11、审计与管.ppt

安全审计与管理 黄淑华 问题的提出 70%的安全问题起源于管理 几乎所有的安全事件的查处和追踪依赖系统事件记录 系统资源的改善需要历史经验 审计 概念：根据一定的策略记录系统活动，这些记录足以重构、评估、审查环境和活动的次序，这些环境和活动在一项事务的开始到最后结束期间能够围绕或导致一项操作、一个过程或一个事件。 作用： 对潜在的攻击者起到震摄或警告 对于已经发生的系统破坏行为提供有效的追纠证据 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞 应用实例1-- NT 的安全审计 在NT 中可以对如下事件进行安全审计 登录及注销 文件及对象访问 用户权力的使用、用户及组管理 安全策略更改 重新启动、关机及系统 过程追踪等 NT安全审计方法 利用NT 的用户管理器，可以设置安全审计规则。 要启用安全审计功能，只需在规则菜单下选择审计，然后通过查看NT 记录的安全性事件类型的事件，可以跟踪所选用户的操作。 NT 的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）： 登录及注销:登录及注销或连接到网络 文件及对象访问：访问设置用于文件或目录审计的目录或文件的用户向设置用于打印机审计的打印机发送打印作业用户 用户及组管理：创建更改或删除用户帐号或组：重命名、禁止或启用用户号；或者设置和更改密码。 安全性规则更改：对用户权利、审计或委托关系规则的改动。 重新启动、关机及系统：用户重新启动或关闭计算机；或者发生了一个影响系统安全性或安全日志的事件。 进程追踪：这些事件提供了关于事件的详细跟踪信息，如程序活动，某些形式句柄的复制，间接对象的访问和退出进程。 对于“文件及对象访问”中的文件和目录的审计还需要在资源管理器中对要审计的目录或文件具体进行设置。 文件和目录审计允许您跟踪目录和文件的用法。对于一个具体的文件或目录，可以指定要审计的组、用户或操作。既可以审计成功的操作，又可以审计失败的操作。 审计目录可以选择下列事件：读、写、执行、删除、更改权限、获得所有权。 WindowsXP的安全审计策略 NT 日志文件 名称： /WINNT/SYSTEM32/CONFIG/ .SysEvent.evt .SecEvent.evt .AppEvent.evt 打开工具： 程序/管理工具/事件查看器 系统日志 例子 日期 时间 来源 分类 事件 用户 计算机 01-3-31 Am02:05:04 Srv 无 2013 N/A Imok 01-3-31 Am01:51:23 EventLog 无 6005 N/A Imok 01-3-31 Am01:32:14 Browser 无 8033 N/A Imok 应用日志 安全日志 其他日志 Ftp日志 Http日志 Snmp日志 SQL Server日志 应用实例2--UNIX 的安全审计 Unix的日志文件 主要目录: /etc /etc/security /usr/adm :早期版本 /var/adm :近期版本 /var/log UNIX安全审计 主要工具: Authd Dump_lastlog logdaemom loginlog.c.Z netlog NOCOL/NetConsole Spar sunrogate-syslog chklastlog chkwtmp trimlog UNIX安全审计 主要工具 L5 tracerout startUplog supersave bootlogger inftp.pl UNIX安全审计 Unix的日志文件（主要文件）: acct pacct ;记录所有用户使用过的文件 lastlog ;记录最新登录时间成/败 message ;记录syslog产生的输出到控制台的信息 Sulog ;使用su命令的记录 Utmp ;记录当前登录进系统的用户信息 Wtmp ;提供一份详细每次用户登录和退出的 历史信息文件 HOME/.sh history ;用户登录进系统后执行的所有 命令 审计实例3-防火墙 日志审计 1. 选择日志文件 点击日志按钮后程序将从日志文件中读出日志列表 用户可以根据日志列表中的起始和终止时间选择要查询的文件界面如下 日志审计 日志审计 2. 设置日志审计条件 选择要查询的日志文件后会出现如后一页所示界面，用户可以根据查询时间(起始、结束)、 访问方向（any、 in、 out）、过滤动作（any、 pass、 deny） 网络协议（IP、 TCP、 UDP、ICM