计算机网络安全技术ch.pptVIP

安全审计的记录机制 不同的系统可采用不同的机制记录日志。日志的记录可以由操作系统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情况都可用系统调用Syslog来记录日志，也可以用SNMP记录。Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成。 日志素材 Syslog 系统调用 Syslog 守护程序 Syslog 规则集 日志记录系统 第三十一页，共四十九页。 日志分析 日志分析就是在日志中寻找模式，主要内容如下： 潜在侵害分析。日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵。这种规则可以是由己定义的可审计事件的子集所指示的潜在安全攻击的积累或组合，或者其他规则。 基于异常检测的轮廓。日志分析应确定用户正常行为的轮廓，当日志中的事件违反正常访问行为的轮廓，或超出正常轮廓一定的门限时，能指出将要发生的威胁。 简单攻击探测。日志分析应对重大威胁事件的特征有明确的描述，当这些攻击现象出现时，能及时指出。 复杂攻击探测。要求高的日志分析系统还应能检测到多步入侵序列，当攻击序列出现时，能预测其发生步骤 第三十二页，共四十九页。 审计事件查阅 由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。 审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次保证查阅的安全： 审计查阅。审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。 有限审计查阅。审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统 可选审计查阅。在有限审计查阅的基础上限制查阅的范围。 第三十三页，共四十九页。 审计事件存储 审计事件的存储也有安全要求，具体有如下几种情况。 受保护的审计踪迹存储。即要求存储系统对日志事件具有保护功能，防止未授权的修改和删除，并具有检测修改/删除的能力。 审计数据的可用性保证。在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。 防止审计数据丢失。在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等。 第三十四页，共四十九页。 5.4.3 安全审计的实施 为了确保审计数据的可用性和正确性，审计数据需要受到保护，因为不正确的数据也是没用的。而且，如果不对日志数据进行及时审查，规划和实施得再好的审计也会失去价值。审计应该根据需要（经常由安全事件触发）定期审查、自动实时审查或两者兼而有之。系统管理人员和系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计数据，其中包括系统内保存的和归档保存的数据。 与实施有关的问题包括：保护审计数据、审查审计数据和用于审计分析的工具。 第三十五页，共四十九页。 计 算 机 网 络 安 全 技 术 第5章 访问控制技术 第一页，共四十九页。 本章学习目标 访问控制的三个要素、7种策略、内容、模型 访问控制的安全策略与安全级别 安全审计的类型、与实施有关的问题 日志的审计 Windows NT操作系统中的访问控制与安全审计 第二页，共四十九页。 5.1 访问控制概述 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。网络的访问控制技术是通过对访问的申请、批准和撤销的全过程进行有效的控制，从而确保只有合法用户的合法访问才能给予批准，而且相应的访问只能执行授权的操作。 访问控制是计算机网络系统安全防范和保护的重要手段，是保证网络安全最重要的核心策略之一，也是计算机网络安全理论基础重要组成部分。 第三页，共四十九页。 5.1.1 访问控制的定义 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即主体、客体和控制策略。 主体S（Subject）是指一个提出请求或要求的实体，是动作的发起者，但不一定是动作的执行者。主体可以是某个用户，也可以是用户启动的进程、服务和设备。 客体O（Object）是接受其他实体访问的被动实体。客体的概念也很广泛，凡是可以被操作的信息、资源、对象都可以认为是客体。在信息社会中，客体可以是信息、文件、记录等的集合体，也可以是网路上的硬件设施，无线通信中的终端，甚至一个客体可以包含另外一个客体。 第四页，共四十九页。 控制策略 控制策略A（Attribution）是主体对客体的访问规则集，即属性集合。访问策略实际上体现了一种授权行为，也就是客体对主体的权限允许。 访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机网络系