第九讲信息安全审计概述.ppt

信息安全审计 5 安全审计的数据源 信息安全审计数据源 对于安全审计系统而言，输入数据的选择是首先需要解决的问题，而安全审计的数据源，可以分为三类：基于主机、基于网络和其他途径。 信息安全审计数据源 1 基于主机的数据源 (1)操作系统的审计记录 操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，如用户进程所调用的系统调用类型以及执行的命令行等，并将这些信息按照时间顺序组织为一个或多个审计文件。 (2)系统日志 日志分为操作系统日志和应用程序日志两部分。操作系统日志与主机的信息源相关，是使用操作系统日志机制生成的日志文件的总称；应用程序日志是有应用程序自己生成并维护的日志文件的总称。 (3)应用程序日志信息 操作系统审计记录和系统日志都属于系统级别的数据源信息，通常由操作系统及其标准部件统一维护，是安全审计优先选用的输入数据源。随着计算机网络的分布式计算架构的发展，对传统的安全观念提出了挑战。一方面，系统设计的日益复杂，使管理者无法单纯从内核底层级别的数据源来分析判断系统活动的情况。另一方面，网络化计算环境的普及，导致入侵攻击行为的目标日益集中于提供网络服务的特定应用程序， 信息安全审计数据源 2 基于网络的数据源 随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于