信息系统审计(南京审计学院)chap6.ppt
《信息系统审计(南京审计学院)chap6.ppt》由会员分享,可在线阅读,更多相关《信息系统审计(南京审计学院)chap6.ppt(52页珍藏版)》请在冰豆网上搜索。
NANJINGAUDITUNIVERSITY第六章第六章信息安全控制与审计信息安全控制与审计在信息化环境下,由于信息更具有易传播、易扩散、易毁损的特点,信在信息化环境下,由于信息更具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过息资产比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。
因此信息安全问题正变得日益突出。
程中面临大量的风险。
因此信息安全问题正变得日益突出。
在信息化环境下,其风险主要来源于:
在信息化环境下,其风险主要来源于:
组织管理、信息系统、信息基础组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁。
设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁。
因此需要因此需要对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。
实的。
为了达到信息化环境下信息安全的目标,为了达到信息化环境下信息安全的目标,组织必须采取一系列适当的信组织必须采取一系列适当的信息安全控制和审计措施,息安全控制和审计措施,以使信息避免一系列威胁,保障业务的连续性,最以使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。
大限度地减少业务的损失,最大限度地获取投资回报。
NANJINGAUDITUNIVERSITY第一节第一节信息安全及管理信息安全及管理一、信息安全概述一、信息安全概述信息安全:
信息安全:
是在技术上和管理上为数据处理系统建立的安全保护是在技术上和管理上为数据处理系统建立的安全保护,保护保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
更改和泄露。
(国际标准化组织(国际标准化组织(ISO)定义)定义)信息安全一般包括:
信息安全一般包括:
实体安全、运行安全、信息安全和管理安全实体安全、运行安全、信息安全和管理安全实体安全:
实体安全:
是指保护计算机设备、网络设施以及其他通讯与存储介是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁质免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。
污染等)破坏的措施、过程。
运行安全:
运行安全:
是指为保障系统功能的安全实现,提供一套安全措施(是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
处理过程的安全。
NANJINGAUDITUNIVERSITY另外,美国国家电信与信息系统安全委员会(另外,美国国家电信与信息系统安全委员会(NTISSC)认为,信息安)认为,信息安全应包括六个方面:
全应包括六个方面:
通信安全通信安全、计算机安全、计算机安全、符合瞬时电磁脉冲辐射标准符合瞬时电磁脉冲辐射标准、传输安全、物理安全传输安全、物理安全、人员安全、人员安全信息安全的内容包括:
信息安全的内容包括:
机密性(机密性(Confidentiality)、完整性()、完整性(Integrity)、可)、可用性(用性(Availability)、真实性()、真实性(Authenticity)和有效性()和有效性(Utility)。
)。
信息安全:
信息安全:
是指防止信息资源的非授权泄露、更改、破坏,或使信是指防止信息资源的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认。
即确保信息的完整性、机密息被非法系统辨识、控制和否认。
即确保信息的完整性、机密性、可用性和可控性。
性、可用性和可控性。
管理安全:
管理安全:
是指通过信息安全相关的法律法令和规章制度以及安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
管理手段,确保系统安全生存和运营。
NANJINGAUDITUNIVERSITY二、信息安全管理二、信息安全管理根据木桶原理,一个组织的信息安全水平将由与信息安全有关的所有根据木桶原理,一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。
环节中最薄弱的环节决定。
信息安全管理标准:
信息安全管理标准:
BS7799(ISO/IEC17799)国际信息安全管理标准体系)国际信息安全管理标准体系作用:
作用:
指导组织安全实践的信息安全管理标准指导组织安全实践的信息安全管理标准信息安全管理一般包括:
信息安全管理一般包括:
制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训,等作流程、对员工进行安全意识培训,等为了给组织建立起一张完备的信息安全为了给组织建立起一张完备的信息安全“保护网保护网”,来保证组织信息资,来保证组织信息资产的安全与业务的连续性,应产的安全与业务的连续性,应在以下十个领域建立管理控制措施:
在以下十个领域建立管理控制措施:
1、安全方针策略;安全方针策略;2、组织安全;组织安全;3、资产分类与控制;资产分类与控制;4、人员安全;人员安全;5、物理与环境安全;物理与环境安全;6、通信与运营安全;通信与运营安全;7、访问控制;访问控制;8、系统开发与维护;系统开发与维护;9、业务持续性管理;业务持续性管理;10、符合法律法规要求。
符合法律法规要求。
NANJINGAUDITUNIVERSITY第二节第二节网络信息安全等级保护制度网络信息安全等级保护制度在网络化环境下,必须面对世界范围内的网络攻击、数据窃取、身份假在网络化环境下,必须面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。
因此,有必要从技术和管理控制角度建立一套网络信息安全冒等安全问题。
因此,有必要从技术和管理控制角度建立一套网络信息安全等级保护机制。
等级保护机制。
一、国外等级保护的发展一、国外等级保护的发展美国国防部早在美国国防部早在80年代成立了所属的机构年代成立了所属的机构-国家计算机安全中心(国家计算机安全中心(NCSC)1983年他们公布了年他们公布了可信计算机系统评估准则(可信计算机系统评估准则(TCSEC,俗称橘皮书)俗称橘皮书)NCSC于于1987年年出版了一系列有关可信计算机数据库、可信计算机出版了一系列有关可信计算机数据库、可信计算机网络等的指南等(俗称彩虹系列)。
网络等的指南等(俗称彩虹系列)。
从网络安全的角度出发,从用户登录、授权管理、访问控制、审从网络安全的角度出发,从用户登录、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求。
文本写作、用户指南均提出了规范性要求。
NANJINGAUDITUNIVERSITY90年代西欧四国(英、法、荷、德)联合提出了年代西欧四国(英、法、荷、德)联合提出了信息技术安全评估标信息技术安全评估标准(准(ITSEC)(又称欧洲白皮书)(又称欧洲白皮书),除了吸收,除了吸收TCSEC的成功经的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识。
把可信计算机的概念提高到可信信息技术的高度上来认识。
根据所采用的安全策略、系统所具备的安全功能将系统分为四类根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。
七个安全级别。
将计算机系统的可信程度划分为将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和和A1七个层次。
七个层次。
1991年年1月美国联合其他国家宣布了制定月美国联合其他国家宣布了制定通用安全评估准则(通用安全评估准则(CC)的)的计划。
计划。
1996年年1月出版了月出版了1.0版。
版。
它的基础是欧洲的它的基础是欧洲的ITSEC。
CC标准吸收了标准吸收了TCSEC、加拿大的、加拿大的CTCPEC以及国际标准化组以及国际标准化组织织ISO:
SC27WG3的安全评估标准等各先进国家对现代信息系的安全评估标准等各先进国家对现代信息系统信息安全的经验与知识。
统信息安全的经验与知识。
NANJINGAUDITUNIVERSITY二、我国的等级保护体系二、我国的等级保护体系1989年公安部开始设计起草法律和标准,从法律、管理和技术三个方面年公安部开始设计起草法律和标准,从法律、管理和技术三个方面着手研究信息安全等级保护制度。
着手研究信息安全等级保护制度。
1999年年9月月13日由公安部组织制订的日由公安部组织制订的计算机信息系统安全保护等级划分计算机信息系统安全保护等级划分准则准则国家标准由国家质量技术监督局审查通过并正式批准发布,国家标准由国家质量技术监督局审查通过并正式批准发布,已于已于2001年年1月月1日执行。
日执行。
准则准则的配套标准分两类:
的配套标准分两类:
一是一是计算机信息系统安全保护等级划分准则应用指南计算机信息系统安全保护等级划分准则应用指南,它包,它包括技术指南、建设指南和管理指南;括技术指南、建设指南和管理指南;二是二是计算机信息系统安全保护等级评估准则计算机信息系统安全保护等级评估准则,它包括安全操,它包括安全操作系统、安全数据库、网关、防火墙、路由器和身份认证管作系统、安全数据库、网关、防火墙、路由器和身份认证管理等。
理等。
准则准则将计算机安全保护划分为以下五个级别:
将计算机安全保护划分为以下五个级别:
NANJINGAUDITUNIVERSITY第一级:
用户自主保护级。
第一级:
用户自主保护级。
它的安全保护机制使用户具备自主安它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
全保护的能力,保护用户的信息免受非法的读写破坏。
涉及:
涉及:
自主访问控制自主访问控制、身份鉴别、身份鉴别第二级:
系统审计保护级。
第二级:
系统审计保护级。
除具备第一级所有的安全保护功能外,除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,是所有的用户对要求创建和维护访问的审计跟踪记录,是所有的用户对自己行为的合法性负责。
自己行为的合法性负责。
涉及:
涉及:
自主访问控制自主访问控制、身份鉴别、客体重用、身份鉴别、客体重用、审计、审计、数据完整性、数据完整性第三级:
安全标记保护级。
第三级:
安全标记保护级。
除继承前一个级别的安全功能外,还除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。
实现对访问对象的强制访问。
涉及:
涉及:
自主访问控制自主访问控制、强制访问控制、标记、身份鉴别、客体重、强制访问控制、标记、身份鉴别、客体重用用、审计、审计、数据完整性、数据完整性NANJINGAUDITUNIVERSITY第四级:
结构化保护级。
第四级:
结构化保护级。
在继承前面安全级别安全功能的基础上,在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
的抗渗透能力。
涉及:
涉及:
自主访问控制自主访问控制、强制访问控制、标记、身份鉴别、客体重、强制访问控制、标记、身份鉴别、客体重用用、审计、审计、数据完整性、隐蔽信道分析、数据完整性、隐蔽信道分析、可信路径、可信路径第五级:
访问验证保护级。
第五级:
访问验证保护级。
这一个级别特别增设了访问验证功能,这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
负责仲裁访问者对访问