8 信息系统安全审计

《8 信息系统安全审计》由会员分享，可在线阅读，更多相关《8 信息系统安全审计（42页珍藏版）》请在金锄头文库上搜索。

1、 1.信息系统安全概述2.安全审计l安全管理控制审计l安全技术控制审计3.某市医院管理信息系统审计案例信息资产与人力资源、财务资产和实物资产一样， 都是组织的重要商业资产。随着组织对信息系统的 依赖性越来越强，信息安全问题也变得日益严峻。 据统计，信息安全问题大约60%以上是由管理方面 原因造成的，信息安全是一个同时涉及安全技术与 管理的综合难题。计算机安全：虽然计算机早在40年代中期就已面世， 但20多年后才提出计算机在使用中存在计算机安全问 题，此时的计算机安全主要是指实体安全及传输加密问 题。 计算机系统安全：七十年代末至八十年代，因各类计算 机软硬件系统的发展而提出计算机系统安全。此时

2、不仅 指实体（物理）安全，也包括软件与信息内容的安全。 网络安全：在八十年代后期，尤其是九十年代因特网的 发展，网络成了计算机应用的重要形式。网络安全一词 被广泛采用，用以强调在整个网络环境的安全，不仅包 括网络技术手段，还包括网络安全管理等方面。信息保障：其内涵包括安全保护、监控、反应、恢复， 即强调计算机系统（包括网络）安全的系统状况，动态 管理过程。我国的中华人民共和国计算机信息系统安全保护 条例中指出：计算机信息系统安全保护是指：保障计算机及相关 配套设施（含网络）安全，运行环境安全，信息安 全，计算机功能正常发挥，以维护计算机信息系统 的安全运行。信息系统安全有五个基本属性，分别是可

3、用性、可 靠性、完整性、保密性和不可抵赖性。可用性（Availability） 得到授权的实体在需要时可访问资源和服务。可用性是指 无论何时，只要用户需要，信息系统必须是可用的，也就 是说信息系统不能拒绝服务。攻击者通常采用占用资源的 手段阻碍授权者的工作，可以使用访问控制机制，阻止非 授权用户进入网络，保证网络系统的可用性。增强可用性 还包括如何有效地避免因各种灾害（战争、地震等）造成 的系统失效。可靠性（Reliability） 可靠性是指系统在规定条件下和规定时间内、完成规定功 能的概率。目前，系统可靠性研究基本上偏重于硬件可靠 性方面。研制高可靠性元器件设备，采取合理的冗余备份 措施仍

4、是最基本的可靠性对策，然而，有许多故障和事故 ，则与软件可靠性、人员可靠性和环境可靠性有关。完整性（Integrity） 信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、 插入等破坏的特性。即信息的内容不能为未授权的第三方 修改。信息在存储或传输时不被修改、破坏，不出现信息 包的丢失、乱序等。保密性（Confidentiality） 保密性是指确保信息不暴露给未授权的实体或进程。即 信息的内容不会被未授权的第三方所知。不可抵赖性（Non-Repudiation） 不可抵赖性是面向通信双方（人、实体或进程）信息真实 同一的安全要求，它包括收、发双方均不可抵赖。一是源 发证明，使发送者谎称未发送

5、过这些信息或者否认它的内 容的企图不能得逞；二是交付证明，使接收者谎称未接收 过这些信息或者否认它的内容的企图不能得逞。总而言之，信息系统安全是有关人、计算机网络、 物理环境的技术安全和管理安全的总和。其中，人包括各类用户、支持人员，以及技术管理 和行政管理人员；计算机网络则指以计算机、网络互联设备、传输介 质、信息内容及其操作系统、通信协议和应用程序 所构成完整体系；物理环境则是系统稳定和可靠运行所需要的保障体 系，包括建筑物、机房、动力保障等。信息系统安全审计是对被审计单位的信息系统安全 控制体系进行全面审查与评价，确认其是否健全有 效，从而确保信息系统安全运行。其目标在于审查 安全控制体

6、系设计的有效性，以及安全控制措施执 行的有效性，最终得出审计结论。信息系统安全审计分成两大内容域：安全管理控制 审计、安全技术控制审计。安全管理控制审计主要内容包括：安全机构审计、 安全制度审计和人力资源安全审计。安全技术控制审计主要内容包括：物理环境安全审 计、网络安全审计、操作系统安全审计和数据库安 全审计。安全审计两大内容域审计事项子类关键控制点安全管理控制审计安全机构安全管理组织机构（领导小组、部门与岗位） 安全职责认知度安全制度信息安全管理制度 信息安全风险评估政策 信息安全事件处理响应人力资源安全安全意识与教育计划 人员（录用、离职、考核）安全管理 安全技术控制审计物理环境安全机房

7、环境安全（防火、水、温湿度等） 物理安全（安全位置、物理访问）网络安全网络结构 网络访问（各设备的账户口令授权） 网络数据传输安全 网络入侵与病毒防范安全 网络安全日志操作系统安全用户标识与鉴别（账户、口令） 操作系统授权认证（存取控制） 操作系统日志 操作系统服务安全（补丁、防病毒、文件共享等）数据库安全用户标识与鉴别（账户、口令） 数据库授权认证（存取控制） 数据库日志 数据库服务安全（补丁、监听器访问、超时退出等）图1 信息系统安全审计-内容域安全管理控制审计有三个方面的审计子项： 安全机构审计 安全制度审计 人力资源安全审计常见的信息安全管理机构包括：信息安全领导小组 （信息安全工作小

8、组、应急小组），信息安全部门 或岗位（如信息安全部、信息安全委员会、CIO、 安全管理员、系统管理员、网络管理员等）。安全机构审计的主要关注点如下：是否成立指导和管理信息安全工作的委员会或领导 小组，其最高领导由单位主管领导委任或授权；是否制定文件明确安全管理机构各个部门和岗位的 职责、分工和技能要求是否设立信息安全管理工作的职能部门，设立安全 主管、安全管理各个方面的负责人岗位，并定义各 负责人的职责；是否设立系统管理员、网络管理员、安全管理员等 岗位，并定义各个工作岗位的职责。 安全机构审计可遵循如下程序： （1）查阅被审计单位信息安全工作领导小组的成立文 件。审查是否有正式信息安全工作领

9、导小组，是否由管 理层正式委派，各责任主体的安全职责是否清晰明确。 （2）查阅被审计单位各层级信息安全管理工作职能部 门和岗位职责文件。审查安全部门和岗位职责范围是否 清晰明确；是否明确配备专职的安全管理员；审查关键 岗位是否配有备份角色。 （3）查阅被审计单位信息安全工作的执行记录文件。 审查是否有日常安全管理工作执行情况的工作记录；是 否切实开展了职责范围内的工作。 （4）访谈某些内部员工以及外包IT人员，检查其对岗 位信息安全职责认识。组织的信息安全制度是一个由信息安全方针、信息 安全管理制度、信息系统管理操作规程共同构成的 制度体系。安全制度审计主要有三个方面的内容：安全管理制 度体系

10、审计、安全风险评估政策审计和安全事件管 理制度审计。这三个方面具体的审计关注点如下：安全管理制度是否制定信息安全工作的总体方针，说明机构安全 工作的总体目标、范围、原则和安全框架等；信息 安全方针是否由管理层批准，并发布传达给内部员 工和外包人员；是否建立网络层、系统层和应用层 各级管理制度，对防火墙、数据库、服务器、病毒 防范、密码安全配置、日志记录、升级补丁等作出 规范；是否建立终端计算机、工作站、便携机、系 统和网络等设备的操作规程，实现规范化操作。安全风险管理政策 是否制定切实可行的风险评估计划和方案；是否建立信息 资产清单与分类；是否周期性对信息资产进行风险评估， 相关记录应文件存档

11、；是否根据风险评估结果及时整改。安全事件管理制度 是否制定安全事件管理制度，明确安全事件类型，规定安 全事件的现场处理、事件报告和后期恢复的管理职责；是 否制定安全事件报告和响应处理程序，确定事件的报告流 程、响应和处置的范围和程度，以及处理方法等；是否在 安全事件报告和响应处理过程中，分析和鉴定事件产生的 原因、收集证据、记录处理过程、总结经验教训、制定防 止再次发生的补救措施，并妥善保存该过程中形成的所有 文件和记录。 安全制度审计可遵循如下程序： 审查安全策略、标准、规程和指南的使用，并确认有关文 档是否已发放给相关员工。 检查被审计单位的实体安全、软件安全、数据安全、通信 网络安全、系

12、统入侵检测和病毒防范管理制度，确认其是 否健全。 查阅信息资产清单文件与风险评估记录，审查安全风险管 理执行的有效性。 审查安全应急小组职责文件和事件响应流程，评价安全事 件处理与响应措施的有效性。组织内部员工、外包人员或客户故意或无意造成的 欺诈、设备或信息窃取，误用是影响信息系统安全 的最大威胁。人力资源的安全意识与相关控制措施 ，对于组织的信息系统安全是重要意义。人力资源安全审计主要有两个方面的内容：安全意 识教育培训计划审计和人员安全管理政策审计。这 两个方面具体的审计关注点如下：人员安全意识教育培训计划 是否对各类人员进行安全意识教育、岗位技能培训和相关 安全技术培训；是否对安全责任

13、和惩戒措施进行书面规定 并告知相关人员，并对违反违背安全策略和规定的人员进 行惩戒；是否定期对安全教育和培训进行书面规定、针对 不同岗位制定不同培训计划，并就信息安全基础知识、岗 位操作规程等内容进行培训；是否对安全教育和培训的情 况和结果进行记录并归档保存。人员安全管理政策 人员录用是否指定或授权专门的部门或人员负责人员录用 ；是否严格规范人员录用过程、对被录用人员的 身份、背景、专业资格和资质等进行审查，并对 其所具有的技术技能进行考核；是否与新录用人 员签署保密协议；是否从内部人员中选拔从事关 键岗位的人员，并签署岗位安全协议。人员使用 对于因工作需要，接触被审计单位商业秘密或国家秘密的

14、人 员，是否进行恰当的警示教育。组织中的人员授权使用信息 系统或权限变更，是否履行审批手续。是否建立合理的薪酬 体系，确保人员稳定。对于违反信息安全规章制度的人员， 是否给予必要的处理。人员离岗 是否制定有关管理规范，严格规范人员离岗过程，及时终止 离岗员工的所有访问权限，并取回各种身份证件、钥匙、徽 章等以及机构提供的软硬件设备；是否办理严格的调离手续 ，并承诺调离后的保密义务后方可离职。人员考核 是否定期对各岗位人员进行安全技能及安全认知的考核；是 否建立保密制度；是否定期或不定期的对保密制度执行情况 进行检查或考核，并对考核结果进行记录并保存。 查阅岗位安全协议。审查岗位安全责任、违约责

15、任、协议的有效期限和责任人签 字等内容的完整性。访谈人力资源部门，了解在人员录用时有哪些条件要求；了解对被录用人的身份 、背景、专业资格和资质的审查情况，必要时应抽查背景调查证明材料；了解对 技术人员的技能考核情况；了解与被录用人员保密协议签署情况。查阅人员录用时的技能考核文档或记录，审查考核内容和考核结果等方面内容记 录的完整性。访谈人力资源部门，询问被审计单位制定了哪些措施来保证信息安全岗位人员稳 定，必要时应查看相应制度文档。查阅被审计单位信息安全的奖惩规定，特别是对违反信息安全 规定的惩戒措施；审查信息安全奖惩规定文件的健全性，并注 意结合违规惩戒记录抽查结果，判断奖惩措施的执行情况。

16、访谈人力资源部门，了解对即将离岗人员的安全控制措施。例 如，是否及时终止离岗人员的所有访问权限，取回各种证件及 软硬件设备等；调离手续包括哪些，是否要求关键岗位人员调 离须承诺相关保密义务后方可离开，并注意抽查调离人员在保 密承诺的签字情况。查阅人员离岗的管理文档，审查是否规定了人员调离手续和离 岗要求等；是否具有对离岗人员的安全处理记录，如交还身份 证件、设备等的登记记录；是否具有按照离职程序办理调离手 续的记录。查阅审查和考核文档和记录，审查是否有人负责定期对各个岗 位人员进行安全技能及安全知识的考核；是否有对关键岗位人 员特殊的安全考核内容；查看记录日期与考核周期是否一致。安全技术控制审计有四个方面的审计事项子类：物 理环境安全审计、网络安全审计、操作系统安全审 计和数据库安全审计。物理访问的暴露风险来自自然环境，或人为灾害导 致的非授权访问或不可用风险，有可能引起组织的 财务损失，导致