7密码学审计的与管理.pptVIP

《网络信息安全》课程第七章 审计与管理 石 鉴 南开大学信息管理与信息系统系 e-mail:shih@ 问题的提出 .70%的安全问题起源于管理. .几乎所有的安全事件的查处和追踪依赖系统事件记录. .系统资源的改善需要历史经验. 审计 .概念:根据一定的策略,通过记录,分析历史操作事件发现和改进系统性能和安全. .作用: 对潜在的攻击者起到震摄或警告 对于已经发生的系统破坏行为提供有效的追纠证据 为系统管理员提供有价值的系统使用日志从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞 应用实例1-- NT 的安全审计 在NT 中可以对如下事件进行安全审计: .登录及注销 .文件及对象访问 .用户权力的使用,用户及组管理 .安全性规则更改 .重新启动关机及系统 .进程追踪等 NT安全审计方法 利用NT 的用户管理器,可以设置 安全审计规则.要启用安全审计功能,只需在规则菜单下选择审计,然后通过查看NT 记录的安全性事件类型的事件,可以跟踪所选用户的操作. NT 的审计规则如下(既可以审计成功的操作,又可以审计失败的操作): .登录及注销:登录及注销或连接到网络. .文件及对象访问:访问设置用于文件或 目录审计的目录或文件的用户向设置用 于打印机审计的打印机发送打印作业用 户. .用户及组管理:创建更改或删除用户 帐号或组;重命名禁止或启用用户号 或者设置和更改密码. .安全性规则:更改对用户权利审计或 委托关系规则的改动. .重新启动关机及系统:用户重新启动 或关闭计算机;或者发生了一个影响系 统安全性或安全日志的事件. .进程追踪这些事件提供了关于事件的 详细跟踪信息,如程序活动,某些形式句柄的复制,间接对象的访问和退出进 程. 对于“文件及对象访问”中的文件和目 录的审计还需要在资源管理器中对要审计的目录或文件具体进行设置. .文件和目录审计允许您跟踪目录和文件的用法.对于一个具体的文件或目录,可以指定要审计的组、用户或操作,既可以审计成功的操作,又可以审计失败的操作. .审计目录可以选择下列事件:读、写、执行、删除、更改权限、获得所有权。 NT 日志文件 名称： /WINNT/SYSTEM32/CONFIG/ .SysEvent.evt .SecEvent.evt .AppEvent.evt 打开工具： 程序/管理工具/事件查看器 系统日志 应用实例2--UNIX 的安全审计 Unix的日志文件 主要目录： /etc /etc/security /usr/adm ；早期版本 /var/adm ；近期版本 /var/log UNIX安全审计 UNIX安全审计 主要工具 Authd Dump_lastlog logdaemom loginlog.c.Z netlog NOCOL/NetConsole Spar sunrogate-syslog chklastlog chkwtmp trimlog UNIX安全审计 主要工具： L5 tracerout startUplog supersave bootlogger inftp.pl 审计实例3-防火墙 日志审计： 1. 选择日志文件 点击日志按钮后，程序将从日志文件中读出日志列表，用户可以根据日志列表中的起始和终止时间选择要查询的文件。界面如下： 日志审计2. 设置日志审计条件 日志审计3. 查看日志审计内容 安全管理技术 .什么是安全管理？ .安全管理是指在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全措施来保障系统和信息的安全性。 安全管理目标： .使用访问控制机制，阻止非授权用户进入网络，从而保证网络系统的可用性。 .使用授权机制，实现对用户的权限控制，用户不能得到不属于用户权限范围的信息或操作，同时结合内容审计机制，实现对网络资源及信息的可控性。 .使用加密机制，确保信息不暴漏给未授权的实体或进程，从而实现信息的保密性。 .使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而未授权用户无法修改，从而确保信息的完整性 .使用审计、监控、防抵赖等安全机制使得攻击者、破坏者、抵赖者无法否认，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。 安全管理原则 .有限授权原则 .防问控制原则 .使用日志原则 .审计原则 .分离与制约原则 有限授权原则 .应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。 访问控制原则 .对主体访问客体的权限或能力的限制， 以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制） 使用日志原则 .将使用系统的有关操作记录在某些文件中。 .日志内容应包括： 软件