CISA IT审计实务培训2 审计实务.pptVIP

杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 第一步：信息搜集与背景调查 工具： google 论坛 邮件 冒名电话 Social Engineering … … 杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 第二步：扫描 Whois查询 端口扫描 NMap工具 扫描监测 杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 第三步：漏洞利用 再看缓冲区溢出 缓冲区溢出原理与发现 演示案例：缓冲区溢出程序示例 杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 第三步：漏洞利用 PASSWORD= A’ OR ‘B’=‘B SQL注入 SQL注入原理 演示案例：SQL注入提权攻击 防范工具 杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 第三步：漏洞利用 网络设备漏洞 路由器漏洞与发现 交换机漏洞与发现 案例分析 杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 第三步：漏洞利用 会话劫持 会话劫持原理 工具与案例分析 会话劫持的防范 杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 第三步：漏洞利用 数据库漏洞 Oracle漏洞与利用 数据库漏洞扫描工具 Imperva Scuba 案例分析 杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 第四步：植留后门 木马原理 实例分析 后门的检测 杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 第五步：隐蔽连接 隧道原理 工具： Httptunnel 杨洋，yycisa@263.net Feb, 2008 2. 渗透测试技术与工具 集成测试工具介绍 Metasploit Immunity CANVAS 杨洋，yycisa@263.net Feb, 2008 3. 控制与审计要点 一般审计要点 参考材料：“网络安全审计要点” 互联网服务控制与审计要点 杨洋，yycisa@263.net Feb, 2008 3. 控制与审计要点 演示案例： 某政府内网渗透过程模拟 案例讨论： 某跨国企业核心系统渗透攻击案例 某连锁企业信用卡资料渗透攻击案例 杨洋，yycisa@263.net Feb, 2008 4. 当前热点 无线网络技术 无线接入引发的安全风险 基于无线接入的最新攻击技术 无线网络渗透攻击过程与工具 案例讨论： 某企业无线网络安全审计过程与结论 杨洋，yycisa@263.net Feb, 2008 4. 当前热点 数据库防护 数据库是信息系统核心 信息安全首先是数据库安全 杨洋，yycisa@263.net Feb, 2008 四、 应用控制审计实务 1. 应用控制审计概述 2. 输入输出控制审计 3. 系统性能与可靠性审计 4. 数据审计 5. 代码审计 6. ERP系统审计 7. 综合案例 杨洋，yycisa@263.net Feb, 2008 1. 应用控制审计概述 特点与目的 直接针对业务系统 发现系统风险及其对业务的直接影响 证据来源 用户反馈 用例测试结果 实际业务数据 代码分析 杨洋，yycisa@263.net Feb, 2008 1. 应用控制审计概述 系统理解 关键文档与内容 文档缺失的处理 高风险领域的确定：变化频繁、多系统协同 确定取证方式与范围 杨洋，yycisa@263.net Feb, 2008 2. 输入输出控制审计 输入控制审计要点 CONTROL TOTALS 多点录入 终端访问控制 Session窗口控制 输出控制审计要点 访问控制 缓冲区安全 派发路径安全 杨洋，yycisa@263.net Feb, 2008 3. 系统性能与可靠性审计 瓶颈分析 网络 计算能力 存储 集群、镜像与热站 未来可伸缩性 压力测试 杨洋，yycisa@263.net Feb, 2008 4. 数据审计 原则： 无损、保密、透明 全面、相关 采集方法 数据接口与转换工具 文件转换工具 自制转换程序 杨洋，yycisa@263.net Feb, 2008 4. 数据审计 分析方法： “多维”数据分析技术 案例演示： 某商业银行信贷数据采集与分析 杨洋，yycisa@263.net Feb, 2008 5. 代码审计 涵义： 代码规范性 代码安全性 关键处理流程正确性 后门、调试与逻辑炸弹 杨洋，yycisa@263.net Feb, 2008 5. 代码审计 代码审计工具 规范性审计工具 安