安全审计概述及实践 – 作者:softgirl

一.序言

安全审计是对企业安全建设的监督审查机制,包括但不限于安全策略、安全流程及技术管控等。合理运用安全审计,既可以为业务解决切实的问题、也能为安全规划提供参考依据。

0Xxk69YNE_qYR7.png

二.模型

随着企业的快速发展及安全建设的逐渐完善,很多问题开始变得隐性化,又总在意想不到的时候跳出来,不断提醒着持续存在的风险。对待这种问题,我们的总体思路是提前预防替代被动修复,安全审计是提前预防的一个重要方案。

安全审计是对企业安全建设的监督审查,包括但不限于安全策略、安全流程及技术管控等。通过安全审计可解决如下问题:

1. 审核现有的安全制度、流程是否适用业务,是已落地执行还是束之高阁;

2. 审核现有的技术手段是否覆盖到安全管控范围,是已覆盖还是有空白地带;

3. 审核被忽略或潜藏的风险,是对业务场景不了解还是新增的业务模式未进行风险识别。

信息安全审计的模型可参考信息科技审计模型,从三个维度开展,分别为:信息安全公司层面控制、信息安全应用控制和信息安全一般性控制。各部分的关注点及示例图如下:

0HJwkWTPv_9mjS.png

简要概述,就是从公司层面、业务层面和实现层面进行审计。公司层面控制关注的是公司对信息安全的要求,应用控制围绕的是公司关键业务及流程,一般控制程序重点是落地的措施和实际配置。

三.实践

综上,我们以权限审计为例进行实践。2020年因疫情原因,远程办公的需求增多,导致权限问题频发,包括越访问、离职账户、匿名账号、共享账号等。为明确权限问题的根源,更好的制定处理措施,拟开展权限专项审计,针对核心系统进行权限审计。具体过程如下:

1、公司层面控制。明确项目目标,制定项目计划,最重要是获得管理层支持。

2、信息安全应用控制。对各个系统的功能及流程进行穿行测试,查找异常。

3、一般控制程序。对系统权限表进行审计,查找显性问题。

简要概述,制定审核计划后获取管理层批准,导出系统权限表,并对系统功能进行穿性测试。大部分的权限问题都围绕在离职账户、转岗账户、授权过大、匿名账户、共享账户、越权访问、操作日志确实缺失等方面,但是具体问题需结合业务实际情况进行分析。如离职账号未删除,其根本原因是未对接账户管理系统,导致人员离职的时候,无法从账户管理系统同步离职信息,所以未删除该账号。

0nwnxIL9d_4Lvp.png

四.尾声

信息安全审计的内容和方向较多,包括数据外发审计、外包人员管控审计、离职审计等,合理运用安全审计,既可以为业务解决切实问题、也能为安全规划提供参考依据。

来源:freebuf.com 2021-02-18 08:39:46 by: softgirl

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论