安全审核评估和风险分析 第13部分 安全审计绪论、审计过程.pptVIP

确定信息系统的安全等级 通过对系统现有安全现状的审核，并参考国内外信息系统安全等级划分标准，确定现有信息系统的等级。 国际信息系统等级划分标准： 《可信计算机系统评估准则》TCSEC 通用准则CC BS7799、ISO17799 中国信息系统等级划分标准： 信息系统安全等级保护实施指南（送审稿） 信息系统安全等级保护测评准则（送审稿） 信息系统安全等级保护基本要求（试用稿） 信息系统安全等级保护定级指南（试用稿） 计算机信息系统安全保护划分准则（GB17859-1999) GA/T 387-2002 GA 388-2002 GA/T 389-2002 GA/T 390-2002 GA 391-2002 评估现有备份机制的执行效率 在实施安全审核的过程中，可以从以下几个方面对系统现有的备份机制的运行状态进行评估： 备份的对象 系统的备份方式 系统备份策略 安全审核阶段 依据BS7799标准，安全审核过程包含以下四个阶段： 制定审核计划，确定审核目标、范围、背景资 检查和评价信息，现场审核阶段 传递审核结果 后续跟踪 安全标准 安全标准 1．ISO 7498-2 2．英国标准7799（BS 7799） 3．Common Criteria（CC） 获得最高管理者支持 任何一个组织，推行任何一套安全管理体系，首先都必须获得最高管理者的支持。 在安全审核初期，最高管理者的支持可以表现在以下方面： 第一，在财务方面提供必要的投资。 第二，配备必要充足的人力资源、分配一定的工作时间于工作的推动上。 获取客户信息的反馈 来自客户的反馈信息是衡量业绩的重要指标之一，可以被用来评价网络安全管理体系的总体有效性。 对一个机构进行一次安全审核后要及时地与被审核机构进行及时的沟通，以了解安全审核的效果。 获得客户反馈的信息，了解到工作中存在哪些不足，针对不同企业或机构采取不同的审核方式。 第二单元审 核 过 程 学习目标 掌握有效检查书面安全策略的方法 了解资源的划分 明确业务焦点 明确如何使用现有的管理控制结构 掌握基于网络和基于主机的脆弱性发现和分析工具的配置 掌握如何实施网络级和主机级的安全扫描 了解路由器和防火墙的安全配置 确定电话服务系统/集成系统的安全等级 熟悉安全审核的步骤 检查书面安全策略 通过对各种策略文档进行阅读和分析，获得整个策略文档体系的概貌，并评价策略文档体系能否满足安全工作的要求。 查看是否有“风险分析”项目。 查看IT任务陈述。 查看是否有如何实施安全策略以及如何处理破坏行为或不正当行为的说明。 查看是否有全面的“备份和恢复”或“业务连续性”计划。 检查书面安全策略 为什么要有安全策略 安全策略的主要目标就是为获取、管理和审查计算机资源提供一个准绳。 一个强大的安全策略是合理且成功地应用安全工具的先决条件。没有明确的规则和目标，则安装、应用和运行安全工具是不可能有效的。 检查书面安全策略 好的安全策略具有的特征 安全策略应该简洁明了，一个好的安全策略应具有以下特征： 安全策略不能与法律法规相冲突； 为了正确地使用信息系统，安全策略应当对责任进行合理的分配。 一个好的安全策略应该具有良好的可执行性。 一个好的安全策略应有与之匹配的安全工具，安全工具应能预防策略被破坏。一个强大的安全策略应能提供突发性处理。 检查书面安全策略 公布策略 安全策略要让机构中的每个用户都知道。 安全策略公布方式： 电子邮件 MSN消息 安全简报 检查书面安全策略 让策略发生作用 安全策略不能停留在书面上，要严格贯彻执行。 安全策略只有在实施后才能发挥作用 。 安全策略的贯彻执行，可以在企业形成良好的安全保护意识，营造一种良好的安全环境，这才更符合信息发展网络化的特点 。 检查书面安全策略 制定一个详细计划来实施安全策略 信息安全策略的实施过程是一项较为长期且反复的过程，在这一过程中要根据实践的结果对信息安全策略体系和内容进行不断调整与完善。 详细的实施计划有助于有效地管理开支计划和控制执行时间。 获得高层管理层的支持与认可是安全策略得以顺利贯彻落实的关键。 信息安全策略实施计划至少应该包含以下步骤： 了解每个员工的信息系统的现状； 深入了解组织的业务需求及安全需求； 进行文档审查，掌握组织当前的策略制定及部署情况； 按层次分级制定安全策略； 通过召开讨论会议的形式来完善每项安全策略； …… …… 划分资产等级 正确对资产进行分类，划分不同的等级，正确识别出审核的对象是进行安全审核非常关键的前提条件。 划分资产等级 资产确认 硬件资产 软件资产 对私有或必威体育官网网址数据进行分类（从顾客数据库到专用应用程序） 对常规数据，包括数据库、文档