第三章 信息系统架构控制与审计教案.ppt

第三章 信息系统架构控制与审计教案.ppt

  1. 1、本文档共40页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全网络购建: 第三章 信息系统架构控制与审计 Internet 路由器 入侵检测 防火墙 智能交换机 网关 客户机 服务器 堡垒主机 内部网 客户机 入侵检测 第三章 信息系统架构控制与审计 第四节 网络基础架构审计 基本步骤: 1、了解网络基础构架有关信息。包括网络结构、组成等; 2、初步评估网络基础构架风险与控制; 3、制定审计方案; 4、实施审计; 5、审计结论。 一、局域网审计 主要审计事项: (1)局域网拓扑结构和网络设计; (2)重要的局域网组件(如服务器和交换机); (3)局域网配置以及和其他局域网、广域网或公共网络的互连; (4)局域网使用,包括重要的流量类型和网络上运行的主要应用; (5)局域网管理员与重要的局域网用户组。 第三章 信息系统架构控制与审计 审计内容: 1、物理控制审核 (1)文件服务器物理保护控制; (2)局域网主要设备与数据的物理安全控制审计; (3)文件服务器设施的钥匙控制; (4)局域网文件服务器机房加锁或其他安全手段控制。 测试方法:实地检查、面谈、查阅文档资料和日志 2、环境控制审核 (1)文件服务器设备的静电和电流影响控制; (2)空调和湿度控制系统; (3)电源保护控制格; (4)防止灰尘、烟雾、食物的污染和其他物质的控制; (5)备份磁盘和磁带的保护控制。 测试方法:实地检查、面谈、查阅文档资料 第三章 信息系统架构控制与审计 3、逻辑控制审核 (1)口令控制。口令唯一、定期修改、加密、隐蔽显示; (2)用户访问书面授权控制; (3)局域网工作站自动关闭控制; (4)禁止对系统超级用户的远程访问; (5)对超级用户的登录企图记录控制; (6)外连通讯线路必威体育精装版信息的局域网主管维护控制。 测试方法:面谈、实地检查、抽样审计、模拟测试、查阅文档资料 和日志 二、远程访问控制审计 主要审计内容: (1)远程访问控制制度; (2)访问授权控制; (3)控制方法的有效性; (4)测试拨号访问控制; (5)远程访问设计与实施成本效益; (6)远程访问环境、服务 第三章 信息系统架构控制与审计 三、网络穿透测试 作用:模拟黑客技术,对网络的安全控制功能测试。 测试前为了避免对系统的损害,应得到组织管理层的授权许可,并签 署书面的测试协议。然后指定测试计划。计划内容:(参见教材) 采用网络穿透测试的风险: (1)穿透测试不能保证发现所有的系统弱点,有些重要的弱点也可能 被遗漏; (2)如果缺乏良好的沟通,测试目标可能无法完成; (3)测试活动可能无意引发还没有进行恰当计划的特权提升程序; (4)敏感信息可能在测试过程中暴露,增加了目标系统的风险级别; (5)如果缺乏对测试人员的背景与资质的调查,选用了不适当的测试

文档评论(0)

沃爱茜 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档