1、Feb, 2008,金融企業(yè)IT審計(jì)實(shí)務(wù)培訓(xùn)2. 實(shí)務(wù)、方法與工具,楊洋 （）,楊洋，,Feb, 2008,主講人簡(jiǎn)介,楊洋 管理學(xué)博士（信息管理與信息安全方向，同濟(jì)大學(xué)） 會(huì)計(jì)學(xué)學(xué)士、碩士（東北財(cái)經(jīng)大學(xué)） 高級(jí)程序員（1998），CISA（2002）, SCJP，IBM電子商務(wù)咨詢師，IBM WSAD Developer 目前為同濟(jì)大學(xué)電信學(xué)院博士后，主要研究領(lǐng)域：基于移動(dòng)計(jì)算的安全接入關(guān)鍵技術(shù),楊洋，,Feb, 2008,1.文檔復(fù)核 2. 面詢與問(wèn)卷設(shè)計(jì) 3. 比對(duì)技術(shù) 4. 業(yè)務(wù)觀察與穿行測(cè)試 5. 滲透測(cè)試 6. 數(shù)據(jù)測(cè)試 7. 數(shù)據(jù)采集與分析,一、 常用審計(jì)方法概述,楊洋，,Feb

2、, 2008,理解目標(biāo)背景 理解風(fēng)險(xiǎn)點(diǎn)與內(nèi)控 理解系統(tǒng)目標(biāo)與期望業(yè)務(wù)輸出 理解系統(tǒng)架構(gòu) 發(fā)現(xiàn)異常與違規(guī),1.文檔復(fù)核,楊洋，,Feb, 2008,2.面詢與問(wèn)卷設(shè)計(jì),面談準(zhǔn)備： 背景研究 確定對(duì)象 內(nèi)容、時(shí)間和地點(diǎn) 面談實(shí)施： 時(shí)間控制 氣氛把握 記錄方式 確認(rèn) 后續(xù)分析,楊洋，,Feb, 2008,2.面詢與問(wèn)卷設(shè)計(jì),問(wèn)卷調(diào)查 問(wèn)題設(shè)計(jì) 目的性 問(wèn)卷對(duì)象：專業(yè)性與客觀性 答案的明確性 如何避免答案失真,楊洋，,Feb, 2008,3.比對(duì)技術(shù),源代碼比對(duì) 目標(biāo)代碼比對(duì) 特征值比對(duì),楊洋，,Feb, 2008,4.業(yè)務(wù)觀察與穿行測(cè)試,實(shí)際崗位分工與制度是否一致 穿行測(cè)試（walkthrough

3、）：實(shí)際流程是否一致 安全意識(shí) 匯報(bào)路線：權(quán)責(zé)是否一致,楊洋，,Feb, 2008,模擬攻擊行為，發(fā)現(xiàn)漏洞 關(guān)鍵： 實(shí)施風(fēng)險(xiǎn)分析 全面?zhèn)浞菖c恢復(fù)計(jì)劃 委托專業(yè)機(jī)構(gòu),5.滲透測(cè)試,楊洋，,Feb, 2008,6. 數(shù)據(jù)測(cè)試,測(cè)試 選擇重要模塊 數(shù)據(jù)設(shè)計(jì) 覆蓋各種情況：數(shù)據(jù)類型、編碼違規(guī)、違反邏輯條件、數(shù)據(jù)文件不一致 來(lái)源：實(shí)際業(yè)務(wù)數(shù)據(jù)、用戶測(cè)試數(shù)據(jù)、審計(jì)師測(cè)試數(shù)據(jù)、自動(dòng)生成數(shù)據(jù) 一般方式： 黑盒 白盒,楊洋，,Feb, 2008,6. 數(shù)據(jù)測(cè)試,測(cè)試類型 ITF(生產(chǎn)環(huán)境中用測(cè)試用例） 輸入標(biāo)記 消除影響 平行模擬(SQL,EXCEL+VBA) 開發(fā)原型 新舊系統(tǒng)交接,楊洋，,Feb, 2008

4、,7. 數(shù)據(jù)采集與分析,直接獲取系統(tǒng)數(shù)據(jù)，特別是業(yè)務(wù)輸入與業(yè)務(wù)輸出 分析性復(fù)核,楊洋，,Feb, 2008,7. 數(shù)據(jù)采集與分析,GAAT： ACL、IDEA ACCESS 、SQL Server SPSS、EXCEL 工具的選擇： 功能與易用性 使用習(xí)慣與方便獲取,楊洋，,Feb, 2008,1. 對(duì)組織管理架構(gòu)的審計(jì) 2. 對(duì)IT外包的審計(jì) 3. 對(duì)IT基礎(chǔ)設(shè)施與環(huán)境的審計(jì) 4. 對(duì)備份和業(yè)務(wù)持續(xù)性的審計(jì) 5. 對(duì)開發(fā)和獲取過(guò)程的審計(jì) 6. 對(duì)系統(tǒng)變更過(guò)程的審計(jì),二、 一般控制審計(jì)實(shí)務(wù),楊洋，,Feb, 2008,1. 對(duì)組織管理架構(gòu)的審計(jì),組織模式對(duì)系統(tǒng)風(fēng)險(xiǎn)的影響 分布式/集中式 IT治

5、理 崗位分工,楊洋，,Feb, 2008,IT崗位分權(quán),楊洋，,Feb, 2008,1. 對(duì)組織管理架構(gòu)的審計(jì),關(guān)鍵風(fēng)險(xiǎn)和控制 參考材料：“IT組織管理架構(gòu)審計(jì)要點(diǎn)” 案例討論： 案例1：大連某企業(yè)工資核算系統(tǒng) 案例2：某企業(yè)雇員退出管理漏洞與案件,楊洋，,Feb, 2008,2. 對(duì)IT外包的審計(jì),外包審計(jì)的主要關(guān)注點(diǎn) 核心競(jìng)爭(zhēng)力 信息安全 系統(tǒng)可靠性 業(yè)務(wù)長(zhǎng)期可持續(xù)性,楊洋，,Feb, 2008,2. 對(duì)IT外包的審計(jì),關(guān)鍵風(fēng)險(xiǎn)和控制 參考材料：“IT外包審計(jì)要點(diǎn)” 案例討論： 案例1：某通信服務(wù)企業(yè)充值卡案件 案例2：澳大利亞政府部門IT外包綜合審計(jì),楊洋，,Feb, 2008,3. 對(duì)

6、IT基礎(chǔ)設(shè)施與環(huán)境的審計(jì),審計(jì)范疇 硬件環(huán)境與防災(zāi) 主機(jī)硬件安全 底層支撐系統(tǒng)安全 通信線路安全 數(shù)據(jù)存儲(chǔ)/IO安全 物理訪問(wèn)控制 ,楊洋，,Feb, 2008,3. 對(duì)IT基礎(chǔ)設(shè)施與環(huán)境的審計(jì),審計(jì)依據(jù) GB計(jì)算站相關(guān)標(biāo)準(zhǔn) ISO17799/BS7799 GB建筑、防雷等相關(guān)標(biāo)準(zhǔn),楊洋，,Feb, 2008,3. 對(duì)IT基礎(chǔ)設(shè)施與環(huán)境的審計(jì),關(guān)鍵風(fēng)險(xiǎn)與控制 參考材料：“IT基礎(chǔ)設(shè)施審計(jì)要點(diǎn)” 案例討論： 案例1：打印共享設(shè)備物理訪問(wèn)安全 案例2：某跨國(guó)企業(yè)信息系統(tǒng)滲透測(cè)試過(guò)程與結(jié)果,楊洋，,Feb, 2008,4. 對(duì)備份和業(yè)務(wù)持續(xù)性的審計(jì),關(guān)鍵風(fēng)險(xiǎn)與控制 參考材料：“BCP審計(jì)要點(diǎn)” 案例

7、討論 某企業(yè)災(zāi)難恢復(fù)計(jì)劃審計(jì)過(guò)程與結(jié)論,楊洋，,Feb, 2008,5. 對(duì)開發(fā)和獲取過(guò)程的審計(jì),基本概念回顧 軟件工程方法論 關(guān)鍵風(fēng)險(xiǎn)與控制 參考材料：“開發(fā)與獲取過(guò)程審計(jì)要點(diǎn)”,楊洋，,Feb, 2008,5. 對(duì)開發(fā)和獲取過(guò)程的審計(jì),開發(fā)過(guò)程中的質(zhì)量和安全控制 進(jìn)度與成本控制 案例討論：某局信息系統(tǒng)開發(fā)采購(gòu)計(jì)劃,楊洋，,Feb, 2008,5. 對(duì)開發(fā)和獲取過(guò)程的審計(jì),技術(shù)先進(jìn)性與系統(tǒng)獲取 某區(qū)教育系統(tǒng)數(shù)據(jù)中心采購(gòu)案例 全局性考慮 委托開發(fā)中的知識(shí)產(chǎn)權(quán)問(wèn)題,楊洋，,Feb, 2008,6. 對(duì)系統(tǒng)變更過(guò)程的審計(jì),系統(tǒng)變更對(duì)金融企業(yè)的作用 系統(tǒng)變更管理的一般流程,楊洋，,Feb, 2008

8、,6. 對(duì)系統(tǒng)變更過(guò)程的審計(jì),關(guān)鍵風(fēng)險(xiǎn)與控制 參考材料：“系統(tǒng)變更審計(jì)要點(diǎn)” 案例討論： 中國(guó)銀聯(lián)系統(tǒng)宕機(jī)事件,楊洋，,Feb, 2008,1. 網(wǎng)絡(luò)安全審計(jì)概述 2. 滲透測(cè)試技術(shù)與工具 3. 控制與審計(jì)要點(diǎn) 4. 當(dāng)前熱點(diǎn)：無(wú)線接入與數(shù)據(jù)庫(kù)保護(hù),三、 網(wǎng)絡(luò)安全審計(jì)實(shí)務(wù),楊洋，,Feb, 2008,1. 網(wǎng)絡(luò)安全審計(jì)概述,審計(jì)目標(biāo)與范圍 審計(jì)方法 了解與分析 配置檢查 日志復(fù)核 漏洞掃描 滲透測(cè)試,楊洋，,Feb, 2008,2. 滲透測(cè)試技術(shù)與工具,第一步：信息搜集與背景調(diào)查 工具： google 論壇 郵件 冒名電話 Social Engineering ,楊洋，,Feb, 2008,2

9、. 滲透測(cè)試技術(shù)與工具,第二步：掃描 Whois查詢 端口掃描 NMap工具 掃描監(jiān)測(cè),楊洋，,Feb, 2008,2. 滲透測(cè)試技術(shù)與工具,第三步：漏洞利用 再看緩沖區(qū)溢出 緩沖區(qū)溢出原理與發(fā)現(xiàn) 演示案例：緩沖區(qū)溢出程序示例,楊洋，,Feb, 2008,2. 滲透測(cè)試技術(shù)與工具,第三步：漏洞利用 PASSWORD= A OR B=B SQL注入 SQL注入原理 演示案例：SQL注入提權(quán)攻擊 防范工具,楊洋，,Feb, 2008,2. 滲透測(cè)試技術(shù)與工具,第三步：漏洞利用 網(wǎng)絡(luò)設(shè)備漏洞 路由器漏洞與發(fā)現(xiàn) 交換機(jī)漏洞與發(fā)現(xiàn) 案例分析,楊洋，,Feb, 2008,2. 滲透測(cè)試技術(shù)與工具,第三步：

10、漏洞利用 會(huì)話劫持 會(huì)話劫持原理 工具與案例分析 會(huì)話劫持的防范,楊洋，,Feb, 2008,2. 滲透測(cè)試技術(shù)與工具,第三步：漏洞利用 數(shù)據(jù)庫(kù)漏洞 Oracle漏洞與利用 數(shù)據(jù)庫(kù)漏洞掃描工具 Imperva Scuba 案例分析,楊洋，,Feb, 2008,2. 滲透測(cè)試技術(shù)與工具,第四步：植留后門 木馬原理 實(shí)例分析 后門的檢測(cè),楊洋，,Feb, 2008,2. 滲透測(cè)試技術(shù)與工具,第五步：隱蔽連接 隧道原理 工具： Httptunnel,楊洋，,Feb, 2008,2. 滲透測(cè)試技術(shù)與工具,集成測(cè)試工具介紹 Metasploit Immunity CANVAS,楊洋，,Feb, 2008

11、,3. 控制與審計(jì)要點(diǎn),一般審計(jì)要點(diǎn) 參考材料：“網(wǎng)絡(luò)安全審計(jì)要點(diǎn)” 互聯(lián)網(wǎng)服務(wù)控制與審計(jì)要點(diǎn),楊洋，,Feb, 2008,3. 控制與審計(jì)要點(diǎn),演示案例： 某政府內(nèi)網(wǎng)滲透過(guò)程模擬 案例討論： 某跨國(guó)企業(yè)核心系統(tǒng)滲透攻擊案例 某連鎖企業(yè)信用卡資料滲透攻擊案例,楊洋，,Feb, 2008,4. 當(dāng)前熱點(diǎn),無(wú)線網(wǎng)絡(luò)技術(shù) 無(wú)線接入引發(fā)的安全風(fēng)險(xiǎn) 基于無(wú)線接入的最新攻擊技術(shù) 無(wú)線網(wǎng)絡(luò)滲透攻擊過(guò)程與工具 案例討論： 某企業(yè)無(wú)線網(wǎng)絡(luò)安全審計(jì)過(guò)程與結(jié)論,楊洋，,Feb, 2008,4. 當(dāng)前熱點(diǎn),數(shù)據(jù)庫(kù)防護(hù) 數(shù)據(jù)庫(kù)是信息系統(tǒng)核心 信息安全首先是數(shù)據(jù)庫(kù)安全,楊洋，,Feb, 2008,四、 應(yīng)用控制審計(jì)實(shí)務(wù),

12、1. 應(yīng)用控制審計(jì)概述 2. 輸入輸出控制審計(jì) 3. 系統(tǒng)性能與可靠性審計(jì) 4. 數(shù)據(jù)審計(jì) 5. 代碼審計(jì) 6. ERP系統(tǒng)審計(jì) 7. 綜合案例,楊洋，,Feb, 2008,1. 應(yīng)用控制審計(jì)概述,特點(diǎn)與目的 直接針對(duì)業(yè)務(wù)系統(tǒng) 發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)及其對(duì)業(yè)務(wù)的直接影響 證據(jù)來(lái)源 用戶反饋 用例測(cè)試結(jié)果 實(shí)際業(yè)務(wù)數(shù)據(jù) 代碼分析,楊洋，,Feb, 2008,1. 應(yīng)用控制審計(jì)概述,系統(tǒng)理解 關(guān)鍵文檔與內(nèi)容 文檔缺失的處理 高風(fēng)險(xiǎn)領(lǐng)域的確定：變化頻繁、多系統(tǒng)協(xié)同 確定取證方式與范圍,楊洋，,Feb, 2008,2. 輸入輸出控制審計(jì),輸入控制審計(jì)要點(diǎn) CONTROL TOTALS 多點(diǎn)錄入 終端訪問(wèn)控制 S

13、ession窗口控制 輸出控制審計(jì)要點(diǎn) 訪問(wèn)控制 緩沖區(qū)安全 派發(fā)路徑安全,楊洋，,Feb, 2008,3. 系統(tǒng)性能與可靠性審計(jì),瓶頸分析 網(wǎng)絡(luò) 計(jì)算能力 存儲(chǔ) 集群、鏡像與熱站 未來(lái)可伸縮性 壓力測(cè)試,楊洋，,Feb, 2008,4. 數(shù)據(jù)審計(jì),原則： 無(wú)損、保密、透明 全面、相關(guān) 采集方法 數(shù)據(jù)接口與轉(zhuǎn)換工具 文件轉(zhuǎn)換工具 自制轉(zhuǎn)換程序,楊洋，,Feb, 2008,4. 數(shù)據(jù)審計(jì),分析方法： “多維”數(shù)據(jù)分析技術(shù) 案例演示： 某商業(yè)銀行信貸數(shù)據(jù)采集與分析,楊洋，,Feb, 2008,5. 代碼審計(jì),涵義： 代碼規(guī)范性 代碼安全性 關(guān)鍵處理流程正確性 后門、調(diào)試與邏輯炸彈,楊洋，,Feb, 2008,5. 代碼審計(jì),代碼審計(jì)工具 規(guī)范性審計(jì)工具 安全性審計(jì)工具 全程跟蹤調(diào)試工具,楊洋，,Feb, 2008,5. 代碼審計(jì),案例演示： 利用審計(jì)工具發(fā)現(xiàn)某系統(tǒng)代碼缺陷,楊洋，,Feb, 2008,6. ERP系統(tǒng)審計(jì),ERP系統(tǒng)審計(jì)的特殊性 體系復(fù)雜 審計(jì)方法成熟 提供豐富的審計(jì)工具 示例：Oracle審計(jì)要點(diǎn) 參考材料：“Oracle審計(jì)要點(diǎn)”,楊洋，,Feb, 2008,7. 綜合案例,應(yīng)用控制審計(jì)案例討論： 審計(jì)計(jì)劃的確定 審計(jì)過(guò)程與發(fā)現(xiàn) 審計(jì)報(bào)告與披露,楊洋，,Feb, 2008,五、 持續(xù)在線審計(jì)技術(shù),特點(diǎn) 傳統(tǒng)定期審計(jì) 與實(shí)時(shí)監(jiān)測(cè)區(qū)別：互相獨(dú)立 IT審計(jì)師在系統(tǒng)開發(fā)早