解析企业IT安全审计面面观

　　作者: 陈将, 　出处:IT专家网,　责任编辑: 张帅,　 2008-08-01 10:12

　　安全审计是指评估企业安全风险以及如何应对风险措施的一个过程。作为审计的一个过程，审计人员会询问关键职员，实施漏洞评估，给现有的安全政策和控制造册，检查IT资产。

　　【IT专家网独家】什么是安全审计

　　所谓安全审计，是指评估企业安全风险以及如何应对风险措施的一个过程。这是一个人为的过程，有一群拥有相关计算机专业技能和商业知识的审计人员操作进行。作为审计的一个过程，审计人员会询问关键职员，实施漏洞评估，给现有的安全政策和控制造册，检查IT资产。很多情况下，审计很大程度上有赖于技术工具。

　　一般说来，安全审计的焦点问题如下：

　　1. 密码是否牢靠?

　　2. 网络是否有访问控制清单?

　　3. 访问日志是否记录了访问数据的人员?

　　4. 个人电脑是否经常扫描广告软件和恶意软件?

　　5. 谁有权访问组织中的备份存储媒介?

　　当然以上只是例举了一小部分问题。

　　审计不是一个短期的静止的过程，而是一个连续不断需要提高的过程。一些评论家说，审计的焦点应该在于评估企业现行的安全政策是否兼容一致。当然，审计不仅仅是评估兼容性问题，还有企业安全政策和控制本身。很多时候，企业一些老旧的管理规定赶不上新的技术的发展。安全审计是最有效的办法。

　　安全审计过程

　　在实施审计之前有几步是很关键的(譬如，审计需要得到企业高层的支持)，以下是审计本身实施的关键步骤：

　　1. 定义审计的物质范畴。划定审计的范围很关键。划定的范围之间要有一些联系，譬如数据中心局域网，或是商业相关的一些东西，财务报表等。不管采用哪种方式，审计范畴的划定有利于审计人员集中注意力在资产，规程和政策方面。

　　2. 划定审计的步骤范围。过于宽泛的审计步骤会延缓审计。但是过窄又会导致审计不完全，难以得出令人信服的结果。应该确定一个合适的安全审计区域。不管企业的大小，都应该将主要精力放在审计的重点上。

　　3.研究历史。审计中常遗忘的一个过程就是不查阅以前的审计历史。藉此我们可以把注意力放在已知的安全漏洞，损害导致的安全事件，还有IT结构的企业流程的改变等等。这应该包括过去审计的评估。还有，审计人员应该将位于审计范围内的所有资产及其相关的管理规章造册编辑好。

　　4. 恰当的审计计划。一个详细备至的审计计划是实施有效审计一个关键。包括审计内容的详细描述，关键日期，参与人员和独立机构。

　　5. 实施安全风险评估。一旦审计小组制定好了有效的审计计划，就可以着手开始审计的核心—风险评估。风险评估覆盖以下几个方面：

　　A. 确认位于安全审计范围之内的资产，根据其商业价值确认优先顺序。譬如，支持命令进入程序的网络服务器就比支撑IT部门内部博客的服务器重要的的多。

　　B. 找出潜在的威胁。威胁的定义是指有可能造成资产潜在风险的因素。

　　C. 将资产的各类漏洞编一个目录。特别是那些资产现有的漏洞及由此可能产生的风险。

　　D. 检查现有资产是否有相应的安全控制。这些控制必须存在并且可用。如果缺少这些就应该记录下来。控制包括技术方面的，譬如防火墙;流程方面的，譬如数据备份过程;人事方面的，譬如管理相关资产的系统管理人员

　　E. 确认风险发生的可能性。审计小组必须给出每个风险可能导致危险的量化的可能性。风险可能性的评估表明了现有控制处置风险的能力。这些可能性应该用不同的层级来表示。

　　F. 确定风险的潜在危害。审计人员必须再次将风险发生造成的危害量化。这种量化的评估也需要用层级表示。

　　G. 风险评估。审计人员使用上述两个参数(可能性乘以危害)计算风险。这样根据风险评估的结果来提高处置风险的有效性。

　　6. 记录下审计结果。这并不是说需要上述所有审计的一个详尽的结果。审计文件包括总结，审计原因，必要的升级和纠正，支持数据。审计小组还要把文件制成ppt演示文稿。

　　7. 提出改进意见。安全审计最终的好处就是提出相应的提高安全的建议。这些建议应该是客户可以实施的形式。

　　安全审计范围

　　很多企业在确定审计范围时不要花费什么时间。对于审计小组来说，把审计限制在实体位置和逻辑小组就很简单了。

　　更难的，也是更有价值的是划定审计区域。关键就是根据风险系数制定出优先的安全流程。 譬如，有一些是不断造成非常小的风险，而身份管理就可能造成严重危害。在这一案例中，身份管理流程就应该包括审计过程中，那些小的风险可以忽略。

　　许多咨询人士和分析人士似乎都对来年的安全风险有一个明确的认识。Gartner估计80%的风险集中于如下四个方面：

　　网络访问控制(NAC)。NAC就是检查访问网络的用户和系统的安全性。这是任何访问某个网络的用户必须面临的第一道安全检查。NAC也会检查已经进入网络的用户和系统的安全。有些情况下，NAC还会根据已知的风险或用户矫正或是应对风险。

　　入侵防御：入侵防御涵盖的范围远广于传统的入侵检测。实际上，这与NAC有些类似，都是防范已知的风险。入侵防御会加强政策的执行从而将风险范围缩小到最小范围。

　　身份和访问管理。它控制什么人什么时候访问了什么数据。主要采取的就是授权证明，越来越多的政策管理的存储也是很关键的因素。

　　漏洞管理。漏洞管理根据根原因分析处置风险，采取有效的措施应对特定的风险。

　　作者: 陈将, 　出处:IT专家网,　责任编辑: 张帅,　 2008-08-01 10:12

　　安全审计是指评估企业安全风险以及如何应对风险措施的一个过程。作为审计的一个过程，审计人员会询问关键职员，实施漏洞评估，给现有的安全政策和控制造册，检查IT资产。

　　案例研究：NAC审计

　　NAC是应对网络安全风险的第一道大门。在实施NAC审计的时候，以下是关注焦点：

　　1. 定义和清查网络，包括所有的设备和网络协议。最有效的工具就是使用现有的展示所有路由器个节点的网络拓扑图。由于网络经常改变，因此需要一个自动的盘查工具。审计小组应该区分关键设备的优先次序，还有外网和内网之分。这一步要如实记录下任何NAC的审计，在审计过程中要实时参考。

　　2. 确认哪些系统和用户可以访问网络，包括内网和外网。审计小组要确认访问地点(包括办公室，家里或是远程地址)。

　　3. 确认和对可能分类可能造成网络风险的危险，还有网络本身的不足。病毒和入侵就是典型的威胁，而路由器配置错误就是缺陷。

　　4. 设置特殊的控制访问应对第三步中的风险。有很多安全控制可以直接在NAC上应用，包括身份认证机制;限制特定用户和系统的访问;加强特殊的网络路由，只使用特定的网络路线。

　　尽管绝大多数的企业在上述四个方面做的不错，但是特别是一些发起因为选择一个更加广泛的审计范畴。一个广泛的审计标准就是ISO17799. ISO17999包括以下几个方面：

　　安全政策：ISO17999要求企业有书面的安全政策，以及不断的更新。

　　组织安全：这一部分主要是企业的信息安全支撑结构;第三方导致的安全问题;特定外包任务可能造成的风险。

　　资产分类和控制：资产分类和控制有助于企业把资产划分为不同的种类和相应的安全控制。

　　人事安全：这一标准加入了人的安全因素，譬如培训，个人如何应对安全时间，招聘员工的时候考虑安全。

　　实体和环境安全：这一部分涵盖实体资产的安全，譬如数据中心，以及安全区域的特殊管制，还有安全的设备。

　　通信和操作管理：这是ISO17999更有作用的一个部分，包括系统管理的限制;恶意软件保护;数据备份;网络管理;存储媒介管理。

　　访问控制：访问控制包括对用户访问信息的控制，网络访问控制，程序访问控制和移动处理控制。

　　系统开发和维护：这一部分的安全控制主要是在如下几个方面，系统，应用程序，密码系统，文件系统开发支持系统。

　　商业连贯性管理：主要是防止由于灾难导致核心的商业进程崩溃。

　　兼容性：ISO17999标准在兼容性方面没有特别之处，但是在安全政策与法律，商业的一致性上提出了指导性意见。

　　不考虑这些方法，安全审计会给企业带来很大的好处，譬如说，降低安全风险，增加操作的可预期性，减少传统的IT纷争。

　　IT专家网原创文章，未经许可，严禁转载！