系统访问控制与审计技术_培训课件.ppt

安全审计系统的基本结构 安全审计是通过对所关心的事件进行记录和分析来实现的，因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分，如图所示。 系统事件 安全事件 应用事件 网络事件 其他事件 审计发生器 审计发生器 审计发生器 审计发生器 审计发生器 日志记录器 日志分析器 审计分析报告 日志文件 审计策略和规则 … 11.5.2 日志的审计 日志的内容：日志系统可根据安全要求的强度选择记录下列事件的部分或全部： 审计功能的启动和关闭。 使用身份验证机制。 将客体引入主体的地址空间。 删除客体。 管理员、安全员、审计员和一般操作人员的操作。 其他专门定义的可审计事件。 通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）、事件和源及目的的位置、事件类型、事件成败等。 安全审计的记录机制 不同的系统可采用不同的机制记录日志。日志的记录可以由操作系统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情况都可用系统调用Syslog来记录日志，也可以用SNMP记录。Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成。 日志素材 Syslog 系统调用 Syslog 守护程序 Syslog 规则集 日志记录系统 日志分析 日志分析就是在日志中寻找模式，主要内容如下： 潜在侵害分析。日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵。这种规则可以是由己定义的可审计事件的子集所指示的潜在安全攻击的积累或组合，或者其他规则。 基于异常检测的轮廓。日志分析应确定用户正常行为的轮廓，当日志中的事件违反正常访问行为的轮廓，或超出正常轮廓一定的门限时，能指出将要发生的威胁。 简单攻击探测。日志分析应对重大威胁事件的特征有明确的描述，当这些攻击现象出现时，能及时指出。 复杂攻击探测。要求高的日志分析系统还应能检测到多步入侵序列，当攻击序列出现时，能预测其发生步骤 审计事件查阅 由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。 审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次保证查阅的安全： 审计查阅。审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。 有限审计查阅。审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统 可选审计查阅。在有限审计查阅的基础上限制查阅的范围。 审计事件存储 审计事件的存储也有安全要求，具体有如下几种情况。 受保护的审计踪迹存储。即要求存储系统对日志事件具有保护功能，防止未授权的修改和删除，并具有检测修改/删除的能力。 审计数据的可用性保证。在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。 防止审计数据丢失。在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等。 11.5.3 安全审计的实施 为了确保审计数据的可用性和正确性，审计数据需要受到保护，因为不正确的数据也是没用的。而且，如果不对日志数据进行及时审查，规划和实施得再好的审计也会失去价值。审计应该根据需要（经常由安全事件触发）定期审查、自动实时审查或两者兼而有之。系统管理人员和系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计数据，其中包括系统内保存的和归档保存的数据。 与实施有关的问题包括：保护审计数据、审查审计数据和用于审计分析的工具。 1．保护审计数据 访问在线审计日志必须受到严格限制。计算机安全管理人员和系统管理员或职能部门经理出于检查的目的可以访问，但是维护逻辑访问功能的安全管理人员没有必要访问审计日志。 防止非法修改以确保审计跟踪数据的完整性尤其重要。使用数字签名是实现这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计跟踪记录以掩盖自己的踪迹是审计跟踪文件需要保护的原因之一。使用强访问控制是保护审计跟踪记录免受非法访问的有效措施。当牵涉到法律问题时，审计跟踪信息的完整性尤为重要（这可能需要每天打印和签署日志）。此类法律问题应该直接咨询相关法律顾问。 审计跟踪信息的机密性也需要受到保护，如审计跟踪所记录的用户信息可能包含诸如交易记录等不宜披露的个人信息。强访问控制和加密在保护机密性方面非常有效 2．审查审计数据 审计跟踪的审查和分析可以分为在事后检查、定期检查或实时检查。审查人员应该知道如何发现异常活动。如果可以通过用户识别码、终端识别码、应用程序名、日期时间或其他参数组来检索审计跟踪记录并生成所需的报告，那么审计跟踪检查就会比较容易。 事后