国际注册内部审计师

信息保护

1 Elements of Information Security

信息安全的基本要素

信息的保密性、完整性和可用性是信息安全的基本要素：

· 保密性：保证敏感信息（包括隐私信息）不被非授权地浏览或截取。

· 完整性：保证信息（如财务报告）的完整和准确。

· 可用性：保证信息随时可用，并能在各种故障或灾难发生后能迅速恢复数据。

信息安全是大多数IT控制的基础，它包括数据安全和基础设施安全两个方面。数据安全通过基于角色的访问控制等手段，保证信息不被非授权的用户所访问，并通过日志系统保留用户活动的审计踪迹；安全基础设施则是应用安全的系统基础，包括其主机和服务器系统，通过各种安全软件保证基础系统不被非法侵入。

2 Malware

恶意软件

恶意软件统指各种以非法途径访问系统，并以控制、破坏系统或窃取数据为目的的软件。现在以营利为目的的专业恶意软件市场已经形成，并且愈演愈烈。尽管多数恶意软件基于微软的桌面操作系统平台，但针对其它流行系统（如Linux）和服务器平台的恶意软件也在不断增加。

病毒软件（virware）是一类恶意软件，包括：

· 病毒（virus）是一段计算机代码，它可自行复制并感染其他计算机执行程序；

· 宏病毒（macro virus）是一种可附着于word等数据文件的宏程序中的特殊病毒；

· 蠕虫（worms）是一个计算机程序，它通常仅存在于内存中，但可以通过网络快速并大量地将自身复制到其它系统中，从而消耗计算机或网络资源；蠕虫按其传播方式有电子邮件蠕虫、即时通讯（IM）蠕虫和移动设备蠕虫等。

特洛伊木马（trojan horse）是一个计算机程序或隐藏于某个应用程序中的一段代码，它从表面上看是正常的程序，但是实际上却隐含着恶意意图。特洛伊木马可能用于窃取密码等敏感信息，也可以用于进一步安装其它恶意软件（如间谍软件），从而为其编制者长期所用。相对于病毒，木马软件无需自行复制功能，因此更容易开发也更隐蔽，其增长速度也要大大高于其它恶意软件。

木马软件的种类繁多，根据目的和行为可分为后门、逻辑炸弹、特洛伊代理、超级用户工具箱等。

其它恶意软件和威胁

· 僵尸网络（botnet）：BotNet病毒与木马的使用方式相仿，但木马通常只会攻击特定目标，而BotNet不但会攻击其它电脑，而且它具有“虫”的特性，会慢慢在网络空间中“爬行”，一遇到有漏洞的电脑主机，就会自行展开攻击。

· 垃圾部件工具（spamtool）：收集电子邮件地址以用于发送垃圾邮件。

· 键盘跟踪软件（keylogger）：跟踪并分析用户的击键行为，从中获取其感兴趣的信息（如网上银行的登录密码）。

· 拨号器（dialer）：自动拨打900等高收费电话号码。

· 广告软件（ADware）：不断产生弹出式广告窗口。

· 间谍软件（spyware）：收集用户机器的各种软硬件和配置信息，以用于商业或其它目的。

· 拒绝服务攻击（DOD）：通过超大量地发送消息或服务请求，将某个站点的网络或系统资源消耗殆尽，使其彻底瘫痪或无法提供正常服务。这是网络恐怖主义者最常用也最难防范的攻击手段。

· 网络钓鱼（phishing）：伪装成一个合法正规的网站，并通过各种方式（如建立虚假链接、大量发送带有诱惑性的电子邮件），引诱其客户前来登录，从而骗取其用户ID和口令。

· 网址嫁接（Pharming）：和phishing相仿，也是伪装一个合法正规的网站，但通过篡改DNS服务器直接将其使用者导引到伪造的网站上。

· 双面恶魔（evil twin）是一个自制的无线接入点（热点），伪装成合法的接入点在终端用户不知情的情况下收集个人或企业信息。

· 尾随（piggybacking）：通常指物理上尾随某个合法人员进入受控区域，有时也指趁某个已登录用户暂离现场时，利用其身份逻辑访问网络。

3 How to Prevent Malwares and Computer Crimes

防范恶意软件和计算机犯罪

通过合理地维护和配置系统可以增强系统的健壮性和免疫能力，如：

· 及时下载并安装操作系统和应用系统的补丁包。

· 在系统运行时关闭管理员特权。

· 限制特权代码的使用。

· 只从经过验证或指定的网站下载。

· 启用高安全级别；阻断各种恶意软件的进入渠道。

· 通过直接输入URL地址来访问网站，如不要点击电子邮件中的链接。

· 加密敏感信息或离线保存。

建立多层次的病毒防范体系。有两种预防及侦测病毒感染的方法，其一是建立规范、严谨的管理策略与程序；其二是采用技术方法，如防病毒软件。

预防和侦测病毒的管理控制策略包括：

· 安装正版软件。

· 凡未在单机中扫毒的软件（无论是否正版）不允许在网络环境中使用。

· 确保在工作站、主机和服务器中均已安装杀毒软件。

· 随时更新病毒特征库。

· 备份数据也需要经过杀毒程序，以确保备份的有效性。

· 教育用户遵守公司的策略及程序。

· 至少每年审核一次防毒策略与程序。

防病毒软件的功能通常包括：扫描、动态监控、完整性检查、行为阻断，此外，防病毒软件应具有预防控制的功能。应定期更新病毒特征库，否则防病毒软件将无法有效防止病毒。但即使拥有最新的病毒特征库，也不能保证查杀所有病毒，因此不能过于依赖防病毒软件。

4 Privacy

隐私权

隐私权是个人对其私有信息享有的权利，如企业未经授权不得将客户的电话号码、地址等信息泄露给第三方。信息技术使侵犯隐私权变得更容易，任何进入信息系统的个人信息，都有可能被永久地用于商业目的甚至非法活动（如恐吓信）。随着信息系统应用的深入，对隐私权的保护越来越受到重视。

组织和员工在隐私权的问题存在天然的矛盾，因为组织需要保护其自身的利益和防止不适当的活动，而员工则要求其个人行为和信息不受侵犯。组织对其雇员的过度监控会导致员工士气的低落，因此清晰的政策和良好的沟通十分重要，政策应告知员工什么是受监控的，什么是不受监控的，以及对员工的期望。

组织侵犯了隐私权可能给当事人带来巨大的伤害，越来越多的国家制定了各种保护隐私权的法律、条例，组织应确保予以遵守。大多数国家的隐私权立法均部分地基于美国联邦贸易委员会提出的公平信息原则（FIP），FIP认为交易双方均对对方负有责任，个人拥有隐私权但需要证明其身份，而组织则对信息的采集和使用承担责任。FIP包括：

· 通告：在采集数据之前，WEB站点必须披露采集者的身份和其他受众、数据的用途、是否自愿以及将采取哪些措施保护数据。

· 选择：消费者应能够选择如何在交易之外使用该信息。

· 访问：消费者应能够方便访问和修改其个人信息而无需支付昂贵的费用。

· 安全：数据采集者必须保证其拥有足够的数据控制。

· 强制：通过各种法律法规保证FIP条款的强制实施。

组织至少应采取合理的措施，以避免招致法律诉讼、罚款以及负面的公众形象和信誉等严重后果。

典型试题

【例题】依靠反病毒软件的主要风险是反病毒软件（　）

a.不能检测出某些病毒。

b.使软件的安装变得过于复杂。

C.干扰系统的正常操作。

d.耗费太多的系统资源。

【答案】a

【解题思路】

a.正确。依赖反病毒软件的风险之一是反病毒软件只能针对已知病毒，而且对已知病毒的变种也不一定完全有效。换句话说，反病毒软件不能确保识别出所有病毒。

b.不正确。反病毒软件一般不会使软件的安装变得过于复杂。

c.不正确。反病毒软件不是必然要和系统运行冲突，因为可以事先设定其运行计划使其不影响其他程序的运行。

d.不正确。反病毒软件可以被设置为在不造成耗费过多系统资源的时刻执行（如，启动时）。

【例题】由于计算机技术的高速发展，下面哪一种情况会对组织产生新的暴露风险?

a.针对计算机被滥用的情况，组织报告风险和控制风险的程序发生了变更。

b.对磁带库管理程序的控制。

C.操作系统的复杂性和对数据隐私的控制。

d.组织行为的变更。

【答案】C

【解题思路】

a.不正确。组织报告风险的程序与技术的发展并没有直接的关系。

b.不正确。对磁带库管理程序的控制不会因技术的发展而产生重大变化。

c.正确。计算机技术的高速发展带来了更复杂的系统环境，尤其是随着远程访问系统的出现，非授权个体获得和篡改重要信息的风险在增加。

d.不正确。组织行为的变更与技术的发展也没有直接的关系。

利用以下信息回答3-4题：

计算机病毒的一个主要种类是一些程序，这些程序可以附着在其他程序中并进一步感染其他程序。尽管这类病毒中有许多是相对无害的，但其中也有一些可能对系统造成严重的损害。

【例题】以下哪一项可以表明这类计算机病毒已经出现?

a.频繁地出现电涌并损坏计算机设备。

b.莫名其妙的数据丢失和修改现象。

C.不充分的备份、恢复和应急计划。

d.已购软件的非授权使用并导致大量的侵犯版权现象。

【答案】b

【解题思路】

a.不正确。电涌是因为供电设施的质量不佳引起，和上述病毒无关。

b.正确。某些病毒运行后，可能自行删除或修改数据，导致系统内数据的丢失或损坏。

c.不正确。备份、恢复和应急计划属于系统实施控制，和上述病毒无关。

d.不正确。本现象的出现通常是因为组织内部的版权控制缺陷，而不是病毒。

【例题】以下哪项操作过程增加了组织感染病毒的风险?

a.加密数据文件。

b.频繁的文件备份。

C.从电子公告板上下载公用软件。

d.在硬盘上安装已购软件的原始拷贝。

【答案】C

【解题思路】

a.不正确。加密数据文件可以防止信息泄露，不会导致病毒的侵入。

b.不正确。文件备份有利于数据的恢复，不会导致病毒的侵入。

C.正确。电子公告板上的公用软件有可能包含病毒，下载并运行这些软件就会使系统感染病毒。

d.不正确。一般来说，正版软件的原始拷贝不会包含病毒。

【例题】通过从电脑网络下载软件来获取有关软件的潜在风险是下载软件可能含有有害程序编码，这些编码可以附着于其他程序，从而在整个公司蔓延。这种有害编码被称为

a.逻辑炸弹（logic bomb）。

b.陷阱门（trapdoor）。

C.特络伊木马（trojan horse）。

d.病毒（Virus）

【答案】d

【解题思路】

a.不正确。逻辑炸弹是隐藏在正常程序中的一段代码，该段代码可在某种条件下触发运行，并对系统产生危害，但不会自动蔓延。

b.不正确。陷阱门是系统中存在的某种漏洞，利用它可以绕过正常的访问控制，从而窃取信息或获得某种特权。陷阱门也不会蔓延。

c.不正确。特洛伊木马是一类黑客程序，通过冒充正常的程序（如登录程序）以非法获得信息（如用户命令等）。特洛伊木马本身不会蔓延。

d.正确。病毒可以附着于其他程序，一旦激活可以在网络中蔓延。

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页