CISA_IT审计实务培训2-审计实务.ppt

1、Feb, 2008,金融企业IT审计实务培训2. 实务、方法与工具,杨洋 （）,杨洋，,Feb, 2008,主讲人简介,杨洋 管理学博士（信息管理与信息安全方向，同济大学） 会计学学士、硕士（东北财经大学） 高级程序员（1998），CISA（2002）, SCJP，IBM电子商务咨询师，IBM WSAD Developer 目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术,杨洋，,Feb, 2008,1.文档复核 2. 面询与问卷设计 3. 比对技术 4. 业务观察与穿行测试 5. 渗透测试 6. 数据测试 7. 数据采集与分析,一、 常用审计方法概述,杨洋，,Feb

2、, 2008,理解目标背景 理解风险点与内控 理解系统目标与期望业务输出 理解系统架构 发现异常与违规,1.文档复核,杨洋，,Feb, 2008,2.面询与问卷设计,面谈准备： 背景研究 确定对象 内容、时间和地点 面谈实施： 时间控制 气氛把握 记录方式 确认 后续分析,杨洋，,Feb, 2008,2.面询与问卷设计,问卷调查 问题设计 目的性 问卷对象：专业性与客观性 答案的明确性 如何避免答案失真,杨洋，,Feb, 2008,3.比对技术,源代码比对 目标代码比对 特征值比对,杨洋，,Feb, 2008,4.业务观察与穿行测试,实际岗位分工与制度是否一致 穿行测试（walkthrough

3、）：实际流程是否一致 安全意识 汇报路线：权责是否一致,杨洋，,Feb, 2008,模拟攻击行为，发现漏洞 关键： 实施风险分析 全面备份与恢复计划 委托专业机构,5.渗透测试,杨洋，,Feb, 2008,6. 数据测试,测试 选择重要模块 数据设计 覆盖各种情况：数据类型、编码违规、违反逻辑条件、数据文件不一致 来源：实际业务数据、用户测试数据、审计师测试数据、自动生成数据 一般方式： 黑盒 白盒,杨洋，,Feb, 2008,6. 数据测试,测试类型 ITF(生产环境中用测试用例） 输入标记 消除影响 平行模拟(SQL,EXCEL+VBA) 开发原型 新旧系统交接,杨洋，,Feb, 2008

4、,7. 数据采集与分析,直接获取系统数据，特别是业务输入与业务输出 分析性复核,杨洋，,Feb, 2008,7. 数据采集与分析,GAAT： ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL 工具的选择： 功能与易用性 使用习惯与方便获取,杨洋，,Feb, 2008,1. 对组织管理架构的审计 2. 对IT外包的审计 3. 对IT基础设施与环境的审计 4. 对备份和业务持续性的审计 5. 对开发和获取过程的审计 6. 对系统变更过程的审计,二、 一般控制审计实务,杨洋，,Feb, 2008,1. 对组织管理架构的审计,组织模式对系统风险的影响 分布式/集中式 IT治

5、理 岗位分工,杨洋，,Feb, 2008,IT岗位分权,杨洋，,Feb, 2008,1. 对组织管理架构的审计,关键风险和控制 参考材料：“IT组织管理架构审计要点” 案例讨论： 案例1：大连某企业工资核算系统 案例2：某企业雇员退出管理漏洞与案件,杨洋，,Feb, 2008,2. 对IT外包的审计,外包审计的主要关注点 核心竞争力 信息安全 系统可靠性 业务长期可持续性,杨洋，,Feb, 2008,2. 对IT外包的审计,关键风险和控制 参考材料：“IT外包审计要点” 案例讨论： 案例1：某通信服务企业充值卡案件 案例2：澳大利亚政府部门IT外包综合审计,杨洋，,Feb, 2008,3. 对

6、IT基础设施与环境的审计,审计范畴 硬件环境与防灾 主机硬件安全 底层支撑系统安全 通信线路安全 数据存储/IO安全 物理访问控制 ,杨洋，,Feb, 2008,3. 对IT基础设施与环境的审计,审计依据 GB计算站相关标准 ISO17799/BS7799 GB建筑、防雷等相关标准,杨洋，,Feb, 2008,3. 对IT基础设施与环境的审计,关键风险与控制 参考材料：“IT基础设施审计要点” 案例讨论： 案例1：打印共享设备物理访问安全 案例2：某跨国企业信息系统渗透测试过程与结果,杨洋，,Feb, 2008,4. 对备份和业务持续性的审计,关键风险与控制 参考材料：“BCP审计要点” 案例

7、讨论 某企业灾难恢复计划审计过程与结论,杨洋，,Feb, 2008,5. 对开发和获取过程的审计,基本概念回顾 软件工程方法论 关键风险与控制 参考材料：“开发与获取过程审计要点”,杨洋，,Feb, 2008,5. 对开发和获取过程的审计,开发过程中的质量和安全控制 进度与成本控制 案例讨论：某局信息系统开发采购计划,杨洋，,Feb, 2008,5. 对开发和获取过程的审计,技术先进性与系统获取 某区教育系统数据中心采购案例 全局性考虑 委托开发中的知识产权问题,杨洋，,Feb, 2008,6. 对系统变更过程的审计,系统变更对金融企业的作用 系统变更管理的一般流程,杨洋，,Feb, 2008

8、,6. 对系统变更过程的审计,关键风险与控制 参考材料：“系统变更审计要点” 案例讨论： 中国银联系统宕机事件,杨洋，,Feb, 2008,1. 网络安全审计概述 2. 渗透测试技术与工具 3. 控制与审计要点 4. 当前热点：无线接入与数据库保护,三、 网络安全审计实务,杨洋，,Feb, 2008,1. 网络安全审计概述,审计目标与范围 审计方法 了解与分析 配置检查 日志复核 漏洞扫描 渗透测试,杨洋，,Feb, 2008,2. 渗透测试技术与工具,第一步：信息搜集与背景调查 工具： google 论坛 邮件 冒名电话 Social Engineering ,杨洋，,Feb, 2008,2

9、. 渗透测试技术与工具,第二步：扫描 Whois查询 端口扫描 NMap工具 扫描监测,杨洋，,Feb, 2008,2. 渗透测试技术与工具,第三步：漏洞利用 再看缓冲区溢出 缓冲区溢出原理与发现 演示案例：缓冲区溢出程序示例,杨洋，,Feb, 2008,2. 渗透测试技术与工具,第三步：漏洞利用 PASSWORD= A OR B=B SQL注入 SQL注入原理 演示案例：SQL注入提权攻击 防范工具,杨洋，,Feb, 2008,2. 渗透测试技术与工具,第三步：漏洞利用 网络设备漏洞 路由器漏洞与发现 交换机漏洞与发现 案例分析,杨洋，,Feb, 2008,2. 渗透测试技术与工具,第三步：

10、漏洞利用 会话劫持 会话劫持原理 工具与案例分析 会话劫持的防范,杨洋，,Feb, 2008,2. 渗透测试技术与工具,第三步：漏洞利用 数据库漏洞 Oracle漏洞与利用 数据库漏洞扫描工具 Imperva Scuba 案例分析,杨洋，,Feb, 2008,2. 渗透测试技术与工具,第四步：植留后门 木马原理 实例分析 后门的检测,杨洋，,Feb, 2008,2. 渗透测试技术与工具,第五步：隐蔽连接 隧道原理 工具： Httptunnel,杨洋，,Feb, 2008,2. 渗透测试技术与工具,集成测试工具介绍 Metasploit Immunity CANVAS,杨洋，,Feb, 2008

11、,3. 控制与审计要点,一般审计要点 参考材料：“网络安全审计要点” 互联网服务控制与审计要点,杨洋，,Feb, 2008,3. 控制与审计要点,演示案例： 某政府内网渗透过程模拟 案例讨论： 某跨国企业核心系统渗透攻击案例 某连锁企业信用卡资料渗透攻击案例,杨洋，,Feb, 2008,4. 当前热点,无线网络技术 无线接入引发的安全风险 基于无线接入的最新攻击技术 无线网络渗透攻击过程与工具 案例讨论： 某企业无线网络安全审计过程与结论,杨洋，,Feb, 2008,4. 当前热点,数据库防护 数据库是信息系统核心 信息安全首先是数据库安全,杨洋，,Feb, 2008,四、 应用控制审计实务,

12、1. 应用控制审计概述 2. 输入输出控制审计 3. 系统性能与可靠性审计 4. 数据审计 5. 代码审计 6. ERP系统审计 7. 综合案例,杨洋，,Feb, 2008,1. 应用控制审计概述,特点与目的 直接针对业务系统 发现系统风险及其对业务的直接影响 证据来源 用户反馈 用例测试结果 实际业务数据 代码分析,杨洋，,Feb, 2008,1. 应用控制审计概述,系统理解 关键文档与内容 文档缺失的处理 高风险领域的确定：变化频繁、多系统协同 确定取证方式与范围,杨洋，,Feb, 2008,2. 输入输出控制审计,输入控制审计要点 CONTROL TOTALS 多点录入 终端访问控制 S

13、ession窗口控制 输出控制审计要点 访问控制 缓冲区安全 派发路径安全,杨洋，,Feb, 2008,3. 系统性能与可靠性审计,瓶颈分析 网络 计算能力 存储 集群、镜像与热站 未来可伸缩性 压力测试,杨洋，,Feb, 2008,4. 数据审计,原则： 无损、保密、透明 全面、相关 采集方法 数据接口与转换工具 文件转换工具 自制转换程序,杨洋，,Feb, 2008,4. 数据审计,分析方法： “多维”数据分析技术 案例演示： 某商业银行信贷数据采集与分析,杨洋，,Feb, 2008,5. 代码审计,涵义： 代码规范性 代码安全性 关键处理流程正确性 后门、调试与逻辑炸弹,杨洋，,Feb, 2008,5. 代码审计,代码审计工具 规范性审计工具 安全性审计工具 全程跟踪调试工具,杨洋，,Feb, 2008,5. 代码审计,案例演示： 利用审计工具发现某系统代码缺陷,杨洋，,Feb, 2008,6. ERP系统审计,ERP系统审计的特殊性 体系复杂 审计方法成熟 提供丰富的审计工具 示例：Oracle审计要点 参考材料：“Oracle审计要点”,杨洋，,Feb, 2008,7. 综合案例,应用控制审计案例讨论： 审计计划的确定 审计过程与发现 审计报告与披露,杨洋，,Feb, 2008,五、 持续在线审计技术,特点 传统定期审计 与实时监测区别：互相独立 IT审计师在系统开发早