《管理信息系统.第二版》道德与安全、控制

9

道德与安全、控制PARTNineCONTENT目录9.1信息道德9.2从业人员的道德责任9.3计算机犯罪9.4隐私问题及其他挑战9.5信息技术的安全管理和控制9.6信息系统审计学习目标□了解信息道德的主要内容及其对管理信息系统的重要性□了解从业人员道德责任的主要内容□了解如何培养从业人员的道德修养□定义计算机犯罪并列举主要的计算机犯罪类型□了解隐私以及保护隐私的主要方法和手段□了解信息技术安全管理和控制的内涵、目的与主要手段□了解信息系统的安全需求和云安全□了解信息系统审计的作用和方式□了解安全审计、安全报警的主要内容9.1.1信息道德的概念9.1信息道德信息道德是指调整人们之间以及个人和社会之间信息关系的行为规范的总和。它不是国家强制制定和执行的，而是依靠社会舆论，人们的信念、习惯、传统和教育的力量来维持的。信息道德的内容：隐私问题；正确性问题；产权问题；存取权问题。案例布赖恩的抉择布赖恩是一家总部在德国的跨国公司美国分部的IT主管。他曾发现公司的一位高级主管使用公司的电脑浏览色情内容，而随后这位主管被提升到中国来管理一家制造工厂。该公司的互联网使用政策明令禁止使用公司电脑访问色情或成人内容的网站，布赖恩的职责之一就是使用有关的网络产品监控员工上网，如发现任何违规情况须上报给管理人员。这位主管在另一个部门，他的职位比布赖恩高一级，在公司很受器重。布赖恩举报该主管违背公司互联网使用政策极有可能给自己带来非常大的麻烦。而事实上，当软件显示这位主管的计算机访问了数十个色情网站后，布赖恩就向上级报告了这位主管的违规行为。公司处理了布赖恩上报的主管违规事件，但该主管并未受到太大影响，他对公司提供了一个“非常古怪的解释”，并且被公司接受。在公司的处理结果公布之后，布莱恩曾考虑去联邦调查局报告该事件，但互联网泡沫刚刚破灭，工作机会来之不易。布赖恩非常无奈：“这是一个艰难的选择，我有一个家庭需要养活。”9.1.2信息道德规范9.1信息道德对业主1①尽一切努力保证自己具有最新指示和正确的经验，以适应工作的需要。②避免兴趣上的矛盾，并且保护业主意识到任何潜在的矛盾。③保护委托给我的信息的隐私性和机密性。④不错误地表达和删除源于实情的信息。⑤不企图利用业主的资源获取私利，或做任何未经正式批准的事情。⑥不利用计算机系统的弱点谋取私利或达到个人目的。9.1信息道德①用我的技术和知识传播给公众。②尽我最大的努力，保证产品得到社会信任和应用。③支持、尊重和服从地区、州和联邦法律。④不错误地表达和删除公众关心的、源于问题和实情的信息，也不允许这种已知的信息搁置作废。⑤不利用个人性或秘密性的知识，不以任何非法的形式得到个人好处。对社会29.1信息道德对专业3①忠于专业关系。②当看到非法的、不道德的事件时，应采取合适的行动。然而当我反对任何人的时候，必须坚信自己是有理的、正确的、负责任的，并不带任何个人情绪。③尽力与人共享我的专业知识。④和他人合作以达到了解和识别问题。⑤在没有得到特殊许可和批准的情况下，不利用信誉去做其他工作。⑥不利用他人缺乏经验和缺乏知识去占便宜，以得到个人好处。9.1.3信息9.1信息道德信息技术在商业应用中对社会产生了重大的影响，同时也引发了犯罪、隐私、雇员道德、工作环境等多方面的道德问题。除了这些问题，人们也应该注意到，信息技术在给社会和相关领域带来负面影响的同时，也为商业领域带来了很多积极的因素。例如，采用信息技术控制业务流程管理虽然造成了失业问题，但是信息技术也改善了员工的工作环境，并能够以更低的成本生产出更高质量的产品。9.2.1从业人员的道德责任9.2从业人员的道德责任商业道德，又称商业伦理，是指管理人员在日常的企业决策中必须面对的大量道德问题。9.2从业人员的道德责任从业人员的道德责任，除了商业道德之外，还有管理信息系统中与技术应用相关的技术道德问题。9.2.2道德指导方针9.2从业人员的道德责任一方面，很多企业和组织制定了以道德方式使用计算机和互联网应该遵循的详细政策。这些政策具有很高的实用性和指导性。另一方面，信息系统专业人员行为准则中对于责任的陈述，比如计算机领域的专业化组织——信息技术职业联合会制定的职业行为准则，列出了信息系统专业人员主要责任中固有的道德要求。9.2从业人员的道德责任9.2.3培养从业人员的道德修养9.2从业人员的道德责任在从业人员的道德修养培养中，企业通过政策和思想教育，使员工明确各种信息技术均应该有道德地被使用。在企业中，IT工作人员可以优先获得关于个人、行业及整个公司在内的信息，他们也有技术能力控制这些信息，企业也应该赋予他们权力和责任去监测和报告破坏公司规则的员工。9.3.1计算机犯罪的定义9.3计算机犯罪计算机犯罪可分为两种类型：一是针对计算机，对其实施侵入或破坏；二是利用计算机实施有关金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其他犯罪行为。由AITP定义的计算机犯罪包括：①未经授权地使用、访问、修改和破坏硬件、软件、数据和网络资源；②未经授权的信息发布；③未经授权的软件复制；④拒绝终端用户访问自己的硬件、软件、数据和网络资源；⑤使用或者密谋使用计算机或网络资源，以非法方式获得信息或有形财产。案例犯罪集团通过窜改计算机记录谋杀一个犯罪集团的成员在受重伤之后，决定作为证人出庭指认犯罪同伙。警方将他的病床置于一个重点看护病房，并对其进行了严密的保护，仅允许医院的医疗人员和少数几个探视者接触病人。该病人对青霉素过敏。一天晚上，一个护士给该病人注射了青霉素，不久之后病人死亡。警方随即开始调查，认为该护士有重大嫌疑，但护士坚称自己在计算机上查看病人病历时，上面要求注射青霉素。后来警方调查了计算机记录，在备份资料中发现病人的病历曾被医院之外的人修改过。正是这样的修改，谋杀了这位病人。9.3.2计算机犯罪的分类9.3计算机犯罪黑客攻击1黑客攻击（hacking）是指不正当地使用计算机或未经授权地访问、使用网络计算机系统。黑客可能是公司外部人员，也可能是公司员工，他们使用互联网及其他网络来偷窃或破坏数据和程序。黑客非法进入计算机系统阅读某些机密文件，尽管没有偷窃和破坏任何文件，却依然属于计算机犯罪范畴。9.3计算机犯罪计算机窃贼29.3计算机犯罪很多计算机犯罪都涉及资金的窃取。大多数案件都属于“内部作案”，即内部员工以非授权方式进入网络，在数据库进行欺诈性修改，并抹去痕迹。当然，很多计算机犯罪都通过互联网来进行。举一个计算机犯罪的早期例子：1994年下半年，俄罗斯黑客弗拉迪米尔·莱文及其同伙在圣彼得堡通过互联网闯入纽约花旗银行的主机系统窃取了1100万美元。9.3计算机犯罪网络诈骗3网络诈骗是指以非法占有为目的，利用互联网采用虚构事实或者隐瞒真相的方法，骗取数额较大的公私财物的行为。网络诈骗与一般诈骗的主要区别在于，网络诈骗是利用互联网实施的诈骗行为，没有利用互联网实施的诈骗行为便不是网络诈骗。工作中的非授权使用49.3计算机犯罪非授权使用计算机系统和网络可以被称作“时间和资源窃贼”。一个常见的例子是，员工非授权使用公司的计算机网络，包括做私人咨询或个人理财、玩视频游戏，或者非授权使用公司网络来访问互联网。被称作探测器的网络监控软件常被用来监控网络流量、评价网络容量，揭示非正当使用网络的证据。9.3计算机犯罪9.3计算机犯罪软件侵权5软件侵权是指未经授权的复制、使用软件。软件开发商行业协会就曾起诉大公司允许员工未经授权地复制其软件。未经授权的软件复制是违法的，因为软件是受版权法和用户许可协议保护的知识产权。侵犯知识产权69.3计算机犯罪与计算机相关的侵权对象不仅是软件，还有拥有知识产权的其他版权资料，包括音乐、视频、图像、文章、书籍及其他书面作品。这些知识资产非常容易遭到版权侵犯。电子版本很容易通过计算机系统获取，人们可以在互联网站点上访问并下载，或者很容易地以电子邮件附件的形式传播。对等网络技术（P2P）的发展，使版权资料的电子版本更易被盗版。9.3计算机犯罪计算机病毒和蠕虫7计算机犯罪中最具毁灭性的例子是创造了计算机病毒和蠕虫。从技术上说，病毒是一段必须插入另一程序中才能工作的程序代码，而蠕虫却是一个可以独立运行的独特程序。只要用户访问了感染病毒的计算机，或者使用了从感染病毒的计算机上拷贝的文件，无论是病毒还是蠕虫都可能把一些令人愤怒的、具有破坏性的程序复制到企业的计算机系统中。9.3.3计算机犯罪的新问题9.3计算机犯罪1234计算机犯罪的跨国性犯罪技术将不断革新云安全服务将成为新趋势开发病毒程序难度下降9.4.1隐私权9.4隐私问题及其他挑战隐私权1隐私权是指保证当事人的私人生活和私密信息按照个人意愿不受他人干扰、知悉和公开的权利。隐私权具有不同的界定。从心理学角度来看，隐私权是人们对私人生活空间的需要。我们每个人或多或少都需要一种心理上的肯定性，即我们独立掌握自己的财产和私人资料。从法学角度来讲，隐私权是个人保护的需要。9.4隐私问题及其他挑战目前比较普遍的信息技术应用对个人隐私产生负面影响的行为：①访问私人电子邮件内容和计算机记录，基于人们访问互联网站点和新闻组的行为来收集和共享个人信息。②提供移动通信服务的公司掌握着用户的个人信息，并使用电脑监控用户的移动通信设备的使用行为和所处位置。③通过计算机匹配，利用来自不同信息源的客户信息开展额外的营销服务。④在用户未授权的情况下，收集用户的电话号码、电子邮件地址、信用卡号及其他个人信息来建立客户个人特征文件。隐私问题29.4隐私问题及其他挑战互联网上的隐私3如果不采取适当的预防措施，每当用户发送电子邮件、访问Web站点、在新闻组粘贴消息、通过互联网处理银行业务和购物、在线处理业务或娱乐时，都会在毫不知情的情况下被那些忙于收集个人数据的人和组织所利用。9.4隐私问题及其他挑战很多国家严格限制企业和政府机构收集和利用个人数据。很多政府颁布了隐私法，以期能够强制保护计算机文件和通信的隐私。例如，在美国，《电信隐私法案》以及《计算机欺诈与滥用法案》禁止监听数据通信信息，禁止窃取或破坏数据，禁止擅自闯入与联邦政府相关的计算机系统。如果企业需要监控员工对互联网的使用，法律明确要求企业必须事先告知员工。《计算机匹配与隐私保护法案》还规范了联邦政府文件的数据匹配，以此来证实联邦程序的合法性。隐私权保护法案49.4.2其他挑战9.4隐私问题及其他挑战1234就业挑战计算机监控工作条件的挑战对个性的挑战9.5.1安全管理和控制的内涵9.5信息技术的安全管理和控制安全管理1安全管理的目标是让所有信息系统的处理及资源准确、完整和安全。有效的安全管理可以将企业及其客户、供应商和利益相关者相互连接的信息系统中的错误、欺诈和损失降到最低。9.5信息技术的安全管理和控制信息系统控制是确保信息系统活动的准确性、有效性和规范性的方法与设备。开展信息系统控制的目的是确保数据录入、处理技术、存储方法和信息输出的正确性。因此，信息系统控制应能监控和维护信息系统输入、处理、输出和存储活动的质量与安全。信息系统控制29.5.2信息系统的安全需求9.5信息技术的安全管理和控制12453信息系统规划阶段的安全需求信息系统设计阶段的安全需求信息系统实施阶段的安全需求信息系统运行维护阶段的安全需求信息系统废弃阶段的安全需求9.5.3建立安全和控制的管理框架9.5信息技术的安全管理和控制信息系统控制的类型1有效保护信息资源需要一整套严密规划的控制措施。可以通过通用控制和应用控制对系统进行控制。通用控制是指对系统的设计、安全、使用程序以及整个公司数据安全的控制。一般而言，通用控制可应用于所有的计算机应用程序，由硬件、软件和手工程序组成，创造一个整体的控制环境。通用控制包括软件控制、硬件控制、计算机操作控制、数据安全控制、系统应用过程控制和管理控制等。9.5信息技术的安全管理和控制企业必须制定一个一致的安全政策，在政策中考虑风险的性质、需要保护的信息资产、解决风险所需的程序与技术、应用和审核机制。安全政策由信息风险排序表、可接受的安全目标和实现安全目标的机制组成。一个安全的组织通常有可接受使用政策和授权政策。安全政策29.5.4安全管理和控制的手段9.5信息技术的安全管理和控制加密1数据加密是保护数据及其他计算机网络资源的一种重要方法。密码、消息、文本及其他数据可以采用加密编码的方式来传输，并只能由授权用户的计算机系统来解码。数据加密需要借助特定的数学算法或密钥，将数字转换为加密代码，然后传输出去，当它们到达目的地后再进行解码。9.5信息技术的安全管理和控制防火墙是控制和保护互联网及其他网络安全的重要方法。网络防火墙可以是一个通信处理设备，典型的像路由器，或一台装有防火墙软件的专用服务器。防火墙相当于一个“门卫”系统，在企业内网与互联网或其他网络间的双向通信中，防火墙为用户提供一个过滤和安全转发访问请求的控制点。防火墙29.5信息技术的安全管理和控制拒绝服务攻击3互联网对黑客发动攻击的抵抗能力是极其脆弱的，尤其是分布式拒绝服务的攻击。通过互联网发起的拒绝服务攻击要依靠网络计算机系统的三个层次：受害者的网站；受害者的ISP；“僵尸”站点，即受计算机犯罪控制的“奴隶”站点。9.5信息技术的安全管理和控制互联网及其他在线电子邮件系统是黑客散布病毒及入侵联网计算机系统最喜欢的渠道之一。通常情况下，公司试图通过强制手段阻止员工发布非法的、个人的或破坏性信息，而员工则认为这样侵犯了他们的隐私权。电子邮件监控4案例普雷西迪奥金融合作公司对员工的监控一份隐私权利信息中心的研究报告说，员工根本无法限制雇主对其的监督。大多数情况下，雇主有权监听员工的电话，并取得这些通话的记录，或使用软件来查看员工的计算机屏幕上显示的内容，检查哪些信息被存储在硬盘上，并跟踪和记录电子邮件。普雷西迪奥金融合作公司提供投资咨询服务，为150个客户掌控着约30亿美元的资产。它接受美国证券交易委员会和全国证券交易商协会的监督，公司与其客户进行的电子邮件及其他通信必须接受监管机构的监察，并保持这些信息的存档。普雷西迪奥开始使用Fortiva公司的监督软件来对公司顾问的邮件进行监视、跟踪和存档。Fortiva监督软件用来追踪普雷西迪奥公司的销售人员和客户之间的电子邮件，专门搜索可能会造成问题的关键词。该软件会对诸如担保退还或保证性能的短语，或任何时候使用“投诉”一词进行标记。如果有关键词被标记了，主管必须审查该电子邮件。每天有多达50封电子邮件需要排队等待审查。不断增加的自动化监测工具，使得雇主比过去更容易看到雇员正在做什么。但在正常浏览员工工作记录时，雇主极有可能阅读到员工的隐私信息。9.5信息技术的安全管理和控制病毒防御5企业防病毒保护是信息技术的一项核心功能。几乎所有人都会给PC机和笔记本电脑安装杀毒软件。杀毒软件在后台运行，并经常弹出窗口来提醒用户。信息系统部门的重要职责之一就是采用集中发布和更新杀毒软件的方法来构筑防止病毒扩散的体系。9.5信息技术的安全管理和控制容错计算机和安全监控器等软硬件工具、口令和备份文件等安全策略和过程，是保护企业系统和网络的常用安全措施。现在，这些措施已成为很多企业实施综合安全管理的部分内容。①安全密码。②备份文件。③安全监控器。④生物统计安全技术。其他安全措施6⑤计算机故障控制。⑥容错系统。⑦灾难恢复。9.5.5云安全9.5信息技术的安全管理和控制云计算是一种新型Web服务模式，计算和存储能力从桌面端转移到云端，它利用互联网的传输及计算功能，将原来放在客户端的分析计算能力转移到了服务器端。网络资源的动态伸缩是其内在本质，目的是提高企业运作效率和减少IT成本。9.5信息技术的安全管理和控制云计算的滥用、恶用1云计算会遭遇严峻挑战的原因之一是它提供服务的方式是Web方式和宽带网络。对此，云计算服务提供商必须采取强有力的保护举措来面对云计算服务的拒绝服务攻击威胁。另一方面，按需自服务的特征要求在开通服务和变更服务这些环节更具灵动性，服务提供商根据云计算快速弹性的特征又会被要求拥有极强的网络与服务器资源。9.5信息技术的安全管理和控制要强化对员工的安全教育；对安全控制在每个业务流程都不能掉以轻心；管理供应商时应制定明确的争议条款、惩罚规定，在其发生安全事故后照章处置；特定的企业要明确员工所背负的法律责任，若其未能遵守法规，可移交司法部门依法处理。内部员工的威胁29.5信息技术的安全管理和控制数据泄露3云端存放有企业大量的重要数据，并且在许多威胁环境下均有让云端数据丢失或泄露的可能性，这就要求企业管理层或决策者要对云服务提供商保护数据的能力做出测试。首先，管理密钥是至关重要的；其次，就是一个宿主机上有不同客户，每个客户均会要求作法律取证，这同样会引起数据的泄露和毁坏。为避免数据泄露，需要增强加密及检测水平（“设计—运行—数据传输—数据处理—数据存储”这些环节）。9.5信息技术的安全管理和控制信息不对称在云计算服务与用户之间表现得非常明显。首先，用户无须也没有足够资源去全方位洞悉“云”的一切，他们之所以会把本身的IT计算和服务外包给云服务提供商，只为解放及优化自身资源。其次，哪怕是与安全直接相关的信息，出于安全和商业机密的考量，云计算服务提供商也不会心甘情愿对外分享。那么遇到这种情况时，大量未知的安全风险就会出现在云计算用户面前。未知的风险场景49.6.1安全审计及审计的内容9.6信息系统审计信息系统审计是指对信息系统有影响的所有控制进行审查，评价其有效性。审计用来确认管理单个信息系统的所有控制措施，并评估其效能。为了达到此目标，审计人员必须对整个操作过程、物理设备、通信网络、控制系统、数据安全目标、组织架构、人事、手工处理流程和每个具体的应用都有细致而充分的了解。9.6信息系统审计安全审计主要应该实现以下几个目标：①能够详细记录所有访问行为的相关数据，并检查安全