信息系統(tǒng)審計方法論課件

信息系統(tǒng)審計方法論1.agenda基礎(chǔ)概念信息系統(tǒng)弱點評估簡介信息安全風(fēng)險評估簡介集成COBIT的信息系統(tǒng)審計簡介財務(wù)相關(guān)的信息系統(tǒng)審計2向?qū)徲嬑瘑T會和高階管理層提出關(guān)于IT內(nèi)部控制問題的建議；執(zhí)行IT風(fēng)險評估執(zhí)行：體制風(fēng)險領(lǐng)域的審計一般控制審計應(yīng)用控制審計控制技術(shù)的技術(shù)性審計在系統(tǒng)開發(fā)和分析活動的內(nèi)部控制顧問。IT審計角色3什么是信息？近代控制論的創(chuàng)始人維納有一句名言：“信息就是信息，不是物質(zhì)，也不是能量?！边@句話聽起來有點抽象，但指明了信息與物質(zhì)和能量具有不同的屬性。信息、物質(zhì)和能量，是人類社會賴以生存和發(fā)展的三大要素。

ISO13335《信息技術(shù)安全管理指南》是一部重要的國際標(biāo)準(zhǔn)，其中對信息給出了明確的定義：信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。信息是無形的，借助于信息媒體以多種形式存在和傳播；同時，信息也是一種重要資產(chǎn)，具有價值，需要保護(hù)。從廣義上講，信息是任何一個事物的運動狀態(tài)以及運動狀態(tài)形式的變化，它是一種客觀存在。例如，日出、月落，花謝、鳥啼以及氣溫的高低變化、股市的漲跌等，都是信息。它是一種“純客觀”的概念，與人們主觀上是否感覺到它的存在沒有關(guān)系。而狹義的信息的含義卻與此不同---狹義的信息，是指信息接受主體所感覺到并能被理解的東西。中國古代有“周幽王烽火戲諸侯”和“梁紅玉擊鼓戰(zhàn)金山”的典故，這里的“烽火”和“擊鼓”都代表了能為特定接收者所理解的軍情，因而可稱為“信息”；相反，至今仍未能破譯的一些刻在石崖上的文字和符號，盡管它們是客觀存在的，但由于人們（接受者）不能理解，因而從狹義上講仍算不上是“信息”。同樣道理，從這個意義上講，鳥語是鳥類的信息，而對人類來說卻算不上是“信息”?？梢?，狹義的信息是一個與接受主體有關(guān)的概念。4信息安全的定義信息安全的保護(hù)對象信息安全的保護(hù)對象是信息資產(chǎn)，典型的信息資產(chǎn)包括了計算機硬件、軟件和數(shù)據(jù)。信息安全的目標(biāo)信息安全的目標(biāo)就是保證信息資產(chǎn)的三個基本安全屬性。信息資產(chǎn)被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響，而保密性、完整性和可用性三個基本屬性是信息安全的最終目標(biāo)。實現(xiàn)信息安全目標(biāo)的途徑實現(xiàn)信息安全目標(biāo)的途徑要借助兩方面的控制措施，即技術(shù)措施和管理措施。從這里就能看出技術(shù)和管理并重的基本思想，重技術(shù)輕管理，或者重管理輕技術(shù)，都是不科學(xué)，并且是有局限性的錯誤觀點。ISO國際標(biāo)準(zhǔn)化組織對于信息安全給出了精確的定義，這個定義的描述是：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。5信息安全的基本屬性保密性-Confidentiality確保信息在存儲、使用、傳輸過程中不會泄露給非授權(quán)的用戶或者實體。完整性-Integrity確保信息在存儲、使用、傳輸過程中不被非授權(quán)用戶篡改；防止授權(quán)用戶對信息進(jìn)行不恰當(dāng)?shù)拇鄹?；保證信息的內(nèi)外一致性?？捎眯?Availability確保授權(quán)用戶或者實體對于信息及資源的正常使用不會被異常拒絕，允許其可靠而且及時地訪問信息及資源。6安全術(shù)語風(fēng)險（Risk）某一特定的威脅利用某資產(chǎn)或某一群資產(chǎn)的弱點致使該資產(chǎn)受到損失或損壞的潛在可能性。（Thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossof/ordamagetotheassets.）一般是通過威脅發(fā)生的可能性和它造成的結(jié)果進(jìn)行組合來衡量的。（Itusuallyismeasuredbyacombinationofimpactandprobabilityofoccurrence.）【參考ISO/IECTR13335-1和BS7799-2:2002】風(fēng)險處置（RiskTreatment）選擇和實施修正風(fēng)險的控制的過程。（Processselectionandimplementationofcontrolstomodifyrisk.）【參考BS7799-2:2002】控制措施（Safeguard）降低風(fēng)險的實踐、過程或機制。（Apractice,procedureormechanismthatreducesrisk.）【參考BS7799-2:2002】所謂的安全，實際上就是控制，將風(fēng)險控制在可以接受的范圍內(nèi)，這就是安全的本質(zhì)目的。所以，COBIT的邏輯和方法在信息安全領(lǐng)域?qū)嶋H上也是適用的。這就是對我們工作的幫助意義。7IT控制一般控制ITConcernsandIssues災(zāi)難恢復(fù)

業(yè)務(wù)恢復(fù)計劃BRP測試

候補過程物理安全

物理訪問HVAC

防火墻保護(hù)UPS備份/應(yīng)急計劃

數(shù)據(jù)備份

還原程序

異地存儲變更管理

計劃變更控制

跟蹤

變更審批IT-一般控制8IT控制應(yīng)用控制ITConcernsandIssues輸出控制

分解

分布

訪問過程控制

審計追蹤

接口控制

控制總控訪問控制

用戶ID/口令

數(shù)據(jù)安全

網(wǎng)絡(luò)安全

安全管理

訪問授權(quán)一般控制輸入控制

數(shù)據(jù)加密控制

系統(tǒng)修改

職責(zé)分工

交易授權(quán)IT-應(yīng)用控制9一個自上而下理解IT控制的方法。

GovernanceManagementTechnicalIT控制的層次10IT控制是一個提供保證信息和信息服務(wù)，以及幫助減輕風(fēng)險與利用技術(shù)

的的過程。理解IT控制11IT控制的需求，如控制成本保護(hù)信息資產(chǎn)遵守法律和規(guī)章實施有效的IT控制將提高效率，可靠性和靈活性。IT控制的重要性12董事/理事會管理-制定，批準(zhǔn)，執(zhí)行IT控制審計員IT控制的角色和責(zé)任13風(fēng)險分析識別和優(yōu)先考慮的風(fēng)險考慮風(fēng)險，確定是否有足夠的IT控制確定風(fēng)險緩解策略-接受/減輕/分享基于風(fēng)險的IT控制14監(jiān)控IT控制不斷監(jiān)測/特別審查/自動連續(xù)審計監(jiān)控IT控制15評估IT控制是一個持續(xù)的過程技術(shù)繼續(xù)推進(jìn)新的漏洞出現(xiàn)評估IT控制16agenda基礎(chǔ)概念信息系統(tǒng)弱點評估簡介信息安全風(fēng)險評估簡介集成COBIT的信息系統(tǒng)審計簡介財務(wù)相關(guān)的信息系統(tǒng)審計17安全工具掃描人工評估數(shù)據(jù)庫評估滲透測試代碼審計網(wǎng)絡(luò)架構(gòu)分析用戶訪談問卷調(diào)查應(yīng)用評估弱點評估的內(nèi)容18（1）安全漏洞工具掃描掃描工具：采用Eeye的retina5和ISS的InternetScanner7.0掃描范圍：服務(wù)器、路由器、交換機、終端；掃描策略：掃描策略最大化發(fā)現(xiàn)盡可能多的漏洞不包括DOS測試不包括口令猜測(BruteForce)影響最小化不對現(xiàn)有網(wǎng)絡(luò)產(chǎn)生顯著影響19安全漏洞掃描示例20（2）人工評估系統(tǒng)補丁系統(tǒng)賬號文件系統(tǒng)網(wǎng)絡(luò)及服務(wù)系統(tǒng)配置文件NFS或其它文件系統(tǒng)共享審計及日志后門入侵痕跡檢測、分析21人工評估結(jié)果示例22（3）網(wǎng)絡(luò)架構(gòu)分析3-1：基礎(chǔ)架構(gòu)分析：分層拓?fù)浣Y(jié)構(gòu)、路由協(xié)議、接入方式等3-2：訪問控制和安全審計：ACL、SYSLOG、SNMP3-3：安全設(shè)備深入評估審計：防火墻、IDS、VPN等3-4：IDS取樣和網(wǎng)絡(luò)協(xié)議分析23網(wǎng)絡(luò)架構(gòu)分析示例：安全設(shè)備部署問卷訪談內(nèi)容完全符合部分符合不符合不適用與Internet的連接是否采用防火墻等安全措施?是否采用了防火墻和網(wǎng)關(guān)來加強不同網(wǎng)段間的訪問控制？專線連接有無防火墻等安全措施?是否使用了入侵檢測、漏洞掃描等安全產(chǎn)品，為了能及時發(fā)現(xiàn)對網(wǎng)絡(luò)設(shè)備可能發(fā)生的惡意攻擊?發(fā)現(xiàn)的弱點或風(fēng)險：漏洞名稱漏洞賦值威脅名稱威脅影響賦值24網(wǎng)絡(luò)架構(gòu)分析示例25（4）用戶訪談和問卷調(diào)查人員互相介紹介紹本次訪談的主要內(nèi)容介紹主要的理念和思路提問和回答記錄在訪問結(jié)束時需要確認(rèn)用戶評價訪談之后的整理26（5）應(yīng)用評估與代碼審計1、應(yīng)用框架從業(yè)務(wù)功能、應(yīng)用架構(gòu)、外部連接、主要平臺、采用的安全措施等方面2、應(yīng)用界面從標(biāo)識和識別、系統(tǒng)訪問、數(shù)據(jù)驗證等方面3、數(shù)據(jù)傳輸4、數(shù)據(jù)存儲5、審計6、應(yīng)用軟件從資源利用、安全管理、配置管理、開發(fā)過程管理、脆弱性評定、測試等方面7、應(yīng)用維護(hù)8、源代碼審計27（6）滲透測試工具免費的工具，最大程度模擬網(wǎng)絡(luò)在實際環(huán)境中對攻擊的防御能力。方法用戶信息收集：包括用戶名、密碼長度、登陸時間等。密碼破解：猜測用戶密碼溢出攻擊：利用現(xiàn)有的弱點，嘗試獲得主機的權(quán)限網(wǎng)絡(luò)信息收集：包括網(wǎng)絡(luò)設(shè)備、拓?fù)浣Y(jié)構(gòu)的收集28滲透測試說明示例29覆蓋到的安全內(nèi)容安全策略安全組織人員安全資產(chǎn)管理日常運維管理業(yè)務(wù)連續(xù)性規(guī)劃法律符合性IT安全層次物理和環(huán)境安全網(wǎng)絡(luò)層安全操作系統(tǒng)安全通用應(yīng)用程序?qū)訕I(yè)務(wù)系統(tǒng)層（開發(fā)）業(yè)務(wù)系統(tǒng)流程安全技術(shù)技術(shù)-鑒別和認(rèn)證技術(shù)-訪問控制技術(shù)-審計和跟蹤技術(shù)-響應(yīng)和恢復(fù)技術(shù)-內(nèi)容安全30agenda基礎(chǔ)概念信息系統(tǒng)弱點評估簡介信息安全風(fēng)險評估簡介集成COBIT的信息系統(tǒng)審計簡介財務(wù)相關(guān)的信息系統(tǒng)審計31半定量風(fēng)險分析模型價值資產(chǎn)擁有者信息資產(chǎn)威脅來源風(fēng)險后果可能性難易程度嚴(yán)重性弱點可能性威脅影響32風(fēng)險評估的價值對當(dāng)前威脅、弱點和影響進(jìn)行全面的評估，清晰地了解當(dāng)前的風(fēng)險，清晰地了解信息系統(tǒng)的安全現(xiàn)狀明確地看到當(dāng)前安全現(xiàn)狀與安全目標(biāo)之間的差距指出應(yīng)該盡快解決的主要問題有利于讓領(lǐng)導(dǎo)重視安全，推動安全工作的進(jìn)展知識轉(zhuǎn)移，提高人員的安全意識和安全技能為下一步控制和降低安全風(fēng)險、改善安全狀況提供客觀和翔實的依據(jù)33風(fēng)險評估基本流程資產(chǎn)識別與估價威脅評估弱點評估影響評估現(xiàn)有安全措施評估風(fēng)險評估風(fēng)險控制34風(fēng)險評估基本流程中的工作35風(fēng)險評估流程—資產(chǎn)識別與賦值36信息資產(chǎn)分類37信息資產(chǎn)賦值需要確認(rèn)資產(chǎn)的價值和重要性，重點保護(hù)關(guān)鍵的、重要的資產(chǎn)資產(chǎn)價值有別于資產(chǎn)的帳面價值和重置價值，而是指資產(chǎn)在安全方面的相對價值機密性、完整性和可用性的價值分別賦值38機密性賦值標(biāo)準(zhǔn)

39完整性賦值標(biāo)準(zhǔn)

40可用性賦值標(biāo)準(zhǔn)

41資產(chǎn)價值計算AssetValue=Round1{Log2[(A×2Conf+B×2Int+C×2Avail)/3]}A代表機密性的權(quán)值；B代表完整性的權(quán)值；C代表可用性的權(quán)值

電信運營商（最關(guān)注可用性）：A=0.7，B=0.7，C＝1.6；金融行業(yè)（最關(guān)注完整性）：A=0.7，B=1.6，C＝0.7；政府涉密部門（最關(guān)注機密性）：A=1.6，B=0.7，C＝0.7；

42資產(chǎn)、威脅和弱點的對應(yīng)關(guān)系

信息資產(chǎn)威脅A弱點A1來源A1來源A2弱點A243風(fēng)險評估流程—安全威脅介紹44

安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件安全威脅的定義與分類Q1：我們面臨的對手都是誰？－確認(rèn)威脅來源列表Q2：我們最主要的對手是誰？－威脅來源列表排序Q3：他們都是多高等級的對手？－確認(rèn)威脅來源的等級Q4：他們會采用什么樣的威脅方式？－確認(rèn)威脅方式列表Q5：最主要的威脅方式是什么？－威脅方式列表排序－威脅可能性排序－這些威脅發(fā)生的可能性有多大？45威脅的屬性--可能性Likelihood人為故意威脅的可能性：資產(chǎn)的吸引力和暴光程度，組織的知名度；資產(chǎn)轉(zhuǎn)化成利益的容易程度，包括財務(wù)的利益和資源46威脅賦值方法通過評估體過去的安全事件報告或記錄，統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻率；過去一年或兩年來國際機構(gòu)（如FBI）發(fā)布的對于整個社會或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計數(shù)據(jù)均值。47威脅的可能性賦值標(biāo)準(zhǔn)

48風(fēng)險評估流程—安全弱點介紹49安全弱點的定義弱點是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害弱點包括兩個屬性，弱點的嚴(yán)重性和被利用的難易程度弱點的嚴(yán)重性等同于影響的嚴(yán)重性50弱點嚴(yán)重性賦值標(biāo)準(zhǔn)

51現(xiàn)有安全措施界定在弱點和威脅評估時充分考慮現(xiàn)有安全措施及強弱程度對其影響。安全技術(shù)措施安全控制手段有效的安全服務(wù)安全策略52agenda基礎(chǔ)概念信息系統(tǒng)弱點評估簡介信息安全風(fēng)險評估簡介集成COBIT的信息系統(tǒng)審計簡介財務(wù)相關(guān)的信息系統(tǒng)審計53集成COBIT的IT審計綜述54IT審計方法總覽551.對應(yīng)COBIT到審計范圍562.使用COBIT?框架57審計問卷設(shè)計58基于COBIT?的審計報告59基于COBIT?的審計報告（續(xù)）60基于COBIT?的審計報告（續(xù)）61使用COBIT?建立

IT風(fēng)險與控制測量62定期的管理報告63agenda基礎(chǔ)概念信息系統(tǒng)弱點評估簡介信息安全風(fēng)險評估簡介集成COBIT的信息系統(tǒng)審計簡介財務(wù)相關(guān)的信息系統(tǒng)審計64財務(wù)相關(guān)的IT審計特點IT審計是財務(wù)審計的一部分，不是單獨存在，IT審計的根本是為了減輕財務(wù)審計的工作量。審計業(yè)務(wù)的對象是面向業(yè)務(wù)和財務(wù)相關(guān)的信息系統(tǒng)，與用戶的各項應(yīng)用業(yè)務(wù)和財務(wù)有密切的關(guān)系，是信息安全審計系統(tǒng)中重要的組成部分，它從用戶的業(yè)務(wù)和財務(wù)角度出發(fā)，思考和分析用戶的網(wǎng)絡(luò)業(yè)務(wù)中所存在的脆弱點和風(fēng)險。重點是與財務(wù)報表審計相關(guān)的針對財務(wù)報告的內(nèi)部控制的審計、對IT系統(tǒng)本身的安全或風(fēng)險不關(guān)心。數(shù)據(jù)的“保密性”和系統(tǒng)的“可用性”是系統(tǒng)實施的時候需要考慮的問題，不是到了審計的時候才來考慮。關(guān)注對財務(wù)報告的內(nèi)部控制的審計工作，以及這項工作與財務(wù)報表審計的關(guān)系問題，審計的