安全审计-网络通信安全管理员_2012修订详解.pdf

安全审计安全审计 授课教师：唐作其 1 安全审计概念 审计技术出现在计算机技术之前，是产生和记录 并检查按时间顺序排列的系统事件记录过程。安 全审计是计算机和网络安全的重要组成部分。 安全审计提供的功能服务于直接和间接两方面的 安全目标： 1.直接的安全目标包括跟踪和监测系统中的异常事 件 2.间接的安全目标是检测系统中其他安全机制的运 行情况和可信度 2 审计系统的目标 1. 确定和保持系统活动中每个人的责任 2. 确认重建事件的发生 3. 评估损失 4. 监测系统问题区 5. 提供有效的灾难恢复依据 6. 提供阻止不正当使用系统行为的依据 7. 提供案件侦破证据 3 审计系统的组成 4 日志记录的原则 （1） 日志应该记录任何必要的事件，以 检测已知的攻击模式。 （2 ） 日志应该记录任何必要的事件，以 检测异常的攻击模式。 （3 ） 日志应该记录关于记录系统连续可 靠工作的信息。 5 日志的内容 1. 审计功能的启动和关闭 2. 使用身份鉴别机制 3. 将客体引入主体的地址空间 4. 删除客体 5. 管理员、安全员、审计员和一般操 作人员的操作 6. 其他专门定义的可审计事件 6 安全审计分析 日志分析就是在日志中寻找模式，其主 要内容： （1）潜在侵害分析 （2 ）基于异常检测的轮廓 （3 ）简单攻击探测 （4 ）复杂攻击检测 7 审计事件查阅 通常通过以下不同的层次来保证查阅的安全。 （1）审计查阅：审计系统以可理解的方式为 授权用户提供查阅日志和分析结果的功能。 （2 ）有限审计查阅：审计系统只能提供对内 容的读权限，因此应拒绝具有读以外权限的 用户访问审计系统。 （3 ）可选审计查阅：在有限审计查阅的基础 上限制查阅的范围。 8 审计事件存储 审计事件的存储也有安全性的要求，具体 有如下几种情况。 （1）受保护的审计踪迹存储 （2 ）审计数据的可用性保证 （3 ）防止审计数据丢失 9 11.1.2 Windows 系统日志管理 Windows 系统日志 （演示MMC） 查看事件日志 （eventvwr.msc ） Windows NT 的三个日志文件的物理位置。 1. 系统日志： %systemroot%\system32\config\sysevent.evt 2. 安全日志： %systemroot%\system32\config\secevent.evt 3. 应用程序日志： %systemroot%\system32\config\appevent.evt