信息系统安全审计课件.ppt

1、1.1.信息系统安全概述信息系统安全概述2.2.安全审计安全审计l安全管理控制审计安全管理控制审计l安全技术控制审计安全技术控制审计3.3.某市医院管理信息系统审计案例某市医院管理信息系统审计案例信息资产与人力资源、财务资产和实物资产一样，都是组织的重要商业资产。随着组织对信息系统的依赖性越来越强，信息安全问题也变得日益严峻。据统计，信息安全问题大约60%以上是由管理方面原因造成的，信息安全是一个同时涉及安全技术与管理的综合难题。计算机安全：虽然计算机早在40年代中期就已面世，但20多年后才提出计算机在使用中存在计算机安全问题，此时的计算机安全主要是指实体安全及传输加密问题。 计算机系统安全：

2、七十年代末至八十年代，因各类计算机软硬件系统的发展而提出计算机系统安全。此时不仅指实体（物理）安全，也包括软件与信息内容的安全。 网络安全：在八十年代后期，尤其是九十年代因特网的发展，网络成了计算机应用的重要形式。网络安全一词被广泛采用，用以强调在整个网络环境的安全，不仅包括网络技术手段，还包括网络安全管理等方面。信息保障：其内涵包括安全保护、监控、反应、恢复，即强调计算机系统（包括网络）安全的系统状况，动态管理过程。我国的中华人民共和国计算机信息系统安全保护条例中指出：计算机信息系统安全保护是指：保障计算机及相关配套设施（含网络）安全，运行环境安全，信息安全，计算机功能正常发挥，以维护计算机

3、信息系统的安全运行。信息系统安全有五个基本属性，分别是可用性、可靠性、完整性、保密性和不可抵赖性。可用性（Availability） 得到授权的实体在需要时可访问资源和服务。可用性是指无论何时，只要用户需要，信息系统必须是可用的，也就是说信息系统不能拒绝服务。攻击者通常采用占用资源的手段阻碍授权者的工作，可以使用访问控制机制，阻止非授权用户进入网络，保证网络系统的可用性。增强可用性还包括如何有效地避免因各种灾害（战争、地震等）造成的系统失效。可靠性（Reliability） 可靠性是指系统在规定条件下和规定时间内、完成规定功能的概率。目前，系统可靠性研究基本上偏重于硬件可靠性方面。研制高可靠性

4、元器件设备，采取合理的冗余备份措施仍是最基本的可靠性对策，然而，有许多故障和事故，则与软件可靠性、人员可靠性和环境可靠性有关。完整性（Integrity） 信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。即信息的内容不能为未授权的第三方修改。信息在存储或传输时不被修改、破坏，不出现信息包的丢失、乱序等。保密性（Confidentiality） 保密性是指确保信息不暴露给未授权的实体或进程。即信息的内容不会被未授权的第三方所知。不可抵赖性（Non-Repudiation） 不可抵赖性是面向通信双方（人、实体或进程）信息真实同一的安全要求，它包括收、发双方均不可抵赖。一是源发证

5、明，使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞；二是交付证明，使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。总而言之，信息系统安全是有关人、计算机网络、物理环境的技术安全和管理安全的总和。其中，人包括各类用户、支持人员，以及技术管理和行政管理人员；计算机网络则指以计算机、网络互联设备、传输介质、信息内容及其操作系统、通信协议和应用程序所构成完整体系；物理环境则是系统稳定和可靠运行所需要的保障体系，包括建筑物、机房、动力保障等。信息系统安全审计是对被审计单位的信息系统安全控制体系进行全面审查与评价，确认其是否健全有效，从而确保信息系统安全运行。其目标在于审查安全控制

6、体系设计的有效性，以及安全控制措施执行的有效性，最终得出审计结论。信息系统安全审计分成两大内容域：安全管理控制审计、安全技术控制审计。安全管理控制审计主要内容包括：安全机构审计、安全制度审计和人力资源安全审计。安全技术控制审计主要内容包括：物理环境安全审计、网络安全审计、操作系统安全审计和数据库安全审计。安全审计两大内容域审计事项子类关键控制点安全管理控制审计安全机构安全管理组织机构（领导小组、部门与岗位）安全职责认知度安全制度信息安全管理制度信息安全风险评估政策信息安全事件处理响应人力资源安全安全意识与教育计划人员（录用、离职、考核）安全管理安全技术控制审计物理环境安全机房环境安全（防火、水

7、、温湿度等）物理安全（安全位置、物理访问）网络安全网络结构网络访问（各设备的账户口令授权）网络数据传输安全网络入侵与病毒防范安全网络安全日志操作系统安全用户标识与鉴别（账户、口令）操作系统授权认证（存取控制）操作系统日志操作系统服务安全（补丁、防病毒、文件共享等）数据库安全用户标识与鉴别（账户、口令）数据库授权认证（存取控制）数据库日志数据库服务安全（补丁、监听器访问、超时退出等）图1 信息系统安全审计-内容域安全管理控制审计有三个方面的审计子项： 安全机构审计 安全制度审计 人力资源安全审计常见的信息安全管理机构包括：信息安全领导小组（信息安全工作小组、应急小组），信息安全部门或岗位（如信息

8、安全部、信息安全委员会、CIO、安全管理员、系统管理员、网络管理员等）。安全机构审计的主要关注点如下：是否成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权；是否制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求是否设立信息安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；是否设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责。 安全机构审计可遵循如下程序：（1）查阅被审计单位信息安全工作领导小组的成立文件。审查是否有正式信息安全工作领导小组，是否由管理层正式委派，各责任主体的安全职责是否清晰明

9、确。（2）查阅被审计单位各层级信息安全管理工作职能部门和岗位职责文件。审查安全部门和岗位职责范围是否清晰明确；是否明确配备专职的安全管理员；审查关键岗位是否配有备份角色。（3）查阅被审计单位信息安全工作的执行记录文件。审查是否有日常安全管理工作执行情况的工作记录；是否切实开展了职责范围内的工作。（4）访谈某些内部员工以及外包IT人员，检查其对岗位信息安全职责认识。组织的信息安全制度是一个由信息安全方针、信息安全管理制度、信息系统管理操作规程共同构成的制度体系。安全制度审计主要有三个方面的内容：安全管理制度体系审计、安全风险评估政策审计和安全事件管理制度审计。这三个方面具体的审计关注点如下：安全

10、管理制度是否制定信息安全工作的总体方针，说明机构安全工作的总体目标、范围、原则和安全框架等；信息安全方针是否由管理层批准，并发布传达给内部员工和外包人员；是否建立网络层、系统层和应用层各级管理制度，对防火墙、数据库、服务器、病毒防范、密码安全配置、日志记录、升级补丁等作出规范；是否建立终端计算机、工作站、便携机、系统和网络等设备的操作规程，实现规范化操作。安全风险管理政策 是否制定切实可行的风险评估计划和方案；是否建立信息资产清单与分类；是否周期性对信息资产进行风险评估，相关记录应文件存档；是否根据风险评估结果及时整改。安全事件管理制度 是否制定安全事件管理制度，明确安全事件类型，规定安全事件

11、的现场处理、事件报告和后期恢复的管理职责；是否制定安全事件报告和响应处理程序，确定事件的报告流程、响应和处置的范围和程度，以及处理方法等；是否在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因、收集证据、记录处理过程、总结经验教训、制定防止再次发生的补救措施，并妥善保存该过程中形成的所有文件和记录。 安全制度审计可遵循如下程序： 审查安全策略、标准、规程和指南的使用，并确认有关文档是否已发放给相关员工。 检查被审计单位的实体安全、软件安全、数据安全、通信网络安全、系统入侵检测和病毒防范管理制度，确认其是否健全。 查阅信息资产清单文件与风险评估记录，审查安全风险管理执行的有效性。 审查安全

12、应急小组职责文件和事件响应流程，评价安全事件处理与响应措施的有效性。组织内部员工、外包人员或客户故意或无意造成的欺诈、设备或信息窃取，误用是影响信息系统安全的最大威胁。人力资源的安全意识与相关控制措施，对于组织的信息系统安全是重要意义。人力资源安全审计主要有两个方面的内容：安全意识教育培训计划审计和人员安全管理政策审计。这两个方面具体的审计关注点如下：人员安全意识教育培训计划 是否对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；是否对安全责任和惩戒措施进行书面规定并告知相关人员，并对违反违背安全策略和规定的人员进行惩戒；是否定期对安全教育和培训进行书面规定、针对不同岗位制定不同培训

13、计划，并就信息安全基础知识、岗位操作规程等内容进行培训；是否对安全教育和培训的情况和结果进行记录并归档保存。人员安全管理政策 人员录用是否指定或授权专门的部门或人员负责人员录用；是否严格规范人员录用过程、对被录用人员的身份、背景、专业资格和资质等进行审查，并对其所具有的技术技能进行考核；是否与新录用人员签署保密协议；是否从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。人员使用 对于因工作需要，接触被审计单位商业秘密或国家秘密的人员，是否进行恰当的警示教育。组织中的人员授权使用信息系统或权限变更，是否履行审批手续。是否建立合理的薪酬体系，确保人员稳定。对于违反信息安全规章制度的人员，是否

14、给予必要的处理。人员离岗 是否制定有关管理规范，严格规范人员离岗过程，及时终止离岗员工的所有访问权限，并取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；是否办理严格的调离手续，并承诺调离后的保密义务后方可离职。人员考核 是否定期对各岗位人员进行安全技能及安全认知的考核；是否建立保密制度；是否定期或不定期的对保密制度执行情况进行检查或考核，并对考核结果进行记录并保存。 查阅岗位安全协议。审查岗位安全责任、违约责任、协议的有效期限和责任人签字等内容的完整性。访谈人力资源部门，了解在人员录用时有哪些条件要求；了解对被录用人的身份、背景、专业资格和资质的审查情况，必要时应抽查背景调查证明材料；

15、了解对技术人员的技能考核情况；了解与被录用人员保密协议签署情况。查阅人员录用时的技能考核文档或记录，审查考核内容和考核结果等方面内容记录的完整性。访谈人力资源部门，询问被审计单位制定了哪些措施来保证信息安全岗位人员稳定，必要时应查看相应制度文档。查阅被审计单位信息安全的奖惩规定，特别是对违反信息安全规定的惩戒措施；审查信息安全奖惩规定文件的健全性，并注意结合违规惩戒记录抽查结果，判断奖惩措施的执行情况。访谈人力资源部门，了解对即将离岗人员的安全控制措施。例如，是否及时终止离岗人员的所有访问权限，取回各种证件及软硬件设备等；调离手续包括哪些，是否要求关键岗位人员调离须承诺相关保密义务后方可离开，

16、并注意抽查调离人员在保密承诺的签字情况。查阅人员离岗的管理文档，审查是否规定了人员调离手续和离岗要求等；是否具有对离岗人员的安全处理记录，如交还身份证件、设备等的登记记录；是否具有按照离职程序办理调离手续的记录。查阅审查和考核文档和记录，审查是否有人负责定期对各个岗位人员进行安全技能及安全知识的考核；是否有对关键岗位人员特殊的安全考核内容；查看记录日期与考核周期是否一致。安全技术控制审计有四个方面的审计事项子类：物理环境安全审计、网络安全审计、操作系统安全审计和数据库安全审计。物理访问的暴露风险来自自然环境，或人为灾害导致的非授权访问或不可用风险，有可能引起组织的财务损失，导致法律诉讼。环境风

17、险可能来源自然灾害，如闪电、地震、暴雨、洪水等；还可能来自电力故障，设置故障、温湿度、静电等，尤以电力故障、水害水灾的影响最大。常见的物理环境安全控制措施有很多，比如门锁、电子门锁、生物特征锁、身份识别卡、水灾探测器、灭火器、不间断电源UPS和备份电力系统等等。物理环境安全审计的主要关注点如下： 是否指定部门负责机房安全，并配备机房安全管理人员对机房的出入、服务器的开关机等工作进行管理； 是否建立机房安全管理制度，对机房物理访问、物品带进带出机房和机房环境安全等方面的管理作出规定； 是否对机房和办公环境实行统一的安全管理策略，对出入人员进行相应级别的授权，并对进入重要安全区域的活动行为实时监视

18、和记录 是否指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理 检查分析机房设计及基础设置配置是否符合相关标准，并能满足实际业务需求。计算机网络通俗地讲就是由多台计算机（或其他计算机网络设备）通过传输介质和软件物理（或逻辑）连接在一起组成的。总的来说计算机网络的组成基本上包括：计算机、网络操作系统、传输介质（可以是有形的，也可以是无形的，如无线网络的传输介质就是看不见的电磁波）以及相应的应用软件四部分。ISO指出计算机网络安全是：“保护计算机网络系统中的硬件，软件和数据资源，不因偶然或恶意的原因遭到破坏、更改、泄露，使网络系统连续可靠性地正常运行，网络服务正常有序。”计算

19、机网络风险可能源于人为的因素、自然的因素或偶发的因素。人为因素是对计算机信息网络安全威胁最大的因素，比如，一些不法之徒利用计算机网络存在的漏洞，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒，或者潜入计算机房，盗用计算机系统资源等等。常见的计算机网络安全控制技术有：实时扫描技术、实时监测技术、防火墙安全体系、入侵检测系统、病毒防范系统等等网络安全审计的主要关注点如下：是否指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；是否定期对网络设备进行更新，并在更新前对现有的重要文件进行备份；是否定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及

20、时修补；是否保证所有与外部系统的连接均得到授权和批准。操作系统（Operating System，简称OS）是管理电脑硬件与软件资源的程序，同时也是计算机系统的内核与基石。操作系统是一个庞大的管理控制程序，一般包括5个方面的管理功能：进程与处理机管理、作业管理、存储管理、设备管理、文件管理。常见的操作系统类型有：Windows、UNIX、Linux、Mac OS X、AIX Solaris（Sun公司）、HPUX（惠普公司）和AIX（IBM 公司）等等。操作系统安全审计的主要关注点如下： 是否建立确认登录操作系统的用户真实身份的认证授权机制（认证功能的具体实现方式包括静态口令、动态口令、指纹等

21、生物鉴别技术等； 授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作）； 是否建立安全日志定期备份与分析机制； 是否建立操作系统的IP协议安全配置规范；是否建立操作系统服务（如补丁升级、文件系统管理、病毒防范等）安全配置规范。数据库系统（Database Systems），是由数据库及其管理软件组成的系统。目前典型数据库系统有：Oracle、DB2、SQL Server、Syabase、MySQL、ACCESS等等。数据库系统一般由4个部分组成： 数据库（Database），即存储在磁带、磁盘、光盘或其他外存介质上，按一定结构组织在一起的相关数据的集合。 数据库管理系统（DBM

22、S）。它是一组能完成描述、管理、维护数据库的程序系统。它按照一种公用的和可控制的方法完成插入新数据、修改和检索原有数据的操作。 数据库管理员（DBA）。 数据库用户（User）及相关应用程序。根据国家标准信息安全技术 数据库管理系统安全技术要求的定义，数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。 保密性指保护数据库中的数据不被泄露和未授权的获取。 完整性指保护数据库中的数据不被破坏和删除。 一致性指确保数据库中数据满足实体完整性、参照完整性和用户定义完整性要求。 可用性指确保数据库的数据不因人为和自然原因对授权用户不可用。管理信息系统中的数据库安全控制技术有很多，比如身份标识

23、与鉴别、存取访问控制、跟踪监视、数据加密等等。数据库安全技术不是相互独立的，而是彼此依赖、相互支持的。比如，存取访问控制的正确性依赖于安全的识别和鉴别机制，安全的识别和鉴别机制也是跟踪审计的基础，而为了具有安全的识别和鉴别机制，有必要采用加密技术等数据库安全审计的主要关注点如下：是否建立数据库的认证授权机制数据库是否配置日志功能是否建立数据库的IP协议安全配置规范是否建立数据库服务（如补丁、备份、超时退出、监听器等）安全配置规范。审查数据库账户设置。 确认是否具有对数据库账号的管理功能，包括删除或修改用户名和密码的功能；是否具有对默认账号的密码进行修改或锁定无用的默认账号的功能； 审查数据库口

24、令管理。 核查数据库管理员账户口令更改、口令复杂性、生存周期、失败登录次数锁定等安全配置；审查数据库授权机制。 确认是否具备通过角色来对用户进行授权的功能；是否具备除数据库管理账号外，其他账号不能被授予访问系统表和视图权限的功能；审查数据库安全日志配置。 确认是否具有对数据字典和数据库系统配置进行修改的日志记录功能；是否具有对数据库进行启动、关闭、在线备份、归档、性能统计收集的操作进行日志记录的功能；具有对授权和取消授权进行审计进行日志记录的功能；是否具有对日志记录进行更新和删除的操作进行日志记录的功能；审查数据库其他服务安全配置。 确认是否具备通过补丁升级消除软件安全漏洞的能力；是否具备对数据文件进行备份以及恢复的功能；是否只安装必需组件和软件的最小需求安装；是否具有设置数据库会话空置超时退出的功能，是否只有管理员账号能够禁用该功能等等。