信息系統(tǒng)審計方法論

1、信息系統(tǒng)審計方法論agenda向?qū)徲嬑瘑T會和高階管理層提出關于IT內(nèi)部控制問題的建議； 執(zhí)行IT風險評估執(zhí)行：體制風險領域的審計一般控制審計應用控制審計控制技術的技術性審計在系統(tǒng)開發(fā)和分析活動的內(nèi)部控制顧問。IT審計角色什么是信息？ 近代控制論的創(chuàng)始人維納有一句名言：“信息就是信息，不是物質(zhì)，也不是能量。”這句話聽起來有點抽象，但指明了信息與物質(zhì)和能量具有不同的屬性。信息、物質(zhì)和能量，是人類社會賴以生存和發(fā)展的三大要素。 ISO 13335信息技術安全管理指南是一部重要的國際標準，其中對信息給出了明確的定義：信息是通過在數(shù)據(jù)上施加某些約定而賦予這些數(shù)據(jù)的特殊含義。信息是無形的，借助于信息媒體以

2、多種形式存在和傳播；同時，信息也是一種重要資產(chǎn)，具有價值，需要保護。從廣義上講，信息是任何一個事物的運動狀態(tài)以及運動狀態(tài)形式的變化，它是一種客觀存在。例如，日出、月落，花謝、鳥啼以及氣溫的高低變化、股市的漲跌等，都是信息。它是一種“純客觀”的概念，與人們主觀上是否感覺到它的存在沒有關系。而狹義的信息的含義卻與此不同- 狹義的信息，是指信息接受主體所感覺到并能被理解的東西。中國古代有“周幽王烽火戲諸侯”和“梁紅玉擊鼓戰(zhàn)金山”的典故，這里的“烽火”和“擊鼓”都代表了能為特定接收者所理解的軍情，因而可稱為“信息”；相反，至今仍未能破譯的一些刻在石崖上的文字和符號，盡管它們是客觀存在的，但由于人們（接

3、受者）不能理解，因而從狹義上講仍算不上是“信息”。同樣道理，從這個意義上講，鳥語是鳥類的信息，而對人類來說卻算不上是“信息”?？梢?，狹義的信息是一個與接受主體有關的概念。信息安全的定義ISO國際標準化組織對于信息安全給出了精確的定義，這個定義的描述是：信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。信息安全的基本屬性安全術語所謂的安全，實際上就是控制，將風險控制在可以接受的范圍內(nèi)，這就是安全的本質(zhì)目的。所以，COBIT的邏輯和方法在信息安全領域?qū)嶋H上也是適用的。這就是對我們工作的幫助意義。IT 控制一般控制IT Co

4、ncerns and Issues災難恢復 業(yè)務恢復計劃 BRP 測試 候補過程物理安全 物理訪問 HVAC 防火墻保護 UPS備份/應急計劃 數(shù)據(jù)備份 還原程序 異地存儲變更管理 計劃變更控制 跟蹤 變更審批IT-一般控制IT 控制應用控制IT Concerns and Issues輸出控制 分解 分布 訪問過程控制 審計追蹤 接口控制 控制總控訪問控制 用戶ID/口令 數(shù)據(jù)安全 網(wǎng)絡安全 安全管理 訪問授權(quán)一般控制輸入控制 數(shù)據(jù)加密控制 系統(tǒng)修改 職責分工 交易授權(quán)IT-應用控制一個自上而下理解IT控制的方法。 GovernanceManagementTechnicalIT控制的層次IT控

5、制是一個提供保證信息和信息服務，以及幫助減輕風險與利用技術 的的過程。理解IT控制IT控制的需求，如控制成本保護信息資產(chǎn)遵守法律和規(guī)章實施有效的IT控制將提高效率，可靠性和靈活性。IT控制的重要性董事/理事會管理-制定，批準，執(zhí)行I T控制審計員IT控制的角色和責任風險分析識別和優(yōu)先考慮的風險考慮風險，確定是否有足夠的IT控制確定風險緩解策略-接受/減輕/分享基于風險的IT控制監(jiān)控IT控制不斷監(jiān)測/特別審查/自動連續(xù)審計監(jiān)控IT控制評估IT控制是一個持續(xù)的過程技術繼續(xù)推進新的漏洞出現(xiàn)評估IT控制agenda安全工具掃描人工評估數(shù)據(jù)庫評估滲透測試代碼審計網(wǎng)絡架構(gòu)分析用戶訪談問卷調(diào)查應用評估弱點評

6、估的內(nèi)容（1）安全漏洞工具掃描掃描工具：采用Eeye的retina5和ISS的掃描范圍：服務器、路由器、交換機、終端；掃描策略： 掃描策略最大化發(fā)現(xiàn)盡可能多的漏洞不包括DOS測試不包括口令猜測(Brute Force)影響最小化不對現(xiàn)有網(wǎng)絡產(chǎn)生顯著影響安全漏洞掃描示例（2）人工評估系統(tǒng)補丁系統(tǒng)賬號文件系統(tǒng)網(wǎng)絡及服務系統(tǒng)配置文件NFS或其它文件系統(tǒng)共享審計及日志后門入侵痕跡檢測、分析人工評估結(jié)果示例（3）網(wǎng)絡架構(gòu)分析3-1：基礎架構(gòu)分析：分層拓撲結(jié)構(gòu)、路由協(xié)議、接入方式等3-2：訪問控制和安全審計：ACL、SYSLOG、SNMP3-3：安全設備深入評估審計：防火墻、IDS、VPN等3-4：IDS

7、取樣和網(wǎng)絡協(xié)議分析網(wǎng)絡架構(gòu)分析示例：安全設備部署問卷訪談內(nèi)容完全符合部分符合不符合不適用與Internet的連接是否采用防火墻等安全措施?是否采用了防火墻和網(wǎng)關來加強不同網(wǎng)段間的訪問控制？專線連接有無防火墻等安全措施?是否使用了入侵檢測、漏洞掃描等安全產(chǎn)品，為了能及時發(fā)現(xiàn)對網(wǎng)絡設備可能發(fā)生的惡意攻擊?發(fā)現(xiàn)的弱點或風險：漏洞名稱漏洞賦值威脅名稱威脅影響賦值網(wǎng)絡架構(gòu)分析示例（4）用戶訪談和問卷調(diào)查人員互相介紹 介紹本次訪談的主要內(nèi)容介紹主要的理念和思路提問和回答記錄在訪問結(jié)束時需要確認用戶評價訪談之后的整理（5）應用評估與代碼審計（6）滲透測試滲透測試說明示例覆蓋到的安全內(nèi)容安全策略安全組織 人員

8、安全 資產(chǎn)管理 日常運維管理 業(yè)務連續(xù)性規(guī)劃 法律符合性IT安全層次物理和環(huán)境安全網(wǎng)絡層安全操作系統(tǒng)安全通用應用程序?qū)訕I(yè)務系統(tǒng)層（開發(fā)）業(yè)務系統(tǒng)流程安全技術技術-鑒別和認證技術-訪問控制技術-審計和跟蹤技術-響應和恢復 技術-內(nèi)容安全agenda半定量風險分析模型價值資產(chǎn)擁有者信息資產(chǎn)威脅來源風險后果可能性難易程度嚴重性弱點可能性威脅影響風險評估的價值風險評估基本流程資產(chǎn)識別與估價威脅評估弱點評估影響評估現(xiàn)有安全措施評估風險評估風險控制風險評估基本流程中的工作風險評估流程資產(chǎn)識別與賦值信息資產(chǎn)分類信息資產(chǎn)賦值機密性賦值標準 完整性賦值標準 可用性賦值標準 資產(chǎn)價值計算Asset Value =

9、 Round1Log2(A2Conf+B2Int+C2Avail)/3A代表機密性的權(quán)值；B代表完整性的權(quán)值；C代表可用性的權(quán)值 電信運營商（最關注可用性）：，C；金融行業(yè)（最關注完整性）：，C；政府涉密部門（最關注機密性）：，C； 資產(chǎn)、威脅和弱點的對應關系 信息資產(chǎn)威脅A弱點A1來源A1來源A2弱點A2風險評估流程安全威脅介紹 安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件 安全威脅的定義與分類Q1：我們面臨的對手都是誰？確認威脅來源列表Q2：我們最主要的對手是誰？威脅來源列表排序Q3：他們都是多高等級的對手？確認威脅來源的等級Q4：他們會采用什么樣的威脅方式？確認

10、威脅方式列表Q5：最主要的威脅方式是什么？威脅方式列表排序威脅可能性排序這些威脅發(fā)生的可能性有多大？威脅的屬性-可能性 Likelihood人為故意威脅的可能性：資產(chǎn)的吸引力和暴光程度，組織的知名度；資產(chǎn)轉(zhuǎn)化成利益的容易程度，包括財務的利益和資源威脅賦值方法通過評估體過去的安全事件報告或記錄，統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻率；過去一年或兩年來國際機構(gòu)（如FBI）發(fā)布的對于整個社會或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計數(shù)據(jù)均值。威脅的可能性賦值標準 風險評估流程安全弱點介紹安全弱點的定義弱點是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標的損害 弱點包括兩個屬性，弱點的嚴重性和被利用的難易程度 弱點的嚴重性等同于影響的嚴重性弱點嚴重性賦值標準 現(xiàn)有安全措施界定在弱點和威脅評估時充分考慮現(xiàn)有安全措施及強弱程度對其影響。安全技術措施安全控制手段有效的安全服務安全策略agenda集成COBIT的IT審計綜述