预防性控制 职责分工,物理访问控制
检查性控制 审计轨迹
纠正性控制 备份程序
IS审计 了解审计环境---进行风险评估---编制审计计划
符合性测试:属性抽样
符合性测试是对内部控制的完整性、有效性和实施情况进行的测试。
用以确定内部控制制度是否落实执行的审计测试。
实质性测试:
一种审计测试的方法,用来保证在足够的内部控制的基础上,可以避免发生严重错误或诈欺行为。
变量抽样、分层单位平均估计法、差额估计法
1固有风险评估 2控制风险评估 3控制测试评估 4实质性测试评估
符合性测试与实质性测试的区别主要有以下6点:
1)测试目的不同:前者是为确定实质性测试性质,范围,时间; 后者是为了对被审核单位内控制度发表审核意见。
2)测试范围不同,前者只对拟信赖的内控进行测试; 后者视委托目的而定。
3)测试依据不同,前者依据《独立审计准则》; 后者依据《内部控制审核指导意见》。
4)测试时间不同,前者和报表审计期间相同; 后者视委托目的而定。
5)测试结果不同,前者形成审计工作底稿; 后者形成内部控制审核报告。
6)内部控制审核要求被审核单位提供有关内控情况的书面声明,而符合性测试不需要。
第一章 信息系统审计过程
审计计划包括短期计划和长期计划。短期年度内需要实施,长期考虑IT战略方针对IT环境造成的影响所带来的相关风险问题。
制定审计计划时:必须理解整体被审计环境。包括了解审计对象的各项业务流程和职能。
审计计划步骤:
1了解业务使命,目标、目的和流程
2找出相关规定(政策、标准等)
3风险分析
4执行IT相关内部控制检查
5确定审计目标和审计范围
6制定审计方法或策略
7为审计事项分配人力资源
8关注项目后勤保障
了解业务的步骤
1巡检设施
2阅读背景资料(出版物,报告)
3检察业务及IT长期战略规划
4访谈关键管理人
5审阅以往审计报告或相关报告
6识别适用于IT的具体规章
7识别已外包的IT职能和相关活动。
审计程序列表:
1风险评估方法
2数字签名
3入侵检测
4病毒和其他恶意代码
5控制风险自评估
6防火墙
7违规和非法行为
8安全评估——穿透测试和脆弱性分析
9评估加密方法的管理控制
10业务应用系统变更控制
11电子资金转账(EFT)
风险分析
风险分析是帮助IS审计师识别风险和脆弱性并确定降低风险所需的控制。
风险评估:
1识别业务目标、信息资产、支持系统或相关信息资源。(风险评估)
2识别选择风险减缓所需的控制(风险减缓)
3监控所管理的风险水平(风险在评估)
内部控制
内部控制由能够降低组织风险的政策、规程、实务和组织结构组成。
目地是使风险事件能够被预防、检测和纠正,业务目标能够达成。
控制分类
预防性、检测性和纠正性。
一般控制
适用于组织的所有领域
IS控制程序:
1战略和方针2全面的组织和管理3IT资源的访问4系统开发方法和变更控制5运行规程6系统编程和技术支持职能7质量保证QA流程8物理访问控制9业务持续计划(BCP)灾难恢复计划(DRP)10网络和通讯11数据库管理12对内、外部攻击的检查和保护机制
审计方法:
基于风险的审计
``````````````````````````````````````````````````````````````````````````````````
第二章
定量的风险管理方法
年预期损失方法 ALE
暴露因子 EF
单一损失期望 SLE
年度发生率 ARO
年度损失期望 ALE/EAC 资产 V
SLE = V * EF ALE = SLE * ARO
信息部门的组织结构
信息处理设施 IPF
控制组 Control Group
负责输入的收集、转换和控制,核对结果向用户分配输出。
系统分析员 System Analysts
基于用户需求来设计系统的专家。
应用程序员 Applications Programmers
开发新系统和维护生产中使用的系统。不能访问生产程序,只能在测试环境中开展。
帮助台 Helpdesk
面向用户,解决技术问题和困难。
最终用户 Ender User
IT产品服务的使用者。
数据录入员 Data Entry
对各部门的原始文件的保管、批量录入的准备、日程安排和作业准备、日志检验、输出结果的分发。
计算机操作员 Computer Operator
负责对IPF中的设备进行日常操作和管理,管理控制科备份为:
1 物理安全控制 2 数据安全控制 3 处理控制
数据库管理员 Database Administrator(DBA)
其职责是定义和维护公司数据库系统的数据结构。拥有建立数据库控制的工具和绕过这些控制的能力,也能访问所有数据库,包括生产数据。通常无法禁止或完全预防DBA对生产数据的访问。
因此,信息系统部门必须通过以下手段对数据库管理实施严格的控制: 1 职责分离。 2 DBA活动需要得到管理层的审批 3由主管对数据库的访问日志和有关活动进行审核。4 对使用数据库工具的情况进行检查性控制。
网络管理员 Network Manager
负责网络基础设施中的关键组成部分(路由器、交换机、防火墙、分段,运行管理、远程访问)负责局域网的技术和管理控制。在小规模组织中,,可以负责局域网的安全管理,不应赋予局域网管理员应用系统编程的责任,可以使其承担最终用户的责任。
系统管理员 System Administrator
负责维护主要的多用户计算机系统。(增加配置新工作站,设置帐号,安装系统软件,杀毒,分配存储空间)
安全管理员 Security Administrator
可以由IT管理人员担任。
1维护对数据和其他IT资源的访问规则。
2 在分配和维护授权用户的ID和口令时,保护其安全性和保密性。
3 监督违法南拳规定的行为并采取纠正行动。
4 定期审查和评估安全政策。
5 安全知识宣传
6 测试安全架构 发现可能的威胁。
系统程序员 System Programmers
负责维护系统软件,可能需要给与他们无限制的访问整个系统的权限。信息系统管理人员要密切监督,要求sp保留工作日志,只能访问负责维护的特定软件的系统库。
质量保证人员 QA
执行两种不同的任务
1 质量保证QA:帮助信息系统部门 ,确保其人员遵守了规定
2 质量控制QC :进行测试和审查,验证和确保软件不存在缺陷并满足用户的预期。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
* 战略规划 为企业达成目标奠定基础。IS政策、程序、标准和指引 用来支持战略规划。
* IS指导委员会职责:编制和监督系统实施计划
* 自动化系统中实施有效成本控制的最终责任人是 业务单位管理层。
* 数据和系统所有者承担对适当的信息资产安全措施的维护。系统所有者通常将日常保管责任交给系统运行小组,将系统安全责任交给安全管理员,但所有者要承担适当的安全措施的维护责任。
* IS部门应当专门考虑短期内分配资源的方式。 IT投资应当与最高管理层的战略保持一致。
*
第三章 IT基础设施和应用系统的生命周期管理
业务效益分析(business case)是项目工作中的第一步。是项目生命周期中各个决策过程的关键因素。
项目管理4要素:环境 、 资源、 目标、 组织
网络分析技术:
1.项目评审技术 PERT 2.关键路径法 CPM
传统的系统开发生命周期法 SDLC
用户接受性测试 --- 需求定义阶段
各种测试 134页
单元测试 针对程序模块
接口测试/集成测试:在单元测试的基础上将所有模块按设计要求组装成系统。
系统测试:将测试的软件作为整个基于计算机系统的一个元素。
最终接受测试:用户和质量保证人员
集成测试工具(ITF):测试的数据是输入到现场运行系统中进行的
与软件看法相关的风险:系统不符合用户业务的需要;设计和开发系统的项目活动超过了财务资源的限制,项目就会被推迟.
其他的系统开发方法
增量开发/渐进开发:1个版本1个版本的更新,系统功能内嵌到各个阶段的版本.
迭代开发:迭代+增量的模式.处理软件开发项目中的复杂性和相关风险最佳方法.
迭代开发有很多变种:
演化式开发---原型设计是构建一个可工作的模型
螺旋式开发---一个原型不行,要是用一系列原型
敏捷开发-----快速声传出可工作的产品(原型法)
F 过程改进实务(174)
F1 业务过程
业务过程重组(BPR)
F2 ISO9126
软件质量衡量:功能性、可靠性、可用性、效率性、可维护性、可移植性。
F3 软件能力成熟度模型(CMM)
1初始级。
2可重复级:建立基本的项目管理控制。
3已定义级:既关注项目问题,也关注组织问题,因为组织建立起了使高效率软件工程制度化的基本架构和跨项目的管理过程。
可以开始使用 平衡计分卡
4 已管理级:对软件开发过程和软件产品都有一个定量的理解。
5 优化级:不论组织还是项目必须追求可持续的,可度量的过程改进。包括缺陷预防、技术更新和流程改造管理。
F4 软件能力成熟度模型集成(CMMI)
G 应用控制(181)
目标:保证记录的完整性和准确性及数据录入的准确性。
G1 输入控制/源头控制
输入授权:1表格/源文件上签字。2在线访问控制。3唯一性口令。4终端/客户工作站识别。5源文件。
批控制和批平衡
批控制可以基于:总金额、总项目数、总文件数、杂数总合等控制手段。
批平衡:能够通过人工或自动的对帐来执行。类型:批注册、控制帐户、计算机一致。
错误报告和错误处理方法
联机系统或数据库系统中的批输入完整性
G2 处理程序和控制
用于保证应用程序处理的可靠性。
数据确认和编辑检查程序
顺序检查、极限检查、范围检查、有效性检查、合理性检查、查表、存在性检查、击键校验、校验数位、完整性检查、重复检查、逻辑检查。
处理控制程序----保证数据的完整性和准确性
人工重新计算、编辑、运行到运行的总计、计算机的合理性检查、计算机的极限检查、文件总数核对、例外报告。
数据文件控制程序---确保数据只有授权的程序才能进行处理
处理前后的数据映像报告;错误报告的维护和操作;源文件保存期;内、外部标签;版本使用;数据文件安全;一对一检查;预录输入;事务日志;文件更新和维护授权;奇偶校验。
数据文件或数据库的表分为四类:系统控制参数、常备数据、主数据或平衡数据、事务文件。
G3 输出控制
保证交付给用户的数据是符合格式要求的、可交付的,并以一致和安全的方式递交给用户。
类型:在安全的地方登记和存储重要表单、计算机生成可流通的通知表单和签名、报告分发、平衡和核对、输出错误处理、输出报告管理、报告接受确认。
G4 对业务过程控制的保证
要考虑的特定因素:流程图、流程控制、在流程中评估业务风险、对最佳实践进行标杆管理、角色与责任、活动与任务、数据限制。
G5 应用控制的审计
信息系统审计师的任务:
1识别重要的应用程序组件和贯穿系统的事务流,通过评价可利用的文件和与适当的人员面谈,获得对应用程序的详细理解。
2 确定应用控制的强度,评价控制弱点的影响,通过积累的信息分析来开发测试策略。
3 审核应用系统文件议价生对应用程序的理解。
贯穿系统的事务流程的分析
事务流程图提供了关键处理控制的相关信息。应当审核系统中的事物进入点、处理点和输出点,已发现控制弱点。
准备风险评价模型以及分析应用控制
观察和测试用户操作程序
用户活动报告提供用户的详细活动时间,应当对活动报告进行审核,以确保活动的发生仅仅是在授权的操作时间内。
数据完整性测试
它是一种实质性测试程序,检查保留在系统中的当前数据的准确性、完整性、一致性和授权。文件定期的循环检查,这种控制技术成为循环校验。
通用类型2种:关系完整性测试、参照完整性测试。
联机事务处理系统中的数据完整性
四个重要特征---ACID:A原子性 C一致性 I隔离性 D持久性。
原子性: 我们把这种要么一起成功(A帐户成功减少1000,同时B帐户成功增加1000),要么一起失败(A帐户回到原来状态,B帐户也回到原来状态)的操作叫原子性操作。
如果把一个事务可看作是一个程序,它要么完整的被执行,要么完全不执行。这种特性就叫原子性
测试应用系统
测试应用控制的有效性包括:1分析计算机应用程序。2测试计算机应用控制程序。3选择和监控数据处理事务。
连续在线审计
联机审计技术
五种适用于连续在线审计的自动化评价技术:
1系统控制审计检查文件和内嵌审计模型(SCARF/EAM)。应用系统中内嵌的特别编写的审计软件来监控应用系统的使用。
复杂性非常高,适用于正常处理不能被中断时
2整体测试(ITF)对审计的对象设置虚构的事务,运行得出的数据与独立计算出的数据进行比对。
复杂性高,适用于采用测试数据没有益处时。
3快照(Snapshots)记录事务从输入到输出的处理轨迹,一边后续检查。
复杂性中等,适用于需要审计踪迹时。
4持续和间接性模拟(CIS)计算机系统模拟程序指令的执行,检查事务是否符合预定义的标准。
复杂性中等,适用于检查符合标准的事务。
5审计钩(Hooks)在应用系统中设置钩(标识符号),在错误或不规范事务失去控制前,提醒审计师采取行动。
复杂性低,适用于只有选择的事务或过程需要被检查时。
H对系统开发、获取与维护进行审计
H1 项目管理审计
信息系统审计师应当审查以下项目管理活动的充分性:
1项目指导委员会的监督级别。2采用的风险管理方法。3项目成本管理。4项目计划管理的流程。5向管理层汇报的流程。6变更控制的流程。7利益相关者参与管理。
另外,各阶段要有完整充分的文档作为证据:
1各阶段要完成的目标定义文件。2各阶段要交付的成果以及关键项目成员所需要负责的任务。3着重指出关键成果交付期的项目进度表。
4各阶段需要的资源极其成本预测分析。5至少要有负责系统成本的管理层批准该阶段系统开发的核准文件
沟通
建议
审计报告
阶段
报告目标
规划
项目计划与成本收益分析的充分性
设计
控制的充分性以及设计的可审计性
测试
测试策略的充分性以及测试目标的完整性
安装(实施)
系统及用户组件准备的充分性
安装(实施)后
现存系统的有效性及效率,是否满足初始的系统原则
H2 可行性研究阶段的审计 (196)
H3 需求定义阶段的审计
H4 软件获取过程的审计
H5 队详细设计和开发的审计
H6 测试阶段的审计
H7 实施阶段的审计
H8 实施后评审
H9 对系统变更过程和程序移植的审计
I 业务应用系统
I1 电子商务
电子商务的风险
机密性、完整性、可用性、身份鉴别和无否定、选择权转移到了消费者手中。
电子商务的审计和控制问题 (P202)
习题中的要点
IS审计人员介入系统需求定义的首要理由是保证有充分的控制。
接受测试--由用户在系统签收前进行的,从用户的角度来证实系统确实具备了要求的功能。
综合测试--保证应用中的所有程序工作正确而且信息的流动也正确。
第四章 IT服务提供与服务支持
A 信息系统运行 (IS Operations)
A1 IS运行管理
IS管理层对IS部门的全面运行负全部责任。运行管理的功能包括:
资源分配、标准和程序、信息系统运行过程监控。
控制功能(control functions) P249
A2 IT服务管理 ITSM
IT服务管理的概述及应用
IT服务管理包括用于有效支付和支持各种IT功能的处理和程序,主要目标是提高服务质量,降低服务成本、满足企业不断变化的需求。
服务管理通过服务水平协议得到更好的贯彻,服务水平协议的基础是所要提供的服务品种。
服务水平 Service Level
用来监控IS人员服务效率和效果的工具:
1异常作业终止报告 2操作员问题报告 3输出分发报告 4控制台日志 5操作员工作日程表 6服务水平协议(SLAs)
服务水平被界定为包括硬件和软件性能指标,在IS部门功能被外包场合,IS审计师应确保有规定可以完成独立的、涵盖所有必要领域的审计报告,并且用户拥有足够的审计权限。
A3 计算机基础设施的运行 P252
LIGHT-OUT运行(自动的无人值守运行)
输入输出控制功能
数据录入人员
作业记账 ----应用监控和记录IS资源的使用。
应用所记录的信息可被IS审计师执行一些活动
作业调度
A4 对资源的使用进行监测
对计算机资源的有效控制是十分重要的
事故处理过程
发生事故后:1服务台,监督已登记事故的解决过程,若无法解决 2专家支持小组,提供临时解决办法或补救措施;
3专家支持小组,分析原因,制定解决方案以恢复到服务水平协议规定的级别; 4服务台与用户,验证方案实施效果并终止事件。
问题管理
问题管理---负责解决遇到的所有问题的过程。
包括问题处理和问题控制,目标将由于IT基础架构的错误而导致的问题和事故对业务产生的负面影响降到最低,并防止再次发生。
异常情况的检测、归档、控制、解决和报告
错误包括:程序错误、系统错误、操作员错误、远程通讯错误、硬件错误。
A5 支持与帮助台
支持面向技术人员和管理层,帮助台面向用户服务。
A6 变更管理过程 P257
A7 程序库管理系统 --- 增强数据中心软件库管理的效率
A8 程序库控制软件
程序库的变更必须经过授权才可以到日常作业程序库。为了规避风险采用的控制机制
执行码及源代码的完整性
保证可执行源代码的完整性是控制日常作业系统地关键。
程序移植过程
为保证只有授权的人员可以移植程序,必须进行访问限制。
源代码比较
源代码比较是最终源程序代码变化的有效易用的方法。
A9 发布管理
软件的发布管理
软件的发布类型:
1大型发布 2小型发布 3紧急修补
发布的规划
A10 质量保证 (QA)
A11 信息安全管理
包括:对信息资产实施风险评估,进行业务影响分析,经常性地实施安全评估,实施正是的脆弱性管理过程。
B 信息系统硬件
B1 计算机硬件组成与结构
处理部件
输入输出部件
计算机类型:超级计算机、大型机、小型机、微机、瘦客户机、笔记本、个人数字助理。
不同类型计算机的常见特征
多任务、多处理、多用户、多线程、网络计算
常见计算机角色
常见设备:打印服务器、文件服务器、程序服务器、web服务器、代理服务器、数据库服务器;专用设备。
专用设备:防火墙、入侵检测系统、交换机、路由器。
通用串行总线usb
存储卡
射频识别
一次写多次读设备---cd dvd等
B2 硬件维护程序
硬件维护程序所要求的典型信息包括
联系信誉好的服务公司
硬件维护日程表
硬件维护成本
硬件维护执行历史,包括计划内/外、已执行的和例外的。
对该程序进行审计时,IS审计师应:
1确定已形成正式的维护计划并得到管理层的批准。
2标出超出预算的额外的开销,这些超额开销意味着没有遵守维护程序或即将到来的硬件变动。此时应进行及时的调查并采取后续措施。
B3 硬件监控程序
可用性报告——指出系统工作正常的时间段。
硬件错误报告——标识出CPU、输入输出、电源和存储故障
利用率报告——系统自动形成的文件,记录了机器和外设的使用情况。
资产管理报告——建立设备清单,描述资产管理状况。
B4 能力管理
能力管理是对计算机资源的计划和监控
目标是根据总体业务的增长或减少,动态的增减资源,确保可用资源的有效利用。
C 信息系统结构和软件
C1 操作系统
软件控制特征或参数
是判断一个操作系统的控制运行状态的最有效的手段。
软件控制参数涉及:数据管理 资源管理 作业管理 优先级设置
关于软件完整性
操作系统的完整性是非常重要的要求和能力。
活动日志和报告选项
计算机处理过程能够被记录并用于分析系统的行为。
C2 访问控制软件
C3 数据通讯软件
C4 数据管理
C5 数据库管理系统DBMS P270
DBMS提供了一种能建立和维护组织良好的数据的手段
功能:减少数据冗余、缩短访问时间、建立对敏感数据的基本安全措施
DBMS结构
元数据:定义一个数据库所需的数据元素
DBMS需要3种类型的元数据:概念模式、内部模式、外部模式。
详细的DBMS元数据结构
数据字典/目录系统DD/DS
数据库结构
三种常用的数据库模型:层次、网状、关系。
关系数据库模型:
数据及其关系用各种表来表示。
关键特征——利用规范规则实现以最少的表数据来满足用户对数据库的结构化和非结构化查询
大多数DBMS具有内置的、基于操作系统访问控制机制的安全特征。
数据库安全特征+操作系统安全功能=满足所有安全需求
数据库控制
P274
C6 磁带和磁盘管理系统
c7 实用工具(系统工具)
C8 软件许可
D 信息系统网络基础设施
D1 企业网络体系结构
D2 网络类型
局域网、广域网、城域网、专用分组交换机(组织内部电话互通)
D3 网络服务
D4 网络标注和协议
网络应具有的特性
互操作性、可靠性、灵活性、可维护性。
网络标准和协议
国际标准化组织ISO
美国电子和电气工程师协会IEEE
国际电信同盟-远程通讯分部ITU-T
ISO/OSI参考模型
开放系统互联(OSI)参考模型是一个基准标准,是一个七层概念化模型。P278
应用层——提供应用程序与网络进行通讯的设施,作为应用与网络间的接口。(如保存文件到网络)
表示层——执行数据转换,以提供标准的应用接口和公共的沟通服务。(如加密,压缩等)
会话层——控制计算机之间的对话。(建立会话,引导数据传送,终止会话)
传输层——提供两个端点间的可靠和透明的数据传输,端-端错误检测和流量控制。(将一个消息分解成若干块数据包,发送接受等)
网络层——负责数据包在网络中的寻址和递送。(路由选择和中继)
数据链层——提供数据在物理链路上的可靠传输。独特特征是通过介质访问控制(MAC)地址来进行物理寻址,以实现物理上连接在相同网络中的设备之间的通讯。(数据链层上传输的是称为帧的数据块)
物理层——负责所有建立、维护、操作和解除物理链路所需的二进制信息的发送和接收。
D5 OSI结构
数据在发送端从高层流向低层,每一层均利用协议控制信息来封装上层信息。反之则移去本层的协议控制信息。
D6 OSI模型在网络体系结构中的应用
局域网
建立lan时,组织必须评估:成本、速度、灵活性和可靠性。
1传输数据的介质 2连接物理介质的方式 3从性能和安全观点,理解LAN的组成结构和传输方式,以优化网络内设备的性能。
环型网络+令牌型网络=令牌环
Lan网络拓扑常用结构:
总线型 环型 星型 网状
Lan组件:P283
中继器(物理层) 集线器(物理层) 网桥(数据链层)
二层交换机(数据链层) 路由器(网络层)
三层和四层交换机
桥式路由器 网关
LAN技术选择准则
应用需求——解决方案ATM(异步传输模式)但随着千兆以太网的出现,价格差异导致ATM-LAN逐步消亡。
带宽需求
预算
远程管理需求
广域网
WAN 设备 P286
WAN 技术
互联网基础设施
TCP/IP与OSI模型的关系
ISO模型
参考层
TCP/IP概念层
协议
7
应用
应用
文件传输协议(FTP)
远程终端控制协议(TELNET)
简单邮件传输协议(SMTP)
名字服务协议(NSP)
简单网络管理协议(SNMP)
6
表示
5
会话
4
传输
传输
传输控制协议(TCP)
用户数据协议(UDP)
3
网络
网络接口
网际协议(IP)
2
数据链
LAN或WAN接口
以太,令牌环
点到点协议(PPP)
1
物理
互联网管理和控制
网络性能度量
两个参数:反应时间(Latency)和吞吐量(Throughput)
网络管理
ISO定义了五种与网络管理相关的基本任务:
故障管理、配置管理、记账资源、性能管理、安全管理
网络管理工具
响应时间报告、故障时间报告、在线监视器、协议分析器、简单网络管理协议(SNMP)、咨询台报告
E 审计基础设施和运行 P299
E1 硬件审核
E2 操作系统审核
E3 数据库审核
审核:设计、访问、管理、接口和可移植性
E4 对网络基础设施及实施的审核
E5 网络运行控制审核
E6 信息系统运行审核
E7 无人值守的运行
E8 问题管理报告审核
E9 硬件可用性和利用率报告审核
E10 调度审核
第五章 信息资产保护
A 信息安全管理的重要性
A1 信息安全管理的重要基础
高级管理层的承诺与支持
信息安全政策与程序
信息安全组织
首要任务:明确组织中信息资产的保护责任和完成特定的安全流程责任.
安全意识与教育
监督与符合性审核
组织一般通过建立安全政策与程序来建立安全基线(BASELINE)来把风险控制在可接受的水平,当信息资源发生变化,基线也要及时调整
应急处理和响应
A2 信息安全管理的角色和职责
A3 信息资产清单
A4 信息资产分类
1数据与文档 2书面文件 3软件资产 4实物资产 5人员
6服务
A5 系统访问许可
对于计算机信息的物理访问和逻辑访问应当建立在“知所必需”的基础上,按照最小授权原则和职责分离原则来分配权限,并通过正式书面文件记录下来。
A6 自主性访问控制和强制性访问控制
强制性访问控制要求对组织安全政策和规则的遵守是强制性的,而自主性的访问控制可以是由用户自主定义的。
在强制性访问控制下,只有系统管理员有权限作出决策,而不是资源的所有者。
在自主性访问控制时,也要注意设置启用排除性的、限制性的访问控制来保证系统的安全。
A7 隐私管理事项和审计师的角色
审计师对个人数据库中存放有什么数据并不承担责任,但有责任审核对个人数据的管理措施是否符合相应的法律法规与组织安全政策、程序的要求。
A8 信息安全管理的关键成功因素
基于风险的方法,理解所面临的威胁与风险。正确的风险评估方法与风险控制措施来减轻风险。
A9 信息安全与外部团体
识别与外部团体相关的风险
处理与顾客有关的安全问题
处理第三方协议中的安全问题
A10 人力资源安全与第三方团体
降低设施被窃、欺诈和误用的风险。
人员筛选
任用条款和条件
任用中
任用终止或变更
撤销访问权
A11 计算机犯罪与暴露风险
对业务的威胁:
财产损失、法律责任、信誉损失或竞争力损失、勒索、机密信息的泄漏、恶意破坏
B 逻辑访问暴露风险与控制
B1 逻辑访问暴露风险
技术性暴露风险指对网络、操作系统、数据库及应用系统四个层面的数据软件进行非授权操作。
技术风险种类:P342
B2 熟悉组织的IT环境
必须充分理解IT环境,以判断组织的高风险区域,那些环节需要进行重点审核,并对审计活动进行有效规划和设计。
B3 逻辑访问路径
前端系统:web站点。 后端系统
常规进入点:
网络连接、远程访问、操作控制台、在线工作站或终端
B4 逻辑访问控制软件
需要应用访问控制软件进行最大程度保护的是网络层和操作系统层
B5 身份识别与验证
B6 社交工程
典型的社交工程攻击手段:电话欺骗、垃圾搜寻(Dumpster diving)、肩窥。
防御社交工程最有效的办法就是在组织中不断进行安全意识教育与培训,使其了解社交工程的类型与风险。提高员工的安全防范意识。
B7 网络钓鱼
B8授权事项
访问控制是基于最小授权原则的,只对因工作需要访问信息系统的人员进行必要的授权。
访问控制列表 ACL
为了给文件与设施提供安全授权,逻辑访问机制需要利用访问授权表(访问控制列表)
当员工职位有变动时,要及时审计ACL是否作了有效变更
逻辑访问安全管理
可以对身份识别验证和授权过程进行集中式或分布式的管理。
分布式的优点:可分布,解决及时,更频繁的监督
分布式的风险:可能与组织的总体安全要求不一致,安全管理级别低于集中式,不具备利用管理评审与检察的功能来保证安全措施的有效性。
远程访问安全
通过审计日志检测系统访问
保护审计踪迹数据的完整性,使其不备非授权修改,非常重要。
逻辑访问控制的命名规则
命名规范通常由数据或应用系统的所有者建立,要使命名规范反映出受保护资源的重要性及安全级别的高低。
对机密信息的存储、检索、传输、处置要求
C 网络基础设施安全
C1 局域网安全
局域网的风险及问题
拨号访问控制-----要使用回拨技术(Callback)
C2 客户机/服务器安全
C3 无线网安全威胁与风险控制
C4 互联网的威胁与安全
网络安全威胁
网络安全问题分为两大类:主动式攻击、被动式攻击。
主动式攻击归纳为:中断、篡改、伪造
被动是:监听网络上传递的信息流,从而获取信息内容,或信息流的长度、传输频率等。
被动式攻击的方法:网络分析、窃听、流量分析
主动式攻击方法:暴利破解、身份伪装、包重演(主动+被动)、网络钓鱼、消息修改、非授权访问、拒绝服务攻击、拨号穿透攻击(战争拨号)、电子邮件炸弹与垃圾攻击、电子邮件欺骗。
导致互联网遭受攻击的因素
黑客工具、缺乏安全意识、系统漏洞、防火墙或主机操作系统本身存在不安全因素。
互联网的安全控制
为了建立有效的互联网安全控制,必须建立一个有效的信息系统安全管理框架,在此框架内开发具有可操作性的控制措施。
在此管理框架内需要建立的规则是为组织的信息资产建立敏感性及重要性分类标准。
防火墙安全系统
组织可以应用防火墙技术,建立针对Internet威胁的第一道防线
防火墙类型
三类:包过滤防火墙、应用级防火墙、状态检测防火墙
路由器包过滤防火墙
优点:逻辑简单,价格便宜,性能稳定,易于安装和使用,网络性能和透明性好。工作在网络层和传输层,与应用层无关。不用考虑客户机和主机上的应用程序。
缺点:一旦突破,既能对软件和配置漏洞进行攻击。要和应用应用网关配合使用,共同组成防火墙系统。
应用层防火墙
优点:对网络提供更好的保护。包过滤允许数据报载内网与外网间直接流动,应用层防火墙允许流动,但不允许直接交换。
用途:加固操作系统安全,工作在应用层。
缺点:性能及可移植性较差。
状态检测防火墙
优点:相比于应用级防火墙,他可以按照安全管理员设定的规则,对传输层中面向连接及非连接的数据报中的头部信息进行匹配,以实现IP流量的控制。提高了灵活性,处理效率。工作在网络层。
缺点:配置复杂。
防火墙实施案例
屏蔽主机防火墙
包过滤器(包过滤)+堡垒主机(应用代理)
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了
双穴主机防火墙
一台堡垒主机二块网卡(对应内外),致命弱点:一旦入侵主机,则任何网上用户均可访问内网.
Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
屏蔽子网式防火墙
外网-包过滤器-隔离子网-包过滤器-内网
Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为”停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
入侵检测系统(IDS)
一个入侵检测系统(IDS)无法探测到加密的流量攻击
作用是:监控网络和信息系统是否出现入侵或滥用的征兆,以保护系统资源的机密性、完整性和可用性。
入侵检测分析技术三大类:
签名(特征)分析法:与储存的攻击特征库进行对比
统计分析法:进行统计,如果某个操作偏离了正常轨道,就值得怀疑
神经网络:监视普通动作模式及网络上的流量,类似于统计分析法,但增加了自我学习的功能。
特征分析法受制于特征数据库,统计分析法可能有误判,所以两者集成比较好。
蜜罐与蜜网
蜜罐是一种应用系统,用来引诱黑客攻击。
蜜网时有多个蜜罐被网络连接在一起时模拟一个大型网络
C5 加密
私钥加密体系
私钥加密体系是基于对称加密的算法。对称加密是指发件人和收件人使用其共同拥有的单个密钥。这种密钥既用于加密又用于解密。
最常用的私钥加密系统DES,升级版AES
私钥加密系统的二个优点:1用户只需记忆一个密钥,就可以用于加密解密。2与非对称加密方法相比,私钥加密解密的计算量小,速度快,简单易用。适合于海量数据的加密处理
缺点:密钥交换不安全,安全性就会丧失。
公钥加密体系
加密密钥和解密密钥为两个不同密钥的算法
1多用户加密,一个用户解读。用于数字加密
2一个用户加密,多用户解读。用于数字签名
公钥密码算法中的密钥按性质分为:公钥和私钥
RSA公钥密码算法是目前网络上进行保密通信和数字签名的最有效的安全算法
椭圆曲线加密系统 基本原理大致和RSA相同,数字签名的产生和认证的速度要比RSA快。椭圆曲线加密相对于RSA加密最大的优点是它的计算速度。
量子加密
AES加密标准
数字签名---需要通过哈希函数来对数据产生哈希值,然后用自己的私钥加密hash摘要
数字签名可以附在原始信息后面
实现以下安全特性:
数据完整性、身份鉴别、无否定服务、防止重演攻击(+序列号或时间戳,接受者可以鉴别源文是否被截获和重演)
数字信封
先用对称密码加密信息,再用接收方的公钥加密对称密码,保证了数据传输的真实性和完整性。
數字簽名:用戶用自己的私鑰對原始數據的hash摘要加密所得的信息。(驗證身份,抗否認,數據完整)數字簽名可以附在原始信息後面。 數字信封:用對稱密碼加密信息,再用對方的公鑰加密對稱密碼。
公钥基础设施(PKI) (P382)
PKI组成部分:证书、CA(证书认证中心)、(RA)注册中心
加密技术在OSI协议中的使用
可以用在除物理层外的任何一层
应用系统对加密体系的使用 (P384)
与PKI相关的应用层的加密协议和标准:
SSH
SSL
IP security
是一组开放协议的总称,包括AH、ESP、IKE和用于网络验证及加密的一些算法。
特点:机密性、完整性、真实性、抗重演
IPSec提供两个主机之间、两个安全网关之间或主机和安全网关之间的保护。
加密风险与口令保护
C6 病毒
VoIP
会话边界控制器(SBCs)被用来为VoIP流量提供类似于防火墙的安全控制。
PBX专用分组交换机
主要目标是避免为每个用户申请一条电话外线,节省费用。
PBX系统的特性和风险 P391
要抵御全部风险不容易,一个值得推荐的保守方法是仅启用必要的特性。
D 对信息安全管理和逻辑访问进行审计
D1 对信息安全框架的审计
在信息安全实践中,信息安全管理框架进行评价是一项基本的工作。
1审计书面策略、流程与标准
要先检查这些策略及程序,以决定是否建立了正确的安全方针,是否为安全的计算机处理环境建立明确的责任归属和操作程序。
2逻辑访问安全策略
为逻辑访问建立“知所必须”的原则
3安全意识的培训及养成
提倡及宣传安全意识是一种预防的控制措施
4数据的所有权
就是在信息资源适当分类的地基础上,对保护信息资源进行责任分配。
建立数据所有权的关键点是针对特定员工赋予保管计算机资源的相应责任,并确保这种责任的可追查性。
5数据所有人
对数据负有责任的管理人员,责任包括:对系统访问进行授权,访问规则及时更新,定期检查访问规则及保护计算机数据。
6数据保管员 -- 保存看管数据的
7安全管理员 -- 为系统、数据、设备提供安全的
9数据使用者
10书面授权
11离职员工的访问控制
12安全基线
是实现IT安全的第一步 P399
13访问标准
应当审核访问标准,确保其符合组织职责划分的原则
D2 多逻辑访问的审计
1熟悉信息系统环境
2记录访问路径
3与系统人员会谈
4审核访问控制软件的相关报告
5审核应用系统操作手册
D3 对安全进行测试的技术
D4 调查技术
1计算机犯罪调查
建立有效的程序从犯罪现场收集证据。
2证据保护
E 网络基础架构的安全审计
E1 审计远程访问
E2 网络穿透测试
在实施真正的攻击测试前,一定要得到组织管理层的授权许可,并签定书面的测试协议。在进行测试时,如果决定不通知组织的相关安全管理监督人员也要得到最高管理层的批准。
E3 网络综合评估审核
E4 网络变更的制定和授权
非授权变更
变更控制程序最重要的目的就是要防止和检测对软件、配置参数和数据的非授权修改。
软件源代码比较工具是检测软件非授权变更的有效工具。对配置参数的非授权变更可以通过对系统管理活动的监督和日志记录来控制。
E5 计算机司法取证
F 环境风险与控制
灾难恢复与业务持续性计划的首要目标是要保持业务的运营不中断。P417
G 物理访问风险与控制
H 移动计算
第六章 业务连续性与灾难恢复计划
A业务连续性与灾难恢复计划(BCP/DRP)
灾难恢复与业务连续性计划(BCP)是组织为避免关键业务功能中断,减少业务风险而建立的一个控制过程。
BCP的目标是把组织的剩余风险和因意外事件产生的风险降到组织可接受的程度。
BCP应当是组织最高管理层的职责。
BCP的第一步是要进行风险与业务影响分析(BIA),业务影响分析揭示了每一种风险可能对业务造成的损失。风险要首先被确定,然后再进行业务影响分析。
A1信息系统的业务连续性计划/灾难恢复计划(IS-BCP/DRP)
A2灾难和其他业务中断事件
A3 BCP过程
BCP的生命周期
分为以下几个阶段:1业务影响分析 2运行分类和重要性分析 3制定计划 4培训与教育 5测试与实施计划 6检测
业务连续性与灾难恢复策略
BCP是组织中最重要的纠正性控制措施。
A4 BCP事件管理
根据对业务危害程度的估计,对各种事件进行分类:可忽略级、微小事件、重大事件、危机事件。
A5业务影响分析(BIA)
在BCP计划中,进行BIA是一个关键步骤。首先要了解组织的整体情况、关键业务处理流程和组织处理关键业务是使用的IT资源。
执行BIA最流行的方法是:问卷调查法
另一种方法:拜访关键用户。第三种:把IT人员和终端用户召集一起讨论。
重要性分类
制定BCP的重要依据就是对应用的重要性进行分类,分类的尺度与系统地风险大小有关,系统地风险级别取决于重要业务发生中断的可能性,及关键恢复时间周期对业务运行的影响。
关键的 重要的 敏感的 不敏感的
A6恢复点目标(RPO)和恢复时间目标(RTO)
A7恢复策略
A8可供选择的恢复类型
A9制定BCP和DRP
利用BIA的分析结果,在管理层选择了恢复策略后,下一步目标就是制定详细的BCP和DRP
A10组织与职责分配
A11制定计划的其他问题
正式的BCP计划应包括:
需要维护关键业务功能的人员列表,联系方式。建筑设施,办公桌椅,电话等配置信息。
A12 BCP的组成 (P462)
A13对BCP的测试
测试类型:纸上推演(paper test)可以对整个BCP计划进行测试,在预备性测试前进行。
预备性测试:是全面测试的局部版本。在局部范围测试所涉及的BCP资源
全面运行测试:最全面的
决策支持系统(DSS)
策支持系统(decision support system ,简称dss)是辅助决策者通过数据、模型和知识,以人机交互方式进行半结构化或非结构化决策的计算机应用系统。它是管理信息系统(mis)向更高一级发展而产生的先进信息管理系统。它为决策者提供分析问题、建立模型、模拟决策过程和方案的环境,调用各种信息资源和分析工具,帮助决策者提高决策水平和质量。
决策支持系统(DSS)的基本特征
1、对准上层管理人员经常面临的结构化程度不高、说明不充分的问题;
2、把模型或分析技术与传统的数据存取技术检索技术结合起来;
3、易于为非计算机专业人员以交互会话的方式使用;
4、强调对用户决策方法改变的灵活性及适应性;
5、支持但不是代替高层决策者制定决策。
决策支持系统(DSS)的结构特征
1、数据库及其管理系统;
2、模型库及其管理系统;
3、交互式计算机硬件及软件;
4、图形及其他高级显示装置;
5、对用户友好的建模语言。
地址解析协议(ARP)之间提供一个IP地址和硬件地址的动态地址映射。简单对象访问协议(SOAP)是一种独立于平台的基于XML的协议,使应用程序互相通信在互联网上,并没有处理媒体存取控制(MAC)地址。路由信息协议(RIP)指定路由器交换路由表信息。传输控制协议(TCP)使两台主机建立连接并交换数据流。
在公钥基础设施( PKI )中
A、证书撤销列表(CRL)
B、证书实务声明(CPS)
C、证书策略(CP)
D、PKI披露条款(PDS)
注释:CPS是PKI政策中“如何分配”的说明。CRL是尚未 到期即被撤消的证书清单。CP制定了CPS实施的次序要求。PDS涵养了一些重要的内容,如相关各方法律上承担的担保、约束(限制条件)、责任和义务等。
A、DES
B、AES
C、Triple DES
D、RSA
高级加密标准(AES),公共算法,支持从128到256位的密钥大小,不仅提供良好的安全性,但提供跨多种平台的计算机的速度和多功能性。 AES的安全和高效运行的大型电脑,台式电脑和智能卡等,甚至小型设备。 DES是一个强大的,因为没有考虑它的整个密钥空间的大型计算机系统被迫在一个相对较短的时间内可以野蛮加密方案。三重DES最多可能需要比DES的三倍更长的时间来执行加密和解密。 RSA密钥是唯一的短信息,如数字签名的创作,适合大量涌现。
Detective Control. 检测性控制
指用以检测、报告错误、遗漏及未经授权使用或启动交易的机制。
Access Control. 访问控制
限制及控制访问计算机系统资源的规程,包括逻辑性控制及物理性控制以防止未经授权使用计算机资源。
IPSec
ESP(封装安全有效负载):
ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务(一种部分序列完整性的形式) 和有限信息流机密性。
IPsec AH:IPsec 认证头协议:
它为 IP 数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况
平衡计分卡中的目标和评估指标来源于组织战略,它把组织的使命和战略转化为有形的目标和衡量指标
变更管理程序,建立了信息系统管理,以控制测试环境中的应用转移到生产环境。
ssh是一个用来替代TELNET、FTP以及R命令的工具包。主要是想解决口令在网上明文传输的问题。为了系统安全和用户自身的权益,推广ssh是必要的。ssh有两个版本,ssh2是第二个版本。
前向差错控制包含了传输每个字符或数据帧的额外冗余信息来检测或纠正(传输)错误。
在反馈差错控制中仅仅传输足够使得接收者检测到差错发生的额外信息。
B及D均为差错检测方法,不是差错纠正方法。(数据)块和数校验是奇偶校验的扩展,即针对字符块计算一系列校验位。循环冗余校验是针对每一数据帧的内容生成一组校验位的技术。
控制自我评估(CSA)也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估,是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。
按照新的内控理论,内审人员不再是内部控制的唯一责任主体,企业的所有成员都对内部控制负有相应的责任,利用CSA可以起到有效教育并 帮助管理人员明确并愿意承担其责任的作用。
一个综合和有效电子邮件政策应当强调的问题包括电子邮件的结构、政策要求,监控和保留
存储区域网络(SAN)是一种高速网络或子网络,提供在计算机与存储系统之间的数据传输。存储设备是指一台或多台用以存储计算机数据的磁盘设备,通常指磁盘阵列。一个 SAN 网络由负责网络连接的通信结构、负责组织连接的管理层、存储部件以及计算机系统构成,从而保证数据传输的安全性和力度。
网络文件系统 Network File System(NFS)
① 提供透明文件访问以及文件传输;
② 容易扩充新的资源或软件,不需要改变现有的工作环境;
③ 高性能,可灵活配置。
通用Internet文件系统CIFS
CIFS 可以使您达到以下功能:
1.访问服务器本地文件并读写这些文件
2.与其它用户一起共享一些文件块
3.在断线时自动恢复与网络的连接
4.使用西欧字符文件名
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
专家系统:
根据人们在某一领域内的知识、经验和技术而建立的解决问题和做决策的计算机软件系统,它能对复杂问题给出专家水平的结果。
异步攻击(Asynchronous attack):利用防御行动和攻击行动之间的间隔使防御行动失去作用的企图。例如,操作任务可能在被中断后立即对所存储的参数进行检查,用户重新获得控制并恶意更改该参数,操作系统在重新获得控制后继续使用被恶意更改的参数进行处理
检查风险=侦测风险
Detection Risk. 检查风险
审计人员未能检查到重大错误或发表了错误声明的风险
审计风险=可容忍重大错报风险*检查风险