问:IT审计员在进行远程访问审计时有哪些特殊的审计领域和测试吗? 答:要记住我不是律师,也不是审计员,但是我可以给你一些关于测试内容的建议。 在远程访问审计中,有一些区域你需要访问: 互联网扫描和渗透测试:查看远程访问服务在互联网上暴露的东西,是否有其他的服务显示了一些不该显示的东西;这些可能包括内部资源,如网站、数据库,或应用程序。另外,查找标准的互联网漏洞和其他明显的非正常漏洞。远程访问设备:审查和评估详细目录设备和组件(使用该服务)中是否有漏洞。
如果需要,确保定期进行第三方背景考查。确保第三方场所的物理安全。确保为访问请求、证书管理和事件/帮助支持建立沟通计划和服务。评估访问该服……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:IT审计员在进行远程访问审计时有哪些特殊的审计领域和测试吗?
答:要记住我不是律师,也不是审计员,但是我可以给你一些关于测试内容的建议。
在远程访问审计中,有一些区域你需要访问:
- 互联网扫描和渗透测试:查看远程访问服务在互联网上暴露的东西,是否有其他的服务显示了一些不该显示的东西;这些可能包括内部资源,如网站、数据库,或应用程序。另外,查找标准的互联网漏洞和其他明显的非正常漏洞。
- 远程访问设备:审查和评估详细目录设备和组件(使用该服务)中是否有漏洞。如果需要,确保定期进行第三方背景考查。确保第三方场所的物理安全。确保为访问请求、证书管理和事件/帮助支持建立沟通计划和服务。评估访问该服务的第三方的安全策略。
- 执行:确定和审查终端用户可访问的协议。评估所使用的认证方法。确定服务的物理安全是否足够和有效,逻辑访问控制方法是否有效。确保控制功能不能被绕行,并且在提出其他的功能或问题解决方案时能够改变管理过程。审查架构和技术以确保它们满足企业标准。
- 治理:确保企业和安全策略的执行,以及业务的联系性。评估登陆/报告功能,保证服务具有有效的事件分析方法。评估远程访问灾难恢复计划,并且进行定期审查和更新。
同时,你也需要与你的审计合规团队一起合作,希望这些信息对你有帮助。
翻译
相关推荐
-
渗透测试人员必备技能:实施渗透测试的HTTP方法
本文将讨论一些实施渗透测试时的重要HTTP方法,旨在帮助没有Web应用渗透测试知识的渗透测试人员能够充分利用已有工具,成功地实施端到端的Web渗透测试。
-
关于信息安全评估,需要get的重点
即使周期性持续地执行,安全评估也不是解决所有安全问题的完美方法。然而,可以肯定的一点是,如果选择忽视这些重要工作,历史悲剧肯定会再一次重复……
-
Kali Linux渗透测试五步曲
Kali Linux的设计目的是渗透测试。不管渗透测试者的起点是白盒测试、黑盒测试,还是灰盒测试,在用Kali或其它工具进行渗透测试时,需要遵循一些步骤。
-
做一名安静的Web渗透测试人员 要必备的8种素质和技能
公司如何才能请到优秀的Web应用安全专家而不是纸上谈兵的“赵括”?本文的八项素质或技能或可为公司选聘Web渗透测试人员提供参考……