07审计与管理研讨.ppt

问题的提出 ?70%的安全问题起源于管理。 ?几乎所有的安全事件的查处和追踪依赖系统事件记录。 ?系统资源的改善需要历史经验。 一、安全审计 ?概念： 根据一定的策略，通过记录、分析历史操作事件发现和改进系统性能和安全。 ?作用： 对潜在的攻击者起到震摄或警告；对于已经发生的系统破坏行为提供有效的追纠证据；为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。 1、安全审计系统的组成 审计是通过对所关心的事件进行记录和分析来实现的，包括审计发生器、日志记录器、日志分析器和报告机制 审计发生器的作用：在信息系统中各种事件发生时将这些事件的关键要素进行抽取并形成可记录的素材。 日志记录器将审计发生器抽取的事件素材记录到指定的位置上，从而形成日志文件。 日志分析器根据审计策略和规则对已经形成的日志文件进行分析，得出某种事件发生的事实和规律，并形成日志审计分析报告。 如下图 安全审计系统组成图 2、日志的内容 考虑到日志文件需要的存储量和对系统性能的影响，日志的内容是有选择的进行记录。一般情况下，日志记录的内容满足如下原则： 1、记录任何必要的事件，以检测已知的攻击模式 2、记录任何必要事件，以检测异常的攻击模式 3、记录关于记录系统连续可靠工作的信息。 根据这些原则，日志系统在不同的安全要求下选择记录如下事件的部分或全部： 1、审计功能的关闭与开启； 2、使用身份鉴别机制； 3、将客体引入主体的地址空间； 4、删除客体； 5、管理员、安全员、审计员和一般人员的操作； 6、其他专门定义的可审计事件。 3、安全审计的记录机制 不同的系统可采用不同的日志记录机制，它可以由操作系统完成，也可以由应用系统或其他专用记录系统来完成。大部分情况都可以用系统调用syslog来记录日志。 Syslog由syslog守护程序、 syslog规则集和syslog系统调用三部分组成。 4、安全审计分析 安全审计分析的根本目的：通过对日志进行分析，发现所需事件的信息和规律。日志分析也就是在日志中寻找模式，主要内容有： 1、潜在侵害分析：应用一些规则去监控审计事件，并根据规则发现潜在的入侵。 2、基于异常检测的轮廓：确定用户正常行文的轮廓，当日志中的事件违反正常访问行为的轮廓或超出正常轮廓一定的门限时，能指出将要发生的威胁。 3、简单攻击探测：对重大威胁事件的特征有明确的描述，当这些攻击现象出现时，能及时指出。 4、复杂攻击探测：要求高的日志分析还能检测到多步入侵序列，当攻击序列出现时，能预测它发生的步骤。 5、审计事件查阅 审计系统是追踪、恢复的直接依据，甚至是司法依据，因此自身的安全性非常重要。审计系统的安全主要是查阅和存储的安全。 通过以下不同层次来保证查阅的安全： 1、审计查阅：审计系统以可以理解的方式为授权用户提供查阅日志和分析结果的功能。 2、有限审计查阅：审计系统只能提供对内容的读权限。 3、可选审计查阅：在有限审计查阅的基础上限制查阅的范围。 6、审计事件的存储 根据安全要求，存储有以下3种情况： 1、受保护的审计踪迹存储：要求存储系统对日志事件具有保护功能，防止未授权的修改和删除，并具有检测修改和删除的能力。 2、审计数据的可用性保证：在审计系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能保证记录不被破坏。 3、防止审计数据丢失：在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。 7.安全管理 ? 什么是安全管理 ? 安全管理是指在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全措施，来保障系统和信息的安全性。 安全管理原则 ?有限授权原则 ?防问控制原则 ?使用日志原则 ?审计原则 ?分离与制约原则 * * 第七章 安全审计与管理 ?70%的安全问题起源于管理。 ?几乎所有的安全事件的查处和追踪依赖系统事件记录。 ?系统资源的改善需要历史经验。 应用实例1– Windows NT 的安全审计 在NT 中可以对如下事件进行安全审计 ?登录及注销 ?文件及对象访问 ?用户权力的使用用户及组管理 ?安全性规则更改 ?重新启动关机及系统 ?进程追踪 ?文件和目录审计等 NT安全审计方法 利用NT 的用户管理器，可以设置安全审计规则。要启用安全审计功能，只需在规则菜单下选择审计，然后通过查看NT 记录的安全性事件类型的事件，可以跟踪所选用户的操作。 用户及组管理：创建、更改或删除用户帐号或组，重命名、禁止或启用用户号；或者设置和更改密码。 安全性规则更改：对用户权利，审计或委托关系规则的改动。 重新启动、关机及系统级事件：用户重新启动或关闭计算机；或者发生了一