cisait审计实务培训

主讲人简介n

管理学博士（信息管理与 方向，同济大学）n

会计学学士、 （东北财经大学）n

高级程序员（1998），CISA（2002）,

SCJP，IBM电子商务咨询师，IBM

WSADDevelopern

目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入，yycisa@263.net文档复核面询与问卷设计比对技术业务观察与穿渗透测试数据测试与分析试一、常用审计方法概述，yycisa@263.netn

理解目标背景n

理解风险点与内控n

理解系统目标与期望业务输出n

理解系统架构n

发现异常与1.文档复核，yycisa@263.net2.面询与问卷设计n

面谈准备：n

背景研究n

确定对象n

内容、时间和地点n

面谈实施：n

时间控制n

气氛把握n

记录方式n

确认n

后续分析，yycisa@263.net2.面询与问卷设计n

问卷n

问题设计n

目的性n

问卷对象：专业性与客观性n

答案的明确性n

如何避免答案失真，yycisa@263.net3.比对技术n

源代码比对n

目标代码比对n

特征值比对，yycisa@263.net4.业务观察与穿

试n

实际岗位分工与制度是否一致n

穿 试（walk－through）：实际流程是否一致n

安全意识n

汇报路线：权责是否一致，yycisa@263.netn

模拟

行为，发现n

关键：n

实施风险分析n

全面备份与恢复计划n

委托专业机构5.渗透测试，yycisa@263.net6.

数据测试n

测试n

选择重要模块n

数据设计n

覆盖各种情况：数据类型、编码条件、数据文件不一致……、 逻辑n

来源：实际业务数据、用户测试数据、审计师测试数据、自动生成数据n

一般方式：n

黑盒n

白盒，yycisa@263.net6.

数据测试n

测试类型n

ITF(生产环境中用测试用例）n

输入标记n

消除影响n

平行模拟(SQL,EXCEL+VBA)n

开发原型n

新旧系统交接，yycisa@263.net7.

与分析n

直接获取系统数据，特别是业务输入与业务输出n

分析性复核，yycisa@263.net7.与分析n

GAAT：n

ACL、IDEAn

ACCESS

、SQL

Servern

SPSS、EXCELn

工具的选择：n

功能与易用性n

使用

与方便获取，yycisa@263.net对组织管理架构的审计对IT外包的审计对IT基础设施与环境的审计对备份和业务持续性的审计对开发和获取过程的审计对系统变更过程的审计二、一般控制审计实务，yycisa@263.net1.

对组织管理架构的审计n

组织模式对系统风险的影响n

分布式/集中式n

IT治理n

岗位分工，yycisa@263.netIT岗位分权控制小组系统分析员应用程序员数据录入员操作员数据库管理员安全管理员备份管理员系统程序员质量保证小组控制小组系统分析员应用程序员数据录入员操作员数据库管理员安全管理员备份管理员系统程序员质量保证小组，yycisa@263.net1.

对组织管理架构的审计n

关键风险和控制n

参考材料：“IT组织管理架构审计要点”n

案例

：n

案例1：大连某企业工资核算系统n

案例2：某企业雇员退出管理

与，yycisa@263.net2.

对IT外包的审计n

外包审计的主要关注点n竞争力nn

系统可靠性n

业务长期可持续性，yycisa@263.net2.

对IT外包的审计n

关键风险和控制n

参考材料：“IT外包审计要点”n

案例

：n

案例1：某通信服务企业充值卡n

案例2：澳大利亚 部门IT外包综合审计，yycisa@263.net3.

对IT基础设施与环境的审计n

审计范畴n

硬件环境与防灾n

主机硬件安全n

底层支撑系统安全n

通信线路安全/IO安全控制n

数据

n

物理

n

……，yycisa@263.net3.

对IT基础设施与环境的审计n

审计依据n

GB计算站相关标准n

ISO17799/BS7799n

GB建筑、防雷等相关标准，yycisa@263.net3.

对IT基础设施与环境的审计n

关键风险与控制n

参考材料：“IT基础设施审计要点”n

案例

：n

案例1：打印共享设备物理

安全n

案例2：某

企业信息系统渗透测试过程与结果，yycisa@263.net4.

对备份和业务持续性的审计n

关键风险与控制n

参考材料：“BCP审计要点”n

案例n

某企业恢复计划审计过程与结论，yycisa@263.net5.

对开发和获取过程的审计n

基本概念回顾n工程方法论n

关键风险与控制n

参考材料：“开发与获取过程审计要点”，yycisa@263.net5.对开发和获取过程的审计n

开发过程中的质量和安全控制n

进度与成本控制n

案例

：某局信息系统开发采购计划，yycisa@263.net5.对开发和获取过程的审计n

技术先进性与系统获取n

某区教育系统数据中心采购案例n

全局性考虑n

委托开发中的知识问题，yycisa@263.net6.

对系统变更过程的审计n

系统变更对金融企业的作用n

系统变更管理的一般流程，yycisa@263.net6.对系统变更过程的审计n

关键风险与控制n

参考材料：“系统变更审计要点”n

案例

：n

中国银联系统宕机事件，yycisa@263.net审计概述渗透测试技术与工具控制与审计要点当前热点：无线接入与数据库保护三、审计实务，yycisa@263.net1.

审计概述n

审计目标与范围n

审计方法n

了解与分析n

配置检查n

日志复核n扫描n

渗透测试，yycisa@263.net2.

渗透测试技术与工具n

第一步：信息搜集与背景n

工具：nnn

邮件n

冒名n

Social

Engineeringn

…

…，yycisa@263.net2.

渗透测试技术与工具n

第二步：扫描n

Whois查询n

端口扫描n

NMap工具n

扫描监测，yycisa@263.net2.

渗透测试技术与工具n

第三步：

利用n

再看缓冲区溢出n

缓冲区溢出原理与发现n

演示案例：缓冲区溢出程序示例，yycisa@263.net2.

渗透测试技术与工具n

第三步：

利用n

PASSWORD=

A’

OR

‘B’=‘Bn

SQL注入n

SQL注入原理n

演示案例：SQL注入提权n

防范工具，yycisa@263.net2.

渗透测试技术与工具n

第三步：

利用与发现与发现n

网络设备n

路由器n

交换机n

案例分析，yycisa@263.net2.

渗透测试技术与工具n

第三步：

利用n

会话劫持n

会话劫持原理n

工具与案例分析n

会话劫持的防范，yycisa@263.net2.

渗透测试技术与工具n

第三步：

利用n

数据库n

Oraclen

数据库与利用扫描工具n

Imperva

Scuban

案例分析，yycisa@263.net2.

渗透测试技术与工具n

第四步：植留后门n

木马原理n

实例分析n

后门的检测，yycisa@263.net2.

渗透测试技术与工具n

第五步：隐蔽连接n

隧道原理n

工具：n

Httptunnel，yycisa@263.net2.

渗透测试技术与工具n

集成测试工具介绍n

Metasploitn

Immunity

CANVAS，yycisa@263.net3.控制与审计要点n

一般审计要点n

参考材料：“

审计要点”n

互联网服务控制与审计要点，yycisa@263.net3.控制与审计要点n

演示案例：n

某

内网渗透过程模拟n

案例n

某：企业n

某连锁企业系统渗透

资料渗透案例案例，yycisa@263.net4.

当前热点n

无线网络技术n

无线接入的安全风险技术过程与工具n

基于无线接入的n

无线网络渗透n

案例

：n

某企业无线审计过程与结论，yycisa@263.net4.

当前热点n

数据库防护n

数据库是信息系统n首先是数据库安全，yycisa@263.net四、应用控制审计实务应用控制审计概述输入输出控制审计系统性能与可靠性审计数据审计代码审计ERP系统审计综合案例，yycisa@263.net1.

应用控制审计概述n

特点与目的n

直接针对业务系统n

发现系统风险及其对业务的直接影响n来源

n

用户反馈

n

用例n

实际业务数据n

代码分析，yycisa@263.net1.

应用控制审计概述n

系统理解n

关键文档与内容n

文档缺失的处理n

高风险领域的确定：变化频繁、多系统协同n

确定取证方式与范围，yycisa@263.net2.

输入输出控制审计n

输入控制审计要点n

CONTROL

TOTALSn

多点录入n

终端 控制n

Session窗口控制n

输出控制审计要点n控制n

缓冲区安全n

派发路径安全，yycisa@263.net3.

系统性能与可靠性审计n

瓶颈分析n

网络n

计算能力nn

集群、镜像与热站n

未来可伸缩性n

压力测试，yycisa@263.net4.

数据审计n

原则：n

无损、

、透明n

全面、相关n方法n

数据接口与转换工具n

文件转换工具n转换程序，yycisa@263.net4.

数据审计n

分析方法：n

“

”数据分析技术n

案例演示：n

某商业银行信贷与分析，yycisa@263.net5.

代码审计n

涵义：n

代码规范性n

代码安全性n

关键处理流程正确性n

后门、调试与逻辑，yycisa@263.net5.

代码审计n

代码审计工具n

规范性审计工具n

安全性审计工具n

全程

调试工具，yycisa@263.net5.

代码审计n

案例演示：n

利用审计工具发现某系统代码缺陷，yyc