【內(nèi)容導(dǎo)航】:
  【內(nèi)容導(dǎo)航】:
  (一)信息系統(tǒng)安全管理概念
  (二)信息系統(tǒng)安全管理策略
  (三)應(yīng)急響應(yīng)與災(zāi)難恢復(fù)
  【所屬章節(jié)】:
  本知識(shí)點(diǎn)屬于《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》科目第八章管理信息系統(tǒng)的應(yīng)用與管理第三節(jié)管理信息系統(tǒng)的管理的內(nèi)容。
  【知識(shí)點(diǎn)】:信息系統(tǒng)安全管理
  (一)信息系統(tǒng)安全管理概念
  1.信息系統(tǒng)的不安全因素及風(fēng)險(xiǎn)。
  信息系統(tǒng)安全威脅是指對(duì)于信息系統(tǒng)的組成要素及其功能造成某種損害的潛在可能。
  從不同的角度對(duì)于信息系統(tǒng)安全威脅的分類有以下幾類。
  (1)按照威脅的來源分類。
 ?、僮匀粸?zāi)害威脅。
 ?、谝馔馊藶橥{。
 ?、塾幸馊藶橥{。
  (2)按照作用對(duì)象分類。
  按照所作用的對(duì)象,可以將信息系統(tǒng)的威脅分為以下兩種。
  *9種,針對(duì)信息的威脅。針對(duì)信息(資源)的威脅又可以歸結(jié)為以下幾類:
 ?、傩畔⑵茐模悍欠ㄈ〉眯畔⒌氖褂脵?quán),刪除、修改、插入、惡意添加或重發(fā)某些數(shù)據(jù),以影響正常用戶對(duì)信息的正常使用。
  ②信息泄密:故意或偶然地非法偵收、截獲、分析某些信息系統(tǒng)中的信息,造成系統(tǒng)數(shù)據(jù)泄密。
 ?、奂倜盎蚍裾J(rèn):假冒某一可信任方進(jìn)行通信或者對(duì)發(fā)送的數(shù)據(jù)事后予以否認(rèn)。
  第二種,針對(duì)系統(tǒng)的威脅。針對(duì)系統(tǒng)的威脅包括對(duì)系統(tǒng)硬件的威脅、對(duì)系統(tǒng)軟件的威脅和對(duì)于系統(tǒng)使用者的威脅。對(duì)于通信線路、計(jì)算機(jī)網(wǎng)絡(luò)以及主機(jī)、光盤、磁盤等的盜竊和破壞都是對(duì)于系統(tǒng)硬件(實(shí)體)的威脅;病毒等惡意程序是對(duì)系統(tǒng)軟件的威脅;流氓軟件等是對(duì)于系統(tǒng)使用者的威脅。
  (3)按照威脅方法的分類。
  按照威脅的手段,可以將信息系統(tǒng)的威脅分為以下六種:
  *9種,信息泄露。信息泄露是指系統(tǒng)的敏感數(shù)據(jù)有意或無意地被未授權(quán)者知曉。
  第二種,掃描。掃描是指利用特定的軟件工具向目標(biāo)發(fā)送特制的數(shù)據(jù)包,對(duì)響應(yīng)進(jìn)行分析,以了解目標(biāo)網(wǎng)絡(luò)或主機(jī)的特征。
  第三種,入侵。入侵即非授權(quán)訪問,是指沒有經(jīng)過授權(quán)(同意)就獲得系統(tǒng)的訪問權(quán)限或特權(quán),對(duì)系統(tǒng)進(jìn)行非正常訪問,或擅自擴(kuò)大訪問權(quán)限越權(quán)訪問系統(tǒng)信息。
  第四種,拒絕服務(wù)。拒絕服務(wù)是指系統(tǒng)可用性因服務(wù)中斷而遭到破壞。拒絕服務(wù)攻擊常常通過用戶進(jìn)程消耗過多的系統(tǒng)資源造成系統(tǒng)阻塞或癱瘓。
  第五種,抵賴(否認(rèn))。通信一方由于某種原因而實(shí)施的下列行為都稱為抵賴:
  ①發(fā)方事后否認(rèn)自己曾經(jīng)發(fā)送過某些消息;
 ?、谑辗绞潞蠓裾J(rèn)自己曾經(jīng)收到過某些消息;
 ?、郯l(fā)方事后否認(rèn)自己曾經(jīng)發(fā)送過某些消息的內(nèi)容;
  ④收方事后否認(rèn)自己曾經(jīng)收到過某些消息的內(nèi)容。
  第六種,濫用。濫用泛指一切對(duì)信息系統(tǒng)產(chǎn)生不良影響的活動(dòng),主要內(nèi)容如下:
 ?、賯鞑阂獯a。
 ?、趶?fù)制重放。
 ?、郯l(fā)布或傳播不良信息。
  2.信息系統(tǒng)的安全管理技術(shù)。
  (1)通信保密,包括數(shù)據(jù)保密、認(rèn)證技術(shù)和訪問控制等。
  數(shù)據(jù)保密就是隱蔽數(shù)據(jù),防止信息被竊取,其方法有以下兩種:
 ?、贁?shù)據(jù)加密,即隱蔽數(shù)據(jù)的可讀性,將可讀的數(shù)據(jù)轉(zhuǎn)換為不可讀數(shù)據(jù),即將明文轉(zhuǎn)換為密文,使非法者不能直接了解數(shù)據(jù)的內(nèi)容。加密的逆過程稱為解密。
 ?、跀?shù)據(jù)隱藏,即隱藏?cái)?shù)據(jù)的存在性,將數(shù)據(jù)隱藏在一個(gè)容量更大的數(shù)據(jù)載體之中,形成隱秘載體,使非法者難以察覺其中隱藏有某些數(shù)據(jù),或者難以從中提取被隱藏?cái)?shù)據(jù)。
  從認(rèn)證的對(duì)象看,認(rèn)證技術(shù)可以分為報(bào)文認(rèn)證和身份認(rèn)證。報(bào)文認(rèn)證包括報(bào)文鑒別(主要用于數(shù)據(jù)完整性保護(hù),也稱為消息鑒別,即要鑒別報(bào)文在傳輸中有沒有被刪除、添加或篡改)和數(shù)字簽名(主要用于抗抵賴性保護(hù),能夠驗(yàn)證簽名者的身份,以及簽名的日期和時(shí)間;能夠用于證實(shí)被簽報(bào)文的內(nèi)容的真實(shí)性;簽名可以由第三方驗(yàn)證,以解決雙方在通信中的爭(zhēng)議。),身份認(rèn)證(如口令、指紋等)主要用于真實(shí)性保護(hù)。
  訪問控制是從系統(tǒng)資源安全保護(hù)的角度對(duì)要進(jìn)行的訪問進(jìn)行授權(quán)控制。它從訪問的角度將系統(tǒng)對(duì)象分為主體和客體兩類。主體也稱為訪問發(fā)起者,主要指用戶、用戶組、進(jìn)程以及服務(wù)等;客體也稱資源,主要指文件、目錄、機(jī)器等。授權(quán)就是賦予主體一定的權(quán)限(修改、查看等),賦予客體一定的訪問屬性(如讀、寫、添加、執(zhí)行、發(fā)起鏈接等),同時(shí)在主體與客體之間建立一套安全訪問規(guī)則,通過對(duì)客體的讀出、寫入、修改、刪除、運(yùn)行等管理,確保主體對(duì)客體的訪問是經(jīng)過授權(quán)的,同時(shí)要拒絕非授權(quán)的訪問。
  (2)信息防護(hù)技術(shù)。
  信息防護(hù)技術(shù)有防火墻技術(shù),信息系統(tǒng)安全審計(jì)和報(bào)警,數(shù)據(jù)容錯(cuò)、容災(zāi)和備份等。
  防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)與不可信任的外界之間的一道屏障。它可以屏蔽非法請(qǐng)求,一定程度地防止跨權(quán)限訪問并產(chǎn)生安全報(bào)警,有效地監(jiān)控了內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的任何活動(dòng)。
  信息系統(tǒng)安全審計(jì)(按確定規(guī)則的要求,對(duì)與安全相關(guān)的事件進(jìn)行審計(jì),以日志方式記錄必要信息,并作出相應(yīng)處理的安全機(jī)制。相當(dāng)于飛機(jī)上的“黑匣子”)和報(bào)警是信息系統(tǒng)安全中一項(xiàng)極為重要的安全服務(wù)措施。它有如下功能:
  ①記錄與系統(tǒng)安全活動(dòng)有關(guān)的全部或部分信息;
 ?、趯?duì)所有記錄的信息進(jìn)行分析、評(píng)價(jià)、審查,發(fā)現(xiàn)系統(tǒng)的安全隱患;
 ?、蹖?duì)潛在的攻擊者進(jìn)行威懾或警告;
  ④出現(xiàn)安全事故后,追查造成安全事故的原因并落實(shí)對(duì)安全事故負(fù)責(zé)的實(shí)體或機(jī)構(gòu),為信息系統(tǒng)安全策略的調(diào)整和修改提供建議。
  安全審計(jì)和報(bào)警不可分割。但是安全審計(jì)不直接阻止安全違規(guī)。安全報(bào)警一般在安全相關(guān)事件達(dá)到某一或一些預(yù)定義域值時(shí)發(fā)出。
  數(shù)據(jù)容錯(cuò)、容災(zāi)和備份是信息系統(tǒng)安全的重要保障。為了保證系統(tǒng)的可靠性,經(jīng)過長(zhǎng)期的摸索,人們總結(jié)出三種方法,即避錯(cuò)、糾錯(cuò)和容錯(cuò)。錯(cuò)誤沒有辦法完全避免,糾錯(cuò)作為避錯(cuò)的補(bǔ)充,在系統(tǒng)出現(xiàn)故障時(shí)起作用,而容錯(cuò)是指硬件故障或軟件錯(cuò)誤時(shí),系統(tǒng)仍能執(zhí)行一組規(guī)定的程序或程序不會(huì)因?yàn)橄到y(tǒng)的故障而中斷或被修改,并且執(zhí)行結(jié)果也不包含因故障而引起的差錯(cuò)。
  數(shù)據(jù)容災(zāi)系統(tǒng),對(duì)于IT而言,就是為計(jì)算機(jī)信息系統(tǒng)提供的一個(gè)能應(yīng)付各種災(zāi)難的環(huán)境。當(dāng)計(jì)算機(jī)系統(tǒng)在遭受如火災(zāi)、水災(zāi)、地震、戰(zhàn)爭(zhēng)等不可抗拒的自然災(zāi)難以及計(jì)算機(jī)犯罪、計(jì)算機(jī)病毒、掉電、網(wǎng)絡(luò)/通信失敗、硬件/軟件錯(cuò)誤和人為操作錯(cuò)誤等人為災(zāi)難時(shí),容災(zāi)系統(tǒng)將保證用戶數(shù)據(jù)的安全性(數(shù)據(jù)容災(zāi))。
  從保護(hù)數(shù)據(jù)的安全性出發(fā),數(shù)據(jù)備份是數(shù)據(jù)容錯(cuò)、數(shù)據(jù)容災(zāi)以及數(shù)據(jù)恢復(fù)的重要保證。
  (3)信息保障,即信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估。
  系統(tǒng)的安全強(qiáng)度可以通過風(fēng)險(xiǎn)大小衡量??茖W(xué)地分析信息系統(tǒng)的風(fēng)險(xiǎn),綜合平衡風(fēng)險(xiǎn)和代價(jià)的過程就是信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估。世界各國信息化的經(jīng)驗(yàn)表明:
  ①不計(jì)代價(jià)、片面地追求系統(tǒng)安全是不切實(shí)際的;
  ②不考慮風(fēng)險(xiǎn)存在的信息系統(tǒng)是危險(xiǎn)的,是要付出代價(jià),甚至是災(zāi)難性代價(jià)的;
 ?、鬯械男畔⑾到y(tǒng)建設(shè)的生命周期都應(yīng)當(dāng)從安全風(fēng)險(xiǎn)評(píng)估開始。
  通過信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估,組織可以達(dá)到如下目的:
 ?、倭私饨M織信息系統(tǒng)的管理和安全現(xiàn)狀。
 ?、诖_定資產(chǎn)威脅源的分布,如入侵者、內(nèi)部人員、自然災(zāi)害等;確定其實(shí)施的可能性;分析威脅發(fā)生后,資產(chǎn)的價(jià)值損失、敏感性和嚴(yán)重性,確定相應(yīng)級(jí)別;確定最敏感、最重要資產(chǎn)在威脅發(fā)生后的損失。
  ③了解系統(tǒng)的脆弱性分布。
  ④明晰組織的安全需求,指導(dǎo)建立安全管理框架,合理規(guī)劃安全建設(shè)計(jì)劃。
  信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估應(yīng)選擇恰當(dāng)?shù)臅r(shí)機(jī)。信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)每個(gè)生命周期的起點(diǎn)和動(dòng)因。具體地說,應(yīng)當(dāng)在下面的一些時(shí)機(jī)進(jìn)行:
 ?、僖O(shè)計(jì)規(guī)劃或升級(jí)到新的信息系統(tǒng)時(shí);
 ?、诮o目前的信息系統(tǒng)增加新的應(yīng)用或新的擴(kuò)充(包括進(jìn)行互聯(lián))時(shí);
 ?、郯l(fā)生一次安全事件后;
 ?、芙M織具有結(jié)構(gòu)性變動(dòng)時(shí);
 ?、莅凑找?guī)定或某些特殊要求對(duì)信息系統(tǒng)的安全進(jìn)行評(píng)估時(shí)。
  信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則有:
 ?、僖?guī)范性原則,具有三層含義:
  1)評(píng)估方案和實(shí)施,要根據(jù)有關(guān)標(biāo)準(zhǔn)進(jìn)行。
  2)選擇的評(píng)估部門需要被國家認(rèn)可,并具有一定等級(jí)的資質(zhì)。
  3)評(píng)估過程和文檔要規(guī)范。
 ?、谡w性原則,評(píng)估要從業(yè)務(wù)的整體需求出發(fā),不能局限于某些局部。
 ?、圩钚∮绊懺瓌t,具有兩層含義:
  1)評(píng)估要有充分的計(jì)劃性,不對(duì)系統(tǒng)運(yùn)行產(chǎn)生顯著影響。
  2)所使用的評(píng)估工具要經(jīng)過多次使用考驗(yàn),具有很好的可控性。
  ④保密性原則,具有三層含義:
  1)對(duì)評(píng)估數(shù)據(jù)嚴(yán)格保密。
  2)不得泄露參評(píng)人員資料。
  3)不得使用評(píng)估數(shù)據(jù)對(duì)被評(píng)方造成利益損失。
  信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估應(yīng)采用恰當(dāng)?shù)哪J?。安全風(fēng)險(xiǎn)評(píng)估模式是進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)應(yīng)當(dāng)遵循的操作過程和方式。以下是幾種常用的風(fēng)險(xiǎn)評(píng)估模式。
 ?、倩€評(píng)估。采用基線風(fēng)險(xiǎn)評(píng)估,組織根據(jù)自己的實(shí)際情況(所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等),對(duì)信息系統(tǒng)進(jìn)行安全基線檢查(拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較,找出其中的差距),得出基本的安全需求,通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險(xiǎn)。
  所謂的安全基線,是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng),可以滿足基本的安全需求,能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。
  這種評(píng)估模式需要的資源少,評(píng)估周期短,操作簡(jiǎn)單,是最經(jīng)濟(jì)有效的風(fēng)險(xiǎn)評(píng)估模式。但是,基線水平的高低確定困難。
 ?、谠敿?xì)評(píng)估。詳細(xì)評(píng)估要求對(duì)信息系統(tǒng)中的所有資源都進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià),對(duì)可能引起風(fēng)險(xiǎn)的威脅和弱點(diǎn)水平進(jìn)行評(píng)估,根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來識(shí)別和選擇安全措施。
  這種評(píng)估模式集中體現(xiàn)了風(fēng)險(xiǎn)管理的思想,即識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受的水平,以此證明管理者所采用的安全控制措施是恰當(dāng)?shù)?。但是,這種評(píng)估模式需要相當(dāng)多的財(cái)力、物力、時(shí)間、精力和專業(yè)能力的投入,最后獲得的結(jié)果有可能有一定的時(shí)間滯后。
  ③組合評(píng)估。組合評(píng)估是上述兩種模式的結(jié)合。它首先對(duì)所有信息系統(tǒng)進(jìn)行一次較高級(jí)別的安全分析,并關(guān)注每一個(gè)實(shí)際分析對(duì)整個(gè)業(yè)務(wù)的價(jià)值以及它所面臨的風(fēng)險(xiǎn)的程度。然后對(duì)非常重要業(yè)務(wù)或面臨嚴(yán)重風(fēng)險(xiǎn)的部分進(jìn)行詳細(xì)評(píng)估分析,對(duì)其他部分進(jìn)行基線評(píng)估分析。這種評(píng)估模式注意了耗費(fèi)與效率之間的平衡,還注意了高風(fēng)險(xiǎn)系統(tǒng)的安全防范。
  3.信息安全道德規(guī)范。
  信息系統(tǒng)作為信息技術(shù)的一種應(yīng)用形式,它所涉及的道德問題主要包括隱私問題、正確性問題、產(chǎn)權(quán)問題和存取權(quán)問題。
  (1)隱私問題。信息技術(shù)強(qiáng)大的信息搜集能力為組織提供全方位服務(wù)的同時(shí),應(yīng)該考慮信息收集對(duì)人的隱私權(quán)的尊重。
  (2)正確性問題。正確性問題是指關(guān)于誰有責(zé)任保證信息的權(quán)威性、可信性和正確性,以及誰來統(tǒng)計(jì)和解決錯(cuò)誤等問題。
  (3)產(chǎn)權(quán)問題。產(chǎn)權(quán)問題主要涉及誰擁有信息,什么是信息交換的公平價(jià)值,誰擁有傳輸信息的渠道,如何分配這些稀有的資源等問題。
  (4)存取權(quán)問題。存取權(quán)問題應(yīng)該規(guī)定什么人對(duì)什么信息有特權(quán)取得,在什么條件下有什么安全保障。
  一些在國際上有影響力的組織推出的關(guān)于企業(yè)的道德標(biāo)準(zhǔn)值得學(xué)習(xí)和借鑒。下面以數(shù)據(jù)處理管理聯(lián)盟(DataProcessingManagemengtAssociation,DPMA)的標(biāo)準(zhǔn)為例說明。DPMA專業(yè)標(biāo)準(zhǔn)包括針對(duì)業(yè)主、針對(duì)社會(huì)的和針對(duì)專業(yè)的內(nèi)容。
  (二)信息系統(tǒng)安全管理策略
  1.基于網(wǎng)絡(luò)的安全策略。
  管理者為防止對(duì)網(wǎng)絡(luò)的非法訪問或非授權(quán)用戶使用的情況發(fā)生,應(yīng)采取以下策略。
  (1)監(jiān)視日志。
 ?、僮x取日志,根據(jù)日志的內(nèi)容至少可確定訪問者的情況;
 ?、诖_保日志本身的安全;
 ?、蹖?duì)日志進(jìn)行定期檢查;
 ?、軕?yīng)將日志保存到下次檢查時(shí)。
  (2)對(duì)不正當(dāng)訪問的檢測(cè)功能。
  當(dāng)出現(xiàn)不正當(dāng)訪問時(shí)應(yīng)設(shè)置能夠?qū)⑵洳槌霾⑼ㄖL(fēng)險(xiǎn)管理者的檢測(cè)功能。
 ?、僭O(shè)置對(duì)網(wǎng)絡(luò)及主機(jī)等工作狀態(tài)的監(jiān)控功能;
 ?、谌衾媒K端進(jìn)行訪問,則對(duì)該終端設(shè)置指定功能;
 ?、墼O(shè)置發(fā)現(xiàn)異常情況時(shí)能夠使網(wǎng)絡(luò)、主機(jī)等停止工作的功能。
  (3)口令。
  對(duì)依據(jù)口令進(jìn)行認(rèn)證的網(wǎng)絡(luò)應(yīng)采取以下策略:
 ?、儆脩舯仨氃O(shè)定口令,并努力做到保密;
 ?、谌粲脩粼O(shè)定口令時(shí),應(yīng)指導(dǎo)他們盡量避免設(shè)定易于猜測(cè)的詞語,并在系統(tǒng)上設(shè)置拒絕這種口令的機(jī)制;
 ?、壑笇?dǎo)用戶每隔適當(dāng)時(shí)間就更改口令,并在系統(tǒng)中設(shè)置促使更改的功能;
 ?、芟拗瓶诹畹妮斎氪螖?shù),采取措施使他人難以推測(cè)口令;
  ⑤用戶一旦忘記口令,就提供口令指示,確認(rèn)后口令恢復(fù);
 ?、迣?duì)口令文本采取加密方法,努力做到保密;
  ⑦在網(wǎng)絡(luò)訪問登錄時(shí),進(jìn)行身份識(shí)別和認(rèn)證;
  ⑧對(duì)于認(rèn)證方法,應(yīng)按照信息系統(tǒng)的安全需求進(jìn)行選擇;
 ?、嵩O(shè)定可以確認(rèn)前次登錄日期與時(shí)間的功能。
  (4)用戶身份識(shí)別(用戶ID)管理
  ①對(duì)于因退職、調(diào)動(dòng)、長(zhǎng)期出差或留學(xué)而不再需要或長(zhǎng)期不使用的用戶ID予以注銷;
  ②對(duì)長(zhǎng)期未進(jìn)行登記的用戶以書面形式予以通知。
  (5)加密。
  ①進(jìn)行通信時(shí)根據(jù)需要對(duì)數(shù)據(jù)實(shí)行加密;
 ?、谝袑?shí)做好密鑰的保管工作,特別是對(duì)用戶密鑰進(jìn)行集中保管時(shí)要采取妥善的保管措施。
  (6)數(shù)據(jù)交換。
 ?、僭谶M(jìn)行數(shù)據(jù)交換之前,對(duì)欲進(jìn)行通信的對(duì)象進(jìn)行必要的認(rèn)證;
 ?、谝詳?shù)字簽名等形式確認(rèn)數(shù)據(jù)的完整性;
  ③設(shè)定能夠證明數(shù)據(jù)發(fā)出和接收以及可以防止欺騙的功能;
  ④在前三步利用加密操作的情況下,對(duì)用戶的密鑰進(jìn)行集中管理時(shí),要尋求妥善的管理方法。
  (7)災(zāi)害策略。
  為防止因?yàn)?zāi)害、事故造成線路中斷,有必要做成熱備份線路。
  2.基于主機(jī)的安全策略。
  管理者為防止發(fā)生對(duì)主機(jī)非法訪問或未授權(quán)用戶使用等情況,應(yīng)采取以下策略。
  (1)監(jiān)視日志
  ①讀取日志,根據(jù)日志的內(nèi)容至少可確定訪問者的情況;
  ②確保日志本身的安全;
 ?、蹖?duì)日志進(jìn)行定期檢查;
 ?、軕?yīng)將日志保存到下次檢查時(shí);
  ⑤具備檢測(cè)不正當(dāng)訪問的功能;
 ?、拊O(shè)置出現(xiàn)不正當(dāng)訪問時(shí),能夠?qū)⑵洳槌霾⑼ㄖL(fēng)險(xiǎn)管理者的功能。
  (2)口令。
  對(duì)依據(jù)口令進(jìn)行認(rèn)證的主機(jī)等應(yīng)采取以下策略:
 ?、儆脩舯仨氃O(shè)定口令,并努力做到保密;
 ?、谌粲脩粼O(shè)定口令時(shí),應(yīng)指導(dǎo)他們盡量避免設(shè)定易于猜測(cè)的詞語,并在系統(tǒng)上設(shè)置拒絕這種口令的機(jī)制;
  ③指導(dǎo)用戶每隔適當(dāng)時(shí)間就更改口令,并在系統(tǒng)中設(shè)置促使更改的功能;
  ④限制口令的輸入次數(shù),采取措施使他人難以推測(cè)口令;
 ?、萦脩粢坏┩浛诹?,就提供口令指示,確認(rèn)后口令恢復(fù);
 ?、迣?duì)口令文本采取加密方法,努力做到保密。
  (3)對(duì)主機(jī)的訪問。
 ?、僭谟涗浫罩緯r(shí)進(jìn)行識(shí)別和認(rèn)證;
 ?、趯?duì)于認(rèn)證方法,按照信息系統(tǒng)所需的安全要求進(jìn)行選擇;
 ?、墼O(shè)置可以確認(rèn)前次日志記錄日期的功能;
  ④根據(jù)安全方針,除了對(duì)主機(jī)的訪問加以控制外,對(duì)數(shù)據(jù)庫的數(shù)據(jù)、移動(dòng)存儲(chǔ)設(shè)備也應(yīng)分別進(jìn)行控制;
  ⑤為確保訪問控制等功能的安全,有必要選擇具有相應(yīng)功能的操作系統(tǒng)。
  (4)安全漏洞。
 ?、俨捎脤S密浖瑢?duì)是否存在安全漏洞進(jìn)行檢測(cè);
 ?、诎l(fā)現(xiàn)安全漏洞時(shí),要采取措施將其清除。
  (5)加密。
 ?、僭诒9軘?shù)據(jù)時(shí),要根據(jù)需要對(duì)數(shù)據(jù)進(jìn)行加密;
 ?、谝袑?shí)做好密鑰的保管工作,特別是對(duì)用戶密鑰進(jìn)行集中保管時(shí)要采取妥善的保管措施。
  (6)對(duì)主機(jī)的管理。
 ?、賾?yīng)采取措施使各裝置不易拆卸、安裝或搬運(yùn);
 ?、谝扇〈胧?,避免顯示屏上的信息讓用戶以外的人直接得到或易于發(fā)現(xiàn)。
  (7)預(yù)防災(zāi)害策略。
 ?、俑鶕?jù)需要將裝置做成熱備份的,要設(shè)置替代功能;
 ?、谠O(shè)置自動(dòng)恢復(fù)功能。
  3.基于設(shè)施的安全策略。
  管理者為了防止重要的計(jì)算機(jī)主機(jī)系統(tǒng)設(shè)施不受外部人員的侵入或遭受災(zāi)害,應(yīng)采取以下辦法。
  (1)授予資格。
 ?、俳⑦M(jìn)入設(shè)施的資格(以下稱資格);
 ?、谫Y格授予最小范圍的必需者,并限定資格的有效時(shí)間;
 ?、圪Y格僅授予個(gè)人;
 ?、苁谟栀Y格時(shí),要注明可能進(jìn)入的設(shè)施范圍及進(jìn)入設(shè)施的目的。
  (2)建立身份標(biāo)識(shí)。
 ?、賹?duì)擁有資格的人員發(fā)給記有資格的有效期、可進(jìn)入的設(shè)施范圍及進(jìn)入的目的等事項(xiàng)的身份標(biāo)識(shí)和IC卡等(以下稱身份證)
 ?、谥谱鳂?biāo)識(shí)的材料應(yīng)采用不易偽造的材料,另外要嚴(yán)格管理標(biāo)識(shí)原件(指存檔的),不使之丟失。當(dāng)有資格的人員標(biāo)識(shí)遺失或損壞時(shí),應(yīng)立即報(bào)告安全總負(fù)責(zé)人,并當(dāng)即宣布該標(biāo)識(shí)無效。
  (3)設(shè)施出入管理。
 ?、贋楂@準(zhǔn)進(jìn)入設(shè)施,要提交身份標(biāo)識(shí)確認(rèn)資格;
 ?、谙薅ㄔ试S出入設(shè)施的期限;
 ?、蹖⒃试S進(jìn)入人員的姓名、準(zhǔn)許有效期限、可進(jìn)入的設(shè)施范圍、進(jìn)入目的以及進(jìn)入設(shè)施的許可(以下稱許可)等記錄下來并妥善保存;
 ?、茉试S進(jìn)入的人員發(fā)給徽章等進(jìn)入設(shè)施的標(biāo)志,并將該標(biāo)志佩戴在明顯的位置;
 ?、葸M(jìn)入設(shè)施的標(biāo)志應(yīng)按照身份標(biāo)識(shí)中的②~④項(xiàng)要求執(zhí)行;
 ?、拊诮ㄖ锘蛴?jì)算機(jī)房的出入口處查驗(yàn)是否具有資格和許可;
  ⑦當(dāng)從設(shè)施中搬出或搬入物資時(shí),都應(yīng)對(duì)該物資和搬運(yùn)工作進(jìn)行查驗(yàn);
 ?、辔镔Y搬運(yùn)出入時(shí),應(yīng)記錄負(fù)責(zé)人的姓名、物資名稱、數(shù)量、搬運(yùn)出入時(shí)間等,并保存;
 ?、岜0踩藛T負(fù)責(zé)出入管理。
  (4)防范措施。
 ?、傧薅ㄔO(shè)施出入口的數(shù)量,設(shè)置進(jìn)行身份確認(rèn)的措施;
 ?、谠谠O(shè)施內(nèi)裝設(shè)報(bào)警和防范攝像裝置,以便在發(fā)現(xiàn)侵入時(shí)采取必要的防范措施;
 ?、墼诮ㄖ铩C(jī)房及外設(shè)間、配電室、空調(diào)室、主配電室、中間配電室、數(shù)據(jù)保存室等的入口處設(shè)置報(bào)警裝置,以便在發(fā)現(xiàn)侵入時(shí)采取必要的防范措施;
  ④讓保安人員在設(shè)施內(nèi)外進(jìn)行巡視。
  (5)滅害策略。
  ①設(shè)施的地點(diǎn)應(yīng)盡可能選在自然災(zāi)害較少的地方;
 ?、诮ㄖ飸?yīng)選擇抗震、防火結(jié)構(gòu);
 ?、鄹鞣N設(shè)備都應(yīng)采取措施,防止因地震所導(dǎo)致的移動(dòng)、翻倒或振動(dòng);
 ?、軆?nèi)裝修應(yīng)使用耐燃材料,采取防火措施;
 ?、輰?duì)電源設(shè)備要采取防止停電措施;
 ?、迣?duì)空氣調(diào)節(jié)裝置要采取防火和防水措施,使用水冷或熱式空調(diào)設(shè)備時(shí)要采取防水的措施。
  4.基于數(shù)據(jù)管理的安全策略。
  (1)數(shù)據(jù)管理。
 ?、佼?dāng)重要數(shù)據(jù)的日志不再使用時(shí),應(yīng)先將數(shù)據(jù)淸除,再將存儲(chǔ)介質(zhì)破壞,隨后立即將該記錄文件銷毀;
  ②對(duì)記錄有重要數(shù)據(jù)的記錄文件應(yīng)采取措施,做好保管場(chǎng)所攜帶出入的管理,將數(shù)據(jù)用密碼保護(hù);
 ?、蹖?duì)移動(dòng)存儲(chǔ)介質(zhì),根據(jù)需要應(yīng)采取數(shù)據(jù)加密或物理方法禁止寫入等措施。
  (2)數(shù)據(jù)備份。
  應(yīng)定期或盡可能頻繁地進(jìn)行備份。備份介質(zhì)應(yīng)制定妥善的保存辦法、保存期限,與原介質(zhì)在不同地方保管。
  (3)審計(jì)。
  ①應(yīng)從信息系統(tǒng)的安全性、可信度、保全性和預(yù)防犯罪的角度進(jìn)行審計(jì);
 ?、谥贫▽徲?jì)的方法并制成手冊(cè);
  ③有計(jì)劃、定期地進(jìn)行審計(jì),若有重大事故發(fā)生或認(rèn)為有危險(xiǎn)發(fā)生時(shí),應(yīng)隨時(shí)進(jìn)行審計(jì);
 ?、芴峤粚徲?jì)報(bào)告;
 ?、莅踩傌?fù)責(zé)人應(yīng)根據(jù)審計(jì)結(jié)果迅速采取必要的措施。
  5.信息系統(tǒng)開發(fā)、運(yùn)行和維護(hù)中的安全策略。
  (1)開發(fā)中的安全策略。
  ①采取措施防止將基礎(chǔ)數(shù)據(jù)泄露給從事開發(fā)以外的其他人員;
 ?、谥贫▽iT的系統(tǒng)設(shè)計(jì)文檔;
 ?、壑贫▽iT的運(yùn)行和維護(hù)手冊(cè);
 ?、苓\(yùn)行手冊(cè)中應(yīng)制定出危機(jī)范圍和風(fēng)險(xiǎn)應(yīng)對(duì)策略。
  (2)運(yùn)行中的安全策略。
 ?、俑鶕?jù)手冊(cè)操作;
  ②記錄運(yùn)行情況日志。
  (3)維護(hù)中的安全策略。
  ①根據(jù)手冊(cè)操作;
 ?、谟涗浘S護(hù)情況日志。
  6.基于安全事件的安全策略。
  管理者在發(fā)現(xiàn)犯罪事件時(shí)能確保與有關(guān)部門取得聯(lián)系,為危機(jī)進(jìn)行切實(shí)應(yīng)對(duì),從而確保安全,應(yīng)采取以下策略。
  (1)發(fā)現(xiàn)攻擊時(shí)應(yīng)采取的管理措施
  ①發(fā)現(xiàn)對(duì)用戶等進(jìn)行攻擊、事故或侵害等其他信息系統(tǒng)安全的行為或事件(以下簡(jiǎn)稱攻擊)時(shí),有義務(wù)立即向危機(jī)管理負(fù)責(zé)人報(bào)告;
 ?、趹?yīng)將受到攻擊的對(duì)象、非法訪問的結(jié)果、出入時(shí)的日志以及其后審計(jì)或調(diào)查所需的信息等,作為發(fā)現(xiàn)攻擊行為的狀態(tài)保存下來;
 ?、奂皶r(shí)向相關(guān)部門通報(bào);
  ④發(fā)現(xiàn)非法訪問行為且需要得到相關(guān)部門援助時(shí),提出申請(qǐng);
 ?、菡{(diào)查結(jié)束,在進(jìn)行系統(tǒng)恢復(fù)時(shí),應(yīng)將操作過程記錄下來。
  (2)組織體制。
  為明確責(zé)任和權(quán)限應(yīng)建立以下體制:
 ?、偃粘J聞?wù)體制:設(shè)立專職的安全總負(fù)責(zé)人和審計(jì)負(fù)責(zé)人;
 ?、陲L(fēng)險(xiǎn)管理體制:設(shè)專職的風(fēng)險(xiǎn)管理責(zé)任人、風(fēng)險(xiǎn)管理設(shè)備執(zhí)行人和其他責(zé)任人。
  (3)教育及培訓(xùn)。
 ?、賹L(fēng)險(xiǎn)發(fā)生時(shí)的防范措施制成手冊(cè),發(fā)給用戶并進(jìn)行定期訓(xùn)練;
 ?、谧層脩袅私怙L(fēng)險(xiǎn)對(duì)社會(huì)帶來較大的危害,從而提高安全意識(shí);
 ?、蹖?duì)用戶策略實(shí)施情況進(jìn)行審計(jì),對(duì)措施不完備的地方加以改進(jìn)。
  7.與開放性網(wǎng)絡(luò)連接的信息系統(tǒng)應(yīng)追加的安全措施。
  對(duì)于信息系統(tǒng)來說,除了前面所述安全策略之外,從預(yù)防非法訪問、計(jì)算機(jī)病毒侵入的角度來看,與互聯(lián)網(wǎng)等開放性網(wǎng)絡(luò)連接,還應(yīng)追加下列安全措施。
  (1)一般措施。
  網(wǎng)絡(luò)系統(tǒng)考慮通過開放性網(wǎng)絡(luò)引入的不正當(dāng)訪問和惡意程序侵入,應(yīng)當(dāng)追加如下措施。
 ?、匍_放性網(wǎng)絡(luò)的連接應(yīng)限定在最小范圍的功能、線路和主機(jī);
 ?、谂c開放性網(wǎng)絡(luò)連接時(shí),應(yīng)采取措施預(yù)防對(duì)信息系統(tǒng)進(jìn)行不正當(dāng)?shù)脑L問;
 ?、劾梅阑饓r(shí),應(yīng)設(shè)定適當(dāng)?shù)臈l件;
  ④使用計(jì)算機(jī)系統(tǒng)時(shí),應(yīng)采取一定的安全措施,確保該信息系統(tǒng)的安全;
  ⑤關(guān)于網(wǎng)絡(luò)結(jié)構(gòu)等重要信息除非必要時(shí),不得公開。
  (2)監(jiān)視措施。
  應(yīng)當(dāng)設(shè)置對(duì)線路負(fù)荷狀況的監(jiān)視功能。發(fā)現(xiàn)異常情況時(shí),應(yīng)根據(jù)需要使之與相連接的開放性網(wǎng)絡(luò)斷開。
  (3)安全事件應(yīng)對(duì)措施。
  在確保攻擊發(fā)生時(shí)能與相關(guān)部門取得聯(lián)系。對(duì)危機(jī)進(jìn)行準(zhǔn)確應(yīng)對(duì)的同時(shí),還應(yīng)采取如下措施:
 ?、倥c相關(guān)機(jī)構(gòu)合作,把握受侵害的情況,采取措施,防止侵害的擴(kuò)大;
  ②對(duì)攻擊進(jìn)行分析,查明原因,與相關(guān)機(jī)構(gòu)合作采取措施,防止攻擊再次發(fā)生;
  ③限定用戶,即盡可能將可通過開放性網(wǎng)絡(luò)進(jìn)行訪問的用戶(數(shù))加以限制;
 ?、苄畔⑹占雌綍r(shí)要注意收集通過開放性網(wǎng)絡(luò)進(jìn)行非法訪問的信息。
  (三)應(yīng)急響應(yīng)與災(zāi)難恢復(fù)
  一般來說,每個(gè)使用信息系統(tǒng)的組織都應(yīng)當(dāng)有一套應(yīng)急響應(yīng)機(jī)制。這個(gè)機(jī)制包括三個(gè)環(huán)節(jié),即應(yīng)急響應(yīng)組織、緊急預(yù)案、災(zāi)難恢復(fù)。
  1.應(yīng)急響應(yīng)組織。
  應(yīng)急響應(yīng)組織的主要工作有:
  (1)安全事件與軟件安全缺陷分析研究;
  (2)安全知識(shí)庫(包括漏洞知識(shí)、入侵檢測(cè)等)的開發(fā)與管理;
  (3)安全管理和應(yīng)急知識(shí)的教育與培訓(xùn);
  (4)發(fā)布安全信息(如系統(tǒng)漏洞與補(bǔ)丁、病毒警告等);
  (5)安全事件緊急處理
  應(yīng)急響應(yīng)組織包括應(yīng)急保障領(lǐng)導(dǎo)小組和應(yīng)急技術(shù)保障小組。
  應(yīng)急保障領(lǐng)導(dǎo)小組的主要職責(zé)是領(lǐng)導(dǎo)與協(xié)調(diào)突發(fā)事件及自然災(zāi)害的應(yīng)急處理。
  應(yīng)急技術(shù)保障小組主要解決安全事件的技術(shù)問題,如物理實(shí)體和環(huán)境安全技術(shù)、網(wǎng)絡(luò)通信技術(shù)、系統(tǒng)平臺(tái)技術(shù)、應(yīng)用系統(tǒng)技術(shù)等。
  2.緊急預(yù)案。
  (1)緊急預(yù)案及基本內(nèi)容。
  應(yīng)急預(yù)案是指根據(jù)不同的突發(fā)緊急事件類型和意外情形預(yù)先制定的處理方案。
  應(yīng)急預(yù)案一般包括如下內(nèi)容:
  ①執(zhí)行緊急預(yù)案的人員(姓名、住址、電話號(hào)碼以及有關(guān)職能部門的聯(lián)系方法);
 ?、谙到y(tǒng)緊急事件類型及處理措施的詳細(xì)說明;
  ③應(yīng)急處理的具體步驟和操作順序。
  (2)常見安全事件。
  緊急預(yù)案要根據(jù)安全事件的類型進(jìn)行對(duì)應(yīng)的處理。下面提供一些常見的安全事件類型供參考:
  ①物理實(shí)體及環(huán)境類安全事件,如意外停電、物理設(shè)備丟失、火災(zāi)和水災(zāi)等;
 ?、诰W(wǎng)絡(luò)通信類安全事件,如網(wǎng)絡(luò)蠕蟲侵害等;
  ③主機(jī)系統(tǒng)類安全事件,如計(jì)算機(jī)病毒、口令丟失等;
 ?、軕?yīng)用系統(tǒng)類安全事件,如客戶信息丟失等。
  (3)應(yīng)急事件處理的基本流程。
  ①安全事件報(bào)警。
  值班人員發(fā)現(xiàn)緊急情況,要及時(shí)報(bào)告。報(bào)告要對(duì)安全事件進(jìn)行準(zhǔn)確描述并作書面記錄。
 ?、诎踩录_認(rèn)。
  確定安全事件的類型,以便啟動(dòng)相應(yīng)的預(yù)案。
 ?、蹎?dòng)緊急預(yù)案。
  首先要能夠找到緊急預(yù)案,其次保護(hù)現(xiàn)場(chǎng)證據(jù)(如系統(tǒng)事件、處理者采取的行動(dòng)與外界的溝通等),避免災(zāi)害擴(kuò)大。
  ④恢復(fù)系統(tǒng)。包括:
  *9,安裝干凈的操作系統(tǒng)版本。如果主機(jī)被侵入,就應(yīng)當(dāng)考慮系統(tǒng)中的任何東西都可能被攻擊者修改過了,包括內(nèi)核、二進(jìn)制可執(zhí)行文件、數(shù)據(jù)文件、正在運(yùn)行的進(jìn)程以及內(nèi)存。通常,需要從發(fā)布介質(zhì)上重裝操作系統(tǒng),然后再重新連接到網(wǎng)絡(luò)上之前安裝所有的安全補(bǔ)丁,只有這樣才會(huì)使系統(tǒng)不受后門和攻擊者的影響。只是找出并修補(bǔ)被攻擊者利用的安全缺陷是不夠的。建議使用干凈的備份程序備份整個(gè)系統(tǒng),然后重裝系統(tǒng)。
  第二,取消不必要的服務(wù)。只配置系統(tǒng)要提供的服務(wù),取消那些沒有必要的服務(wù)。檢查并確信其配置文件沒有脆弱性以及該服務(wù)是否可靠。通常,最保守的策略是取消所有的服務(wù),只啟動(dòng)自己需要的服務(wù)。
  第三,安裝供應(yīng)商提供的所有補(bǔ)丁,建議安裝所有的安全補(bǔ)丁,使系統(tǒng)能夠抵御外來攻擊,不被再次入侵,這是最重要的一步。
  第四,查閱計(jì)算機(jī)安全應(yīng)急響應(yīng)組的安全建議、安全總結(jié)和供應(yīng)商的安全提示。
  第五,謹(jǐn)慎使用備份數(shù)據(jù)。在從備份中恢復(fù)數(shù)據(jù)時(shí),要確認(rèn)備份主機(jī)沒有被入侵。一定要記住,恢復(fù)過程可能會(huì)重新帶來安全缺陷,被入侵者利用。
  第六,改變密碼。在彌補(bǔ)了安全漏洞或者解決了配置問題之后,建議改變系統(tǒng)中所有賬戶的密碼。
  ⑤加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全。
  ⑥進(jìn)行應(yīng)急工作總結(jié)。
 ?、咦珜懓踩录?bào)告。
  3.災(zāi)難恢復(fù)。
  災(zāi)難恢復(fù)是安全事件應(yīng)急預(yù)案中特別重要的部分。從發(fā)現(xiàn)入侵的時(shí)刻起就應(yīng)進(jìn)行處理。
  災(zāi)難恢復(fù)應(yīng)當(dāng)包括如下幾項(xiàng)內(nèi)容:
  (1)與高層管理人員協(xié)商。恢復(fù)的步驟應(yīng)當(dāng)符合組織的安全預(yù)案。如果安全預(yù)案中沒有描述,應(yīng)當(dāng)與管理人員協(xié)商,以便能從更高角度進(jìn)行判斷,并得到更多部門的支持和配合。
  (2)奪回系統(tǒng)控制權(quán)。為了奪回對(duì)被入侵系統(tǒng)的控制權(quán),先要將入侵從網(wǎng)絡(luò)上斷開,包括撥號(hào)連接。如果在恢復(fù)過程中,沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接,入侵者就可能破壞所進(jìn)行的恢復(fù)工作。進(jìn)行系統(tǒng)恢復(fù)也會(huì)丟失一些有用信息,如入侵者正在使用的掃描程序或監(jiān)聽進(jìn)程。因此想要繼續(xù)追蹤入侵者時(shí),可以不采取這樣的措施,以免被入侵者發(fā)現(xiàn)。但是,也要采取其他一些措施,避免入侵蔓延。
  (3)復(fù)制一份被侵入系統(tǒng)的映像。在進(jìn)行入侵分析之前,*4對(duì)被入侵系統(tǒng)進(jìn)行備份。這個(gè)備份在恢復(fù)失敗時(shí)非常有用。
  (4)入侵評(píng)估。入侵評(píng)估包括入侵風(fēng)險(xiǎn)評(píng)估、入侵路徑分析、入侵類型確定和入侵涉及范圍調(diào)查。下面介紹圍繞這些工作進(jìn)行的調(diào)查工作。
 ?、僭敿?xì)審查系統(tǒng)日志文件和顯示器輸出,檢查異?,F(xiàn)象。
 ?、谌肭终哌z留物分析。包括:檢查入侵者對(duì)系統(tǒng)文件和配置文件的修改;檢查被修改的數(shù)據(jù);檢查入侵者留下的工具和數(shù)據(jù);檢查網(wǎng)絡(luò)監(jiān)聽工具。
 ?、燮渌缇W(wǎng)絡(luò)的周邊環(huán)境和涉及的遠(yuǎn)程站點(diǎn)。
  (5)清除后門。后門是入侵者為下次攻擊打下的埋伏,包括修改了的配置文件、系統(tǒng)木馬程序、修改了的系統(tǒng)內(nèi)核等。
  (6)記錄恢復(fù)過程中所有的步驟。記錄恢復(fù)過程中采取的每一步措施是非常重要的。恢復(fù)一個(gè)被侵入的系統(tǒng)是一件很麻煩的事,要耗費(fèi)大量的時(shí)間,因此經(jīng)常會(huì)使人做出一些草率的決定。記錄自己所做的每一步可以幫助避免做出草率的決定,還可以留作以后的參考,還可能對(duì)法律調(diào)查提供幫助。
  (7)系統(tǒng)恢復(fù)。各種安全事件預(yù)案的執(zhí)行都是為了使系統(tǒng)在事故后得以迅速恢復(fù)。對(duì)于服務(wù)器和數(shù)據(jù)庫等系統(tǒng)特別重要的設(shè)備,則要單獨(dú)訂立緊急恢復(fù)預(yù)案。
 ?、俜?wù)器的恢復(fù)。—旦服務(wù)器因故障完全停止運(yùn)行,常規(guī)的恢復(fù)方法是在一個(gè)新的硬件平臺(tái)上重建。用手工進(jìn)行服務(wù)器的恢復(fù)是非常麻煩的。如果能設(shè)計(jì)一種專門的軟件包,可以生成存有服務(wù)器鏡像文件的啟動(dòng)盤,用來恢復(fù)服務(wù)器,就便利多了。
  ②數(shù)據(jù)庫系統(tǒng)的恢復(fù)。數(shù)據(jù)庫系統(tǒng)恢復(fù)的目的是在足夠備份的基礎(chǔ)上,使數(shù)據(jù)庫盡快恢復(fù)到正常。
  (一)現(xiàn)金流量的含義
  (二)現(xiàn)金流量的構(gòu)成
  【所屬章節(jié)】:
  本知識(shí)點(diǎn)屬于《財(cái)務(wù)成本管理》科目第九章資本預(yù)算第三節(jié)投資項(xiàng)目現(xiàn)金流量的估計(jì)的內(nèi)容。
  【知識(shí)點(diǎn)】:投資項(xiàng)目現(xiàn)金流量的構(gòu)成
  (一)現(xiàn)金流量的含義
  在投資決策中是指一個(gè)項(xiàng)目引起的企業(yè)現(xiàn)金支出和現(xiàn)金收入增加的數(shù)量。
  (二)現(xiàn)金流量的構(gòu)成
  一般而言,投資項(xiàng)目的現(xiàn)金流量包括現(xiàn)金流出量、現(xiàn)金流入量和現(xiàn)金凈流量。