信息系统架构控制与审计.ppt

第三章 信息系统架构控制与审计,要保证信息系统安全、可靠、有效的运营，离不开信息系统架构的有 效控制及审计。 信息系统架构包括：信息系统硬件、信息系统软件以及信息系统网络环境。,第一节 硬件与系统软件控制 一、信息系统硬件控制 信息系统硬件一般包括：服务器、工作站、移动计算设备、存储设备、 网络设备等 信息系统硬件的控制涉及：硬件获取、维护、系统监控、能力管理等,（一）硬件获取 管理者需要考虑的问题： 何时购买？ 谁决定获取什么样的系统？ 系统如何安装、使用、维护？ 如何对员工培训？,为了获取满足企业需要的硬件，应采取相应的控制措施。 关键控制点： 1、制定硬件获取计划 目的：适合组织计划；具有兼容性、扩展性和可靠性 2、建立硬件需求标准 3、确定购买时间和编制成本预算 4、供应商选择 一般方式：招标 相关文档：招标书（或：请求建议书）,第三章 信息系统架构控制与审计,招标书（请求建议书）应包含的主要内容： （1）组织环境（集中式，或分布式环境）。 （2）处理需求。包括：组织的业务需求，计算机硬件负载与性能要求， 计算机信息处理途径。 （3）硬件需求。包括：CPU处理速度、外部设备、终端设备与数目、网 络设备。 （4）系统软件环境及其需求。包括：计算机操作系统、编译环境、数据 库管理软件、通信软件以及访问控制软件等。 （5）支持需求。包括系统的维护、操作人员的培训以及备份。 （6）适应需求。对采购硬件的兼容性以及对现有设备和装置地影响有明 确定义。 （7）实施需求。规定设备的测试、实施与系统转时间安排。 （8）约束条件。硬件采购的容量，现有员工及其操作水平以及交付日期。,第三章 信息系统架构控制与审计,5、对投标书或建议书从技术和商务层面的评估； 考虑因素：技术、价格；成本/效益；供应商的财务状况、维护与 支持能力；有关供应商设备的使用情况与评价。 选择供应商。 评价技术指标：（1）停转时间；（2）响应时间； （3）吞吐量； （4）负载； （5）兼容性； （6）容量； （7）利用率。,（二）硬件维护 主要控制点：制定明确的维护计划； 记录硬件维护的执行过程并形成文档； 明确维护的硬件资源信息、维护日程表、维护成本； 记录可提供特殊设备维护的服务商信息； 明确维护纪录的保存和审计轨迹； 明确管理层的维护监控。,第三章 信息系统架构控制与审计,（三）硬件监控 硬件监控目的：确保硬件的可用性与可靠性，保证组织利益。 关键控制点：实时记录硬件有关运用情况； 硬件问题的对应解决程序、补救措施； 硬件监控形成文档。主要包括： 1、硬件错误报告标识出CPU、输入输出、电源 和存储故障。 2、可用性报告指出系统工作正常的时间段。 3、利用率报告记录了机器和外设的使用情况。,第三章 信息系统架构控制与审计,（四）硬件容量管理 管理目标：根据总体业务的增长或减少动态地增减资源，以确保可用资 源的有效利用，预计硬件需求。 关键控制点：明确的硬件容量管理计划； 存在相应管理、执行措施； 计划的及时更新； 实施动态监控。,计划的考虑因素： 1、CPU使用率； 2、计算机存储设备使用率； 3、终端使用率； 4、远程通信和网络带宽使用率； 5、输入输出信道使用率； 6、使用人数； 7、新技术； 8、新应用程序； 9、服务水平协议。,第三章 信息系统架构控制与审计,二、系统软件控制 系统软件包括：操作系统、数据库管理系统、通信软件、数据管理软 件、作业调度软件、程序库管理系统、磁带/磁盘管理 系统和系统工具软件。 系统软件涉及：系统软件获取与实施、系统软件变更、系统软件版本与 许可、系统软件设置,（一）系统软件获取与实施 关键控制点：系统软件的计划、可行性研究； 系统软件对应用需求的支持； 系统软件的易用性、兼容性、可移植性、安全性； 系统软件的维护及版本管理； 系统软件的成本控制； 人员培训。,第三章 信息系统架构控制与审计,（二）系统软件变更控制 控制内容：变更授权； 管理层和相关人员清楚并参与到系统软件的变更过程中； 确保变更不会破坏现有处理流程； 变更控制程序的影响评估； 制定有适当的备份/恢复程序使得一旦发生安装失败，能 使其影响最小化； 对系统投入实际运行前所有测试结果进行记录、审查并得 到相关领域技术专家的认可。,第三章 信息系统架构控制与审计,（三）系统软件版本与许可 控制目的：防止盗版软件的缺陷； 避免组织面临的诉讼风险； 维护组织利益 。 关键控制点： 制定防范非授权使用和拷贝软件的策略和程序文件； 及时审查所有标准的、已用的和许可的应用及系统软件列表； 建立软件安装的集中控制和自动分发（包括取消用户安装软 件的能力）机制； 建立PC机的无盘工作站，控制通过安全局域网来访问应用程序； 安装计量(Metering)软件，并要求所有的PC通过该计量软件来访 问应用程序； 定期扫描PC，确保PC中没有安装非授权的软件拷贝； 购买许可。,第三章 信息系统架构控制与审计,（四）系统软件设置 控制目的：满足系统环境需求； 防止隐藏的错误和数据毁坏； 防止非授权的访问和不准确的日志。 关键控制点：建立控制选项和/或参数的保护措施； 控制选项和/或参数设置的合理性、完整性控制； 控制选项和/或参数的日志文件的分析评价； 使用访问控制软件。,应关注的日志文件项目内容： 生产处理所用数据文件的版本； 对敏感数据的程序访问； 调度并运行的程序； 操作系统的操作； 数据库； 访问控制。,第三章 信息系统架构控制与审计,第二节 硬件与系统软件审计 一、信息系统硬件审计 主要包括以下环节： 1、审计硬件获取计划 检查硬件获取计划是否定期地与管理层的硬件计划进行比较； 审查环境是否足以适应当前安装的硬件以及根据已批准的硬件获取 计划将要增加的硬件； 审查硬件获取计划是否和IS计划同步； 审查硬件获取计划是否考虑了现有设备及新设备的技术退化； 检查软硬件规格、安装要求以及交货时间等说明的准确性。,第三章 信息系统架构控制与审计,2、审计硬件容量管理程序和性能评估程序 检查它们是否能保证对硬件和系统软件的性能和能力进行连续的 审查； 审查管理层的硬件性能监控计划中使用的标准是否基于历史数据 和分析结果（来自IS故障日志、处理日程表、作业计账系统 报告和预防性的维护日程表及报告）。,3、审查微机（PC）采购标准 检查管理层是否已经发布了关于微机获取及使用的书面的政策性 陈述，而且已经传达给了用户； 检查微机获取标准是否已经建立，而且设计了程序和表格以实现 获取的批准流程； 确认获取微机的请求经过了成本效益分析； 确认所有微机均由采购部门集中采购以获得批量折扣或其他质量 上的好处。,第三章 信息系统架构控制与审计,4、审查硬件变更控制 检查是否及时通知调度人员关于硬件配置的变更情况； 检查管理层是否已经设计并强制实施变更日程表； 确认在硬件变更实施前信息系统部门内使用的操作员文档已经进 行了适当的修订； 确认变更计划提出及时，未对正常的IS处理产生影响； 确认所有硬件变更情况已经通知系统程序员、应用程序员和IS职 员，以确保对变更和测试进行适当的调整； 确认变更得到有效实施，没有干扰正常的应用生产处理。,第三章 信息系统架构控制与审计,二、系统软件审计 审计内容： 审查相关程序和文档（如：系统软件选项设置的审查和批准流程、软 件实施的测试程序、测试结果的审查和批准程序、系统软件实 施程序以及文档需求等系统软件相关文档）； 检查系统软件选择程序。确定系统软件的选择满足系统计划和业务 计划、处理和控制要求、信息系统和业务实际需求； 审查系统软件获取可行性研究和选择流程； 审查系统软件采购、实施、变更控制、版本与许可、软件设置。 重点关注以下环节：,第三章 信息系统架构控制与审计,1、审计成本效益分析，确认系统软件采购充分考虑了成本控制 检查和产品相关的直接财务成本； 检查产品维护成本； 审核产品的硬件需求和能力； 检查培训和技术支持需求； 检查产品对处理的可靠性的影响； 审核产品对数据安全的影响； 审核供应商的财务稳定性。,2、审计系统软件的安装控制，确保实施新系统的变更有相应控制 检查系统变更已在所有相关的软件层上实现，并且CPU也已作了相 应的升级； 确认系统软件变更被安排在对IS处理影响最小的时间进行； 检查是否已为测试系统软件的变更制定了书面计划； 检查测试是否按计划完成；,第三章 信息系统架构控制与审计,确认测试期间遇到的问题已经得到解决，并且进行了重新测试； 检查测试程序是否足以提供合理的保证，保证变更后的系统已经纠正 了已知问题且没有产生新的问题； 检查软件在进入生产环境前是否进行标识； 检查是否存在产品安装失败后的回退和恢复程序。,3、审计系统软件维护与变更控制 检查对系统软件的变更是否已经进行了归档； 审核当前的软件版本是否得到供应商的支持； 确保只有必要的人员才能访问包含系统软件的程序库； 确认软件的变更在实施前必须进行充分的记录和测试； 确认软件从测试环境移至生产环境前已经进行了适当的授权。,第三章 信息系统架构控制与审计,4、审计系统软件安全控制 检查是否已经建立了程序来限制对逻辑访问控制的规避； 检查是否已经建立了程序来限制对系统中断功能的访问； 确认系统软件提供了足够的安全特性； 检查现存的物理和逻辑安全规定是否足以限制对主控台的接触； 确认系统软件供应商提供的安装口令已经在安装时进行了修改。,ISA应特别关注： （1）有关系统文档、日志文件； （2）软件实施测试的控制及全面性； （3）有关数据库控制。主要包括： 数据访问、数据库系统变更、数据字典、数据库逻辑模型和物 理模型的一致性、主键和外键、字段索引、数据库安全、数据 库与应用系统的接口，等。,第三章 信息系统架构控制与审计,第三节 信息系统网络架构风险与控制 组织内部存在多种类型的网络系统：局域网、广域网、互联网、专用 网、语音网，等。 企业信息系统下主要有两种网络构架：局域网、互联网 网络计算模式：C/S（客户/服务器）计算模式 一、局域网风险与控制 局域网的主要组成：传输介质及网络软件、终端机、共享的辅助设备、 网络服务器及其应用。 虚拟局域网（VLAN）：由软件配置 1、局域网风险 主要有：,第三章 信息系统架构控制与审计,硬件因素：（略） 软件因素： （1）局域网变更风险； （2）局域网软件版本控制风险（网络软件的漏洞） ； （3）身份认证控制风险； （4）通信安全风险； （5）授权控制风险； （6）内部人员风险； （7）日志文件被破坏风险； （8）来自互联网威胁的风险。,第三章 信息系统架构控制与审计,局域网控制策略： （1）身份识别技术：可重用密码、远程认证拨入用户服务（RADIUS)、 终端访问控制、访问控制系统、公钥基础设施(PKI)、智能卡、生 物特征识别; （2）主机和应用安全：文件系统完整性校验、主机防火墙、主机入侵 检测系统(HIDS)、主机防病毒; （3）网络防火墙; （4）内容过滤：代理服务器、Web过滤、电子邮件过滤; （5）网络入侵检测系统(NIDS)：基于特征的网络入侵检测系统、基于 异常的入侵检测系统; （6）加密技术：第2层(L2)加密、网络层加密、第5层至第7层加密、 文件系统加密； （7）服务器控制数据传输、保护病毒软件、安装屏幕保护程序或消 隐程序、配置控制、日志审计权限管理； （8）硬件物理访问控制、备份机制、灾难性的破坏准备。,第三章 信息系统架构控制与审计,二、客户机/服务器构架安全 企业通常采用的网络计算模式：客户机/服务器模式（C/S） 最主要优点：信息的分布式处理、成本低、方便快捷 1、客户机/服务器模式环境风险 （1）访问规则设置风险； （2）变更控制和变更管理程序存在弱点； （3）网络服务中断； （4）网络组件(硬件、软件、通信设备)老化风险； （5）未授权或越权连接风险； （6）访问控制缺失； （7）不正确、未经授权或未经核准地访问、改变系统或数据； （8）物理控制风险；,第三章 信息系统架构控制与审计,2、客户机/服务器构架控制 （1）禁止使用软驱，以保护CS架构的数据或应用程序的安全； （2）访问控制软件； （3）控制USB移动硬盘、红外数据传输等功能使组织面临的数据 泄露风险； （4）安装网络监控装置及有效管理； （5）数据加密技术(对称加密或非对称加密技术)； （6）用户身份识别技术； （7）使用智能卡； （8）使用应用系统级的访问控制程序。,第三章 信息系统架构控制与审计,三、互联网风险与控制 1、互联网安全威胁 分类：主动攻击(Active Attacks)、被动攻击(Passive Attacks) （1）主动攻击 主要方法：暴力破解暴力破解、身份伪装、包重演、消息 修改、拒绝服务攻击、拨号穿透攻击、电子邮件 炸弹与垃圾攻击、电子邮件欺骗。 威胁：对数据与信息进行有选择的修改、删除、延迟、乱序、 复制、插入数据等 目的：中断、篡改、伪造；,（2）被动攻击 主要方法：网络分析 、窃听 、流量分析 威胁：数据和信息的泄密、修改、破坏等,第三章 信息系统架构控制与审计,2、互联网安全控制。主要控制措施： （1）建立互联网安全控制机制； （2）建立安全管理框架和操作指南； （3）实施员工安全培训； （4）开发和实施防火墙安全体系架构； （5）开发和实施入侵检测系统； （6）对远端访问公司资源和内部拨号访问互联网进行集中控制； （7）建立意外事件的发现、响应、遏制和修复机制； （8）敏感数据或通过网络传输的数据采用加密控制技术； （9）对员工桌面PC办公环境进行统一与自动控制； （9）对来自Internet未授权使用的行为实时监测，并及时预警。,第三章 信息系统架构控制与审计,四、网络安全技术简介(参见教材） 网络安全涉及：物理安全、逻辑安全 网络安全层次：OSI参考模型7层次 1、网络防火墙系统 防火墙是软件与硬件的组合，可以是一套软件，一个专用设备，也 可以内置在路由器、服务器中。 主要功能特性： 监测、限制、更改、屏蔽、中断，等,防火墙分类：包过滤防火墙、应用级防火墙、状态检测防火墙 防火墙实施方案： （1）屏蔽主机防火墙方案 ； （2）双穴主机防火墙方案 ； （3）屏蔽子网式防火墙方案 。,第三章 信息系统架构控制与审计,2、入侵检测系统(Intrusion Detection System，IDS) 作用：监控网络和信息系统是否出现入侵或滥用的征兆，以保护系统 资源的机密性、完整性和可用性。 分类：基于主机的入侵检测 、基于网络的入侵监测 入侵检测分析方法：特征分析法、统计分析法、神经网络,第三章 信息系统架构控制与审计,3、加密技术 方法：通过加密算法，利用密钥（secret keys）对信息进行加密、解密 特点：保护数据机密性、完整性、真实性和不可否认性，但并不能保 证数据在传输或处理过程中不丢失。,分类：私钥加密、公钥加密 数据的完整性和不可抵赖性应用：数字签名、数字信封、公钥基础设 施（PKI）与数字证书，等,4、网络安全协议 种类：安全套接层协议（SSL）、安全SHELL 、安全电子交易（SET）,第三章 信息系统架构控制与审计,5、虚拟私有网络 （Virtual Private Network，VPN） 特点：通过公共网络（通常是Internet）建立一个临时的、安全的连接 主要类型： 内部网VPN、远程访问VPN、外部网VPN。 关键技术： 隧道（tunnel）技术、加密技术、用户身份认证技术及访问控制 技术。,6、防病毒技术 病毒防范方法： （1）建立规范严谨的管理策略与程序； （2）采用一定的技术方法。,管理策略： 制定预防病毒的政策与策略 。主要包括：（参见教材） 防病毒技术 ： 硬件的技术性方法： （1）使用启动型病毒保护(内置的、基于固件的保护方法)； （2）使用远端启动(例如：无盘工作站)； （3）利用基于硬件的口令； （4）使用写保护的软盘； （5）在防火墙上阻止不安全的协议进入组织内部网络。,第三章 信息系统架构控制与审计,软件的技术方法： （1）防病毒软件。,对防病毒软件的操作要求： A、定期进行病毒扫描(每日、每周等)； B、人工扫描或根据用户需求进行扫描； C、连续在线扫描/程序启动时，强制进行扫描。,“防病毒墙” ： 主要功能： （1）SMTP保护，扫描进入或离开组织的SMTP流量，并与内 部邮件服务器协调一致查杀病毒； （2）HTTP保护，防止用户通过浏览器下载被感染的病毒文件， 并阻止恶意的Java、ActiveX程序的运行； （3）FTP保护，防止感染有病毒的文件被下载。,第三章 信息系统架构控制与审计,示例：一个企业安全网络信息系统购建策略 分析： 网络信息系统安全机制涉及：,信息服务器的网络安全、数据通信安全、操作系统安全、数据库 安全和应用程序安全 措施：,信息服务器的网络安全：防火墙 、访问控制、入侵检测、路由器、 诱骗系统、VPN、智能网关及交换机，等 数据通信安全：加密技术、安全协议、数字签名、完整性检验、VPN 操作系统安全：系统管理员对用户权限严格控制、防病毒软件、 系统日志监测与安全审计、漏洞扫描 数据库安全：设定权限控制表、数据库审计记录检查、防病毒软件、 数据加密 应用程序安全：访问控制、身份认证、应用控制、防病毒软件,第三章 信息系统架构控制与审计,安全网络购建：,第三章 信息系统架构控制与审计,第三章 信息系统架构控制与审计,第四节 网络基础架构审计 基本步骤： 1、了解网络基础构架有关信息。包括网络结构、组成等； 2、初步评估网络基础构架风险与控制； 3、制定审计方案； 4、实施审计； 5、审计结论。,一、局域网审计 主要审计事项： （1）局域网拓扑结构和网络设计； （2）重要的局域网组件（如服务器和交换机）； （3）局域网配置以及和其他局域网、广域网或公共网络的互连； （4）局域网使用，包括重要的流量类型和网络上运行的主要应用； （5）局域网管理员与重要的局域网用户组。,第三章 信息系统架构控制与审计,审计内容： 1、物理控制审核 （1）文件服务器物理保护控制； （2）局域网主要设备与数据的物理安全控制审计； （3）文件服务器设施的钥匙控制； （4）局域网文件服务器机房加锁或其他安全手段控制。 测试方法：实地检查、面谈、查阅文档资料和日志,2、环境控制审核 （1）文件服务器设备的静电和电流影响控制； （2）空调和湿度控制系统； （3）电源保护控制格； （4）防止灰尘、烟雾、食物的污染和其他物质的控制； （5）备份磁盘和磁带的保护控制。 测试方法：实地检查、面谈、查阅文档资料,第三章 信息系统架构控制与审计,3、逻辑控制审核 （1）口令控制。口令唯一、定期修改、加密、隐蔽显示； （2）用户访问书面授权控制； （3）局域网工作站自动关闭控制； （4）禁止对系统超级用户的远程访问； （5）对超级用户的登录企图记录控制； （6）外连通讯线路最新信息的局域网主管维护控制。 测试方法：面谈、实地检查、抽样审计、模拟测试、查阅文档资料 和日志,二、远程访问控制审计 主要审计内容： （1）远程访问控制制度； （2）访问授权控制； （3）控制方法的有效性； （4）测试拨号访问控制； （5）远程访问设计与实施成本效益； （6）远程访问环境、服务,第三章 信息系统架构控制与审计,三、网络穿透测试 作用：模拟黑客技术，对网络的安全控制功能测试。 测试前为了避免对系统的损害，应得到组织管理层的授权许可，并签 署书面的测试协议。然后指定测试计划。计划内容：(参见教材）,采用网络穿透测试的风险： （1）穿透测试