第六章安全审计.pptVIP

第六章 安全审计 6.1 安全审计的原理 6.1.1 安全审计的目标 审计技术：是产生、记录并检查按时间顺序排列的系统事件记录的过程。 安全审计是计算机和网络安全的重要组成部分。 安全审计的目标 直接的目的：包括跟踪和监测系统中的异常事件； 间接的目的：监视系统中其他安全机制的运行情况和可信度。 审计的前提：有一个支配审计过程的规则集。 计算机安全审计：规则集以安全策略的形式明确表述；为了能完成合理的审计数据分析，策略表中还需要增加一些不容易明确表述的规则。 计算机安全的审计过程 通过一定的策略，利用记录和分析历史操作事件发现系统的漏洞并改进系统的性能和安全。 计算机安全审计需要达到的目标 对潜在的攻击者起到震慑和警告的作用； 对于已经发生的系统破坏行为提供有效的追踪责任的证据； 为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。 审计系统的目标 确保和保持系统活动中每个人的责任； 评估损失； 临测系统问题区； 提供有效的灾难恢复依据； 提供阻止不正当使用系统行为的依据； 提供案件侦破证据。 6.1.2 安全审计系统的组成 审计系统包括：审计发生器、日志记录器、日志分析器、报告机制。 6.1.3 日志的内容 日志记录的内容应满足以下原则 日志应该记录任何必要的事件，以检测已知的攻击模式； 日志应该记录任何必要的事件，以检测异常的攻击模式； 日志应该记录关于记录系统联系可靠工作的信息。 日志系统可根据安全要求的强度选择记录下列事件的部分或全部： 审计功能的启动和关闭； 使用身份鉴别机制； 将客体引入主体的地址空间 删除客体 管理员、安全员、审计员和一般操作人员的操作 其他专门定义的可审计事件 对于一个事件，日志应包括 事件发生的日期和时间、引发事件的用户（地址）、事件的源和目的位置、事件类型、事件成败等 6.1.4 安全审计的记录机制 日志的记录 可由操作系统完成； 可由应用系统或其他专用记录系统完成； 大部分情况用系统调用Syslog来记录日志，也可以用SNMP记录。 Syslog Syslog是由Syslog守护程序、Syslog规则集、Syslog系统调用三部分组成。 日志记录过程 系统调用将日志素材发送给守护程序； 守护程序监听调用或端口的消息，然后根据规则集对收到的日志素材进行处理； 如果日志是记录在其他计算机上，则守护程序将日志转发到相应的日志服务器上； 规则集是用来配置守护程序如何处理日志的规则，通常的规则如下： 将日志放进文件中； 通过UDP将日志记录到另一台计算机上； 将日志写入系统控制台； 将日志发给所有的注册用户。 记录日志时，为了便于管理，通常将一定时间段的日志存为一个文件； 通常是一天或是一周的日志存为一个文件，这样，就需要在0:00时刻切换日志文件。 6.1.5 安全审计分析 安全审计根本目的：通过对日志进行分析，发现所需事件信息和规律。 日志分析就是在日志中寻找模式，主要内容如下 潜在侵害分析 日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵； 这些规则可以是由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合，或者其他规则。 基于异常检测的轮廓 日志分析应确定用户正常行为的轮廓，当日志中的事件违反正常访问行为的轮廓，或超出正常轮廓一定的门限时，能指出将要发生的威胁。 简单攻击探测 日志分析应对重大威胁事件的特征有明确的描述，当这些攻击现象出现时，能及时指出。 复杂攻击探测 要求高的日志分析系统应能检测到多步入侵序列，当攻击序列发生时，能预测其发生的步骤。 6.1.6 审计事件查阅 审计系统自身的安全性十分重要。 审计系统的安全主要是查阅和存储的安全。 通常通过以下不同的层次保证查阅的安全： 审计查阅：审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能； 有限审计查阅：审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统； 可选审计查阅：在有限审计查阅的基础上限制查阅的范围。 6.1.7 审计事件存储 审计事件要安全存储，具体如下： 受保护的审计踪迹存储 即要求存储系统对日志事件具有保护功能，防止未授权的修改和删除，并具有检测修改/删除的能力； 审计数据的可用性保证 在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏； 防止审计数据丢失 在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失； 这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等。 * * 信息安全概论 郭庆北 Email:ise_guoqb@ujn.edu.cn Office:新信息楼806室 福尔摩斯 黑客 日志 系统事件 安全事件 应用事