信息安全威胁审计技术(ppt67页)分析.ppt

怎么去理解审计的重要性和实际用途 好象是城市交通安全中的违章摄像头和自动拍照系统。 审计策略有时应公开， 有时应严格保密。 审计结果数据需要有专人负责处理，没有完全自动的审计产品，人的因素非常重要。 安全审计部分内容整体介绍 从入侵检测系统说起~ 政府站点 很多站点甚至都没有发现自己已经被攻击 入侵过程描述 入侵主机情况描述： 该主机位于国家xx局的x层计算机办公室，在11月中曾经连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家xx局网络安全管理部门报告，我公司在接到国家xx局的报告后，立即赶到现场取证分析。 操作系统和补丁情况： WIN2000个人版操作系统 SP2的补丁包 主要服务用途： 做为国家xx局计算中心内部网站使用，负责发布计算中心内部信息。网站运行IIS5，后台数据库采用ACCESS。 入侵后的行为表现： 主页页面新闻栏目内容被删除，后台数据库内容被人非法删改。 分析审计WEB服务器访问日志 00:40:59 8 GET /mynews.mdb 200 该记录表明8在早上8点40分的时候非法下载了mynews.mdb数据库，服务器返回200正确请求值，表示请求成功该数据库已经被非法下载。 00:42:14 8 GET /login.asp 200 随后该攻击者直接访问网站的在线管理系统。 入侵检测的基本概念 真正的入侵检测系统是在20世纪