信息系统安全审计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
可靠性(Reliability)
◦ 可靠性是指系统在规定条件下和规定时间内、完成规定功 能的概率。目前,系统可靠性研究基本上偏重于硬件可靠 性方面。研制高可靠性元器件设备,采取合理的冗余备份 措施仍是最基本的可靠性对策,然而,有许多故障和事故, 则与软件可靠性、人员可靠性和环境可靠性有关。
完整性(Integrity)
我国的《中华人民共和国计算机信息系统安全保护 条例》中指出:
计算机信息系统安全保护是指:保障计算机及相关 配套设施(含网络)安全,运行环境安全,信息安 全,计算机功能正常发挥,以维护计算机信息系统 的安全运行。
信息系统安全有五个基本属性,分别是可用性、可 靠性、完整性、保密性和不可抵赖性。
不可抵赖性(Non-Repudiation)
◦ 不可抵赖性是面向通信双方(人、实体或进程)信息真实 同一的安全要求,它包括收、发双方均不可抵赖。一是源 发证明,使发送者谎称未发送过这些信息或者否认它的内 容的企图不能得逞;二是交付证明,使接收者谎称未接收 过这些信息或者否认它的内容的企图不能得逞。
◦ 信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、 插入等破坏的特性。即信息的内容不能为未授权的第三方 修改。信息在存储或传输时不被修改、破坏,不出现信息 包的丢失、乱序等。
保密性(Confidentiality)
◦ 保密性是指确保信息不暴露给未授权的实体或进程。即 信息的内容不会被未授权的第三方所知。
安全机构审计的主要关注点如下:
是否成立指导和管理信息安全工作的委员会或领导 小组,其最高领导由单位主管领导委任或授权;
是否制定文件明确安全管理机构各个部门和岗位的 职责、分工和技能要求
是否设立信息安全管理工作的职能部门,设立安全 主管、安全管理各个方面的负责人岗位,并定义各 负责人的职责;
网络安全:在八十年代后期,尤其是九十年代因特网的 发展,网络成了计算机应用的重要形式。网络安全一词 被广泛采用,用以强调在整个网络环境的安全,不仅包 括网络技术手段,还包括网络安全管理等方面。
信息保障:其内涵包括安全保护、监控、反应、恢复, 即强调计算机系统(包括网络)安全的系统状况,动态 管理过程。
信息系统安全概念的发展
计算机安全:虽然计算机早在40年代中期就已面世, 但20多年后才提出计算机在使用中存在计算机安全问 题,此时的计算机安全主要是指实体安全及传输加密问 题。
计算机系统安全:七十年代末至八十年代,因各类计算 机软硬件系统的发展而提出计算机系统安全。此时不仅 指实体(物理)安全,也包括软件与信息内容的安全。
可用性(Availability)
◦ 得到授权的实体在需要时可访问资源和服务。可用性是指 无论何时,只要用户需要,信息系统必须是可用的,也就 是说信息系统不能拒绝服务。攻击者通常采用占用资源的 手段阻碍授权者的工作,可以使用访问控制机制,阻止非 授权用户进入网络,保证网络系统的可用性。增强可用性 还包括如何有效地避免因各种灾害(战争、地震等)造成 的系统失效。
2. 信息系统安全审计
信息系统安全审计是对被审计单位的信息系统安全 控制体系进行全面审查与评价,确认其是否健全有 效,从而确保信息系统安全运行。其目标在于审查 安全控制体系设计的有效性,以及安全控制措施执 行的有效性,最终得出审计结论。
信息系统安全审计分成两大内容域:安全管理控制 审计、安全技术控制审计。
是否设立系统管理员、网络管理员、安全管理员等 岗位,并定义各个工作岗位的职责。
安全机构审计可遵循如下程序: (1)查阅被审计单位信息安全工作领导小组的成立文
总而言之,信息系统安全是有关人、计算机网络、 物理环境的技术安全和管理安全的总和。
其中,人包括各类用户、支持人员,以及技术管理 和行政管理人员;
计算机网络则指以计算机、网络互联设备、传输介 质、信息内容及其操作系统、通信协议和应用程序 所构成完整体系;
物理环境则是系统稳定和可靠运行所需要的保障体 系,包括建筑物、机房、动力保障等。
网络安全
安全技术控制审计
操作系统安全
数据库安全
安全管理组织机构(领导小组、部门与岗位) 安全职责认知度 信息安全管理制度 信息安全风险评估政策 信息安全事件处理响应 安全意识与教育计划 人员(录用、离职、考核)安全管理 机房环境安全(防火、水、温湿度等) 物理安全(安全位置、物理访问) 网络结构 网络访问(各设备的账户口令授权) 网络数据传输安全 网络入侵与病毒防范安全 网络安全日志 用户标识与鉴别(账户、口令) 操作系统授权认证(存取控制) 操作系统日志 操作系统服务安全(补丁、防病毒、文件共享等) 用户标识与鉴别(账户、口令) 数据库授权认证(存取控制) 数据库日志 数据库服务安全(补丁、监听器访问、超时退出等)
2.1 安全管理控制审计
安全管理控制审计有三个方面的审计子项:
◦ 安全机构审计 ◦ 安全制度审计 ◦ 人力资源安全审计
2.1.1 信息安全机构审计
常见的信息安全管理机构包括:信息安全领导小组 (信息安全工作小组、应急小组),信息安全部门 或岗位(如信息安全部、信息安全委员会、CIO、 安全管理员、系统管理员、网络管理员等)。
安全管理控制审计主要内容包括:安全机构审计、 安全制度审计和人力资源安全审计。
安全技术控制审计主要内容包括:物理环境安全审 计、网络安全审计、操作系统安全审计和数据库安 全审计。
图1 信息系统安全审计----内容域
安全审计两大内容域
审计事项子类
关键控制点
安全机构 安全管理控制审计 安全制度
人力资源安全 物理环境安全
信息系统安全审计
主要内容
1. 信息系统安全概述 2. 安全审计
安全管理控制审计 安全技术控制审计
3. 某市医院管理信息系统审计案例
ቤተ መጻሕፍቲ ባይዱ
1. 信息系统安全概述
信息资产与人力资源、财务资产和实物资产一样, 都是组织的重要商业资产。随着组织对信息系统的 依赖性越来越强,信息安全问题也变得日益严峻。 据统计,信息安全问题大约60%以上是由管理方面 原因造成的,信息安全是一个同时涉及安全技术与 管理的综合难题。