信息系统安全技术安全审计与分析 .pptx

信息系统安全技术 --安全审计与日志分析何长龙 高级工程师目 录专业安全审计系统体系结构分析网络信息系统安全审计综述审计与日志分析审计结果分析安全审计系统的必要性一旦我们采用的防御体系被突破怎么办？至少我们必须知道系统是怎样遭到攻击的，这样才能恢复系统，此外我们还要知道系统存在什么漏洞，如何能使系统在受到攻击时有所察觉，如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的，它相当于飞机上使用的“黑匣子”。 安全审计系统的必要性（续）在TCSEC和CC等安全认证体系中，网络安全审计的功能都是方在首要位置的，它是评判一个系统是否真正安全的重要尺码。因此在一个安全网络系统中的安全审计功能是必不可少的一部分。网络安全审计系统能帮助我们对网络安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。它是保证网络安全十分重要的一种手段。 CC标准中的网络安全审计功能定义 网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。国际标准化组织(ISO)和国际电工委员会(IEC)发表了【信息技术安全性评估通用准则2.0版】(ISO/IEC15408)，俗称CC准则，目前它已被广泛地用于评估一个系统的安全性。在这个标准中对网络审计定义了一套完整的功能，有：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。 安全审计自动响应 安全审计自动响应定义在被测事件指示出一个潜在的安全攻击时作出的响应，它是管理审计事件的需要，这些需要包括报警或行动，例如包括实时报警的生成、违例进程的终止、中断服务、用户帐号的失效等。根据审计事件的不同系统将作出不同的响应。其响应方式可作增加、删除、修改等操作。 安全审计数据生成 该功能要求记录与安全相关事件的出现，包括鉴别审计层次、列举可被审计的事件类型、以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单，每个可审计事件对应于某个事件级别，如低级、中级、高级。 9、我们的市场行为主要的导向因素，第一个是市场需求的导向，第二个是技术进步的导向，第三大导向是竞争对手的行为导向。10、市场销售中最重要的字就是“问”。11、现今，每个人都在谈论着创意，坦白讲，我害怕我们会假创意之名犯下一切过失。12、在购买时，你可以用任何语言；但在销售时，你必须使用购买者的语言。13、He who seize the right moment, is the right man.谁把握机遇，谁就心想事成。14、市场营销观念：目标市场，顾客需求，协调市场营销，通过满足消费者需求来创造利润。15、我就像一个厨师，喜欢品尝食物。如果不好吃，我就不要它。16、我总是站在顾客的角度看待即将推出的产品或服务，因为我就是顾客。17、利人为利已的根基，市场营销上老是为自己着想，而不顾及到他人，他人也不会顾及你。产生的审计数据有以下几方面 对于敏感数据项（例如，口令通行字等）的访问目标对象的删除访问权限或能力的授予和废除改变主体或目标的安全属性标识定义和用户授权认证功能的使用审计功能的启动和关闭 每一条审计记录中至少应所含以下信息：事件发生的日期、时间、事件类型、主题标识、执行结果（成功、失败） 、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。 安全审计分析 此部分功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生，并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。 安全审计分析类型潜在攻击分析基于模板的异常检测简单攻击试探复杂攻击试探 等几种类型。 安全审计分析类型（续）潜在攻击分析：系统能用一系列的规则监控审计事件，并根据这些规则指示系统的潜在攻击；基于模板的异常检测：检测系统不同等级用户的行动记录，当用户的活动等级超过其限定的登记时，应指示出此为一个潜在的攻击；简单攻击试探：当发现一个系统事件与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在的攻击；复杂攻击试探：当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在的攻击。安全审计浏览 该功能要求审计系统能够使授权的用户有效地浏览审计数据。包括：审计浏览、有限审计浏览、可选审计浏览。审计浏览 提供从审计记录中读取信息的服务；有限审计浏览 要求除注册用户外，其他用户不能读取信息；可选审计信息 要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。安全审计事件选择 系统能够维护、检查或修改审计事件的集合，能够选择对