审计与管.ppt

安全审计与管理 黄淑华 问题的提出 70%的安全问题起源于管理 几乎所有的安全事件的查处和追踪依赖系统事件记录 系统资源的改善需要历史经验 审计 概念：根据一定的策略记录系统活动，这些记录足以重构、评估、审查环境和活动的次序，这些环境和活动在一项事务的开始到最后结束期间能够围绕或导致一项操作、一个过程或一个事件。 作用： 对潜在的攻击者起到震摄或警告 对于已经发生的系统破坏行为提供有效的追纠证据 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞 应用实例1-- NT 的安全审计 在NT 中可以对如下事件进行安全审计 登录及注销 文件及对象访问 用户权力的使用、用户及组管理 安全策略更改 重新启动、关机及系统 过程追踪等 NT安全审计方法 利用NT 的用户管理器，可以设置安全审计规则。 要启用安全审计功能，只需在规则菜单下选择审计，然后通过查看NT 记录的安全性事件类型的事件，可以跟踪所选用户的操作。 NT 的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）： 登录及注销:登录及注销或连接到网络 文件及对象访问：访问设置用于文件或目录审计的目录或文件的用户向设置用于打印机审计的打印机发送打印作业用户 用户及组管理：创建更改或删除用户帐号或组：重命名、禁止或启用用户号；或者设置和更改密码。 安全性规则更改：对用户权利