[工学]第5章 身份认证与访问控制.pptVIP

5.4.1 安全审计概述 1. 安全审计的概念及目的 5.4 安全审计 计算机安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验每个事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。简单说，安全审计是记录用户使用计算机和网络系统进行所有活动的过程，它是提高安全性的重要工具。安全审计对系统记录和行为进行独立的审查和估计，其目的和意义在于： 1）对潜在的攻击者起到震慑和警告作用。 2）测试系统的控制是否恰当，以便进行调整，保证与既定安全策略和操作协调一致。 3）对已发生的破坏行为，做出损害评估，并提供有效的灾难恢复依据和追究责任的依据。 4）对系统控制、安全策略与规程中特定的改变做出评价和反馈，便于修订决策和部署。 5）帮助系统管理员及时发现系统入侵或潜在的系统漏洞。 5.4.1 安全审计概述 2. 安全审计的类型 5.4 安全审计 计算机安全审计从审计级别上看有3种类型：系统级审计、应用级审计和用户级审计。 （1）系统级审计 系统级审计主要针对系统的登录情况、用户识别号、登录尝试的日期和具体时间、退出的日期和时间、所使用的设备、登录后运行程序等内容进行审查。典型的系统级审计日志还包括和安全无关的信息，如系统操作、费用记账和网络性能。然而，系统级审计无法跟踪和记录应用事件，也无法提供足够的细节信息。 （2）应用级审计 应用级审计的内容主要是应用程序的活动信息，例如：打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作，打印报告等。 （3）用户级审计 用户级审计的内容主要是用户的活动信息，例如：用户直接启动的所有命令，用户所有的鉴别和认证尝试，用户所访问的文件和资源等方面。 5.4.2 系统日记审计 1. 系统日志的内容 5.4 安全审计 系统日志可根据安全强度的要求，选择记录部分或全部的系统操作。例如：审计功能的启动和关闭，使用身份验证机制，将客体引入主体的地址空间，删除客体、管理员、安全员、审计员和一般操作人员的操作，其它专门定义的可审计事件。 通常，对于单个事件，日志应包括事件发生的日期和时间、引发时间的用户（地址）、事件源及目的的位置、事件类型等。 5.4.2 系统日记审计 2. 安全审计的记录机制 5.4 安全审计 不同的系统采用不同的机制记录日志。日志的记录可以由操作系统完成，也可以由应用系统或其它专用记录系统完成。大部分情况都采用系统调用Syslog方式记录日志，少部分采用SNMP记录。其中，Syslog记录机制由守护程序、规则集及系统调用3部分组成。 5.4.2 系统日记审计 3. 日志分析 5.4 安全审计 日志分析就是在大量的日志信息中找到系统敏感数据，并分析系统运行情况。主要内容如下： 1）潜在侵害分析。日志分析可以根据规则监控审计事件，检测并发现潜在的入侵行为。这种规则可以是已定义的敏感子集的组合。 2）异常行为检测。日志分析应确定用户正常行为轮廓，当日志中的事件违反正常访问行为的轮廓，或超出正常轮廓一定门限时，能指出将要发生的威胁。 3）简单攻击探测。日志分析应对重大威胁事件的特征进行明确的描述，当这些攻击现象再次出现时，可以及时指出。 4）复杂攻击探测。要求更高的日志分析系统还应能检测到多步入侵序列，当攻击序列出现时，能预测其发生的步骤。 5.4.2 系统日记审计 4. 审计事件查阅 5.4 安全审计 由于审计系统是追踪入侵、恢复系统的直接依据，因此，其自身的安全性尤为重要。审计系统的安全主要包括了查阅安全和存储安全。审计事件的查阅应该受到严格的限制，避免日志被篡改。通常，通过以下不同的层次保证查阅的安全： 1）审计查阅。审计系统可以为授权用户提供查阅日志和分析结果的功能。 2）有限审计查阅。审计系统只能提供对内容的读权限，拒绝读以外权限的访问。 3）可选审计查阅。在有限审计查阅的基础上限制查阅范围。 5.4.2 系统日记审计 5. 审计事件存储 5.4 安全审计 审计事件的存储也有安全要求，具体如下： 1）受保护