信息系統(tǒng)審計(jì)方法論

1、信息系統(tǒng)審計(jì)方法論agenda向?qū)徲?jì)委員會和高階管理層提出關(guān)于IT內(nèi)部控制問題的建議； 執(zhí)行IT風(fēng)險(xiǎn)評估執(zhí)行：體制風(fēng)險(xiǎn)領(lǐng)域的審計(jì)一般控制審計(jì)應(yīng)用控制審計(jì)控制技術(shù)的技術(shù)性審計(jì)在系統(tǒng)開發(fā)和分析活動的內(nèi)部控制顧問。IT審計(jì)角色什么是信息？ 近代控制論的創(chuàng)始人維納有一句名言：“信息就是信息，不是物質(zhì)，也不是能量。”這句話聽起來有點(diǎn)抽象，但指明了信息與物質(zhì)和能量具有不同的屬性。信息、物質(zhì)和能量，是人類社會賴以生存和發(fā)展的三大要素。 ISO 13335信息技術(shù)安全管理指南是一部重要的國際標(biāo)準(zhǔn)，其中對信息給出了明確的定義：信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。信息是無形的，借助于信息媒體以

2、多種形式存在和傳播；同時，信息也是一種重要資產(chǎn)，具有價(jià)值，需要保護(hù)。從廣義上講，信息是任何一個事物的運(yùn)動狀態(tài)以及運(yùn)動狀態(tài)形式的變化，它是一種客觀存在。例如，日出、月落，花謝、鳥啼以及氣溫的高低變化、股市的漲跌等，都是信息。它是一種“純客觀”的概念，與人們主觀上是否感覺到它的存在沒有關(guān)系。而狹義的信息的含義卻與此不同- 狹義的信息，是指信息接受主體所感覺到并能被理解的東西。中國古代有“周幽王烽火戲諸侯”和“梁紅玉擊鼓戰(zhàn)金山”的典故，這里的“烽火”和“擊鼓”都代表了能為特定接收者所理解的軍情，因而可稱為“信息”；相反，至今仍未能破譯的一些刻在石崖上的文字和符號，盡管它們是客觀存在的，但由于人們（接

3、受者）不能理解，因而從狹義上講仍算不上是“信息”。同樣道理，從這個意義上講，鳥語是鳥類的信息，而對人類來說卻算不上是“信息”?？梢?，狹義的信息是一個與接受主體有關(guān)的概念。信息安全的定義ISO國際標(biāo)準(zhǔn)化組織對于信息安全給出了精確的定義，這個定義的描述是：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。信息安全的基本屬性安全術(shù)語所謂的安全，實(shí)際上就是控制，將風(fēng)險(xiǎn)控制在可以接受的范圍內(nèi)，這就是安全的本質(zhì)目的。所以，COBIT的邏輯和方法在信息安全領(lǐng)域?qū)嶋H上也是適用的。這就是對我們工作的幫助意義。IT 控制一般控制IT Co

4、ncerns and Issues災(zāi)難恢復(fù) 業(yè)務(wù)恢復(fù)計(jì)劃 BRP 測試 候補(bǔ)過程物理安全 物理訪問 HVAC 防火墻保護(hù) UPS備份/應(yīng)急計(jì)劃 數(shù)據(jù)備份 還原程序 異地存儲變更管理 計(jì)劃變更控制 跟蹤 變更審批IT-一般控制IT 控制應(yīng)用控制IT Concerns and Issues輸出控制 分解 分布 訪問過程控制 審計(jì)追蹤 接口控制 控制總控訪問控制 用戶ID/口令 數(shù)據(jù)安全 網(wǎng)絡(luò)安全 安全管理 訪問授權(quán)一般控制輸入控制 數(shù)據(jù)加密控制 系統(tǒng)修改 職責(zé)分工 交易授權(quán)IT-應(yīng)用控制一個自上而下理解IT控制的方法。 GovernanceManagementTechnicalIT控制的層次IT控

5、制是一個提供保證信息和信息服務(wù)，以及幫助減輕風(fēng)險(xiǎn)與利用技術(shù) 的的過程。理解IT控制IT控制的需求，如控制成本保護(hù)信息資產(chǎn)遵守法律和規(guī)章實(shí)施有效的IT控制將提高效率，可靠性和靈活性。IT控制的重要性董事/理事會管理-制定，批準(zhǔn)，執(zhí)行I T控制審計(jì)員IT控制的角色和責(zé)任風(fēng)險(xiǎn)分析識別和優(yōu)先考慮的風(fēng)險(xiǎn)考慮風(fēng)險(xiǎn)，確定是否有足夠的IT控制確定風(fēng)險(xiǎn)緩解策略-接受/減輕/分享基于風(fēng)險(xiǎn)的IT控制監(jiān)控IT控制不斷監(jiān)測/特別審查/自動連續(xù)審計(jì)監(jiān)控IT控制評估IT控制是一個持續(xù)的過程技術(shù)繼續(xù)推進(jìn)新的漏洞出現(xiàn)評估IT控制agenda安全工具掃描人工評估數(shù)據(jù)庫評估滲透測試代碼審計(jì)網(wǎng)絡(luò)架構(gòu)分析用戶訪談問卷調(diào)查應(yīng)用評估弱點(diǎn)評

6、估的內(nèi)容（1）安全漏洞工具掃描掃描工具：采用Eeye的retina5和ISS的掃描范圍：服務(wù)器、路由器、交換機(jī)、終端；掃描策略： 掃描策略最大化發(fā)現(xiàn)盡可能多的漏洞不包括DOS測試不包括口令猜測(Brute Force)影響最小化不對現(xiàn)有網(wǎng)絡(luò)產(chǎn)生顯著影響安全漏洞掃描示例（2）人工評估系統(tǒng)補(bǔ)丁系統(tǒng)賬號文件系統(tǒng)網(wǎng)絡(luò)及服務(wù)系統(tǒng)配置文件NFS或其它文件系統(tǒng)共享審計(jì)及日志后門入侵痕跡檢測、分析人工評估結(jié)果示例（3）網(wǎng)絡(luò)架構(gòu)分析3-1：基礎(chǔ)架構(gòu)分析：分層拓?fù)浣Y(jié)構(gòu)、路由協(xié)議、接入方式等3-2：訪問控制和安全審計(jì)：ACL、SYSLOG、SNMP3-3：安全設(shè)備深入評估審計(jì)：防火墻、IDS、VPN等3-4：IDS

7、取樣和網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)架構(gòu)分析示例：安全設(shè)備部署問卷訪談內(nèi)容完全符合部分符合不符合不適用與Internet的連接是否采用防火墻等安全措施?是否采用了防火墻和網(wǎng)關(guān)來加強(qiáng)不同網(wǎng)段間的訪問控制？專線連接有無防火墻等安全措施?是否使用了入侵檢測、漏洞掃描等安全產(chǎn)品，為了能及時發(fā)現(xiàn)對網(wǎng)絡(luò)設(shè)備可能發(fā)生的惡意攻擊?發(fā)現(xiàn)的弱點(diǎn)或風(fēng)險(xiǎn)：漏洞名稱漏洞賦值威脅名稱威脅影響賦值網(wǎng)絡(luò)架構(gòu)分析示例（4）用戶訪談和問卷調(diào)查人員互相介紹 介紹本次訪談的主要內(nèi)容介紹主要的理念和思路提問和回答記錄在訪問結(jié)束時需要確認(rèn)用戶評價(jià)訪談之后的整理（5）應(yīng)用評估與代碼審計(jì)（6）滲透測試滲透測試說明示例覆蓋到的安全內(nèi)容安全策略安全組織 人員

8、安全 資產(chǎn)管理 日常運(yùn)維管理 業(yè)務(wù)連續(xù)性規(guī)劃 法律符合性IT安全層次物理和環(huán)境安全網(wǎng)絡(luò)層安全操作系統(tǒng)安全通用應(yīng)用程序?qū)訕I(yè)務(wù)系統(tǒng)層（開發(fā)）業(yè)務(wù)系統(tǒng)流程安全技術(shù)技術(shù)-鑒別和認(rèn)證技術(shù)-訪問控制技術(shù)-審計(jì)和跟蹤技術(shù)-響應(yīng)和恢復(fù) 技術(shù)-內(nèi)容安全agenda半定量風(fēng)險(xiǎn)分析模型價(jià)值資產(chǎn)擁有者信息資產(chǎn)威脅來源風(fēng)險(xiǎn)后果可能性難易程度嚴(yán)重性弱點(diǎn)可能性威脅影響風(fēng)險(xiǎn)評估的價(jià)值風(fēng)險(xiǎn)評估基本流程資產(chǎn)識別與估價(jià)威脅評估弱點(diǎn)評估影響評估現(xiàn)有安全措施評估風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)評估基本流程中的工作風(fēng)險(xiǎn)評估流程資產(chǎn)識別與賦值信息資產(chǎn)分類信息資產(chǎn)賦值機(jī)密性賦值標(biāo)準(zhǔn) 完整性賦值標(biāo)準(zhǔn) 可用性賦值標(biāo)準(zhǔn) 資產(chǎn)價(jià)值計(jì)算Asset Value =

9、 Round1Log2(A2Conf+B2Int+C2Avail)/3A代表機(jī)密性的權(quán)值；B代表完整性的權(quán)值；C代表可用性的權(quán)值 電信運(yùn)營商（最關(guān)注可用性）：，C；金融行業(yè)（最關(guān)注完整性）：，C；政府涉密部門（最關(guān)注機(jī)密性）：，C； 資產(chǎn)、威脅和弱點(diǎn)的對應(yīng)關(guān)系 信息資產(chǎn)威脅A弱點(diǎn)A1來源A1來源A2弱點(diǎn)A2風(fēng)險(xiǎn)評估流程安全威脅介紹 安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件 安全威脅的定義與分類Q1：我們面臨的對手都是誰？確認(rèn)威脅來源列表Q2：我們最主要的對手是誰？威脅來源列表排序Q3：他們都是多高等級的對手？確認(rèn)威脅來源的等級Q4：他們會采用什么樣的威脅方式？確認(rèn)

10、威脅方式列表Q5：最主要的威脅方式是什么？威脅方式列表排序威脅可能性排序這些威脅發(fā)生的可能性有多大？威脅的屬性-可能性 Likelihood人為故意威脅的可能性：資產(chǎn)的吸引力和暴光程度，組織的知名度；資產(chǎn)轉(zhuǎn)化成利益的容易程度，包括財(cái)務(wù)的利益和資源威脅賦值方法通過評估體過去的安全事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威脅和其發(fā)生頻率；過去一年或兩年來國際機(jī)構(gòu)（如FBI）發(fā)布的對于整個社會或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù)均值。威脅的可能性賦值標(biāo)準(zhǔn) 風(fēng)險(xiǎn)評估流程安全弱點(diǎn)介紹安全弱點(diǎn)的定義弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害 弱點(diǎn)包括兩個屬性，弱點(diǎn)的嚴(yán)重性和被利用的難易程度 弱點(diǎn)的嚴(yán)重性等同于影響的嚴(yán)重性弱點(diǎn)嚴(yán)重性賦值標(biāo)準(zhǔn) 現(xiàn)有安全措施界定在弱點(diǎn)和威脅評估時充分考慮現(xiàn)有安全措施及強(qiáng)弱程度對其影響。安全技術(shù)措施安全控制手段有效的安全服務(wù)安全策略agenda集成COBIT的IT審計(jì)綜述