第九讲信息安全审计辩析.ppt

信息安全审计 5 安全审计的数据源 信息安全审计数据源 对于安全审计系统而言，输入数据的选择是首先需要解决的问题，而安全审计的数据源，可以分为三类：基于主机、基于网络和其他途径。 信息安全审计数据源 1 基于主机的数据源 (1)操作系统的审计记录 操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，如用户进程所调用的系统调用类型以及执行的命令行等，并将这些信息按照时间顺序组织为一个或多个审计文件。 (2)系统日志 日志分为操作系统日志和应用程序日志两部分。操作系统日志与主机的信息源相关，是使用操作系统日志机制生成的日志文件的总称；应用程序日志是有应用程序自己生成并维护的日志文件的总称。 (3)应用程序日志信息 操作系统审计记录和系统日志都属于系统级别的数据源信息，通常由操作系统及其标准部件统一维护，是安全审计优先选用的输入数据源。随着计算机网络的分布式计算架构的发展，对传统的安全观念提出了挑战。一方面，系统设计的日益复杂，使管理者无法单纯从内核底层级别的数据源来分析判断系统活动的情况。另一方面，网络化计算环境的普及，导致入侵攻击行为的目标日益集中于提供网络服务的特定应用程序， 信息安全审计数据源 2 基于网络的数据源 随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。 采用网络数据具有以下优势： (1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，不会对目标监控系统的运行性能产生任何影响，而且通常无需改变原有的结构和工作方式。 (2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到攻击的概率。 (3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和大量误用数据包的DOS攻击等。 (4)网络数据包的标准化程度，比主机数据源来说要高得多， 信息安全审计数据源 5.5.2 基于网络的数据源 随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。 采用网络数据具有以下优势： (1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，不会对目标监控系统的运行性能产生任何影响，而且通常无需改变原有的结构和工作方式。 (2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到攻击的概率。 (3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和大量误用数据包的DOS攻击等。 (4)网络数据包的标准化程度，比主机数据源来说要高得多， 5.5.3 其它数据源 (1)来自其它安全产品的数据源 (2)来自网络设备的数据源 (3)带外数据源 信息安全审计数据源 3 其它数据源 (1)来自其它安全产品的数据源 (2)来自网络设备的数据源 (3)带外数据源 信息安全审计 6 信息安全审计与标准 信息安全标准 1 TCSES对于审计子系统的要求 TCSEC 的A1和A1+两个级别较B3级没有增加任何安全审计特征，从C2级的各级别都要求具有审计功能，而B3级提出了关于审计的全部功能要求。因此，TCSEC共定义了四个级别的审计要求:C2、B1、B2、B3。 C2级要求审计以下事件:用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员/系统管理员/安全管理员的行为、其它与安全有关的事件。 B1级相对于C2级增加了以下需要审计的事件:对于可以输出到硬拷贝设备上的人工可读标志的修改（包括敏感标记的覆写和标记功能的关闭）、对任何具有单一安全标记的通讯通道或I/O设备的标记指定、对具有多个安全标记的通讯通道或I/O设备的安全标记范围的修改。 B3级在B2级的功能基础上，增加了对可能将要违背系统安全政策这类事件的审计，比如对于时间型隐蔽通道的利用。 B2级的安全功能要求较之B1级增加了可信路径和隐蔽通道分析等，因此，除了B1级的审计要求外，对于可能被用于存储型隐蔽通道的活动，在B2级也要求被审计。 信息安全标准 2 CC中的安全审计功能需求 CC是美国、加拿大、英国、法国、德国、荷兰等国家联合提出的信息安全评价标准，在1999年通过国际标准化组织认可，成为信息安全评价国际标准。CC标准基于安全功能与安全保证措施相独立的观念，在组织上分为基本概念、安全功能需求和安全保证需求三