互联网金融信息安全 审计日志 审计日志.pptxVIP

互联网金融信息安全项目五 安全运维主讲教师：景秀眉《互联网金融信息安全》教学目标：通过课堂讲解和讨论，学生应掌握安全管理体系的组成，我国应急响应组织和应急响应的方法，掌握数据备份和灾难恢复的方法，掌握安全设计的基本内容，了解安全事件的生命周期。目录安全管理体系事件分类 应急响应灾难恢复安全事件生命周期安全审计六三五二四一5.5安全审计5.5.2 审计日志5.5.3 安全关联1 审计日志概念 审计日志是记录的事件或统计数据，这些事件或统计数据能提供关于系统使用及性能方面的信息，这种结果数据可以直接发挥作用，或者记录在案供以后分析和进一步采取行动。2 日志文件内容对一般安全事件，日志需包含事件所涉及的主体和客体、时间、事件的结果(成功、失败、违法、报警等)。例如，对一个数据库操作，记录的内容一般包括以下几个方面：·操作类型（如修改、查询、删除）。·操作终端标识与操作者标识。·操作日期和时间。·操作所涉及相关数据(如基本表、视图、记录、属性等)。·数据库的前像和后像等。3 日志记录的保护具体措施如下:（1）日志应按与所用的策略和规则相一致的原则进行管理。（2）介质存放场地必须符合防火、防水、防震、防潮、防尘、防腐蚀、防虫蛀、防静电、防磁及防盗的要求。（3）备份介质应定期进行复制。（4）日志管理程序。5.5.3 安全关联 审计结果需要在进行数据分析后才能产生。分析器通过使用安全关联来分析聚合数据，识别新的模式，重新定义安全预警引擎，并能有效管理潜在的和新出现的风险过程。 具体说来，它有两个不同的目标： （1）检测对某个安全策略的任何攻击，包括基于状态的审计和基于状态转换的审计。 （2）检测已知的企图违反安全规则的操作，可以通过命令的特定次序或系统状态的特征来寻找并发现针对安全的攻击。1 安全关联类型 安全关联可分为规则关联、统计关联和异常关联等类型。在实际系统中，必须综合采用多种关联方法，才能达到较好的分析效果。 1．规则关联 2．统计关联3．异常关联