信息安全審計報告精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全審計報告主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全審計報告范文
目前,給企業造成的嚴重攻擊中70%是來自于組織中的內部人員,只要攻擊者發現了業務系統的漏洞,往往業務系統網絡就會被攻破。而隨著攻擊手段的演變,傳統方式對保障業務系統的安全越來越力不從心。因此,針對業務系統的信息安全治理成為業務安全防護的重點。
但是,決策部門如何尋找治理業務系統的決策依據呢?決策部門如何定奪治理業務系統的先后順序、重要緊急程度呢?決策部門如何尋找制定內部合規性的依據呢?針對信息系統的審計報告就承載著這些重要的職能!審計報告正是業務審計系統價值的具體體現,它起到為制定決策提供重要依據的作用。
針對業務的審計需要報告的細粒度
從用戶需求角度看,需要報告細粒,度事實上,一項針對業務系統的審計產品的評價手段有很多。理論上講,有從審計精度入手做評價的,也有從審計行為的廣度入手做評價的。但無論怎樣,我們認為用審計行為的結果――報告來評價是比較科學的。以銀行的業務為例,銀行的業務主要有銀行傳統業務、銀行中間業務、電子銀行業務三大類業務。第一類業務是銀行傳統業務,主要包括會計業務,即主要受理對公業務、面向工商客戶、以轉賬業務為主(比如各種票證)等; 出納業務,包括受理現金業務等; 對私業務(儲蓄) 業務以及授信(信貸)業務等,包括工商客戶和個人客戶貸款的發放和收回,逾期、呆賬、呆滯賬務的處理和追溯等。第二類是銀行的中間業務,包括代收電信公司的各類費用; 代付企業的工資、基金購買、銀行承兌等; 第三類是電子銀行業務,主要包括網上銀行、電話銀行等。他們都是將銀行作為資金結算的中心,作為電子商務中資金流的一方。所有的這些業務都有大量的后臺IT信息系統作為支撐,需要有強有力的審計報告進行業務審計。
再比如,能源行業主要的業務系統包括: 綜合管理信息系統、辦公自動化系統、電力營銷管理系統、生產監控管理信息系統、資產管理系統、電力地理信息系統、企業資源計劃管理系統等。同樣,這些業務的IT系統十分復雜和重要。為此,用戶存在著對這些業務系統審計的需求。如果一項針對業務的審計系統能夠對這些業務有充分的理解,并且通過對這些業務的理解,能以科學合理的方式呈現到審計行為的結果――報告當中來,我們才有理由相信,針對業務的審計系統是“值得信賴”的,這樣的報告才能達到管理業務的目的,這個審計系統在紛繁復雜的業務系統才算發揮了審計的作用。
從技術角度看,需要報告細粒度
業務網絡審計系統是基于應用層內容識別技術衍生出的一種強化IT風險管理的應用模式,它需要對應用層的協議、網絡行為等信息進行解析、識別、判斷、紀錄和呈現,以達到監控違規網絡行為、降低IT操作風險的目的。顯然,一個針對業務系統的審計必須承擔鑒證、保護和證明三個方面的作用。從技術角度看,審計系統需要審計的信息量大,采集的數據量多,比如對基本網絡應用協議審計,如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、TNS、DB2、INFORMIX等進行詳細的實時監控、審計,并可以對操作過程進行回放,對各類如Oracle、DB2、Sybase、Informix、MS SQL Server等數據庫操作也需要審計; 同時,對一些OA操作進行審計。在這些龐雜的信息量下,如果系統呈現的信息缺失、失真或錯誤,往往會給用戶輕則帶來決策失誤,重則帶來安全事件無法追究的窘境。由于報告成為了取證、追查、建立制度的重要依據,報告應該越細越好。
從審計政策角度看,需要報告細粒度
隨著中國國際化程度的日益提高,國內許多規范正在朝著國際化方向發展。以SOX法案為例,在美上市的中資企業如中國移動集團公司及其下屬分公司等,就面臨著該法案的合規性要求; 而商業銀行同樣也面臨Basel協議的合規性要求; 政府的行政事業單位或者國有企業則有遵循等級保護的合規性要求,等等。實際上,從2001年起,政府、電信業、金融業、大企業等都已經先后制定了相關的法律法規,比如: 國家《計算機信息系統安全保護等級劃分準則》、《商業銀行內部控制指引 》、《中國移動集團內控手冊》、《中國電信股份公司內部控制手冊》、《中國網通集團內部控制體系建設指導意見》、《銀行業金融機構信息系統風險管理指引》、《商業銀行合規風險管理指引、《保險公司內部審計指引(試行)》、《保險公司風險管理指引(試行)》、《深圳證券交易所上市公司內部控制指引 》、《上海證券交易所上市公司內部控制指引 》等。這些文件的出臺,是IT合規性建設的必然發展趨勢,讓面向業務的審計系統也不得不向“合規性要求”方向發展,這些也促成了報告在審計系統中扮演著越來越重要的角色。
如何實現
報告細粒度
好的網絡安全審計系統應該可通過對被授權人員和系統的網絡行為進行解析、記錄、匯報,可幫助用戶事前規劃預防、事中實時監控、對違規行為響應、事后做合規報告、事故追蹤回放,加強內外部網絡行為監管、避免核心資產(數據庫、服務器、網絡設備等)損失、保障業務系統的正常運營。
此外,一套完善的審計報告查詢、輸出機制――數據分析模塊必不可少,應該滿足對審計日志查詢、審計事件統計分析、審計報告輸出等各種應用的不同使用要求。日志分析與審計報表組件能夠對審計事件、會話日志、流量、用戶操作日志、SOX報表等5類審計事件進行統計和查詢,圍繞審計策略設定審計輸出報告,使得審計工作人員能迅速精確地獲得自己所關注的審計事件信息,將管理人員從繁雜、枯燥的IT內審中解放出來,最大程度上降低IT內審工作的工作量。
以金融機構為例,在銀行系統中經常需要對一個應用系統(如存貸系統)業務操作發生的事件進行后臺數據調整。這時,為了保證調整過程可以被審計記錄以及事后審核,就引發了部署審計系統和數據分析模塊的需求。
第2篇:信息安全審計報告范文
一、信息系統安全性審計基本概述
20世紀60年代,由于計算機被應用于財務會計領域,從而產生了電子數據處理審計(EDP Auditing)。信息系統審計是在電子數據處理審計基礎上逐漸發展起來的。目前,信息系統審計的定義還在爭論當中,羅恩·韋伯(Ron Weber)在《信息系統控制與審計》一書中對信息系統審計概念做出了如下描述:“信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效實現、使組織的資源得到高效使用等方面做出判斷的過程。”這一概念包括了信息系統審計的目標、內容、過程、方法和結果,是對信息系統審計比較全面的概括。審計署印發的《信息系統審計指南》(以下簡稱《指南》)則定義為“國家審計機關依法對被審計單位信息系統的真實性、合法性、效益性和安全性進行檢查監督的活動”。
信息系統審計從具體內容講,包括信息系統的可信性目標審計、系統效益性目標審計和安全性目標審計。筆者認為,信息系統的不真實、不可信也是系統存在安全風險的體現,所以信息系統可信性目標審計和安全性目標審計可歸為維護信息系統安全而進行的信息系統審計,本文主要對該部分審計內容展開探討。
同志說過:信息安全是個大問題,必須把信息安全問題放到至關重要的位置上,認真加以考慮和解決。信息已成為社會發展的重要戰略資源,信息的獲取、處理和信息保障能力成為綜合國力的重要組成部分,信息安全事關國家安全,事關社會穩定。目前,我國的信息系統安全不容樂觀。全社會的信息安全意識不強,高端和基礎信息技術受控于國外,感染計算機病毒的比例逐年上升,網絡和信息系統的防護水平不高,信息安全管理和技術人才缺乏且流動性大,信息安全管理薄弱,數據不準確、不完整等情況突出。審計工作要發揮維護經濟社會健康發展的“免疫系統”功能,推動國家治理的完善,就應高度關注信息系統安全性問題,從數據、信息系統和系統內控等角度,揭示影響信息系統存在的安全隱患。
二、信息系統存在安全風險的主要體現
(一)信息系統的控制風險。
COSO(全國虛假財務報告委員會下屬的發起人委員會,“The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting”的縮寫)內部控制框架中提出信息系統控制分為一般控制和應用控制。一般控制,指信息系統總體控制,信息安全技術控制,信息安全管理控制;應用控制,指信息系統業務流程,數據輸入、處理和輸出的控制,信息共享和業務協同。簡單理解,信息系統控制包括對信息系統的控制和信息系統對業務的控制。《指南》中所稱的項目管理審計,不屬于信息系統安全性審計范疇,本文不做探討。目前,通過了解、描述和測試三個審計階段,采取資料審查、系統檢查、數據測試、數據驗證等審計方法,信息系統控制主要揭示的有以下方面風險:
一是物理環境控制風險。這類風險主要體現為未經授權的人或設備直接接觸到信息系統相關硬件設備,屬于傳統的安全領域。包括信息系統的相關硬件設備、設備所在機房等硬件環境是否為符合規范標準的物理場所,是否做到容災異地數據備份,是否在機房等所有必要區域內安裝監控和防盜設施,以及其它硬件相關要求。如對某大型國企信息所機房及辦公場所實地查看審計發現,該企業機房環境不符合國有企業計算機設備安全管理相關制度,機房入口安裝了防盜門,但未配備門禁系統,內部也未按機房相關規范標準設置有效的物理隔離裝置。
二是軟件環境控制風險。這類風險主要存在于軟件層面訪問控制、權限控制、操作控制等。體現在信息系統程序的無權限運行,數據輸入、輸出的不準確、不完整,未經允許或授權的訪問、泄漏、修改、刪除數據,系統完整性受到的破壞。如某大學使用的財務軟件權限設置,會計科科長、網絡管理員、數據庫管理員、系統管理員、記賬員等崗位由同一人擔任。同時,系統管理員在實施數據庫數據修改、會計人員崗位分工、權限設置等具體操作時,缺乏必要的審批和監督程序。權限高度集中,監控制約不力,財務信息系統存在安全隱患。此外,當業務流程涉及多個信息系統時,還體現為信息系統數據流不銜接、各系統整合不科學、不完善,業務數據在不同信息系統之間傳遞沒能做到真實、完整和準確等。如某省財政廳自行開發的預算編審系統、指標管理系統、國庫集中支付系統等財政核心業務系統都是單獨運行,各業務系統未實現有效整合,未能實現“形成以預算編制為源頭,以收支管理為過程、以預算及執行分析為回路接點的財政業務管理流程通暢、操作規范的信息化處理閉環”的“金財工程”系統設計要求。
三是制度控制風險。這類風險主要存在于制度層面,體現在保證信息系統軟件、硬件良好運行相關制度規范不健全。如某大型國企未制定信息安全教育及技能培訓和考核管理辦法;某省財政廳委托軟件公司開發的信息系統“數據字典”不完整,并且軟件開發公司技術人員大量流失,未建立信息系統軟件開發文檔等基礎資料,信息系統中部分功能已經無法進行升級、維護。這些都是制度層面不完善給信息系統帶來的安全隱患。
(二)系統設計完整性風險。
這種風險主要體現在信息系統功能設計缺陷,信息系統不能保證真實、完整、準確地反映業務情況。如對某市新型農村合作醫療(以下簡稱“新農合”)信息系統的軟件設計審計發現,雖然該信息系統軟件基本具備國家規范要求的八個基本功能模塊,但參合管理模塊對不規范、錯誤、重復錄入參合人員信息的情況缺乏差錯、重復數據提醒功能,導致系統內大量不準確、不真實參合人員數據存在,影響各級財政以此數據撥付至縣級新農合的補貼款的準確性。
(三)系統外包服務安全風險。
這種風險主要體現在信息系統開發維護等相關服務外包過程中,由于相應的控制機制不健全,導致信息系統數據存在安全風險。如對某市新農合信息系統審計,發現該市新農合應用軟件主要由某軟件工程有限公司以軟件免費、服務有償的方式提供。延伸該軟件公司發現,該公司人員在系統維護中可不受權限限制,遠程登錄并操作由其提供技術服務的新農合信息系統服務器,系統數據存在未經授權就被修改或刪除風險。
(四)網絡和信息傳輸風險。
這種風險主要體現在傳輸信息數據的介質環境不符合相應規范標準,數據傳輸中存在出錯、被竊取、被篡改等隱患。如對某市新農合信息系統審計發現,管理單位從運營費用角度考慮,降低數據傳輸介質安全要求,選擇網絡運營商提供的普通線路,而不是價格較高的專線。普通線路是新農合數據與互聯網信息數據共同的傳輸介質,在虛擬專用網絡(VPN)、數字證書認證、電子簽名、電子印章等信息安全措施方面幾乎沒有投入,安全性差,在此環境下傳輸的新農合數據,在傳輸過程中存在較大安全隱患。
三、信息系統安全性審計存在的突出問題及應對策略
一是審計內容凌亂。目前所出具的信息系統審計報告內容有的以保證系統數據輸入、輸出的準確性為主,有些以信息系統物理環境控制的審計內容為主,有些以信息系統設計完整性的相關內容為主,有些則涉及了信息系統數據文檔健全、系統開發公司的技術力量、系統維護穩定性等多方面內容,等等,總之,如何保證信息系統安全,關注什么,重點揭示什么,建議什么,報告規范的寫法怎么還沒規范。
出現上述情況,這與我國信息系統審計的發展階段有關。信息系統審計還處于探索發展的階段,相應的信息系統審計法律依據還不充分,審計署出臺的《指南》內容龐雜,針對性不強,還沒有真正起到指導審計人員實務工作的效果。此外,信息系統審計人才隊伍還不能完全滿足審計需要,審計規范性要求還未成型,等等。
這就要求我們在信息系統數據安全審計的探索中,以一種科學的態度,不斷總結經驗,不斷積累,按照計劃、實施、報告三個階段實施信息系統審計,逐步形成信息系統數據安全審計操作規范。按照《指南》總的流程規范,有針對性地對不同的信息系統的特點,如按行政事業單位、企業等分類,明確不同系統必要的審計內容和常規的審計流程是什么,以什么標準進行。逐步將成熟、有效的信息系統審計方法,固化到現場審計實施系統當中或開發成標準的審計模塊,來規范信息系統審計。
二是審計數據分割。基于被審計單位信息系統數據安全考慮,審計人員一般不會在被審計單位原始信息系統中直接進行審計分析,而是將被審計單位信息系統部分數據提取后,導入SQL等其它數據庫分析軟件進行審計。有目的地提取數據庫并進行分析,可以提高工作效率,但脫離了被審計單位的網絡環境和系統平臺,部分數據則無法實現模擬流轉,一些在數據流轉中才能發現的舞弊行為則較難發現。如基于ERP(Enterprise Resource Planning企業資源計劃)管理理念所開發出的大型企業管理軟件,是按照有關規定、財務準則開發的,具有嚴謹的流程,購、產、銷、存相關程度很高。一些企業為了做假,會在ERP軟件中錄入虛假數據,導致賬實不符。企業為了讓虛假數據通過軟件驗證功能,會人為打斷ERP軟件一些業務流程設計。如果審計人員對個別數據庫進行分析,舞弊行為一般較難發現。但如果在模擬業務平臺中按流程測試,執行到某一環節,軟件某一模塊缺乏或參數設置異常,則應作為審計重點。
這就要求面對較為復雜的信息系統,審計人員應當盡可能恢復被審計的信息系統環境,通過符合性測試和實質性測試審計方法,順著數據流檢驗信息系統的完整性,查找可能存在的舞弊行為。
三是對信息系統前瞻評價困難。審計實務中常常遇到某部門或單位投巨資開發的信息系統因不能滿足業務需要或者不符行業設計規范而停止使用,新舊信息系統間數據進行大量遷移,甚至原信息系統數據則無法再進行查詢、利用,這對信息數據安全也產生很大影響。而與之相對照,審計人員對信息系統功能和數據關注較多,對該信息系統發展前瞻性評價較少。
這就要求審計人員在充分熟悉被審計單位信息系統的基礎上,結合被審計單位業務特點、行業的信息系統開發設計規范要求,對被審計單位信息系統建設提出戰略性的發展建議。
四是整改困難。信息系統審計中發現的一些安全隱患,有些是可以讓被審計單位加強管理或以技術手段彌補漏洞的,但有些問題可能會影響到整個信息系統的架構,整改成本高,被審計單位接受難度大。加上審計目前還沒有對信息系統定性的規范,也沒有強制手段讓其對信息系統進行完善,這就使整改難度大。這就要求審計人員更加深入了解被審計的信息系統,提出針對性強、科學的整改建議,推動被審計單位以最小的成本進行審計整改。
第3篇:信息安全審計報告范文
電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統,它既是計算機網絡安全概念的一部分,但又和計算機網絡安全緊密相連,從一定意義上講,計算機網絡安全其實質即是電子數據安全。國際標準化組織(ISO)對計算機網絡安全的定義為:“計算機系統有保護計算機系統的硬件、軟件、數據不被偶然或故意地泄露、更改和破壞。”歐洲幾個國家共同提出的“信息技術安全評級準則”,從保密性、完整性和可用性來衡量計算機安全。對電子數據安全的衡量也可借鑒這三個方面的內容,保密性是指計算機系統能防止非法泄露電子數據;完整性是指計算機系統能防止非法修改和刪除電子數據;可用性是指計算機系統能防止非法獨占電子數據資源,當用戶需要使用計算機資源時能有資源可用。
二、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中,風險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容;邏輯安全涉及到訪問控制和電子數據完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新,電子數據安全問題就具有動態性。因為在今天無關緊要的地方,在明天就可能成為安全系統的隱患;相反,在今天出現問題的地方,在將來就可能已經解決。例如,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低,而客戶機端由于B0這樣的黑客程序存在,同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續幾個月在防火墻外試探系統漏洞而未被發覺,并最終攻入系統。另外,攻擊者通常會從不同的方面和角度,例如對物理設施或協議、服務等邏輯方式對系統進行試探,可能繞過系統設置的某些安全措施,尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識,從最底層的計算機物理技術到程序設計內核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數據安全的復雜性。
(四)電子數據安全的安全悖論
目前,在電子數據安全的實施中,通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發的安全保證和產品認證的安全保證。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全。首先由于安全的多元性和動態性,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”,即根據具體情況提出適度的安全目標并加以實現。
三、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后,有效地追查責任。電子數據安全審計過程的實現可分成三步:第一步,收集審計事件,產生審記記錄;第二步,根據記錄進行安全違反分析;第三步,采取處理措施。
電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間,與計算機信息系統內敏感的數據、資源、文本等安全有關的事件,可隨時記錄在日志文件中,便于發現、調查、分析及事后追查責任,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統,驗證處理和處理結果的驗證。
1.了解系統技術
審計人員通過查閱各種文件如程序表、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執行,控制能在該系統中起作用。該技術一般分為實際測試和性能測試,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準,可以選擇事務的樣板來仔細分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展,審計人員通過系統動作準備處理的事務。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數據。另外,還有綜合測試、事務標志、跟蹤和映射等方法。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后,來比較它們的結果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術,審計人員把重點放在數據上,而不是對數據的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據,監視意外事件);擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數據庫管理系統的查詢設施抽取用戶數據。
二是從數據中尋找什么?一旦抽取數據后,審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息);檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉換;文件系統完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統、報警閥值的設置與選擇;審計日態記錄及其數據的安全保護等。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用;判斷程序和數據是否完整;依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作;但根據需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時,或在威脅安全的重要操作進行時,及時向安檢員發出告警信息,以便迅速采取相應對策,避免損失擴大。審計記錄應包括以下信息:事件發生的時間和地點;引發事件的用戶;事件的類型;事件成功與否。
審計跟蹤的特點是:對被審計的系統是透明的;支持所有的應用;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等;可以對單個事件的記錄進行指定。
按照訪問控制類型,審計跟蹤描述一個特定的執行請求,然而,數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件,根據相應的審計條件,判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時,則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生,滿足逐出系統閥值,則將引起該事件的用戶逐出系統并記錄其內容。
常用的報警類型有:用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等。
第4篇:信息安全審計報告范文
【關鍵詞】電力監控系統 內網安全監視 閉環管控
1 引言
隨著電力監控系統安全防護工作和信息系統安全等級保護工作的深入開展,各級電力公司部署了大量監控系統安全防護設備(系統)。上述安全防護設備的運行和管理一直處于松散狀態,產生海量的運行數據及安全事件使管理人員疲于應對,無法做到對電力監控系統安全狀態的全面掌控,同時缺乏集中監控和統計分析手段,難以及時發現安全隱患。為解決安全防護設備缺乏有效集中監管的現狀,本文對電力監控系統內網安全監視閉關管控技術進行研究,實現了全省電力監控系統安防設備(系統)實時在線監控及量化管理。
本文根據閉環管理相關理論為基礎,結合電力監控系統內網安全事件的特點,在電力系統內率先提出了“監視分析管理解決總結”的安全事件閉環管控機制,有效地解決了內網安全事件分析結果不直觀、處理過程無監控、處理結果無歸檔等問題。該系統將安全事件按照七個基本程序進行管理,即事件發現、事件分析、事件處理、事件變更、事件管控、事件關閉、事件總結。七個環節環環緊扣,缺一不可。
為實現對安全事件的科學分類和有效管理,湖北省電力調控中心針對安全告警事件開展了深入研究,同時也借鑒了一些先進的理論和模型。
2 閉環管控系統
2.1 閉環管控相關理論及模型
2.1.1 PDCA循環
PDCA循環又名戴明環,是管理學中的一個通用模型[1]。最早由休哈特(Walter A. Shewhart)于1930年構想,后來被美國質量管理專家戴明(Edwards Deming)博士在1950年再度挖掘出來,并加以廣泛宣傳和運用于持續改善產品質量的過程中。它是全面質量管理所應遵循的科學程序,包括質量管理活動的全部過程,這個過程按照PDCA循環,不停頓地運轉。它不僅在質量管理體系中運用,也適用于一切循序漸進的管理工作,可以使管理工作能夠不斷創新發展,理順管理者的工作思路。在管理的過程中,注重檢查及反饋,以達到不斷改進策略,提升管理水平的目的[2]。PDCA循環,如圖1所示。
其中P (Plan) 計劃,包括方針和目標的確定,以及活動規劃的制定;D (Do) 執行,根據已知的信息,設計具體的方法、方案和計劃布局;再根據設計和布局,進行具體運作,實現計劃中的內容;C (Check) 檢查,總結執行計劃的結果,分清哪些對了,哪些錯了,明確效果,找出問題;A (Action) 處理,對檢查的結果進行處理,對成功的經驗加以肯定,并予以標準化;對于失敗的教訓也要總結,引起重視。對于沒有解決的問題,應提交給下一個PDCA循環中去解決。
2.1.2 IDEAL模型
IDEALSM是SEI推出的過程改進模型。該模型將過程改進分為五個階段來完成,形成一個螺旋推進、循環往復的改進策略。而且該模型還強調每個改進周期內的閉環機制,即:改進問題有被識別、具體的改進措施有被納入計劃,且被執行、被驗證和總結。IDEAL[3]模型結構,如圖2所示。
其中I代表Initiating(初始化),確定改進的目標并獲得改進的基礎結構;D代表Diagnosing(診斷),確定現狀與改進目標之間的差異;E代表Establishing(建設),計劃如何達成目標;A代表Acting(行動),根據計劃開展工作;L代表Learning(學習),從經驗中學習,以提高未來過程的效能。
上V理論及模型廣泛應用于各行各業,得到了充分的驗證,以及普遍的認可。本文提出的電力監控系統內網安全監視閉環管控系統充分繼承了PDCA循環和IDEAL模型的精髓,實現了從事件發現、事件分析、事件定位、事件處理、事件控制、事件提升的閉環管理。
2.2 閉環管控系統架構
電力監控系統內網安全監視閉環管控系統是集安全監視、安全分析、安全運維、安全執行、安全審計于一體的管理中心[4,5],其系統架構如圖3所示。
2.2.1 數據采集
數據采集是閉環管控的基礎,其實現了對電力專用安全防護設備(橫向物理隔離設備、縱向加密認證裝置)、防火墻、入侵監測系統(IDS/IPS)、防病毒系統,以及電力調度系統內部關鍵應用的數據采集。
其中,事件獲取是采用Syslog方式獲取各種安全防護設備的事件內容;事件過濾是將大量無需關注、不重要的安全事件過濾掉;事件歸并和聚合是對重復事件進行歸并,所有重復事件只記錄其第一次發生時間、最后一次發生時間和發生的次數;事件轉發是將初步處理后得到的安全事件提交分析引擎。
2.2.2 通信管理
通信管理是整個系統架構中的重要組成部分,主要實現對原始信息的監聽以及上下級協同告警信息的。
其中原始信息監聽主要通過標準的514端口對各類安全防護裝置(系統)的syslog告警信息進行監聽,為數據采集功能提供重要支撐;同時,閉環管理系統可以采用多級部署,利用信息加密隧道實現對于上下級事件的同步感知,使全網的安全防護及閉環管理工作形成有機的整體,避免安全防護工作出現短板導致安全事件的發生。
2.2.3 分析引擎
該系統實現了事件類型關聯、事件內容關聯、資產信息關聯,能夠通過特定算法從大量安全事件數據中挖掘當前的安全趨勢和規律[6,7]。關聯分析類型如下:
①基本關聯,根據事件的基本屬性信息關聯分析結果;
②攻擊關聯,根據安全設備發出的告警事件,結合目標資產的類型生成關聯分析結果;
③位置關聯,根據事件來源的位置或者目標資產的物理位置,生成關聯分析結果;
④角色關聯,根據事件相關用戶名結合事件基本屬性,生成關聯分析結果;
⑤因果關聯,根據事件類型結合事件行為結果,生成關聯分析結果。
2.2.4 閉環管控
該系統通過安全監視發現問題,通過事件統計分析問題,通過策略執行處理問題,通過權限管理和安全審計控制問題處理過程,通過知識管理總結問題,提升安全事件處理能力。
其中,安全監視主要是指內網安全監視平臺,主要實現對安全事件的采集、分析及告警;問題跟蹤是對安全事件進行管理,使安全事件管理的質量評定與工作績效相結合,提高維護人員的主動性;權限管理對事件處理的人員、權限、時限、內容及步驟進行嚴格控制,加強在操作過程中的安全防護,減少因非法操作和誤操作而帶來的系統性風險;執行管控是對解決問題過程進行全程監督和審計,形成事中、事后的審查機制,從而提高運維人員的自律性;知識管理是建立內網安全事件的專家知識庫,實現知識的統一搜集、整理、管理[8,9]。
2.3 閉環管控流程
電力監控系統內網安全監視閉環管控系統將安全事件的發現、分析、處理、控制、提升形成管理閉環,整個過程可分為7個階段,分別是“事件監視與告警”、“事件分析與診斷”、“事件處理”、“變更管理”、“配置管控”、“恢復與確認”、“總結與改進”[10,11]。如圖4所示。
第1階段-事件監視與報警。
值班人員通過內網安全監視應用對電力監控系統安全情況進行監視,及時發現安全事件,并通知相關人員進行處理。值班人員采用二種方式(即內網安全監視的事件告警和值班電話)集中發現和記錄內網安全事件,通過創建安全事件工單對事件進行集中流程化處理。
閉環管控系統會對收集上來的事件之間相關性采用過濾、合并、關聯的技術手段分析出有效的事件處理切入點,將多個相關事件合并生成一個流程工單處理解決,簡化值班人員處理安全事件流程,提高其工作效率。在生成事件工單后,值班人員將工單轉給相關系統管理員,由系統管理員對事件信息進行核實后進行進一步處理。
第2階段-事件分析與診斷。
系統管理員在分析事件的過程中可以與相關的運維人員一起協同分析,并由系統管理員根據事件緊急度、優先級、及影響范圍再次確定事件級別合理性。系統管理員可以使用內網安全監視閉環管控提供的事件分析工具,通過過濾、合并、匯總、分析等規則,采用圖形化分析手段,直觀解析事件關系,幫助運維人員理清思路、找到解決方法。在事件原因和解決思路明確后,系統管理員將事件工單指派給相應的運維人員處理。(如圖4)
第3階段-事件處理。
在運維人員明確解決方案后,將開展事件的處理工作。據事件具體情況進一步由二線、三線運維人員介入處理。
運維人員處理過程中,可以借助知識庫管理系統直接提供類似關聯事件處理經驗以供參考。如果處理事件不涉及到資產配置的變更,則直接處理并將處理完的結果提交值班人員確認;如果處理事件涉及到資產配置的變更時,則要提出變更申請,執行相關變更流程,完成變更后再提交處理結果由值班人員確認。
第4階段-變更管理。
在事件處理的過程中,如果涉及到資產配置的變更,則需要啟動變更管理流程。由運維人員提出變更方案,方案中包括涉及資產、變更內容、風險評估、應急預案、回退措施等子項,變更方案提交給系統管理員審批,經審批后指派相關運維人員進行處理,如果變更方案不通過則重新由運維人員提交新的變更方案。在系統管理員審核通過后,系統將自動關聯管控機策略,開啟相關資源的“操作通道”,授權相關運維人員完成配置變更操作。
第5階段-配置變更操作管控。
運維人員在獲得資產配置變更操作授權之后,將使用運維專用機對相關資產進行配置修改,同時系統管理員可以實時監視運維人員操作行為,并對不合規操作強制阻斷。在強制阻斷后,運維人員需要重新考慮變更方案,重新開始新的變更流程。對于運維人員操作全過程采用內容錄像方式保存,提高操作全程記錄審計能力。
運維專用機對資源帳號密a采用統一記錄與管理,運維人員無法獲取系統資源帳號及密碼,只有“系統管理員”根據具體事件工單涉及的相關設備進行“動態式”授權,后臺自動建立訪問控制策略后,運維人員才能操作和修改資源配置。這樣能夠有效的防止密碼外泄,加強相關人員操作訪問的權限、時限控制,減少因非法操作和誤操作而帶來的系統性風險。
第6階段-恢復與確認。
在運維人員事件處理完畢,系統恢復正常工作后,運維人員將事件工單提交給發現事件的值班人員,由值班人員對事件處理結果進行確認,采用檢查資源狀態、電話回訪等方式確認事件是否解決。同時,值班人員將進行事件處理的滿意度調查,由值班人員填寫事件處理滿意度調查結果和評價。
第7階段-總結與改進。
在事件恢復后,運維人員對處理內容、方法進行總結,系統自動將處理經驗生成事件處理報告并提交系統管理員,系統管理員對事件處理報告進行審核,對滿足經典經驗的知識進行標注,將經驗納入知識庫中。通過對搜集、整理的內網安全事件處理經驗進行專家評審,提高知識專業性,形成專家知識庫。
3 應用效果
本文提出的閉環管理模式進一步規范了事件管理的程序和標準,豐富和發展了適用于電力監控系統內網安全事件的管理方法,使安全管理工作邁上規范化、程序化的運行軌道。湖北省電力調控中心通過內網安全監視閉環管控系統的建設,使系統管理員可以跟蹤事件處理流程,能夠及時了解事件處理進度;另外,每周定期查看事件處理操作記錄,也可以審計處理操作的合規性。同時,通過建立健全良性的激勵約束機制,發揮系統管理人員在工作中的主觀能動性,促進了執行效果和執行效率的同步提升。以內網安全監視的閉環管控為例,2015年安全事件數量與去年相比下降較為明顯,湖北電網每日安全事件數量基本控制在10個以內。安全事件曲線,如圖5所示。
另外,系統管理員生成運維人員績效報告和事件全程審計報告。績效報告對運維人員績效進行統計,包括對事件請求量、事件解決量、事件解決率、事件平均解決時間、事件滿意度平均值、事件處理及時率等指標,通過統計分析對安全狀態、安全工作進行全面的評估分析,為進一步提高業務能力,進一步改進監視策略提供依據。事件全程審計報告記錄事件整個處理過程,對從事件發生、到流程處理、到操作過程、到解決完畢進行全程監督和審計,提高對問題在事中、事后的掌控力度。
4 結語
通過理論和實踐證明,電力監控系統內網安全監視閉環管控系統有助于電力監控系統安全防護體系由邊界防護向縱深防御發展,解決了電網調度系統對關鍵安全設備、服務器的日志集中采集和統一管理問題,實現了對安全設備的實時告警與運行狀態監測,為電網調度系統提供全面的安全基礎支撐,能夠及時掌握電力監控系統存在的安全隱患,采取有效措施阻止惡意攻擊行為,保障電網的內網運行安全。
參考文獻:
[1]宋華明,韓玉啟.PDCA模式下的一體化管理體系.南京理工大學[J],2002(2):10-12.
[2]陳建亞.現代通信網監控與管理[M].北京郵電大學出版社,2000.
[3]McFeeley Bob. IDEAL: A User's Guide for Software Process Improvement[M] Software Engineering Institute, CMU/SEI-96-HB-001, February 1996.
[4]胡炎,董名垂,n英鐸.電力工業信息安全的思考[J].電力系統自動化,2002(7):1-4.
[5]高雷,肖政,韋衛.安全關聯分析相關技術的研究.計算機應用,2002(7):1526-1528.
[6]劉雪飛,馬恒太,張秉權.NIDS報警信息關聯分析進展研究.計算機科學,2004,3(12):61-64.
[7]李亞琴.網絡安全事件關聯分析方法的研究與實現[D].華中科技大學,2006.
[8]王保義,張少敏.電力企業信息網絡系統的綜合安全策略[J].華北電力技術, 2003(4):19-22.
[9]劉康平,李增智.網絡告警序列中的頻繁情景規則挖掘算法閉[J].小型微型計算機系統,2003,24(5):891-894.
第5篇:信息安全審計報告范文
【關鍵詞】 信息系統審計 審計內容 審計方法
一、引言
相比于傳統審計,信息系統審計(Information System Auditing)是審計領域中的一個新概念。目前,關于信息系統審計,學術界和業界均無通用的定義。美國信息系統審計權威專家Ron.A.Weber提出:信息系統審計可定義為通過一定的技術手段收集、分析證據,以對計算機系統是否能夠保證資產安全、維護數據完整、實現組織目標以及高效利用資源進行評價的過程。日本通產情報協會作了如下定義:信息系統審計是指,為了信息系統的安全、可靠與有效,由獨立于審計對象的信息系統審計師以第三方的立場對以計算機為核心的信息系統進行綜合檢查和評價,并向信息系統審計對象的最高領導者提出問題與建議的一連串活動。國際信息系統審計和控制協會(ISACA)將其定義為:信息系統審計是一個獲取并評價證據,以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。
針對以上觀點,我們將其要點歸納如下:信息系統審計是審計師對以計算機為核心的信息系統,通過專業判斷和評價,合理保證信息系統安全、穩定、有效,并向信息系統的高層管理者及使用者提供問題解決方案,以達到改善經營和為組織增加價值目的的一個過程。
二、信息系統審計的發展與現狀
20世紀60年代,隨著計算機技術開始運用于企業的信息收集和整理中,會計信息處理逐漸無紙化,促使審計人員在執行傳統審計業務時,必須關注以電子數據為載體的電子數據處理審計(EDP Electronic Data Processing)。20世紀70年代中期至80年代,電子數據處理和管理系統等在企業中逐漸普及,同時,計算機犯罪和計算機系統失效的事件頻頻發生,使得信息系統審計日益得到重視并迅速發展。美國、日本先后成立了IT審計方面的協會組織,從事對IT審計規則的制定和實施指導。20世紀90年代,信息和信息系統已成為企業的重要資產,企業和社會對信息系統控制和審計的需求愈發強烈。發達國家的信息系統審計進入普及期,許多國家的審計機關、學者和組織對計算機環境下的信息系統審計進行了有益的探索。同時,東南亞各國也逐漸認識到信息系統審計的重要性,開始著手研究信息系統審計理論和實務。
目前,我國信息系統審計僅有十幾年的歷史,尚處于探索階段,既缺乏開展信息系統審計業務的人才隊伍,也沒有形成專業規范體系,所進行的一些計算機審計方面的探索和嘗試以及計算機審計軟件的開發和應用還大都停留在對被審計單位電子數據進行處理的階段。存在的主要問題有:信息系統審計觀念落后;信息系統審計相關的準則、標準和規范尚不完善;信息系統審計專業人才匱乏;信息系統審計軟件開發工作滯后。
1997年,廣州地鐵開始公司“信息化”建設。最初,廣州地鐵經營審計采用“繞過計算機審計”的方法,即對導出數據進行審計。審計過程中,其逐漸意識到了運用這種“黑箱原理”審計方法的風險。因此,2006年公司組建了專門的IT審計模塊,探索“如何利用計算機審計”和“通過計算機審計”。其后,廣州地鐵信息系統審計發展經歷了借力、助力和自立三個階段。
一是借力期:IT審計模塊成立初期,公司與外部顧問共同開展IT審計項目,通過外部專業人員向審計人員傳輸IT審計技能,同時制定《IT審計實施細則》,在人員技能儲備和制度上為IT審計模塊的發展奠定了基礎。二是助力期:審計人員參照審計手冊,利用從外部顧問處學習到的審計技能,逐步開展信息系統審計工作,將IT審計工作模式調整為以自身力量為主,外部咨詢服務為輔的模式。三是自立期:2009年,廣州地鐵IT審計已基本實現自主化,且IT審計模塊逐步走向成熟,同時其還建立了具有自身特色的信息系統審計框架。
目前,IT審計已經發展成為廣州地鐵內部審計的一根“支柱”,連同“內控審計”,作為基本的審計手段貫穿于各類專業審計工作中,支持審計體系的鞏固與發展。
三、信息系統審計內容
1、國內外關于信息系統審計內容的研究
開展信息系統審計首先要明確審計內容。國際信息系統審計協會規定,信息系統審計的主要內容包括信息系統程序審計、信息技術(IT)治理、系統生命周期管理、IT服務的交付與支持、信息資產的保護、災難恢復和業務連續性計劃。
近十幾年來,國內的學者和組織也對信息系統審計的內容進行了探索和研究。審計署在2012年頒布的《信息系統審計指南――計算機審計實務公告第34號》中明確提出了:信息系統審計包括對應用控制、一般控制和項目管理的審計。其中,應用控制包括信息系統業務流程,數據輸入、處理和輸出的控制,信息共享和業務協同;一般控制包括信息系統總體控制、信息安全技術控制、信息安全管理控制;項目管理包括信息系統建設的經濟性、信息系統建設管理、信息系統績效。
上述具有代表性的規定和研究成果對信息系統審計內容的劃分,均是以對信息系統邏輯結構的分析為基礎。全面分析信息系統的邏輯結構,可從信息系統的構成要素、信息系統生命周期和信息系統管理三個維度進行描述:從構成要素來看,信息系統由人員、應用(包括軟件平臺和應用系統)、所采用的技術、硬件設備、數據文件運行規則組成;信息系統生命周期可劃分為信息系統的規劃階段、開發階段、運行維護階段和更新階段;從信息系統管理的維度來看,對系統的管理與控制活動貫穿于信息系統生命周期的始終,主要是通過有效執行一系列健全有效的規章制度和管理規程來實現。
2、廣州地鐵信息系統審計實施框架
結合廣州地鐵信息化項目多、系統更新快、數據集成度高、系統控制與手工控制并重等特點,圍繞信息系統構成要素、信息系統生命周期和信息系統管理三個維度,廣州地鐵將信息系統審計的內容劃分為整體計算機控制審計、應用控制審計和系統建設效能評價三個方面。其中,整體計算機控制審計是對信息系統運行中的控制活動進行審計,目的是合理保證由信息系統支持的業務流程控制是可靠的、生成的數據和報告是可信的。應用系統控制審計是對業務流程中的自動化控制活動進行審計,以合理保證交易的有效性、經適當授權和記錄、完成的完整性、準確性和及時性。項目及系統績效審計是對信息化項目的過程及成果對企業和業務產生的效益進行審計,用來合理保證信息化項目的投資/產出比例符合建設的目標,以及信息系統對企業戰略起到的預期的支撐作用。圍繞上述三個方面,廣州地鐵內部審計確立了以下的實施框架。
(1)確立整體計算機控制安全、操作、變更的三個評價維度,圍繞“信息系統全生命周期”,明確整體計算機控制十個流程。廣州地鐵通過學習和借鑒國際信息系統技術管理和控制標準COBIT,建立起了一套自己的整體計算機控制審計框架。框架可按流程和控制類型兩種方式進行劃分,兩種劃分方式在本質上是一致的。在按流程劃分出的每個子流程中,信息系統審計人員需要從變更、安全、操作的角度去確認和評估具體的控制點;在按控制職能所作的劃分中,審計人員需要圍繞信息系統的策略與計劃、信息系統操作、與外部供應商關系、業務可持續計劃、應用系統開發、數據庫、軟件支持、網絡、硬件等十個子流程進行審計。
圍繞安全、變更、操作三個角度及十個子流程,廣州地鐵共梳理出有關整體計算機控制的41項審計內容,并針對每一項內容明確了控制目標和風險,建立起了一套完整的整體計算機控制矩陣。例如,信息系統策略和計劃子流程中,廣州地鐵明確了整體計算機控制的三大目標――信息系統戰略、規劃和預算應與實際業務和戰略目標保持一致,計算機處理環境應得到具有適當技能和經驗的人員的充分支持和保證,以及計算機處理環境中的人員應接受適當的培訓,審計人員在此基礎上針對各控制目標,識別并歸納出廣州地鐵現行的9個控制活動。在具體開展信息系統整體計算機控制審計時,信息系統審計人員根據審計項目的特點和要求,選擇需要評價的子流程,再對照子流程的控制活動進行評估及測試即可。
(2)從內部控制目標出發,將信息系統應用控制劃分為訪問控制、完整性控制及數據質量控制三大方面。廣州地鐵將信息系統的應用控制劃分為應用系統訪問控制、流程和系統完整性控制以及數據質量控制三大類,并針對各類控制分別設計了不同的審計內容。
一是應用系統授權訪問控制審計包括對系統的認證方式、授權機制、權限的分配管理以及不相容職責分離在系統中的實現情況的審計,目的在于保證經過允許的人才能訪問和操作系統。二是流程和系統完整性控制審計是對系統輸入、處理、輸出以及接口等各種系統運行規則的審計,用以保證所有經允許處理的數據均轉換到介質上并被處理,且處理的結果可通過適當的方式加以輸出,所有輸入、轉換、處理和輸出均在正常的時間內準確地進行。三是數據質量控制審計則是指對信息系統中的數據的完整性、規范性和有效性所進行的審計,旨在保證所有系統的輸出均反映為經批準的有效的經濟業務,所有經過系統的數據真實、有效,且能滿足企業各項業務的使用要求。
(3)圍繞“信息化項目”和“信息系統”,綜合評價信息化建設的效益。在開展整體計算機控制審計和應用控制審計的基礎上,廣州地鐵從企業經營和投資效益的視角出發,在信息系統審計中引入了3E審計的概念,嘗試對信息系統建設項目的成效、建成后系統的應用效能以及信息化對戰略的支撐效果進行審計。為了全面評價項目,廣州地鐵通常將對單個信息系統建設項目的合規性審計與項目效能審計結合在一起開展。
一是信息系統建設成效審計旨在通過對系統建設全過程的審計,促進信息系統的建設規范性,提高信息系統建設的質量。二是信息系統應用效能審計包括對業務需求的實現情況、建成功能的使用情況的審計分析,以及對系統應用對業務管理規范化、標準化和精細化提升作用的綜合評價,目的在于促進系統使用價值的最大化,減少系統建設的投資浪費。三是戰略支撐效果審計是從支持戰略實現的角度,評價信息系統的建設效益,保證信息化建設在符合業務管理要求的同時,符合公司戰略的需要,支持公司戰略的實現。
四、信息系統審計實施步驟
信息系統審計步驟(或流程),是審計工作從開始到結束的整個過程。信息系統審計流程一般可劃分為四個階段:計劃階段、實施階段、報告階段和后續階段。計劃階段是信息系統審計流程的起點,此階段的主要工作包括了解被審計系統的基本情況,初步評價被審計單位信息系統的內部控制和外部控制,識別重要性和編制審計計劃。實施階段是根據計劃階段確定的審計范圍、重點、步驟和方法進行有針對性的取證、評價,并形成審計結論的過程。實施階段是信息系統審計工作的核心,主要由符合性測試和實質性測試兩個部分構成。在報告階段,信息系統審計人員需運用專業判斷,整理、評價收集到的審計證據,以經過核實的審計證據為依據,形成審計意見,出具審計報告。審計報告的出具并不意味著信息系統審計工作的終結。根據國際信息系統審計標準,信息系統審計人員對于系統中發現的重大問題和漏洞,需要對被審計單位所采取的糾正措施及其效果進行后續審計。審計人員需要將后續審計納入計劃,并安排必要的人員和時間進行后續審計。
廣州地鐵IT審計模塊成立之初,即明確了IT審計“對公司的系統流程與控制、項目進行審計”和“提供有益于增加公司價值的咨詢服務”兩項核心職責,并圍繞公司戰略,以“風險導向”、“服務戰略”理念為指導,從信息系統審計戰略規劃和具體項目執行兩個層面分別制定信息系統審計的流程。
1、以公司戰略為導向,制定信息系統審計的戰略規劃
一直以來,廣州地鐵奉行“源于戰略、服務于戰略”的現代審計理念。這一理念主要體現在兩個方面:一是在制定內審工作計劃時,從公司戰略出發,制定各個內審業務及各專業審計模塊的戰略,并以業務戰略為指導,開展具體的審計工作;二是在開展審計項目的過程中,始終從保障公司戰略執行的角度去發現問題、評價問題,提出整改意見和落實整改。信息系統審計的戰略規劃來源于公司的戰略,以及以公司戰略指導制定的公司信息系統戰略規劃和內部審計業務戰略規劃;同時還須結合公司信息化現狀和IT審計模塊定位,明確廣州地鐵IT審計發展戰略目標。
2、通過風險評估,確定各信息系統風險等級,制定層次分明、重點突出的信息系統循環審計計劃
為利用有限的審計資源掌握公司主要信息系統的建設、運營情況,保障信息資源的有效利用,降低公司信息系統的整體風險,廣州地鐵建立了一套“根據信息系統風險評級制定差異化的審計策略”。
(1)梳理信息系統脈絡,全面掌握信息系統現狀。廣州地鐵結合信息系統規劃、建設和運營的情況及系統分類梳理出被審計信息系統清單,并從系統構成要素的角度收集系統相關的信息。這些信息包括系統名稱、功能模塊、采用產品等基本信息,以及項目的建設信息、系統的使用狀況和運維的基本情況。這些信息是風險評分的依據,也為后續開展具體審計工作時確定審計方案提供了指引。
(2)開展信息系統風險評級,制定風險導向型審計計劃。內審人員從通用風險、業務風險、項目風險、系統風險、數據風險和人員風險六大風險類別出發,全面識別信息系統各類構成要素中存在的風險;對信息系統進行風險評價,根據風險得分將信息系統按優先級分別劃分為高、中、低三類。結合公司IT審計資源的情況,對優先等級高的系統采用三年一審策略,中等級系統5―6年一個審計周期,風險等級低的系統則根據需要安排審計。在此審計策略的基礎上,再綜合考慮公司業務的十大風險、領導關注事項、上一年度內控評價結果和審計項目成果、公司新一年的工作重點、公司信息系統的變動情況,并制定出本年度的信息系統審計計劃。
3、以風險為導向,開展信息系統審計
在項目實施階段,審計人員必須從公司整體信息系統控制環境和被審計系統的狀況、流程與內部控制兩個方面進一步收集被審計系統的相關資料,了解和確認被審計單位已建立的內部控制措施,并對這些控制措施的設計是否達到控制目標進行評估。
(1)以“輪流循環+以點帶面”的方式開展整體計算機控制審計。公司的信息化業務采用統一集中管理的模式,整體計算機控制對各個系統具有一定的通用性。因此,在實務操作中,廣州地鐵采用“以點帶面”的策略,以單個信息系統整體計算機控制為切入點對整體計算機控制進行審計,評價整體信息系統的安全性;同時,考慮到信息系統在一定時間內相對穩定,因此在實施整體計算機控制審計時可采取輪流測試的方式,即每年從十個子流程中選取幾個進行測試,經過一定周期后,完成對整體計算機控制的全面審計。例如,在2011年開展的信息安全審計項目中,審計人員就圍繞信息安全這個審計主題,從十個子流程中選取了與信息安全直接相關的信息系統操作、信息系統安全、業務可持續計劃、應用系統開發與實施、數據庫開發與實施和系統軟件支持等六個流程進行審計。分步、循環開展整體計算機審計,在審計風險可控的情況下,大大節省了審計資源,也使得審計人員能夠更加深入地挖掘和分析整體計算機控制方面所存在問題以及問題的成因,提出更為切實可行、同時又符合公司信息化業務發展現狀和要求的整改措施。
(2)以風險為著眼點,確定應用控制審計重點。應用控制是各個信息系統內部所建立的控制機制,應用控制審計必須針對某個具體信息系統開展。在開展應用控制審計的過程中,審計人員應緊緊圍繞“風險”這個著眼點,通過對原有業務成熟度和系統建設過程中風險的評估,選擇不同的審計側重點開展應用控制審計。例如,在合同管理系統審計項目中,由于合同管理系統是全新開發的系統,審計人員經分析,判定系統在應用系統訪問控制方面的風險較高。而在進行控制評估和測試后,審計人員發現業務人員在創建系統權限設置機制時完全套用了公司辦公自動化系統的權限機制,而未針對合同業務流程中不同于公司組織架構下的角色設立相應的用戶組,導致系統無法實現合同經辦人與審批人職責的分離,存在重大的內控風險。
五、信息系統審計方法
在信息系統審計中,可因地制宜,綜合運用多種學科的技術方法,包括:傳統審計中內部控制測評的基本方法和審計取證的基本方法(包括審閱、核對、監盤、觀察、查詢、函證、計算、分析性復核);計算機科學的技術方法,如數據測試法、程序編碼審查法、受控處理法、受控再處理法、整體測試法、平行模擬法、程序比較法、漏洞掃描、入侵檢測、嵌入審計程序法等等;行為科學的技術方法,如運用組織發展的理論與方法、個體行為一般規律的理論和方法。這些方法與技術并不是孤立的,而是互相聯系的。
目前,廣州地鐵在信息系統審計中所運用的方法仍主要集中在傳統的內控審計方法和信息系統管理的技術方法兩個領域,具體包括詢問、觀察、文件復核、抽樣、重新執行、使用計算機輔助軟件等。在部分項目中,也采用了一些計算機科學的技術方法。受限于審計資源不足,廣州地鐵較少采用程序比較法、平行模擬法、程序編碼審查法等高成本的審計方法,而傾向于選用一些較為高效的測試方法。但這些高效方法的運用不能完全消除審計風險,這就需要審計人員根據自身的經驗盡量避免。
1、傳統審計方法的運用
廣州地鐵在開展信息系統審計過程中較多運用傳統審計的方法。例如,在對信息系統整體計算機控制進行審計時,通過對系統使用人員的訪談、調研和對系統各項操作的觀察,梳理出整體計算機控制相關的各種控制活動。在沒有測試環境的情況下對生產在用信息系統的人機交互界面和功能進行調查和確認時,審計人員大量運用了觀察的方法。在對固定資產信息系統模塊進行審計中,審計人員通過觀察物資采購人員、資產管理人員、會計核算人員在系統中的操作界面、系統實現效果以及業務操作流程來了解系統功能的構造。發現采購中的供應商信息在跨系統流程過程中丟失,導致財務系統和實物管理的MAXIMO系統的資產臺賬中均缺少供應商信息,致使日后采購同類物資時,采購人員無法獲取歷史采購信息作為參考,增加了市場調研成本。除內控矩陣和訪談、觀察等方法之外,編制流程圖、數據流圖和報表流圖也是信息系統審計經常使用的方法。
2、計算機科學技術方法的運用
計算機科學技術方法是信息系統審計特有的方法,來源于IT行業的信息技術的轉換應用,主要包括基于數據分析的方法和基于程序分析的方法,這些方法的綜合使用使得對信息系統的審計更加有效。具體方法的選用需視被審計系統的實際情況而定。在一個審計項目中,廣州地鐵審計人員經常將多種方法結合使用。例如,在票務收入系統審計項目中,審計人員首先采用數據測試法,使用正常及非正常的測試地鐵票搭乘地鐵,在系統中跟蹤測試票的處理情況,以驗證系統處理與控制功能是否均有效;在對系統中后期內部開發的車站單程票售賣功能進行審計時,審計人員采用了程序編碼審查法,對系統的源程序編碼進行審查,審查后發現單程票售賣金額統計報表在進行數據處理時省略了小數點后的尾數,導致報表金額存在偏差;在對票務系統的清分報表進行驗證時,審計人員又采用了平行模擬法,抽取系統中一段時間內的正式交易記錄,在系統外模擬系統的處理規則對交易記錄進行處理,并將處理結果與系統的報表數據進行核對,結果發現系統在數據傳遞和處理過程中,由于系統對于異常數據的審核過于嚴格,導致部分正常數據被當作垃圾數據丟進異常庫,給公司造成票務損失。
3、計算機輔助審計軟件的應用
計算機輔助審計軟件的應用是信息系統審計的一個顯著特點,也是審計人員準備階段需要重點關注的問題之一。目前,廣州地鐵對計算機輔助審計軟件的應用主要體現在以下兩個方面。
(1)對系統中數據的準確性、完整性和一致性的檢查。例如,在合同管理系統審計項目中,為核對系統接口程序的可靠性,審計人員利用審計輔助軟件快速完成了對合同系統和財務系統數據一致性的核對,迅速查找出兩個系統中不一致的數據。經過深入分析,審計人員發現由于財務核算人員在財務系統中復核合同支付數據時發現錯誤,將支付申請退回給合同系統再由合同經辦人重新填報時,合同系統未對已生成的支付信息進行更新,導致上述問題的出現。針對海量數據處理系統,數據驗證是審計的重點,計算機輔助軟件是“不可或缺”的審計工具。在地鐵票務收入保障審計項目中,審計人需要通過數據驗證的方式對業務處理的核心系統――自動售檢票(AFC)系統中的系統傳輸和處理機制進行驗證。為此,審計人員共設計了8大類29子類47個數據驗證主題。審計時,審計人員運用計算機輔助審計技術,在兩個月內完成了對AFC系統中10天總計超過3億條運營數據的驗證工作。
(2)利用計算機輔助軟件進行對比測試。即審計人員從信息系統中抽取某部門樣本數據,將樣本數據輸入到與計算機輔助軟件中進行處理,把審計軟件輸出的結果與業務系統產生的結果進行對比分析,以判定業務系統的可靠性與準確性。廣州地鐵在已開展的運營票務收入保障審計項目中大量地使用了此種方式。審計人員將各車站站務人員在票務系統中錄入的售票數據導入到計算機輔助軟件中,按照業務規則對數據進行處理,將處理結果和系統輸出的結果進行對比。經對比,審計人員發現票務系統在處理異常數據時過于嚴格,導致部分非異常數據被系統當作異常數據丟入異常庫中,給公司造成票務損失。
4、信息系統審計與業務內控審計相結合
企業管理流程信息化的過程中,會對原有的業務流程進行優化甚至重構。對原有手工流程的內控評價在信息化環境中可能不再適用。因此,廣州地鐵在信息系統審計中添加了對業務流程的內控評價――先對業務的內部控制情況進行評估,梳理并確定業務流程風險和關鍵控制點,再對照業務流程對系統的處理流程進行評價,確保信息系統審計評價的準確性。信息系統審計與業務內控審計相結合的方法還體現在對一個流程中未在信息系統實現的控制環節可以通過內控審計進行補充。實踐表明,信息系統審計與業務內控審計相結合的方法在很大程度上提高了審計的全面性。
由于信息技術自身的特點,例如電子數據的不可視性,加之被審計單位信息系統內部控制方面可能存在缺陷以及信息系統審計人員在專業技術和職業道德方面亦不完美,信息系統審計風險客觀存在。面對信息系統審計風險,需要審計人員通過深入調研,全面了解被審計系統的情況;需要培養專業人才,“以點帶面”提升團隊能力;結合企業發展情況,制定內部信息系統審計標準;利用審計軟件,降低抽樣風險,提高審計效率等多種措施,不斷降低審計過程中的檢查風險,提高審計質量。
【參考文獻】
[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 盧紅柱:計算機信息系統審計的探索之路[J].審計研究,2006(增刊).
[7] 王進波、常衛:信息系統審計的發展與現狀[J].財政監督,2008(4).
[8] 陳繼初:信息系統審計在我國的現狀及存在的問題[J].消費導刊,2008(12).
[9] 吳沁紅:信息系統審計內容分析[J].財會研究,2008(10).
[10] 胡曉明:信息系統審計理論體系的構建[J].中國注冊會計師,2006(6).
[11] 王艷、周劍:信息系統審計辨析[J].圖書情報工作,2004(48).
[12] 田佳林:信息系統審計簡述[J].財政監督,2008(4).
[13] 陳婉玲、楊文杰:COBIT及其在信息系統控制與審計中的應用[J].審計研究,2006(增刊).
[14] 趙靜:COBIT框架在IT審計中的應用[J].中國內部審計,2009(12).
[15] 張妍:信息系統審計方法研究[J].審計月刊,2010(11).
[16] 劉杰、羅繼榮:信息系統審計質量控制準則研究[J].財會通訊,2011(5).
[17] 王振武、張子瑾:信息系統審計理論結構框架研究[J].會計之友,2011(7).
第6篇:信息安全審計報告范文
論文摘要:隨著計算機的飛速發展以及網絡技術的普遍應用,隨著信息時代的來臨,信息作為一種重要的資源正得到了人們的重視與應用。因特網是一個發展非常活躍的領域,可能會受到黑客的非法攻擊,所以在任何情況下,對于各種事故,無意或有意的破壞,保護數據及其傳送、處理都是非常必要的。計劃如何保護你的局域網免受因特網攻擊帶來的危害時,首先要考慮的是防火墻。防火墻的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。本文介紹了防火墻技術的基本概念、系統結構、原理、構架、入侵檢測技術及VPN等相關問題。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章緒論
§1.1概述
隨著以Internet為代表的全球信息化浪潮的來臨,信息網絡技術的應用正日益廣泛,應用層次正在深入,應用領域也從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,其中以黨政系統、大中院校網絡系統、銀行系統、商業系統、管理部門、政府或軍事領域等為典型。伴隨網絡的普及,公共通信網絡傳輸中的數據安全問題日益成為關注的焦點。一方面,網絡化的信息系統提供了資源的共享性、用戶使用的方便性,通過分布式處理提高了系統效率和可靠性,并且還具備可擴充性。另一方面,也正是由于具有這些特點增加了網絡信息系統的不安全性。
開放性的網絡,導致網絡所面臨的破壞和攻擊可能是多方面的,例如:可能來自物理傳輸線路的攻擊,也可以對網絡通信協議和實現實施攻擊,可以是對軟件實施攻擊,也可以對硬件實施攻擊。國際性的網絡,意味著網絡的攻擊不僅僅來自本地網絡的用戶,也可以來自linternet上的任何一臺機器,也就是說,網絡安全所面臨的是一個國際化的挑戰。開放的、國際化的Internet的發展給政府機構、企事業單位的工作帶來了革命性的變革和開放,使得他們能夠利用Internet提高辦事效率、市場反應能力和競爭力。通過Internet,他們可以從異地取回重要數據,同時也面臨Internet開放所帶來的數據安全的挑戰與危險。如何保護企業的機密信息不受黑客和工業間諜的入侵,己成為政府機構、企事業單位信息化建設健康發展所要考慮的重要因素之一。廣泛分布的企業內部網絡由公共網絡互聯起來,這種互聯方式面臨多種安全威脅,極易受到外界的攻擊,導致對網絡的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。
雖然國內己有許多成熟的防火墻及其他相關安全產品,并且這些產品早已打入市場,但是對于安全產品來說,要想進入我軍部隊。我們必須自己掌握安全測試技術,使進入部隊的安全產品不出現問題,所以對網絡安全測試的研究非常重要,具有深遠的意義。
§1.2本文主要工作
了解防火墻的原理、架構、技術實現
了解防火墻的部署和使用配置
熟悉防火墻測試的相關標準
掌握防火墻產品的功能、性能、安全性和可用性的測試方法
掌握入侵檢測與VPN的概念及相關測試方法
第二章防火墻的原理、架構、技術實現
§2.1什么是防火墻?
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
§2.2防火墻的原理
隨著網絡規模的擴大和開放性的增強,網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測),但這幾乎是一種不切合實際的方法,因為對具有幾百個甚至上千個節點的網絡,它們可能運行著不同的操作系統,當發現了安全缺陷時,每個可能被影響的節點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall),防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備,作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障,它可以實施比較廣泛的安全策略來控制信息流,防止不可預料的潛在的入侵破壞.DMZ外網和內部局域網的防火墻系統。
§2.3防火墻的架構
防火墻產品的三代體系架構主要為:
第一代架構:主要是以單一cpu作為整個系統業務和管理的核心,cpu有x86、powerpc、mips等多類型,產品主要表現形式是pc機、工控機、pc-box或risc-box等;
第二代架構:以np或asic作為業務處理的主要核心,對一般安全業務進行加速,嵌入式cpu為管理核心,產品主要表現形式為box等;
第三代架構:iss(integratedsecuritysystem)集成安全體系架構,以高速安全處理芯片作為業務處理的主要核心,采用高性能cpu發揮多種安全業務的高層應用,產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備,容量大性能高,各單元及系統更為靈活。
§2.4防火墻的技術實現
從Windows軟件防火墻的誕生開始,這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭,不斷的進化與升級。從最早期的只能分析來源地址,端口號以及未經處理的報文原文的封包過濾防火墻,后來出現了能對不同的應用程序設置不同的訪問網絡權限的技術;近年來由ZoneAlarm等國外知名品牌牽頭,還開始流行了具有未知攻擊攔截能力的智能行為監控防火墻;最后,由于近來垃圾插件和流氓軟件的盛行,很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上,Windows軟件防火墻從開始的時候單純的一個截包丟包,堵截IP和端口的工具,發展到了今天功能強大的整體性的安全套件。
第三章防火墻的部署和使用配置
§3.1防火墻的部署
雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
實際上,作為當前防火墻產品的主流趨勢,大多數服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
----那么我們究竟應該在哪些地方部署防火墻呢?
----首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果公司內部網絡規模較大,并且設置有虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。
----安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內部網絡還是與外部公網的連接處,都應該安裝防火墻。
§3.2防火墻的使用配置
一、防火墻的配置規則:
沒有連接的狀態(沒有握手或握手不成功或非法的數據包),任何數據包無法穿過防火墻。(內部發起的連接可以回包。通過ACL開放的服務器允許外部發起連接)
inside可以訪問任何outside和dmz區域。
dmz可以訪問outside區域。
inside訪問dmz需要配合static(靜態地址轉換)。
outside訪問dmz需要配合acl(訪問控制列表)。
二、防火墻設備的設置步驟:
1、確定設置防火墻的部署模式;
2、設置防火墻設備的IP地址信息(接口地址或管理地址(設置在VLAN1上));
3、設置防火墻設備的路由信息;
4、確定經過防火墻設備的IP地址信息(基于策略的源、目標地址);
5、確定網絡應用(如FTP、EMAIL等應用);
6、配置訪問控制策略。
第四章防火墻測試的相關標準
防火墻作為信息安全產品的一種,它的產生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率,更是為了保證國家信息的安全。依照中華人民共和國國家標準GB/T18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網絡服務器的安全技術要求》以及多款防火墻隨機提供的說明文檔,中國軟件評測中心軟件產品測試部根據有關方面的標準和不同防火墻的特點整理出以下軟件防火墻的測試標準:
4.1規則配置方面
要使防火墻軟件更好的服務于用戶,除了其默認的安全規則外,還需要用戶在使用過程中不斷的完善其規則;而規則的設置是否靈活方便、實際效果是否理想等方面,也是判斷一款防火墻軟件整體安全性是否合格的重要標準。簡單快捷的規則配置過程讓防火墻軟件具備更好的親和力,一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應用程序、文件或注冊表鍵值實施單獨的規則添加等等,這將成為此款軟件防火墻規則配置的一個特色。
§4.2防御能力方面
對于防火墻防御能力的表現,由于偶然因素太多,因此無法從一個固定平等的測試環境中來得出結果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結果可能仍然有一定的出入,但大致可以做為一個性能參考。
§4.3主動防御提示方面
對于網絡訪問、系統進程訪問、程序運行等本機狀態發生改變時,防火墻軟件一般都會有主動防御提示出現。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應的操作選擇。
§4.4自定義安全級別方面
用戶是否可以參照已有安全級別的安全性描述來設置符合自身特殊需要的規則。防火墻可設置系統防火墻的安全等級、安全規則,以防止電腦被外界入侵。一般的防火墻共有四個級別:
高級:預設的防火墻安全等級,用戶可以上網,收發郵件;l
中級:預設的防火墻安全等級,用戶可以上網,收發郵件,網絡聊天,FTP、Telnet等;l
低級:預設的防火墻安全等級,只對已知的木馬進行攔截,對于其它的訪問,只是給于提示用戶及記錄;l
自定義:用戶可自定義防火墻的安全規則,可以根據需要自行進行配置。l
§4.5其他功能方面
這主要是從軟件的擴展功能表現、操作設置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網址、實施木馬掃描、阻止彈出廣告窗口、將未受保護的無線網絡“學習”為規則、惡意軟件檢測、個人隱私保護等豐富的功能項,是否可以滿足用戶各方面的需要。
§4.6資源占用方面
這方面的測試包括空閑時和瀏覽網頁時的CPU占用率、內存占有率以及屏蔽大量攻擊時的資源占用和相應速度。總的來是就是資源占用率越低越好,啟動的速度越快越好。
§4.7軟件安裝方面
這方面主要測試軟件的安裝使用是否需要重啟系統、安裝過程是不是方便、安裝完成后是否提示升級本地數據庫的信息等等。
§4.8軟件界面方面
軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善,相反地,簡化了用戶的操作設置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項,這方便用戶根據不同的安全級別啟動相應的防護
第五章防火墻的入侵檢測
§5.1什么是入侵檢測系統?
入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程,它不僅檢測來自外部的入侵行為,同時也檢測內部用戶的未授權活動。
入侵檢測系統(IDS)是從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認為是防火墻之后的第二道安全閘門,它作為一種積極主動的安全防護技術,從網絡安全立體縱深、多層次防御的角度出發,對防范網絡惡意攻擊及誤操作提供了主動的實時保護,從而能夠在網絡系統受到危害之前攔截和響應入侵
§5.2入侵檢測技術及發展
自1980年產生IDS概念以來,已經出現了基于主機和基于網絡的入侵檢測系統,出現了基于知識的模型識別、異常識別和協議分析等入侵檢測技術,并能夠對百兆、千兆甚至更高流量的網絡系統執行入侵檢測。
入侵檢測技術的發展已經歷了四個主要階段:
第一階段是以基于協議解碼和模式匹配為主的技術,其優點是對于已知的攻擊行為非常有效,各種已知的攻擊行為可以對號入座,誤報率低;缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測,漏報率高。
第二階段是以基于模式匹配+簡單協議分析+異常統計為主的技術,其優點是能夠分析處理一部分協議,可以進行重組;缺點是匹配效率較低,管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。
第三階段是以基于完全協議分析+模式匹配+異常統計為主的技術,其優點是誤報率、漏報率和濫報率較低,效率高,可管理性強,并在此基礎上實現了多級分布式的檢測管理;缺點是可視化程度不夠,防范及管理功能較弱。
第四階段是以基于安全管理+協議分析+模式匹配+異常統計為主的技術,其優點是入侵管理和多項技術協同工作,建立全局的主動保障體系,具有良好的可視化、可控性和可管理性。以該技術為核心,可構造一個積極的動態防御體系,即IMS——入侵管理系統。
新一代的入侵檢測系統應該是具有集成HIDS和NIDS的優點、部署方便、應用靈活、功能強大、并提供攻擊簽名、檢測、報告和事件關聯等配套服務功能的智能化系統§5.3入侵檢測技術分類
從技術上講,入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協議分析三類。而主要的入侵檢測方法有特征檢測法、概率統計分析法和專家知識庫系統。
(1)基于知識的模式識別
這種技術是通過事先定義好的模式數據庫實現的,其基本思想是:首先把各種可能的入侵活動均用某種模式表示出來,并建立模式數據庫,然后監視主體的一舉一動,當檢測到主體活動違反了事先定義的模式規則時,根據模式匹配原則判別是否發生了攻擊行為。
模式識別的關鍵是建立入侵模式的表示形式,同時,要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為,屬已知類型,對新類型的入侵是無能為力的,仍需改進。
(2)基于知識的異常識別
這種技術是通過事先建立正常行為檔案庫實現的,其基本思想是:首先把主體的各種正常活動用某種形式描述出來,并建立“正常活動檔案”,當某種活動與所描述的正常活動存在差異時,就認為是“入侵”行為,進而被檢測識別。
異常識別的關鍵是描述正常活動和構建正常活動檔案庫。
利用行為進行識別時,存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想,把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為,并具有簡單的學習功能。
以下是幾種基于知識的異常識別的檢測方法:
1)基于審計的攻擊檢測技術
這種檢測方法是通過對審計信息的綜合分析實現的,其基本思想是:根據用戶的歷史行為、先前的證據或模型,使用統計分析方法對用戶當前的行為進行檢測和判別,當發現可疑行為時,保持跟蹤并監視其行為,同時向系統安全員提交安全審計報告。
2)基于神經網絡的攻擊檢測技術
由于用戶的行為十分復雜,要準確匹配一個用戶的歷史行為和當前的行為是相當困難的,這也是基于審計攻擊檢測的主要弱點。
而基于神經網絡的攻擊檢測技術則是一個對基于傳統統計技術的攻擊檢測方法的改進方向,它能夠解決傳統的統計分析技術所面臨的若干問題,例如,建立確切的統計分布、實現方法的普遍性、降低算法實現的成本和系統優化等問題。
3)基于專家系統的攻擊檢測技術
所謂專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的,它根據專家經驗進行推理判斷得出結論。例如,當用戶連續三次登錄失敗時,可以把該用戶的第四次登錄視為攻擊行為。
4)基于模型推理的攻擊檢測技術
攻擊者在入侵一個系統時往往采用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行為特征的模型,根據這種模型所代表的攻擊意圖的行為特征,可以實時地檢測出惡意的攻擊企圖,盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了準確判斷,要為不同的入侵者和不同的系統建立特定的攻擊腳本。
使用基于知識的模式識別和基于知識的異常識別所得出的結論差異較大,甚至得出相反結論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫,它對已知攻擊可以詳細、準確地報告出攻擊類型,但對未知攻擊卻無能為力,而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結論的,它雖無法準確判斷出攻擊的手段,但可以發現更廣泛的、甚至未知的攻擊行為。
§5.4入侵檢測技術剖析
1)信號分析
對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
2)模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統已有模式數據庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
3)統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。例如,本來都默認用GUEST帳號登錄的,突然用ADMINI帳號登錄。這樣做的優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法,目前正處于研究熱點和迅速發展之中。
4)完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特咯伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,用于事后分析而不用于實時響應。盡管如此,完整性檢測方法還應該是網絡安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網絡系統進行全面地掃描檢查。
§5.5防火墻與入侵檢測的聯動
網絡安全是一個整體的動態的系統工程,不能靠幾個產品單獨工作來進行安全防范。理想情況下,整個系統的安全產品應該有一個響應協同,相互通信,協同工作。其中入侵檢測系統和防火墻之間的聯動就能更好的進行安全防護。圖8所示就是入侵檢測系統和防火墻之間的聯動,當入侵檢測系統檢測到入侵后,通過和防火墻通信,讓防火墻自動增加規則,以攔截相關的入侵行為,實現聯動聯防。
§5.6什么是VPN?
VPN的英文全稱是“VirtualPrivateNetwork”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或Windows2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
§5.7VPN的特點
1.安全保障雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。
2.服務質量保證(QoS)
VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網絡優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低,在流量高峰時引起網絡阻塞,使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略,可以按照優先級分實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
§5.8VPN防火墻
VPN防火墻就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網絡的世界里,要由VPN防火墻過濾的就是承載通信數據的通信包。
最簡單的VPN防火墻是以太網橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用。大多數VPN防火墻采用的技術和標準可謂五花八門。這些VPN防火墻的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟件模塊;有的干脆就是獨立的一套操作系統。還有一些應用型的VPN防火墻只對特定類型的網絡連接提供保護(比如SMTP或者HTTP協議等)。還有一些基于硬件的VPN防火墻產品其實應該歸入安全路由器一類。以上的產品都可以叫做VPN防火墻,因為他們的工作方式都是一樣的:分析出入VPN防火墻的數據包,決定放行還是把他們扔到一邊。
所有的VPN防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個VPN防火墻,VPN防火墻的一端有臺UNIX計算機,另一邊的網段則擺了臺PC客戶機。
當PC客戶機向UNIX計算機發起telnet請求時,PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發送。接下來,協議棧將這個TCP包“塞”到一個IP包里,然后通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里,這個IP包必須經過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機。
現在我們“命令”(用專業術語來說就是配制)VPN防火墻把所有發給UNIX計算機的數據包都給拒了,完成這項工作以后,比較好的VPN防火墻還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發,那么只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。
還有一種情況,你可以命令VPN防火墻專給那臺可憐的PC機找茬,別人的數據包都讓過就它不行。這正是VPN防火墻最基本的功能:根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了,由于黑客們可以采用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。
后記:
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統面臨的最主要挑戰有兩個:一個是虛警率太高,一個是檢測速度太慢。現有的入侵檢測系統還有其他技術上的致命弱點。因此,可以這樣說,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
但無論如何,入侵檢測不是對所有的入侵都能夠及時發現的,即使擁有當前最強大的入侵檢測系統,如果不及時修補網絡中的安全漏洞的話,安全也無從談起。
同樣入侵檢測技術也存在許多缺點,IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現在以下幾個方面:
1)利用加密技術欺騙IDS;
2)躲避IDS的安全策略;
3)快速發動進攻,使IDS無法反應;
4)發動大規模攻擊,使IDS判斷出錯;
5)直接破壞IDS;
6)智能攻擊技術,邊攻擊邊學習,變IDS為攻擊者的工具。
我認為在與防火墻技術結合中應該注意擴大檢測范圍和類別、加強自學習和自適應的能力方面發展。
參考文獻:
1..MarcusGoncalves著。宋書民,朱智強等譯。防火墻技術指南[M]。機械工業出版社
2.梅杰,許榕生。Internet防火墻技術新發展。微電腦世界.
