CISAIT审计实务培训2审计实务

1、Feb, 2008IT审计实务培训2. 实务、方法与工具（yycis）yycisFeb, 2008主讲人简介杨洋管理学博士（信息管理与信息安全方向，同济大学）会计学学士、硕士（东北财经大学）高级程序员（1998），CISA（2002）, SCJP，IBM电子商务咨询师，IBM WSAD Developer目前为同济大学电信学院博士后，主要研究领域：基于移动计算的安全接入关键技术yycisFeb, 20081.文档复核2. 面询与问卷设计3. 比对技术4. 业务观察与穿行测试5. 渗透测试6. 数据测试7. 数据采集与分析一、 常用审计方法概述yycisFeb, 2008理解目标背景理解风险点与

2、内控理解系统目标与期望业务输出理解系统架构发现异常与违规1.文档复核yycisFeb, 20082.面询与问卷设计面谈准备：背景研究确定对象内容、时间和地点面谈实施：时间控制气氛把握记录方式确认后续分析yycisFeb, 20082.面询与问卷设计问卷调查问题设计目的性问卷对象：专业性与客观性答案的明确性如何避免答案失真yycisFeb, 20083.比对技术源代码比对目标代码比对特征值比对yycisFeb, 20084.业务观察与穿行测试实际岗位分工与制度是否一致穿行测试（walkthrough）：实际流程是否一致安全意识汇报路线：权责是否一致yycisFeb, 2008模拟攻击行为，发现漏

3、洞关键：实施风险分析全面备份与恢复计划委托专业机构5.渗透测试yycisFeb, 20086. 数据测试测试选择重要模块数据设计覆盖各种情况：数据类型、编码违规、违反逻辑条件、数据文件不一致来源：实际业务数据、用户测试数据、审计师测试数据、自动生成数据一般方式：黑盒白盒yycisFeb, 20086. 数据测试测试类型ITF(生产环境中用测试用例）输入标记消除影响平行模拟(SQL,EXCEL+VBA)开发原型新旧系统交接yycisFeb, 20087. 数据采集与分析直接获取系统数据，特别是业务输入与业务输出分析性复核yycisFeb, 20087. 数据采集与分析GAAT：ACL、IDEAA

4、CCESS 、SQL ServerSPSS、EXCEL工具的选择：功能与易用性使用习惯与方便获取yycisFeb, 20081. 对组织管理架构的审计2. 对IT外包的审计3. 对IT基础设施与环境的审计4. 对备份和业务持续性的审计5. 对开发和获取过程的审计6. 对系统变更过程的审计二、 一般控制审计实务yycisFeb, 20081. 对组织管理架构的审计组织模式对系统风险的影响分布式/集中式IT治理岗位分工yycisFeb, 2008IT岗位分权yycisFeb, 20081. 对组织管理架构的审计关键风险和控制参考材料：“IT组织管理架构审计要点”案例讨论：案例1：大连某企业工资核算

5、系统案例2：某企业雇员退出管理漏洞与案件yycisFeb, 20082. 对IT外包的审计外包审计的主要关注点核心竞争力信息安全系统可靠性业务长期可持续性yycisFeb, 20082. 对IT外包的审计关键风险和控制参考材料：“IT外包审计要点”案例讨论：案例1：某通信服务企业充值卡案件案例2：澳大利亚政府部门IT外包综合审计yycisFeb, 20083. 对IT基础设施与环境的审计审计范畴硬件环境与防灾主机硬件安全底层支撑系统安全通信线路安全数据存储/IO安全物理访问控制yycisFeb, 20083. 对IT基础设施与环境的审计审计依据GB计算站相关标准ISO17799/BS7799G

6、B建筑、防雷等相关标准yycisFeb, 20083. 对IT基础设施与环境的审计关键风险与控制参考材料：“IT基础设施审计要点” 案例讨论：案例1：打印共享设备物理访问安全案例2：某跨国企业信息系统渗透测试过程与结果yycisFeb, 20084. 对备份和业务持续性的审计关键风险与控制参考材料：“BCP审计要点” 案例讨论某企业灾难恢复计划审计过程与结论yycisFeb, 20085. 对开发和获取过程的审计基本概念回顾软件工程方法论关键风险与控制参考材料：“开发与获取过程审计要点”yycisFeb, 20085. 对开发和获取过程的审计开发过程中的质量和安全控制进度与成本控制案例讨论：某

7、局信息系统开发采购计划yycisFeb, 20085. 对开发和获取过程的审计技术先进性与系统获取某区教育系统数据中心采购案例全局性考虑委托开发中的知识产权问题yycisFeb, 20086. 对系统变更过程的审计系统变更对金融企业的作用系统变更管理的一般流程yycisFeb, 20086. 对系统变更过程的审计关键风险与控制参考材料：“系统变更审计要点”案例讨论：中国银联系统宕机事件yycisFeb, 20081. 网络安全审计概述2. 渗透测试技术与工具3. 控制与审计要点4. 当前热点：无线接入与数据库保护三、 网络安全审计实务yycisFeb, 20081. 网络安全审计概述审计目标与

8、范围审计方法了解与分析配置检查日志复核漏洞扫描渗透测试yycisFeb, 20082. 渗透测试技术与工具第一步：信息搜集与背景调查工具：google论坛邮件冒名电话Social Engineering yycisFeb, 20082. 渗透测试技术与工具第二步：扫描Whois查询端口扫描NMap工具扫描监测yycisFeb, 20082. 渗透测试技术与工具第三步：漏洞利用再看缓冲区溢出缓冲区溢出原理与发现演示案例：缓冲区溢出程序示例yycisFeb, 2008 2. 渗透测试技术与工具第三步：漏洞利用PASSWORD= A OR B=BSQL注入 SQL注入原理演示案例：SQL注入提权攻击

9、防范工具yycisFeb, 20082. 渗透测试技术与工具第三步：漏洞利用网络设备漏洞路由器漏洞与发现交换机漏洞与发现案例分析yycisFeb, 20082. 渗透测试技术与工具第三步：漏洞利用会话劫持会话劫持原理工具与案例分析会话劫持的防范yycisFeb, 20082. 渗透测试技术与工具第三步：漏洞利用数据库漏洞Oracle漏洞与利用数据库漏洞扫描工具Imperva Scuba 案例分析yycisFeb, 20082. 渗透测试技术与工具第四步：植留后门木马原理实例分析后门的检测yycisFeb, 20082. 渗透测试技术与工具第五步：隐蔽连接隧道原理工具：Httptunnelyyc

10、isFeb, 20082. 渗透测试技术与工具集成测试工具介绍 Metasploit Immunity CANVAS yycisFeb, 20083. 控制与审计要点一般审计要点参考材料：“网络安全审计要点”互联网服务控制与审计要点yycisFeb, 20083. 控制与审计要点演示案例：某政府内网渗透过程模拟案例讨论：某跨国企业核心系统渗透攻击案例某连锁企业信用卡资料渗透攻击案例yycisFeb, 20084. 当前热点无线网络技术无线接入引发的安全风险基于无线接入的最新攻击技术无线网络渗透攻击过程与工具案例讨论：某企业无线网络安全审计过程与结论yycisFeb, 20084. 当前热点数据

11、库防护数据库是信息系统核心信息安全首先是数据库安全yycisFeb, 2008四、 应用控制审计实务1. 应用控制审计概述2. 输入输出控制审计3. 系统性能与可靠性审计4. 数据审计5. 代码审计6. ERP系统审计7. 综合案例yycisFeb, 20081. 应用控制审计概述特点与目的直接针对业务系统发现系统风险及其对业务的直接影响 证据来源用户反馈用例测试结果实际业务数据代码分析yycisFeb, 20081. 应用控制审计概述系统理解关键文档与内容文档缺失的处理高风险领域的确定：变化频繁、多系统协同确定取证方式与范围yycisFeb, 20082. 输入输出控制审计输入控制审计要点C

12、ONTROL TOTALS多点录入终端访问控制Session窗口控制输出控制审计要点访问控制缓冲区安全派发路径安全yycisFeb, 20083. 系统性能与可靠性审计瓶颈分析网络计算能力存储集群、镜像与热站未来可伸缩性压力测试yycisFeb, 20084. 数据审计原则：无损、保密、透明全面、相关采集方法数据接口与转换工具文件转换工具自制转换程序yycisFeb, 20084. 数据审计分析方法：“多维”数据分析技术案例演示：某商业银行信贷数据采集与分析yycisFeb, 20085. 代码审计涵义：代码规范性代码安全性关键处理流程正确性后门、调试与逻辑炸弹yycisFeb, 20085. 代码审计代码审计工具规范性审计工具安全性审计工具全程跟踪调试工具yycisFeb, 20085. 代码审计案例演示：利用审计工具发现某系统代码缺陷yycisFeb, 20086. ERP系统审计ERP系统审计的特殊性体系复杂审计方法成熟提供丰富的审计工具示例：Oracle审计要点 参考材料：“Oracle审计要点”yycisFeb, 20087. 综合案例应用控制审计案例讨论：审计计划的确定审计过程与发现审计报告与披露yycisFeb, 2008五、 持续在线审计技术特点传统定期审计与实时监测区别：互相独立IT审计师在系统开发早期的参与yyci