第14章访问控制与系统审计.ppt

Network and Information Security (3) 系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。 (4) 通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以提供发现可能产生破坏性行为的有力证据。 Network and Information Security 安全审计就是对系统的记录与行为进行独立的品评考查，目的是： (1) 测试系统的控制是否恰当，保证与既定安全策略和操作能够协调一致。 (2) 有助于作出损害评估。 (3) 对控制、策略与规程中特定的改变作出评价。 Network and Information Security 安全审计跟踪将考虑： 1) 要选择记录什么信息 审计记录必须包括网络中任何用户、进程、实体获得某一级别的安全等级的尝试：包括注册、注销，超级用户的访问，产生的各种票据，其它各种访问状态的改变，并特别注意公共服务器上的匿名或客人账号。 实际收集的数据随站点和访问类型的不同而不同。通常要收集的数据包括：用户名和主机名，权限的变更情况，时间戳，被访问的对象