会计信息系统安全

可信计算机系统评测标准（续）
▪ B1级 ➢ 标记安全保护。“安全”(Security)或“可信的”(Trusted)产品。 ➢ 对系统的数据加以标记，对标记的主体和客体实施强制存取控制（MAC）、审计等安 全机制
可信计算机系统评测标准（续）wenku.baidu.com
➢ 典型例子 操作系统 ➢ 数字设备公司的SEVMS VAX Version 6.0 ➢ 惠普公司的HP-UX BLS release 9.0.9+ 数据库 ➢ Oracle公司的Trusted Oracle 11 ➢ Sybase公司的Secure SQL Server version 11.0.6 ➢ Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0
▪ 以上安全事件都应如何防范？
讨论
会计信息系统面临的风险
▪ 不适当的系统开发； ▪ 会计流程变化引起的错误； ▪ 会计人员分工不合理导致的数据无人负责或多人修改； ▪ 会计档案存储方式的改变，使会计数据易丢失和被人篡改； ▪ 未经授权的应用软件调用和修改； ▪ 应用系统缺乏对不合理业务的识别能力； ▪ 自然灾害、火灾、偷盗、停电、软硬件故障、病毒、黑客攻击。
▪ 国内
➢ 2000年3月6日，中国某家知名的全国性网上连锁商城开业3天惨遭黑客暗算，网站 全线瘫痪，页面被修改，数据库也受到了不同程度的攻击，交易数据破坏严重。 （黑客攻击）
▪ 国内
➢ 2004年6月至2005年8月期间，上海乐购超市真北店资讯组组长方元设计非法软件程 序，伙同收银员，每天将超市销售记录的20％自动删除，上述赃款由收银员上交后 ，再按比例分成，涉案人员各得赃款数千元至数十万元不等。这伙成员达43人的超 市内部高智商犯罪团伙，通过分工合作，在短短一年多的时间内侵占了超市营业款 397万余元。（人为操作）
▪ 为降低进而消除对系统的安全攻击，对安全有一个统一的评价，各国引用或制定了一系列安 全标准。
▪ TCSEC标准 ▪ CC标准
安全标准简介（续） 信息安全标准的发展历史
可信计算机系统评测标准
▪ 1985年美国国防部（DoD）正式颁布《 DoD可信计算机系统评估标准》（简称TCSEC或 DoD85） ➢ TCSEC又称桔皮书 ➢ TCSEC标准的目的 提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度做评 估。 给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感 应用的安全需求。
技术机制
1）加密 2）数字签名机制 3）访问控制机制 4）数据完整性机制 5）鉴别交换机制 6）通信业务填充机制 7）路由选择控制机制 8）公证机制
技术管理 充分合理地利用各种技术机制，以实现信息安全目标。
组织机构体系
组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成一个体 系。
可信计算机系统评测标准（续）
▪ B3级 ➢ 安全域。 ➢ 该级的TCB必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程。
可信计算机系统评测标准（续）
▪ A1级 ➢ 验证设计，即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保 护真正实现。
TCSEC/TDI安全级别划分（续）
机构的设置分为三个层次：决策层、管理层和执行层 岗位是信息系统安全管理机关根据系统安全需要设定的负责某一个或某几个安全事务的职 位 人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、 业绩考核和安全监管的机构。
管理体系
管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理 三个部分组成。
表示该级不提供对该指标的支持； 表示该级新增的对该指标的支持； 表示该级对该指标的支持与相邻低一级的 等级一样； 表示该级对该指标的支持较下一级有所增 加或改动。
CC
▪ CC ➢ 提出国际公认的表述信息技术安全性的结构 ➢ 把信息产品的安全要求分为： ➢ 安全功能要求 ➢ 安全保证要求
▪ CC文本组成 ➢ 简介和一般模型 ➢ 安全功能要求 ➢ 安全保证要求
可信计算机系统评测标准（续）
▪ C2级 ➢ 安全产品的最低档次 ➢ 提供受控的存取保护，将C1级的DAC进一步细化，以个人身份注册负责，并实施审计 和资源隔离 ➢ 达到C2级的产品在其名称中往往不突出“安全”(Security)这一特色
可信计算机系统评测标准（续）
➢ 典型例子 操作系统 ➢ Microsoft的Windows操作系统 ➢ 数字设备公司的Open VMS VAX 6.0和6.1 数据库 ➢ Oracle公司的Oracle 11 ➢ Sybase公司的SQL Server 11.0.6 ➢ Microsoft的MS SQL Server 2005
信息系统安全风险关系模型
威胁
利用
脆弱性
抗击 安全措施
增加
增加
降低
风险
暴露 信息资产
满足
引出
增加 拥有
安全需求
价值
国外安全事件
1994年4月到10月期间，任职于俄国圣彼得堡OA土星公司的弗拉基米尔·列·列文从本国操 纵电脑，通过Internet多次侵入美国花旗银行在华尔街的中央电脑系统的现金管理系统，从 花旗银行在阿根廷的两家银行和印度尼西亚的一家银行的几个企业客户的帐户中将40笔款 项转移到其同伙在加里福尼亚和以色列银行所开的帐户中，窃走1000万美元。 （信息窃取）
可信计算机系统评测标准（续）
▪ B2级 ➢ 结构化保护 ➢ 建立形式化的安全策略模型并对系统内的所有主体和客体实施DAC和MAC。 ➢ 经过认证的B2级以上的安全系统非常稀少
可信计算机系统评测标准（续）
➢ 典型例子 操作系统 ➢ 只有Trusted Information Systems公司的Trusted XENIX一种产品 标准的网络产品 ➢ 只有Cryptek Secure Communications公司的LLC VSLAN一种产品 数据库 ➢ 没有符合B2标准的产品
信息资源
信息安全技术应用统计
安全技术名称 反病毒软件
防火墙 基于服务的访问控制技术
入侵检测系统 数据传输加密 帐户与登录口令控制 入侵防御系统 文件加密技术 卡片认证与一次性密码技术 公钥基础设施系统 生物特征技术
普及率（%） 99 98 71 68 64 56 45 42 35 30 11
信息系统安全标准
可信计算机系统评测标准（续）
▪ R2 责任（Accountability） R2.1 标识与鉴别（Identification & Authentication） R2.2 审计（Audit）
▪ R3 保证（Assurance） R3.1 操作保证（Operational Assurance） R3.2 生命周期保证（Life Cycle Assurance）
信息系统安全体系
▪ 信息系统安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全 的最终目标是确保信息的机密性、完整性、可用性、真实性和抗抵赖性。
▪ 国际信息系统安全认证组织提出完整的信息系统安全体系框架由技术体系、组织机构体系和 管理体系共同构建。并将信息安全划分为5重屏障共10大领域。
三分技术，七分管理 1）法律管理是根据相关的国家法律、法规对信息系统主体及其与外界关联行为的规范和约 束。 2）制度管理是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章 制度。 3）培训管理是确保信息系统安全的前提。
信息安全的保护机制- 5重屏障
1、物理屏障：场地设备安全，含警卫、监控等 2、技术屏障：计算机技术、网络技术、通信技术等 3、管理屏障：人事、操作、设备等 4、法律屏障：民法、刑法等 5、心理屏障：全民国防意识
可信计算机系统评测标准（续）
▪ D级 ➢ 将一切不符合更高标准的系统均归于D组 ➢ 典型例子：DOS是安全标准为D的操作系统 DOS在安全性方面几乎没有什么专门的机制来保障
可信计算机系统评测标准（续）
▪ C1级 ➢ 非常初级的自主安全保护 ➢ 能够实现对用户和数据的分离，进行自主存取控制（DAC），保护或限制用户权限的 传播。
会计信息系统安全
▪ 信息系统安全风险 ▪ 信息系统安全体系 ▪ 信息系统安全标准 ▪ 信息系统安全技术
会计信息系统安全
信息系统安全风险
▪ 信息系统安全风险=威胁+脆弱性 ➢ 威胁:是指对信息系统功能造成某种损坏的潜在可能。如：自然灾害、停电、火灾、偷 盗、硬件损害、人为操作等。 ➢ 脆弱性:是指信息系统自身的薄弱环节和漏洞。如：硬件的脆弱性、操作系统的脆弱性、 数据库的脆弱性、网络的脆弱性、应用软件的脆弱性等。
TCSEC/TDI安全级别划分 ▪ TCSEC/TDI安全级别划分
安全级别 A1 B3 B2 B1 C2 C1 D
定义 验证设计（Verified Design） 安全域（Security Domains） 结构化保护（Structural Protection） 标记安全保护（Labeled Security Protection） 受控的存取保护（Controlled Access Protection） 自主安全保护（Discretionary Security Protection） 最小保护（Minimal Protection）
TCSEC/TDI安全级别划分（续）
➢ 四组(division)七个等级 D C（C1，C2） B（B1，B2，B3） A（A1）
➢ 按系统可靠或可信程度逐渐增高 ➢ 各安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要
包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。
信息安全体系框架
信息安全体系框架
技术体系
组织机构体系
技术机制
技术管理
管理体系
运行环境 及系统安
全技术
OSI 安全技术
系物 统理 安安 全全
安 O全 S服 I务 安 全安 管全 理机
制
审计
安
全 策 略 与 服
密 钥 管 理
务
状入 态侵 检监 测控
机岗人 制培法 构位事 度训律
技术体系
1）技术机制 2）技术管理
▪ B2以上的系统 ➢ 还处于理论研究阶段 ➢ 应用多限于一些特殊的部门，如军队等 ➢ 美国正在大力发展安全产品，试图将目前仅限于少数领域应用的B2安全级别下放到商 业应用中来，并逐步成为新的商业标准
可信计算机系统评测标准（续）
An Introduction to Database System
可信计算机系统评测标准（续）
安全标准简介（续）
▪ TCSEC/TDI标准的基本内容 ➢ TCSEC/TDI，从四个方面来描述安全性级别划分的指标 ➢ 安全策略- R1 ➢ 责任- R2 ➢ 保证- R3 ➢ 文档- R4
可信计算机系统评测标准（续）
▪ R1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，简记为DAC） R1.2 客体重用（Object Reuse） R1.3 标记（Labels） R1.4 强制存取控制（Mandatory Access Control，简记为MAC）
▪ 国内安全事件
➢ 1997年1月到3月，宁波证券公司深圳业务部的工作人员曾定文多次通过证券交易网 络私自透支本单位资金928万元炒股；而吴敬文则利用两个股东帐号私自透支本单位 资金2033万元炒股。 （人为操作）
▪ 国内
➢ 2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码， 标价26万元出售。 （信息窃取）
可信计算机系统评测标准（续）
▪ R4 文档（Documentation） R4.1 安全特性用户指南（Security Features User's Guide） R4.2 可信设施手册（Trusted Facility Manual） R4.3 测试文档（Test Documentation） R4.4 设计文档（Design Documentation）
CC（续）
CC（续）
▪ CC评估保证级划分
评估保证 级
EAL1 EAL2 EAL3 EAL4
EAL5
定义
TCSEC安全级别（近似相当）