[李桃梅]IT审计那些事

李桃梅

Audit

第一次接触审计是在2010年, 即进入雪佛龙的第二年, 那时对审计完全没有概念, 当时觉得就是公司派一些人专门来挑刺的.

随着经验的增长及英文水平的提升, 现在应对审计算是游刃有余了, 也对审计有了更深的认识, 今天就和大家聊聊「IT审计那些事」

雪佛龙每年会有一次审计, 而且不仅仅是IT部门, 其他部门也一样, 比如: 财务部, 合同部… 就IT部门来说, 以内审为主, 偶尔会有外审.

内审主要是审查流程, 标准及安全漏洞, 会配合一些基本的扫描工具; 外审则是「渗透」测试, 会用专业的软件或工具进行探测, 去年的外审人员来自美国, 他曾就职于洛克希德·马丁公司安全部门.

此公司还是很牛X的, 涉及航天, 导弹领域, 每年编写的软件代码数量甚至超过微软公司, 并和美国政府国防项目进行合作, 由此可见, 其安全部门的水平及重要性.

公司的内审人员来自世界各地: 美国, 泰国, 新加坡, 菲律宾… 雪佛龙对合规和安全非常重视, 所以审计人员也是比较吃香.

今年有三名审计人员到成都, 皆来自菲律宾, 为期一个月, 涉及IT全领域的审计, 几乎每天都在跟他们开会, 邮件飞来飞去, 这周终于把他们送走了, 但事没完, 审出来的一些问题将在未来的一个月整改.

审计流程大体上分五步:

• 预先发问卷表, 里面涵盖几十个问题及需要的资料, 相关人员进行准备.
• 面对面和相关人员开会, 询问一些问题的细节.
• 发出”Draft Inquiry”, 这时相关人员可根据具体问题做出同意或申辩.
• 发出”Formal Inquiry”, 里面包含:
  
  
  • 发现的问题
  • 存在的隐患
  • 违背了哪些标准
  • 建议的整改措施
  • 建议的整改完成时间
    
    
• 审计评分
  
  

Rule

大公司做什么事都是要有「规矩」的, 这个「规矩」其实就是审计人员重点审查的东西.

比如, 分支站点新上线一台路由器, 使得网络连通, 如果仅从「功能实现」这个角度来说, 设备上架, 完成配置, 用户能连接网络, 就已经OK了, 但这仅仅完成了「规矩」的一部分, 其他还包括:

• 事前发变更申请 (ITIL流程)
• 设备命名及贴标签
• 添加DNS条目
• 添加AAA TACACS登录认证
• 添加到监控系统Voyence/SolarWinds
• 更新IP地址记录表
• 更新设备清单表
• 更新拓扑图
• ……
  
  

以上谈到的这些就是「流程」, 有可能事情本身只花50%的时间, 剩下50%的时间需要去完成流程中的其他事情, 这就是典型的「流程管理导向」, 使企业合规, 使其他人也容易上手和跟踪, 这也是大企业离了谁都照样转, 因为流程在那.

现在中国区使用的「设备上线/下线流程及详细步骤」就是由我于2012年撰写的, 并根据公司的变化不断更新完善, 团队人员需要按照此流程去完成工作.

除了「流程」, 雪佛龙还有很多「标准」, 里面涵盖了IT各个领域, Network,Server, Database, Windows, Linux… 大到整体的安全标准, 小到某个协议是否需要禁用, 这个「标准」是非常有价值的, 也是雪佛龙的IT人员长年积累的结晶.

如果只是按照「流程」和「标准」去完成平时的工作, 也不算完成了100%, 因为一些具体的细节在「流程」和「标准」是无法体现的, 需要设计和实施人员有安全意识, 去考虑的更全面, 如果有疏忽, 也需要有人来指出并改正, 这就是审计人员存在的原因.

下面我举一些安全漏洞的例子, 大家也可以作为参考:

• 密码是否有复杂度, 长度大于12位, 有数字, 有大小写, 有字符?
• 流程和标准是否每半年复查一次?
• IT运维人员管理权限是否每半年复查一次?
• 设备是否有专门的管理VLAN, 并只有特定用户/主机可以访问此VLAN?
• 是否禁用了不必要的服务, 如BooTP/MOP/Modem InOut/CDP?
• 是否禁用了Telnet, 而使用SSH?
• Internet边界路由器是否禁用了SNMPRW?
• 是否禁用了HTTP, 而使用HTTPS登录?
• 防火墙ACL/RULE是否精确定义了源目IP及端口?
• 防火墙工作在Stateful模式, 无需放行返回的流量,尤其是从Internet返回的流量.
• Internet边界路由器外口是否有出/入方向的ACL?
• ……
  
  

总体来说, 审计的过程就是帮助企业查错补漏的过程, 这也是企业自我完善, 自我修复的一个重要环节.

经历过审计, 你才会对IT运维和管理的认识上升一个层次, 明白企业信息化的全生命周期不仅仅只有技术, 你需要用全面的眼光和安全的眼光去审视IT合规, 这也将对你未来向主管/经理发展大有裨益.

黑客王子

对这些文绉绉的理论管理东西表示无爱！

小乔

sillything

学习了，知识面得到扩展，支持李大神！！
更希望能把上面的“下面我举一些安全漏洞的例子, 大家也可以作为参考:”，能分享完全一些。

eemail

审订方面，越往后走会越吃香，有可能会与CFA并与全球高薪的行列中的网络安全现在越来越重要了

jacklibra

黑客王子 发表于 2016-6-20 08:19
对这些文绉绉的理论管理东西表示无爱！

这才是IT管理者才接触得到的东西，绝对是好东西。  到了外企你就知道了。

Rockyw

感谢楼主分享！

wangzufei

我以前也待过合资公司，要求也比较严格，但和你们比差距还很大。

ying

管理层要考虑的太多，觉得做个技术宅比较舒服，不过会在不经意的时候学一些提高自身修养的~ 希望更具体的全部列出来，辛苦辛苦！

leeman

hhh2015

谢谢分享。。。

一切从脸看起

Cici_Liu

楼主，求合作

Draven丶

哈哈。受教了。谢谢李桃梅老师分享。

猪也有梦想

审计本身是好事，但是一旦条条框框化后，意义就一般般了
比如应该多查边界设备，内部设备相对不重要一些
但一般审计要求都一样