计算机安全技术-安全审计与系统恢复.ppt

第７章　安全审计与系统恢复 时间:2008年5月 第７章　安全审计与系统恢复 教学目标： 安全计是对系统内部进行监视、审查，识别系统是否正在受到攻击或机密信息是否受到非法访问，如发现问题后则采取相应措施。系统恢复是指根据检测和响应环节提供有关事件的资料修补该事件所利用的系统缺陷，不让黑客再次利用这样的缺陷入侵。本章主要介绍安全审计概述、日志的审计、安全审计的实施以及Windows NT 中的访问控制与安全审计；系统恢复和信息恢复、系统恢复的过程等。 教学重点和难点： 日志的审计 Windows NT中的安全审计 夺回对系统的控制权 7.1 安全审计? 　安全计是对系统内部进行监视、审查，识别系统是否正在受到攻击或机密信息是否受到非法访问，如发现问题后则采取相应措施。可以用监听来给审计提供原始数据。通过审计，把网络信息系统中发生的所有感兴趣的事件写入审计日志当中，以便分析原因，分清责任，及时采取相应的措施。审计是计算机网络安全的重要组成部分。 7.1.1 安全审计概述 审计（audit）就是发现问题，暴露相关的脆弱性。凡是对于网络的脆弱性进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计。全面的安全审计涉及从物理安全、安全组织、人员安全、网络安全、BCP安全等各个方面。安全审计也包括外部审计和内部审计，范围、深度和审计方法都有不同。 审计跟踪提供了一种不可忽视的安全机制，它的潜在价值在于经事后的安全审计可以检测和调查安全的漏洞。已知审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。 审计评估系统是指根据一定的安全策略记录和分析历史操作事件及数据，发现能够改进系统性能和系统安全的地方，弥补漏洞。? 一个审计评估系统，主要有以下的作用：? （1） 对潜在的攻击者起到震慑或警告作用。? （2） 对于已经发生的系统破坏行为提供有效的追纠证据。? （3） 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。? （4） 为系统管理员提供系统运行的统计日志，使系统管理员能够发现系统性能上的不足或需要改进与加强的地方。 审计评估系统通过建立内部系统的安全审计制度，辅以相应的分析手段和工具，从内部提升“内力”，杜绝了外强中干的现象。 1．安全审计的目标 安全审计应达到如下目标：对潜在的攻击者起到震慑和警告的作用；对于已经发生的系统破坏行为，提供有效的追究责任的证据，评估损失，提供有效的灾难恢复依据；为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。? 2．安全审计的类型 从审计的对象来划分，安全审计的类型有三种，分别为：系统级审计、应用级审计、用户级审计。 （1）系统级审计。系统级审计的内容主要包括登录（成功和失败）、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容（如用户启动应用的尝试，无论成功或失败）。典型的系统日志还包括和安全无关的信息，如系统操作、费用记账和网络性能。 （2）应用级审计。系统级审计可能无法跟踪和记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的细节信息。通常，应用级审计的内容包括打开和关闭数据文件，读取、编辑、和删除记录或字段的特定操作以及打印报告之类的用户活动。 （3）用户级审计。用户级审计的内容通常包括：用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。 3．审计的具体要求 （1）自动收集所有由管理员在安装时所选定的、与安全性有关的活动信息。 （2）采用标准格式记录信息。 （3）审计信息的建立和存储是自动的，不要求管理员参与。 （4）在一定安全体制下保护审计记录，例如用根通行字作为加密密钥对记录进行加密，或要求出示根通行字才能访问此记录。 （5）对计算机系统的运行和性能影响尽可能地小。 审计系统设计的关键是首先要确定必须审计的事件，建立软件（审计日志）记录这些事件，并将其存储，防止随意访问。审计机构监测系统的活动细节并以确定格式进行记录。对试图（成功或不成功）联机，对敏感文件的读写，管理员对文件的删除、建立、访问权的授予等每一事件进行记录。例如，什么时候开机，哪个用户在什么时候从哪儿登录等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计还可以记录系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。 一般选择可审计事件的准则如下： （1）使用认证和授权机制。对保护的对象或实体的合法或企图非法访问进行记录。 （2）记