安全审计的基础知识.pptxVIP

;安全审计;审计的目标;审计系统的组成;日志记录的原则;日志的内容;记录机制;安全审计分析;审计事件查阅;审计事件存储;安全审计应用实例;1.NT审计子系统结构 几乎Windows NT系统中的每一项事务都可以在一定程度上被审计，可以在Explorer和User manager两个地方打开审计。在Explorer中，选择Security，再选择Auditing以激活Directory Auditing对话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在User manager中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登陆和退出、文件访问、权限非法和关闭系统等。Windows NT使用一种特殊的格式存放它的日志文件，这种各式的文件可以被事件查看器Event viewer读取。事件; Windows NT的日志文件很多，但主要是系统日志、安全日志和应用日志三个。这三个审计日志是审计一Windows NT系统的核心。默认安装时安全日志不打开。 Windows NT中所有可被审计的事件都存入了其中的一个日志。 （1）Application Log：包括用NT Security authority注册的应用程序产生的信息。 （2）Security Log：包括有关通过NT可识别安全提供者和客户的系统访问信息。 （3）System Log: 包含所有系统相关事件的信息。 ;应用实例Windows NT 中的安全审计;时间记录头有下列域组成：; 3. NT事件日志管理特征 ;应用实例Windows NT 中的安全审计;5.管理和维护NT审计;审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单审计，然后在监视系统的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个叫有效率的选择。 最后介绍一下Windows NT的三个日志文件的物理位置。 系统日志：%systemroot%\system32\config\sysevent.evt 安全日志：%systemroot%\system32\config\secevent.evt 应用程序日志：%systemroot%\system32\config\appevent.evt;Unix/Linux 中的安全审计;常的日志文件;应用实例Unix/Linux 中的安全审计; lastlog文件，Unix在lastlog 日志文件中记录每一个用户注册进入系统的最后时间，在每一次进入系统是，系统会显示这个信息。告诉用户和对一下最后注册进入系统的时间是否正??，若系统显示的时间与上次 进入系统的时间不服，说明发生了非授权用户注册。 ;loginlog文件，Unix system V版本中可以把不成功的登陆行为记录在/var/adm/loginlog中。如果某个入侵者直到一个系统的用户名，同时又想猜出密码，/var/adm/loginlog就会记录他的失败的登陆尝试。utmp、wtmp和lastlog日志文件是多数Unix日志系统的关键---记录用户的登陆和推出信息。有关当前登陆用户的信息记录在utmp中。等和推出记录在文件wtmp中。最后一次登陆文件可以用lastlog命令察看。数据交换和重启也记录在wtmp文件中。所有的记录都包括时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速.wtmp和utmp都是为二进制文件，不能被诸如tail命令剪贴或合并（使用cat命令）。用户可以通过who,w,users,last和ac来使用这两个文件包含的信息。;应用实例Unix/Linux 中的安全审计; 与连接按日志不同，进程统计子系统缺省为不激活，必须通过启动来激活。在Unix/Linux系统中启动进程统计使用accton命令，必须用root身份来运行。accton命令的形式为accton 必须先存在。然后运行accton:accton/var/log/pacct。进程日志系统可以跟踪每个用户运行的每条命令，并且对跟踪一个入侵者有帮助。，进程系统一个问题是pacct文件可能增长得十分迅速。这是需要交互式或经过corn机制运行sa命名来保持日志数据在系统控制的范围内。 ;应用实例Unix/Linux 中的安全审计; syslog采用可配置的统一的系统登陆程序，随时从系统各处接受log请求，然后根据/etc/syslog.conf中的预先设定把log消息写入相应的文件并有机给特定的用户或者直接以消息的方式发往控制台。任何程序都可以通过syslog记录事件。syslog可以记录系统事件