文档介绍:信息系统安全审计信息系统安全概述安全审计安全管理控制审计安全技术控制审计某市医院管理信息系统审计案例主要内容信息资产与人力资源、财务资产和实物资产一样,都是组织的重要商业资产。随着组织对信息系统的依赖性越来越强,信息安全问题也变得日益严峻。据统计,信息安全问题大约60%以上是由管理方面原因造成的,信息安全是一个同时涉及安全技术与管理的综合难题。:虽然计算机早在40年代中期就已面世,但20多年后才提出计算机在使用中存在计算机安全问题,此时的计算机安全主要是指实体安全及传输加密问题。计算机系统安全:七十年代末至八十年代,因各类计算机软硬件系统的发展而提出计算机系统安全。此时不仅指实体(物理)安全,也包括软件与信息内容的安全。网络安全:在八十年代后期,尤其是九十年代因特网的发展,网络成了计算机应用的重要形式。网络安全一词被广泛采用,用以强调在整个网络环境的安全,不仅包括网络技术手段,还包括网络安全管理等方面。信息保障:其内涵包括安全保护、监控、反应、恢复,即强调计算机系统(包括网络)安全的系统状况,动态管理过程。信息系统安全概念的发展我国的《中华人民共和国计算机信息系统安全保护条例》中指出:计算机信息系统安全保护是指:保障计算机及相关配套设施(含网络)安全,运行环境安全,信息安全,计算机功能正常发挥,以维护计算机信息系统的安全运行。信息系统安全有五个基本属性,分别是可用性、可靠性、完整性、保密性和不可抵赖性。可用性(Availability)得到授权的实体在需要时可访问资源和服务。可用性是指无论何时,只要用户需要,信息系统必须是可用的,也就是说信息系统不能拒绝服务。攻击者通常采用占用资源的手段阻碍授权者的工作,可以使用访问控制机制,阻止非授权用户进入网络,保证网络系统的可用性。增强可用性还包括如何有效地避免因各种灾害(战争、地震等)造成的系统失效。可靠性(Reliability)可靠性是指系统在规定条件下和规定时间内、完成规定功能的概率。目前,系统可靠性研究基本上偏重于硬件可靠性方面。研制高可靠性元器件设备,采取合理的冗余备份措施仍是最基本的可靠性对策,然而,有许多故障和事故,则与软件可靠性、人员可靠性和环境可靠性有关。完整性(Integrity)信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。即信息的内容不能为未授权的第三方修改。信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等。保密性(Confidentiality)保密性是指确保信息不暴露给未授权的实体或进程。即信息的内容不会被未授权的第三方所知。不可抵赖性(Non-Repudiation)不可抵赖性是面向通信双方(人、实体或进程)信息真实同一的安全要求,它包括收、发双方均不可抵赖。一是源发证明,使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞;二是交付证明,使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。总而言之,信息系统安全是有关人、计算机网络、物理环境的技术安全和管理安全的总和。其中,人包括各类用户、支持人员,以及技术管理和行政管理人员;计算机网络则指以计算机、网络互联设备、传输介质、信息内容及其操作系统、通信协议和应用程序所构成完整体系;物理环境则是系统稳定和可靠运行所需要的保障体系,包括建筑物、机房、动力保障等。