8.1审计系统.pptVIP

8.1审计系统 卢鹏飞 8.1审计系统 审计系统 审计系统是一种为事后观察、分析操作或安全违规事件提供支持的系统，它广泛地存在于操作系统、数据库系统和应用系统中，记录、分析并报告系统中的普通或安全事件。 审计系统分类 面向业务的信息安全审计 网络安全审计 操作系统审计 面向业务的信息安全审计 中国青年报曾报道，上海一电脑高手，方某今年25岁，学的是计算机专业，曾是某超市分店资讯组组长。方某利用职务之便，设计非法软件程序，进入超市业务系统，即超市收银系统的数据库，通过修改超市收银系统的数据库数据信息，每天将超市的销售记录的20%营业款自动删除，并将收入转存入自己的账户。从2004年6月至2005年8月期间，方某等人截留侵吞超市3家门店营业款共计397万余元之多。 是对用户业务的安全审计，与用户的各项应用业务有密切的关系，是信息安全审计系统中重要的组成部分，它从用户的业务安全角度出发，思考和分析用户的网络业务中所存在的脆弱点和风险。主要是针对内部人员，他们利用职务之便，违规操作导致的安全问题日益频繁和突出，这些操作都与客户的业务息息相关。 启明星辰天玥网络安全审计系统 网络安全审计 网络安全审计系统应用于企业，能够规范员工上网行为、提高工作效率、防止企业机密资料外泄，为企业的网络提供保障，使企业的网络资源发挥应有的经济效益 内网安全审计 外网接入审计 操作系统审计 审计子系统作为操作系统的一个重要组成部分对于监督系统的正常运行，保障安全策略的正确实施，构造计算机入侵检测系统等都具有十分重要的意义。 一个安全操作系统的审计系统就是对系统中有关安全的活动进行记录，检查及审核.它的主要目的就是检测和阻止非法用户对计算机系统的入侵并显示合法用户的误操作。 定义 日志记录 可以由任何系统或应用生成，记录了这些系统或应用的事件和统计信息，反映了他们的使用情况和性能情况 审计记录 审计系统根据输入的日志或相应事件的直接报告生成的，提供更清晰、更简捷、更易于理解的系统事件和统计信息 审计步骤 审计事件确定 事件记录 记录分析 系统管理 审计事件确定 内核级 从系统调用的角度 用户级 从应用事件的角度 事件记录 事件记录是指，当审计事件发生时，由审计系统用审计日志记录相关的信息。 审计日志 -系统日志和应用日志 -内核级审计日志和应用级审计日志 事件记录 审计记录内容 事件的主体、对象、进程、用户、系统调用参数、返回值、特定的应用数据及其高层描述 记录分析 对审计记录的分析有助于向用户提供更精简、更合理的信息，也有助于用户发现系统存在的攻击事件和安全问题 举例 -新的事件定义 -记录特定的信息得到一些分析方法 系统管理 审计系统需要提供相应的管理手段，用于管理审计数据存储方式和位置、审计参数设置、初始化、生成和查看审计报告等 Linux审计系统 Linux提供了用来记录系统安全信息的审计系统，审计系统分为用户空间和内核空间审计系统，用户空间审计系统用来设置规则和审计系统状态、将内核审计系统传来的审计消息写入log文件。内核审计系统用于产生和过滤内核的各种审计消息。 Linux审计机制 Linux 提供网络、主机和用户级的日志信息，审计内容包括： 1）所有系统和内核的信息； 2）每一次网络连接和它们的源IP 地址、长度，有时还包括攻击者的用户名和使用的操作系统； 3）远程用户申请访问的文件； 4）用户可以控制的进程； 5）具体用户使用的每条命令 Linux审计机制 Linux的审计日志文件存放于/var/log目录下 -系统日志 -记账日志 -其他日志 系统日志 messages 输出到系统主控台的消息 记账日志 utmp 当前登录的每个用户 wtmp 每一次用户登录和注销的历史信息 lastlog 用户最后一次成功登录时间 loginlog 不良的登录尝试 pacct 对进程活动的记录 其他日志 voldlog 使用外部介质出现的错误 Xferkig ftp的存取情况 acct 每个用户使用过的命令 aculog 拨出自动呼叫记录 Linux审计系统构架 用户空间主要程序 程序 描述 auditd 在用户空间，审计系统通过auditd后台进程接收内核审计系统传送来的审计信息，将信息写入/var/log/audit/audit.log 中 auditctl 工具auditctl控制行