欢迎来到天天文库
浏览记录
ID:42342694
大小:3.06 MB
页数:142页
时间:2019-09-13
《信息安全管理第五信息系统安全审计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第5章信息系统安全审计5.1概述5.2安全审计系统的体系结构5.3安全审计的一般流程5.4安全审计的分析方法5.5安全审计的数据源5.6信息安全审计与标准5.7计算机取证5.1概述5.1概述审计信息系统审计(信息系统)安全审计(信息系统)网络安全审计5.1概述审计(Audit)是指由专设机关依照法律对国家各级政府及金融机构、企业事业组织的重大项目和财务收支进行事前和事后的审查的独立性经济监督活动。5.1概述信息系统审计(InformationSystemAudit,ISA)是通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维
2、护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。5.1概述对信息系统审计的理解:信息系统审计是具有独立性的监督活动审计对象是以计算机为处理手段的信息系统,不仅包括会计信息系统,其他信息处理系统如人事档案管理系统,以及整个应用系统、网络系统,都是信息系统审计的对象审计的目的是揭发弊端,提高系统的安全性、可靠性、合法性和效率5.1概述安全审计(SecurityAudit))就是对系统安全的审核、稽查与计算,即在记录一切(或部分)与系统安全有关活动的基础上,对其进行分析处理、评价审查,发现系统
3、中的安全隐患,或追查造成安全事故的原因,并作出进一步的处理。信息系统安全审计是信息系统审计的一个分支,是专门针对信息系统的安全实施的审计。其审计目的是确定信息系统是否设置了相应的安全控制措施以识别、防范各种安全威胁,从而帮助被审单位的信息系统在一个更加安全的环境下运行。5.1概述对信息系统安全审计的含义可以从两方面理解1.信息系统安全审计的目的是测评系统的安全控制措施,确定其是否足以识别、防范各种“威胁”2.信息系统安全审计是针对提高系统安全性的审计五险一金审计人员在被审计单位计算机机房对其信息系统建设和运行情况进行检查5.1概述网络
4、安全审计(NetworkSecurityAudit)网络安全审计是指对与网络安全有关的活动的相关信息进行识别、记录、存储和分析,并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。网络安全审计相当于飞机上的“黑匣子”。国际标准ISO/IEC15408(俗称为CC准则):广泛应用于评估系统的安全性5.1概述审计对象:网络设备、服务器、用户电脑、数据库、应用系统、网络安全设备等。安全审计的必要性随着日益增长的互联网安全风险,安全问题的复杂性日益加大,大约76%的网络安全威胁来自于内部,其危害程度更是远远超过黑客攻击及病毒造成的损失
5、,而这些威胁绝大部分与内部各种网络访问行为有关,如何对业务系统访问和网络行为进行有效的监控,已经成为政府、企业重点关注的问题。安全审计的必要性防火墙、入侵检测等传统网络安全手段,可实现对网络异常行为的管理和监测,如网络连接和访问的合法性进行控制、监测网络攻击事件等,但是不能监控网络内容和已经授权的正常内部网络访问行为,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为(即时通讯、论坛、在线视频、P2P下载、网络游戏等)也无能为力,也难以实现针对内容、行为的监控管理及安全事件的追查取证。安全审计的必要性如何有效监控业务系统访问行
6、为和敏感信息传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是企业迫切需要解决的问题。安全审计的必要性网络信息系统在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)、检测工具(如漏洞评估、入侵检测等系统)的同时,必须通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。安全审计的必要性信息安全体系结构模型安全审计也是一项重要内容利用信息
7、系统审计建立我国网络安全的第三道防线利用信息系统审计建立我国网络安全的第三道防线“一道防线”:组织业务及操作层面的网络安全管理,由组织的一线业务部门负责。职责是识别和管理网络安全固有风险,并对风险实施有效的控制措施,是整个网络安全保障工作的基础。利用信息系统审计建立我国网络安全的第三道防线“二道防线”:网络安全风险的专职管理,由组织的风险管理部门和IT部门负责。职责是建立网络安全风险管理框架,实施独立的风险评估、计量、监测和报告,确保网络安全风险管理政策及措施有效执行,将风险控制在可接受水平。利用信息系统审计建立我国网络安全的第三道防
8、线“三道防线”:对网络安全独立的监督评价,即审计,由审计监督部门负责。职责是对网络安全风险管理的相关控制、流程和系统进行独立审阅和检查,促进一、二道防线积极履职,进一步揭示网络安全风险,为一、二道防线提供改进建议。信息系
此文档下载收益归作者所有