移动互联网安全审计—第3205号内部审计实务指南第五章第6节
2021-01-25
移动通讯及互联网技术的快速发展以及平台和商业模式的巨大转变,显著推动了移动互联网的发展并呈现出一种加速化和扩大化的特征,以移动互联技术为基础的新业务和创新技术也逐步成为日常工作和生活中不可或缺的组成部分。
移动互联网由移动终端、移动应用和无线网络三部分组成。移动互联网由于其边界的不确定性及设备的移动性等特点,与有线网络相比,不仅仅表现为安全风险更大,而且需要在易用性和安全性之间取得平衡。
本节将从制度与人员、移动无线网络物理与环境安全、网络与通信安全、安全区域边界管理、设备和计算安全、应用与数据安全、安全审计等方面对移动互联网安全审计的方法与步骤进行描述。
一、制度与人员管理审计
(一)业务概述
移动互联网的安全管理包括日常管理机制的建立以及对于人员的安全管理。
(二)审计目标和内容
1、制度管理
该控制项旨在检查组织是否将移动互联网安全管理纳入组织整体网络及信息安全管理体系当中,制定相关制度规范。
2、岗位设置与人员配备
该控制项旨在检查组织是否根据移动互联网安全管理的需要,设立专职管理部门及各安全管理岗位,明确部门及安全岗位负责人的职责,配备相应的专职管理员、操作员和审计人员。
3、安全意识教育与技能培训
该控制项旨在检查组织是否将移动互联网安全意识培训与教育纳入组织整体意识培训与教育规划当中。
(三)常见问题和风险
1、未建立移动互联网安全管理制度,无法有效落实移动互联网安全管控的各项要求。
2、未明确移动互联网安全管理专职部门或岗位,无法有效落实移动互联网的安全管控责任,不利于移动互联网安全工作的落实。
(四)审计的主要方法和程序
1、制度管理
(1)访谈信息安全管理负责人,询问是否将移动互联网安全管理纳入组织整体网络与信息安全管理范畴当中,并制定相应的管理规范。
(2)查看移动互联网安全管理制度,审查管理制度是否包括人员日常管理操作规程。
(3)访谈管理人员或移动终端操作人员,询问是否知晓基本的操作规程。
2、岗位设置与人员配备
(1)访谈信息安全负责人,询问是否设置移动互联网安全管理专职部门及相关安全管理岗位,明确部门和各岗位职责,同时查看部门及岗位安全职责说明书。
(2)查阅移动互联网安全管理部门人员清单,检查是否与岗位规划和人员数量需求相一致。
3、安全意识教育与技能培训
(1)访谈信息安全负责人,询问是否对各类人员进行移动互联网安全教育和岗位技能培训,告知相关的安全知识、安全责任和惩戒措施等。
(2)访谈信息安全负责人,询问是否对移动终端管理服务端的专职管理员、操作员进行移动互联网安全教育和岗位技能培训,告知相关的安全知识、安全责任和惩戒措施等。
(3)调阅并查看安全意识教育与培训规划和历史记录,检查培训人员与培训内容是否与规划相符。
二、移动无线网络物理与环境安全审计
(一)业务概述
是指移动无线无线接入网络与设备的安装应选择合理的物理位置,避免不合理的覆盖区域和电磁干扰。
(二)审计目标和内容
该控制项旨在检查移动无线网络所处物理环境是否符合安全传输要求,防止对无线网络的传输信号产生影响。
(三)常见问题和风险
1、未建立移动无线网络电磁干扰设施,导致无线网络被电磁干扰,导致网络不可用。
2、无线网络设备覆盖范围未满足业务需求,无法有效为业务发展提供助力和支撑,可能会影响业务的正常运营。
(四)审计的主要方法和程序
访谈网络管理员,询问移动无线网络与设备所处的物理环境是否存在电磁干扰,测试所处物理环境或查验验收报告;访
谈网络管理员,询问移动无线网络与设备的覆盖范围与处理能力能否满足业务需求,并检查无线接入设备的物理位置与无线信号的覆盖范围是否在合理区域内。
三、网络与通信安全审计
(一)业务概述
是指移动无线网络与通信的结构安全、通信的完整性的保密性、无线网络设备防护等内容。
(二)审计目标和内容
1、结构安全
该控制项旨在检查组织的移动无线接入设备在设计使用时,其处理能力和网络带宽能否满足业务高峰需要,且是否采用符合国家强制安全要求的产品。
2、无线网络通信完整性与保密性
该控制项旨在检查组织是否对传输数据的无线通信网络采取加密技术,确保传输数据的完整性与保密性,并验证加密措施的合规及有效性。
3、无线网络设备防护
该控制项旨在检查是否对接入组织的移动无线网络终端设备及接入网关进行安全管理,防范对所接入的无线网络构成安全威胁。
(三)常见问题和风险
1、无线接入网关的业务处理能力不满足业务需求,导致高峰期业务受阻或中断,影响业务的正常开展。
2、无线网络通信加密机制不严格,造成无线网络传输过程中重要数据外泄。
3、无法网络可信验证机制不健全,导致其他网络的非法接入,造成网络不可用或敏感信息的外泄。
(四)审计的主要方法和程序
1、结构安全
(1)访谈网络管理员,询问无线接入网关的业务处理能力能否满足基本业务需求,并查看在业务高峰期接入网关的CPU和内存使用情况。
(2)访谈网络管理员,询问无线接入设备的网络带宽,并检查业务高峰时期内带宽使用峰值,判断是否满足业务需求。
(3)查看无线接入设备是否开启符合国密算法的接入认证功能。
2、无线网络通信完整性与保密性
(1)访谈网络管理员,询问是否采用加密技术保证无线网络通信过程中数据的完整性,并查阅设计、验收文档或源代码,查看是否有采用加密技术保护无线通信完整性的描述。
(2)访谈网络管理员,询问是否采用加密技术保证无线网络通信过程中数据的保密性,并查阅设计、验收文档或源代码,查看是否有采用国产加密技术保护无线通信保密性的描述,同时测试无线通信过程中重要数据是否进行了安全加密。
3、无线网络设备防护
(1)访谈网络管理员,询问是否通过基于密码的可信网络连接机制,通过对连接到通信网络的设备进行可信检验,确保接入通信网络的设备真实可信,防止设备的非法接入。(通信网络设备真实性验证)
(2)查阅组织是否针对无线接入设备和无线接入网关等设备制定补丁管理制度,访谈网络管理员,询问是否对上述设备采取补丁管理,定期对其补丁进行更新,并检查上述设备。
(3)访谈网络管理员,询问并检查无线接入设备和无线接入网关是否关闭了“SSID广播、WEP认证”等存在风险的功能。
(4)访谈网络管理员,询问并检查无线接入设备是否分别使用了不同的鉴别密钥。
四、安全区域边界管理审计
(一)业务概述
对移动计算节点安全区域的安全设置,制定和实施的访问控制策略,防止非授权访问数据信息。
(二)审计目标和内容
1、移动计算节点区域边界安全管理
该控制项旨在检查是否对移动计算节点安全区域进行安全设置,制定并实施访问控制策略,从而对进出该安全区域的数据信息进行控制,防止非授权访问。
2、传统计算节点区域边界安全管理该控制项旨在检查对传统计算节点安全区域进行安全设置,
制定并实施访问控制策略,从而对进出该安全区域的数据信息进行控制,防止非授权访问。
3、无线和有线网络间的边界安全管理
该控制项旨在检查有线网络与无线网络边界之间的访问和数据流是否通过无线接入网关设备。
(三)常见问题和风险
1、移动网络的区域边界访问控制不严格,遭受非法入侵或网络攻击,引起网络异常或中断。
2、进出网络的信息内容过滤不严格,导致注入攻击、网络入侵、恶意代码入侵的发生,影响网络的安全性和稳定性。
(四)审计的主要方法和程序
1、移动计算节点区域边界安全管理
(1)针对移动网络的区域边界访问控制:访谈网络管理员,询问是否对接入系统的移动终端,采取基于SIM卡、证书等信息的强认证措施,并对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入;访谈网络管理员询问是否能限制移动设备在不同工作场景下对WIFI、3G、4G等网络的访问能力。
(2)针对移动网络的边界入侵防范:访谈网络管理员,询问是否在区域边界采取相关技术措施,对无线接入点的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录、分析定位,防止网络入侵、恶意代码入侵等攻击行为;检查是否对部署的边界防护设备进行定期升级和更新,并检测特征库是否为最新版本。
(3)针对移动网络的边界完整性保护:访谈网络管理员,询问是否对区域边界设置完整性保护机制,探测非法网络连接
(内联和外联)和网络入侵行为;访谈网络管理员,询问并验证移动终端区域边界检测设备监控范围是否完整覆盖移动终端办公区,并具备无线路由器设备位置检测功能,且对非法无线路由器设备接入进行报警和阻断。
2、传统计算节点区域边界安全管理
(1)针对传统网络的区域边界访问控制:访谈网络管理员,询问是否对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入;访谈网络管理员,询问是否对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;访谈网络管理员,询问是否知道网络最大流量数及网络连接数。
(2)针对传统网络的边界入侵防范:访谈网络管理员,询问是否在区域边界采取相关技术措施,对无线接入点的网络扫描、DoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录、分析定位,防止网络入侵、恶意代码入侵等攻击行为;检查是否对部署的边界防护设备进行定期升级和更新,并检测特征库是否为最新版本。
(3)针对传统网络的边界完整性保护,访谈网络管理员,询问是否对区域边界设置完整性保护机制,探测非法网络连接
(内联和外联)和网络入侵行为。
3、无线和有线网络间的边界安全管理访谈网络安全管理员,询问并检查是否在有线网络与无线网络边界之间部署无线接入网关设备。
4、通过对移动网络边界进行安全工具扫描和渗透测试,验证其安全防护能力和防护效果满足网络保护要求。
五、设备和计算安全审计
(一)业务概述
移动终端及其管理系统应该使用采取身份标识和身份鉴别等管理措施,确保移动终端的应用软件符合安全管理的要求并处于受控环境。
(二)审计目标和内容
1、设备身份鉴别
该控制项旨在检查组织是否对移动终端及其管理系统使用采取身份标识和身份鉴别等管理措施。
2、终端应用管控
该控制项旨在检查组织是否对移动终端的应用采取安全管控措施,确保移动终端的应用软件安装符合安全管理要求并处于受控环境。
3、终端入侵及恶意代码防范
该控制项旨在检查组织是否对移动终端采取恶意代码防护及漏洞管理措施,并确保漏洞补丁及恶意代码防范软件均处于最新状态。
(三)常见问题和风险
1、移动用户及登录终端身份鉴别机制不严格,导致身份验证机制被绕过,存在敏感信息泄露或交易被篡改的风险。
2、移动终端默认配置修改不及时,导致端口或服务被利用,造成移动终端被越权或敏感信息泄露。
(四)审计的主要方法和程序
1、设备身份鉴别
(1)访谈系统管理员,询问是否制定移动用户及登录终端、移动终端管理系统登录的身份鉴别策略及主要主、客体的安全标记策略和规范,检查是否部署身份鉴别设施并基于身份及鉴别策略进行身份鉴别和操作控制。
(2)检查是否对移动用户及登录终端进行身份的唯一标识。
(3)访谈系统管理员,询问并测试移动终端、移动终端管理系统的登录口令复杂度及是否采用不少于两种的身份验证手段。
(4)访谈系统管理员,询问并测试移动终端是否启用了登录失败处理功能及移动终端的登录失败处理功能。
2、终端应用管控
(1)访谈安全管理员,询问是否制定移动终端管理的全流程管理策略,明确必要的业务应用安装。
(2)检查移动终端管理系统,查看移动终端客户端软件的安装、注册与管理策略。
(3)检查终端是否遵循最小安装的原则,仅安装需要的组件和业务应用程序。
(4)访谈安全管理员,询问移动终端管理客户端是否具有软件白名单功能,并测试使用白名单控制应用软件安装、运行。
(5)访谈安全管理员,询问移动终端管理客户端是否具有应用软件权限控制功能,并测试是否可以对移动终端中资源的访问进行限制。
(6)检查移动终端管理客户端所允许使用的签名证书。
(7)访谈安全管理员,询问移动终端管理客户端是否具有接受移动终端管理服务端推送的移动应用软件管理策略,并根据该策略对软件实施管控的能力。
3、终端入侵及恶意代码防范
(1)访谈安全管理员,询问是否制定终端补丁及恶意代码防护的管理制度、策略及系统和软件的安装配置基线。
(2)检查移动终端是否应关闭不需要的系统服务、默认共享和高危端口。
(3)检查移动终端操作系统版本,查看补丁是否得到了及时更新。
(4)检查移动终端是否安装恶意代码的防护软件并查看代码库是否为最新版本。
六、应用与数据安全审计
(一)业务概述
应用在开发测试等方面的安全管理,数据在完整性、机密性、可用性三方面的安全管理。
(二)审计目标和内容
1、应用软件安全测评
该控制项旨在检查组织是否对移动终端应用软件的开发、测试和使用进行安全测评,防范漏洞及违规信息收集现象的存在。
2、数据安全管理
该控制项旨在检查移动终端应用程序是否具有确保数据安全存储、完整性保护和残余信息清除等功能。
3、数据备份
该控制项旨在检查组织是否采取安全措施对移动终端存储的重要信息进行及时安全备份并制定相关的备份管理制度规范与安全策略。
(三)常见问题和风险
1、对应用软件的开发、测试和使用阶段的安全措施部署及安全测评不到位,造成软件系统有较大的安全漏洞。
2、采集、使用和保存的个人数据不符合国家及行业有关个人信息保护的要求,造成个人敏感泄露和非授权使用。
3、未执行有效的备份与恢复程序,导致备份数据不可用。
(四)审计的主要方法和程序
1、应用软件安全测评
(1)访谈应用软件开发负责人,询问是否在移动应用软件开发结束后至发布前进行了安全检测并查阅测评报告。
(2)查阅测评报告并检查移动应用软件,检查移动应用软件所采集和保存的用户个人信息是否为业务必须,防范存在过度信息收集现象。
(3)查阅测评报告并检查移动应用软件,检查移动应用软件是否存在安全漏洞。
2、数据安全管理
(1)访谈应用管理员,询问移动应用软件应采用哪种密码技术保证通信过程中数据的完整性,查阅移动应用软件设计、验收文档或源代码,查看是否有关于能检测数据通信和存储过程中完整性受到破坏的描述,并测试移动应用软件是否可对通信报文中进行完整性保护。
(2)检查移动应用软件,查看其鉴别信息和主要数据是否采用加密或其他有效措施实现本地存储保密性。
(3)测试移动应用软件,验证移动应用软件之间的重要数据是否能被互操作。
(4)查阅设计、验收文档或源代码,检查是否有关于系统在释放或再分配数据文件所在存储空间给其他用户前,如何将其进行完全清除的描述,并验证不同用户登录移动终端系统提供的剩余信息保护功能是否正确。(确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除)
3、数据备份访谈系统运维负责人,询问是否识别需要定期备份移动应用软件中的重要信息,包括但不限于业务信息、系统数据和软件系统;询问是否制定重要信息的备份策略,如:定时批量传送的备用位置、备份方式(如是否为完全数据备份)、频率和介质存放方式等。
七、安全审计
(一)业务概述
根据有关法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
(二)审计目标和内容
1、移动互联网安全审计制度
该控制项旨在检查组织是否就移动互联网安全审计制定专项的审计规范、策略并据此部署和开展安全审计。
2、移动互联网安全审计工具
该控制项旨在检查组织所部署的移动互联审计工具所具备的功能是否有效支撑日常安全审计工作。
(三)常见问题和风险
1、未定期开展移动互联网安全审计,无法及时发现存在的安全风险与隐患,不利于移动互联网管控措施的持续改进。
2、未部署移动互联网安全审计工具,无法对移动互联网重要操作和异常行为进行持续监控。
(四)审计的主要方法和程序
1、移动互联网安全审计制度
(1)检查组织是否制定针对移动互联网(或无线网络)及其终端安全的审计规范和审计策略,以及是否部署安全审计的工具或平台。
(2)查看安全审计规范,检查其内容:是否对审计对象(如行为审计、流量审计、日志审计、移动应用审计)、格式、访问、存储和安全报警事件进行明确要求,并对审计日志进行抽样检查,检查其日志管理要求是否符合制度规范要求;是否对审计记录的存储、管理和查询进行明确要求,防止非授权访问和破坏,并验证保存时间是否符合规范要求。(审计存储)
(3)查看审计策略,检查其内容:是否定义安全相关事件,明确安全事件的主体、客体、时间、类型和结果等内容;是否定义事件采集、记录、分析、存储、告警等各种安全相关事件的规则,如黑白名单定制和管控策略定制。
2、移动互联网安全审计工具检查并测试部署的审计工具是否可对移动互联网络的设备运行状况、网络流量、管理账户的登录及重要操作进行审计;是否具备对安全审计域正在发生的所有联网行为进行实时监督、响应和记录;是否具备日志收集(特别是移动终端)、关联分析及存储备份的功能;是否具有采用数据流跟踪、特征分析等方法检测移动应用(APP)的安全漏洞、编码隐患等功能,如APP程序安全、应用数据安全、业务逻辑安全、系统环境安全、集成插件安全等。