安全审计的基础知识(30页PPT).pptx

安全审计审计技术出现在计算机技术之前，是产生和记录并检查审计技术出现在计算机技术之前，是产生和记录并检查按时间顺序排列的系统事件记录过程。安全审计是计算按时间顺序排列的系统事件记录过程。安全审计是计算机和网络安全的重要组成部分。机和网络安全的重要组成部分。安全审计提供的功能服务于直接和间接两方面的安全目安全审计提供的功能服务于直接和间接两方面的安全目标：标：1.1.直接的安全目标包括跟踪和监测系统中的异常事件直接的安全目标包括跟踪和监测系统中的异常事件2.2.间接的安全目标是检测系统中其他安全机制的运行间接的安全目标是检测系统中其他安全机制的运行 情况和可信度情况和可信度审计的目标确定和保持系统活动中每个人的责任确定和保持系统活动中每个人的责任确认重建事件的发生确认重建事件的发生 评估损失评估损失监测系统问题区监测系统问题区提供有效的灾难恢复依据提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供阻止不正当使用系统行为的依据提供案件侦破证据提供案件侦破证据安全审计系统的目标至少要包括以下几个方面：审计系统的组成日志记录的原则 在理想情况下，日志应该记录每个可能的事件，以在理想情况下，日志应该记录每个可能的事件，以便分析发生的所有事件，并恢复任何时刻进行的历史情便分析发生的所有事件，并恢复任何时刻进行的历史情况。但这样存储量过大，并且将严重影响系统的性能。况。但这样存储量过大，并且将严重影响系统的性能。因此。日志的内容应该是有选择的。一般情况下日志的因此。日志的内容应该是有选择的。一般情况下日志的记录应该满足如下的原则：记录应该满足如下的原则：（1 1）日志应该记录任何必要的事件，以检测已知的攻击模式。日志应该记录任何必要的事件，以检测已知的攻击模式。（2 2）日志应该记录任何必要的事件，以检测异常的攻击模式。日志应该记录任何必要的事件，以检测异常的攻击模式。（3 3）日志应该记录关于记录系统连续可靠工作的信息。日志应该记录关于记录系统连续可靠工作的信息。日志的内容审计功能的启动和关闭审计功能的启动和关闭使用身份鉴别机制使用身份鉴别机制将客体引入主体的地址空间将客体引入主体的地址空间删除客体删除客体管理员、安全员、审计员和一般操作人员的操作管理员、安全员、审计员和一般操作人员的操作其他专门定义的可审计事件其他专门定义的可审计事件 日志系统根据安全要求记录上面事件的部分或全部。日志系统根据安全要求记录上面事件的部分或全部。通常，通常，对于一个事件，日志应包括事件发生的日期和时间、引发事对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）事件、和源目的的位置、事件类型、事件件的用户（地址）事件、和源目的的位置、事件类型、事件成败等。成败等。记录机制 不同的系统可采用不同的机制记录日志。但大多情况可用不同的系统可采用不同的机制记录日志。但大多情况可用系统调用系统调用SyslogSyslog来记录日志，也可用来记录日志，也可用SNMPSNMP记录。下面简单记录。下面简单介绍下介绍下SyslogSyslog：SyslogSyslog由由SyslogSyslog守护程序、守护程序、SyslogSyslog规则集及规则集及SyslogSyslog系统调用三部分系统调用三部分组成，如下图：组成，如下图：安全审计分析（1 1）潜在侵害分析：）潜在侵害分析：日志分析应能用一些规则去监控审计事日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵件，并根据规则发现潜在的入侵。（2 2）基于异常检测的轮廓：）基于异常检测的轮廓：确定正常行为轮廓，当日志中的确定正常行为轮廓，当日志中的事件违反它或超出他的一定门限，能指出将要发生的威胁。事件违反它或超出他的一定门限，能指出将要发生的威胁。（3 3）简单攻击探测：）简单攻击探测：对重大威胁特征有明确描述，当攻击现对重大威胁特征有明确描述，当攻击现象出现，能及时指出象出现，能及时指出。（4 4）复杂攻击检测：）复杂攻击检测：要求高的日志分析系统还应能检测到多部入要求高的日志分析系统还应能检测到多部入侵序列，当攻击序列出现，能预测其发生的步骤。侵序列，当攻击序列出现，能预测其发生的步骤。日志分析就是在日志中寻找模式，其主要内容：日志分析就是在日志中寻找模式，其主要内容：审计事件查阅 由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全性主要是查阅和存此其自身的安全性十分重要。审计系统的安全性主要是查阅和存储的安全。储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次来保证查阅的安全。以下不同的层次来保证查阅的安全。（1 1）审计查阅：审计系统以可理解的方式为授权用户提供查阅日志）审计查阅：审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。和分析结果的功能。（2 2）有限审计查阅：审计系统只能提供对内容的读权限，因此应）有限审计查阅：审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统。拒绝具有读以外权限的用户访问审计系统。（3 3）可选审计查阅：在有限审计查阅的基础上限制查阅的范围。）可选审计查阅：在有限审计查阅的基础上限制查阅的范围。审计事件存储 审计事件的存储也有安全性的要求，具体有如下审计事件的存储也有安全性的要求，具体有如下几种情况。几种情况。（1 1）受保护的审计踪迹存储：）受保护的审计踪迹存储：即要求存储系统对日志事即要求存储系统对日志事件具有防护功能，防止未授权的修改和删除，并具有检测修改和件具有防护功能，防止未授权的修改和删除，并具有检测修改和删除的能力。删除的能力。（2 2）审计数据的可用性保证：）审计数据的可用性保证：在审计存储系统遭受在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。储失败时，能确保记录不被破坏。（3 3）防止审计数据丢失：）防止审计数据丢失：在审计踪迹超过预定的门限在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等等。前记录、停止工作等等。安全审计应用实例1.NT审计子系统结构 几乎几乎Windows NTWindows NT系统中的每一项事务都可以在一定程度系统中的每一项事务都可以在一定程度上被审计，可以在上被审计，可以在ExplorerExplorer和和User managerUser manager两个地方打开审两个地方打开审计。在计。在ExplorerExplorer中，选择中，选择SecuritySecurity，再选择，再选择AuditingAuditing以激活以激活Directory AuditingDirectory Auditing对话框，系统管理员可以在这个窗口选择对话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在跟踪有效和无效的文件访问。在User managerUser manager中，系统管理中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登员可以根据各种用户事件的成功和失败选择审计策略，如登陆和退出、文件访问、权限非法和关闭系统等。陆和退出、文件访问、权限非法和关闭系统等。Windows Windows NTNT使用一种特殊的格式存放它的日志文件，这种各式的文件使用一种特殊的格式存放它的日志文件，这种各式的文件可以被事件查看器可以被事件查看器Event viewerEvent viewer读取。事件读取。事件应用实例应用实例Windows NT 中的安全审计 Windows NTWindows NT的日志文件很多，但主要是系统日志、安全日志和应用的日志文件很多，但主要是系统日志、安全日志和应用日志三个。这三个审计日志是审计一日志三个。这三个审计日志是审计一Windows NTWindows NT系统的核心。默认安装系统的核心。默认安装时安全日志不打开。时安全日志不打开。Windows NT Windows NT中所有可被审计的事件都存入了其中的中所有可被审计的事件都存入了其中的一个日志。一个日志。（1 1）Application LogApplication Log：包括用：包括用NT Security authorityNT Security authority注册的应用程序产生的注册的应用程序产生的信息。信息。（2 2）Security LogSecurity Log：包括有关通过：包括有关通过NTNT可识别安全提供者和客户的系统访问信息。可识别安全提供者和客户的系统访问信息。（3 3）System Log:System Log:包含所有系统相关事件的信息。包含所有系统相关事件的信息。察看器可以在察看器可以在Administrative toolAdministrative tool程序组中找到。系统管理员可程序组中找到。系统管理员可以使用事件察看器的以使用事件察看器的FilterFilter选项根据一定条件选择要查看的日志选项根据一定条件选择要查看的日志条目。查看条件条件包括类别、拥护和消息类型。条目。查看条件条件包括类别、拥护和消息类型。1.NT1.NT审计子系统结构审计子系统结构审计子系统结构审计子系统结构应用实例应用实例Windows NT 中的安全审计2.审计日志和记录格式 Windows NT Windows NT的审计日志由一系列的事件记录组成，每一个事的审计日志由一系列的事件记录组成，每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。件记录分为三个功能部分：头、事件描述和可选的附加数据项。如下表显示了一个事件记录的结构。安全日志的入口通常由头和如下表显示了一个事件记录的结构。安全日志的入口通常由头和事件描述组成。事件描述组成。数据数据时间时间用户名用户名计算机名计算机名事件事件IDID源源类型类型种类种类可变内容可变内容,依赖于事件。可以使问题的文本解释和纠正措施的建依赖于事件。可以使问题的文本解释和纠正措施的建议议附加域。如果采用的话，包含可以字节或字显示的二进制数据及附加域。如果采用的话，包含可以字节或字显示的二进制数据及事件记录的源应用产生的信息事件记录的源应用产生的信息记录头记录头事件描述事件描述附加数据附加数据时间记录头有下列域组成：时间记录头有下列域组成：（1）日期：事件的日期标识。（2）时间：事件的时间标识。（3）用户名：表识事件是有谁触发的。（4）计算机名：事件所在的计算机名。当用户在整个企业范围内集中 安全管理时，该信息大大简化了审计信息的回顾。（5）事件ID：事件类型的数字标识。在事件记录描述中，这个域通常被映射 成一个文本表识（事件名）。(6)源：用来响应事件纪录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动器。（7）类型：事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息，按重要性降序排列。（8）种类：触发事件类型，主要用在安全日志中指示该类事件的成功 或失败审计已经被许可。3.NT 3.NT事件日志管理特征事件日志管理特征 Windows NT提供了大量特征给系统管理员区管理操作系统事件日志机制。例如：管理员能限制日志的大小并规定当文档达到容量上限时，如何去处理这些文件文件。选项包括：用新纪录去冲掉最老的纪录，停止系统直到事件日志备受共清除。当系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须备受共清除时，日志停止。另一方面，安全事件日志必须由具有管理者权限的人启动。利用NT得用户管理器，可以设置安全审计规则。要启动安全审计的功能，只需在规则菜单下选择审计，然后通过察看NT记录的安全事件日志中的安全性事件，既可以跟踪所选用户的操作。应用实例应用实例Windows NT 中的安全审计4.NT4.NT安全日志的审计策略安全日志的审计策略NTNT安全日志由审计策略支配，审计策略可以通过配置审计策略对话安全日志由审计策略支配，审计策略可以通过配置审计策略对话框中的选项来建立。框中的选项来建立。NTNT的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）：的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）：（1 1）登陆及注销（）登陆及注销（2 2）用户及组管理（）用户及组管理（3 3）文件及对象访问）文件及对象访问（4 4）安全性规则更改（）安全性规则更改（5 5）重新启动、关机及系统级事件）重新启动、关机及系统级事件（6 6）进程追踪（）进程追踪（7 7）文件和目录审计）文件和目录审计5.5.管理和维护管理和维护管理和维护管理和维护NTNT审计审计审计审计 通常情况下，通常情况下，Windows NT Windows NT 不是将所有的事件都记录日志，而不是将所有的事件都记录日志，而需要手动启动审计的功能。这是首先需要从开始菜单中选择程序，需要手动启动审计的功能。这是首先需要从开始菜单中选择程序，然后再选择管理工具。从管理工具紫菜单选择用户管理器，显示然后再选择管理工具。从管理工具紫菜单选择用户管理器，显示出用户管理起窗口。然后从用户管理器的菜单中单击出用户管理起窗口。然后从用户管理器的菜单中单击policies(policies(策略策略)，再单击，再单击audit(audit(审计审计)，审计策略窗口就出现了。接着选择单选框，审计策略窗口就出现了。接着选择单选框”audit thest events”(”audit thest events”(审计这些事件审计这些事件)。最后选择需要启动事件的。最后选择需要启动事件的按按OKOK，然后关闭用户管理器。值得注意的是在启动，然后关闭用户管理器。值得注意的是在启动Windows NTWindows NT的审计功能时，需要仔细选择审计的内容。的审计功能时，需要仔细选择审计的内容。审计日志将产生大量的数据，因此较为合理的方法是首先设置审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单审计，然后在监视系统的情况下逐步增加复杂的审计进行简单审计，然后在监视系统的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个叫有效率的选择。采用一些第三方提供的工具是一个叫有效率的选择。最后介绍一下最后介绍一下Windows NTWindows NT的三个日志文件的物理位置。的三个日志文件的物理位置。系统日志：系统日志：%systemroot%system32configsysevent.evt%systemroot%system32configsysevent.evt 安全日志：安全日志：%systemroot%system32configsecevent.evt%systemroot%system32configsecevent.evt 应用程序日志：应用程序日志：%systemroot%system32configappevent.evt%systemroot%system32configappevent.evt5.管理和维护管理和维护NT审计审计Unix/Linux 中的安全审计Unix存放日志文件最常用的目录/usr/adm 早期版本的unix/var/adm 较新版本的unix/var/log 用于Solaris,Linix,BSD/etc Unix system V 早期版本常的日志文件lastlog lastlog 用户最后一次成功登录时间用户最后一次成功登录时间loginlog loginlog 不良的登录尝试记录不良的登录尝试记录messages messages 输出到系统主控台的消息输出到系统主控台的消息utmp utmp 当前登录的每个用户当前登录的每个用户wtmp wtmp 每一次用户登录和注销的历史信息每一次用户登录和注销的历史信息vold.log vold.log 使用外部介质出现的错误使用外部介质出现的错误xferkig Ftpxferkig Ftp的存取情况的存取情况acct acct 每个用户使用过的命令每个用户使用过的命令aculog aculog 拨出自动呼叫记录拨出自动呼叫记录应用实例应用实例Unix/Linux 中的安全审计连接时间日志 连连接接时时间间日日志志由由多多个个程程序序程程序序执执行行，把把记记录录写写入入到到/var/log/wtm/var/log/wtm和和/var/run/utmp/var/run/utmp中中并并通通过过loginlogin等等程程序序更更新新wtmpwtmp和和utmputmp文文件件，使使系系统统管管理理员员能能够够跟踪谁在何时登录到系统。跟踪谁在何时登录到系统。lastloglastlog文件，文件，UnixUnix在在lastlog lastlog 日志文件中记录每日志文件中记录每一个用户注册进入系统的最后时间，在每一次一个用户注册进入系统的最后时间，在每一次进入系统是，系统会显示这个信息。告诉用户进入系统是，系统会显示这个信息。告诉用户和对一下最后注册进入系统的时间是否正确，和对一下最后注册进入系统的时间是否正确，若系统显示的时间与上次若系统显示的时间与上次 进入系统的时间不服，进入系统的时间不服，说明发生了非授权用户注册。说明发生了非授权用户注册。连接时间日志：连接时间日志：loginlogloginlog文件，文件，Unix system VUnix system V版本中可以把不成功的登陆行为记录在版本中可以把不成功的登陆行为记录在/var/adm/loginlog/var/adm/loginlog中。如果某个入侵者直到一个系统的用户名，同时又中。如果某个入侵者直到一个系统的用户名，同时又想猜出密码，想猜出密码，/var/adm/loginlog/var/adm/loginlog就会记录他的失败的登陆尝试。就会记录他的失败的登陆尝试。utmputmp、wtmpwtmp和和lastloglastlog日志文件是多数日志文件是多数UnixUnix日志系统的关键日志系统的关键-记录用户记录用户的登陆和推出信息。有关当前登陆用户的信息记录在的登陆和推出信息。有关当前登陆用户的信息记录在utmputmp中。等和推出中。等和推出记录在文件记录在文件wtmpwtmp中。最后一次登陆文件可以用中。最后一次登陆文件可以用lastloglastlog命令察看。数据交命令察看。数据交换和重启也记录在换和重启也记录在wtmpwtmp文件中。所有的记录都包括时间戳。这些文件文件中。所有的记录都包括时间戳。这些文件（lastloglastlog通常不大）在具有大量用户的系统中增长十分迅速通常不大）在具有大量用户的系统中增长十分迅速.wtmp.wtmp和和utmputmp都是为二进制文件，不能被诸如都是为二进制文件，不能被诸如tailtail命令剪贴或合并（使用命令剪贴或合并（使用catcat命令）。用命令）。用户可以通过户可以通过who,w,users,lastwho,w,users,last和和acac来使用这两个文件包含的信息。来使用这两个文件包含的信息。连接时间日志：连接时间日志：应用实例应用实例Unix/Linux 中的安全审计进程统计日志进程统计日志 进程统计日志由系统内核进程统计日志由系统内核执行。当一个进程终止时，执行。当一个进程终止时，系统往进程统计文件中写系统往进程统计文件中写一个记录。其目的是为系一个记录。其目的是为系统中的基本服务提供命令统中的基本服务提供命令使用统计。使用统计。与连接按日志不同，进程统计子系统缺省为不激活，必须通过启动来激活。在Unix/Linux系统中启动进程统计使用使用accton命令，必须用root身份来运行。accton命令的形式为accton 必须先存在。然后运行accton:accton/var/log/pacct。进程日志系统可以跟踪每个用户运行的每条命令，并且对跟踪一个入侵者有帮助。，进程系统一个问题是pacct文件可能增长得十分迅速。这是需要交互式或经过corn机制运行sa命名来保持日志数据在系统控制的范围内。进程系统日志：进程系统日志：进程系统日志：进程系统日志：应用实例应用实例Unix/Linux 中的安全审计错误日志 错误日志由错误日志由syslogsyslog执行。执行。各种系统守护进程、用户各种系统守护进程、用户程序和内核通过程序和内核通过syslogsyslog向向文件文件/var/log/messages/var/log/messages报报告值得注意的事件。另外，告值得注意的事件。另外，有许多有许多Unix/LinuxUnix/Linux程序也程序也会创建日志。会创建日志。syslogsyslog采用可配置的统一的系统登陆程序，随时从系统各采用可配置的统一的系统登陆程序，随时从系统各处接受处接受loglog请求，然后根据请求，然后根据/etc/syslog.conf/etc/syslog.conf中的预先设中的预先设定把定把loglog消息写入相应的文件并有机给特定的用户或者直消息写入相应的文件并有机给特定的用户或者直接以消息的方式发往控制台。任何程序都可以通过接以消息的方式发往控制台。任何程序都可以通过syslogsyslog记录事件。记录事件。syslogsyslog可以记录系统事件，也能记录本地事件可以记录系统事件，也能记录本地事件或通过网络记录另一个主机上的事件。或通过网络记录另一个主机上的事件。syslogsyslog设备依据两设备依据两个重要的文件：个重要的文件：/etc/syslogd/etc/syslogd（守护进程）和（守护进程）和/etc/syslog.conf/etc/syslog.conf配置文件。习惯上，多数配置文件。习惯上，多数syslogsyslog信息被信息被写道写道/var/adm/var/adm或或/var/log/var/log目录下的信息文件中目录下的信息文件中（message.*message.*）。）。错误日志：错误日志：syslog.conf syslog.conf文件指明文件指明syslogsyslog程序记录日志的行为，程序记录日志的行为，syslogsyslog程序在启动时查询配置文件。给文件由不同的程序在启动时查询配置文件。给文件由不同的程序或消息分类的单个条目组成，每个占一行。对每程序或消息分类的单个条目组成，每个占一行。对每类消息提供俄选择域和一个动作域。这些域由类消息提供俄选择域和一个动作域。这些域由tabtab隔开，隔开，选择域指明消息的类型和优先级，动作域指明选择域指明消息的类型和优先级，动作域指明syslogsyslog接收到一个与选择标准相匹配的消息时所执行的动作。接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级每个选项是由设备和优先级组成。当指明一个优先级时。时。syslogsyslog将记录一个拥有相同或更高优先级的消息。将记录一个拥有相同或更高优先级的消息。所以如果指明所以如果指明crit,crit,那所有标为那所有标为critcrit、alertalert和和emergemerg的消的消息都将被纪录。每行的行动域指明当选择域选择了一息都将被纪录。每行的行动域指明当选择域选择了一个给定消息后应给把它发送到哪里。个给定消息后应给把它发送到哪里。错误日志：错误日志：1、每一个成功者都有一个开始。勇于开始，才能找到成功的路。11月-2211月-22Tuesday,November 8,20222、成功源于不懈的努力，人生最大的敌人是自己怯懦。19:39:5419:39:5419:3911/8/2022 7:39:54 PM3、每天只看目标，别老想障碍。11月-2219:39:5419:39Nov-2208-Nov-224、宁愿辛苦一阵子，不要辛苦一辈子。19:39:5419:39:5419:39Tuesday,November 8,20225、积极向上的心态，是成功者的最基本要素。11月-2211月-2219:39:5419:39:54November 8,20226、生活总会给你另一个机会，这个机会叫明天。08十一月20227:39:54下午19:39:5411月-227、人生就像骑单车，想保持平衡就得往前走。十一月227:39下午11月-2219:39November 8,20228、业余生活要有意义，不要越轨。2022/11/819:39:5419:39:5408 November 20229、我们必须在失败中寻找胜利，在绝望中寻求希望。7:39:54下午7:39下午19:39:5411月-2210、一个人的梦想也许不值钱，但一个人的努力很值钱。11/8/2022 7:39:54 PM19:39:5408-11月-2211、在真实的生命里，每桩伟业都由信心开始，并由信心跨出第一步。11/8/2022 7:39 PM11/8/2022 7:39 PM11月-2211月-22谢谢大家谢谢大家