《管理信息系統(tǒng).第二版》道德與安全、控制

9

道德與安全、控制PARTNineCONTENT目錄9.1信息道德9.2從業(yè)人員的道德責(zé)任9.3計(jì)算機(jī)犯罪9.4隱私問題及其他挑戰(zhàn)9.5信息技術(shù)的安全管理和控制9.6信息系統(tǒng)審計(jì)學(xué)習(xí)目標(biāo)□了解信息道德的主要內(nèi)容及其對(duì)管理信息系統(tǒng)的重要性□了解從業(yè)人員道德責(zé)任的主要內(nèi)容□了解如何培養(yǎng)從業(yè)人員的道德修養(yǎng)□定義計(jì)算機(jī)犯罪并列舉主要的計(jì)算機(jī)犯罪類型□了解隱私以及保護(hù)隱私的主要方法和手段□了解信息技術(shù)安全管理和控制的內(nèi)涵、目的與主要手段□了解信息系統(tǒng)的安全需求和云安全□了解信息系統(tǒng)審計(jì)的作用和方式□了解安全審計(jì)、安全報(bào)警的主要內(nèi)容9.1.1信息道德的概念9.1信息道德信息道德是指調(diào)整人們之間以及個(gè)人和社會(huì)之間信息關(guān)系的行為規(guī)范的總和。它不是國(guó)家強(qiáng)制制定和執(zhí)行的，而是依靠社會(huì)輿論，人們的信念、習(xí)慣、傳統(tǒng)和教育的力量來維持的。信息道德的內(nèi)容：隱私問題；正確性問題；產(chǎn)權(quán)問題；存取權(quán)問題。案例布賴恩的抉擇布賴恩是一家總部在德國(guó)的跨國(guó)公司美國(guó)分部的IT主管。他曾發(fā)現(xiàn)公司的一位高級(jí)主管使用公司的電腦瀏覽色情內(nèi)容，而隨后這位主管被提升到中國(guó)來管理一家制造工廠。該公司的互聯(lián)網(wǎng)使用政策明令禁止使用公司電腦訪問色情或成人內(nèi)容的網(wǎng)站，布賴恩的職責(zé)之一就是使用有關(guān)的網(wǎng)絡(luò)產(chǎn)品監(jiān)控員工上網(wǎng)，如發(fā)現(xiàn)任何違規(guī)情況須上報(bào)給管理人員。這位主管在另一個(gè)部門，他的職位比布賴恩高一級(jí)，在公司很受器重。布賴恩舉報(bào)該主管違背公司互聯(lián)網(wǎng)使用政策極有可能給自己帶來非常大的麻煩。而事實(shí)上，當(dāng)軟件顯示這位主管的計(jì)算機(jī)訪問了數(shù)十個(gè)色情網(wǎng)站后，布賴恩就向上級(jí)報(bào)告了這位主管的違規(guī)行為。公司處理了布賴恩上報(bào)的主管違規(guī)事件，但該主管并未受到太大影響，他對(duì)公司提供了一個(gè)“非常古怪的解釋”，并且被公司接受。在公司的處理結(jié)果公布之后，布萊恩曾考慮去聯(lián)邦調(diào)查局報(bào)告該事件，但互聯(lián)網(wǎng)泡沫剛剛破滅，工作機(jī)會(huì)來之不易。布賴恩非常無奈：“這是一個(gè)艱難的選擇，我有一個(gè)家庭需要養(yǎng)活。”9.1.2信息道德規(guī)范9.1信息道德對(duì)業(yè)主1①盡一切努力保證自己具有最新指示和正確的經(jīng)驗(yàn)，以適應(yīng)工作的需要。②避免興趣上的矛盾，并且保護(hù)業(yè)主意識(shí)到任何潛在的矛盾。③保護(hù)委托給我的信息的隱私性和機(jī)密性。④不錯(cuò)誤地表達(dá)和刪除源于實(shí)情的信息。⑤不企圖利用業(yè)主的資源獲取私利，或做任何未經(jīng)正式批準(zhǔn)的事情。⑥不利用計(jì)算機(jī)系統(tǒng)的弱點(diǎn)謀取私利或達(dá)到個(gè)人目的。9.1信息道德①用我的技術(shù)和知識(shí)傳播給公眾。②盡我最大的努力，保證產(chǎn)品得到社會(huì)信任和應(yīng)用。③支持、尊重和服從地區(qū)、州和聯(lián)邦法律。④不錯(cuò)誤地表達(dá)和刪除公眾關(guān)心的、源于問題和實(shí)情的信息，也不允許這種已知的信息擱置作廢。⑤不利用個(gè)人性或秘密性的知識(shí)，不以任何非法的形式得到個(gè)人好處。對(duì)社會(huì)29.1信息道德對(duì)專業(yè)3①忠于專業(yè)關(guān)系。②當(dāng)看到非法的、不道德的事件時(shí)，應(yīng)采取合適的行動(dòng)。然而當(dāng)我反對(duì)任何人的時(shí)候，必須堅(jiān)信自己是有理的、正確的、負(fù)責(zé)任的，并不帶任何個(gè)人情緒。③盡力與人共享我的專業(yè)知識(shí)。④和他人合作以達(dá)到了解和識(shí)別問題。⑤在沒有得到特殊許可和批準(zhǔn)的情況下，不利用信譽(yù)去做其他工作。⑥不利用他人缺乏經(jīng)驗(yàn)和缺乏知識(shí)去占便宜，以得到個(gè)人好處。9.1.3信息9.1信息道德信息技術(shù)在商業(yè)應(yīng)用中對(duì)社會(huì)產(chǎn)生了重大的影響，同時(shí)也引發(fā)了犯罪、隱私、雇員道德、工作環(huán)境等多方面的道德問題。除了這些問題，人們也應(yīng)該注意到，信息技術(shù)在給社會(huì)和相關(guān)領(lǐng)域帶來負(fù)面影響的同時(shí)，也為商業(yè)領(lǐng)域帶來了很多積極的因素。例如，采用信息技術(shù)控制業(yè)務(wù)流程管理雖然造成了失業(yè)問題，但是信息技術(shù)也改善了員工的工作環(huán)境，并能夠以更低的成本生產(chǎn)出更高質(zhì)量的產(chǎn)品。9.2.1從業(yè)人員的道德責(zé)任9.2從業(yè)人員的道德責(zé)任商業(yè)道德，又稱商業(yè)倫理，是指管理人員在日常的企業(yè)決策中必須面對(duì)的大量道德問題。9.2從業(yè)人員的道德責(zé)任從業(yè)人員的道德責(zé)任，除了商業(yè)道德之外，還有管理信息系統(tǒng)中與技術(shù)應(yīng)用相關(guān)的技術(shù)道德問題。9.2.2道德指導(dǎo)方針9.2從業(yè)人員的道德責(zé)任一方面，很多企業(yè)和組織制定了以道德方式使用計(jì)算機(jī)和互聯(lián)網(wǎng)應(yīng)該遵循的詳細(xì)政策。這些政策具有很高的實(shí)用性和指導(dǎo)性。另一方面，信息系統(tǒng)專業(yè)人員行為準(zhǔn)則中對(duì)于責(zé)任的陳述，比如計(jì)算機(jī)領(lǐng)域的專業(yè)化組織——信息技術(shù)職業(yè)聯(lián)合會(huì)制定的職業(yè)行為準(zhǔn)則，列出了信息系統(tǒng)專業(yè)人員主要責(zé)任中固有的道德要求。9.2從業(yè)人員的道德責(zé)任9.2.3培養(yǎng)從業(yè)人員的道德修養(yǎng)9.2從業(yè)人員的道德責(zé)任在從業(yè)人員的道德修養(yǎng)培養(yǎng)中，企業(yè)通過政策和思想教育，使員工明確各種信息技術(shù)均應(yīng)該有道德地被使用。在企業(yè)中，IT工作人員可以優(yōu)先獲得關(guān)于個(gè)人、行業(yè)及整個(gè)公司在內(nèi)的信息，他們也有技術(shù)能力控制這些信息，企業(yè)也應(yīng)該賦予他們權(quán)力和責(zé)任去監(jiān)測(cè)和報(bào)告破壞公司規(guī)則的員工。9.3.1計(jì)算機(jī)犯罪的定義9.3計(jì)算機(jī)犯罪計(jì)算機(jī)犯罪可分為兩種類型：一是針對(duì)計(jì)算機(jī)，對(duì)其實(shí)施侵入或破壞；二是利用計(jì)算機(jī)實(shí)施有關(guān)金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或其他犯罪行為。由AITP定義的計(jì)算機(jī)犯罪包括：①未經(jīng)授權(quán)地使用、訪問、修改和破壞硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)資源；②未經(jīng)授權(quán)的信息發(fā)布；③未經(jīng)授權(quán)的軟件復(fù)制；④拒絕終端用戶訪問自己的硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)資源；⑤使用或者密謀使用計(jì)算機(jī)或網(wǎng)絡(luò)資源，以非法方式獲得信息或有形財(cái)產(chǎn)。案例犯罪集團(tuán)通過竄改計(jì)算機(jī)記錄謀殺一個(gè)犯罪集團(tuán)的成員在受重傷之后，決定作為證人出庭指認(rèn)犯罪同伙。警方將他的病床置于一個(gè)重點(diǎn)看護(hù)病房，并對(duì)其進(jìn)行了嚴(yán)密的保護(hù)，僅允許醫(yī)院的醫(yī)療人員和少數(shù)幾個(gè)探視者接觸病人。該病人對(duì)青霉素過敏。一天晚上，一個(gè)護(hù)士給該病人注射了青霉素，不久之后病人死亡。警方隨即開始調(diào)查，認(rèn)為該護(hù)士有重大嫌疑，但護(hù)士堅(jiān)稱自己在計(jì)算機(jī)上查看病人病歷時(shí)，上面要求注射青霉素。后來警方調(diào)查了計(jì)算機(jī)記錄，在備份資料中發(fā)現(xiàn)病人的病歷曾被醫(yī)院之外的人修改過。正是這樣的修改，謀殺了這位病人。9.3.2計(jì)算機(jī)犯罪的分類9.3計(jì)算機(jī)犯罪黑客攻擊1黑客攻擊（hacking）是指不正當(dāng)?shù)厥褂糜?jì)算機(jī)或未經(jīng)授權(quán)地訪問、使用網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)。黑客可能是公司外部人員，也可能是公司員工，他們使用互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)來偷竊或破壞數(shù)據(jù)和程序。黑客非法進(jìn)入計(jì)算機(jī)系統(tǒng)閱讀某些機(jī)密文件，盡管沒有偷竊和破壞任何文件，卻依然屬于計(jì)算機(jī)犯罪范疇。9.3計(jì)算機(jī)犯罪計(jì)算機(jī)竊賊29.3計(jì)算機(jī)犯罪很多計(jì)算機(jī)犯罪都涉及資金的竊取。大多數(shù)案件都屬于“內(nèi)部作案”，即內(nèi)部員工以非授權(quán)方式進(jìn)入網(wǎng)絡(luò)，在數(shù)據(jù)庫進(jìn)行欺詐性修改，并抹去痕跡。當(dāng)然，很多計(jì)算機(jī)犯罪都通過互聯(lián)網(wǎng)來進(jìn)行。舉一個(gè)計(jì)算機(jī)犯罪的早期例子：1994年下半年，俄羅斯黑客弗拉迪米爾·萊文及其同伙在圣彼得堡通過互聯(lián)網(wǎng)闖入紐約花旗銀行的主機(jī)系統(tǒng)竊取了1100萬美元。9.3計(jì)算機(jī)犯罪網(wǎng)絡(luò)詐騙3網(wǎng)絡(luò)詐騙是指以非法占有為目的，利用互聯(lián)網(wǎng)采用虛構(gòu)事實(shí)或者隱瞞真相的方法，騙取數(shù)額較大的公私財(cái)物的行為。網(wǎng)絡(luò)詐騙與一般詐騙的主要區(qū)別在于，網(wǎng)絡(luò)詐騙是利用互聯(lián)網(wǎng)實(shí)施的詐騙行為，沒有利用互聯(lián)網(wǎng)實(shí)施的詐騙行為便不是網(wǎng)絡(luò)詐騙。工作中的非授權(quán)使用49.3計(jì)算機(jī)犯罪非授權(quán)使用計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)可以被稱作“時(shí)間和資源竊賊”。一個(gè)常見的例子是，員工非授權(quán)使用公司的計(jì)算機(jī)網(wǎng)絡(luò)，包括做私人咨詢或個(gè)人理財(cái)、玩視頻游戲，或者非授權(quán)使用公司網(wǎng)絡(luò)來訪問互聯(lián)網(wǎng)。被稱作探測(cè)器的網(wǎng)絡(luò)監(jiān)控軟件常被用來監(jiān)控網(wǎng)絡(luò)流量、評(píng)價(jià)網(wǎng)絡(luò)容量，揭示非正當(dāng)使用網(wǎng)絡(luò)的證據(jù)。9.3計(jì)算機(jī)犯罪9.3計(jì)算機(jī)犯罪軟件侵權(quán)5軟件侵權(quán)是指未經(jīng)授權(quán)的復(fù)制、使用軟件。軟件開發(fā)商行業(yè)協(xié)會(huì)就曾起訴大公司允許員工未經(jīng)授權(quán)地復(fù)制其軟件。未經(jīng)授權(quán)的軟件復(fù)制是違法的，因?yàn)檐浖鞘馨鏅?quán)法和用戶許可協(xié)議保護(hù)的知識(shí)產(chǎn)權(quán)。侵犯知識(shí)產(chǎn)權(quán)69.3計(jì)算機(jī)犯罪與計(jì)算機(jī)相關(guān)的侵權(quán)對(duì)象不僅是軟件，還有擁有知識(shí)產(chǎn)權(quán)的其他版權(quán)資料，包括音樂、視頻、圖像、文章、書籍及其他書面作品。這些知識(shí)資產(chǎn)非常容易遭到版權(quán)侵犯。電子版本很容易通過計(jì)算機(jī)系統(tǒng)獲取，人們可以在互聯(lián)網(wǎng)站點(diǎn)上訪問并下載，或者很容易地以電子郵件附件的形式傳播。對(duì)等網(wǎng)絡(luò)技術(shù)（P2P）的發(fā)展，使版權(quán)資料的電子版本更易被盜版。9.3計(jì)算機(jī)犯罪計(jì)算機(jī)病毒和蠕蟲7計(jì)算機(jī)犯罪中最具毀滅性的例子是創(chuàng)造了計(jì)算機(jī)病毒和蠕蟲。從技術(shù)上說，病毒是一段必須插入另一程序中才能工作的程序代碼，而蠕蟲卻是一個(gè)可以獨(dú)立運(yùn)行的獨(dú)特程序。只要用戶訪問了感染病毒的計(jì)算機(jī)，或者使用了從感染病毒的計(jì)算機(jī)上拷貝的文件，無論是病毒還是蠕蟲都可能把一些令人憤怒的、具有破壞性的程序復(fù)制到企業(yè)的計(jì)算機(jī)系統(tǒng)中。9.3.3計(jì)算機(jī)犯罪的新問題9.3計(jì)算機(jī)犯罪1234計(jì)算機(jī)犯罪的跨國(guó)性犯罪技術(shù)將不斷革新云安全服務(wù)將成為新趨勢(shì)開發(fā)病毒程序難度下降9.4.1隱私權(quán)9.4隱私問題及其他挑戰(zhàn)隱私權(quán)1隱私權(quán)是指保證當(dāng)事人的私人生活和私密信息按照個(gè)人意愿不受他人干擾、知悉和公開的權(quán)利。隱私權(quán)具有不同的界定。從心理學(xué)角度來看，隱私權(quán)是人們對(duì)私人生活空間的需要。我們每個(gè)人或多或少都需要一種心理上的肯定性，即我們獨(dú)立掌握自己的財(cái)產(chǎn)和私人資料。從法學(xué)角度來講，隱私權(quán)是個(gè)人保護(hù)的需要。9.4隱私問題及其他挑戰(zhàn)目前比較普遍的信息技術(shù)應(yīng)用對(duì)個(gè)人隱私產(chǎn)生負(fù)面影響的行為：①訪問私人電子郵件內(nèi)容和計(jì)算機(jī)記錄，基于人們?cè)L問互聯(lián)網(wǎng)站點(diǎn)和新聞組的行為來收集和共享個(gè)人信息。②提供移動(dòng)通信服務(wù)的公司掌握著用戶的個(gè)人信息，并使用電腦監(jiān)控用戶的移動(dòng)通信設(shè)備的使用行為和所處位置。③通過計(jì)算機(jī)匹配，利用來自不同信息源的客戶信息開展額外的營(yíng)銷服務(wù)。④在用戶未授權(quán)的情況下，收集用戶的電話號(hào)碼、電子郵件地址、信用卡號(hào)及其他個(gè)人信息來建立客戶個(gè)人特征文件。隱私問題29.4隱私問題及其他挑戰(zhàn)互聯(lián)網(wǎng)上的隱私3如果不采取適當(dāng)?shù)念A(yù)防措施，每當(dāng)用戶發(fā)送電子郵件、訪問Web站點(diǎn)、在新聞組粘貼消息、通過互聯(lián)網(wǎng)處理銀行業(yè)務(wù)和購物、在線處理業(yè)務(wù)或娛樂時(shí)，都會(huì)在毫不知情的情況下被那些忙于收集個(gè)人數(shù)據(jù)的人和組織所利用。9.4隱私問題及其他挑戰(zhàn)很多國(guó)家嚴(yán)格限制企業(yè)和政府機(jī)構(gòu)收集和利用個(gè)人數(shù)據(jù)。很多政府頒布了隱私法，以期能夠強(qiáng)制保護(hù)計(jì)算機(jī)文件和通信的隱私。例如，在美國(guó)，《電信隱私法案》以及《計(jì)算機(jī)欺詐與濫用法案》禁止監(jiān)聽數(shù)據(jù)通信信息，禁止竊取或破壞數(shù)據(jù)，禁止擅自闖入與聯(lián)邦政府相關(guān)的計(jì)算機(jī)系統(tǒng)。如果企業(yè)需要監(jiān)控員工對(duì)互聯(lián)網(wǎng)的使用，法律明確要求企業(yè)必須事先告知員工?！队?jì)算機(jī)匹配與隱私保護(hù)法案》還規(guī)范了聯(lián)邦政府文件的數(shù)據(jù)匹配，以此來證實(shí)聯(lián)邦程序的合法性。隱私權(quán)保護(hù)法案49.4.2其他挑戰(zhàn)9.4隱私問題及其他挑戰(zhàn)1234就業(yè)挑戰(zhàn)計(jì)算機(jī)監(jiān)控工作條件的挑戰(zhàn)對(duì)個(gè)性的挑戰(zhàn)9.5.1安全管理和控制的內(nèi)涵9.5信息技術(shù)的安全管理和控制安全管理1安全管理的目標(biāo)是讓所有信息系統(tǒng)的處理及資源準(zhǔn)確、完整和安全。有效的安全管理可以將企業(yè)及其客戶、供應(yīng)商和利益相關(guān)者相互連接的信息系統(tǒng)中的錯(cuò)誤、欺詐和損失降到最低。9.5信息技術(shù)的安全管理和控制信息系統(tǒng)控制是確保信息系統(tǒng)活動(dòng)的準(zhǔn)確性、有效性和規(guī)范性的方法與設(shè)備。開展信息系統(tǒng)控制的目的是確保數(shù)據(jù)錄入、處理技術(shù)、存儲(chǔ)方法和信息輸出的正確性。因此，信息系統(tǒng)控制應(yīng)能監(jiān)控和維護(hù)信息系統(tǒng)輸入、處理、輸出和存儲(chǔ)活動(dòng)的質(zhì)量與安全。信息系統(tǒng)控制29.5.2信息系統(tǒng)的安全需求9.5信息技術(shù)的安全管理和控制12453信息系統(tǒng)規(guī)劃階段的安全需求信息系統(tǒng)設(shè)計(jì)階段的安全需求信息系統(tǒng)實(shí)施階段的安全需求信息系統(tǒng)運(yùn)行維護(hù)階段的安全需求信息系統(tǒng)廢棄階段的安全需求9.5.3建立安全和控制的管理框架9.5信息技術(shù)的安全管理和控制信息系統(tǒng)控制的類型1有效保護(hù)信息資源需要一整套嚴(yán)密規(guī)劃的控制措施。可以通過通用控制和應(yīng)用控制對(duì)系統(tǒng)進(jìn)行控制。通用控制是指對(duì)系統(tǒng)的設(shè)計(jì)、安全、使用程序以及整個(gè)公司數(shù)據(jù)安全的控制。一般而言，通用控制可應(yīng)用于所有的計(jì)算機(jī)應(yīng)用程序，由硬件、軟件和手工程序組成，創(chuàng)造一個(gè)整體的控制環(huán)境。通用控制包括軟件控制、硬件控制、計(jì)算機(jī)操作控制、數(shù)據(jù)安全控制、系統(tǒng)應(yīng)用過程控制和管理控制等。9.5信息技術(shù)的安全管理和控制企業(yè)必須制定一個(gè)一致的安全政策，在政策中考慮風(fēng)險(xiǎn)的性質(zhì)、需要保護(hù)的信息資產(chǎn)、解決風(fēng)險(xiǎn)所需的程序與技術(shù)、應(yīng)用和審核機(jī)制。安全政策由信息風(fēng)險(xiǎn)排序表、可接受的安全目標(biāo)和實(shí)現(xiàn)安全目標(biāo)的機(jī)制組成。一個(gè)安全的組織通常有可接受使用政策和授權(quán)政策。安全政策29.5.4安全管理和控制的手段9.5信息技術(shù)的安全管理和控制加密1數(shù)據(jù)加密是保護(hù)數(shù)據(jù)及其他計(jì)算機(jī)網(wǎng)絡(luò)資源的一種重要方法。密碼、消息、文本及其他數(shù)據(jù)可以采用加密編碼的方式來傳輸，并只能由授權(quán)用戶的計(jì)算機(jī)系統(tǒng)來解碼。數(shù)據(jù)加密需要借助特定的數(shù)學(xué)算法或密鑰，將數(shù)字轉(zhuǎn)換為加密代碼，然后傳輸出去，當(dāng)它們到達(dá)目的地后再進(jìn)行解碼。9.5信息技術(shù)的安全管理和控制防火墻是控制和保護(hù)互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)安全的重要方法。網(wǎng)絡(luò)防火墻可以是一個(gè)通信處理設(shè)備，典型的像路由器，或一臺(tái)裝有防火墻軟件的專用服務(wù)器。防火墻相當(dāng)于一個(gè)“門衛(wèi)”系統(tǒng)，在企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)間的雙向通信中，防火墻為用戶提供一個(gè)過濾和安全轉(zhuǎn)發(fā)訪問請(qǐng)求的控制點(diǎn)。防火墻29.5信息技術(shù)的安全管理和控制拒絕服務(wù)攻擊3互聯(lián)網(wǎng)對(duì)黑客發(fā)動(dòng)攻擊的抵抗能力是極其脆弱的，尤其是分布式拒絕服務(wù)的攻擊。通過互聯(lián)網(wǎng)發(fā)起的拒絕服務(wù)攻擊要依靠網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)的三個(gè)層次：受害者的網(wǎng)站；受害者的ISP；“僵尸”站點(diǎn)，即受計(jì)算機(jī)犯罪控制的“奴隸”站點(diǎn)。9.5信息技術(shù)的安全管理和控制互聯(lián)網(wǎng)及其他在線電子郵件系統(tǒng)是黑客散布病毒及入侵聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)最喜歡的渠道之一。通常情況下，公司試圖通過強(qiáng)制手段阻止員工發(fā)布非法的、個(gè)人的或破壞性信息，而員工則認(rèn)為這樣侵犯了他們的隱私權(quán)。電子郵件監(jiān)控4案例普雷西迪奧金融合作公司對(duì)員工的監(jiān)控一份隱私權(quán)利信息中心的研究報(bào)告說，員工根本無法限制雇主對(duì)其的監(jiān)督。大多數(shù)情況下，雇主有權(quán)監(jiān)聽員工的電話，并取得這些通話的記錄，或使用軟件來查看員工的計(jì)算機(jī)屏幕上顯示的內(nèi)容，檢查哪些信息被存儲(chǔ)在硬盤上，并跟蹤和記錄電子郵件。普雷西迪奧金融合作公司提供投資咨詢服務(wù)，為150個(gè)客戶掌控著約30億美元的資產(chǎn)。它接受美國(guó)證券交易委員會(huì)和全國(guó)證券交易商協(xié)會(huì)的監(jiān)督，公司與其客戶進(jìn)行的電子郵件及其他通信必須接受監(jiān)管機(jī)構(gòu)的監(jiān)察，并保持這些信息的存檔。普雷西迪奧開始使用Fortiva公司的監(jiān)督軟件來對(duì)公司顧問的郵件進(jìn)行監(jiān)視、跟蹤和存檔。Fortiva監(jiān)督軟件用來追蹤普雷西迪奧公司的銷售人員和客戶之間的電子郵件，專門搜索可能會(huì)造成問題的關(guān)鍵詞。該軟件會(huì)對(duì)諸如擔(dān)保退還或保證性能的短語，或任何時(shí)候使用“投訴”一詞進(jìn)行標(biāo)記。如果有關(guān)鍵詞被標(biāo)記了，主管必須審查該電子郵件。每天有多達(dá)50封電子郵件需要排隊(duì)等待審查。不斷增加的自動(dòng)化監(jiān)測(cè)工具，使得雇主比過去更容易看到雇員正在做什么。但在正常瀏覽員工工作記錄時(shí)，雇主極有可能閱讀到員工的隱私信息。9.5信息技術(shù)的安全管理和控制病毒防御5企業(yè)防病毒保護(hù)是信息技術(shù)的一項(xiàng)核心功能。幾乎所有人都會(huì)給PC機(jī)和筆記本電腦安裝殺毒軟件。殺毒軟件在后臺(tái)運(yùn)行，并經(jīng)常彈出窗口來提醒用戶。信息系統(tǒng)部門的重要職責(zé)之一就是采用集中發(fā)布和更新殺毒軟件的方法來構(gòu)筑防止病毒擴(kuò)散的體系。9.5信息技術(shù)的安全管理和控制容錯(cuò)計(jì)算機(jī)和安全監(jiān)控器等軟硬件工具、口令和備份文件等安全策略和過程，是保護(hù)企業(yè)系統(tǒng)和網(wǎng)絡(luò)的常用安全措施。現(xiàn)在，這些措施已成為很多企業(yè)實(shí)施綜合安全管理的部分內(nèi)容。①安全密碼。②備份文件。③安全監(jiān)控器。④生物統(tǒng)計(jì)安全技術(shù)。其他安全措施6⑤計(jì)算機(jī)故障控制。⑥容錯(cuò)系統(tǒng)。⑦災(zāi)難恢復(fù)。9.5.5云安全9.5信息技術(shù)的安全管理和控制云計(jì)算是一種新型Web服務(wù)模式，計(jì)算和存儲(chǔ)能力從桌面端轉(zhuǎn)移到云端，它利用互聯(lián)網(wǎng)的傳輸及計(jì)算功能，將原來放在客戶端的分析計(jì)算能力轉(zhuǎn)移到了服務(wù)器端。網(wǎng)絡(luò)資源的動(dòng)態(tài)伸縮是其內(nèi)在本質(zhì)，目的是提高企業(yè)運(yùn)作效率和減少IT成本。9.5信息技術(shù)的安全管理和控制云計(jì)算的濫用、惡用1云計(jì)算會(huì)遭遇嚴(yán)峻挑戰(zhàn)的原因之一是它提供服務(wù)的方式是Web方式和寬帶網(wǎng)絡(luò)。對(duì)此，云計(jì)算服務(wù)提供商必須采取強(qiáng)有力的保護(hù)舉措來面對(duì)云計(jì)算服務(wù)的拒絕服務(wù)攻擊威脅。另一方面，按需自服務(wù)的特征要求在開通服務(wù)和變更服務(wù)這些環(huán)節(jié)更具靈動(dòng)性，服務(wù)提供商根據(jù)云計(jì)算快速彈性的特征又會(huì)被要求擁有極強(qiáng)的網(wǎng)絡(luò)與服務(wù)器資源。9.5信息技術(shù)的安全管理和控制要強(qiáng)化對(duì)員工的安全教育；對(duì)安全控制在每個(gè)業(yè)務(wù)流程都不能掉以輕心；管理供應(yīng)商時(shí)應(yīng)制定明確的爭(zhēng)議條款、懲罰規(guī)定，在其發(fā)生安全事故后照章處置；特定的企業(yè)要明確員工所背負(fù)的法律責(zé)任，若其未能遵守法規(guī)，可移交司法部門依法處理。內(nèi)部員工的威脅29.5信息技術(shù)的安全管理和控制數(shù)據(jù)泄露3云端存放有企業(yè)大量的重要數(shù)據(jù)，并且在許多威脅環(huán)境下均有讓云端數(shù)據(jù)丟失或泄露的可能性，這就要求企業(yè)管理層或決策者要對(duì)云服務(wù)提供商保護(hù)數(shù)據(jù)的能力做出測(cè)試。首先，管理密鑰是至關(guān)重要的；其次，就是一個(gè)宿主機(jī)上有不同客戶，每個(gè)客戶均會(huì)要求作法律取證，這同樣會(huì)引起數(shù)據(jù)的泄露和毀壞。為避免數(shù)據(jù)泄露，需要增強(qiáng)加密及檢測(cè)水平（“設(shè)計(jì)—運(yùn)行—數(shù)據(jù)傳輸—數(shù)據(jù)處理—數(shù)據(jù)存儲(chǔ)”這些環(huán)節(jié)）。9.5信息技術(shù)的安全管理和控制信息不對(duì)稱在云計(jì)算服務(wù)與用戶之間表現(xiàn)得非常明顯。首先，用戶無須也沒有足夠資源去全方位洞悉“云”的一切，他們之所以會(huì)把本身的IT計(jì)算和服務(wù)外包給云服務(wù)提供商，只為解放及優(yōu)化自身資源。其次，哪怕是與安全直接相關(guān)的信息，出于安全和商業(yè)機(jī)密的考量，云計(jì)算服務(wù)提供商也不會(huì)心甘情愿對(duì)外分享。那么遇到這種情況時(shí)，大量未知的安全風(fēng)險(xiǎn)就會(huì)出現(xiàn)在云計(jì)算用戶面前。未知的風(fēng)險(xiǎn)場(chǎng)景49.6.1安全審計(jì)及審計(jì)的內(nèi)容9.6信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)是指對(duì)信息系統(tǒng)有影響的所有控制進(jìn)行審查，評(píng)價(jià)其有效性。審計(jì)用來確認(rèn)管理單個(gè)信息系統(tǒng)的所有控制措施，并評(píng)估其效能。為了達(dá)到此目標(biāo)，審計(jì)人員必須對(duì)整個(gè)操作過程、物理設(shè)備、通信網(wǎng)絡(luò)、控制系統(tǒng)、數(shù)據(jù)安全目標(biāo)、組織架構(gòu)、人事、手工處理流程和每個(gè)具體的應(yīng)用都有細(xì)致而充分的了解。9.6信息系統(tǒng)審計(jì)安全審計(jì)主要應(yīng)該實(shí)現(xiàn)以下幾個(gè)目標(biāo)：①能夠詳細(xì)記錄所有訪問行為的相關(guān)數(shù)據(jù)，并檢查安全