CISAIT審計實務(wù)培訓(xùn)審計實務(wù)課件

1998），CISA（2002）,SCJP，IBM電子商務(wù)咨詢師，IBMWSADDeveloper目前為同濟(jì)大學(xué)電信學(xué)院博士后，主要研究領(lǐng)域：基于移動計算的安全接入關(guān)鍵技術(shù)Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net概況1

您的內(nèi)容打在這里，或者通過復(fù)制您的文本后。概況2

您的內(nèi)容打在這里，或者通過復(fù)制您的文本后。概況3

您的內(nèi)容打在這里，或者通過復(fù)制您的文本后。+++整體概況1.文檔復(fù)核2.面詢與問卷設(shè)計3.比對技術(shù)4.業(yè)務(wù)觀察與穿行測試5.滲透測試6.數(shù)據(jù)測試7.數(shù)據(jù)采集與分析一、常用審計方法概述Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net理解目標(biāo)背景理解風(fēng)險點與內(nèi)控理解系統(tǒng)目標(biāo)與期望業(yè)務(wù)輸出理解系統(tǒng)架構(gòu)發(fā)現(xiàn)異常與違規(guī)1.文檔復(fù)核Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.面詢與問卷設(shè)計面談準(zhǔn)備：背景研究確定對象內(nèi)容、時間和地點面談實施：時間控制氣氛把握記錄方式確認(rèn)后續(xù)分析Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.面詢與問卷設(shè)計問卷調(diào)查問題設(shè)計目的性問卷對象：專業(yè)性與客觀性答案的明確性如何避免答案失真Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net3.比對技術(shù)源代碼比對目標(biāo)代碼比對特征值比對Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net4.業(yè)務(wù)觀察與穿行測試實際崗位分工與制度是否一致穿行測試（walk－through）：實際流程是否一致安全意識匯報路線：權(quán)責(zé)是否一致Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net模擬攻擊行為，發(fā)現(xiàn)漏洞關(guān)鍵：實施風(fēng)險分析全面?zhèn)浞菖c恢復(fù)計劃委托專業(yè)機(jī)構(gòu)5.滲透測試Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net6.數(shù)據(jù)測試測試選擇重要模塊數(shù)據(jù)設(shè)計覆蓋各種情況：數(shù)據(jù)類型、編碼違規(guī)、違反邏輯條件、數(shù)據(jù)文件不一致……來源：實際業(yè)務(wù)數(shù)據(jù)、用戶測試數(shù)據(jù)、審計師測試數(shù)據(jù)、自動生成數(shù)據(jù)一般方式：黑盒白盒Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net6.數(shù)據(jù)測試測試類型ITF(生產(chǎn)環(huán)境中用測試用例）輸入標(biāo)記消除影響平行模擬(SQL,EXCEL+VBA)開發(fā)原型新舊系統(tǒng)交接Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net7.數(shù)據(jù)采集與分析直接獲取系統(tǒng)數(shù)據(jù)，特別是業(yè)務(wù)輸入與業(yè)務(wù)輸出分析性復(fù)核Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net7.數(shù)據(jù)采集與分析GAAT：ACL、IDEAACCESS、SQLServerSPSS、EXCEL工具的選擇：功能與易用性使用習(xí)慣與方便獲取Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net1.對組織管理架構(gòu)的審計2.對IT外包的審計3.對IT基礎(chǔ)設(shè)施與環(huán)境的審計4.對備份和業(yè)務(wù)持續(xù)性的審計5.對開發(fā)和獲取過程的審計6.對系統(tǒng)變更過程的審計二、一般控制審計實務(wù)Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net1.對組織管理架構(gòu)的審計組織模式對系統(tǒng)風(fēng)險的影響分布式/集中式IT治理崗位分工Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netIT崗位分權(quán)控制小組系統(tǒng)分析員應(yīng)用程序員數(shù)據(jù)錄入員操作員數(shù)據(jù)庫管理員安全管理員備份管理員系統(tǒng)程序員質(zhì)量保證小組控制小組系統(tǒng)分析員應(yīng)用程序員數(shù)據(jù)錄入員操作員數(shù)據(jù)庫管理員安全管理員備份管理員系統(tǒng)程序員質(zhì)量保證小組Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net1.對組織管理架構(gòu)的審計關(guān)鍵風(fēng)險和控制參考材料：“IT組織管理架構(gòu)審計要點”案例討論：案例1：大連某企業(yè)工資核算系統(tǒng)案例2：某企業(yè)雇員退出管理漏洞與案件Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.對IT外包的審計外包審計的主要關(guān)注點核心競爭力信息安全系統(tǒng)可靠性業(yè)務(wù)長期可持續(xù)性Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.對IT外包的審計關(guān)鍵風(fēng)險和控制參考材料：“IT外包審計要點”案例討論：案例1：某通信服務(wù)企業(yè)充值卡案件案例2：澳大利亞政府部門IT外包綜合審計Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net3.對IT基礎(chǔ)設(shè)施與環(huán)境的審計審計范疇硬件環(huán)境與防災(zāi)主機(jī)硬件安全底層支撐系統(tǒng)安全通信線路安全數(shù)據(jù)存儲/IO安全物理訪問控制……Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net3.對IT基礎(chǔ)設(shè)施與環(huán)境的審計審計依據(jù)GB計算站相關(guān)標(biāo)準(zhǔn)ISO17799/BS7799GB建筑、防雷等相關(guān)標(biāo)準(zhǔn)Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net3.對IT基礎(chǔ)設(shè)施與環(huán)境的審計關(guān)鍵風(fēng)險與控制參考材料：“IT基礎(chǔ)設(shè)施審計要點”案例討論：案例1：打印共享設(shè)備物理訪問安全案例2：某跨國企業(yè)信息系統(tǒng)滲透測試過程與結(jié)果Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net4.對備份和業(yè)務(wù)持續(xù)性的審計關(guān)鍵風(fēng)險與控制參考材料：“BCP審計要點”案例討論某企業(yè)災(zāi)難恢復(fù)計劃審計過程與結(jié)論Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net5.對開發(fā)和獲取過程的審計基本概念回顧軟件工程方法論關(guān)鍵風(fēng)險與控制參考材料：“開發(fā)與獲取過程審計要點”Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net5.對開發(fā)和獲取過程的審計開發(fā)過程中的質(zhì)量和安全控制進(jìn)度與成本控制案例討論：某局信息系統(tǒng)開發(fā)采購計劃Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net5.對開發(fā)和獲取過程的審計技術(shù)先進(jìn)性與系統(tǒng)獲取某區(qū)教育系統(tǒng)數(shù)據(jù)中心采購案例全局性考慮委托開發(fā)中的知識產(chǎn)權(quán)問題Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net6.對系統(tǒng)變更過程的審計系統(tǒng)變更對金融企業(yè)的作用系統(tǒng)變更管理的一般流程Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net6.對系統(tǒng)變更過程的審計關(guān)鍵風(fēng)險與控制參考材料：“系統(tǒng)變更審計要點”案例討論：中國銀聯(lián)系統(tǒng)宕機(jī)事件Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net 1.網(wǎng)絡(luò)安全審計概述

2.滲透測試技術(shù)與工具

3.控制與審計要點

4.當(dāng)前熱點：無線接入與數(shù)據(jù)庫保護(hù)

三、網(wǎng)絡(luò)安全審計實務(wù)Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net1.網(wǎng)絡(luò)安全審計概述審計目標(biāo)與范圍審計方法了解與分析配置檢查日志復(fù)核漏洞掃描滲透測試Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具第一步：信息搜集與背景調(diào)查工具：google論壇郵件冒名電話SocialEngineering…

…Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具第二步：掃描Whois查詢端口掃描NMap工具掃描監(jiān)測Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具第三步：漏洞利用再看緩沖區(qū)溢出緩沖區(qū)溢出原理與發(fā)現(xiàn)演示案例：緩沖區(qū)溢出程序示例Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具第三步：漏洞利用PASSWORD=A’OR‘B’=‘BSQL注入SQL注入原理演示案例：SQL注入提權(quán)攻擊防范工具Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具第三步：漏洞利用網(wǎng)絡(luò)設(shè)備漏洞路由器漏洞與發(fā)現(xiàn)交換機(jī)漏洞與發(fā)現(xiàn)案例分析Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具第三步：漏洞利用會話劫持會話劫持原理工具與案例分析會話劫持的防范Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具第三步：漏洞利用數(shù)據(jù)庫漏洞Oracle漏洞與利用數(shù)據(jù)庫漏洞掃描工具ImpervaScuba案例分析Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具第四步：植留后門木馬原理實例分析后門的檢測Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具第五步：隱蔽連接隧道原理工具：HttptunnelFeb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.滲透測試技術(shù)與工具集成測試工具介紹MetasploitImmunityCANVASFeb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net3.控制與審計要點一般審計要點參考材料：“網(wǎng)絡(luò)安全審計要點”互聯(lián)網(wǎng)服務(wù)控制與審計要點Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net3.控制與審計要點演示案例：某政府內(nèi)網(wǎng)滲透過程模擬案例討論：某跨國企業(yè)核心系統(tǒng)滲透攻擊案例某連鎖企業(yè)信用卡資料滲透攻擊案例Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net4.當(dāng)前熱點無線網(wǎng)絡(luò)技術(shù)無線接入引發(fā)的安全風(fēng)險基于無線接入的最新攻擊技術(shù)無線網(wǎng)絡(luò)滲透攻擊過程與工具案例討論：某企業(yè)無線網(wǎng)絡(luò)安全審計過程與結(jié)論Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net4.當(dāng)前熱點數(shù)據(jù)庫防護(hù)數(shù)據(jù)庫是信息系統(tǒng)核心信息安全首先是數(shù)據(jù)庫安全Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net四、應(yīng)用控制審計實務(wù) 1.應(yīng)用控制審計概述

2.輸入輸出控制審計

3.系統(tǒng)性能與可靠性審計

4.數(shù)據(jù)審計

5.代碼審計

6.ERP系統(tǒng)審計

7.綜合案例Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net1.應(yīng)用控制審計概述特點與目的直接針對業(yè)務(wù)系統(tǒng)發(fā)現(xiàn)系統(tǒng)風(fēng)險及其對業(yè)務(wù)的直接影響證據(jù)來源用戶反饋用例測試結(jié)果實際業(yè)務(wù)數(shù)據(jù)代碼分析Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net1.應(yīng)用控制審計概述系統(tǒng)理解關(guān)鍵文檔與內(nèi)容文檔缺失的處理高風(fēng)險領(lǐng)域的確定：變化頻繁、多系統(tǒng)協(xié)同確定取證方式與范圍Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net2.輸入輸出控制審計輸入控制審計要點CONTROLTOTALS多點錄入終端訪問控制Session窗口控制輸出控制審計要點訪問控制緩沖區(qū)安全派發(fā)路徑安全Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net3.系統(tǒng)性能與可靠性審計瓶頸分析網(wǎng)絡(luò)計算能力存儲集群、鏡像與熱站未來可伸縮性壓力測試Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.net4.數(shù)據(jù)審計原則：無損、保密、透明全面、相關(guān)采集方法數(shù)據(jù)接口與轉(zhuǎn)換工具文件轉(zhuǎn)換工具自制轉(zhuǎn)換程序Feb,2008楊洋，yycisa@263.netyycisa@263.netyycisa@263.netyycisa@263.netyycis