1、杨洋,杨洋,Feb, 2008n1998),CISA(2002), SCJP,IBM电子商务咨询师,IBM WSAD Developern目前为同济大学电信学院博士后,主要研究领域:基于移动计算的安全接入关键技术杨洋,概况1您的内容打在这里,或者通过复制您的文本后。概况2您的内容打在这里,或者通过复制您的文本后。概况3您的内容打在这里,或者通过复制您的文本后。+整体概况杨洋,杨洋,Feb, 20081.文档复核2. 面询与问卷设计3. 比对技术4. 业务观察与穿行测试5. 渗透测试6. 数据测试7. 数据采集与分析一、 常用审计方法概述杨洋,杨洋,Feb, 2008n理解目标背景n理解风险点与
2、内控n理解系统目标与期望业务输出n理解系统架构n发现异常与违规1.文档复核杨洋,杨洋,Feb, 20082.面询与问卷设计n面谈准备:n背景研究n确定对象n内容、时间和地点n面谈实施:n时间控制n气氛把握n记录方式n确认n后续分析杨洋,杨洋,Feb, 20082.面询与问卷设计n问卷调查n问题设计n目的性n问卷对象:专业性与客观性n答案的明确性n如何避免答案失真杨洋,杨洋,Feb, 20083.比对技术n源代码比对n目标代码比对n特征值比对杨洋,杨洋,Feb, 20084.业务观察与穿行测试n实际岗位分工与制度是否一致n穿行测试(walkthrough):实际流程是否一致n安全意识n汇报路线:
3、权责是否一致杨洋,杨洋,Feb, 2008n模拟攻击行为,发现漏洞n关键:n实施风险分析n全面备份与恢复计划n委托专业机构5.渗透测试杨洋,杨洋,Feb, 20086. 数据测试n测试n选择重要模块n数据设计n覆盖各种情况:数据类型、编码违规、违反逻辑条件、数据文件不一致n来源:实际业务数据、用户测试数据、审计师测试数据、自动生成数据n一般方式:n黑盒n白盒杨洋,杨洋,Feb, 20086. 数据测试n测试类型nITF(生产环境中用测试用例)n输入标记n消除影响n平行模拟(SQL,EXCEL+VBA)n开发原型n新旧系统交接杨洋,杨洋,Feb, 20087. 数据采集与分析n直接获取系统数据,
4、特别是业务输入与业务输出n分析性复核杨洋,杨洋,Feb, 20087. 数据采集与分析nGAAT:nACL、IDEAnACCESS 、SQL ServernSPSS、EXCELn工具的选择:n功能与易用性n使用习惯与方便获取杨洋,杨洋,Feb, 20081. 对组织管理架构的审计2. 对IT外包的审计3. 对IT基础设施与环境的审计4. 对备份和业务持续性的审计5. 对开发和获取过程的审计6. 对系统变更过程的审计二、 一般控制审计实务杨洋,杨洋,Feb, 20081. 对组织管理架构的审计n组织模式对系统风险的影响n分布式/集中式nIT治理n岗位分工杨洋,杨洋,Feb, 2008IT岗位分权
5、控制小组系统分析员应用程序员数据录入员操作员数据库管理员安全管理员备份管理员系统程序员质量保证小组控制小组系统分析员应用程序员数据录入员操作员数据库管理员安全管理员备份管理员系统程序员质量保证小组杨洋,杨洋,Feb, 20081. 对组织管理架构的审计n关键风险和控制n参考材料:“IT组织管理架构审计要点”n案例讨论:n案例1:大连某企业工资核算系统n案例2:某企业雇员退出管理漏洞与案件杨洋,杨洋,Feb, 20082. 对IT外包的审计n外包审计的主要关注点n核心竞争力n信息安全n系统可靠性n业务长期可持续性杨洋,杨洋,Feb, 20082. 对IT外包的审计n关键风险和控制n参考材料:“I
6、T外包审计要点”n案例讨论:n案例1:某通信服务企业充值卡案件n案例2:澳大利亚政府部门IT外包综合审计杨洋,杨洋,Feb, 20083. 对IT基础设施与环境的审计n审计范畴n硬件环境与防灾n主机硬件安全n底层支撑系统安全n通信线路安全n数据存储/IO安全n物理访问控制n杨洋,杨洋,Feb, 20083. 对IT基础设施与环境的审计n审计依据nGB计算站相关标准nISO17799/BS7799nGB建筑、防雷等相关标准杨洋,杨洋,Feb, 20083. 对IT基础设施与环境的审计n关键风险与控制n参考材料:“IT基础设施审计要点”n 案例讨论:n案例1:打印共享设备物理访问安全n案例2:某跨
7、国企业信息系统渗透测试过程与结果杨洋,杨洋,Feb, 20084. 对备份和业务持续性的审计n关键风险与控制n参考材料:“BCP审计要点”n 案例讨论n某企业灾难恢复计划审计过程与结论杨洋,杨洋,Feb, 20085. 对开发和获取过程的审计n基本概念回顾n软件工程方法论n关键风险与控制n参考材料:“开发与获取过程审计要点”杨洋,杨洋,Feb, 20085. 对开发和获取过程的审计n开发过程中的质量和安全控制n进度与成本控制n案例讨论:某局信息系统开发采购计划杨洋,杨洋,Feb, 20085. 对开发和获取过程的审计n技术先进性与系统获取n某区教育系统数据中心采购案例n全局性考虑n委托开发中的
8、知识产权问题杨洋,杨洋,Feb, 20086. 对系统变更过程的审计n系统变更对金融企业的作用n系统变更管理的一般流程杨洋,杨洋,Feb, 20086. 对系统变更过程的审计n关键风险与控制n参考材料:“系统变更审计要点”n案例讨论:n中国银联系统宕机事件杨洋,杨洋,Feb, 20081. 网络安全审计概述2. 渗透测试技术与工具3. 控制与审计要点4. 当前热点:无线接入与数据库保护三、 网络安全审计实务杨洋,杨洋,Feb, 20081. 网络安全审计概述n审计目标与范围n审计方法n了解与分析n配置检查n日志复核n漏洞扫描n渗透测试杨洋,杨洋,Feb, 20082. 渗透测试技术与工具n第一
9、步:信息搜集与背景调查n工具:ngooglen论坛n邮件n冒名电话nSocial Engineeringn 杨洋,杨洋,Feb, 20082. 渗透测试技术与工具n第二步:扫描nWhois查询n端口扫描nNMap工具n扫描监测杨洋,杨洋,Feb, 20082. 渗透测试技术与工具n第三步:漏洞利用n再看缓冲区溢出n缓冲区溢出原理与发现n演示案例:缓冲区溢出程序示例杨洋,杨洋,Feb, 2008 2. 渗透测试技术与工具n第三步:漏洞利用nPASSWORD= A OR B=BnSQL注入 nSQL注入原理n演示案例:SQL注入提权攻击n防范工具杨洋,杨洋,Feb, 20082. 渗透测试技术与工
10、具n第三步:漏洞利用n网络设备漏洞n路由器漏洞与发现n交换机漏洞与发现n案例分析杨洋,杨洋,Feb, 20082. 渗透测试技术与工具n第三步:漏洞利用n会话劫持n会话劫持原理n工具与案例分析n会话劫持的防范杨洋,杨洋,Feb, 20082. 渗透测试技术与工具n第三步:漏洞利用n数据库漏洞nOracle漏洞与利用n数据库漏洞扫描工具nImperva Scuba n案例分析杨洋,杨洋,Feb, 20082. 渗透测试技术与工具n第四步:植留后门n木马原理n实例分析n后门的检测杨洋,杨洋,Feb, 20082. 渗透测试技术与工具n第五步:隐蔽连接n隧道原理n工具:nHttptunnel杨洋,杨
11、洋,Feb, 20082. 渗透测试技术与工具n集成测试工具介绍 nMetasploit nImmunity CANVAS 杨洋,杨洋,Feb, 20083. 控制与审计要点n一般审计要点n参考材料:“网络安全审计要点”n互联网服务控制与审计要点杨洋,杨洋,Feb, 20083. 控制与审计要点n演示案例:n某政府内网渗透过程模拟n案例讨论:n某跨国企业核心系统渗透攻击案例n某连锁企业信用卡资料渗透攻击案例杨洋,杨洋,Feb, 20084. 当前热点n无线网络技术n无线接入引发的安全风险n基于无线接入的最新攻击技术n无线网络渗透攻击过程与工具n案例讨论:n某企业无线网络安全审计过程与结论杨洋,
12、杨洋,Feb, 20084. 当前热点n数据库防护n数据库是信息系统核心n信息安全首先是数据库安全杨洋,杨洋,Feb, 2008四、 应用控制审计实务1. 应用控制审计概述2. 输入输出控制审计3. 系统性能与可靠性审计4. 数据审计5. 代码审计6. ERP系统审计7. 综合案例杨洋,杨洋,Feb, 20081. 应用控制审计概述n特点与目的n直接针对业务系统n发现系统风险及其对业务的直接影响n 证据来源n用户反馈n用例测试结果n实际业务数据n代码分析杨洋,杨洋,Feb, 20081. 应用控制审计概述n系统理解n关键文档与内容n文档缺失的处理n高风险领域的确定:变化频繁、多系统协同n确定取
13、证方式与范围杨洋,杨洋,Feb, 20082. 输入输出控制审计n输入控制审计要点nCONTROL TOTALSn多点录入n终端访问控制nSession窗口控制n输出控制审计要点n访问控制n缓冲区安全n派发路径安全杨洋,杨洋,Feb, 20083. 系统性能与可靠性审计n瓶颈分析n网络n计算能力n存储n集群、镜像与热站n未来可伸缩性n压力测试杨洋,杨洋,Feb, 20084. 数据审计n原则:n无损、保密、透明n全面、相关n采集方法n数据接口与转换工具n文件转换工具n自制转换程序杨洋,杨洋,Feb, 20084. 数据审计n分析方法:n“多维”数据分析技术n案例演示:n某商业银行信贷数据采集与
14、分析杨洋,杨洋,Feb, 20085. 代码审计n涵义:n代码规范性n代码安全性n关键处理流程正确性n后门、调试与逻辑炸弹杨洋,杨洋,Feb, 20085. 代码审计n代码审计工具n规范性审计工具n安全性审计工具n全程跟踪调试工具杨洋,杨洋,Feb, 20085. 代码审计n案例演示:n利用审计工具发现某系统代码缺陷杨洋,杨洋,Feb, 20086. ERP系统审计nERP系统审计的特殊性n体系复杂n审计方法成熟n提供丰富的审计工具n示例:Oracle审计要点 n参考材料:“Oracle审计要点”杨洋,杨洋,Feb, 20087. 综合案例n应用控制审计案例讨论:n审计计划的确定n审计过程与发现n审计报告与披露