⑴ it審計 怎麼做
ITGC主要審以下內容:
一、ELC(entity level control)控制。就是看看客戶在IT治理方面的相關組織架構是否合理,書面的管理制度是不是健全,具體的審計程序就是獲取客戶的組織結構圖,及一些比較虛的總綱類的書面管理制度如《IT管理制度》等等。
二、系統開發和變更。就是關注系統開發和系統後續小變更中的一些控制,具體的審計程序就是獲取系統開發及變更相關的管理制度典型的如《系統開發制度》《系統變更管理制度》等來看一看,再看系統開發是否經過了需求提出、可行性研究、領導層審批,系統上線之前是不是經過了充分的測試,獲取一些內控痕跡和表單,如《××系統需求報告》、《××系統可行性報告》、《××系統立項審批單》、《××系統單元測試報告》、《××系統集成測試報告》、《××系統上線審批單》,然後變更方面比較重要的就是《變更審批單》,這個一般來說還要進行抽樣,而上面的開發流程一般來說做一兩個穿行測試就行了。
三、操作系統及資料庫控制。這一塊呢具體就是看操作系統和資料庫登錄是不是要密碼,然後把登錄界面截個屏作為審計證據K進底稿里,蠻弱智的。然後呢就是調出操作系統及資料庫中的一些安全配置,如密碼復雜度的要求,密碼是不是強制一個月改一次,對系統的敏感操作是否有日誌記錄,日誌是否有人去復核,再者就是看用戶許可權管理是否按照基於角色來進行許可權分配。現在商用方面操作系統用得比較多的是win2000,LINUX,UNIX,銀行AIX用得比較多,資料庫就是SAP,ORACLE,sql server等,銀行DB2用得也比較多。審計的時候呢,對於安全配置,就是輸入一些命令,調出相關配置,四大像安永會有團隊專門設計腳本 ,只要放到客戶機器上那麼一跑,結果自動就出來了,高度傻瓜式,流程化機械化,IT審計師的可替代性更強了,價值更低了。再就是把所有用戶的許可權列表拉出來,看是不是合理合規,後點關注超級管理員的許可權。
四、應用系統控制。關注點同操作系統及資料庫。不過應用系統千變萬化,比如銀行裡面比較大的應用系統就有綜合業務系統(有的叫核心業務系統)、國際結算系統、大小額系統、信貸管理系統等等等等。但萬變不離其綜,這些系統做ITGC思路都是一樣的,就看安全配置和用戶許可權。如果要支持財審進行ITAC的審計,則要具體情況具體分析設計,因此個人認為ITAC的審計是IT審計師能體現自身經驗與價值的地方,光做ITGC是沒有前途的
五、介面控制與信息安全。各種系統之前會有介面,那麼數據從一個系統傳輸到另一系統中數據的准確性完整性要得到保證。審計程序一般首先看系統中是不是有自動核對的機制,比如銀行的核心業務系統基本與每個重要的業務系統都有介面並且每天會進行大量的數據交互,做的好的會有一個核對機制,加入一些校驗機制,確認數據的准確完整,有的銀行測沒有。信息安全就是看看網路管理相關的制度,看看防火牆的結構,內外網是不是分離啊等等,無聊至極。
⑵ 什麼是資料庫審計
隨著信息泄露事件的頻發,資料庫安全產品逐漸進入大眾視野。在資料庫安全產品中,資料庫審計大概是用戶方最為熟悉的一款產品了。在不影響業務系統正常運轉的情況下,資料庫審計產品能夠對資料庫的操作訪問行為進行追蹤審計,這也是大多數用戶將其作為資料庫安全標配采購的重要原因。本文時代新威為您科普什麼是資料庫審計,資料庫審計的作用和原理有哪些,一起來看看吧!
資料庫審計原理:
資料庫審計系統對來自應用系統客戶端和dba對資料庫的訪問行為進行全面審計,不僅審計sql語句,還對ftp、telnet等遠程訪問進行審計。系統詳細記錄查詢、刪除、增加、修改等行為及操作結果,對危險操作還可實時預警,及時阻止,從而達到保護資料庫的良好效果。
黑格爾曾說,「存在即合理」,用在數據安全領域,對資料庫審計的運用同樣適用。時代新威認為資料庫審計是當下最經濟、最貼身、最有效的數據保鏢,同時我國信息化建設想要長遠持續發展,資料庫審計是必然選擇。
⑶ 什麼是It審計
IT審計是獨立於信息系統本身、信息系統相關開發、使用人員的第三方-IT審計師採用客觀的標准對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估(例如北京時代新威信息技術有限公司服務於IT審計),由上面的定義我們可以看出,IT審計涉及整個信息系統的生命周期,IT審計不是單純強調對軟硬體的審計。它的審計對象涵蓋整個信息系統所有活動和中間產物,並包括信息系統實施相關的外部環境。
IT審計按照信息系統的生命周期分為業務計劃審計,業務開發審計、業務執行審計和業務維護審計以及涵蓋整個信息系統周期的共通業務審計。
業務計劃審計主要面向信息系統的企劃,對信息系統的投資可行性,系統規劃與公司戰略的相關性,系統開發計劃的可行性以及系統需求的完整性和正確性進行審核和驗證。
業務開發審計對信息系統開發的各個階段的相關人員的活動、信息、中間產物進行審核,確認這些活動、信息和中間產物的規范性、有效性和對於信息系統目標的針對性。
業務執行審計確認與信息系統運行相關的數據、軟硬體、安裝環境等是否符合信息系統的運營要求,同時對信息系統的功能、性能、易用度、可操作性等進行評估。
業務維護審計對信息系統的維護活動和維護結果實施審核和評價。發現在維護中可能出現的各種漏洞和信息系統維護中急待改善的問題。
共通業務審計涉及文檔管理、進度管理、人員管理、采購管理、風險管理等,檢查這些過程的規范性和有效性,並提出改良建議。
IT審計的任務在於站在客觀公正的角度上,收集審計信息,生成審計報告,通過審計報告促成信息系統生命周期活動和成果物的改善。
實施IT審計能夠強化IT投資效果,提高信息系統的安全性,能夠客觀評價信息系統及信息系統開發,從社會經濟和企業、國家信息化投資、安全等方面都具有極大的意義。
⑷ 計算機風險評估怎麼寫
1. 版本演變評估規則
1.1. 基本原則
這個問題可以參考任何一本關於計算機網路、操作系統的教材,可以看到各式各樣的要求,總體上的要求都是源於國際化的評估標准ISO來確定的。所以在這里我們不再細說,僅列表顯示:
• 靜態網路安全風險分析與評估;
• 網路拓撲結構安全性分析;
• 網路拓撲結構是否滿足安全需求;
• 內外伺服器的安全策略;
• 內部網路的安全域范圍劃分。
• 防火牆系統的安全性分析;
• 防火牆口令強度分析;
• 防火牆安全策略分析;
• 防火牆日誌分析。
• 操作系統和伺服器系統的安全性分析;
• 操作系統的版本及其補丁分析;
• 伺服器的版本及其補丁分析;
• IIS的系統設置,用戶管理,訪問規則的風險評估;
• 提供各種網路服務軟體的版本,補丁及其配置文件;
• 相關日誌分析,檢查可疑操作及行為;
• 檢測系統後門程序。
• 網路設備的安全性分析;
• 路由器的口令強度分析;
• 交換機的劃分區域分析;
• 撥號設備的安全策略分析;
• 加密設備的安全性分析;
• 數據備份的安全性分析;
• 防惡意代碼的安全性分析;
• 系統處理病毒的有效性分析;
• 系統處理特洛伊木馬的有效性分析。
• 提供分析報告和安全建議;
• 系統漏洞和網路漏洞掃描及安全檢測;
• 系統安全檢測;
• 系統帳號檢測;
• 組帳號檢測;
• 系統日誌檢測;
• 主機信任關系檢測;
• 系統配置文件檢測;
• 關鍵系統文件的基線檢測;
• 口令強度檢測;
• 系統安全漏洞檢測;
• 系統脆弱性分析;
• 有控制的滲透檢測;
• 日誌文件檢查;
• 提供分析報告及安全建議。
• 網路安全檢測;
• 埠掃描測試;
• 拒絕服務攻擊測試;
• Web 掃描和攻擊測試;
• 口令強度猜測;
• 針對 Ftp 、 Sendmail 、 Telnet 、 Rpc 、 NFS 等網路服務攻擊測試;
• 提供分析報告和安全建議
1.1.1. 可生存性
這個概念基於1993年Barnes提出的原始定義:將安全視為可伸縮的概念。具有可生存能力的系統,對內,不依賴於任何一個專門的組件;對外,系統可以容忍一定級別的入侵。嚴格的來說,這樣的系統是一個具備災難恢復容侵容錯的整體,在網路攻擊、系統出錯和意外事故出現的情況下仍能完成其任務的特性。針對當前黑客對系統有效性攻擊為目的的情況,系統的生存能力成為傳統的機密性保護之外系統必備的考慮因素。系統的安全不再受某一個單一組件的制約,而成為一個擁有足夠自救能力的實體。
對生存性主要考察的因素包括:
Ø 系統的具體功能:資料庫?web server?還是PC?
Ø 所處物理環境:與非操作人員隔離?直接暴露在internet上?處於防火牆後或DMZ中?有無病毒防護機制或入侵檢測軟體?
Ø 系統各項配置:無關服務是否關閉?不必要的網路埠是否禁用?
Ø 是否配置有保證系統生存能力的部件和機制:備份機制、替換機制、服務退化機制?
1.1.2. 傳統保護機制要求CIAA
1.2. 保護機制
1.2.1. 實體保護
1.2.1.1. 隔離保護
對於多線程多進程的操作系統,必須保證各個進程與線程都是相互獨立彼此無影響的。結合進程的定義,因此,線程與進程所調用控制的資源必須是互不相同的,及彼此無認知。
Ø 物理隔離:不同的進程和線程使用不同的對象和設備資源
Ø 暫時隔離:同一進程在不同的時間按不同的安全需要執行
Ø 邏輯隔離:操作系統限製程序的訪問:不能訪問允許之外的客體
Ø 加密隔離:利用加密演算法對相應對象進行加密
Ø 隔絕
1.2.1.2. 存儲器保護
多道程序的最重要問題是如何防止一個程序影響其他程序的存儲空間,保護存儲器的有效使用成本較低,包括柵欄保護、基址邊界保護和段頁式保護。
1.2.1.3. 運行保護
根據安全策略,把進程的運行區域劃分為同心環,進行運行的安全保護
1.2.1.4. I/O保護
將I/O視為文件,規定I/O是操作系統的特權操作,讀寫操作作為高層系統調用,對用戶忽略操作細節
1.2.2. 標識與認證
正確識別認證和管理實體的符號,作為標識;用戶名是身份認證的標識;安全級別是訪問控制的標識。
1.2.3. 訪問控制
1.2.3.1. 概念
操作系統安全保障機制的核心,實現數據機密性和完整性的主要手段。訪問控制限制訪問主體對被訪問客體的訪問許可權,確保主體對客體的訪問必須是授權訪問,而且授權策略是安全的,從而保證計算機系統使用環境為合法范圍。
1.2.3.2. 過程
Ø 通過「鑒別」來驗證主體合法身份。
Ø 通過「授權」來限制用戶對資源的訪問級別。
常用的訪問控制可分為自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色的訪問控制(RBAC)。
1.3. 評估方法
目前,根據我看過的資料至少有以下幾種:
Ø 基於特權提升的量化評估
Ø 基於粗糙集理論的主機評估
Ø 基於弱點數目的安全評估
Ø 基於安全弱點的綜合量化評估
2. 主流os基於版本的演變
2.1. Windows
2.1.1. Windows vista版本安全性比較
2.1.2. 伺服器角度評估主流操作系統
伺服器操作系統主要分為四大流派:WINDOWS、NETWARE、UNIX、LINUX。
Ø WINDOWS主流產品:WINNT4.0Server、Win2000/Advanced Server、Win2003/Advanced Server。
Ø NetWare主要應用於某些特定的行業中。以其優異的批處理功能和安全、穩定的系統性能也有很大的生存空間。
Ø Unix伺服器操作系統是由AT&T公司和SCO公司共同推出,主要支持大型的文件系統服務、數據服務等應用。市場流傳主要是SCO SVR、BSD Unix、SUN Solaris、IBM-AIX。
Ø Linux伺服器操作系統是國內外幾位IT前輩,在Posix和Unix基礎上開發出來的,支持多用戶、多任務、多線程、多CPU。因為開發源碼,其成為國內外很多保密機構伺服器操作系統采購的首選。主流產品Novell中文版、Red Hat、紅旗Linux。
綜述
優點
缺點
Windows
WINNT 4.0
直觀、穩定、安全的伺服器平台先河。尤為突出的是其NT架構內核意義深遠。
操作直觀,易於使用,功能實用,安全性能較好,可用於單一的防火牆的伺服器上。
運行速度慢,功能不夠完善,當進行超出系統處理能力的多項並發處理時,單個線程的不響應使系統由於不堪重負產生死機現象
Win2000/
Advanced Server
對NT內核的殼部分進行了很大程度的響應與傳輸優化並附加管理功能。實現速度與功能的提升,安全上修不了所有以往的後門。
操作直觀、易於使用,功能隨時代發展具有大幅的提升,管理更加全面,單個線程不響應問題得到解決
運行速度有所提升但仍有缺憾,系統的穩定性與安全性較NT有削弱。
Win2003/Advanced Server
繼承人性化的WinXP界面,內核處理技術很大改良,安全性能很大提升,管理功能增加流行新技術
操作易用性,人性化版本,安全性Windows系列中最佳的,線程處理速度跟隨硬體的發展有所提升,管理能力不小的改善。
安全性能不夠完善,線程處理更加繁雜。
UNIX
SCO SVR、BSD Unix
支持網路大型文件系統、資料庫系統,兼容更多的軟體應用,屬於非開源代碼,系統穩定性與安全性地位高高在上,無法動搖
系統安全性與穩定性穩如泰山,能夠支持大型文件系統與資料庫系統
代碼式命令觸動,人性化差,阻礙中低端伺服器市場的發展,深層技術研究推廣有限,改善不明顯。
SUN Solaris、IBM-AIX
後來居上!伺服器廠商對於己身的伺服器操作系統支持比較足夠,對兩這伺服器的市場佔有率及技術含量起了很大的推動作用。
支持大型文件系統與資料庫、傳承了UNIX一貫的高能級系統安全性、穩定性,對於系統應用軟體的支持比較完善。
沾染了Unix系統的通病,人性化界面不著邊,非開源使得技術層面為得到推廣,不夠「物美價廉」。
Linux
Red Hat、紅旗Linux
中國商用化是政府采購的推動,考慮到機密數據的安全性。紅旗的官方獲利最大,小紅帽的民間流傳最廣
源碼開放使得技術完善從民間得到了其他廠商無法比擬的雄厚力量,其兼容、安全、穩定特性不容忽視
基於Unix的修補開發屬於類Unix模式,兼容性較其他os有差距,代碼輸入命令為主,人性化不足,維護成本偏高。
Suse Linux
結合Linux開源與人性化界面的操作系統,絢麗而高難的三維立體空間顯示!
穩定、安全,兼容性有提高,有人性化設計,漂亮的顯示
兼容性照微軟有差距,立體空間顯示技術不成熟。
NetWare
Netware
基礎設備低要求,方便的實現網路連接與支持、對無盤工作站的優化組建、支持更多應用軟體的優勢。
操作相對方便,設備要求低,網路組建先天優勢,支持金融行業所需的無盤工作站同時節約成本,支持很多游戲軟體的開發環境搭建,系統穩定性和Unix系統基本持平。
操作大部分以來手工輸入命令實現,人性化弱勢,硬碟識別最高只能達到1G,無法滿足現代社會對於大容量伺服器的需求,個版本的升級只是實現了部分功能的實現與軟體支持,沒有深層次的技術更新。
2.2. 多種os相互比較
2.2.1. 基於特權提升的量化評估
以下數據來自計算機風險評估課件,顯示利用如題方法比較三種主流伺服器的安全性能得到的結果,結論如圖。比較過程不再贅述。
2.2.2. 漏洞大比拼
這里看到的數據是微軟推出vista六個月的統計數據。雖然漏洞數目不足以作為說明安全性優劣的唯一證據,但是一定程度上反映了該系統即將面對的攻擊威脅以及脆弱性挑戰或者更是受關注度的指標。以下數據來自微軟可信計算組(TCG)安全戰略總監Jeff Jones。
ü Vista - 2006年11月30日正式上市,六個月內微軟發布了四次大型安全公告,處理了12個影響Windows Vista的漏洞,僅有一個高危漏洞。
ü Windows XP – 2001年10月25日正式上市。前三周已披露和修復了IE中的3個漏洞。上市後六個月內修復漏洞36個,其中23個屬於高危漏洞。
ü RHEL4W – 最受歡迎的Linux發行版,2005年2月15日上市,提供一般使用之前,出貨的組件就有129個公開披露的bug,其中40個屬於高危漏洞。上市六個月內,Red Hat修復了281個漏洞,其中86個屬於高危。而對於RHEL4W精簡組件版本,Red Hat修復了214個影響精簡的RHEL4WS組建集漏洞,包括62個高危。
ü Ubuntu 6.06 LTS – 2006年6月1日正式上市。在此之前已公開披露的漏洞有29個,其中9個高危漏洞。上市六個月,Ubuntu修復了145個影響Ubuntu6.06 LTS的漏洞,其中47個高危。而其精簡組件版本六個月內漏洞74個,其中28個高危。
ü Novell的SLED 10(SUSE Linux Enterprise Desktop 10)- 2006年7月17日正式上市,出貨日期前已公開23個漏洞,六個月內對其中20個進行修復,其中5個高危漏洞。上市六個月共修復159個影響SLED 10 的漏洞,其中50個為高危。
ü Mac OS X v10.4 – 2005年4月20日正式上市,上市前批露10個漏洞,六個月內修補其中9個,包括3個高危。上市六個月內蘋果公司60個影響OS X v10.4的漏洞,其中18個列為高危。
3. 系統安全風險基於時間的演變
3.1. 系統內部
這一類的問題集中在代碼層,可能存在開發人員的疏忽,也可能是使用者錯誤操作或特殊操作引起的軟體本身的漏洞和錯誤,更可能出於特定物理環境的誘因。從這一角度來說,系統內部威脅取決於用戶需求的發展,硬體發展,編程語言環境發展等多個問題。因此,間接性的與時間掛鉤!
3.2. 外來入侵
3.2.1. 病毒
最初的病毒製造者通常以炫技、惡作劇或者仇視破壞為目的;從2000年開始,病毒製造者逐漸開始貪婪,越來越多的以獲取經濟利益為目的;而近一兩年來,黑客和病毒製造者越來越狡猾,他們正改變以往的病毒編寫方式,研究各種網路平台系統和網路應用的流程,甚至殺毒軟體的查殺、防禦技術,尋找各種漏洞進行攻擊。除了在病毒程序編寫上越來越巧妙外,他們更加註重攻擊「策略」和傳播、入侵流程,通過各種手段躲避殺毒軟體的追殺和安全防護措施,達到獲取經濟利益的目的。產生這種現象的原因主要有兩個,一是國內互聯網軟體和應用存在大量安全隱患,普遍缺乏有效的安全防護措施,而是國內黑客/病毒製造者集團化、產業化運作,批量地製造電腦病毒。
3.2.2. 攻擊
攻擊者以前是利用高嚴重級別漏洞發起直接攻擊,現在採用的方式轉變為發現並利用第三方應用程序(如Web應用程序和Web瀏覽器)中的中等嚴重級別漏洞。這些漏洞通常被「網關」攻擊加以利用,這類攻擊的特點是,初始的漏洞利用並不會立即危及數據,而是先建立安身之所,隨後在發起更多惡意攻擊。根據賽門鐵克的安全報告,互聯網上的惡意活動肆虐,其中網路釣魚、垃圾郵件、bot網路、特洛伊木馬和零日威脅與日俱增。然而,過去攻擊者往往是單獨利用這些威脅,現在他們採用了更高明的手段,將資源整合成為全球網路,以便利於實施相互協作的犯罪活動。從而導致不同的威脅和方法逐漸相互貫通互相利用。如,有目標性的惡意代碼可能利用支持Web的技術和第三方應用程序來安裝後門,然後下載並安裝bot軟體。隨後,這些bot用來分發垃圾郵件,託管網路釣魚站點或以創建一個惡意活動協作網路的方式來發起攻擊。這些網路建立之後成為惡意活動的全球網路,支持其各自的持續發展。
值得一提的是,攻擊的形式也隨著技術的發展而不斷升級。軟體虛擬化的實現,隨之而來的是虛擬技術威脅的上市。針對虛擬機不對主機信息提供保護的特性,以虛擬機中實際使用的硬體為目標和對虛擬機上訪客操作系統中使用的隨機數生成器產生的影響為基礎,演變成為新的兩類威脅。
如此看來,信息時代的經濟化帶動了網路威脅的系統化、經濟化。
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/April_ye/archive/2007/12/12/1931198.aspx
⑸ 請教 上市公司IT審計
IT審計就是信息系統審計,主要介紹審計的歷史和發展,對象、范圍和意義對象、范圍和意義計劃。
知識方面的要求如下:
信息系統計劃、開發和運營相關的知識: 信息系統構成相關的知識; 信息化戰略、構想、提案、立項等相關的知識; 系統設計、程序設計、軟體測試等相關知識; 系統操作、數據管理等相關知識;
能力方面的要求如下: 系統審計的相關能力; 審計的立項、分析、評價相關的能力;信息收集、審核、審計方法掌握、技巧運用方面的能力;審計報告製作能力;
IT審計師必須具備全面的計算機軟硬體知識,對計算機網路和信息系統的安全性具有高度而特殊的敏感意識,而且對財務會計和企業內部控制具有深刻的理解能力,要懂管理、懂經濟、懂審計、懂計算機、懂內部控制、懂網路技術,既是審計專家,又是信息系統專家,以對計算機信息系統及軟硬體的技術性審計來保證計算機審計質量的可靠性。
⑹ 如何撰寫計算機審計報告
一是要提前謀劃,抓住重點。
計算機審計方法是對審計項目的經驗總結,撰寫工作一般在審計項目後期進行,因此計算機審計方法不可能孤立於審計項目而單獨存在。那麼,審計機關在年初安排計劃項目時,就要有意識地選取會計電算化程度較好的項目,尤其要注重選取信息化整體應用水平高、有大量電子業務數據可利用的項目。這樣,在撰寫時就有規范的財務數據和大量的業務數據可用,既可利用AO系統提高審計項目開展的效率,也為計算機審計方法的撰寫提供了必備的良好素材。如果所開展的項目根本沒有合適的電子數據,那麼計算機審計方法也就成了無源之水、無本之木。
二是要創新思維,把握熱點。
審計人員利用AO在長時間的實踐運用中總結出了大量經驗,目前,審計署已連續多年在全國徵集計算機審計專家經驗、AO應用實例和計算機審計方法,這就要求我們在撰寫計算機審計方法時必須有新意。在創新思維的同時,項目的開展和方法的撰寫不能局限於利用AO系統本身的功能,還需要很好地抓住當前形式與經濟發展的熱點,緊緊圍繞當前的新政策來進行。這樣可以更好地體現出審計的成效,對類似項目的開展起到超前的指導作用。
三是要耐心細致,排除疑點。
在具備審計思路的前提下,審計人員也必須同時具備清晰的計算機數據分析思路,要在編寫代碼時盡量使用規范的縮寫和通用的格式,繪制流程圖按照統一標准進行選擇圖形。實際操作當中,必須要有耐心,認真仔細,特別是在反復出現問題時,一定要沉著冷靜,思維清晰,注重細節,排除一切可能的疑點。
四是要團隊合作,解決難點。
對計算機人員來說,如何更好地審計重點事項是難點;對審計業務人員來說,如何用計算機來滿足審計需求是難點。計算機審計方法是依附於審計項目而存在的,所以多是由審計業務人員進行計算機審計方法的撰寫,而現實情況中大部分的審計業務人員都很少接觸過SQL語句。因此,團隊合作也非常關鍵,解決掉各自的難點所在就可取長補短,經過互相探討並總結提煉,以保證優質計算機審計方法的產生。
⑺ 《審計報告》txt全集下載
審計報告 txt全集小說附件已上傳到網路網盤,點擊免費下載:
請採納
⑻ 運維安全審計系統的相關廠商產品介紹
目前, 已經有相關多的廠商開始涉足這個領域,如:江南科友、綠盟、齊治、金萬維、極地、北京普安思等,這些都是目前行業里做的專業且受到企業用戶好評的廠商,但每家廠商的產品所關注的側重又有所差別。
以金萬維運維安全審計系統SSA為例,其產品更側重於運維安全管理,它集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品,它能夠對操作系統、網路設備、安全設備、資料庫等操作過程進行有效的運維操作審計,使運維審計由事件審計提升為操作內容審計,通過系統平台的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題,進而提高企業的IT運維管理水平。 1、SSA是什麼——運維安全審計系統
SSA運維審計系統集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品,它能夠對操作系統、網路設備、安全設備、資料庫等操作過程進行有效的運維操作審計,使運維審計由事件審計提升為操作內容審計,通過系統平台的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題,進而提高企業的IT運維管理水平
2、SSA系統功能
健全的用戶管理機制和靈活的認證方式
為解決企業IT系統中普遍存在的因交叉運維而產生的無法定責的問題,SSA系統平台提出了「集中賬號管理「的解決辦法;集中帳號管理可以完成對帳號整個生命周期的監控和管理,而且還降低了企業管理大量用戶帳號的難度和工作量,同時,通過統一的管理還能夠發現帳號使用中存在的安全隱患,並且制定統一、標準的用戶帳號安全策略。針對平台中創建的運維用戶可以支持靜態口令、動態口令、數字證書等多種認證方式;支持密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能;支持用戶分組管理;支持用戶信息導入導出,方便批量處理。
細粒度、靈活的授權
系統提供基於用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)等組合的授權功能,實現細粒度授權功能,滿足用戶實際授權的需求。授權可基於:用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。
單點登錄功能是運維人員通過SSA系統認證和授權後,系統根據配置策略實現後台資源的自動登錄。保證運維人員到後台資源帳號的一種可控對應,同時實現了對後台資源帳號的口令統一保護與管理。系統提供運維用戶自動登錄後台資源的功能。SSA能夠自動獲取後台資源帳號信息並根據口令安全策略,定期自動修改後台資源帳號口令;根據管理員配置,實現運維用戶與後台資源帳號相對應,限制帳號的越權使用;運維用戶通過SSA認證和授權後,SSA根據分配的帳號實現自動登錄後台資源。
實時監控
監控正在運維的會話:信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等;監控後台資源被訪問情況,提供在線運維操作的實時監控功能。針對命令交互性協議,可以實時監控正在運維的各種操作,其信息與運維客戶端所見完全一致。
違規操作實時告警與阻斷
針對運維過程中可能存在的潛在操作風險,SSA根據用戶配置的安全策略實施運維過程中的違規操作檢測,對違規操作提供實時告警和阻斷,從而達到降低操作風險及提高安全管理與控制的能力。對於非字元型協議的操作能夠實時阻斷。
字元型協議的操作可以通過用戶配置的命令行規則進行規則匹配,實現告警與阻斷。告警動作支持許可權提升、會話阻斷、郵件告警、簡訊告警等。對常見協議能夠記錄完整的會話過程
SSA系統平台能夠對常見的運維協議如SSH/FTP/Telnet/SFTP /Http/Https/RDP/X11/VNC等會話過程進行完整的記錄,以滿足日後審計的需求;審計結果可以錄像和日誌兩種方式呈現,錄像信息包括運維用戶名稱、目標資源名稱、客戶端IP、客戶端計算機名稱、協議名、運維開始時間、結束時間、運維時長等信息
詳盡的會話審計與回放
運維人員操作錄像以會話為單位,能夠對用戶名、日期和內容進行單項定位查詢和組合式定位查詢。組合式查詢可按照運維用戶、運維地址、後台資源地址、協議、起始時間、結束時間和操作內容中關鍵字等組合方式進行;針對命令字元串方式的協議,提供逐條命令及相關操作結果的顯示:提供圖像形式的回放,真實、直觀、可視地重現當時的操作過程;回放提供快放、慢放、拖拉等方式,針對檢索的鍵盤輸入的關鍵字能夠直接定位回放;針對RDP、X11、VNC協議,提供按時間進行定位回放的功能。
豐富的審計報表功能
SSA系統平台能夠對運維人員的日常操作、會話以及管理員對審計平台的操作配置、運維報警次數等進行報表統計分析。報表包括:日常報表、會話報表、自審計操作報表、告警報表、綜合統計報表,並可根據個性需求設計和展現自定義報表。以上報表可以EXCEL格式輸出,並且可以以折線、柱狀、圓餅圖等圖形方式展現出來。
應用發布
針對用戶的運維需求,SSA推出了業界首創的虛擬桌面主機安全操作系統設備(ESL,E-SoonLink),通過ESL配合SSA進行審計能夠完全達到審計、控制、授權的要求,配合TSA產品,可實現對資料庫維護工具、pcAnywhere、DameWare等不同工具的運維操作進行監控和審計。 科友運維安全審計系統(HAC)著眼於解決關鍵IT基礎設施運維安全問題。它能夠對Unix和Windows主機、伺服器以及網路、安全設備上的數據訪問進行安全、有效的操作審計,支持實時監控和事後回放。
HAC補了傳統審計系統的不足,將運維審計由事件審計提升為內容審計,集身份認證、授權、審計為一體,有效地實現了事前預防、事中控制和事後審計。
審計要求
針對安然、世通等財務欺詐事件,2002年出台的《公眾公司會計改革和投資者保護法案》(Sarbanes-Oxley Act)對組織治理、財務會計、監管審計制定了新的准則,並要求組織治理核心如董事會、高層管理、內外部審計在評估和報告組織內部控制的有效性和充分性中發揮關鍵作用。與此同時,國內相關職能部門亦在內部控制與風險管理方面制定了相應的指引和規范。由於信息系統的脆弱性、技術的復雜性、操作的人為因素,在設計以預防、減少或消除潛在風險為目標的安全架構時,引入運維管理與操作監控機制以預防、發現錯誤或違規事件,對IT風險進行事前防範、事中控制、事後監督和糾正的組合管理是十分必要的。
IT系統審計是控制內部風險的一個重要手段,但IT系統構成復雜,操作人員眾多,如何有效地對其進行審計,是長期困擾各組織的信息科技和風險稽核部門的一個重大課題。
解決之道
江南科友因市場對IT運維審計的需求,集其多年信息安全領域運維管理與安全服務的經驗,結合行業最佳實踐與合規性要求,率先推出基於硬體平台的「運維安全審計系統(HAC)」,針對核心資產的
運維管理,再現關鍵行為軌跡,探索操作意圖,集全局實時監控與敏感過程回放等功能特點,有效解決了信息化監管中的一個關鍵問題。
系統功能
完整的身份管理和認證
為了確保合法用戶才能訪問其擁有許可權的後台資源,解決IT系統中普遍存在的交叉運維而無法定位到具體人的問題,滿足審計系統「誰做的」要求,系統提供一套完整的身份管理和認證功能。支持靜態口令、動態口令、LDAP、AD域證書KEY等認證方式;
靈活、細粒度的授權
系統提供基於用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)、會話時長、運維客戶端IP等組合的授權功能,實現細粒度授權功能,滿足用戶實際授權的需求。
後台資源自動登陸
後台資源自動登陸功能是運維人員通過HAC認證和授權後,HAC根據配置策略實現後台資源的自動登錄。此功能提供了運維人員到後台資源帳戶的一種可控對應,同時實現了對後台資源帳戶的口令統一保護。
實時監控
提供在線運維的操作的實時監控功能。針對命令交互性協議可以圖像方式實時監控正在運維的各種操作,其信息與運維客戶端所見完全一致。
違規操作實時告警與阻斷
針對運維過程中可能存在潛在操作風險,HAC根據用戶配置的安全策略實施運維過程中的違規操作檢測,對違規操作提供實時告警和阻斷,從而達到降低操作風險及提高安全管理與控制的能力。
完整記錄網路會話過程
系統提供運維協議Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、AS400等網路會話的完整會話記錄,完全滿足內容審計中信息百分百不丟失的要求。
詳盡的會話審計與回放
HAC提供視頻回放的審計界面,以真實、直觀、可視的方式重現操作過程。
完備的審計報表功能
HAC提供運維人員操作,管理員操作以及違規事件等多種審計報表。
各類應用運維操作審計功能
HAC提供對各類應用的運維操作審計功能,能夠提供完整的運維安全審計解決方案。可依據用戶要求快速實現新應用的發布和審計。
結合ITSM(IT服務管理)
HAC可與ITSM相結合,可為其優化變更管理流程,加強對變更管理中的風險控制
系統特點
支持加密運維協議的審計
領先地解決了SSH、RDP等加密協議的審計,滿足用戶Unix和Windows環境的運維審計要求。
分權管理機制
系統提供設備管理員、運維管理員和審計員三種管理角色,從技術上保證系統管理安全。
更加嚴格的審計管理
系統將認證、授權和審計有機地集成為一體,有效地實現了事前預防、事中控制和事後審計。
部署靈活、操作方便
系統支持單臂、串聯部署模式;支持基於B/S方式的管理、配置和審計。
系統安全設計
精簡的內核和優化的TCP/IP協議棧
基於內核態的處理引擎
雙機熱備
嚴格的安全訪問控制
基於HTTPS的安全訪問管理、配置和審計
審計信息加密存儲
完善的審計信息備份與恢復機制
系統部署
鑒於企業網路及管理架構的復雜性,HAC系統提供了靈活的部署方式,既可以採取串連模式,也可以採用單臂模式接入到企業內部網路中。採用串連模式部署時,HAC具備一定程度上的網路控制的功能,可提高核心伺服器訪問的安全性;採用單臂模式部署時,不改變網路拓撲,安裝調試過程簡單,可按照企業網路架構的實際情況靈活接入。
無論串連模式還是在單臂模式,通過HAC訪問IT基礎服務資源的操作都將被詳細的記錄和存儲下來,作為審計的基礎數據。HAC的部署不會對業務系統、網路中的數據流向、帶寬等重要指標產生負面影響,無需在核心伺服器或操作客戶端上安裝任何軟硬體系統。
認證資質
「運維安全審計系統(HAC)」已獲公安部頒發的《計算機信息系統安全專用產品銷售許可證》,已通過國家保密局涉密信息系統安全保密評測中心檢測,取得涉密信息系統產品檢測證書。通過國家信息安全測評取得信息技術產品安全測評證書。
⑼ 什麼是IT審計
IT審計是獨立於信息系統本身、信息系統相關開發、使用人員的第三方-IT審計師採用客觀的標准對信息系統的策劃、開發、使用維護等相關活動和產物進行完整地、有效地檢查和評估。
由上面的定義我們可以看出,IT審計涉及整個信息系統的生命周期,IT審計不是單純強調對軟硬體的審計。它的審計對象涵蓋整個信息系統所有活動和中間產物,並包括信息系統實施相關的外部環境。
IT審計按照信息系統的生命周期分為業務計劃審計,業務開發審計、業務執行審計和業務維護審計以及涵蓋整個信息系統周期的共通業務審計。
(9)it審計報告ftp擴展閱讀
業務維護審計對信息系統的維護活動和維護結果實施審核和評價。發現在維護中可能出現的各種漏洞和信息系統維護中急待改善的問題。
共通業務審計涉及文檔管理、進度管理、人員管理、采購管理、風險管理等,檢查這些過程的規范性和有效性,並提出改良建議。
IT審計的任務在於站在客觀公正的角度上,收集審計信息,生成審計報告,通過審計報告促成信息系統生命周期活動和成果物的改善。
實施IT審計能夠強化IT投資效果,提高信息系統的安全性,能夠客觀評價信息系統及信息系統開發,從社會經濟和企業、國家信息化投資、安全等方面都具有極大的意義。
⑽ 請問計算機安全審計報告應該如何去寫,是否有範文可以參考。
一、引言
隨著網路的發展,網路信息的安全越來越引起世界各國的重視,防病毒產品、防火牆、入侵檢測、漏洞掃描等安全產品都得到了廣泛的應用,但是這些信息安全產品都是為了防禦外部的入侵和竊取。隨著對網路安全的認識和技術的發展,發現由於內部人員造成的泄密或入侵事件佔了很大的比例,所以防止內部的非法違規行為應該與抵禦外部的入侵同樣地受到重視,要做到這點就需要在網路中實現對網路資源的使用進行審計。
在當今的網路中各種審計系統已經有了初步的應用,例如:資料庫審計、應用程序審計以及網路信息審計等,但是,隨著網路規模的不斷擴大,功能相對單一的審計產品有一定的局限性,並且對審計信息的綜合分析和綜合管理能力遠遠不夠。功能完整、管理統一,跨地區、跨網段、集中管理才是綜合審計系統最終的發展目標。
本文對涉密信息系統中安全審計系統的概念、內容、實現原理、存在的問題、以及今後的發展方向做出了討論。
二、什麼是安全審計
國內通常對計算機信息安全的認識是要保證計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴),簡稱「五性」。安全審計是這「五性」的重要保障之一,它對計算機信息系統中的所有網路資源(包括資料庫、主機、操作系統、安全設備等)進行安全審計,記錄所有發生的事件,提供給系統管理員作為系統維護以及安全防範的依據。安全審計如同銀行的監控系統,不論是什麼人進出銀行,都進行如實登記,並且每個人在銀行中的行動,乃至一個茶杯的挪動都被如實的記錄,一旦有突發事件可以快速的查閱進出記錄和行為記錄,確定問題所在,以便採取相應的處理措施。
近幾年,涉密系統規模不斷擴大,系統中使用的設備也逐漸增多,每種設備都帶有自己的審計模塊,另外還有專門針對某一種網路應用設計的審計系統,如:操作系統的審計、資料庫審計系統、網路安全審計系統、應用程序審計系統等,但是都無法做到對計算機信息系統全面的安全審計,另外審計數據格式不統一、審計分析規則無法統一定製也給系統的全面綜合審計造成了一定的困難。如果在當前的系統條件下希望全面掌握信息系統的運行情況,就需要對每種設備的審計模塊熟練操作,並且結合多種專用審計產品才能夠做到。
為了能夠方便地對整個計算機信息系統進行審計,就需要設計綜合的安全審計系統。它的目標是通過數據挖掘和數據倉庫等技術,實現在不同網路環境中對網路設備、終端、數據資源等進行監控和管理,在必要時通過多種途徑向管理員發出警告或自動採取排錯措施,並且能夠對歷史審計數據進行分析、處理和追蹤。主要作用有以下幾個方面:
1. 對潛在的攻擊者起到震懾和警告的作用;
2. 對於已經發生的系統破壞行為提供有效的追究證據;
3. 為系統管理員提供有價值的系統使用日誌,從而幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞;
4. 為系統管理員提供系統的統計日誌,使系統管理員能夠發現系統性能上的不足或需要改進和加強的地方。
三、涉密信息系統安全審計包括的內容
《中華人民共和國計算機信息系統安全保護條例》中定義的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網路)構成的,按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。涉密計算機信息系統(以下簡稱「涉密信息系統」)在《計算機信息系統保密管理暫行規定》中定義為:採集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統。所以針對涉密信息系統的安全審計的內容就應該針對涉密信息系統的每一個方面,應該對計算機及其相關的和配套的設備、設施(含網路),以及對信息的採集、加工、存儲、傳輸和檢索等方面進行審計。
具體來說,應該對一個涉密信息系統中的以下內容進行安全審計:
被審計資源安全審計內容
網路通信系統網路流量中典型協議分析、識別、判斷和記錄,Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測,流量監測以及對異常流量的識別和報警、網路設備運行的監測等。
重要伺服器主機操作系統系統啟動、運行情況,管理員登錄、操作情況,系統配置更改(如注冊表、配置文件、用戶系統等)以及病毒或蠕蟲感染、資源消耗情況的審計,硬碟、CPU、內存、網路負載、進程、操作系統安全日誌、系統內部事件、對重要文件的訪問等。
重要伺服器主機應用平台軟體重要應用平台進程的運行、Web Server、Mail Server、Lotus、Exchange Server、中間件系統、健康狀況(響應時間等)等。
重要資料庫操作資料庫進程運轉情況、繞過應用軟體直接操作資料庫的違規訪問行為、對資料庫配置的更改、數據備份操作和其他維護管理操作、對重要數據的訪問和更改、數據完整性等的審計。
重要應用系統辦公自動化系統、公文流轉和操作、網頁完整性、相關業務系統(包括業務系統正常運轉情況、用戶開設/中止等重要操作、授權更改操作、數據提交/處理/訪問/發布操作、業務流程等內容)等。
重要網路區域的客戶機病毒感染情況、通過網路進行的文件共享操作、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等的審計
四、安全審計系統使用的關鍵技術
根據在涉密信息系統中要進行安全審計的內容,我們可以從技術上分為以下幾個模塊:
1.網路審計模塊:主要負責網路通信系統的審計;
2.操作系統審計模塊:主要負責對重要伺服器主機操作系統的審計;
3.資料庫審計模塊:主要負責對重要資料庫操作的審計;
4.主機審計模塊:主要負責對網路重要區域的客戶機進行審計;
5.應用審計模塊:主要負責重要伺服器主機的應用平台軟體,以及重要應用系統進行審計。
還需要配備一個資料庫系統,負責以上審計模塊生成的審計數據的存儲、檢索、數據分析等操作,另外,還需要設計一個統一管理平台模塊,負責接收各審計模塊發送的審計數據,存入資料庫,以及向審計模塊發布審計規則。如下圖所示:
安全審計系統中應解決如下的關鍵技術:
1.網路監聽:
是安全審計的基礎技術之一。它應用於網路審計模塊,安裝在網路通信系統的數據匯聚點,通過抓取網路數據包進行典型協議分析、識別、判斷和記錄,Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測,流量監測以及對異常流量的識別和報警、網路設備運行的監測等,另外也可以進行資料庫網路操作的審計。
2.內核驅動技術:
是主機審計模塊、操作系統審計模塊的核心技術,它可以做到和操作系統的無縫連接,可以方便的對硬碟、CPU、內存、網路負載、進程、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等進行審計。
3.應用系統審計數據讀取技術:
大多數的多用戶操作系統(Windows、UNIX等)、正規的大型軟體(資料庫系統等)、多數安全設備(防火牆、防病毒軟體等)都有自己的審計功能,日誌通常用於檢查用戶的登錄、分析故障、進行收費管理、統計流量、檢查軟體運行情況和調試軟體,系統或設備的審計日誌通常可以用作二次開發的基礎,所以如何讀取多種系統和設備的審計日誌將是解決操作系統審計模塊、資料庫審計模塊、應用審計模塊的關鍵所在。
4.完善的審計數據分析技術:
審計數據的分析是一個安全審計系統成敗的關鍵,分析技術應該能夠根據安全策略對審計數據具備評判異常和違規的能力,分為實時分析和事後分析:
實時分析:提供或獲取審計數據的設備和軟體應該具備預分析能力,並能夠進行第一道篩選;
事後分析:統一管理平台模塊對記錄在資料庫中的審計記錄進行事後分析,包括統計分析和數據挖掘。
五、安全審計系統應該注意的問題
安全審計系統的設計應該注意以下幾個問題:
1.審計數據的安全:
在審計數據的獲取、傳輸、存儲過程中都應該注意安全問題,同樣要保證審計信息的「五性」。在審計數據獲取過程中應該防止審計數據的丟失,應該在獲取後盡快傳輸到統一管理平台模塊,經過濾後存入資料庫,如果沒有連接到管理平台模塊,則應該在本地進行存儲,待連接後再發送至管理平台模塊,並且應該採取措施防止審計功能被繞過;在傳輸過程中應該防止審計數據被截獲、篡改、丟失等,可以採用加密演算法以及數字簽名方式進行控制;在審計數據存儲時應注意資料庫的加密,防止資料庫溢出,當資料庫發生異常時,有相應的應急措施,而且應該在進行審計數據讀取時加入身份鑒別機制,防止非授權的訪問。
2.審計數據的獲取
首先要把握和控制好數據的來源,比如來自網路的數據截取;來自系統、網路、防火牆、中間件等系統的日誌;通過嵌入模塊主動收集的系統內部信息;通過網路主動訪問獲取的信息;來自應用系統或安全系統的審計數據等。有數據源的要積極獲取;沒有數據源的要設法生成數據。對收集的審計數據性質也要分清哪些是已經經過分析和判斷的數據,哪些是沒有分析的原始數據,要做出不同的處理。
另外,應該設計公開統一的日誌讀取API,使應用系統或安全設備開發時,就可以將審計日誌按照日誌讀取API的模式進行設計,方便日後的審計數據獲取。
3.管理平台分級控制
由於涉密信息系統的迅速發展,系統規模也在不斷擴大,所以在安全審計設計的初期就應該考慮分布式、跨網段,能夠進行分級控制的問題。也就是說一個涉密信息系統中可能存在多個統一管理平台,各自管理一部分審計模塊,管理平台之間是平行關系或上下級關系,平級之間不能互相管理,上級可以向下級發布審計規則,下級根據審計規則向上級匯報審計數據。這樣能夠根據網路規模及安全域的劃分靈活的進行擴充和改變,也有利於整個安全審計系統的管理,減輕網路的通信負擔。
4.易於升級維護
安全審計系統應該採用模塊設計,這樣有利於審計系統的升級和維護。
專家預測,安全審計系統在2003年是最熱門的信息安全技術之一。國內很多信息安全廠家都在進行相關技術的研究,有的已經推出了成型的產品,另一方面,相關的安全審計標准也在緊鑼密鼓的制定當中,看來一個安全審計的春天已經離我們越來越近了。
但是信息系統的安全從來都是一個相對的概念,只有相對的安全,而沒有絕對的安全。安全也是一個動態發展的過程,隨著網路技術的發展,安全審計還有很多值得關注的問題,如:
1. 網路帶寬由現在的100兆會增加到1G,安全審計如何對千兆網路進行審計就是值得關注的問題;
2. 當前還沒有一套為各信息安全廠商承認的安全審計介面標准,標準的制定與應用將會使安全審計跨上一個新的台階;
3. 現在的安全審計都建立在TCP/IP協議之上,如果有系統不採用此協議,那麼如何進行安全審計。
六、小結
安全審計作為一門新的信息安全技術,能夠對整個計算機信息系統進行監控,如實記錄系統內發生的任何事件,一個完善的安全審計系統可以根據一定的安全策略記錄和分析歷史操作事件及數據,有效的記錄攻擊事件的發生,提供有效改進系統性能和的安全性能的依據。本文從安全審計的概念、在涉密信息系統中需要審計的內容、安全審計的關鍵技術及安全審計系統應該注意的問題等幾個方面討論了安全審計在涉密信息系統中的應用。安全審計系統應該全面地對整個涉密信息系統中的網路、主機、應用程序、資料庫及安全設備等進行審計,同時支持分布式跨網段審計,集中統一管理,可對審計數據進行綜合的統計與分析,從而可以更有效的防禦外部的入侵和內部的非法違規操作,最終起到保護機密信息和資源的作用。