CISP-AA记账控制框架

wen 网络安全 3

本文目录导读:

CISP-AA记账控制框架

  1. 核心目标(4大记账控制目标)
  2. 逻辑框架(3道防线模型)
  3. 关键审计控制点(9个Checklist)
  4. CISP-AA记账控制框架的典型应用场景

CISP-AA(中国信息安全测评中心认证的注册信息安全专业人员-审计师方向)考试及实务中,记账控制框架是一个核心考点,它主要参考了COBIT(信息及相关技术控制目标)ISO 27001 以及我国《网络安全法》中对日志和审计的要求。

虽然“CISP-AA记账控制框架”并非一个独立的国际标准名称(它更多是指将记账/日志控制审计嵌入到CISP-AA知识体系中的具体模型),但通常将其理解为信息系统审计中关于“日志与监控”控制目标的结构化描述

以下是CISP-AA视角下的核心框架内容,总结为 “4大目标、3道防线、9个关键控制点”

核心目标(4大记账控制目标)

在CISP-AA的审计框架中,记账(日志)控制必须满足:

  1. 完整性(Integrity):确保所有操作记录都被生成,且未被篡改或删除。
  2. 真实性(Authenticity):确保日志记录能够准确追溯到真实的用户、IP、设备和时间。
  3. 时效性(Timeliness):日志能够实时或准实时产生,并同步到集中存储系统。
  4. 可用性(Availability):当发生安全事件或故障时,日志系统本身不崩溃,且能快速检索。

逻辑框架(3道防线模型)

CISP-AA强调从“事前-事中-事后”构建记账控制体系:

  • 第一道防线:事中记录(预防与识别)

    • 准入控制:谁可以登录系统?(身份认证日志)
    • 操作记录:用户做了什么?(命令、数据访问、权限变更日志)
    • 异常行为感知:系统是否检测到暴力破解、越权访问?(安全设备日志)
  • 第二道防线:事后追溯(检测与分析)

    • 集中存储:日志是否集中到日志服务器或大数据平台?
    • 不可篡改:日志是否使用了WORM(写一次读多次)存储或区块链存证?
    • 时间同步:所有设备是否都进行了NTP(网络时间协议)对时?(关键:审计线索的时间连续性)
  • 第三道防线:审计与合规(监督与改进)

    • 定期复核:是否定期审计日志的完整性?
    • 事件响应:当触发特定规则(如连续登录失败)时,是否自动告警并启动应急流程?
    • 合规报告:是否满足《网络安全法》、《等保2.0》、行业监管(如金融、运营商)的留痕要求?

关键审计控制点(9个Checklist)

在CISP-AA的审计实务中,审计师通常针对以下9个方面进行打分或检查:

  1. 日志生成策略
    • 是否开启了关键系统(数据库、中间件、操作系统、网络设备)的审计功能?
    • 是否包含:用户ID、源IP、目的IP、操作时间、操作类型(增删改查)、操作结果(成功/失败)?
  2. 日志存储与保护
    • 日志存储位置是否与生产系统物理或逻辑隔离?
    • 日志文件是否设置了严格的访问权限(最小权限原则)?
    • 日志文件是否有定期备份策略?
  3. 日志留存时间
    • 等保2.0要求:关键日志留存不少于6个月。
    • 《网络安全法》:不少于6个月(部分行业如金融要求1-5年)。
    • 审计师需检查实际系统配置是否满足法规。
  4. 时间同步(NTP)
    • 所有设备是否指向同一个NTP服务器?
    • 是否存在时间漂移导致审计线索中断?(时差过大可能使攻击时间线混乱)
  5. 日志完整性校验

    是否使用哈希校验、数字签名或区块链技术防止日志被后台篡改?(特别关注DBA/管理员能否悄无声息删日志)

  6. 日志全生命周期管理
    • 日志的创建 -> 传输(加密/压缩) -> 存储 -> 备份 -> 销毁 是否有标准流程?
  7. 异常事件告警机制
    • 是否配置了SIEM(安全信息与事件管理)或SOC(安全运营中心)?
    • 对高危操作(如root登录、删除数据库表、修改防火墙策略)是否触发实时告警?
  8. 用户行为分析(UEBA)

    是否利用机器学习识别偏离基线的行为?(如:一个普通员工突然在凌晨3点下载大量数据)

  9. 审计日志自身保护
    • 谁有权限查询、导出审计日志?(权限分离:系统管理员不应同时是日志审计员)
    • 是否对审计人员的操作也进行了日志记录?

CISP-AA记账控制框架的典型应用场景

在CISP-AA的案例分析题或实务中,常用此框架来评估系统的合规性:

  • 场景A:发现数据库系统没有开启详细SQL语句记录。
    • 控制失效:完整性(无法知道具体改了什么数据)。
    • 审计建议:开启审计日志,并同步到堡垒机的命令记录中。
  • 场景B:发现所有服务器使用本地时间,且时间相差30分钟。
    • 控制失效:时效性与真实性(无法建立准确的事件关联时序)。
    • 审计建议:部署企业NTP服务器,并配置所有设备进行自动同步。
  • 场景C:发现管理员可以直接通过SSH(安全外壳协议)登录日志服务器并rm -rf日志文件。
    • 控制失效:可用性与不可篡改性。
    • 审计建议:实施日志服务器访问控制、文件防删除(如chattr +i)、以及操作审计。

CISP-AA的记账控制框架本质上是一套“可验证的防御体系”,它不仅仅是“开了日志”那么简单,而是要求:

记录必须全、存着不能改、时间必须准、看了要告警、留够六个月、删了要追责。

希望这个结构化的框架能帮助你在CISP-AA的备考或实务中快速定位问题。

抱歉,评论功能暂时关闭!