信息系统安全审计课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全审计
10
2. 信息系统安全审计
信息系统安全审计是对被审计单位的信息系统安全 控制体系进行全面审查与评价,确认其是否健全有 效,从而确保信息系统安全运行。其目标在于审查 安全控制体系设计的有效性,以及安全控制措施执 行的有效性,最终得出审计结论。
信息系统安全审计
ຫໍສະໝຸດ Baidu11
信息系统安全审计分成两大内容域:安全管理控制 审计、安全技术控制审计。
网络访问(各设备的账户口令授权)
网络数据传输安全
网络入侵与病毒防范安全
网络安全日志
用户标识与鉴别(账户、口令)
操作系统授权认证(存取控制)
操作系统日志
操作系统服务安全(补丁、防病毒、文件共享等)
用户标识与鉴别(账户、口令)
数据库授权认证(存取控制)
数据库日志
数据库服务安全(补丁、监听器访问、超时退出等)
信息系统安全审计
3
信息系统安全概念的发展
计算机安全:虽然计算机早在40年代中期就已面世, 但20多年后才提出计算机在使用中存在计算机安全问 题,此时的计算机安全主要是指实体安全及传输加密问 题。
计算机系统安全:七十年代末至八十年代,因各类计算 机软硬件系统的发展而提出计算机系统安全。此时不仅 指实体(物理)安全,也包括软件与信息内容的安全。
信息系统安全审计
15
安全机构审计的主要关注点如下:
是否成立指导和管理信息安全工作的委员会或领导 小组,其最高领导由单位主管领导委任或授权;
是否制定文件明确安全管理机构各个部门和岗位的 职责、分工和技能要求
信息系统安全审计
13
2.1 安全管理控制审计
安全管理控制审计有三个方面的审计子项:
◦ 安全机构审计 ◦ 安全制度审计 ◦ 人力资源安全审计
信息系统安全审计
14
2.1.1 信息安全机构审计
常见的信息安全管理机构包括:信息安全领导小组 (信息安全工作小组、应急小组),信息安全部门 或岗位(如信息安全部、信息安全委员会、CIO、 安全管理员、系统管理员、网络管理员等)。
网络安全:在八十年代后期,尤其是九十年代因特网的 发展,网络成了计算机应用的重要形式。网络安全一词 被广泛采用,用以强调在整个网络环境的安全,不仅包 括网络技术手段,还包括网络安全管理等方面。
信息保障:其内涵包括安全保护、监控、反应、恢复, 即强调计算机系统(包括网络)安全的系统状况,动态 管理过程。
信息系统安全审计
6
可靠性(Reliability)
◦ 可靠性是指系统在规定条件下和规定时间内、完成规定功 能的概率。目前,系统可靠性研究基本上偏重于硬件可靠 性方面。研制高可靠性元器件设备,采取合理的冗余备份 措施仍是最基本的可靠性对策,然而,有许多故障和事故, 则与软件可靠性、人员可靠性和环境可靠性有关。
信息系统安全审计
4
我国的《中华人民共和国计算机信息系统安全保护 条例》中指出:
计算机信息系统安全保护是指:保障计算机及相关 配套设施(含网络)安全,运行环境安全,信息安 全,计算机功能正常发挥,以维护计算机信息系统 的安全运行。
信息系统安全审计
5
信息系统安全有五个基本属性,分别是可用性、可 靠性、完整性、保密性和不可抵赖性。
人力资源安全 物理环境安全
网络安全
安全技术控制审计
操作系统安全
数据库安全
安全管理组织机构(领导小组、部门与岗位)
安全职责认知度
信息安全管理制度
信息安全风险评估政策
信息安全事件处理响应
安全意识与教育计划
人员(录用、离职、考核)安全管理
机房环境安全(防火、水、温湿度等)
物理安全(安全位置、物理访问)
网络结构
信息系统安全审计
8
不可抵赖性(Non-Repudiation)
◦ 不可抵赖性是面向通信双方(人、实体或进程)信息真实 同一的安全要求,它包括收、发双方均不可抵赖。一是源 发证明,使发送者谎称未发送过这些信息或者否认它的内 容的企图不能得逞;二是交付证明,使接收者谎称未接收 过这些信息或者否认它的内容的企图不能得逞。
信息系统安全审计
信息系统安全审计
1
主要内容
1. 信息系统安全概述 2. 安全审计
安全管理控制审计 安全技术控制审计
3. 某市医院管理信息系统审计案例
信息系统安全审计
2
1. 信息系统安全概述
信息资产与人力资源、财务资产和实物资产一样, 都是组织的重要商业资产。随着组织对信息系统的 依赖性越来越强,信息安全问题也变得日益严峻。 据统计,信息安全问题大约60%以上是由管理方面 原因造成的,信息安全是一个同时涉及安全技术与 管理的综合难题。
信息系统安全审计
9
总而言之,信息系统安全是有关人、计算机网络、 物理环境的技术安全和管理安全的总和。
其中,人包括各类用户、支持人员,以及技术管理 和行政管理人员;
计算机网络则指以计算机、网络互联设备、传输介 质、信息内容及其操作系统、通信协议和应用程序 所构成完整体系;
物理环境则是系统稳定和可靠运行所需要的保障体 系,包括建筑物、机房、动力保障等。
安全管理控制审计主要内容包括:安全机构审计、 安全制度审计和人力资源安全审计。
安全技术控制审计主要内容包括:物理环境安全审 计、网络安全审计、操作系统安全审计和数据库安 全审计。
信息系统安全审计
12
图1 信息系统安全审计----内容域
安全审计两大内容域
审计事项子类
关键控制点
安全机构 安全管理控制审计 安全制度
信息系统安全审计
7
完整性(Integrity)
◦ 信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、 插入等破坏的特性。即信息的内容不能为未授权的第三方 修改。信息在存储或传输时不被修改、破坏,不出现信息 包的丢失、乱序等。
保密性(Confidentiality)
◦ 保密性是指确保信息不暴露给未授权的实体或进程。即 信息的内容不会被未授权的第三方所知。
可用性(Availability)
◦ 得到授权的实体在需要时可访问资源和服务。可用性是指 无论何时,只要用户需要,信息系统必须是可用的,也就 是说信息系统不能拒绝服务。攻击者通常采用占用资源的 手段阻碍授权者的工作,可以使用访问控制机制,阻止非 授权用户进入网络,保证网络系统的可用性。增强可用性 还包括如何有效地避免因各种灾害(战争、地震等)造成 的系统失效。