安全审计的基础知识.pptx

安全审计安全审计审计技术出现在计算机技术之前，是产生和记录并检查按时间顺序排列的系统事件记录过程。安全审计是计算机和网络安全的重要组成部分。安全审计提供的功能服务于直接和间接两方面的安全目标：1.直接的安全目标包括跟踪和监测系统中的异常事件2.间接的安全目标是检测系统中其他安全机制的运行 情况和可信度审计的目标安全审计系统的目标至少要包括以下几个方面：确定和保持系统活动中每个人的责任确认重建事件的发生 评估损失监测系统问题区提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供案件侦破证据审计系统的组成日志记录的原则 在理想情况下，日志应该记录每个可能的事件，以便分析发生的所有事件，并恢复任何时刻进行的历史情况。但这样存储量过大，并且将严重影响系统的性能。因此。日志的内容应该是有选择的。一般情况下日志的记录应该满足如下的原则：（1） 日志应该记录任何必要的事件，以检测已知的攻击模式。（2） 日志应该记录任何必要的事件，以检测异常的攻击模式。（3） 日志应该记录关于记录系统连续可靠工作的信息。审计功能的启动和关闭使用身份鉴别机制将客体引入主体的地址空间删除客体管理员、安全员、审计员和一般操作人员的操作其他专门定义的可审计事件 日志系统根据安全要求记录上面事件的部分或全部。通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）事件、和源目的的位置、事件类型、事件成败等。日志的内容 不同的系统可采用不同的机制记录日志。但大多情况可用系统调用Syslog来记录日志，也可用SNMP记录。下面简单介绍下Syslog： Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成，如下图：记录机制日志分析就是在日志中寻找模式，其主要内容：（1）潜在侵害分析：日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵。（2）基于异常检测的轮廓：确定正常行为轮廓，当日志中的事件违反它或超出他的一定门限，能指出将要发生的威胁。（3）简单攻击探测：对重大威胁特征有明确描述，当攻击现象出现，能及时指出。（4）复杂攻击检测：要求高的日志分析系统还应能检测到多部入侵序列，当攻击序列出现，能预测其发生的步骤。安全审计分析审计事件查阅 由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全性主要是查阅和存储的安全。 审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次来保证查阅的安全。 （1）审计查阅：审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。 （2）有限审计查阅：审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统。 （3）可选审计查阅：在有限审计查阅的基础上限制查阅的范围。审计事件存储 审计事件的存储也有安全性的要求，具体有如下几种情况。 （1）受保护的审计踪迹存储：即要求存储系统对日志事件具有防护功能，防止未授权的修改和删除，并具有检测修改和删除的能力。 （2）审计数据的可用性保证：在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。 （3）防止审计数据丢失：在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等等。安全审计应用实例应用实例Windows NT 中的安全审计1.NT审计子系统结构 几乎Windows NT系统中的每一项事务都可以在一定程度上被审计，可以在Explorer和User manager两个地方打开审计。在Explorer中，选择Security，再选择Auditing以激活Directory Auditing对话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在User manager中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登陆和退出、文件访问、权限非法和关闭系统等。Windows NT使用一种特殊的格式存放它的日志文件，这种各式的文件可以被事件查看器Event viewer读取。事件1.NT审计子系统结构察看器可以在Administrative tool程序组中找到。系统管理员可以使用事件察看器的Filter选项根据一定条件选择要查看的日志条目。查看条件条件包括类别、拥护和消息类型。 Windows NT的日志文件很多，但主要是系统日志、安全日志和应用日志三个。这三个审计日志是审计一Windows NT系统的核心。默认安装时安全日志不打开。 Windows NT中所有可被审计的事件都存入了其中的一个日志。（1）Application Log：包括用NT Security authority注册的应用程