课程回顾网络与系统安全防护.pdf

(2019春季 课程编号：011184) 信息安全导论 第9章安全审计与责任认定技术 中国科学技术大学 曾凡平 billzeng@ 课程回顾：第8章 网络与系统安全防护 8.1 防火墙技术 • 防火墙的概念、特性、技术， • 自适应代理技术，防火墙的体系结构 • 防火墙的应用与发展 8.2 入侵检测技术 • 入侵检测概述，入侵检测系统分类 • 分布式入侵检测，入侵检测技术发展趋势 8.3 “蜜罐”技术 • 概念，分类，关键机制，部署结构 8.4 应急响应技术 • 应急响应的概念，应急响应策略 • 应急事件处理流程，应急响应技术及工具 信息安全导论09 2 第9章安全审计与责任认定技术 • 9.1 安全审计 • 9.1.1 安全审计概念 • 9.1.2 审计系统的结构 • 9.1.3 审计的数据来源 • 9.2 数字取证 • 9.2.1 数字取证概述 • 9.2.2 电子证据的特点和取证基本原则 • 9.2.3 数字取证的过程 • 9.3 数字取证关键技术和工具 • 9.3.1 证据信息类别 • 9.3.2 来自文件的数据 • 9.3.3 来自操作系统的数据 • 9.3.4 来自网络的数据 • 9.3.5 来自应用软件的数据 信息安全导论09 3 9.1 安全审计 9.1.1 安全审计概念 • 所谓审计，简单地说就是记录和分析用户使用信息 系统过程中的相关事件，不仅记录谁访问了系统， 而且记录系统以何种方式被使用。基于对记录的系 统事件的分析，能够快速地识别问题，确定是否有 攻击、攻击源自何处。因此，审计本质上是一种为 事后观察、分析提供支持的机制，广泛存在于信息 系统中，记录、分析、报告系统中的事件。 • 安全审计则是对系统安全的审核、稽查与计算，即 在记录一切或部分与系统安全有关活动的基础上， 对其进行分析处理、评价审查，发现系统中的安全 隐患，或追查出造成安全事故的原因，并做出进一 步的处理。 信息安全导论09 4 安全审计及主要功能 • 安全审计除了能够监控来自信息系统内部和外部 的用户活动，对与安全有关的活动的相关信息进 行识别、记录、存储和分析，对突发事件进行报 警和响应，还能通过对系统事件的记录，为事后 处理提供重要依据，为网络犯罪行为及泄密行为 提供取证基础。同时，通过对安全事件的不断积 累并且加以分析，能有选择性和针对性地对其中 的对象进行审计跟踪，即事后分析及追查取证， 以保证系统的安全。 • 安全审计的主要功能包括：安全审计自动响应、 安全审计数据生成、安全审计分析、安全审计浏 览、安全审计事件存储、安全审计事件选择等。 信息安全导论09 5 1)安全审计自动响应 • 安全审计自动响应是指当审计系统检测出一个安全违规 事件 （或者是潜在的安全攻击）时做出的响应。它是管 理审计事件的需要，这些需要包括报警甚至阻断。根据 审计事件的不同系统将做出不同的响应。 2)安全审计数据生成 • 该功能规定了对与安全相关的事件进行记录，包括鉴别 审计层次、列举可被审计的事件类型，以及鉴别由各种 审计记录类型提供的相关审计信息的最小集合。系统可 定义可审计事件清单，每个可审计事件对应于某个事件 级别。 • 每条审计记录至少应包含以下信息：事件发生的时间、 事件类型、主题标识、执行结果、引起事件的用户标识 以及对每一个审计事件与该事件有关的审计信息。 信息安全导论09