CISAIT審計(jì)實(shí)務(wù)培訓(xùn)2審計(jì)實(shí)務(wù)_第1頁
CISAIT審計(jì)實(shí)務(wù)培訓(xùn)2審計(jì)實(shí)務(wù)_第2頁
CISAIT審計(jì)實(shí)務(wù)培訓(xùn)2審計(jì)實(shí)務(wù)_第3頁
CISAIT審計(jì)實(shí)務(wù)培訓(xùn)2審計(jì)實(shí)務(wù)_第4頁
CISAIT審計(jì)實(shí)務(wù)培訓(xùn)2審計(jì)實(shí)務(wù)_第5頁
已閱讀5頁,還剩55頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、Feb, 2008IT審計(jì)實(shí)務(wù)培訓(xùn)2. 實(shí)務(wù)、方法與工具(yycis)yycisFeb, 2008主講人簡介楊洋管理學(xué)博士(信息管理與信息安全方向,同濟(jì)大學(xué))會計(jì)學(xué)學(xué)士、碩士(東北財(cái)經(jīng)大學(xué))高級程序員(1998),CISA(2002), SCJP,IBM電子商務(wù)咨詢師,IBM WSAD Developer目前為同濟(jì)大學(xué)電信學(xué)院博士后,主要研究領(lǐng)域:基于移動計(jì)算的安全接入關(guān)鍵技術(shù)yycisFeb, 20081.文檔復(fù)核2. 面詢與問卷設(shè)計(jì)3. 比對技術(shù)4. 業(yè)務(wù)觀察與穿行測試5. 滲透測試6. 數(shù)據(jù)測試7. 數(shù)據(jù)采集與分析一、 常用審計(jì)方法概述yycisFeb, 2008理解目標(biāo)背景理解風(fēng)險(xiǎn)點(diǎn)與

2、內(nèi)控理解系統(tǒng)目標(biāo)與期望業(yè)務(wù)輸出理解系統(tǒng)架構(gòu)發(fā)現(xiàn)異常與違規(guī)1.文檔復(fù)核yycisFeb, 20082.面詢與問卷設(shè)計(jì)面談準(zhǔn)備:背景研究確定對象內(nèi)容、時間和地點(diǎn)面談實(shí)施:時間控制氣氛把握記錄方式確認(rèn)后續(xù)分析yycisFeb, 20082.面詢與問卷設(shè)計(jì)問卷調(diào)查問題設(shè)計(jì)目的性問卷對象:專業(yè)性與客觀性答案的明確性如何避免答案失真yycisFeb, 20083.比對技術(shù)源代碼比對目標(biāo)代碼比對特征值比對yycisFeb, 20084.業(yè)務(wù)觀察與穿行測試實(shí)際崗位分工與制度是否一致穿行測試(walkthrough):實(shí)際流程是否一致安全意識匯報(bào)路線:權(quán)責(zé)是否一致yycisFeb, 2008模擬攻擊行為,發(fā)現(xiàn)漏

3、洞關(guān)鍵:實(shí)施風(fēng)險(xiǎn)分析全面?zhèn)浞菖c恢復(fù)計(jì)劃委托專業(yè)機(jī)構(gòu)5.滲透測試yycisFeb, 20086. 數(shù)據(jù)測試測試選擇重要模塊數(shù)據(jù)設(shè)計(jì)覆蓋各種情況:數(shù)據(jù)類型、編碼違規(guī)、違反邏輯條件、數(shù)據(jù)文件不一致來源:實(shí)際業(yè)務(wù)數(shù)據(jù)、用戶測試數(shù)據(jù)、審計(jì)師測試數(shù)據(jù)、自動生成數(shù)據(jù)一般方式:黑盒白盒yycisFeb, 20086. 數(shù)據(jù)測試測試類型ITF(生產(chǎn)環(huán)境中用測試用例)輸入標(biāo)記消除影響平行模擬(SQL,EXCEL+VBA)開發(fā)原型新舊系統(tǒng)交接yycisFeb, 20087. 數(shù)據(jù)采集與分析直接獲取系統(tǒng)數(shù)據(jù),特別是業(yè)務(wù)輸入與業(yè)務(wù)輸出分析性復(fù)核yycisFeb, 20087. 數(shù)據(jù)采集與分析GAAT:ACL、IDEAA

4、CCESS 、SQL ServerSPSS、EXCEL工具的選擇:功能與易用性使用習(xí)慣與方便獲取yycisFeb, 20081. 對組織管理架構(gòu)的審計(jì)2. 對IT外包的審計(jì)3. 對IT基礎(chǔ)設(shè)施與環(huán)境的審計(jì)4. 對備份和業(yè)務(wù)持續(xù)性的審計(jì)5. 對開發(fā)和獲取過程的審計(jì)6. 對系統(tǒng)變更過程的審計(jì)二、 一般控制審計(jì)實(shí)務(wù)yycisFeb, 20081. 對組織管理架構(gòu)的審計(jì)組織模式對系統(tǒng)風(fēng)險(xiǎn)的影響分布式/集中式IT治理崗位分工yycisFeb, 2008IT崗位分權(quán)yycisFeb, 20081. 對組織管理架構(gòu)的審計(jì)關(guān)鍵風(fēng)險(xiǎn)和控制參考材料:“IT組織管理架構(gòu)審計(jì)要點(diǎn)”案例討論:案例1:大連某企業(yè)工資核算

5、系統(tǒng)案例2:某企業(yè)雇員退出管理漏洞與案件yycisFeb, 20082. 對IT外包的審計(jì)外包審計(jì)的主要關(guān)注點(diǎn)核心競爭力信息安全系統(tǒng)可靠性業(yè)務(wù)長期可持續(xù)性yycisFeb, 20082. 對IT外包的審計(jì)關(guān)鍵風(fēng)險(xiǎn)和控制參考材料:“IT外包審計(jì)要點(diǎn)”案例討論:案例1:某通信服務(wù)企業(yè)充值卡案件案例2:澳大利亞政府部門IT外包綜合審計(jì)yycisFeb, 20083. 對IT基礎(chǔ)設(shè)施與環(huán)境的審計(jì)審計(jì)范疇硬件環(huán)境與防災(zāi)主機(jī)硬件安全底層支撐系統(tǒng)安全通信線路安全數(shù)據(jù)存儲/IO安全物理訪問控制yycisFeb, 20083. 對IT基礎(chǔ)設(shè)施與環(huán)境的審計(jì)審計(jì)依據(jù)GB計(jì)算站相關(guān)標(biāo)準(zhǔn)ISO17799/BS7799G

6、B建筑、防雷等相關(guān)標(biāo)準(zhǔn)yycisFeb, 20083. 對IT基礎(chǔ)設(shè)施與環(huán)境的審計(jì)關(guān)鍵風(fēng)險(xiǎn)與控制參考材料:“IT基礎(chǔ)設(shè)施審計(jì)要點(diǎn)” 案例討論:案例1:打印共享設(shè)備物理訪問安全案例2:某跨國企業(yè)信息系統(tǒng)滲透測試過程與結(jié)果yycisFeb, 20084. 對備份和業(yè)務(wù)持續(xù)性的審計(jì)關(guān)鍵風(fēng)險(xiǎn)與控制參考材料:“BCP審計(jì)要點(diǎn)” 案例討論某企業(yè)災(zāi)難恢復(fù)計(jì)劃審計(jì)過程與結(jié)論yycisFeb, 20085. 對開發(fā)和獲取過程的審計(jì)基本概念回顧軟件工程方法論關(guān)鍵風(fēng)險(xiǎn)與控制參考材料:“開發(fā)與獲取過程審計(jì)要點(diǎn)”yycisFeb, 20085. 對開發(fā)和獲取過程的審計(jì)開發(fā)過程中的質(zhì)量和安全控制進(jìn)度與成本控制案例討論:某

7、局信息系統(tǒng)開發(fā)采購計(jì)劃yycisFeb, 20085. 對開發(fā)和獲取過程的審計(jì)技術(shù)先進(jìn)性與系統(tǒng)獲取某區(qū)教育系統(tǒng)數(shù)據(jù)中心采購案例全局性考慮委托開發(fā)中的知識產(chǎn)權(quán)問題yycisFeb, 20086. 對系統(tǒng)變更過程的審計(jì)系統(tǒng)變更對金融企業(yè)的作用系統(tǒng)變更管理的一般流程yycisFeb, 20086. 對系統(tǒng)變更過程的審計(jì)關(guān)鍵風(fēng)險(xiǎn)與控制參考材料:“系統(tǒng)變更審計(jì)要點(diǎn)”案例討論:中國銀聯(lián)系統(tǒng)宕機(jī)事件yycisFeb, 20081. 網(wǎng)絡(luò)安全審計(jì)概述2. 滲透測試技術(shù)與工具3. 控制與審計(jì)要點(diǎn)4. 當(dāng)前熱點(diǎn):無線接入與數(shù)據(jù)庫保護(hù)三、 網(wǎng)絡(luò)安全審計(jì)實(shí)務(wù)yycisFeb, 20081. 網(wǎng)絡(luò)安全審計(jì)概述審計(jì)目標(biāo)與

8、范圍審計(jì)方法了解與分析配置檢查日志復(fù)核漏洞掃描滲透測試yycisFeb, 20082. 滲透測試技術(shù)與工具第一步:信息搜集與背景調(diào)查工具:google論壇郵件冒名電話Social Engineering yycisFeb, 20082. 滲透測試技術(shù)與工具第二步:掃描Whois查詢端口掃描NMap工具掃描監(jiān)測yycisFeb, 20082. 滲透測試技術(shù)與工具第三步:漏洞利用再看緩沖區(qū)溢出緩沖區(qū)溢出原理與發(fā)現(xiàn)演示案例:緩沖區(qū)溢出程序示例yycisFeb, 2008 2. 滲透測試技術(shù)與工具第三步:漏洞利用PASSWORD= A OR B=BSQL注入 SQL注入原理演示案例:SQL注入提權(quán)攻擊

9、防范工具yycisFeb, 20082. 滲透測試技術(shù)與工具第三步:漏洞利用網(wǎng)絡(luò)設(shè)備漏洞路由器漏洞與發(fā)現(xiàn)交換機(jī)漏洞與發(fā)現(xiàn)案例分析yycisFeb, 20082. 滲透測試技術(shù)與工具第三步:漏洞利用會話劫持會話劫持原理工具與案例分析會話劫持的防范yycisFeb, 20082. 滲透測試技術(shù)與工具第三步:漏洞利用數(shù)據(jù)庫漏洞Oracle漏洞與利用數(shù)據(jù)庫漏洞掃描工具Imperva Scuba 案例分析yycisFeb, 20082. 滲透測試技術(shù)與工具第四步:植留后門木馬原理實(shí)例分析后門的檢測yycisFeb, 20082. 滲透測試技術(shù)與工具第五步:隱蔽連接隧道原理工具:Httptunnelyyc

10、isFeb, 20082. 滲透測試技術(shù)與工具集成測試工具介紹 Metasploit Immunity CANVAS yycisFeb, 20083. 控制與審計(jì)要點(diǎn)一般審計(jì)要點(diǎn)參考材料:“網(wǎng)絡(luò)安全審計(jì)要點(diǎn)”互聯(lián)網(wǎng)服務(wù)控制與審計(jì)要點(diǎn)yycisFeb, 20083. 控制與審計(jì)要點(diǎn)演示案例:某政府內(nèi)網(wǎng)滲透過程模擬案例討論:某跨國企業(yè)核心系統(tǒng)滲透攻擊案例某連鎖企業(yè)信用卡資料滲透攻擊案例yycisFeb, 20084. 當(dāng)前熱點(diǎn)無線網(wǎng)絡(luò)技術(shù)無線接入引發(fā)的安全風(fēng)險(xiǎn)基于無線接入的最新攻擊技術(shù)無線網(wǎng)絡(luò)滲透攻擊過程與工具案例討論:某企業(yè)無線網(wǎng)絡(luò)安全審計(jì)過程與結(jié)論yycisFeb, 20084. 當(dāng)前熱點(diǎn)數(shù)據(jù)

11、庫防護(hù)數(shù)據(jù)庫是信息系統(tǒng)核心信息安全首先是數(shù)據(jù)庫安全yycisFeb, 2008四、 應(yīng)用控制審計(jì)實(shí)務(wù)1. 應(yīng)用控制審計(jì)概述2. 輸入輸出控制審計(jì)3. 系統(tǒng)性能與可靠性審計(jì)4. 數(shù)據(jù)審計(jì)5. 代碼審計(jì)6. ERP系統(tǒng)審計(jì)7. 綜合案例yycisFeb, 20081. 應(yīng)用控制審計(jì)概述特點(diǎn)與目的直接針對業(yè)務(wù)系統(tǒng)發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)及其對業(yè)務(wù)的直接影響 證據(jù)來源用戶反饋用例測試結(jié)果實(shí)際業(yè)務(wù)數(shù)據(jù)代碼分析yycisFeb, 20081. 應(yīng)用控制審計(jì)概述系統(tǒng)理解關(guān)鍵文檔與內(nèi)容文檔缺失的處理高風(fēng)險(xiǎn)領(lǐng)域的確定:變化頻繁、多系統(tǒng)協(xié)同確定取證方式與范圍yycisFeb, 20082. 輸入輸出控制審計(jì)輸入控制審計(jì)要點(diǎn)C

12、ONTROL TOTALS多點(diǎn)錄入終端訪問控制Session窗口控制輸出控制審計(jì)要點(diǎn)訪問控制緩沖區(qū)安全派發(fā)路徑安全yycisFeb, 20083. 系統(tǒng)性能與可靠性審計(jì)瓶頸分析網(wǎng)絡(luò)計(jì)算能力存儲集群、鏡像與熱站未來可伸縮性壓力測試yycisFeb, 20084. 數(shù)據(jù)審計(jì)原則:無損、保密、透明全面、相關(guān)采集方法數(shù)據(jù)接口與轉(zhuǎn)換工具文件轉(zhuǎn)換工具自制轉(zhuǎn)換程序yycisFeb, 20084. 數(shù)據(jù)審計(jì)分析方法:“多維”數(shù)據(jù)分析技術(shù)案例演示:某商業(yè)銀行信貸數(shù)據(jù)采集與分析yycisFeb, 20085. 代碼審計(jì)涵義:代碼規(guī)范性代碼安全性關(guān)鍵處理流程正確性后門、調(diào)試與邏輯炸彈yycisFeb, 20085. 代碼審計(jì)代碼審計(jì)工具規(guī)范性審計(jì)工具安全性審計(jì)工具全程跟蹤調(diào)試工具yycisFeb, 20085. 代碼審計(jì)案例演示:利用審計(jì)工具發(fā)現(xiàn)某系統(tǒng)代碼缺陷yycisFeb, 20086. ERP系統(tǒng)審計(jì)ERP系統(tǒng)審計(jì)的特殊性體系復(fù)雜審計(jì)方法成熟提供豐富的審計(jì)工具示例:Oracle審計(jì)要點(diǎn) 參考材料:“Oracle審計(jì)要點(diǎn)”yycisFeb, 20087. 綜合案例應(yīng)用控制審計(jì)案例討論:審計(jì)計(jì)劃的確定審計(jì)過程與發(fā)現(xiàn)審計(jì)報(bào)告與披露yycisFeb, 2008五、 持續(xù)在線審計(jì)技術(shù)特點(diǎn)傳統(tǒng)定期審計(jì)與實(shí)時監(jiān)測區(qū)別:互相獨(dú)立IT審計(jì)師在系統(tǒng)開發(fā)早期的參與yyci

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論