信息系统审计(南京审计学院)chap6

第六章信息安全控制与审计

在信息化环境下，由于信息更具有易传播、易扩散、易毁损的特点，信息资产比传统的实物资产更加脆弱，更容易受到损害，使组织在业务运作过程中面临大量的风险。因此信息安全问题正变得日益突出。

在信息化环境下，其风险主要来源于：组织管理、信息系统、信息基础设施等方面的固有薄弱环节，以及大量存在于组织内、外的各种威胁。

因此需要对敏感信息加以安全、妥善的保护，不仅要保证信息处理和传输过程是可靠的、有效的，而且要求重要的敏感信息是机密的、完整的和真实的。

为了达到信息化环境下信息安全的目标，组织必须采取一系列适当的信息安全控制和审计措施，以使信息避免一系列威胁，保障业务的连续性，最大限度地减少业务的损失，最大限度地获取投资回报。

第一节信息安全及管理

一、信息安全概述信息安全：是在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。（国际标准化组织(ISO)定义）信息安全一般包括：实体安全、运行安全、信息安全和管理安全

实体安全：是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施、过程。

运行安全：是指为保障系统功能的安全实现，提供一套安全措施（如风险分析、审计跟踪、备份与恢复、应急措施）来保护信息处理过程的安全。

另外，美国国家电信与信息系统安全委员会（NTISSC）认为，信息安全应包括六个方面：

通信安全、计算机安全、

符合瞬时电磁脉冲辐射标准、传输安全、物理安全、人员安全信息安全的内容包括：机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真实性（Authenticity）和有效性（Utility）。

信息安全：是指防止信息资源的非授权泄露、更改、破坏，或使信息被非法系统辨识、控制和否认。即确保信息的完整性、机密性、可用性和可控性。

管理安全：是指通过信息安全相关的法律法令和规章制度以及安全管理手段，确保系统安全生存和运营。

二、信息安全管理

根据木桶原理，一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。

信息安全管理标准：BS7799（ISO/IEC17799）国际信息安全管理标准体系作用：指导组织安全实践的信息安全管理标准

信息安全管理一般包括：

制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训，等

为了给组织建立起一张完备的信息安全“保护网”，来保证组织信息资产的安全与业务的连续性，应在以下十个领域建立管理控制措施：

1、安全方针策略；2、组织安全；3、资产分类与控制；4、人员安全；

5、物理与环境安全；6、通信与运营安全；7、访问控制；

8、系统开发与维护；9、业务持续性管理；10、符合法律法规要求。

第二节网络信息安全等级保护制度

在网络化环境下，必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。因此，有必要从技术和管理控制角度建立一套网络信息安全等级保护机制。

一、国外等级保护的发展

美国国防部早在80年代成立了所属的机构--国家计算机安全中心（NCSC）

1983年他们公布了可信计算机系统评估准则（TCSEC,俗称橘皮书）

NCSC于1987年出版了一系列有关可信计算机数据库、可信计算机网络等的指南等（俗称彩虹系列）。

从网络安全的角度出发，从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求。90年代西欧四国（英、法、荷、德）联合提出了信息技术安全评估标准（ITSEC）（又称欧洲白皮书），除了吸收TCSEC的成功经验外，首次提出了信息安全的保密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度上来认识。

根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。将计算机系统的可信程度划分为D、C1、C2、

B1、B2、B3和A1七个层次。

1991年1月美国联合其他国家宣布了制定通用安全评估准则（CC）的计划。1996年1月出版了1.0版。它的基础是欧洲的ITSEC。

CC标准吸收了TCSEC、加拿大的CTCPEC以及国际标准化组织ISO：SC27WG3的安全评估标准等各先进国家对现代信息系统信息安全的经验与知识。

二、我国的等级保护体系

1989年公安部开始设计起草法律和标准，从法律、管理和技术三个方面着手研究信息安全等级保护制度。

1999年9月13日由公安部组织制订的《计算机信息系统安全保护等级划分准则》国家标准由国家质量技术监督局审查通过并正式批准发布，已于2001年1月1日执行。《准则》的配套标准分两类：

一是《计算机信息系统安全保护等级划分准则应用指南》，它包括技术指南、建设指南和管理指南；

二是《计算机信息系统安全保护等级评估准则》，它包括安全操作系统、安全数据库、网关、防火墙、路由器和身份认证管理等。

《准则》将计算机安全保护划分为以下五个级别：

第一级：用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

涉及：自主访问控制、身份鉴别

第二级：系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，是所有的用户对自己行为的合法性负责。

涉及：自主访问控制、身份鉴别、客体重用、审计、数据完整性

第三级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。

涉及：自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性

第四级：结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

涉及：自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径

第五级：访问验证保护级。这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

涉及：自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复

需要实施安全等级保护的信息系统为：

党政系统(党委、政府)；金融系统(银行、保险、证券)；财税系统(财政、税务、工商)；经贸系统(商业贸易、海关)；电信系统(邮电、电信、广播、电视)；能源系统(电力、热力、燃气、煤炭、油料)；交通运输系统(航空、航天、铁路、公路、水运、海运)；供水系统(水利及水源供给)；社会应急服务系统(医疗、消防、紧急救援)；教育科研系统(教育、科研、尖端科技)；国防建设系统。

三、等级保护制度建设和等级划分细则国家实行计算机信息系统安全等级保护制度建设主要由以下几部分构成：

1、计算机信息系统安全等级保护标准体系；

2、计算机信息系统安全等级保护管理的行政法规体系；

3、信息系统安全等级保护所需的系统设备技术体系；

4、安全等级系统的建设和管理机制；

5、计算机信息系统安全监督管理体系。

第三节信息系统访问控制

在信息化环境下，为了保障信息系统的安全，必须做好信息系统的访问控制，以防范来自企业内、外部的风险。一、访问控制基本概念访问控制的主要任务：是保证网络资源不被非法使用和访问。它规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。与访问控制有关的基本概念：

主体（Subject）：是指主动的实体，是访问的发起者，它造成了信息的流动和系统状态的改变，通常包括人、进程和设备。客体（Object）：是指包含或接受信息的被动实体，客体在信息流动中的地位是被动的，是处于主体的作用之下，对客体的访问意味着对其中所包含信息的访问。通常包括文件、设备、信号量和网络节点等。

访问控制（accesscontrol）策略主要有：

1、自主访问控制（DiscretionaryAccessControl）；

2、强制访问控制（MandatoryAccessControl）；

3、基于角色的访问控制（RoleBasedAccessControl）。

访问许可（AccessPermissions）：决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。

二、访问控制的类型和手段安全控制包括六种类型：

1、防御型控制：用于阻止不良事件的发生；

2、侦测型控制：用于探测已经发生的不良事件；

3、矫正型控制：用于矫正已经发生的不良事件；

4、管理型控制：用于管理系统的开发、维护和使用，包括针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策；

5、技术型控制：用于为信息技术系统和应用提供自动保护的硬件和软件控制手段；

6、操作型控制：用于保护操作系统和应用的日常规程和机制。它们主要涉及在人们（相对于系统）使用和操作中使用的安全方法。

三种和控制有关的概念：补偿型控制、综合型控制和规避型控制

1、补偿型控制：用于在一个领域的控制能力较弱而在另一个领域控制能力较强，反之亦然。

2、综合型控制：使用两个或更多的控制来加强对功能、程序或操作的控制效果。

3、规避型控制：是对资源进行分割管理。目的是将两个实体彼此分开以保证实体的安全和可靠。

部分访问控制部分手段：物理类控制手段：防御型手段：文书备份；围墙和栅栏；保安；证件识别系统；加锁的门；双供电系统；生物识别型门禁系统；工作场所的选择；灭火系统

探测型手段：移动监测探头；烟感和温感探头；闭路监控；传感和报警系统

管理类控制手段：防御型手段：安全知识培训；职务分离；职员雇用手续；职员离职手续；监督管理；灾难恢复和应急计划；计算机使用的登记

探测型手段：安全评估和审计；性能评估；强制假期；背景调查；职务轮换

三、访问控制管理访问控制管理涉及：访问控制在系统中的部署、测试、监控以及对用户访问的终止。访问控制决定需要考虑：机构的策略、员工的职务描述、信息的敏感性、用户的职务需求（need-to-know）等因素。三种基本的访问管理模式：集中式、分布式和混合式

技术类控制手段：防御型手段：访问控制软件；防病毒软件；库代码控制系统；口令；智能卡；加密；拨号访问控制和回叫系统

探测型手段：日志审计；入侵探测系统

1、集中式管理：是由一个管理者设置访问控制。

特点：控制是比较严格；整个过程和执行标准的一致性比较容易达到；快速而大量修改访问权限时管理者的工作负担和压力大2、分布式管理：是把访问的控制权交给了文件的拥有者或创建者，通常是职能部门的管理者

特点：控制权赋予了信息的管理者；造成在执行访问控制的过程和标准上的不一致性；在任一时刻很难确定整个系统所有的用户的访问控制情况；不同管理者在实施访问控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求；有可能造成在员工调动和离职时访问权不能有效地清除。

3、混合式管理：是集中式管理和分布式管理的结合。特点：由集中式管理负责整个机构中基本的访问控制；由职能管理者就其所负责的资源对用户进行具体的访问控制；主要缺点是难以划分哪些访问控制应集中控制，哪些应在本地控制。

第四节信息系统逻辑访问风险与控制

不充分的逻辑访问控制增加了暴露风险可以带来的潜在损失，这些暴露风险会对组织产生负面作用，甚至造成整个信息系统的故障。

一、逻辑访问暴露风险

暴露风险包括：技术性暴露风险和计算机犯罪。它们都可以有意或无意地利用逻辑访问控制的漏洞，对信息系统造成损害。

1、技术性暴露风险：是指对网络、操作系统、数据库及应用系统四个层面的数据、软件进行非授权操作(如：创建、阅读、修改、运行、删除)。它包括：

2、计算机及网络犯罪

计算机及网络犯罪:针对计算机及网络系统，通过未经授权访问非法操作、窃取、修改、破坏等方式损害组织资产、系统等的违法违规行为。

主要对象：计算机或网络系统内的数据

造成威胁：财务损失、法律责任、信誉损失或竞争力丧失、勒索、恶意破坏，等

特洛伊木马(TrojanHorse／Backdoors)、去尾法(RoundingDown)

色粒米技术(SalamiTechnique)、计算机病毒(Virus)、计算机蠕虫(Worms)、逻辑炸弹(LogicBombs)、陷阱门(TrapDoors)、数据泄露(DataLeakage)、搭线窃听（Wire-tapping)、战争驾驶(WarDriving)、尾随法(Piggybacking)、关闭计算机

(ComputerShutdown)、拒绝服务攻击(Denial-of-serviceAttack)

二、逻辑访问路径

进入系统的逻辑访问可以通过不同路径，每种路径均有适当的访问安全级别。在网络环境下，进入组织前端或后端系统的常规进入点与组织的网络与通讯基础设施相关，通过对系统进入点的管理可以控制对信息资源(应用系统、数据库、通用设施和网络)的访问。

常用的系统访问模式如下：

（一）

操作主控台：

主控台负责大部分计算机的运行及功能实现。

逻辑访问路径控制：

1、控制终端须放置于安全环境；

2、确保只有经授权才能进行使用操作；

（二）

在线终端设备：逻辑访问路径控制：

1、必须使用登录账号和个人密码，且进行权限认证；

2、附加使用安全控制软件弥补操作系统和应用系统安全的不足；

（三）

通信网络：终端设备或个人计算机通过通信网络、或无线方式与主计算机物理相连而获得访问能力。

逻辑访问路径控制：

1、通过域控制服务器进行用户身份的识别与验证；

2、对特殊的应用系统或数据的访问在特定的服务器上进行用户身份的识别与验证；

3、通过网络管理设备，如路由器、防火墙等。

（四）拨号连接：利用电话线拔号、远程终端设备或计算机进入信息系统。

逻辑访问路径控制：

1、通过调制解调器实现A/D和D/A转换访问路径的安全控制一般通过确认远程用户的个人账号和密码来实现，其确认方式可通过回拔控制(Callback)、安全管理软件或人为确认等方式来完成；

2、通过VPN方式通过适当授权进行远程访问。

三、逻辑访问控制软件为达到安全的目的，在信息系统架构的所有层面上都应当建立有效的访问控制措施。它涉及：网络层、操作系统层、数据库层、应用系统层

主要的控制措施有：用户身份的识别与验证、访问授权、对特定信息资源的检测、对用户访问行动的记录与报告。

实现途径：可以通过部署在不同层面上的访问控制软件提供一定程度的安全。

2、网络及操作系统访问控制软件一般访问控制功能包括：

对用户的身份识别与验证机制；限制特定用户在特定的时间登录到特定终端或工作站；对特定信息资源的访问建立规则；

1、逻辑访问控制软件的主要功能（1）对用户身份的验证；（2）授权使用预先定义的资源；（3）限制用户从特定终端设备访问数据；（4）报告未经授权访问数据及程序的企图。

创建个人行为的可确认性与可审计性；创建或修改用户梗概文件(描述用户的安全与使用特征)；在日志中记录事件；报告系统的能力。

3、数据库和应用系统层的访问控制软件

一般访问控制功能包括：

创建和修改数据文件和数据库页面文件；在应用系统层或事务层验证用户授权；在数据库字段级验证用户授权；在文件级验证子系统授权；用日志记录数据库或数据访问活动，以监测非法访问。

四、逻辑访问的控制技术——身份识别与验证是绝大多数类型的访问控制为建立用户责任的可确认性而采用的方法。是多数系统的第一道防线，是防止非授权用户(或进程)进入系统的技术措施。

身份识别与验证技术可以分为三类：

“只有你知道的事情(SomethingYouKnow)”：如密码；

“只有你拥有的东西(SomethingYouHave)”：如身份证、令牌卡；

“只有你具有的特征(SomethingYouAre)”：如指纹、声音。

身份识别与验证机制的弱点：身份验证方法较弱；用户可以利用系统弱点绕过验证机制；对系统中存储的身份验证信息缺乏有效的机密性与完整性保护机制；身份验证信息在网上传输时，缺乏有效的加密机制。

身份识别与验证的主要方法：

1、登录账号和口令(LogonIDsAndPasswords)；

2、令牌设备/一次性口令(TokenDevices，One-timePasswords)；

3、生物测定技术(Biometrics)；一般来说，具有最佳反应时间和最低平均错误率的生物测定类型为：手掌、手形、虹膜、视网膜、指纹和声音。

4、行为测定技术主要有：签名识别(SignatureRecognition)、声音识别(VoiceRecognition)

5、单点登录(SingleSign-On)

概念：是组织把多个操作系统平台和应用系统中的安全管理、身份识别与验证等功能集成到一个单一的安全管理过程中，以对组织中的安全操作进行集中化管理，并方便用户的使用。

五、社交工程问题社交工程就是利用人的薄弱点，通过欺骗手段而入侵计算机系统的一种攻击方法。

典型的社交工程攻击手段有：电话欺骗、垃圾搜寻(DumpsterDiving)、肩窥(ShoulderSurfing)等

防御社交工程最有效的办法：进行安全意识教育与培训

六、访问控制的授权问题授权就是决定什么人能访问什么资源。授权访问应当以“需要知道”和“需要做”为基础，并把授权内容正式记录在案，以便于在系统中执行及日后的检查审核。计算机访问有许多种级别控制，进行可访问授权时，应清楚某一级别的访问能做什么，不能做什么。

如：文件级的访问限制有下列限制：

读、查询或拷贝；写入、创建、修正或删除；可执行；以上所有功能。

以下是计算机资源的列表(包括文件、设施等)，用户通过网络、操作系统、数据库、应用系统对其进行访问时，一般需要采取逻辑访问控制措施对它们进行保护：数据；应用系统(测试阶段软件、生产现场软件)；Web应用(基于Internet或I