[李桃梅]IT审计那些事
本帖最后由 李桃梅 于 2017-5-24 15:48 编辑Audit
第一次接触审计是在2010年, 即进入雪佛龙的第二年, 那时对审计完全没有概念, 当时觉得就是公司派一些人专门来挑刺的.
随着经验的增长及英文水平的提升, 现在应对审计算是游刃有余了, 也对审计有了更深的认识, 今天就和大家聊聊「IT审计那些事」
雪佛龙每年会有一次审计, 而且不仅仅是IT部门, 其他部门也一样, 比如: 财务部, 合同部… 就IT部门来说, 以内审为主, 偶尔会有外审.
内审主要是审查流程, 标准及安全漏洞, 会配合一些基本的扫描工具; 外审则是「渗透」测试, 会用专业的软件或工具进行探测, 去年的外审人员来自美国, 他曾就职于洛克希德·马丁公司安全部门.
此公司还是很牛X的, 涉及航天, 导弹领域, 每年编写的软件代码数量甚至超过微软公司, 并和美国政府国防项目进行合作, 由此可见, 其安全部门的水平及重要性.
公司的内审人员来自世界各地: 美国, 泰国, 新加坡, 菲律宾… 雪佛龙对合规和安全非常重视, 所以审计人员也是比较吃香.
今年有三名审计人员到成都, 皆来自菲律宾, 为期一个月, 涉及IT全领域的审计, 几乎每天都在跟他们开会, 邮件飞来飞去, 这周终于把他们送走了, 但事没完, 审出来的一些问题将在未来的一个月整改.
审计流程大体上分五步:
[*]预先发问卷表, 里面涵盖几十个问题及需要的资料, 相关人员进行准备.
[*]面对面和相关人员开会, 询问一些问题的细节.
[*]发出”Draft Inquiry”, 这时相关人员可根据具体问题做出同意或申辩.
[*]发出”Formal Inquiry”, 里面包含:
[*]发现的问题
[*]存在的隐患
[*]违背了哪些标准
[*]建议的整改措施
[*]建议的整改完成时间
[*]审计评分
Rule
大公司做什么事都是要有「规矩」的, 这个「规矩」其实就是审计人员重点审查的东西.
比如, 分支站点新上线一台路由器, 使得网络连通, 如果仅从「功能实现」这个角度来说, 设备上架, 完成配置, 用户能连接网络, 就已经OK了, 但这仅仅完成了「规矩」的一部分, 其他还包括:
[*]事前发变更申请 (ITIL流程)
[*]设备命名及贴标签
[*]添加DNS条目
[*]添加AAA TACACS登录认证
[*]添加到监控系统Voyence/SolarWinds
[*]更新IP地址记录表
[*]更新设备清单表
[*]更新拓扑图
[*] ……
以上谈到的这些就是「流程」, 有可能事情本身只花50%的时间, 剩下50%的时间需要去完成流程中的其他事情, 这就是典型的「流程管理导向」, 使企业合规, 使其他人也容易上手和跟踪, 这也是大企业离了谁都照样转, 因为流程在那.
现在中国区使用的「设备上线/下线流程及详细步骤」就是由我于2012年撰写的, 并根据公司的变化不断更新完善, 团队人员需要按照此流程去完成工作.
除了「流程」, 雪佛龙还有很多「标准」, 里面涵盖了IT各个领域, Network,Server, Database, Windows, Linux… 大到整体的安全标准, 小到某个协议是否需要禁用, 这个「标准」是非常有价值的, 也是雪佛龙的IT人员长年积累的结晶.
如果只是按照「流程」和「标准」去完成平时的工作, 也不算完成了100%, 因为一些具体的细节在「流程」和「标准」是无法体现的, 需要设计和实施人员有安全意识, 去考虑的更全面, 如果有疏忽, 也需要有人来指出并改正, 这就是审计人员存在的原因.
下面我举一些安全漏洞的例子, 大家也可以作为参考:
[*]密码是否有复杂度, 长度大于12位, 有数字, 有大小写, 有字符?
[*]流程和标准是否每半年复查一次?
[*]IT运维人员管理权限是否每半年复查一次?
[*]设备是否有专门的管理VLAN, 并只有特定用户/主机可以访问此VLAN?
[*]是否禁用了不必要的服务, 如BooTP/MOP/Modem InOut/CDP?
[*]是否禁用了Telnet, 而使用SSH?
[*]Internet边界路由器是否禁用了SNMPRW?
[*]是否禁用了HTTP, 而使用HTTPS登录?
[*]防火墙ACL/RULE是否精确定义了源目IP及端口?
[*]防火墙工作在Stateful模式, 无需放行返回的流量,尤其是从Internet返回的流量.
[*]Internet边界路由器外口是否有出/入方向的ACL?
[*]……
总体来说, 审计的过程就是帮助企业查错补漏的过程, 这也是企业自我完善, 自我修复的一个重要环节.
经历过审计, 你才会对IT运维和管理的认识上升一个层次, 明白企业信息化的全生命周期不仅仅只有技术, 你需要用全面的眼光和安全的眼光去审视IT合规, 这也将对你未来向主管/经理发展大有裨益.
http://bbs.hh010.com/data/attachment/forum/201705/24/144837wztdnv0vo6ojgx5q.gif
:L对这些文绉绉的理论管理东西表示无爱! {:6_290:}{:6_290:} 学习了,知识面得到扩展,支持李大神!!
更希望能把上面的“下面我举一些安全漏洞的例子, 大家也可以作为参考:”,能分享完全一些。{:6_267:} 审订方面,越往后走会越吃香,有可能会与CFA并与全球高薪的行列中的{:6_291:}网络安全现在越来越重要了 黑客王子 发表于 2016-6-20 08:19
对这些文绉绉的理论管理东西表示无爱!
这才是IT管理者才接触得到的东西,绝对是好东西。到了外企你就知道了。 感谢楼主分享! 我以前也待过合资公司,要求也比较严格,但和你们比差距还很大。 管理层要考虑的太多,觉得做个技术宅比较舒服,不过会在不经意的时候学一些提高自身修养的~ 希望更具体的全部列出来,辛苦辛苦! {:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:} 谢谢分享。。。 {:6_267:} 楼主,求合作 哈哈。受教了。谢谢李桃梅老师分享。 审计本身是好事,但是一旦条条框框化后,意义就一般般了
比如应该多查边界设备,内部设备相对不重要一些
但一般审计要求都一样
页:
[1]
2