审计跟踪概述.docVIP

1. 审计跟踪概述 职能（accountability）是记录系统活动并可以跟踪到对这些活动应负责任人员的能力。审计跟踪（audit trail）是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持职能的实现。审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程，审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。 审计跟踪可以做为对正常系统操作的一种支持，也可以做为一种保证策略或前两者兼而有之。做为保证策略，所维护的审计跟踪只在需要时使用，比如系统中断。做为对操作的支持，审计跟踪用于帮助系统管理员确保系统及其资源免遭黑客、内部使用者或技术故障的伤害。 在很大程度上，信息的完整性和机密性取决于使用人的职能。也就是说，人们必须为他们的行为负责。这是一种探测和威慑机制。首先应该制定一系列行为标准，使用人必须认可这些行为标准；还要由较高级别的管理者对违反标准的人进行处罚。让用户知道自己的行为被监控也可以阻止潜在的破坏者对安全的侵害。用户职能可以通过策略、授权方案、识别和鉴别机制、访问控制、审计跟踪和审计实现。 2. 审计跟踪的目的 审计跟踪提供了实现多种安全相关目标的一种方法，这些目标包括个人职能、事件重建、入侵探测和故障分析。 个人职能（individual accountability）审计跟踪是管理人员用来维护个人职能的技术手段。通过告知用户应该为自己的行为负责，通过审计跟踪记录用户的活动，管理人员可以改善用户的行为方式。如果用户知道他们的行为被记录在审计日志中，他们就不太会违反安全策略和绕过安全控制措施。 例如在访问控制中，审计跟踪可以用于鉴别对数据的不恰当修改（如在数据库中引入一条错误记录）和提供与之相关的信息。审计跟踪可以记录改动前和改动后的记录，以确定所作的实际改动。这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其它因素造成的。 逻辑访问控制是用于限制对系统资源的访问，允许用户访问特定资源意味着用户通常要通过这种访问完成他们的工作。当然，被授权的访问也会被滥用，这种情况下审计跟踪就能发挥作用。当无法阻止用户通过其合法身份访问资源时，审计跟踪就可以用于检查他们的活动。比方说人事部的某员工需要访问他们所负责的员工的人事记录，通过审计跟踪发现该员工对人事记录的超常打印，这也许意味着盗卖人事数据。再比方说某工程师需要通过使用计算机来设计新产品，通过审计跟踪发现在该工程师在设计结束前通过调制解调器进行了可疑的对外通信，这可以用来协助调查公司的专利数据被非法泄漏给其它公司的事件。 事件重建（reconstruction of events）在故障发生后，审计跟踪可以用于重建事件。通过审查系统活动的审计跟踪可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。通过对审计跟踪的分析通常可以辨别故障是操作引起的还是系统引起的。例如，当系统失败或文件的完整性受到质疑时，通过对审计跟踪的分析就可以重建系统、用户或应用程序的完整的操作步骤。在对诸如系统崩溃这样的故障的发生条件有清晰认识的前提下，就能够避免未来发生此类系统中断的情况。而且，在发生技术故障（如数据文件损坏）时，审计跟踪可以协助进行恢复（通过更改记录可以重建文件）。 入侵探测（intrusion detection）如果用审计跟踪记录适当的信息，也可以用来协助入侵探测工作。如果在审计记录产生时就进行检查（通过使用某种警告标志或提示），就可以进行实时的入侵探测，不过事后检查（定时检查审计记录）也是可行的。 实时入侵探测主要用于探测外部对系统的非法访问。也可以用于探测系统性能指标的变化以发现病毒或蠕虫攻击。但是实时审计可能会降低系统性能。 事后鉴别可以标示出非法访问的企图（或事实）。这样就可以提醒人们对损失进行评估或重新检查受攻击的控制方式。 故障分析（problem analysis）在线的审计跟踪还可以用于鉴别入侵以外的故障。这常被称为实时审计或监控。如果操作系统或应用系统对公司的业务非常重要，可以使用实时审计对这些进程进行监控。 3. 审计跟踪和日志的类型 系统可以同时维护多个审计跟踪。有两种典型的审计记录（1）所有键盘敲击的记录，通常称为击键监控，和（2）面向事件的审计日志。这些日志通常包括描述系统事件、应用事件或用户事件的记录。 审计跟踪应该包括足够的信息，以确定事件的内容和引起事件的因素。通常，事件记录应该列有事件发生的时间、和事件有关的用户识别码、启动事件的程序或命令以及事件的结果。日期和时间戳可以帮助确定用户到底是假冒的还是真实的。