信息系统安全技术安全审计与分析.pptVIP

ISO17799在安全问题的范围上是全面的。它包含大量实质性的控制要求,有些是极其复杂的。01要符合ISO17799，或其他真正的任何详细安全标准，都不是一项简单的事情。甚至对于最有安全意识的组织来说，认证就更令人头痛了。02ISO17799概述什么是ISO17799？ISO17799是一个详细的安全标准。包括安全内容的所有准则，由十个独立的部分组成，每一节都覆盖了不同的主题和区域。防止商业活动的中断；防止关键商业过程免受重大失误或灾难的影响。这节的主要内容包括：1、商业持续规划控制访问信息；阻止非法访问信息系统；确保网络服务得到保护；保证在使用移动计算机和远程网络设备时信息的安全阻止非法访问计算机；检测非法行为；——这节的主要内容有：2、系统访问控制这节的主要内容有：)维护应用程序软件和数据的安全。)确保IT项目工程及其支持活动是在安全的方式下进行的；)确保信息安全保护深入到操作系统中；)确保信息的保密性，可靠性和完整性；)阻止应用系统中的用户数据的丢失，修改或误用；3、系统开发和维护这部分的主要内容有：阻止信息和信息处理设备的免受损坏或盗窃。阻止对业务机密和信息非法的访问，损坏干扰；阻止资产的丢失，损坏或遭受危险，使业务活动免受干扰；4、物理和环境安全确保组织系统符合安全方针和标准；避免违背刑法、民法、条例或契约责任、以及各种安全要求；使系统审查过程的绩效最大化，并将干扰因素降到最小。这部分的主要内容有：5、符合性CC标准中的网络安全审计功能定义网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。国际标准化组织(ISO)和国际电工委员会(IEC)发表了【信息技术安全性评估通用准则2.0版】(ISO/IEC15408)，俗称CC准则，目前它已被广泛地用于评估一个系统的安全性。在这个标准中对网络审计定义了一套完整的功能，有：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。安全审计自动响应安全审计自动响应定义在被测事件指示出一个潜在的安全攻击时作出的响应，它是管理审计事件的需要，这些需要包括报警或行动，例如包括实时报警的生成、违例进程的终止、中断服务、用户帐号的失效等。根据审计事件的不同系统将作出不同的响应。其响应方式可作增加、删除、修改等操作。安全审计数据生成该功能要求记录与安全相关事件的出现，包括鉴别审计层次、列举可被审计的事件类型、以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单，每个可审计事件对应于某个事件级别，如低级、中级、高级。01对于敏感数据项（例如，口令通行字等）的访问02目标对象的删除03访问权限或能力的授予和废除04改变主体或目标的安全属性05标识定义和用户授权认证功能的使用06审计功能的启动和关闭产生的审计数据有以下几方面事件发生的日期、时间、事件类型、主题标识、执行结果（成功、失败）、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。02每一条审计记录中至少应所含以下信息：01安全审计分析此部分功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生，并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。简单攻击试探复杂攻击试探等几种类型。基于模板的异常检测潜在攻击分析安全审计分析类型潜在攻击分析：系统能用一系列的规则监控审计事件，并根据这些规则指示系统的潜在攻击；01基于模板的异常检测：检测系统不同等级用户的行动记录，当用户的活动等级超过其限定的登记时，应指示出此为一个潜在的攻击；02简单攻击试探：当发现一个系统事件与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在的攻击；03复杂攻击试探：当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在的攻击。04安全审计分析类型（续）安全审计浏览该功能要求审计系统能够使授权的用户有效地浏览审计数据。包括：审计浏览、有限审计浏览、可选审计浏览。审计浏览提供从审计记录中读取信息的服务；有限审计浏览要求除注册用户外，其他用户不能读取信息；可选审计信息要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。安全审计事件选择系统能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审计，例如：与目标标识、用户标识、主体标识、主机标