安全审计的基础知识(30页PPT).pptx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《安全审计的基础知识(30页PPT).pptx》由会员分享,可在线阅读,更多相关《安全审计的基础知识(30页PPT).pptx(30页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、安全审计审计技术出现在计算机技术之前,是产生和记录并检查审计技术出现在计算机技术之前,是产生和记录并检查按时间顺序排列的系统事件记录过程。安全审计是计算按时间顺序排列的系统事件记录过程。安全审计是计算机和网络安全的重要组成部分。机和网络安全的重要组成部分。安全审计提供的功能服务于直接和间接两方面的安全目安全审计提供的功能服务于直接和间接两方面的安全目标:标:1.1.直接的安全目标包括跟踪和监测系统中的异常事件直接的安全目标包括跟踪和监测系统中的异常事件2.2.间接的安全目标是检测系统中其他安全机制的运行间接的安全目标是检测系统中其他安全机制的运行 情况和可信度情况和可信度审计的目标确定和保持系
2、统活动中每个人的责任确定和保持系统活动中每个人的责任确认重建事件的发生确认重建事件的发生 评估损失评估损失监测系统问题区监测系统问题区提供有效的灾难恢复依据提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供阻止不正当使用系统行为的依据提供案件侦破证据提供案件侦破证据安全审计系统的目标至少要包括以下几个方面:审计系统的组成日志记录的原则 在理想情况下,日志应该记录每个可能的事件,以在理想情况下,日志应该记录每个可能的事件,以便分析发生的所有事件,并恢复任何时刻进行的历史情便分析发生的所有事件,并恢复任何时刻进行的历史情况。但这样存储量过大,并且将严重影响系统的性能。况。但这样存储量过大,
3、并且将严重影响系统的性能。因此。日志的内容应该是有选择的。一般情况下日志的因此。日志的内容应该是有选择的。一般情况下日志的记录应该满足如下的原则:记录应该满足如下的原则:(1 1)日志应该记录任何必要的事件,以检测已知的攻击模式。日志应该记录任何必要的事件,以检测已知的攻击模式。(2 2)日志应该记录任何必要的事件,以检测异常的攻击模式。日志应该记录任何必要的事件,以检测异常的攻击模式。(3 3)日志应该记录关于记录系统连续可靠工作的信息。日志应该记录关于记录系统连续可靠工作的信息。日志的内容审计功能的启动和关闭审计功能的启动和关闭使用身份鉴别机制使用身份鉴别机制将客体引入主体的地址空间将客体
4、引入主体的地址空间删除客体删除客体管理员、安全员、审计员和一般操作人员的操作管理员、安全员、审计员和一般操作人员的操作其他专门定义的可审计事件其他专门定义的可审计事件 日志系统根据安全要求记录上面事件的部分或全部。日志系统根据安全要求记录上面事件的部分或全部。通常,通常,对于一个事件,日志应包括事件发生的日期和时间、引发事对于一个事件,日志应包括事件发生的日期和时间、引发事件的用户(地址)事件、和源目的的位置、事件类型、事件件的用户(地址)事件、和源目的的位置、事件类型、事件成败等。成败等。记录机制 不同的系统可采用不同的机制记录日志。但大多情况可用不同的系统可采用不同的机制记录日志。但大多情
5、况可用系统调用系统调用SyslogSyslog来记录日志,也可用来记录日志,也可用SNMPSNMP记录。下面简单记录。下面简单介绍下介绍下SyslogSyslog:SyslogSyslog由由SyslogSyslog守护程序、守护程序、SyslogSyslog规则集及规则集及SyslogSyslog系统调用三部分系统调用三部分组成,如下图:组成,如下图:安全审计分析(1 1)潜在侵害分析:)潜在侵害分析:日志分析应能用一些规则去监控审计事日志分析应能用一些规则去监控审计事件,并根据规则发现潜在的入侵件,并根据规则发现潜在的入侵。(2 2)基于异常检测的轮廓:)基于异常检测的轮廓:确定正常行为轮
6、廓,当日志中的确定正常行为轮廓,当日志中的事件违反它或超出他的一定门限,能指出将要发生的威胁。事件违反它或超出他的一定门限,能指出将要发生的威胁。(3 3)简单攻击探测:)简单攻击探测:对重大威胁特征有明确描述,当攻击现对重大威胁特征有明确描述,当攻击现象出现,能及时指出象出现,能及时指出。(4 4)复杂攻击检测:)复杂攻击检测:要求高的日志分析系统还应能检测到多部入要求高的日志分析系统还应能检测到多部入侵序列,当攻击序列出现,能预测其发生的步骤。侵序列,当攻击序列出现,能预测其发生的步骤。日志分析就是在日志中寻找模式,其主要内容:日志分析就是在日志中寻找模式,其主要内容:审计事件查阅 由于审
7、计系统是追踪、恢复的直接依据,甚至是司法依据,因由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要。审计系统的安全性主要是查阅和存此其自身的安全性十分重要。审计系统的安全性主要是查阅和存储的安全。储的安全。审计事件的查阅应该受到严格的限制,不能篡改日志。通常通过审计事件的查阅应该受到严格的限制,不能篡改日志。通常通过以下不同的层次来保证查阅的安全。以下不同的层次来保证查阅的安全。(1 1)审计查阅:审计系统以可理解的方式为授权用户提供查阅日志)审计查阅:审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。和分析结果的功能。(2 2)有限审计查阅:审计系统只
8、能提供对内容的读权限,因此应)有限审计查阅:审计系统只能提供对内容的读权限,因此应拒绝具有读以外权限的用户访问审计系统。拒绝具有读以外权限的用户访问审计系统。(3 3)可选审计查阅:在有限审计查阅的基础上限制查阅的范围。)可选审计查阅:在有限审计查阅的基础上限制查阅的范围。审计事件存储 审计事件的存储也有安全性的要求,具体有如下审计事件的存储也有安全性的要求,具体有如下几种情况。几种情况。(1 1)受保护的审计踪迹存储:)受保护的审计踪迹存储:即要求存储系统对日志事即要求存储系统对日志事件具有防护功能,防止未授权的修改和删除,并具有检测修改和件具有防护功能,防止未授权的修改和删除,并具有检测修
9、改和删除的能力。删除的能力。(2 2)审计数据的可用性保证:)审计数据的可用性保证:在审计存储系统遭受在审计存储系统遭受意外时,能防止或检测审计记录的修改,在存储介质存满或存意外时,能防止或检测审计记录的修改,在存储介质存满或存储失败时,能确保记录不被破坏。储失败时,能确保记录不被破坏。(3 3)防止审计数据丢失:)防止审计数据丢失:在审计踪迹超过预定的门限在审计踪迹超过预定的门限或记满时,应采取相应的措施防止数据丢失。这种措施可以或记满时,应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、
10、停止工作等等。前记录、停止工作等等。安全审计应用实例1.NT审计子系统结构 几乎几乎Windows NTWindows NT系统中的每一项事务都可以在一定程度系统中的每一项事务都可以在一定程度上被审计,可以在上被审计,可以在ExplorerExplorer和和User managerUser manager两个地方打开审两个地方打开审计。在计。在ExplorerExplorer中,选择中,选择SecuritySecurity,再选择,再选择AuditingAuditing以激活以激活Directory AuditingDirectory Auditing对话框,系统管理员可以在这个窗口选择对话
11、框,系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在跟踪有效和无效的文件访问。在User managerUser manager中,系统管理中,系统管理员可以根据各种用户事件的成功和失败选择审计策略,如登员可以根据各种用户事件的成功和失败选择审计策略,如登陆和退出、文件访问、权限非法和关闭系统等。陆和退出、文件访问、权限非法和关闭系统等。Windows Windows NTNT使用一种特殊的格式存放它的日志文件,这种各式的文件使用一种特殊的格式存放它的日志文件,这种各式的文件可以被事件查看器可以被事件查看器Event viewerEvent viewer读取。事件读取。事件应用实例应用
12、实例Windows NT 中的安全审计 Windows NTWindows NT的日志文件很多,但主要是系统日志、安全日志和应用的日志文件很多,但主要是系统日志、安全日志和应用日志三个。这三个审计日志是审计一日志三个。这三个审计日志是审计一Windows NTWindows NT系统的核心。默认安装系统的核心。默认安装时安全日志不打开。时安全日志不打开。Windows NT Windows NT中所有可被审计的事件都存入了其中的中所有可被审计的事件都存入了其中的一个日志。一个日志。(1 1)Application LogApplication Log:包括用:包括用NT Security au
13、thorityNT Security authority注册的应用程序产生的注册的应用程序产生的信息。信息。(2 2)Security LogSecurity Log:包括有关通过:包括有关通过NTNT可识别安全提供者和客户的系统访问信息。可识别安全提供者和客户的系统访问信息。(3 3)System Log:System Log:包含所有系统相关事件的信息。包含所有系统相关事件的信息。察看器可以在察看器可以在Administrative toolAdministrative tool程序组中找到。系统管理员可程序组中找到。系统管理员可以使用事件察看器的以使用事件察看器的FilterFilter
14、选项根据一定条件选择要查看的日志选项根据一定条件选择要查看的日志条目。查看条件条件包括类别、拥护和消息类型。条目。查看条件条件包括类别、拥护和消息类型。1.NT1.NT审计子系统结构审计子系统结构审计子系统结构审计子系统结构应用实例应用实例Windows NT 中的安全审计2.审计日志和记录格式 Windows NT Windows NT的审计日志由一系列的事件记录组成,每一个事的审计日志由一系列的事件记录组成,每一个事件记录分为三个功能部分:头、事件描述和可选的附加数据项。件记录分为三个功能部分:头、事件描述和可选的附加数据项。如下表显示了一个事件记录的结构。安全日志的入口通常由头和如下表显
15、示了一个事件记录的结构。安全日志的入口通常由头和事件描述组成。事件描述组成。数据数据时间时间用户名用户名计算机名计算机名事件事件IDID源源类型类型种类种类可变内容可变内容,依赖于事件。可以使问题的文本解释和纠正措施的建依赖于事件。可以使问题的文本解释和纠正措施的建议议附加域。如果采用的话,包含可以字节或字显示的二进制数据及附加域。如果采用的话,包含可以字节或字显示的二进制数据及事件记录的源应用产生的信息事件记录的源应用产生的信息记录头记录头事件描述事件描述附加数据附加数据时间记录头有下列域组成:时间记录头有下列域组成:(1)日期:事件的日期标识。(2)时间:事件的时间标识。(3)用户名:表识
16、事件是有谁触发的。(4)计算机名:事件所在的计算机名。当用户在整个企业范围内集中 安全管理时,该信息大大简化了审计信息的回顾。(5)事件ID:事件类型的数字标识。在事件记录描述中,这个域通常被映射 成一个文本表识(事件名)。(6)源:用来响应事件纪录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动器。(7)类型:事件严重性指示器。在系统和应用日志中,类型可以是错误、警告或信息,按重要性降序排列。(8)种类:触发事件类型,主要用在安全日志中指示该类事件的成功 或失败审计已经被许可。3.NT 3.NT事件日志管理特征事件日志管理特征 Windows NT提供了大量特征给系统管理员区管理操作
17、系统事件日志机制。例如:管理员能限制日志的大小并规定当文档达到容量上限时,如何去处理这些文件文件。选项包括:用新纪录去冲掉最老的纪录,停止系统直到事件日志备受共清除。当系统开始运行时,系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须备受共清除时,日志停止。另一方面,安全事件日志必须由具有管理者权限的人启动。利用NT得用户管理器,可以设置安全审计规则。要启动安全审计的功能,只需在规则菜单下选择审计,然后通过察看NT记录的安全事件日志中的安全性事件,既可以跟踪所选用户的操作。应用实例应用实例Windows NT 中的安全审计4.NT4.NT安全日志的审计策略安全日志的审计策略NT
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 审计 基础知识 30 PPT
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内