信息安全审计培训讲义.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,信息安全审计,陈越,Email,：,creekchen,MSN:,creekchen,Tel:13426364699,工业与信息化部培训中心,2,信息安全与审计基础及理论知识,信息安全与审计的概念、目标、范围,信息安全审计,/IT,审计,/,信息系统安全审计,审计,应该是,独立的。审计与信息安全的目标是一致的，而不是,对立,的。,信息安全与,IT,审计的关系,信息安全其中一项必不可少的内容是,IT,审计,IT,审计主要针对的是信息安全，也包含其他内容,信息安全与,IT,审计有很大的重合点,1.,不懂信息安全如何进行,IT,审计,2.,要做好,IT,审计必须了解信息安全,3,一、信息,安全,基础与理论,1.1,信息安全内容概述,1.2,美国标准,TCSEC,1.3,欧洲标准,ITSEC,1.4 CC,标准,1.5 CC,、,TCSEC,、,ITSEC,对应关系,1.6 CISSP,介绍,1.7 SSE-CMM,1.8 BS7799/ISO7799/ISO27001,1.9 ITIL,4,一、信息,安全,基础与理论,1.10 ISO15408,1.11 ISO13335,1.12 GB18336,等级保护,商业银行信息科技风险管理指引,5,1.1,信息安全基础,-,三要素,信息安全内容概述,计算机安全,信息安全三要素,Confidentiality,Integrity,Availability,6,1.,信息,安全,基础,-,北美标准,TCSEC,美国国防部,(Trusted Computer Systems Evaluation Criteria),安全等级,A,验证保护,B,强制保护,C,自主保护,D,无保护,FC,美联邦标准,(Federal Criteria),CTCPEC,加拿大标准,(Canadian Trusted Computer Product Evaluation Criteria),7,1.3,信息安全基础,-,欧洲标准,ITSEC,Information Technology Security Evaluation Criteria,英法德荷四国制定,ITSEC,是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为,功能,与,评估,两部分。功能准则从,F1,F10,共分,10,级。,1,5,级对应于,TCSEC,的,D,到,A,。,F6,至,F10,级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。,与,TCSEC,不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC,把保密作为安全的重点,而,ITSEC,则把完整性、可用性与保密性作为同等重要,的因素。,ITSEC,定义了从,E0,级,(,不满足品质,),到,E6,级,(,形式化验证,),的,7,个安全等级,对于每个系统,安全功能可分别定义。,8,1.4,信息安全,基础,-,国际标准,CC(Common Criteria),美英法德荷加六国制定的共同标准,包含的类,FAU,安全审计,FCO,通信,FCS,密码支持,FDP,用户数据保护,FIA,标识与鉴别,FMT,安全管理,FPR,隐私,FPTTSF,保护,(,固件保护，,TOE Security Functions,TOE Security Policy,，,(Target Of Evaluation),FRU,资源利用,FTATOE,访问,FTP,可信信道,/,路径,9,1.5,信息安全,基础,-,国际标准,CC,、,TCSEC,、,ITSEC,对应关系,CCTCSECITSEC,-DE0,EAL1-,EAL2C1E1,EAL3C2E2,EAL4B1E3,EAL5B2E4,EAL6B3E5,EAL7A1E6,10,1.5,信息安全,基础,-,国际标准,CC,分为三个部分：,第,1,部分,简介和一般模型,，正文介绍了,CC,中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍保护轮廓（,PP,）和安全目标（,ST,）的基本内容。,第,2,部分,安全功能要求,，按,类,-,子类,-,组件,的方式提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释。,第,3,部分,“,安全保证要求,”,，定义了评估保证级别，介绍了,PP,和,ST,的评估，并按,“,类,-,子类,-,组件,”,的方式提出安全保证要求,11,1.5,信息安全,基础,-,国际标准,CC,的三个部分相互依存，缺一不可。,第,1,部分是介绍,CC,的基本概念和基本原理,第,2,部分提出了技术要求,第,3,部分提出了非技术要求和对开发过程、工程过程的要求。,这三部分的有机结合具体体现在,PP,和,ST,中，,PP,和,ST,的概念和原理由第,1,部分介绍，,PP,和,ST,中的安全功能要求和安全保证要求在第,2,、,3,部分选取，这些安全要求的完备性和一致性，由第,2,、,3,两部分来保证。,CC,作为评估信息技术产品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。,12,1.5,信息安全,基础,-,国际标准,13,1.7,信息安全,基础,-SSE-CMM,SSE-CMM(System Security Engineering Capability Maturity Model),模型,是,CMM,在系统安全工程这个具体领域应用而产生的一个分支，是美国国家安全局,(NSA),领导开发的，是专门用于系统安全工程的能力成熟度模型。,SSE-CMM,第一版于,1996,年,10,月出版，,1999,年,4,月，,SSE-CMM,模型和相应评估方法,2.0,版发布。,系统安全工程过程一共有三个相关组织过程：,工程过程,风险过程,保证过程,14,1.7,信息安全,基础,-SSE-CMM,SSE-CMM,共分,5,个能力级别，,11,个过程区域：,基本执行级、计划跟踪级、充分定义级、量化控制级、持续改进级,2002,年,SSE-CMM,被国际标准化组织采纳成为国际标准即,ISO/IEC 21827:2002,信息技术系统安全工程成熟度模型,。,SSE-CMM,和,BS 7799,都提出了一系列最佳惯例，但,BS 7799,是一个认证标准（第二部分），提出了一个可供认证的,ISMS,体系，组织应该将其作为目标，通过选择适当的控制措施（第一部分）去实现。而,SSE-CMM,则是一个评估标准，适合作为评估工程实施组织能力与资质的标准,.,15,1.8,信息安全,基础,-7799/27001,BS7799,BS 7799,是英国标准协会制定的信息安全管理体系标准，已得到了一些国家的采纳，是国际上具有代表性的信息安全管理体系标准。,BS7799,以下,10,个部分：,信息安全政策,安全组织,资产分类及控制,人员安全,物理及环境安全,计算机及系统管理,系统访问控制,系统开发与维护,业务连续性规划,符合性,16,1.8,信息安全,基础,-7799/27001,ISO17799,BS7799 Part 1,的全称是,Code of Practice for Information Security,，也即为信息安全的实施细则。,2000,年被采纳为,ISO/IEC 17799,，目前其最新版本为,2005,版，也就是,ISO 17799:2005,。,ISO/IEC 17799:2005,通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等,11,个安全管理要素，还有,39,个主要执行目标和,133,个具体控制措施（最佳实践），供负责信息安全系统应用和开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。,17,1.8,信息安全,基础,-7799/27001,ISO27001,BS7799 Part 2,的全称是,Information Security Management Specification,，也即为信息安全管理体系规范，其最新修订版在,05,年,10,月正式成为,ISO/IEC 27001:2005,，,ISO/IEC 27001,是建立信息安全管理体系（,ISMS,）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用,ISO/IEC 17799,，其最终目的，在于建立适合企业需要的信息安全管理体系（,ISMS,）。,CC,、,SSE-CMM,、,BS 7799,对比,信息技术安全性评估准则,(CC),和美国国防部可信计算机评估准则,(TCSEC),等更侧重于对系统和产品的技术指标的评估,系统安全工程能力成熟模型,(SSE-CMM),更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。,在对信息系统日常安全管理方面，,BS 7799,的地位是其他标准无法取代的。,18,1.8,信息安全,基础,-7799/27001,BS7799,BS7799,涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。,标准存在一定不足,对查看敏感信息等保密性缺少控制。,标准中对评审控制和审计没有区分,标准中只在开发和维护中简单涉及密码技术,某些方面可能不全面，但是它仍是目前可以用来达到一定预防标准的最好的指导标准。,19,1.9,信息安全,基础,-ITIL,ITIL,ITIL,的全称是信息技术基础设施库（,Information Technology Infrastructure Library,）。,ITIL,针对一些重要的,IT,实践，详细描述了可适用于任何组织的全面的,Checklists,、,Tasks,、,Procedures,、,Responsibilities,等,IT,服务管理中最主要的内容就是服务交付（,Service Delivery,）和服务支持（,Service Support,）,服务交付（,Service Delivery,）：,Service Level Management,Financial Management for IT Service,Capacity Management,IT Service Continuity Management,Availability Management,20,1.9,信息安全,基础,-ITIL,ITIL,V3,版本图,21,1.9,信息安全,基础,-ITIL,服务支持（,Service Support,）：,Service Desk,Incident Management,Problem Management,Configuration Management,Change Management,Release Management,BS15000,2001,年，英国标准协会在国际,IT,服务管理论坛（,itSMF,）上正式发布了以,ITIL,为核心的英国国家标准,BS15000,。这成为,IT,服务管理领域具有历史意义的重大事件。,22,1.9,信息安全,基础,-ITIL,BS15000,有两个部分，目前都已经转化成国际标准了。,ISO/IEC 20000-1:2005,信息技术服务管理,-,服务管理规范（,Information technology service management.Specification for Service Management,）,ISO/IEC 20000-2:2005,信息技术服务管理,-,服务管理最佳实践（,Information technology service management.Code of Practice for Service Management,）,与,BS7799,相比,ITIL,关注面更为广泛（信息技术），而且更侧重于具体的实施流程。,ISMS,实施者可以将,BS7799,作为,ITIL,在信息安全方面的补充，同时引入,ITIL,流程的方法，以此加强信息安全管理的实施能力。,23,1.10,信息安全,基础,-ISO15408,ISO15408,ISO,国际标准化组织于,1999,年正式发布了,ISO/IEC 15408,。,ISO/IEC JTC 1,和,Common Criteria Project Organisations,共同制订了此标准，此标准等同于,Common Criteria V2.1,。,ISO/IEC 15408,有一个通用的标题,信息技术,安全技术,IT,安全评估准则。此标准包含三个部分：,第一部分 介绍和一般模型,第二部分 安全功能需求,第三部分 安全认证需求,安全功能需求,1,审计,安全审计自动响应、安全审计数据产生、安全审计分析、安全审计评估、安全审计事件选择、安全审计事件存储,24,1.10,信息安全,基础,-ISO15408,安全功能需求,2,通信,源不可否认、接受不可否认,3,密码支持,密码密钥管理、密码操作,4,用户数据保护,访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部安全传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护,5,鉴别和认证,认证失败安全、用户属性定义、安全说明、用户认证、用户鉴别、用户主体装订,6,安全管理,安全功能的管理、安全属性管理、安全功能数据管理、撤回、安全属性终止、安全管理角色,7,隐私,匿名、使用假名、可解脱性、可随意性,25,1.10,信息安全,基础,-ISO15408,安全功能需求,8,安全功能保护,底层抽象及其测试、失败安全、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、安全自检。,9,资源利用,容错、服务优先权、资源分配,10,访问,可选属性范围限制、多并发限制、锁、访问标志、访问历史、,session,建立,11,可信通道,/,信道,内部可信通道、可信通道,26,1.10,信息安全,基础,-ISO15408,安全认证需求,1,配置管理,2,分发和操作,3,开发,4,指导文档,5,生命周期支持,6,测试,7,漏洞评估,27,1.11,信息安全,基础,-ISO13335,ISO13335,(CIA+Accountability,Authenticity,Reliability),ISO13335,是一个信息安全管理指南，这个标准的主要目的就是要给出如何有效地实施,IT,安全管理的建议和指南。该标准目前分为,5,个部分。,第一部分：,IT,安全的概念和模型（,Concepts and models for IT Security,）,第二部分：,IT,安全的管理和计划（,Managing and planning IT Security,）,第三部分：,IT,安全的技术管理（,Techniques for the management of IT Security,）,第四部分：防护的选择（,Selection of safeguards,）,第五部分：网络安全管理指南（,Management guidance on network security,）,28,1.11,信息安全,基础,-ISO13335,ISO13335,第一部分：,IT,安全的概念和模型,发布于,1996,年,12,月,15,日。该部分包括了对,IT,安全和安全管理的一些基本概念和模型的介绍,第二部分：,IT,安全的管理和计划,发布于,1997,年,12,月,15,日。这个部分建议性地描述了,IT,安全管理和计划的方式和要点，包括,决定,IT,安全目标、战略和策略,决定组织,IT,安全需求,管理,IT,安全风险,计划适当,IT,安全防护措施的实施,开发安全教育计划,策划跟进的程序，如监控、复查和维护安全服务,开发事件处理计划,29,1.11,信息安全,基础,-ISO13335,ISO13335,第三部分：,IT,安全的技术管理,发布于,1998,年,6,月,15,日。这个部分覆盖了风险管理技术、,IT,安全计划的开发以及实施和测试，还包括一些后续的制度审查、事件分析、,IT,安全教育程序等。,第四部分：防护的选择,发布于,2000,年,3,月,1,日。这个部分主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施。这些措施不仅仅包括技术措施。,第五部分：网络安全管理指南,这个部分是基于,ISO/IEC TR 13335,第四部分建立的，介绍了如何确定与网络连接相关的保护域。,30,1.11,信息安全,基础,-ISO13335,31,1.12,信息安全,基础,-GB18336,GB18336,GB/T 18336,：,2001,信息技术 安全技术 信息技术安全性评估准则,（等同于,ISO/IEC15408-1999,）（通常也简称通用准则,-CC,）已于,2001,年,3,月正式颁布，该标准是评估信息技术产品和系统安全性的基础准则。,ISO/IEC15408-1999,是国际标准化组织统一现有多种评估准则努力的结果，是在美国、加拿大、欧洲等国家和地区分别自行推出测评准则并具体实践的基础上，通过相互间的总结和互补发展起来的。,32,1.13,信息安全,基础,-,等级保护,等级保护,信息系统的安全保护等级分为以下五级：,第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。,第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。,第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。,第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。,第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,33,1.13,信息安全,基础,-,等级保护,等级保护,第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。,第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行,指导,。,第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行,监督,、检查。,第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行,强制,监督、检查。,第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行,专门,监督、检查。,34,信息安全与审计基础及理论知识,究竟什么是信息安全审计,PDCA,（监督与保障）,Syslog,（日志）,Audit Trail,（审计留痕）,35,信息安全与审计基础及理论知识,36,信息安全与审计基础及理论知识,信息安全审计目的是什么,让别人难堪？,显示我们的聪明与他们的错误？,展示审计的权力？,内审与外审,1,为了保证提供独立的审计委员会（和高级管理）的内部控制措施，在公司内有效地运作,2,为了改善公司的内部控制，促进和帮助该公司确定的控制弱点，和制定解决这些弱点成本效益的解决方案，内部控制的状态。,37,信息安全与审计基础及理论知识,怎样做好信息安全审计工作,领导的推动与支持,审计的方式不是挑毛病，而是交朋友,积累专业知识,38,如果开始信息安全审计工作,采用一个标准,建立一套系统,充实与完善细则内容,执行与监督,ISO27001,ISMS,Net/OS/DB,ACTS,1,2,3,4,信息安全与审计基础及理论知识,39,信息安全与审计基础及理论知识,资质与认证,BSI,DNV,指定评测或认证机构,CISSP,CISA,LA,40,1.6,信息安全,基础,-,权威认证,CISSP,介绍,安全管理,Security Management Practices,安全架构与模型,Security Architecture and Models,访问控制,Access Control,应用与系统开发,Applications and Systems Development,操作安全,Operations Security,物理安全,Physical Security,加密,Cryptography,通信与网络,Telecommunications and Networking,业务连续性,/,灾难恢复,Business Continuity Planning/DRP,法律，事后取证,Law,Investigation,and Ethics,41,1.6,信息安全,基础,-,权威认证,CISA,介绍,(,www.isaca.org,),CISA,考试每年举行两次，分别为每年的六月和十二月的第二周星期六，六月和十二月考试中国学员均可以选择中文和英文考试，在中国考试从上午九点开始，共四个小时,13,点结束,包括六部分内容，各自所占比例如下：,信息系统审计过程（占,10%,）,IT,治理（占,15%,）,系统和生命周期管理（占,16%,）,IT,服务的交付与支持（占,14%,）,信息资产保护（占,31%,）,业务连续性与灾难恢复计划（占,14%,）,管理指引,适用范围,适用范围：,本指引适用于在中华人民共和国境内依法设立的法人商业银行。,参照范围：,政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构。,42,管理指引,管理职责,商业银行法定代表人,是本机构信息科技风险管理的,第一责任人,，负责组织本指引的贯彻落实。,董事会：,遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。,首席信息官：,确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。,负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。,特定部门负责信息科技风险管理工作,:,为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。,内部审计部门设立专门的信息科技风险审计岗位,:,负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。,人员安全和法规：,入职前审查、入职中教育、降低离职的损失 知识产权保护,总体原则：自上而下、明确分工,43,管理指引,风险管理,涉及范围：信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。,制定持续的风险识别和评估流程,识别隐患,评价影响,排序,制定措施及安排资源,措施：风险管理制度、技术标准、操作规程,权限管理：高权限用户的审查、物理和逻辑控制、最小化和必须知道原则、授权审批和验证。,风险监测：评价机制、程序和标准、报告机制、整改机制、定期审查（已有体系、控制台、新技术、外部威胁）,44,管理指引,信息安全,科技部门：信息分类和保护体系、安全教育和贯彻,信息安全体系：安全制度管理、安全组织管理、资产管理、人员安全、物理与环境安全、通信与运营管理、访问控制管理、系统开发与维护管理、事故管理、业务连续性、合规性管理。,用户认证与授权：必须知道、离职的权限移除,物理保护,区域划分与保护：物理、逻辑,访问控制、内容过滤、传输、监控、记录,系统安全：安全规范、权限分配、帐户审计、补丁管理、日志监控,所有系统：职责分配、认证、输入输出、数据保密、审计踪迹,45,管理指引,信息安全（续）,日志管理,:,交易日志、系统日志,记录内容、覆盖范围、保存期限,加密措施：符合国家要求、人员要求、强度要求、密钥管理,定期检查：,包括台式个人计算机（,PC,）、便携式计算机、柜员终端、自动柜员机（,ATM,）、存折打印机、读卡器、销售终端（,POS,）和个人数字助理（,PDA,）等,管理客户信息：,采集、处理、存贮、传输、分发、备份、恢复、清理和销毁的生命周期。,Pci-dss,？,人员培训。,46,管理指引,开发管理,职责：项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告，由其进行审核，进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内，组织对系统的后评价，并根据评价结果及时对系统功能进行调整和优化。,项目风险：潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本，并采取适当的项目管理方法。,生命周期管理。,变更管理：生产、开发、测试环境的物理区域和人员职责分离、紧急修复的记录、变更审查。,问题管理：全面的追踪、分析和解决。,ITIL,？,升级管理,.,47,管理指引,信息科技运行,物理环境控制：电力供应、自然灾害、基础设施,外来人员访问：审查,批准,记录,陪同,人员职责分离：运行与维护分离,交易数据：可保存、机密性、完整性、可恢复,操作说明：运营操作指南与规范。,事故管理：报告,分析,追踪,解决。,服务水平管理：,SlA,。,监控、例外和预警。,容量管理：外部变化和内部业务。,升级管理：记录保存。,变更管理：审批、记录和更正紧急修复。,48,管理指引,业务连续性管理,规划：基于自身业务的性质、规模和复杂程度制定规划；定期演练。,意外事件：内部资源故障或缺失、信息丢失与受损、外部事件,业务中断：系统恢复和双机热备,应急恢复、保险以降低损失,连续性策略：规划（资源管理、优先级、外部沟通）、更新、验证、审核,应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。,49,管理指引,外包管理,谨慎原则,外包协议：适合业务和风险战略、操作风险、财务稳定性和专业经验、平稳过滤、外包商共用的风险。,合同谈判：必要条件、监督、所有权、损失补偿、遵守规范、服务水平管理、变更,服务水平管理：定性和定量指标、水平考核、不达标的处理,数据安全保护：隔离、最小授权、保密协议、信息披露、禁止再外包、合同终止,应急措施：外包不可用,外包合同审批：信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。并定期审核,50,管理指引,内部审计,内审部门：系统控制的适当性和有效性。审计人员资源和能力。,审计责任：审计计划、审计工作、整改检查、专项审计。,审计范围和频率：基于业务性质、规模、复杂度、应用情况、风险评估结果。至少每三年一次。,审计参与：大规模审计时，风险管理部门的参与。,51,管理指引,外部审计,外审机构选择：法律法规要求、能力要求,审计沟通,银监会及其派出机构：必要时的检查、审计授权书、保密协定、规定时间内完成整改。,52,53,ISMS,信息安全与,风险管理框架介绍,ISMS,Information Security Management System-ISMS,信息安全管理体系,基于国际标准,ISO/IEC27001,：信息安全管理体系要求,是综合信息安全管理和技术手段，保障组织信息安全的一种方法,ISMS,是管理体系（,MS,）家族的一个成员,ISO27000,系列标准介绍,ISO/IEC27001:2005,ISO/IEC27001:2005,的名称,Information technology-Security techniques-Information,security management systems-requirements,信息技术,-,安全技术,-,信息安全管理体系,-,要求,该标准用于：为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型，并规定了要求。,该标准适用于：所有类型的组织（例如，商业企业、政府机构、非赢利组织）。,是建立和实施,ISMS,的依据，是,ISMS,认证的依据。,ISO27000,系列标准介绍,ISO/IEC27002:2005,主要内容,章节,控制措施域,控制目标,控制措施,5,安全方针,1,2,6,信息安全组织,2,11,7,资产管理,2,5,8,人力资源安全,3,9,9,物理和环境安全,2,13,10,通信和操作管理,10,32,11,访问控制,7,25,12,信息系统获取、开发和维护,6,16,13,信息安全事故管理,2,5,14,业务连续性管理,1,5,15,符合性,3,10,合计,39,133,56,COBIT,框架介绍,什么是,Cobit,是由信息系统审计和控制基金会,ISACF,（,Information Systems Audit and Control Foundation,）最早于,1996,年制定的,IT,治理模型，目前已经更新至第四版。,COBIT,的制订宗旨是跨越业务控制（,business control,）和,IT,控制之间的鸿沟，从而建立一个面向业务目标的,IT,控制框架。,COBIT,是,IT,治理的模型,COBIT,是基于控制的模型,与,IT,标准的关联关系,与,IT,审计的关系,COBIT,包含而不限于,IT,审计的模块（,Audit Guidline,），但并非是针对,IT,审计的专门论述,与,BS7799,、,ITIL,的关系,侧重不同。,COBIT,主要侧重于处理企业治理中不同方面的需求，使信息管理、控制目标、,IT,审计等围绕信息系统管理控制的工作能够在一个统一的平台上协调开展。,58,2.,信息安全相关内容,为什么要了解信息安全,IT,审计的主要内容就是信息安全审计,了解信息安全的问题，才能制定有效的解决办法,审计这些解决办法的制定、实施、改进情况,59,2.,信息安全相关内容,扫描,信息扫描,Nmap,portscan,密码扫描,Webcrack,Emailcrack,solarwinds,漏洞扫描,Nessus,ISS,综合扫描器,Xscan,流光,SSS,DBSCAN,木马探测,60,2.,信息安全相关内容,密码破解,在线,通常是密码扫描工具，实时地连接目标系统进行密码猜测。另外也有一些工具有在线密码破解功能，例如,solarwinds,、,l0phtcrack,等。,对于,WEB,的,cookie,进行猜测破解,对于内存、缓存、视图中的密码进行破解，例如,msn,密码。,IE,浏览器星号密码等。,离线,通常是获取了目标系统的用户或者 密码文件，通过对加密算法的还原，或者已知密文猜测明文、暴力破解等方式。,离线破解的优势在于，不易被目标系统发现，并且可以分布式计算破解等。,61,2.,信息安全相关内容,密码破解,字典,字典通常包括所有英文单词，常用数字与符号，例如,123,、,qwe,、,qaz,、,poi,等等。,中文字典可能包括单位、部门、姓名拼音的缩写，例如,cmcc,、,yssh,、,zhc,等。,暴力,暴力破解通常是按照一定的规则，将所有可能的字母、数字、符号等组合进行尝试。也就是穷举破解。,暴力破解通常至少包括,6,位以下的字母、数字，包括所有生日。,暴力破解不一定全部针对密码，也有可能是对加密置换方法的穷举。,62,2.,信息安全相关内容,密码破解,规则,可定制规则的产生字典或者暴力破解的密码集，例如将账号倒过来，将字母与常用前、后缀组合，按照目标的习惯产生密码等。例如,creek123,等。,组合还可能包括将字母与数字互换，加上大小写等。例如,r00t!#,、,cr33k!23,等。,其他,通过密码找回功能，关联分析功能、密码重置或者密码清除等进行密码功能破解。,典型的工具,crack,、,John,、,l0pht,等。,63,2.,信息安全相关内容,漏洞利用与权限获取,缓冲区溢出,一般是堆栈缓冲区溢出，主要是利用目标系统存在的漏洞，使得堆栈区的数据越界，覆盖和修改了同样在堆栈中的程序返回地址，从而可以改变程序流，执行特定构造或者指定的程序代码的方法。本地缓冲区溢出通常是针对,suid,程序，来获得权限的提升。,远程缓冲区溢出是指通过网络服务的数据包通信，进行缓冲区溢出攻击的方法。远程服务通常都是超级用户权限，因此通常溢出后直接得到超级权限。远程服务溢出可能直接从远程得到本地权限，因此不需要账号密码登录。,缓冲区溢出也可以被用来进行拒绝服务攻击。,64,2.,信息安全相关内容,漏洞利用与权限获取,格式化字符串,格式化字符串是指的，在程序中通常用,%s,做为参数来输出动态的字符串，例如,printf(“it is%s”,string),如果存在格式化字符串漏洞，则可以通过构造,string,的内容，造成岐义，例如,string,内容又带有,%s,，并且格式化字符串被多层引用。,格式化字符串也可能造成与缓冲区溢出类似的效果。,SQL,注入,SQL,注入有点类似于格式化字符串。通常是指的网页脚本程序，操作数据库的代码部分，如果对于输入的变量未进行检查，则可能通过特定构造的输入字符，造成拼接后的,SQL,语句语义的改变，从而达到控制程序流运行。,65,2.,信息安全相关内容,漏洞利用与权限获取,SQL,注入,“”，例如 源代码是,if“user”=“input”then,这里,input,是指我们输入的用户，我们输入,aaa”or 1=“1,作为用户名，那么程序成为,if“user”=“aaa”or 1=“1”,，这是恒等式。从而可以在不知道用户名或者密码的情况下绕过认证。,；，输入信息为,aaa;echo/etc/passwd,，在,unix,下分号表示后面为独立的命令，运行完当前命令后，继续运行分号后的命令。,CGI,CGI,就是通用网关接口，服务端的,ASP,、,PHP,、,JSP,、,PERL,以及可执行程序等都可以统称为,CGI,程序。,CGI,程序可能存在漏洞，也可能存在泄露服务器信息的问题。,可以通过,WEB,服务器,CGI,功能挂马。,66,2.,信息安全相关内容,权限提升,高权限用户,本地,suid,程序缓冲区溢出通常是权限提升的方法,进程注入可以用来提升权限,获取密码文件，破解密码可以提升权限,通过文件系统漏洞、临时文件、符号链接等，获取高级别用户权限,通过伪造欺骗，获取高级别用户密码等权限,突破,Chroot,、,jail,Chroot,是改变程序运行的绝对目录为虚拟目录。突破这种限制将可以访问磁盘文件系统上的非授权访问文件。,67,2.,信息安全相关内容,权限提升,突破虚拟机,虚拟机将所有程序限制在一定的磁盘空间、一定的内存，一定的外设等，指令可能被替换和虚拟执行,突破虚拟机将可以对宿主机直接进行磁盘、内存、外设的访问。,网络的扫描与其他系统的权限获取，也可能提升权限。,例如信任主机、密码文件获取等。网络扫描与网络窃听也可能获取密码，提升权限。,68,2.,信息安全相关内容,网络嗅探,Sniffer,，译为嗅探、监听、窃听，或者抓包。,在同一个,HUB,上，数据包是广播的，可以得到所有人的数据包，如果是明文协议，则可能得到登录过程相应的密码。,交换环境下，需要采取,ARP,欺骗相结合的手段进行交换环境的网络窃听，