近年来,随着信息系统在企业履行职责中的支持作用越来越强,企业信息系统逐渐向外部机构和互联网开放。它面临的入侵风险日益增加。如何利用各种可信安全工具对信息系统的安全性进行渗透测试审计,是当前信息系统审计工作的一项尝试。
四种信息系统安全审计方法。
在过去两年的信息系统审计中,审计师不再局限于传统的检查方法,而是逐渐延伸到挖洞、看代码、查日志等审计方法。以下是信息系统安全审计的四种方法。
(一)配置检查(查看配置)
配置检查是指分析操作系统、数据库、网络设备和中间部件的配置文件,评估其安全性。在传统的信息系统中。在统一审计中,系统安全审计通常指配置检查,近年来企业信息系统的审计通过程序脚本逐渐实现了操作系统、数据库统、数据库和网络设备的自动配置检查。配置检查的优点是标准化程度高,检查一检查标准,或者使用脚本检查即可完成。但配置检查也存在难以评估的问题,配置符合规定时,由于固有漏洞的存在,信息系统可能存在安全风险。传统的配置检查很难满足信息安全的要求。
(二)渗透试验(挖漏洞)
渗透性测是信息系统审计的重要组成部分。审计部门和中国内部审计协会都阐述了渗透测试方法。审计部门《信息系统审计指南》提出了工具检测方法:安全工具检测,即利用入侵检测、漏洞扫描等工具的监测结果进行分析评价。中国内部审计协会《内部审计具体准则——信息系统审计》提出内部审计人员可以使用可靠的信息安全检测工具进行渗透测试,在充分考虑安全的前提下,可以使用可靠的信息安全检测工具进行渗透测试。通过渗透测试,审计人员可以和评估配置检查中发现的问题,使审计结论更有说服力;也可以从攻击者的角度挖掘配置检查中难以发现的问题,找出系统安全的薄弱环节,为内部门对系统安全进行深入的审计分析和预警提供新的思路。
(三)业务逻辑漏洞挖掘和代码审计(查看代码)
商业逻辑漏洞是指与商业逻辑相关的漏洞,如身份认证安全,商业一致性,商业数据篡改等。
审计是指检查关键代码中的安全缺陷,发现安全隐患。业务逻辑漏洞可以通过黑盒测试或白盒测试(代码审计)发现。
(四)日志审计(查日志)
日志审计是指根据信息系统中的日志,检查内部人员的操作是否符合要求,系统是否受到外部成功攻击。对于内部来说,通过检查堡垒机日志、数据库操作日志、操作系统日志等,可以发现是否影响系统安全。完整的非授权操作;对于外部来说,通过检查应用程序日志、网络日志等,可以检查黑客是否成功入侵信息系统并获取数据。目前,企业信息系统的安全性通常由科技部门、审计部门和第三方安全公司检查。配置方面,各种检查。检查都有涉及,而且比较成熟;挖漏洞方面,科技部门和安全公司一般都是借助安全工具进行检查,审计很少涉及;看代码方面,各种检查都很少涉及;检查日志方面,科技部门和审计通常都可以检查内部访问日志和外部入侵日志,而安全公司由于保密限制,一般只检查外部入侵日志。近几年来,在企业信息系统审计中,审计人员也试图逐步固化渗透测试过程,并在个别项目中进行代码审计,取得了一定的进展。
还没有评论,来说两句吧...