利為目的的專業(yè)惡意軟件市場已經(jīng)形成,并且愈演愈烈。盡管多數(shù)惡意軟件基于微軟的桌面操作系統(tǒng)平臺,但針對其它流行系統(tǒng)(如Linux)和服務器平臺的惡意軟件也在不斷增加。

病毒軟件(virware)是一類惡意軟件,包括:

· 病毒(virus)是一段計算機代碼,它可自行復制并感染其他計算機執(zhí)行程序;

· 宏病毒(macro virus)是一種可附著于word等數(shù)據(jù)文件的宏程序中的特殊病毒;

· 蠕蟲(worms)是一個計算機程序,它通常僅存在于內(nèi)存中,但可以通過網(wǎng)絡快速并大量地將自身復制到其它系統(tǒng)中,從而消耗計算機或網(wǎng)絡資源;蠕蟲按其傳播方式有電子郵件蠕蟲、即時通訊(IM)蠕蟲和移動設備蠕蟲等。

特洛伊木馬(trojan horse)是一個計算機程序或隱藏于某個應用程序中的一段代碼,它從表面上看是正常的程序,但是實際上卻隱含著惡意意圖。特洛伊木馬可能用于竊取密碼等敏感信息,也可以用于進一步安裝其它惡意軟件(如間諜軟件),從而為其編制者長期所用。相對于病毒,木馬軟件無需自行復制功能,因此更容易開發(fā)也更隱蔽,其增長速度也要大大高于其它惡意軟件。

木馬軟件的種類繁多,根據(jù)目的和行為可分為后門、邏輯炸彈、特洛伊代理、超級用戶工具箱等。

其它惡意軟件和威脅

· 僵尸網(wǎng)絡(botnet):BotNet病毒與木馬的使用方式相仿,但木馬通常只會攻擊特定目標,而BotNet不但會攻擊其它電腦,而且它具有“蟲”的特性,會慢慢在網(wǎng)絡空間中“爬行”,一遇到有漏洞的電腦主機,就會自行展開攻擊。

· 垃圾部件工具(spamtool):收集電子郵件地址以用于發(fā)送垃圾郵件。

· 鍵盤跟蹤軟件(keylogger):跟蹤并分析用戶的擊鍵行為,從中獲取其感興趣的信息(如網(wǎng)上銀行的登錄密碼)。

· 撥號器(dialer):自動撥打900等高收費電話號碼。

· 廣告軟件(ADware):不斷產(chǎn)生彈出式廣告窗口。

· 間諜軟件(spyware):收集用戶機器的各種軟硬件和配置信息,以用于商業(yè)或其它目的。

· 拒絕服務攻擊(DOD):通過超大量地發(fā)送消息或服務請求,將某個站點的網(wǎng)絡或系統(tǒng)資源消耗殆盡,使其徹底癱瘓或無法提供正常服務。這是網(wǎng)絡恐怖主義者最常用也最難防范的攻擊手段。

· 網(wǎng)絡釣魚(phishing):偽裝成一個合法正規(guī)的網(wǎng)站,并通過各種方式(如建立虛假鏈接、大量發(fā)送帶有誘惑性的電子郵件),引誘其客戶前來登錄,從而騙取其用戶ID和口令。

· 網(wǎng)址嫁接(Pharming):和phishing相仿,也是偽裝一個合法正規(guī)的網(wǎng)站,但通過篡改DNS服務器直接將其使用者導引到偽造的網(wǎng)站上。

· 雙面惡魔(evil twin)是一個自制的無線接入點(熱點),偽裝成合法的接入點在終端用戶不知情的情況下收集個人或企業(yè)信息。

· 尾隨(piggybacking):通常指物理上尾隨某個合法人員進入受控區(qū)域,有時也指趁某個已登錄用戶暫離現(xiàn)場時,利用其身份邏輯訪問網(wǎng)絡。

3 How to Prevent Malwares and Computer Crimes

防范惡意軟件和計算機犯罪

通過合理地維護和配置系統(tǒng)可以增強系統(tǒng)的健壯性和免疫能力,如:

· 及時下載并安裝操作系統(tǒng)和應用系統(tǒng)的補丁包。

· 在系統(tǒng)運行時關閉管理員特權。

· 限制特權代碼的使用。

· 只從經(jīng)過驗證或指定的網(wǎng)站下載。

· 啟用高安全級別;阻斷各種惡意軟件的進入渠道。

· 通過直接輸入URL地址來訪問網(wǎng)站,如不要點擊電子郵件中的鏈接。

· 加密敏感信息或離線保存。

建立多層次的病毒防范體系。有兩種預防及偵測病毒感染的方法,其一是建立規(guī)范、嚴謹?shù)墓芾聿呗耘c程序;其二是采用技術方法,如防病毒軟件。

預防和偵測病毒的管理控制策略包括:

· 安裝正版軟件。

· 凡未在單機中掃毒的軟件(無論是否正版)不允許在網(wǎng)絡環(huán)境中使用。

· 確保在工作站、主機和服務器中均已安裝殺毒軟件。

· 隨時更新病毒特征庫。

· 備份數(shù)據(jù)也需要經(jīng)過殺毒程序,以確保備份的有效性。

· 教育用戶遵守公司的策略及程序。

· 至少每年審核一次防毒策略與程序。

防病毒軟件的功能通常包括:掃描、動態(tài)監(jiān)控、完整性檢查、行為阻斷,此外,防病毒軟件應具有預防控制的功能。應定期更新病毒特征庫,否則防病毒軟件將無法有效防止病毒。但即使擁有最新的病毒特征庫,也不能保證查殺所有病毒,因此不能過于依賴防病毒軟件。

4 Privacy

隱私權

隱私權是個人對其私有信息享有的權利,如企業(yè)未經(jīng)授權不得將客戶的電話號碼、地址等信息泄露給第三方。信息技術使侵犯隱私權變得更容易,任何進入信息系統(tǒng)的個人信息,都有可能被永久地用于商業(yè)目的甚至非法活動(如恐嚇信)。隨著信息系統(tǒng)應用的深入,對隱私權的保護越來越受到重視。

組織和員工在隱私權的問題存在天然的矛盾,因為組織需要保護其自身的利益和防止不適當?shù)幕顒?,而員工則要求其個人行為和信息不受侵犯。組織對其雇員的過度監(jiān)控會導致員工士氣的低落,因此清晰的政策和良好的溝通十分重要,政策應告知員工什么是受監(jiān)控的,什么是不受監(jiān)控的,以及對員工的期望。

組織侵犯了隱私權可能給當事人帶來巨大的傷害,越來越多的國家制定了各種保護隱私權的法律、條例,組織應確保予以遵守。大多數(shù)國家的隱私權立法均部分地基于美國聯(lián)邦貿(mào)易委員會提出的公平信息原則(FIP),F(xiàn)IP認為交易雙方均對對方負有責任,個人擁有隱私權但需要證明其身份,而組織則對信息的采集和使用承擔責任。FIP包括:

· 通告:在采集數(shù)據(jù)之前,WEB站點必須披露采集者的身份和其他受眾、數(shù)據(jù)的用途、是否自愿以及將采取哪些措施保護數(shù)據(jù)。

· 選擇:消費者應能夠選擇如何在交易之外使用該信息。

· 訪問:消費者應能夠方便訪問和修改其個人信息而無需支付昂貴的費用。

· 安全:數(shù)據(jù)采集者必須保證其擁有足夠的數(shù)據(jù)控制。

· 強制:通過各種法律法規(guī)保證FIP條款的強制實施。

組織至少應采取合理的措施,以避免招致法律訴訟、罰款以及負面的公眾形象和信譽等嚴重后果。

典型試題

【例題】依靠反病毒軟件的主要風險是反病毒軟件(?。?

a.不能檢測出某些病毒。

b.使軟件的安裝變得過于復雜。

C.干擾系統(tǒng)的正常操作。

d.耗費太多的系統(tǒng)資源。

【答案】a

【解題思路】

a.正確。依賴反病毒軟件的風險之一是反病毒軟件只能針對已知病毒,而且對已知病毒的變種也不一定完全有效。換句話說,反病毒軟件不能確保識別出所有病毒。

b.不正確。反病毒軟件一般不會使軟件的安裝變得過于復雜。

c.不正確。反病毒軟件不是必然要和系統(tǒng)運行沖突,因為可以事先設定其運行計劃使其不影響其他程序的運行。

d.不正確。反病毒軟件可以被設置為在不造成耗費過多系統(tǒng)資源的時刻執(zhí)行(如,啟動時)。

【例題】由于計算機技術的高速發(fā)展,下面哪一種情況會對組織產(chǎn)生新的暴露風險?

a.針對計算機被濫用的情況,組織報告風險和控制風險的程序發(fā)生了變更。

b.對磁帶庫管理程序的控制。

C.操作系統(tǒng)的復雜性和對數(shù)據(jù)隱私的控制。

d.組織行為的變更。

【答案】C

【解題思路】

a.不正確。組織報告風險的程序與技術的發(fā)展并沒有直接的關系。

b.不正確。對磁帶庫管理程序的控制不會因技術的發(fā)展而產(chǎn)生重大變化。

c.正確。計算機技術的高速發(fā)展帶來了更復雜的系統(tǒng)環(huán)境,尤其是隨著遠程訪問系統(tǒng)的出現(xiàn),非授權個體獲得和篡改重要信息的風險在增加。

d.不正確。組織行為的變更與技術的發(fā)展也沒有直接的關系。

利用以下信息回答3-4題:

計算機病毒的一個主要種類是一些程序,這些程序可以附著在其他程序中并進一步感染其他程序。盡管這類病毒中有許多是相對無害的,但其中也有一些可能對系統(tǒng)造成嚴重的損害。

【例題】以下哪一項可以表明這類計算機病毒已經(jīng)出現(xiàn)?

a.頻繁地出現(xiàn)電涌并損壞計算機設備。

b.莫名其妙的數(shù)據(jù)丟失和修改現(xiàn)象。

C.不充分的備份、恢復和應急計劃。

d.已購軟件的非授權使用并導致大量的侵犯版權現(xiàn)象。

【答案】b

【解題思路】

a.不正確。電涌是因為供電設施的質量不佳引起,和上述病毒無關。

b.正確。某些病毒運行后,可能自行刪除或修改數(shù)據(jù),導致系統(tǒng)內(nèi)數(shù)據(jù)的丟失或損壞。

c.不正確。備份、恢復和應急計劃屬于系統(tǒng)實施控制,和上述病毒無關。

d.不正確。本現(xiàn)象的出現(xiàn)通常是因為組織內(nèi)部的版權控制缺陷,而不是病毒。

【例題】以下哪項操作過程增加了組織感染病毒的風險?

a.加密數(shù)據(jù)文件。

b.頻繁的文件備份。

C.從電子公告板上下載公用軟件。

d.在硬盤上安裝已購軟件的原始拷貝。

【答案】C

【解題思路】

a.不正確。加密數(shù)據(jù)文件可以防止信息泄露,不會導致病毒的侵入。

b.不正確。文件備份有利于數(shù)據(jù)的恢復,不會導致病毒的侵入。

C.正確。電子公告板上的公用軟件有可能包含病毒,下載并運行這些軟件就會使系統(tǒng)感染病毒。

d.不正確。一般來說,正版軟件的原始拷貝不會包含病毒。

【例題】通過從電腦網(wǎng)絡下載軟件來獲取有關軟件的潛在風險是下載軟件可能含有有害程序編碼,這些編碼可以附著于其他程序,從而在整個公司蔓延。這種有害編碼被稱為

a.邏輯炸彈(logic bomb)。

b.陷阱門(trapdoor)。

C.特絡伊木馬(trojan horse)。

d.病毒(Virus)

【答案】d

【解題思路】

a.不正確。邏輯炸彈是隱藏在正常程序中的一段代碼,該段代碼可在某種條件下觸發(fā)運行,并對系統(tǒng)產(chǎn)生危害,但不會自動蔓延。

b.不正確。陷阱門是系統(tǒng)中存在的某種漏洞,利用它可以繞過正常的訪問控制,從而竊取信息或獲得某種特權。陷阱門也不會蔓延。

c.不正確。特洛伊木馬是一類黑客程序,通過冒充正常的程序(如登錄程序)以非法獲得信息(如用戶命令等)。特洛伊木馬本身不會蔓延。

d.正確。病毒可以附著于其他程序,一旦激活可以在網(wǎng)絡中蔓延。

(責任編輯:中大編輯)

2頁,當前第1頁  第一頁  前一頁  下一頁
最近更新 考試動態(tài) 更多>

考試科目