e3 Kenneth Laudon 管理信息系統 v11

8.5　MIS實踐

這部分的方案讓你動手實驗分析安全漏洞，使用電子製表軟件來做風險分析，用網絡工具搜索安全外購服務

8.5.1　解決管理決策問題

1.100多個國家中大約有1600萬人在使用K2網絡操作的在線遊戲網址。參與者可以免費進入遊戲，但是必須從K2買電子“財產”，例如如果他們想深入遊戲，就要買殺龍用的劍。遊戲可以即時容納幾百萬名參與者並且讓世界各國的參與者同時一起玩。為這次網絡商業準備一次安全性分析，我們應該預測到什麼樣的威脅呢？他們對這個商業有什麼樣的影響？要採取什麼措施來阻止這些威脅對這個網站的侵害並且繼續操作呢？

2.貴公司的信息技術部門的一份調查給出了以下安全分析數據（見表8-3）。

表　8-3

高度風險的漏洞包括非法用戶使用、可猜測密碼、用戶名匹配密碼、積極用戶丟失密碼，以及存在於應用系統中的非法程序。

中度風險漏洞包括用戶在未登錄的情況下就關閉系統，沒有為個人電腦建立密碼和屏保設置，以及過時版本的軟件一直存儲在硬件驅動程序中。

低度風險漏洞包括用戶不能更改他們的密碼，一直沒有週期性地更改用戶密碼，以及小於公司指定的最低範圍的密碼。

·計算每個平臺漏洞的總數目。在此機構中的每個電腦平臺中安全問題的潛在影響是什麼？

·如果你只有一個控制安全性的信息系統專家，那麼你應該先著手哪個平臺來試圖消除這些漏洞？第二步該做什麼，第三步做什麼，最後又做什麼？為什麼要這麼去做？

·識別由這些漏洞所造成的控制問題的種類，並且解釋應該採取的解決步驟。

·忽視了確認的安全漏洞，你的公司會存在什麼樣的風險呢？

8.5.2　改善決策水平：使用spreadsheet軟件評估安全風險的評估

軟件技術：電子製表軟件規則和圖表

商業技術：風險評估

該方案為使用了電子製表軟件，為一個小公司確認的各種安全威脅計算預料到的一般性損失。

Mercer Paint是一個位於亞拉巴馬州的小型的而被高度認可的油漆製造公司。該公司有一個網絡適當的連接它的許多商業操作。儘管該公司認為它的安全性足夠好，但是最近的網站的增加成為了黑客的公開邀請。管理就需要一個風險評估，風險評估識別了大量的潛伏性暴露問題，這些暴露問題，以及有關的可能性，和平均損失都被總結在表8-4裡。

表　8-4

除了列出的潛在的暴露問題，你應該至少對Mercer Paint識別出三個其他的潛在威脅，分析可能性大小並估算出損失範圍。

使用電子製表軟件和風險評估數據來為每個暴露問題計算預期的年度損失。

用圖表展示你的結果，哪些控制點具有最大的弱點？你會對Mercer Paint做哪些建議？準備一個手寫報告概括你的結果和建議。

8.5.3　改善決策水平：使用spreadsheet軟件評估外購服務安全性

軟件技術：網站瀏覽器和呈現軟件

商業技術：評估商業外購服務

現在的商業面對一個選擇，是外購安全功能還是保留他們內部員工來實現目的。這個方案將幫助發展你使用網站來搜索並且評估安全外購服務的互聯網技術。

作為公司的一名信息系統專家，你被要求幫助管理部門決定是外購安全服務，還是保留本公司的安全功能。搜索網站找出信息來幫助你做出決策。

·你是贊成還是反對公司外購電腦安全服務。

·挑選兩個提供安全外購服務的公司，進行比較。

·總結你的結果。你的陳述應該結合案例來說明是否應該外購電腦安全服務。

·如果你認為公司應該外購，陳述就應該確認挑選哪個安全外購服務，並且證明你的選擇合理。