CISA_IT审计实务培训2-审计实务

Feb,2008金融企业IT审计实务培训——2.实务、方法与工具杨洋（yycisa@263.net）杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,2008主讲人简介杨洋管理学博士（信息管理与信息安全方向，同济大学）会计学学士、硕士（东北财经大学）高级程序员（1998），CISA（2002）,SCJP，IBM电子商务咨询师，IBMWSADDeveloper目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20081.文档复核2.面询与问卷设计3.比对技术4.业务观察与穿行测试5.渗透测试6.数据测试7.数据采集与分析一、常用审计方法概述杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,2008理解目标背景理解风险点与内控理解系统目标与期望业务输出理解系统架构发现异常与违规1.文档复核杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.面询与问卷设计面谈准备：背景研究确定对象内容、时间和地点面谈实施：时间控制气氛把握记录方式确认后续分析杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.面询与问卷设计问卷调查问题设计目的性问卷对象：专业性与客观性答案的明确性如何避免答案失真杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20083.比对技术源代码比对目标代码比对特征值比对杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20084.业务观察与穿行测试实际岗位分工与制度是否一致穿行测试（walk－through）：实际流程是否一致安全意识汇报路线：权责是否一致杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,2008模拟攻击行为，发现漏洞关键：实施风险分析全面备份与恢复计划委托专业机构5.渗透测试杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20086.数据测试测试选择重要模块数据设计覆盖各种情况：数据类型、编码违规、违反逻辑条件、数据文件不一致……来源：实际业务数据、用户测试数据、审计师测试数据、自动生成数据一般方式：黑盒白盒杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20086.数据测试测试类型ITF(生产环境中用测试用例）输入标记消除影响平行模拟(SQL,EXCEL+VBA)开发原型新旧系统交接杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20087.数据采集与分析直接获取系统数据，特别是业务输入与业务输出分析性复核杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20087.数据采集与分析GAAT：ACL、IDEAACCESS、SQLServerSPSS、EXCEL工具的选择：功能与易用性使用习惯与方便获取杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20081.对组织管理架构的审计2.对IT外包的审计3.对IT基础设施与环境的审计4.对备份和业务持续性的审计5.对开发和获取过程的审计6.对系统变更过程的审计二、一般控制审计实务杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20081.对组织管理架构的审计组织模式对系统风险的影响分布式/集中式IT治理岗位分工杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,2008IT岗位分权控制小组系统分析员应用程序员数据录入员操作员数据库管理员安全管理员备份管理员系统程序员质量保证小组控制小组系统分析员应用程序员数据录入员操作员数据库管理员安全管理员备份管理员系统程序员质量保证小组杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20081.对组织管理架构的审计关键风险和控制参考材料：“IT组织管理架构审计要点”案例讨论：案例1：大连某企业工资核算系统案例2：某企业雇员退出管理漏洞与案件杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.对IT外包的审计外包审计的主要关注点核心竞争力信息安全系统可靠性业务长期可持续性杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.对IT外包的审计关键风险和控制参考材料：“IT外包审计要点”案例讨论：案例1：某通信服务企业充值卡案件案例2：澳大利亚政府部门IT外包综合审计杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20083.对IT基础设施与环境的审计审计范畴硬件环境与防灾主机硬件安全底层支撑系统安全通信线路安全数据存储/IO安全物理访问控制……杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20083.对IT基础设施与环境的审计审计依据GB计算站相关标准ISO17799/BS7799GB建筑、防雷等相关标准杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20083.对IT基础设施与环境的审计关键风险与控制参考材料：“IT基础设施审计要点”案例讨论：案例1：打印共享设备物理访问安全案例2：某跨国企业信息系统渗透测试过程与结果杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20084.对备份和业务持续性的审计关键风险与控制参考材料：“BCP审计要点”案例讨论某企业灾难恢复计划审计过程与结论杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20085.对开发和获取过程的审计基本概念回顾软件工程方法论关键风险与控制参考材料：“开发与获取过程审计要点”杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20085.对开发和获取过程的审计开发过程中的质量和安全控制进度与成本控制案例讨论：某局信息系统开发采购计划杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20085.对开发和获取过程的审计技术先进性与系统获取某区教育系统数据中心采购案例全局性考虑委托开发中的知识产权问题杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20086.对系统变更过程的审计系统变更对金融企业的作用系统变更管理的一般流程杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20086.对系统变更过程的审计关键风险与控制参考材料：“系统变更审计要点”案例讨论：中国银联系统宕机事件杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20081.网络安全审计概述2.渗透测试技术与工具3.控制与审计要点4.当前热点：无线接入与数据库保护三、网络安全审计实务杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20081.网络安全审计概述审计目标与范围审计方法了解与分析配置检查日志复核漏洞扫描渗透测试杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具第一步：信息搜集与背景调查工具：google论坛邮件冒名电话SocialEngineering……杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具第二步：扫描Whois查询端口扫描NMap工具扫描监测杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具第三步：漏洞利用再看缓冲区溢出缓冲区溢出原理与发现演示案例：缓冲区溢出程序示例杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具第三步：漏洞利用PASSWORD=A’OR‘B’=‘BSQL注入SQL注入原理演示案例：SQL注入提权攻击防范工具杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具第三步：漏洞利用网络设备漏洞路由器漏洞与发现交换机漏洞与发现案例分析杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具第三步：漏洞利用会话劫持会话劫持原理工具与案例分析会话劫持的防范杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具第三步：漏洞利用数据库漏洞Oracle漏洞与利用数据库漏洞扫描工具ImpervaScuba案例分析杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具第四步：植留后门木马原理实例分析后门的检测杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具第五步：隐蔽连接隧道原理工具：Httptunnel杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.渗透测试技术与工具集成测试工具介绍MetasploitImmunityCANVAS杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20083.控制与审计要点一般审计要点参考材料：“网络安全审计要点”互联网服务控制与审计要点杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20083.控制与审计要点演示案例：某政府内网渗透过程模拟案例讨论：某跨国企业核心系统渗透攻击案例某连锁企业信用卡资料渗透攻击案例杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20084.当前热点无线网络技术无线接入引发的安全风险基于无线接入的最新攻击技术无线网络渗透攻击过程与工具案例讨论：某企业无线网络安全审计过程与结论杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20084.当前热点数据库防护数据库是信息系统核心信息安全首先是数据库安全杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,2008四、应用控制审计实务1.应用控制审计概述2.输入输出控制审计3.系统性能与可靠性审计4.数据审计5.代码审计6.ERP系统审计7.综合案例杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20081.应用控制审计概述特点与目的直接针对业务系统发现系统风险及其对业务的直接影响证据来源用户反馈用例测试结果实际业务数据代码分析杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20081.应用控制审计概述系统理解关键文档与内容文档缺失的处理高风险领域的确定：变化频繁、多系统协同确定取证方式与范围杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20082.输入输出控制审计输入控制审计要点CONTROLTOTALS多点录入终端访问控制Session窗口控制输出控制审计要点访问控制缓冲区安全派发路径安全杨洋，yycisa@263.net杨洋，yycisa@263.netFeb,20083.系统性能与可靠性审计瓶颈分析网络计算能力存储集群