《信息安全审计》PPT课件.pptx

;2;3;4;5;6;7;8;9;10;11;12;13;14;15;16;17;18;19;20;21;22;23;24;25;26;27;28;29;30;31;32;33;34;35;36;37;38;39;40;《管理指引》－适用范围;《管理指引》－管理职责;《管理指引》－风险管理;《管理指引》－信息安全;《管理指引》－信息安全（续）;《管理指引》－开发管理;《管理指引》－信息科技运行;《管理指引》－业务连续性管理;《管理指引》－外包管理;《管理指引》－内部审计;《管理指引》－外部审计;52; ISO27000系列标准介绍; ISO27000系列标准介绍;55;与IT标准的关联关系;57;58;59;60;61;62;63;64;65;66;67;68;69;70;71;72;73;74;75;76;77;78;79;80;81;82;83;84;85;86;87;88;89;90;91;92;93;94;95;96;97;98;网络拓扑位置的重要性 造成事故影响的危害性 误操作的可能性 越权操作与滥用的普遍性;七层协议;开发维护配置的控制 安全mailing-list 补丁、升级 漏洞扫描 配置 状态报告 ;关闭不必要的服务;SNMP管理 用户与密码管理 tacacs-server host IP Address username name password 7 encrypted password enable secret 5 xxxxxxxxxxxxxxx SSH取代TELNET 配置的备份 记录日志 logging host ip address snmp-server host [log host] [version] [community string] [trap-type] snmp-server enable traps [trap-type] NTP ACL line con 0 login (to use a password only) login local (to use a locally defined username and password) login tacacs (to use the TACACS+ servers);路由协议认证 禁用未使用物理端口、VLAN端口 MAC地址绑定 Netflow使用;RAT Wireshark NAMP MRTG http://oss.oetiker.ch/mrtg/;明文协议 Telnet协议 HTTP协议 加密协议 SSH协议 HTTPS协议;107;108;109;安全工具 procexp Tcpview Autoruns Filemon Regmon Nc wireshark;111;112;113;114;115;116;117;118;119;120;121;122;123;124;125;126;127;128;129;130;131;132;133;134;135;136;137;138;139;140;141;142;143;144;信息安全审计技术;什么是审计 财务审计 IT系统审计 业务审计 (数据库、应用系统) 操作审计 (操作系统的维护管理) 员工上网 (上网、QQ、MSN等) 注：服务器才是企业最核心的资源,对服务器的各种操作才是我们最关心的(前两项);为什么需要审计 “内控”的需求 SOX，HIPAA（美国） Payment Card Industry (PCI) Data Security Standard （国际） BS7799/ISO17799，ISO27001 （国际?? 国标/等级保护（国内）;企业IP网络面临的安全威胁;安全审计是国际安全标准和最佳实践的基础性要求;安全等级保护规定了详细的审计要求;审计的分类 按部署方式 主机审计 网络SNIFFER审计 “堡垒”主机 透明桥审计 按审计内容 按审计形式;审计的分类 按部署方式 按审计内容 日志/告警摘要型审计 流量全记录型审计 注：审计不仅仅是记录或分析一些日志或告警，不仅需要审计非法的，更要审计合法的。合法的不一定是合规的。审计记录的内容可能99%甚至100%是合法的。 按审计形式;审计的分类 按部署方式 按审计内容 按审计形式 传统审计 基于字符串模式匹配的查询有哪些信誉好的足球投注网站统计，海量的重复”无用“信息使审计的实用性不强。 行为审计 基于行为的查询有哪些信誉好的足球投注网站统计，行为不是一个字符串命令，而是一些相关联的操作的集合。例如WINDOWS下删除一个文件的行为是鼠标移动和点击删除按纽的操作。行为回放是最基本的行为审计，但不可能对所有的行为进行回放，只有这些行为能被查询与有哪些信誉好的足球投注网站才是实用的行为审计。;审计的需求 审计的全面性(木桶效应) 支持所有系统(WI