解析企业IT安全审计面面观.docVIP

解析企业IT安全审计面面观 2008-08-04 10:09:02 陈将 IT专家网 【大】【中】【小】 评论：[0] 条 安全审计是指评估企业安全风险以及如何应对风险措施的一个过程。作为审计的一个过程，审计人员会询问关键职员，实施漏洞评估，给现有的安全政策和控制造册，检查IT资产。 什么是安全审计 　　所谓安全审计，是指评估企业安全风险以及如何应对风险措施的一个过程。这是一个人为的过程，有一群拥有相关计算机专业技能和商业知识的审计人员操作进行。作为审计的一个过程，审计人员会询问关键职员，实施漏洞评估，给现有的安全政策和控制造册，检查IT资产。很多情况下，审计很大程度上有赖于技术工具。 　　一般说来，安全审计的焦点问题如下： 　　1. 密码是否牢靠 2. 网络是否有访问控制清单 3. 访问日志是否记录了访问数据的人员 4. 个人电脑是否经常扫描广告软件和恶意软件 5. 谁有权访问组织中的备份存储媒介 当然以上只是例举了一小部分问题。 　　审计不是一个短期的静止的过程，而是一个连续不断需要提高的过程。一些评论家说，审计的焦点应该在于评估企业现行的安全政策是否兼容一致。当然，审计不仅仅是评估兼容性问题，还有企业安全政策和控制本身。很多时候，企业一些老旧的管理规定赶不上新的技术的发展。安全审计是最有效的办法。 　　安全审计过程 　　在实施审计之前有几步是很关键的 譬如，审计需要得到企业高层的支持 ，以下是审计本身实施的关键步骤： 　　1. 定义审计的物质范畴。划定审计的范围很关键。划定的范围之间要有一些联系，譬如数据中心局域网，或是商业相关的一些东西，财务报表等。不管采用哪种方式，审计范畴的划定有利于审计人员集中注意力在资产，规程和政策方面。 　　2. 划定审计的步骤范围。过于宽泛的审计步骤会延缓审计。但是过窄又会导致审计不完全，难以得出令人信服的结果。应该确定一个合适的安全审计区域。不管企业的大小，都应该将主要精力放在审计的重点上。 　　3. 研究历史。审计中常遗忘的一个过程就是不查阅以前的审计历史。藉此我们可以把注意力放在已知的安全漏洞，损害导致的安全事件，还有IT结构的企业流程的改变等等。这应该包括过去审计的评估。还有，审计人员应该将位于审计范围内的所有资产及其相关的管理规章造册编辑好。 　　4. 恰当的审计计划。一个详细备至的审计计划是实施有效审计一个关键。包括审计内容的详细描述，关键日期，参与人员和独立机构。 　　5. 实施安全风险评估。一旦审计小组制定好了有效的审计计划，就可以着手开始审计的核心—风险评估。风险评估覆盖以下几个方面： 　　A. 确认位于安全审计范围之内的资产，根据其商业价值确认优先顺序。譬如，支持命令进入程序的网络服务器就比支撑IT部门内部博客的服务器重要的的多。 　　B. 找出潜在的威胁。威胁的定义是指有可能造成资产潜在风险的因素。 　　C. 将资产的各类漏洞编一个目录。特别是那些资产现有的漏洞及由此可能产生的风险。 　　D. 检查现有资产是否有相应的安全控制。这些控制必须存在并且可用。如果缺少这些就应该记录下来。控制包括技术方面的，譬如防火墙;流程方面的，譬如数据备份过程;人事方面的，譬如管理相关资产的系统管理人员 　　E. 确认风险发生的可能性。审计小组必须给出每个风险可能导致危险的量化的可能性。风险可能性的评估表明了现有控制处置风险的能力。这些可能性应该用不同的层级来表示。 　　F. 确定风险的潜在危害。审计人员必须再次将风险发生造成的危害量化。这种量化的评估也需要用层级表示。 　　G. 风险评估。审计人员使用上述两个参数 可能性乘以危害 计算风险。这样根据风险评估的结果来提高处置风险的有效性。 　　6. 记录下审计结果。这并不是说需要上述所有审计的一个详尽的结果。审计文件包括总结，审计原因，必要的升级和纠正，支持数据。审计小组还要把文件制成ppt演示文稿。 　　7. 提出改进意见。安全审计最终的好处就是提出相应的提高安全的建议。这些建议应该是客户可以实施的形式。 　　安全审计范围 　　很多企业在确定审计范围时不要花费什么时间。对于审计小组来说，把审计限制在实体位置和逻辑小组就很简单了。 　　更难的，也是更有价值的是划定审计区域。关键就是根据风险系数制定出优先的安全流程。 譬如，有一些是不断造成非常小的风险，而身份管理就可能造成严重危害。在这一案例中，身份管理流程就应该包括审计过程中，那些小的风险可以忽略。 　　许多咨询人士和分析人士似乎都对来年的安全风险有一个明确的认识。Gartner估计80%的风险集中于如下四个方面： 　　网络访问控制 NAC 。NAC就是检查访问网络的用户和系统的安全性。这是任何访问某个网络的用户必须面临的第一道安全检查。NAC也会检查已经进入网络的用户和系统的安全。有些