安全审计与日志分析.pptVIP

? 持续审计的可以采取的有效步骤 加强访问控制机制 建立和维护系统 确保网络满足商业目标 保持安全策略的一致性 重复的过程 第三十一页，共六十二页。 ? 安全审计和安全标准 第三十二页，共六十二页。 ? 安全审计可参考的标准 ISO 7498-2 英国标准7799（BS 7799） ISO 15408 （Common Criteria，CC） 第三十三页，共六十二页。 ? ISO 7498 第三十四页，共六十二页。 ? 英国标准7799（BS 7799） BS 7799文档的标题是《A Code of Practice For Information Security Management》，论述了如何确保网络系统安全。 1999年的版本有两个部分，BS 7799-1论述了确保网络安全所采取的步骤； BS 7799-2讨论了在实施信息安全管理系统（ISMS）是应采取的步骤。 第三十五页，共六十二页。 ? ISO 17799 虽然BS 7799是英国标准，但由于它可以帮助网络专家设计实施计划并提交结果，所以很多非英国的安全人士也接受这一标准。 ISO 17799 于2000年12月出版，它是适用于所有的组织，建议成为强制性的安全标准。它是基于 BS7799 之上的，BS7799 1995年2月首版，最后一次修订和改进是在1999年5月 第三十六页，共六十二页。 ? ISO 17799概述 ISO 17799 在安全问题的范围上是全面的。它包含大量实质性的控制要求,有些是极其复杂的。 要符合ISO 17799，或其他真正的任何详细安全标准，都不是一项简单的事情。甚至对于最有安全意识的组织来说，认证就更令人头痛了。 第三十七页，共六十二页。 ? 什么是ISO 17799 ？ ISO17799 是一个详细的安全标准。包括安全内容的所有准则，由十个独立的部分组成， 每一节都覆盖了不同的主题和区域。 第三十八页，共六十二页。 ? 1、商业持续规划 这节的主要内容包括： 1）防止商业活动的中断； 2）防止关键商业过程免受重大失误或灾难的影响。 第三十九页，共六十二页。 ? 2、系统访问控制 ——这节的主要内容有： 1）控制访问信息； 2）阻止非法访问信息系统 ； 3）确保网络服务得到保护 ； 4）阻止非法访问计算机； 5）检测非法行为； 6）保证在使用移动计算机和远程网络设备时信息的安全 第四十页，共六十二页。 ? 3、系统开发和维护 这节的主要内容有： 1 ) 确保信息安全保护深入到操作系统中； 2 ) 阻止应用系统中的用户数据的丢失，修改或误用； 3 ) 确保信息的保密性，可靠性和完整性； 4 ) 确保IT项目工程及其支持活动是在安全的方式下进行的； 5 ) 维护应用程序软件和数据的安全。 第四十一页，共六十二页。 ? 4、物理和环境安全 这部分的主要内容有： 阻止对业务机密和信息非法的访问，损坏干扰； 阻止资产的丢失，损坏或遭受危险，使业务活动免受干扰； 阻止信息和信息处理设备的免受损坏或盗窃。 第四十二页，共六十二页。 ? 5、符合性 这部分的主要内容有： 避免违背刑法、民法、条例或契约责任、以及各种安全要求； 确保组织系统符合安全方针和标准； 使系统审查过程的绩效最大化，并将干扰因素降到最小。 第四十三页，共六十二页。 ? 6、人员安全 这部分的主要内容包括： 减少错误，偷窃，欺骗或资源误用等人为风险； 确保使用者了解信息安全的威胁和，在他们的正常的工作中有相应的训练，以便利于信息安全政策的贯彻和实施； 通过从以前事件和故障中汲取教训，最大限度降低安全的损失。 第四十四页，共六十二页。 ? 信息系统安全技术 --安全审计与日志分析 何长龙 高级工程师 第一页，共六十二页。 ? 目 录 专业安全审计系统体系结构分析 网络信息系统安全审计综述 审计与日志分析 审计结果分析 第二页，共六十二页。 ? 安全审计系统的必要性 一旦我们采用的防御体系被突破怎么办？至少我们必须知道系统是怎样遭到攻击的，这样才能恢复系统，此外我们还要知道系统存在什么漏洞，如何能使系统在受到攻击时有所察觉，如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的，它相当于飞机上使用的“黑匣子”。 第三页，共六十二页。 ? 安全审计系统的必要性（续） 在TCSEC和CC等安全认证体系中，网络安全审计的功能都是方在首要位置的，它是评判一个系统是否真正安全的重要尺码。因此在一个安全网络系统中的安全审计功能是必不可少的一部分。网络安全审计系统能帮助我们对网络安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络