信息安全审计培训讲义

,信息安全审计,陈越 Email：creekchen MSN: creekchen Tel:工业与信息化部培训中心,2,信息安全与审计基础及理论知识,信息安全与审计的概念、目标、范围 信息安全审计/IT审计/信息系统安全审计 审计应该是独立的。审计与信息安全的目标是一致的，而不是对立的。,信息安全与IT审计的关系 信息安全其中一项必不可少的内容是IT审计 IT审计主要针对的是信息安全，也包含其他内容 信息安全与IT审计有很大的重合点,1.不懂信息安全如何进行IT审计 2.要做好IT审计必须了解信息安全,3,一、信息安全基础与理论,1.1 信息安全内容概述 1.2 美国标准TCSEC 1.3 欧洲标准ITSEC 1.4 CC标准 1.5 CC、TCSEC、ITSEC对应关系 1.6 CISSP介绍 1.7 SSE-CMM 1.8 BS7799/ISO7799/ISO27001 1.9 ITIL,4,一、信息安全基础与理论,1.10 ISO15408 1.11 ISO13335 1.12 GB18336 等级保护 商业银行信息科技风险管理指引,5,1.1 信息安全基础-三要素,信息安全内容概述 计算机安全 信息安全三要素 Confidentiality Integrity Availability,6,1.信息安全基础-北美标准,TCSEC 美国国防部(Trusted Computer Systems Evaluation Criteria) 安全等级 A 验证保护 B 强制保护 C 自主保护 D 无保护 FC 美联邦标准(Federal Criteria) CTCPEC 加拿大标准(Canadian Trusted Computer Product Evaluation Criteria),7,1.3 信息安全基础-欧洲标准,ITSEC Information Technology Security Evaluation Criteria 英法德荷四国制定 ITSEC是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1F10共分10级。 15级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。 与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。,8,1.4 信息安全基础-国际标准,CC (Common Criteria) 美英法德荷加六国制定的共同标准 包含的类 FAU 安全审计 FCO 通信 FCS 密码支持 FDP 用户数据保护 FIA 标识与鉴别 FMT 安全管理 FPR 隐私 FPT TSF保护(固件保护，TOE Security Functions, TOE Security Policy，(Target Of Evaluation) FRU 资源利用 FTA TOE访问 FTP 可信信道/路径,9,1.5 信息安全基础-国际标准,CC、TCSEC、ITSEC对应关系 CC TCSEC ITSEC - D E0 EAL1 - - EAL2 C1 E1 EAL3 C2 E2 EAL4 B1 E3 EAL5 B2 E4 EAL6 B3 E5 EAL7 A1 E6,10,1.5 信息安全基础-国际标准,CC分为三个部分： 第1部分“简介和一般模型“，正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍保护轮廓（PP）和安全目标（ST）的基本内容。 第2部分“安全功能要求“，按“类-子类-组件“的方式提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释。 第3部分“安全保证要求”，定义了评估保证级别，介绍了PP和ST的评估，并按“类-子类-组件”的方式提出安全保证要求,11,1.5 信息安全基础-国际标准,CC的三个部分相互依存，缺一不可。 第1部分是介绍CC的基本概念和基本原理 第2部分提出了技术要求 第3部分提出了非技术要求和对开发过程、工程过程的要求。 这三部分的有机结合具体体现在PP和ST 中，PP和ST的概念和原理由第1部分介绍，PP和ST中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求的完备性和一致性，由第2、3两部分来保证。 CC 作为评估信息技术产品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。,12,1.5 信息安全基础-国际标准,13,1.7 信息安全基础-SSE-CMM,SSE-CMM (System Security Engineering Capability Maturity Model)模型 是CMM在系统安全工程这个具体领域应用而产生的一个分支，是美国国家安全局(NSA)领导开发的，是专门用于系统安全工程的能力成熟度模型。 SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相应评估方法2.0版发布。 系统安全工程过程一共有三个相关组织过程： 工程过程 风险过程 保证过程,14,1.7 信息安全基础-SSE-CMM,SSE-CMM 共分5个能力级别，11个过程区域： 基本执行级、计划跟踪级、充分定义级、量化控制级、持续改进级 2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002信息技术系统安全工程成熟度模型。 SSE-CMM 和BS 7799 都提出了一系列最佳惯例，但BS 7799 是一个认证标准（第二部分），提出了一个可供认证的ISMS 体系，组织应该将其作为目标，通过选择适当的控制措施（第一部分）去实现。而SSE-CMM 则是一个评估标准， 适合作为评估工程实施组织能力与资质的标准.,15,1.8 信息安全基础-7799/27001,BS7799 BS 7799是英国标准协会制定的信息安全管理体系标准，已得到了一些国家的采纳，是国际上具有代表性的信息安全管理体系标准。 BS7799以下10个部分： 信息安全政策 安全组织 资产分类及控制 人员安全 物理及环境安全 计算机及系统管理 系统访问控制 系统开发与维护 业务连续性规划 符合性,16,1.8 信息安全基础-7799/27001,ISO17799 BS7799 Part 1的全称是Code of Practice for Information Security，也即为信息安全的实施细则。2000年被采纳为ISO/IEC 17799，目前其最新版本为2005版，也就是ISO 17799: 2005。 ISO/IEC 17799:2005 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素，还有39个主要执行目标和133个具体控制措施（最佳实践），供负责信息安全系统应用和开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。,17,1.8 信息安全基础-7799/27001,ISO27001 BS7799 Part 2的全称是Information Security Management Specification，也即为信息安全管理体系规范，其最新修订版在05年10月正式成为ISO/IEC 27001:2005，ISO/IEC 27001是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO/IEC 17799，其最终目的，在于建立适合企业需要的信息安全管理体系（ISMS）。 CC、SSE-CMM、BS 7799对比 信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估 系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。 在对信息系统日常安全管理方面，BS 7799的地位是其他标准无法取代的。,18,1.8 信息安全基础-7799/27001,BS7799 BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。 标准存在一定不足 对查看敏感信息等保密性缺少控制。 标准中对评审控制和审计没有区分 标准中只在开发和维护中简单涉及密码技术 某些方面可能不全面，但是它仍是目前可以用来达到一定预防标准的最好的指导标准。,19,1.9 信息安全基础-ITIL,ITIL ITIL的全称是信息技术基础设施库（Information Technology Infrastructure Library）。ITIL针对一些重要的IT实践，详细描述了可适用于任何组织的全面的Checklists、Tasks、Procedures、Responsibilities等 IT服务管理中最主要的内容就是服务交付（Service Delivery）和服务支持（Service Support） 服务交付（Service Delivery）： Service Level Management Financial Management for IT Service Capacity Management IT Service Continuity Management Availability Management,20,1.9 信息安全基础-ITIL,ITIL V3 版本图,21,1.9 信息安全基础-ITIL,服务支持（Service Support）： Service Desk Incident Management Problem Management Configuration Management Change Management Release Management BS15000 2001 年，英国标准协会在国际IT 服务管理论坛（itSMF）上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT 服务管理领域具有历史意义的重大事件。,22,1.9 信息安全基础-ITIL,BS15000 有两个部分，目前都已经转化成国际标准了。 ISO/IEC 20000-1:2005 信息技术服务管理-服务管理规范（Information technology service management. Specification for Service Management） ISO/IEC 20000-2:2005 信息技术服务管理- 服务管理最佳实践（ Information technology service management. Code of Practice for Service Management） 与BS7799 相比 ITIL 关注面更为广泛（信息技术），而且更侧重于具体的实施流程。ISMS实施者可以将BS7799 作为ITIL 在信息安全方面的补充，同时引入ITIL 流程的方法，以此加强信息安全管理的实施能力。,23,1.10 信息安全基础-ISO15408,ISO15408 ISO国际标准化组织于1999年正式发布了ISO/IEC 15408。ISO/IEC JTC 1和Common Criteria Project Organisations共同制订了此标准，此标准等同于Common Criteria V2.1。 ISO/IEC 15408有一个通用的标题 信息技术安全技术IT安全评估准则。此标准包含三个部分： 第一部分 介绍和一般模型 第二部分 安全功能需求 第三部分 安全认证需求 安全功能需求 1 审计安全审计自动响应、安全审计数据产生、安全审计分析、安全审计评估、安全审计事件选择、安全审计事件存储,24,1.10 信息安全基础-ISO15408,安全功能需求 2 通信源不可否认、接受不可否认 3 密码支持密码密钥管理、密码操作 4 用户数据保护访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部安全传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护 5 鉴别和认证认证失败安全、用户属性定义、安全说明、用户认证、用户鉴别、用户主体装订 6 安全管理安全功能的管理、安全属性管理、安全功能数据管理、撤回、安全属性终止、安全管理角色 7 隐私匿名、使用假名、可解脱性、可随意性,25,1.10 信息安全基础-ISO15408,安全功能需求 8 安全功能保护底层抽象及其测试、失败安全、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输安全、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、安全自检。 9 资源利用容错、服务优先权、资源分配 10 访问可选属性范围限制、多并发限制、锁、访问标志、访问历史、session建立 11 可信通道/信道内部可信通道、可信通道,26,1.10 信息安全基础-ISO15408,安全认证需求 1 配置管理 2 分发和操作 3 开发 4 指导文档 5 生命周期支持 6 测试 7 漏洞评估,27,1.11 信息安全基础-ISO13335,ISO13335 (CIA + Accountability, Authenticity, Reliability) ISO13335是一个信息安全管理指南，这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分。 第一部分：IT安全的概念和模型（Concepts and models for IT Security） 第二部分：IT安全的管理和计划（Managing and planning IT Security） 第三部分：IT安全的技术管理（Techniques for the management of IT Security） 第四部分：防护的选择（Selection of safeguards） 第五部分：网络安全管理指南（Management guidance on network security）,28,1.11 信息安全基础-ISO13335,ISO13335 第一部分：IT安全的概念和模型 发布于1996年12月15日。该部分包括了对IT安全和安全管理的一些基本概念和模型的介绍 第二部分：IT安全的管理和计划 发布于1997年12月15日。这个部分建议性地描述了IT安全管理和计划的方式和要点，包括 决定IT安全目标、战略和策略 决定组织IT安全需求 管理IT安全风险 计划适当IT安全防护措施的实施 开发安全教育计划 策划跟进的程序，如监控、复查和维护安全服务 开发事件处理计划,29,1.11 信息安全基础-ISO13335,ISO13335 第三部分：IT安全的技术管理 发布于1998年6月15日。这个部分覆盖了风险管理技术、IT安全计划的开发以及实施和测试，还包括一些后续的制度审查、事件分析、IT安全教育程序等。 第四部分：防护的选择 发布于2000年3月1日。这个部分主要探讨如何针对一个组织的特定环境和安全需求来选择防护措施。这些措施不仅仅包括技术措施。 第五部分：网络安全管理指南 这个部分是基于ISO/IEC TR 13335第四部分建立的，介绍了如何确定与网络连接相关的保护域。,30,1.11 信息安全基础-ISO13335,31,1.12 信息安全基础-GB18336,GB18336 GB/T 18336：2001信息技术 安全技术 信息技术安全性评估准则（等同于ISO/IEC15408-1999）（通常也简称通用准则-CC）已于2001年3月正式颁布，该标准是评估信息技术产品和系统安全性的基础准则。ISO/IEC15408-1999是国际标准化组织统一现有多种评估准则努力的结果，是在美国、加拿大、欧洲等国家和地区分别自行推出测评准则并具体实践的基础上，通过相互间的总结和互补发展起来的。,32,1.13 信息安全基础-等级保护,等级保护 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,33,1.13 信息安全基础-等级保护,等级保护 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,34,信息安全与审计基础及理论知识,究竟什么是信息安全审计 PDCA （监督与保障） Syslog （日志） Audit Trail （审计留痕）,35,信息安全与审计基础及理论知识,36,信息安全与审计基础及理论知识,信息安全审计目的是什么 让别人难堪？ 显示我们的聪明与他们的错误？ 展示审计的权力？ 内审与外审 1,为了保证提供独立的审计委员会（和高级管理）的内部控制措施，在公司内有效地运作 2,为了改善公司的内部控制，促进和帮助该公司确定的控制弱点，和制定解决这些弱点成本效益的解决方案，内部控制的状态。,37,信息安全与审计基础及理论知识,怎样做好信息安全审计工作 领导的推动与支持 审计的方式不是挑毛病，而是交朋友 积累专业知识,38,如果开始信息安全审计工作 采用一个标准 建立一套系统 充实与完善细则内容 执行与监督,ISO27001,ISMS,Net/OS/DB,ACTS,1,2,3,4,信息安全与审计基础及理论知识,39,信息安全与审计基础及理论知识,资质与认证 BSI DNV 指定评测或认证机构 CISSP CISA LA,40,1.6 信息安全基础-权威认证,CISSP介绍 安全管理 Security Management Practices 安全架构与模型 Security Architecture and Models 访问控制 Access Control 应用与系统开发 Applications and Systems Development 操作安全 Operations Security 物理安全 Physical Security 加密 Cryptography 通信与网络 Telecommunications and Networking 业务连续性/灾难恢复 Business Continuity Planning/DRP 法律，事后取证 Law, Investigation, and Ethics,41,1.6 信息安全基础-权威认证,CISA介绍( ) CISA考试每年举行两次，分别为每年的六月和十二月的第二周星期六，六月和十二月考试中国学员均可以选择中文和英文考试，在中国考试从上午九点开始，共四个小时13点结束 包括六部分内容，各自所占比例如下： 信息系统审计过程（占10%） IT治理（占15%） 系统和生命周期管理（占16%） IT服务的交付与支持（占14%） 信息资产保护（占31%） 业务连续性与灾难恢复计划（占14%）,管理指引适用范围,适用范围： 本指引适用于在中华人民共和国境内依法设立的法人商业银行。 参照范围： 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构。,42,管理指引管理职责,商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。 董事会：遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 首席信息官：确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。 特定部门负责信息科技风险管理工作:为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。 内部审计部门设立专门的信息科技风险审计岗位:负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等进行审计。 人员安全和法规：入职前审查、入职中教育、降低离职的损失 知识产权保护 总体原则：自上而下、明确分工,43,管理指引风险管理,涉及范围：信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。 制定持续的风险识别和评估流程识别隐患评价影响排序制定措施及安排资源 措施：风险管理制度、技术标准、操作规程 权限管理：高权限用户的审查、物理和逻辑控制、最小化和必须知道原则、授权审批和验证。 风险监测：评价机制、程序和标准、报告机制、整改机制、定期审查（已有体系、控制台、新技术、外部威胁）,44,管理指引信息安全,科技部门：信息分类和保护体系、安全教育和贯彻 信息安全体系：安全制度管理、安全组织管理、资产管理、人员安全、物理与环境安全、通信与运营管理、访问控制管理、系统开发与维护管理、事故管理、业务连续性、合规性管理。 用户认证与授权：必须知道、离职的权限移除 物理保护 区域划分与保护：物理、逻辑访问控制、内容过滤、传输、监控、记录 系统安全：安全规范、权限分配、帐户审计、补丁管理、日志监控 所有系统：职责分配、认证、输入输出、数据保密、审计踪迹,45,管理指引信息安全（续）,日志管理:交易日志、系统日志 记录内容、覆盖范围、保存期限 加密措施：符合国家要求、人员要求、强度要求、密钥管理 定期检查：包括台式个人计算机（PC）、便携式计算机、柜员终端、自动柜员机（ATM）、存折打印机、读卡器、销售终端（POS）和个人数字助理（PDA）等 管理客户信息：采集、处理、存贮、传输、分发、备份、恢复、清理和销毁的生命周期。Pci-dss？ 人员培训。,46,管理指引开发管理,职责：项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告，由其进行审核，进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内，组织对系统的后评价，并根据评价结果及时对系统功能进行调整和优化。 项目风险：潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本，并采取适当的项目管理方法。 生命周期管理。 变更管理：生产、开发、测试环境的物理区域和人员职责分离、紧急修复的记录、变更审查。 问题管理：全面的追踪、分析和解决。ITIL？ 升级管理.,47,管理指引信息科技运行,物理环境控制：电力供应、自然灾害、基础设施 外来人员访问：审查批准记录陪同 人员职责分离：运行与维护分离 交易数据：可保存、机密性、完整性、可恢复 操作说明：运营操作指南与规范。 事故管理：报告分析追踪解决。 服务水平管理：SlA。 监控、例外和预警。 容量管理：外部变化和内部业务。 升级管理：记录保存。 变更管理：审批、记录和更正紧急修复。,48,管理指引业务连续性管理,规划：基于自身业务的性质、规模和复杂程度制定规划；定期演练。 意外事件：内部资源故障或缺失、信息丢失与受损、外部事件 业务中断：系统恢复和双机热备应急恢复、保险以降低损失 连续性策略：规划（资源管理、优先级、外部沟通）、更新、验证、审核 应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。,49,管理指引外包管理,谨慎原则 外包协议：适合业务和风险战略、操作风险、财务稳定性和专业经验、平稳过滤、外包商共用的风险。 合同谈判：必要条件、监督、所有权、损失补偿、遵守规范、服务水平管理、变更 服务水平管理：定性和定量指标、水平考核、不达标的处理 数据安全保护：隔离、最小授权、保密协议、信息披露、禁止再外包、合同终止 应急措施：外包不可用 外包合同审批：信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。并定期审核,50,管理指引内部审计,内审部门：系统控制的适当性和有效性。审计人员资源和能力。 审计责任：审计计划、审计工作、整改检查、专项审计。 审计范围和频率：基于业务性质、规模、复杂度、应用情况、风险评估结果。至少每三年一次。 审计参与：大规模审计时，风险管理部门的参与。,51,管理指引外部审计,外审机构选择：法律法规要求、能力要求 审计沟通 银监会及其派出机构：必要时的检查、审计授权书、保密协定、规定时间内完成整改。,52,53,ISMS信息安全与风险管理框架介绍,ISMS Information Security Management System-ISMS 信息安全管理体系 基于国际标准ISO/IEC27001：信息安全管理体系要求 是综合信息安全管理和技术手段，保障组织信息安全的一种方法 ISMS是管理体系（MS）家族的一个成员,ISO27000系列标准介绍,ISO/IEC27001:2005,ISO/IEC27001:2005的名称 Information technology- Security techniques-Information security management systems-requirements 信息技术-安全技术-信息安全管理体系-要求,该标准用于：为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型，并规定了要求。,该标准适用于：所有类型的组织（例如，商业企业、政府机构、非赢利组织）。,是建立和实施ISMS的依据，是ISMS认证的依据。,ISO27000系列标准介绍,ISO/IEC27002:2005 主要内容,56,COBIT框架介绍,什么是Cobit,是由信息系统审计和控制基金会ISACF（Information Systems Audit and Control Foundation）最早于1996年制定的IT治理模型，目前已经更新至第四版。 COBIT的制订宗旨是跨越业务控制（business control）和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。 COBIT是IT治理的模型 COBIT是基于控制的模型,与IT标准的关联关系,与IT审计的关系 COBIT包含而不限于IT审计的模块（Audit Guidline），但并非是针对IT审计的专门论述 与BS7799、ITIL的关系 侧重不同。COBIT主要侧重于处理企业治理中不同方面的需求，使信息管理、控制目标、IT审计等围绕信息系统管理控制的工作能够在一个统一的平台上协调开展。,58,2.信息安全相关内容,为什么要了解信息安全,IT审计的主要内容就是信息安全审计 了解信息安全的问题，才能制定有效的解决办法 审计这些解决办法的制定、实施、改进情况,59,2.信息安全相关内容,扫描,信息扫描 Nmap portscan 密码扫描 Webcrack Emailcrack solarwinds 漏洞扫描 Nessus ISS 综合扫描器 Xscan 流光 SSS DBSCAN 木马探测,60,2.信息安全相关内容,密码破解,在线 通常是密码扫描工具，实时地连接目标系统进行密码猜测。另外也有一些工具有在线密码破解功能，例如solarwinds、l0phtcrack等。 对于WEB的cookie进行猜测破解 对于内存、缓存、视图中的密码进行破解，例如msn密码。IE浏览器星号密码等。 离线 通常是获取了目标系统的用户或者 密码文件，通过对加密算法的还原，或者已知密文猜测明文、暴力破解等方式。 离线破解的优势在于，不易被目标系统发现，并且可以分布式计算破解等。,61,2.信息安全相关内容,密码破解,字典 字典通常包括所有英文单词，常用数字与符号，例如123、qwe、qaz、poi等等。 中文字典可能包括单位、部门、姓名拼音的缩写，例如cmcc、yssh、zhc等。 暴力 暴力破解通常是按照一定的规则，将所有可能的字母、数字、符号等组合进行尝试。也就是穷举破解。 暴力破解通常至少包括6位以下的字母、数字，包括所有生日。 暴力破解不一定全部针对密码，也有可能是对加密置换方法的穷举。,62,2.信息安全相关内容,密码破解,规则 可定制规则的产生字典或者暴力破解的密码集，例如将账号倒过来，将字母与常用前、后缀组合，按照目标的习惯产生密码等。例如creek123等。 组合还可能包括将字母与数字互换，加上大小写等。例如r00t!#、cr33k!23等。 其他 通过密码找回功能，关联分析功能、密码重置或者密码清除等进行密码功能破解。 典型的工具 crack、John、l0pht等。,63,2.信息安全相关内容,漏洞利用与权限获取,缓冲区溢出 一般是堆栈缓冲区溢出，主要是利用目标系统存在的漏洞，使得堆栈区的数据越界，覆盖和修改了同样在堆栈中的程序返回地址，从而可以改变程序流，执行特定构造或者指定的程序代码的方法。本地缓冲区溢出通常是针对suid程序，来获得权限的提升。 远程缓冲区溢出是指通过网络服务的数据包通信，进行缓冲区溢出攻击的方法。远程服务通常都是超级用户权限，因此通常溢出后直接得到超级权限。远程服务溢出可能直接从远程得到本地权限，因此不需要账号密码登录。 缓冲区溢出也可以被用来进行拒绝服务攻击。,64,2.信息安全相关内容,漏洞利用与权限获取,格式化字符串 格式化字符串是指的，在程序中通常用%s做为参数来输出动态的字符串，例如printf(“it is %s”, string) 如果存在格式化字符串漏洞，则可以通过构造string的内容，造成岐义，例如string内容又带有%s，并且格式化字符串被多层引用。 格式化字符串也可能造成与缓冲区溢出类似的效果。 SQL注入 SQL注入有点类似于格式化字符串。通常是指的网页脚本程序，操作数据库的代码部分，如果对于输入的变量未进行检查，则可能通过特定构造的输入字符，造成拼接后的SQL语句语义的改变，从而达到控制程序流运行。,65,2.信息安全相关内容,漏洞利用与权限获取,SQL注入 “”，例如 源代码是if “user” = “input” then 这里input是指我们输入的用户，我们输入 aaa” or 1=“1 作为用户名，那么程序成为if “user” = “aaa” or 1=“1 ”，这是恒等式。从而可以在不知道用户名或者密码的情况下绕过认证。 ；，输入信息为 aaa ; echo /etc/passwd ，在unix下分号表示后面为独立的命令，运行完当前命令后，继续运行分号后的命令。 CGI CGI就是通用网关接口，服务端的ASP、PHP、JSP、PERL以及可执行程序等都可以统称为CGI程序。CGI程序可能存在漏洞，也可能存在泄露服务器信息的问题。 可以通过WEB服务器CGI功能挂马。,66,2.信息安全相关内容,权限提升,高权限用户 本地suid程序缓冲区溢出通常是权限提升的方法 进程注入可以用来提升权限 获取密码文件，破解密码可以提升权限 通过文件系统漏洞、临时文件、符号链接等，获取高级别用户权限 通过伪造欺骗，获取高级别用户密码等权限 突破Chroot、jail Chroot是改变程序运行的绝对目录为虚拟目录。突破这种限制将可以访问磁盘文件系统上的非授权访问文件。,67,2.信息安全相关内容,权限提升,突破虚拟机 虚拟机将所有程序限制在一定的磁盘空间、一定的内存，一定的外设等，指令可能被替换和虚拟执行 突破虚拟机将可以对宿主机直接进行磁盘、内存、外设的访问。 网络的扫描与其他系统的权限获取，也可能提升权限。 例如信任主机、密码文件获取等。网络扫描与网络窃听也可能获取密码，提升权限。,68,2.信息安全相关内容,网络嗅探,Sniffer，译为嗅探、监听、窃听，或者抓包。 在同一个HUB上，数据包是广播的，可以得到所有人的数据包，如果是明文协议，则可能得到登录过程相应的密码。 交换环境下，需要采取ARP欺骗相结合的手段进行交换环境的网络窃听，主要代表工具是dsniff。 网络嗅探除了可能得到账号密码，也可能得到重要数据文件、重要操作过程与操作方法等。 网络嗅探通常是被动监听状态，不向网络发送任何数据包，比较隐蔽，不容易被发现，有些工具 能发现网络中的嗅探器，例如promiscan等。,69,2.信息安全相关内容,网络欺骗,IP欺骗 通常伪造数据包的源IP地址，使得目标收到数据包后，无法找到来攻击者来源。 也可以伪造数据包的源IP地址，使得此IP地址成为被攻击的对象。 在能猜测TCP的SEQ号情况下，IP欺骗可能实现会话劫持的效果。 ARP 互联网上的数据包到了局域网后，就需要通过局域网协议传输，使用的是MAC地址和ARP协议。 ARP欺骗通常是中间人攻击。 ARP欺骗可以是主动更新包，也可以免费响应包。,70,2.信息安全相关内容,网络欺骗,DNS(域名服务) 猜测DNS的序列号，穷举同时发送所有的DNS数据包，可以实现DNS的会话劫持，从而可以改变DNS请求者的获得的解析内容，将域名解析到其他IP地址。 直接控制DNS服务器，修改DNS解析内容，也可能实现网络欺骗，特别是根域名服务器影响会大，今年百度事件就是因为根域名服务器的域名解析被篡改。 钓鱼 钓鱼网站可能和真实网站做得外观非常相似，域名也类似，通常用来窃取粗心用户的用户名与密码。例如与工商银行相似的钓鱼网站 通过虚假中奖信息发布、免费注册博客账号等方式，诱骗不知情用户输入用户名与密码。,71,2.信息安全相关内容,中间人与会话劫持,中间人 理论上，如果A与B通信，所有通信过程前没有任何协商好的秘密，那么M一定可以用某种方法成为中间人，并且让A与B并不知情。 由于A与B事先无协商好的秘密，因此A无法鉴别正在与自己通信的是B还是M，同样B也无法鉴别与自己通信的是A还是M。 M可以通过某种方式成为A与B的中间人。作为中间的传声筒，A与B不知道自己发送的内容是否被中间人替换，即使是加密的。 会话劫持 通常是通过中间的人方式来实现，也有可能通过某种方式造成原通信主机拒绝服务后，由自己替代。,72,2.信息安全相关内容,跨站脚本攻击,Cross site script的缩写，因为与CSS网页样式文件重名，因此简写为XSS 攻击者向Web页面里插入恶意html代码，当用户浏览该页时，嵌入其中Web里面的html代码会被执行，通常在用户不知情的情况下，中途访问其他站点，收集用户的COOKIE，或者自动下载木马与运行等。 欺骗其他人访问自己构造的页面，通常可能在允许HTML语言输入的BBS、博客等签名文档里构造。,73,2.信息安全相关内容,拒绝服务,漏洞型 协议漏洞 Synflood(半开连接，资源耗尽) Fin攻击(违反协议) Land(源/目的地址与端口都是被攻击者) Smurf(源地址为被攻击者或者广播地址) CISCO的55、77协议 服务漏洞 例如snmpd漏洞 使用ftp探测ibm某高端口等 ,74,2.信息安全相关内容,拒绝服务,流量型 资源消耗+流量型 分布式拒绝服务,Target,Attacker,Master,Internet,Zombies,攻击者,主控机,僵尸机,目标机,75,2.信息安全相关内容,后门木马,本地 账号后门 密码后门 SHELL SUID后门 替换命令/修改login Crontab/at inittab Rc Xinitrc .login/.profile/.bashrc/.cshrc LKM ,76,2.信息安全相关内容,后门木马,网络 监听端口 网页CGI 远程连接 IRC客户端 发送邮件 ICMP通道 Udp通道 NC 反向连接 定时访问 ,77,2.信息安全相关内容,无线网络,非加密 不广播SSID 中文SSID 超长SSID WEP WPA Aircrack-ng Airomon-ng Airodump-ng,78,2.信息安全相关内容,扫尾,清除入侵信息 清除过程文件 清除core文件 清除访问日志 修改文件、目录时间 修改/删除日志 修改shell记录 杀掉/重启进程 填补系统漏洞,79,2.信息安全相关内容,其他,社会工程学 技术入侵不一定是最优选择 权限集中可以被利用 兴趣爱好可以被利用 操作习惯可以被利用 ,80,2.信息安全相关内容,PKI,PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。这个定义涵盖的内容比较宽，是一个被很多人接受的概念。这个定义说明，任何以公钥技术为基础的安全基础设施都是PKI。当然，没有好的非对称算法和好的密钥管理就不可能提供完善的安全服务，也就不能叫做PKI。也就是说，该定义中已经隐含了必须具有的密钥管理功能 X.509标准中，为了区别于权限管理基础设施(Privilege Management Infrastructure，简称PMI)，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。这个概念与第一个概念相比，不仅仅叙述PKI能提供的安全服务，更强调PKI必须支持公开密钥的管理。也就是说，仅仅使用公钥技术还不能叫做PKI，还应该提供公开密钥的管理。,81,2.信息安全相关内容,PKI,PKI技术是信息安全技术的核心，PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分： 公钥密码证书管理。 黑名单的发布和管理。 密钥的备份和恢复。 自动更新密钥。 自动管理历史密钥。 支持交叉认证。,82,2.信息安全相关内容,VPN,VPN的英文全称是“Virtual Private Network” ，即虚拟专用网。 VPN主要采用的四项安全保证技术 隧道技术 加解密技术 密钥管理技术 身份认证技术 IPSec VPN: IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。 IPsec作为一个协议族（即一系列相互关联的协议）由以下部分组成： 保护分组流的协议； 用来建立这些安全分组流的密钥交换协议。,83,2.信息安全相关内容,VPN,IPSec VPN: 前者又分成两个部分： 加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。 PPTP VPN: Point to Point Tunneling Protocol 点到点隧道协议 ，在因特网上建立IP虚拟专用网（VPN）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。 微软系统自带PPTP协议。,84,2.信息安全相关内容,VPN,L2F: Layer 2 Forwarding - 第二层转发协议 L2TP: Layer 2 Tunneling Protocol -第二层隧道协议 GRE:VPN的第三层隧道协议 SSL VPN: 从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。 SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。,85,2.信息安全相关内容,其他安全防护技术与产品,需要审计，我们是否需要、是否部署了、是否合理使用了这些产品，并且提供相应的记录与证据 扫描 防火墙FW 入侵检测IDS 防病毒AV 入侵防御IPS 统一威胁管理UTM 身份鉴别 加解密系统 虚拟专网VPN 主机入侵检测HIDS,86,2.信息安全相关内容,其他安全防护技术与产品,数字签名校验 网闸 终端安全TS与上网行为管理 防水墙 业务连续性产品 审计与取证 数据备份、复制与恢复 流量清洗 网络抓包 安全管理平台,87,IT审计的技术内容（一）,实体级控制审计 数据库审计的方法 数据中心与灾难恢复 网络与安全设备审计,88,Checklist for Auditing Entity-Level Controls 实体级控制审计检查项列表 1. Review the overall IT organization structure to ensure that it provides for clear assignment of authority and responsibility over IT operations and that it provides for adequate segregation of duties. 检查整体的IT组织结构，确认在该结构中对整体的IT运行提供了清晰明确的权、责分配，并且提供了适当的分权设置 2. Review the IT strategic planning process to ensure that it aligns w