安全审计S-12.pptVIP

安全审计 孙吉红 2009.04.23 安全审计的概念 概念 根据一定的策略，通过记录、分析历史操作事件发现系统漏洞并改进系统性能和安全 作用 对潜在的攻击者起到震摄或警告 对于已经发生的系统破坏行为 ，提供有效的追纠证据 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞 安全审计的目的 安全审计是系统记录和活动的独立复审和验证。安全审计的目的包括 直接目标 跟踪和检测系统中的异常事件 间接目标 监视系统中其他安全机制的运行情况和可信度 安全审计系统的组成 审计过程包括审计发生、记录日志、分析日志、产生分析报告等 日志的内容 记录日志内容的原则 日志的内容 安全审计记录机制 安全审计的分析 审计事件的查阅和记录 Windows NT 中的安全审计 在NT 中可以对如下事件进行安全审计 登录及注销 文件及对象访问 用户权力的使用，用户及组管理 安全性规则更改 重新启动、关机及系统 进程追踪等 Windows NT 中的安全审计 Windows NT安全审计方法 利用NT 的用户管理器，可以设置安全审计规则。 要启用安全审计功能，只需在规则菜单下选择审计，然后通过查看NT记录的安全性事件类型的事件，可以跟踪所选用户的操作 Windows NT 中的安全审计 Windows NT 的审计规则 登录及注销:登录及注销或连接到网络 文件及对象访问：访问设置用于文件或目录审计的目录或文件的用户向设置用于打印机审计的打印机发送打印作业用户 用户及组管理：创建、更改或删除用户帐号或组； 重命名、禁止或启用用户号；或者设置和更改密码 安全性规则更改：对用户权利、审计或委托关系规则的改动 重新启动、关机及系统：用户重新启动或关闭计算机；或者发生了一个影响系统安全性或安全日志的事件 进程追踪：这些事件提供了关于事件的详细跟踪信息。如程序活动、某些形式句柄的复制、间接对象的访问和退出进程 文件和目录审计允许您跟踪目录和文件的用法。对于一个具体的文件或目录，可以指定要审计的组、用户或操作。既可以审计成功的操作，又可以审计失败的操作 审计目录可以选择下列事件：读、写、执行、删除、更改权限、获得所有权 Windows NT 中的安全审计 NT 日志文件 C:/WINDOWS/SYSTEM32/CONFIG/ SysEvent.evt SecEvent.evt AppEvent.evt 打开工具: 开始/设置/控制面板/管理工具/事件查看器 * * 系统事件 系统事件 … 系统事件 审计发生器 审计发生器 … 审计发生器 日志 记录器 日志 分析器 审计策略和规则 日志文件 审计分析报告