信息系统审计(南京审计学院)chap6.ppt
- 文档编号:9558706
- 上传时间:2023-05-20
- 格式:PPT
- 页数:52
- 大小:440KB
信息系统审计(南京审计学院)chap6.ppt
《信息系统审计(南京审计学院)chap6.ppt》由会员分享,可在线阅读,更多相关《信息系统审计(南京审计学院)chap6.ppt(52页珍藏版)》请在冰点文库上搜索。
第六章信息安全控制与审计,在信息化环境下,由于信息更具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。
因此信息安全问题正变得日益突出。
在信息化环境下,其风险主要来源于:
组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁。
因此需要对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。
为了达到信息化环境下信息安全的目标,组织必须采取一系列适当的信息安全控制和审计措施,以使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。
第一节信息安全及管理,一、信息安全概述信息安全:
是在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
(国际标准化组织(ISO)定义)信息安全一般包括:
实体安全、运行安全、信息安全和管理安全,实体安全:
是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。
运行安全:
是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
另外,美国国家电信与信息系统安全委员会(NTISSC)认为,信息安全应包括六个方面:
通信安全、计算机安全、符合瞬时电磁脉冲辐射标准、传输安全、物理安全、人员安全信息安全的内容包括:
机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)和有效性(Utility)。
信息安全:
是指防止信息资源的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认。
即确保信息的完整性、机密性、可用性和可控性。
管理安全:
是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
二、信息安全管理根据木桶原理,一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。
信息安全管理标准:
BS7799(ISO/IEC17799)国际信息安全管理标准体系作用:
指导组织安全实践的信息安全管理标准,信息安全管理一般包括:
制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训,等,为了给组织建立起一张完备的信息安全“保护网”,来保证组织信息资产的安全与业务的连续性,应在以下十个领域建立管理控制措施:
1、安全方针策略;2、组织安全;3、资产分类与控制;4、人员安全;5、物理与环境安全;6、通信与运营安全;7、访问控制;8、系统开发与维护;9、业务持续性管理;10、符合法律法规要求。
第二节网络信息安全等级保护制度在网络化环境下,必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。
因此,有必要从技术和管理控制角度建立一套网络信息安全等级保护机制。
一、国外等级保护的发展,美国国防部早在80年代成立了所属的机构-国家计算机安全中心(NCSC)1983年他们公布了可信计算机系统评估准则(TCSEC,俗称橘皮书)NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等(俗称彩虹系列)。
从网络安全的角度出发,从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求。
90年代西欧四国(英、法、荷、德)联合提出了信息技术安全评估标准(ITSEC)(又称欧洲白皮书),除了吸收TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识。
根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。
将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。
1991年1月美国联合其他国家宣布了制定通用安全评估准则(CC)的计划。
1996年1月出版了1.0版。
它的基础是欧洲的ITSEC。
CC标准吸收了TCSEC、加拿大的CTCPEC以及国际标准化组织ISO:
SC27WG3的安全评估标准等各先进国家对现代信息系统信息安全的经验与知识。
二、我国的等级保护体系1989年公安部开始设计起草法律和标准,从法律、管理和技术三个方面着手研究信息安全等级保护制度。
1999年9月13日由公安部组织制订的计算机信息系统安全保护等级划分准则国家标准由国家质量技术监督局审查通过并正式批准发布,已于2001年1月1日执行。
准则的配套标准分两类:
一是计算机信息系统安全保护等级划分准则应用指南,它包括技术指南、建设指南和管理指南;二是计算机信息系统安全保护等级评估准则,它包括安全操作系统、安全数据库、网关、防火墙、路由器和身份认证管理等。
准则将计算机安全保护划分为以下五个级别:
第一级:
用户自主保护级。
它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
涉及:
自主访问控制、身份鉴别,第二级:
系统审计保护级。
除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,是所有的用户对自己行为的合法性负责。
涉及:
自主访问控制、身份鉴别、客体重用、审计、数据完整性,第三级:
安全标记保护级。
除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。
涉及:
自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性,第四级:
结构化保护级。
在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
涉及:
自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径,第五级:
访问验证保护级。
这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
涉及:
自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复需要实施安全等级保护的信息系统为:
党政系统(党委、政府);金融系统(银行、保险、证券);财税系统(财政、税务、工商);经贸系统(商业贸易、海关);电信系统(邮电、电信、广播、电视);能源系统(电力、热力、燃气、煤炭、油料);交通运输系统(航空、航天、铁路、公路、水运、海运);供水系统(水利及水源供给);社会应急服务系统(医疗、消防、紧急救援);教育科研系统(教育、科研、尖端科技);国防建设系统。
三、等级保护制度建设和等级划分细则国家实行计算机信息系统安全等级保护制度建设主要由以下几部分构成:
1、计算机信息系统安全等级保护标准体系;2、计算机信息系统安全等级保护管理的行政法规体系;3、信息系统安全等级保护所需的系统设备技术体系;4、安全等级系统的建设和管理机制;5、计算机信息系统安全监督管理体系。
第三节信息系统访问控制在信息化环境下,为了保障信息系统的安全,必须做好信息系统的访问控制,以防范来自企业内、外部的风险。
一、访问控制基本概念访问控制的主要任务:
是保证网络资源不被非法使用和访问。
它规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控制。
与访问控制有关的基本概念:
主体(Subject):
是指主动的实体,是访问的发起者,它造成了信息的流动和系统状态的改变,通常包括人、进程和设备。
客体(Object):
是指包含或接受信息的被动实体,客体在信息流动中的地位是被动的,是处于主体的作用之下,对客体的访问意味着对其中所包含信息的访问。
通常包括文件、设备、信号量和网络节点等。
访问控制(accesscontrol)策略主要有:
1、自主访问控制(DiscretionaryAccessControl);2、强制访问控制(MandatoryAccessControl);3、基于角色的访问控制(RoleBasedAccessControl)。
访问许可(AccessPermissions):
决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。
二、访问控制的类型和手段安全控制包括六种类型:
1、防御型控制:
用于阻止不良事件的发生;2、侦测型控制:
用于探测已经发生的不良事件;3、矫正型控制:
用于矫正已经发生的不良事件;4、管理型控制:
用于管理系统的开发、维护和使用,包括针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策;5、技术型控制:
用于为信息技术系统和应用提供自动保护的硬件和软件控制手段;6、操作型控制:
用于保护操作系统和应用的日常规程和机制。
它们主要涉及在人们(相对于系统)使用和操作中使用的安全方法。
三种和控制有关的概念:
补偿型控制、综合型控制和规避型控制1、补偿型控制:
用于在一个领域的控制能力较弱而在另一个领域控制能力较强,反之亦然。
2、综合型控制:
使用两个或更多的控制来加强对功能、程序或操作的控制效果。
3、规避型控制:
是对资源进行分割管理。
目的是将两个实体彼此分开以保证实体的安全和可靠。
部分访问控制部分手段:
物理类控制手段:
防御型手段:
文书备份;围墙和栅栏;保安;证件识别系统;加锁的门;双供电系统;生物识别型门禁系统;工作场所的选择;灭火系统,探测型手段:
移动监测探头;烟感和温感探头;闭路监控;传感和报警系统,管理类控制手段:
防御型手段:
安全知识培训;职务分离;职员雇用手续;职员离职手续;监督管理;灾难恢复和应急计划;计算机使用的登记,探测型手段:
安全评估和审计;性能评估;强制假期;背景调查;职务轮换,三、访问控制管理访问控制管理涉及:
访问控制在系统中的部署、测试、监控以及对用户访问的终止。
访问控制决定需要考虑:
机构的策略、员工的职务描述、信息的敏感性、用户的职务需求(need-to-know)等因素。
三种基本的访问管理模式:
集中式、分布式和混合式,技术类控制手段:
防御型手段:
访问控制软件;防病毒软件;库代码控制系统;口令;智能卡;加密;拨号访问控制和回叫系统,探测型手段:
日志审计;入侵探测系统,1、集中式管理:
是由一个管理者设置访问控制。
特点:
控制是比较严格;整个过程和执行标准的一致性比较容易达到;快速而大量修改访问权限时管理者的工作负担和压力大,2、分布式管理:
是把访问的控制权交给了文件的拥有者或创建者,通常是职能部门的管理者特点:
控制权赋予了信息的管理者;造成在执行访问控制的过程和标准上的不一致性;在任一时刻很难确定整个系统所有的用户的访问控制情况;不同管理者在实施访问控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求;有可能造成在员工调动和离职时访问权不能有效地清除。
3、混合式管理:
是集中式管理和分布式管理的结合。
特点:
由集中式管理负责整个机构中基本的访问控制;由职能管理者就其所负责的资源对用户进行具体的访问控制;主要缺点是难以划分哪些访问控制应集中控制,哪些应在本地控制。
第四节信息系统逻辑访问风险与控制不充分的逻辑访问控制增加了暴露风险可以带来的潜在损失,这些暴露风险会对组织产生负面作用,甚至造成整个信息系统的故障。
一、逻辑访问暴露风险暴露风险包括:
技术性暴露风险和计算机犯罪。
它们都可以有意或无意地利用逻辑访问控制的漏洞,对信息系统造成损害。
1、技术性暴露风险:
是指对网络、操作系统、数据库及应用系统四个层面的数据、软件进行非授权操作(如:
创建、阅读、修改、运行、删除)。
它包括:
2、计算机及网络犯罪计算机及网络犯罪:
针对计算机及网络系统,通过未经授权访问非法操作、窃取、修改、破坏等方式损害组织资产、系统等的违法违规行为。
主要对象:
计算机或网络系统内的数据造成威胁:
财务损失、法律责任、信誉损失或竞争力丧失、勒索、恶意破坏,等,特洛伊木马(TrojanHorseBackdoors)、去尾法(RoundingDown)色粒米技术(SalamiTechnique)、计算机病毒(Virus)、计算机蠕虫(Worms)、逻辑炸弹(LogicBombs)、陷阱门(TrapDoors)、数据泄露(DataLeakage)、搭线窃听(Wire-tapping)、战争驾驶(WarDriving)、尾随法(Piggybacking)、关闭计算机(ComputerShutdown)、拒绝服务攻击(Denial-of-serviceAttack),二、逻辑访问路径进入系统的逻辑访问可以通过不同路径,每种路径均有适当的访问安全级别。
在网络环境下,进入组织前端或后端系统的常规进入点与组织的网络与通讯基础设施相关,通过对系统进入点的管理可以控制对信息资源(应用系统、数据库、通用设施和网络)的访问。
常用的系统访问模式如下:
(一)操作主控台:
主控台负责大部分计算机的运行及功能实现。
逻辑访问路径控制:
1、控制终端须放置于安全环境;2、确保只有经授权才能进行使用操作;,
(二)在线终端设备:
逻辑访问路径控制:
1、必须使用登录账号和个人密码,且进行权限认证;2、附加使用安全控制软件弥补操作系统和应用系统安全的不足;,(三)通信网络:
终端设备或个人计算机通过通信网络、或无线方式与主计算机物理相连而获得访问能力。
逻辑访问路径控制:
1、通过域控制服务器进行用户身份的识别与验证;2、对特殊的应用系统或数据的访问在特定的服务器上进行用户身份的识别与验证;3、通过网络管理设备,如路由器、防火墙等。
(四)拨号连接:
利用电话线拔号、远程终端设备或计算机进入信息系统。
逻辑访问路径控制:
1、通过调制解调器实现A/D和D/A转换访问路径的安全控制一般通过确认远程用户的个人账号和密码来实现,其确认方式可通过回拔控制(Callback)、安全管理软件或人为确认等方式来完成;2、通过VPN方式通过适当授权进行远程访问。
三、逻辑访问控制软件为达到安全的目的,在信息系统架构的所有层面上都应当建立有效的访问控制措施。
它涉及:
网络层、操作系统层、数据库层、应用系统层主要的控制措施有:
用户身份的识别与验证、访问授权、对特定信息资源的检测、对用户访问行动的记录与报告。
实现途径:
可以通过部署在不同层面上的访问控制软件提供一定程度的安全。
2、网络及操作系统访问控制软件一般访问控制功能包括:
对用户的身份识别与验证机制;限制特定用户在特定的时间登录到特定终端或工作站;对特定信息资源的访问建立规则;,1、逻辑访问控制软件的主要功能
(1)对用户身份的验证;
(2)授权使用预先定义的资源;(3)限制用户从特定终端设备访问数据;(4)报告未经授权访问数据及程序的企图。
创建个人行为的可确认性与可审计性;创建或修改用户梗概文件(描述用户的安全与使用特征);在日志中记录事件;报告系统的能力。
3、数据库和应用系统层的访问控制软件一般访问控制功能包括:
创建和修改数据文件和数据库页面文件;在应用系统层或事务层验证用户授权;在数据库字段级验证用户授权;在文件级验证子系统授权;用日志记录数据库或数据访问活动,以监测非法访问。
四、逻辑访问的控制技术身份识别与验证是绝大多数类型的访问控制为建立用户责任的可确认性而采用的方法。
是多数系统的第一道防线,是防止非授权用户(或进程)进入系统的技术措施。
身份识别与验证技术可以分为三类:
“只有你知道的事情(SomethingYouKnow)”:
如密码;“只有你拥有的东西(SomethingYouHave)”:
如身份证、令牌卡;“只有你具有的特征(SomethingYouAre)”:
如指纹、声音。
身份识别与验证机制的弱点:
身份验证方法较弱;用户可以利用系统弱点绕过验证机制;对系统中存储的身份验证信息缺乏有效的机密性与完整性保护机制;身份验证信息在网上传输时,缺乏有效的加密机制。
身份识别与验证的主要方法:
1、登录账号和口令(LogonIDsAndPasswords);2、令牌设备/一次性口令(TokenDevices,One-timePasswords);3、生物测定技术(Biometrics);一般来说,具有最佳反应时间和最低平均错误率的生物测定类型为:
手掌、手形、虹膜、视网膜、指纹和声音。
4、行为测定技术主要有:
签名识别(SignatureRecognition)、声音识别(VoiceRecognition)5、单点登录(SingleSign-On)概念:
是组织把多个操作系统平台和应用系统中的安全管理、身份识别与验证等功能集成到一个单一的安全管理过程中,以对组织中的安全操作进行集中化管理,并方便用户的使用。
五、社交工程问题社交工程就是利用人的薄弱点,通过欺骗手段而入侵计算机系统的一种攻击方法。
典型的社交工程攻击手段有:
电话欺骗、垃圾搜寻(DumpsterDiving)、肩窥(ShoulderSurfing)等防御社交工程最有效的办法:
进行安全意识教育与培训,六、访问控制的授权问题授权就是决定什么人能访问什么资源。
授权访问应当以“需要知道”和“需要做”为基础,并把授权内容正式记录在案,以便于在系统中执行及日后的检查审核。
计算机访问有许多种级别控制,进行可访问授权时,应清楚某一级别的访问能做什么,不能做什么。
如:
文件级的访问限制有下列限制:
读、查询或拷贝;写入、创建、修正或删除;可执行;以上所有功能。
以下是计算机资源的列表(包括文件、设施等),用户通过网络、操作系统、数据库、应用系统对其进行访问时,一般需要采取逻辑访问控制措施对它们进行保护:
数据;应用系统(测试阶段软件、生产现场软件);Web应用(基于Internet或Intranet);域名服务器;网络路由器与交换机中的操作系统;系统公用工具设施;通讯线路;资源库/目录;口令;临时磁盘文件;磁带文件;系统软件;访问控制软件;系统程序库;日志文件;绕过标签处理特征;操作者使用的系统后门;拨号线路;数据字典/目录;打印队列,为了给以上文件与设施提供安全授权,逻辑访问机制需要利用访问授权表,也称为访问控制列表(AccessControlLists)(ACL)。
访问控制列表一般包括以下内容:
定义对特定的系统资源具有访问许可的用户(包括组、计算机、过程);访问许可的类型;,七、逻辑访问安全管理客户机/服务器环境下,可以对身份识别验证过程和授权过程进行集中式或分布式管理。
八、远程访问安全为满足业务需要,一般远程用户采用与组织IT环境中相同的技术与协议来实现远程连接。
常见的远程访问方式及安全:
(一)通用远程访问方式,1、拨号线连接点对点异步调制解调器、ISDN):
用户先接入网络访问服务器(NAS),NAS可以与组织的防火墙及路由器协同工作,用于管理远程用户的身份验证、访问控制和计账功能,并对远程连接进行控制。
优点:
成本低廉,容易使用;缺点:
速度慢、性能较低、可靠性较差、安全性也较弱。
2、VPN方式:
通过虚拟专用线路方式保护数据在公共网上传输时的安全。
优点:
广泛支持、简单易用,成本低。
缺点:
没有租用专线可靠,缺少权威机构的认证,处理错误时较困难。
3、租用专线方式一般用于分支机构、地区办公室或业务合作伙伴的远程访问。
优点:
具有较高的安全性与较好的传输性能。
缺点:
成本较高,比使用Internet的连接一般要高出2至5倍。
远程访问的风险:
1、因为攻击者发起拒绝服务攻击,而无法访问远程数据或应用系统;2、恶意的第三方可以利用通讯软件或协议的漏洞,而获得对重要应用系统或敏感数据的访问;3、配置不当的通讯软件,可能造成对组织信息资源的非授权访问和修改;4、没有对主机系统进行安全保护,有可能被实施远程访问入侵者利用;5、远程用户的计算机的物理安全。
远程访问控制包括:
政策与标准;适当授权;用户身份识别与验证机制;加密工具与技术(如使用VPN);系统与网络管理。
(二)使用个人数字助理(PDAS)进行远程访问特点:
功能强、尺寸小、方便易携带等缺陷:
在安全方面的天然缺陷(如:
尺寸小容易被盗或丢失;由于处理能力有限,无线通讯时加密强度受限制)PDA控制措施:
合性、授权与审批、标准PDA应用系统(进行必要的基线定制与安全控制)、职业审慎、安全标准的PDA应用系统(或PDA内置的应用系统)、同步(经常备份与更新)、加密机制、病毒检测与控制。
九、移动设备的访问问题常用控制措施:
在组织的安全政策中禁止所有可移动设备的使用;通过用户登录脚本设置禁止使用USB端口(除非经特别授权可以使用);如有必要,对所有可能被拷贝的数据进行加密。
十、通过审计日志监测系统访问审计日志可以自动记录和报告所有级别的计算机访问及试图入侵计算机的行为。
组织要根据实际需求来决定在日志中记录什么样的计算机操作行为、谁有权访问系统日志及日志要保留多时间。
通过掌握与分析这些审计踪迹,为监测可疑的网络活动提供线索。
注意:
对日志访问实施强控制,可以有效地保护审计证据。
审计日志分析工具:
1、审计精简工具:
审计精简工具被用来减少审计记录的数量,以方便人工审核;2、趋势检测工具:
从日志数据中寻找用户或系统的不正常活动;3、攻击特征检测工具:
发现存在具有一定特征的非授权访问事件序列。
十一、入侵检测系统(IDS)IDS:
通过使用特定的软件来发现针对计算机主机和网络的非授权使用情况。
IDS有基于主机的,也有基于网络的。
组织在设计与应用IDS时,应当首先确定高风险区域的相关事件,并建立应急响应程序。
应急响应程序一般包括以下步骤:
1、员工如果发现安全事件或潜在的可疑事件,应及时向安全主管汇报;2、安全主管及相关责任主管应当立即着手进行联合调查,并决定事件的严重性;3、若情况严重,必须通知管理层,但不必先通知执法机关;4、应当建立正规程序来处理公共关系及媒体关系;5、必须建立正式的书面程序,清楚地定义各种非法访问事件等级以及相应处置方式;6、必须建立一套明确的惩戒规定并持续地贯彻执行;7、对安全事件的纠正措施还包括检查组织建立的访问规则是否严密。
十二、限制并监控特权访问应当建立程序来限制并监测可能绕过安全控制的访问。
一般来说,只有系统软件编程人员才有以下访问特权:
绕过标签检查(BypassLabelProcessing);系统特殊出口(systemExits);特殊系统登录账号(SpecialSystemLogonIDs)。
十三、逻辑访问控制的命名规则访问控制的命名规则:
是一种用来管理用户对资源访问权限的命名结构,这些资源包括文件、程序、终端等。
在组织计算环境中建立适当的命名规范,有利于用户在访问数据过程中做到职责分离及责任的可追查性(Accountability)。
命名规范一般要求:
1、通常由数据或应用系统的所有者建立;2、要使命名规则反映出受保护资源的重要性及安全级别的高低;3、对资源的命名进行统一的结构化管理,以减少规则的数量,简化安全管理。
第五节信息系统物理访问风险与控制物理安全涉及在物理层面上保护企业资源和敏感信息所遭遇的威胁、所可能存在的缺陷和所采取的相应对策。
一、物理访问的问题与暴露风险1、物理访问的风险风险原因可能来自对安全规定有意或无意的违反,这些风险包括:
未经授权进人信息处理场所;毁损、破坏或窃取设备、财产或文件;拷贝或偷看敏感的或有著作权的信息;对敏感性设备及信息的变更;,敏感信息的泄露;滥用数据处理资源;勒索(Blackmail);盗用(Embezzlement)。
2、可能的犯罪者可能的犯罪者包括来自内部员工授权或非授权的访问,风险可能来自:
对组织心怀不满的员工;罢工;受到惩处或开除的员工;沾染上赌博恶习的员工;遇到了财务问题或感情问题的员工;被通知解职的员工其他可能的犯罪人员有:
离职员工;有利害关
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 审计 南京 学院 chap6