• 1. 信息系统审计方法论
  • 2. agenda基础概念信息系统弱点评估简介信息安全风险评估简介集成COBIT的信息系统审计简介财务相关的信息系统审计
  • 3. 向审计委员会和高阶管理层提出关于IT内部控制问题的建议; 执行IT风险评估 执行: 体制风险领域的审计 一般控制审计 应用控制审计 控制技术的技术性审计 在系统开发和分析活动的内部控制顾问。 IT审计角色
  • 4. 什么是信息? 近代控制论的创始人维纳有一句名言:“信息就是信息,不是物质,也不是能量。”这句话听起来有点抽象,但指明了信息与物质和能量具有不同的属性。信息、物质和能量,是人类社会赖以生存和发展的三大要素。 ISO 13335《信息技术安全管理指南》是一部重要的国际标准,其中对信息给出了明确的定义:信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息是无形的,借助于信息媒体以多种形式存在和传播;同时,信息也是一种重要资产,具有价值,需要保护。从广义上讲,信息是任何一个事物的运动状态以及运动状态形式的变化,它是一种客观存在。例如,日出、月落,花谢、鸟啼以及气温的高低变化、股市的涨跌等,都是信息。它是一种“纯客观”的概念,与人们主观上是否感觉到它的存在没有关系。而狭义的信息的含义却与此不同--- 狭义的信息,是指信息接受主体所感觉到并能被理解的东西。中国古代有“周幽王烽火戏诸侯”和“梁红玉击鼓战金山”的典故,这里的“烽火”和“击鼓”都代表了能为特定接收者所理解的军情,因而可称为“信息”;相反,至今仍未能破译的一些刻在石崖上的文字和符号,尽管它们是客观存在的,但由于人们(接受者)不能理解,因而从狭义上讲仍算不上是“信息”。同样道理,从这个意义上讲,鸟语是鸟类的信息,而对人类来说却算不上是“信息”。可见,狭义的信息是一个与接受主体有关的概念。
  • 5. 信息安全的定义信息安全的保护对象信息安全的保护对象是信息资产,典型的信息资产包括了计算机硬件、软件和数据。信息安全的目标信息安全的目标就是保证信息资产的三个基本安全属性。信息资产被泄露意味着保密性受到影响,被更改意味着完整性受到影响,被破坏意味着可用性受到影响,而保密性、完整性和可用性三个基本属性是信息安全的最终目标。 实现信息安全目标的途径实现信息安全目标的途径要借助两方面的控制措施,即技术措施和管理措施。从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且是有局限性的错误观点。ISO国际标准化组织对于信息安全给出了精确的定义,这个定义的描述是:信息安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
  • 6. 信息安全的基本属性保密性-Confidentiality确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体。完整性-Integrity确保信息在存储、使用、传输过程中不被非授权用户篡改;防止授权用户对信息进行不恰当的篡改;保证信息的内外一致性。可用性-Availability确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝,允许其可靠而且及时地访问信息及资源。
  • 7. 安全术语风险(Risk)某一特定的威胁利用某资产或某一群资产的弱点致使该资产受到损失或损坏的潜在可能性。(The potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss of/or damage to the assets.)一般是通过威胁发生的可能性和它造成的结果进行组合来衡量的。(It usually is measured by a combination of impact and probability of occurrence.) 【参考ISO/IEC TR 13335-1和BS 7799-2:2002】 风险处置(Risk Treatment)选择和实施修正风险的控制的过程。(Process selection and implementation of controls to modify risk.)【参考BS 7799-2:2002】控制措施(Safeguard)降低风险的实践、过程或机制。(A practice, procedure or mechanism that reduces risk.)【参考BS 7799-2:2002】 所谓的安全,实际上就是控制,将风险控制在可以接受的范围内,这就是安全的本质目的。所以,COBIT的逻辑和方法在信息安全领域实际上也是适用的。这就是对我们工作的帮助意义。
  • 8. IT 控制一般控制IT Concerns and Issues灾难恢复 业务恢复计划 BRP 测试 候补过程物理安全 物理访问 HVAC 防火墙保护 UPS备份/应急计划 数据备份 还原程序 异地存储变更管理 计划变更控制 跟踪 变更审批IT-一般控制
  • 9. IT 控制应用控制IT Concerns and Issues输出控制 分解 分布 访问过程控制 审计追踪 接口控制 控制总控访问控制 用户ID/口令 数据安全 网络安全 安全管理 访问授权一般控制输入控制 数据加密控制 系统修改 职责分工 交易授权IT-应用控制
  • 10. 一个自上而下理解IT控制的方法。 GovernanceManagementTechnicalIT控制的层次
  • 11. IT控制是一个提供保证信息和信息服务,以及帮助减轻风险与利用技术 的的过程。理解IT控制
  • 12. IT控制的需求,如 控制成本 保护信息资产 遵守法律和规章 实施有效的IT控制将提高效率,可靠性和灵活性。IT控制的重要性
  • 13. 董事/理事会 管理-制定,批准,执行I T控制 审计员IT控制的角色和责任
  • 14. 风险分析 识别和优先考虑的风险 考虑风险,确定是否有足够的IT控制 确定风险缓解策略-接受/减轻/分享 基于风险的IT控制
  • 15. 监控IT控制 不断监测/特别审查/自动连续审计监控IT控制
  • 16. 评估IT控制是一个持续的过程 技术继续推进 新的漏洞出现 评估IT控制
  • 17. agenda基础概念信息系统弱点评估简介信息安全风险评估简介集成COBIT的信息系统审计简介财务相关的信息系统审计
  • 18. 安全工具扫描 人工评估 数据库评估 渗透测试 代码审计网络架构分析 用户访谈 问卷调查 应用评估弱点评估的内容
  • 19. (1)安全漏洞工具扫描扫描工具:采用Eeye的retina5和ISS的Internet Scanner7.0 扫描范围:服务器、路由器、交换机、终端; 扫描策略: 扫描策略最大化 发现尽可能多的漏洞 不包括DOS测试 不包括口令猜测(Brute Force) 影响最小化 不对现有网络产生显著影响
  • 20. 安全漏洞扫描示例
  • 21. (2)人工评估系统补丁 系统账号 文件系统 网络及服务 系统配置文件 NFS或其它文件系统共享 审计及日志 后门 入侵痕迹检测、分析
  • 22. 人工评估结果示例
  • 23. (3)网络架构分析3-1:基础架构分析:分层拓扑结构、路由协议、接入方式等 3-2:访问控制和安全审计:ACL、SYSLOG、SNMP 3-3:安全设备深入评估审计:防火墙、IDS、VPN等 3-4:IDS取样和网络协议分析
  • 24. 网络架构分析示例:安全设备部署问卷访谈内容完全符合部分符合不符合不适用与Internet的连接是否采用防火墙等安全措施?是否采用了防火墙和网关来加强不同网段间的访问控制?专线连接有无防火墙等安全措施?是否使用了入侵检测、漏洞扫描等安全产品,为了能及时发现对网络设备可能发生的恶意攻击?发现的弱点或风险:漏洞名称漏洞赋值威胁名称威胁影响赋值
  • 25. 网络架构分析示例
  • 26. (4)用户访谈和问卷调查人员互相介绍 介绍本次访谈的主要内容 介绍主要的理念和思路 提问和回答记录 在访问结束时需要确认 用户评价 访谈之后的整理
  • 27. (5)应用评估与代码审计1、应用框架 从业务功能、应用架构、外部连接、主要平台、采用的安全措施等方面2、应用界面从标识和识别、系统访问、数据验证等方面3、数据传输4、数据存储5、审计6、应用软件从资源利用、安全管理、配置管理、开发过程管理、脆弱性评定、测试等方面7、应用维护8、源代码审计
  • 28. (6)渗透测试工具免费的工具,最大程度模拟网络在实际环境中对攻击的防御能力。方法用户信息收集:包括用户名、密码长度、登陆时间等。密码破解:猜测用户密码溢出攻击:利用现有的弱点,尝试获得主机的权限网络信息收集:包括网络设备、拓扑结构的收集
  • 29. 渗透测试说明示例
  • 30. 覆盖到的安全内容安全策略 安全组织 人员安全 资产管理 日常运维管理 业务连续性规划 法律符合性IT安全层次 物理和环境安全 网络层安全 操作系统安全 通用应用程序层 业务系统层(开发) 业务系统流程 安全技术 技术-鉴别和认证 技术-访问控制 技术-审计和跟踪 技术-响应和恢复 技术-内容安全
  • 31. agenda基础概念信息系统弱点评估简介信息安全风险评估简介集成COBIT的信息系统审计简介财务相关的信息系统审计
  • 32. 半定量风险分析模型价值资产拥有者信息资产威胁来源风险后果可能性难易程度严重性弱点可能性威胁影响
  • 33. 风险评估的价值对当前威胁、弱点和影响进行全面的评估,清晰地了解当前的风险,清晰地了解信息系统的安全现状明确地看到当前安全现状与安全目标之间的差距指出应该尽快解决的主要问题有利于让领导重视安全,推动安全工作的进展知识转移,提高人员的安全意识和安全技能为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据
  • 34. 风险评估基本流程资产识别与估价威胁评估弱点评估影响评估现有安全措施评估风险评估风险控制
  • 35. 风险评估基本流程中的工作
  • 36. 风险评估流程—资产识别与赋值
  • 37. 信息资产分类
  • 38. 信息资产赋值需要确认资产的价值和重要性,重点保护关键的、重要的资产 资产价值有别于资产的帐面价值和重置价值,而是指资产在安全方面的相对价值 机密性、完整性和可用性的价值分别赋值
  • 39. 机密性赋值标准
  • 40. 完整性赋值标准
  • 41. 可用性赋值标准
  • 42. 资产价值计算Asset Value = Round1{Log2[(A×2Conf+B×2Int+C×2Avail)/3]} A代表机密性的权值;B代表完整性的权值;C代表可用性的权值 电信运营商(最关注可用性):A=0.7,B=0.7,C=1.6; 金融行业(最关注完整性):A=0.7,B=1.6,C=0.7; 政府涉密部门(最关注机密性):A=1.6,B=0.7,C=0.7;
  • 43. 资产、威胁和弱点的对应关系 信息资产威胁A弱点A1来源A1来源A2弱点A2
  • 44. 风险评估流程—安全威胁介绍
  • 45. 安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件 安全威胁的定义与分类Q1:我们面临的对手都是谁?-确认威胁来源列表Q2:我们最主要的对手是谁?-威胁来源列表排序Q3:他们都是多高等级的对手?-确认威胁来源的等级Q4:他们会采用什么样的威胁方式?-确认威胁方式列表Q5:最主要的威胁方式是什么?-威胁方式列表排序-威胁可能性排序-这些威胁发生的可能性有多大?
  • 46. 威胁的属性--可能性 Likelihood人为故意威胁的可能性: 资产的吸引力和暴光程度,组织的知名度; 资产转化成利益的容易程度,包括财务的利益和资源
  • 47. 威胁赋值方法通过评估体过去的安全事件报告或记录,统计各种发生过的威胁和其发生频率; 过去一年或两年来国际机构(如FBI)发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值。
  • 48. 威胁的可能性赋值标准
  • 49. 风险评估流程—安全弱点介绍
  • 50. 安全弱点的定义弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害 弱点包括两个属性,弱点的严重性和被利用的难易程度 弱点的严重性等同于影响的严重性
  • 51. 弱点严重性赋值标准
  • 52. 现有安全措施界定在弱点和威胁评估时充分考虑现有安 全措施及强弱程度对其影响。 安全技术措施 安全控制手段 有效的安全服务 安全策略
  • 53. agenda基础概念信息系统弱点评估简介信息安全风险评估简介集成COBIT的信息系统审计简介财务相关的信息系统审计
  • 54. 集成COBIT的IT审计综述
  • 55. IT审计方法总览
  • 56. 1.对应COBIT到审计范围
  • 57. 2.使用COBIT ®框架
  • 58. 审计问卷设计
  • 59. 基于COBIT ®的审计报告
  • 60. 基于COBIT ®的审计报告(续)
  • 61. 基于COBIT ®的审计报告(续)
  • 62. 使用COBIT ®建立 IT风险与控制测量
  • 63. 定期的管理报告
  • 64. agenda基础概念信息系统弱点评估简介信息安全风险评估简介集成COBIT的信息系统审计简介财务相关的信息系统审计
  • 65. 财务相关的IT审计特点IT审计是财务审计的一部分,不是单独存在,IT审计的根本是为了减轻财务审计的工作量。审计业务的对象是面向业务和财务相关的信息系统,与用户的各项应用业务和财务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务和财务角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。重点是与财务报表审计相关的针对财务报告的内部控制的审计、对IT系统本身的安全或风险不关心。数据的“保密性”和系统的“可用性”是系统实施的时候需要考虑的问题,不是到了审计的时候才来考虑。关注对财务报告的内部控制的审计工作,以及这项工作与财务报表审计的关系问题,审计的目的就是为了保证财务报告的完整性、准确性、真实性等。目的是保证财务报告的可靠性,财务报告的可靠性是公司对财务声明和有关符合GAAP(基于公认会计准则)通知的准备。
  • 66. 基于风险的信息系统审计方法我们是先识别业务风险和财务风险,然后把风险应对的措施列示出来,最后进行测试。测试出现异常情况了,才会做缺陷分析。不是为了风险而风险,风险是有分类的。财务风险的应对措施是为了保证财务报告的真实性、准确性、时效性等7大要素;业务风险的应对措施是为了保证业务的完整性、健壮性、抗压性等要素;投资风险的应对措施是为了保证投资回报率预评估等的可行性;IT风险的应对措施是为了保证数据的准确性,系统的适用性,流程的延展性等。即使发现了IT风险,也需要与财务风险链接起来,不然没法做后果评估和缺陷分析。
  • 67. 财务相关的IT审计项目财务相关的IT审计的项目都很小的,一般是1-2周。 小项目一般是1个人做OS、DB、SoD、用户权限、系统变更、系统开发、系统环境的工作,约4-5个工作日;1个人做财务应用系统涉及的业务流程(采购、销售、固定资产、对外/内财务报告、主数据维护)的自动控制测试,约4-5个工作日。如果是审计范围的话,是由财务审计根据上一年的财务报告定的,另外根据当年企业现状进行一些调整,肯能会新增一些特殊风险。重点不是IT审计做什么,是客户的范围是什么,财务审计关心的科目和报表是什么。这样定下来了范围以后,IT审计才介入进来。
  • 68. IT一般控制审计检查表
  • 69. 问题讨论