第9章 安全審計

上傳人:dfg****19 文檔編號:248059491 上傳時間:2024-10-22 格式:PPT 頁數(shù):29 大小:277.50KB
收藏 版權申訴 舉報 下載
第9章 安全審計_第1頁
第1頁 / 共29頁
第9章 安全審計_第2頁
第2頁 / 共29頁
第9章 安全審計_第3頁
第3頁 / 共29頁

下載文檔到電腦,查找使用更方便

15 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《第9章 安全審計》由會員分享,可在線閱讀,更多相關《第9章 安全審計(29頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,安全審計,安全審計,審計技術出現(xiàn)在計算機技術之前,是產(chǎn)生和記錄并檢查按時間順序排列的系統(tǒng)事件記錄過程。安全審計是計算機和網(wǎng)絡安全的重要組成部分。,安全審計提供的功能服務于直接和間接兩方面的安全目標:,1.,直接的安全目標包括跟蹤和監(jiān)測系統(tǒng)中的異常事件,2.,間接的安全目標是檢測系統(tǒng)中其他安全機制的運行,情況和可信度,審計的目標,確定和保持系統(tǒng)活動中每個人的責任,

2、確認重建事件的發(fā)生,評估損失,監(jiān)測系統(tǒng)問題區(qū),提供有效的災難恢復依據(jù),提供阻止不正當使用系統(tǒng)行為的依據(jù),提供案件偵破證據(jù),安全審計系統(tǒng)的目標至少要包括以下幾個方面:,審計系統(tǒng)的組成,日志記錄的原則,在理想情況下,日志應該記錄每個可能的事件,以便分析發(fā)生的所有事件,并恢復任何時刻進行的歷史情況。但這樣存儲量過大,并且將嚴重影響系統(tǒng)的性能。因此。日志的內容應該是有選擇的。一般情況下日志的記錄應該滿足如下的原則:,(,1,)日志應該記錄任何必要的事件,以檢測已知的攻擊模式。,(,2,)日志應該記錄任何必要的事件,以檢測異常的攻擊模式。,(,3,)日志應該記錄關于記錄系統(tǒng)連續(xù)可靠工作的信息。,日志的內

3、容,審計功能的啟動和關閉,使用身份鑒別機制,將客體引入主體的地址空間,刪除客體,管理員、安全員、審計員和一般操作人員的操作,其他專門定義的可審計事件,日志系統(tǒng)根據(jù)安全要求記錄上面事件的部分或全部。,通常,對于一個事件,日志應包括事件發(fā)生的日期和時間、引發(fā)事件的用戶(地址)事件、和源目的的位置、事件類型、事件成敗等。,記錄機制,不同的系統(tǒng)可采用不同的機制記錄日志。但大多情況可用系統(tǒng)調用,Syslog,來記錄日志,也可用,SNMP,記錄。下面簡單介紹下,Syslog,:,Syslog,由,Syslog,守護程序、,Syslog,規(guī)則集及,Syslog,系統(tǒng)調用三部分組成,如下圖:,安全審計分析,(

4、,1,)潛在侵害分析:,日志分析應能用一些規(guī)則去監(jiān)控審計事件,并根據(jù)規(guī)則發(fā)現(xiàn)潛在的入侵,。,(,2,)基于異常檢測的輪廓:,確定正常行為輪廓,當日志中的事件違反它或超出他的一定門限,能指出將要發(fā)生的威脅。,(,3,)簡單攻擊探測:,對重大威脅特征有明確描述,當攻擊現(xiàn)象出現(xiàn),能及時指出,。,(,4,)復雜攻擊檢測:,要求高的日志分析系統(tǒng)還應能檢測到多部入侵序列,當攻擊序列出現(xiàn),能預測其發(fā)生的步驟。,日志分析就是在日志中尋找模式,其主要內容:,審計事件查閱,由于審計系統(tǒng)是追蹤、恢復的直接依據(jù),甚至是司法依據(jù),因此其自身的安全性十分重要。審計系統(tǒng)的安全性主要是查閱和存儲的安全。,審計事件的查閱應該受

5、到嚴格的限制,不能篡改日志。通常通過以下不同的層次來保證查閱的安全。,(,1,)審計查閱:審計系統(tǒng)以可理解的方式為授權用戶提供查閱日志和分析結果的功能。,(,2,)有限審計查閱:審計系統(tǒng)只能提供對內容的讀權限,因此應拒絕具有讀以外權限的用戶訪問審計系統(tǒng)。,(,3,)可選審計查閱:在有限審計查閱的基礎上限制查閱的范圍。,審計事件存儲,審計事件的存儲也有安全性的要求,具體有如下幾種情況。,(,1,)受保護的審計蹤跡存儲:,即要求存儲系統(tǒng)對日志事件具有防護功能,防止未授權的修改和刪除,并具有檢測修改和刪除的能力。,(,2,)審計數(shù)據(jù)的可用性保證:,在審計存儲系統(tǒng)遭受意外時,能防止或檢測審計記錄的修改

6、,在存儲介質存滿或存儲失敗時,能確保記錄不被破壞。,(,3,)防止審計數(shù)據(jù)丟失:,在審計蹤跡超過預定的門限或記滿時,應采取相應的措施防止數(shù)據(jù)丟失。這種措施可以是忽略可審計事件、只允許記錄有特殊權限的事件、覆蓋以前記錄、停止工作等等。,安全審計應用實例,1.NT,審計子系統(tǒng)結構,幾乎,Windows NT,系統(tǒng)中的每一項事務都可以在一定程度上被審計,可以在,Explorer,和,User manager,兩個地方打開審計。在,Explorer,中,選擇,Security,,再選擇,Auditing,以激活,Directory Auditing,對話框,系統(tǒng)管理員可以在這個窗口選擇跟蹤有效和無效的

7、文件訪問。在,User manager,中,系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計策略,如登陸和退出、文件訪問、權限非法和關閉系統(tǒng)等。,Windows NT,使用一種特殊的格式存放它的日志文件,這種各式的文件可以被事件查看器,Event viewer,讀取。事件,應用實例,Windows NT,中的安全審計,Windows NT,的日志文件很多,但主要是系統(tǒng)日志、安全日志和應用日志三個。這三個審計日志是審計一,Windows NT,系統(tǒng)的核心。默認安裝時安全日志不打開。,Windows NT,中所有可被審計的事件都存入了其中的一個日志。,(,1,),Application Log,

8、:包括用,NT Security authority,注冊的應用程序產(chǎn)生的信息。,(,2,),Security Log,:包括有關通過,NT,可識別安全提供者和客戶的系統(tǒng)訪問信息。,(,3,),System Log:,包含所有系統(tǒng)相關事件的信息。,察看器可以在,Administrative tool,程序組中找到。系統(tǒng)管理員可以使用事件察看器的,Filter,選項根據(jù)一定條件選擇要查看的日志條目。查看條件條件包括類別、擁護和消息類型。,1.NT,審計子系統(tǒng)結構,應用實例,Windows NT,中的安全審計,2.,審計日志和記錄格式,Windows NT,的審計日志由一系列的事件記錄組成,每一個

9、事件記錄分為三個功能部分:頭、事件描述和可選的附加數(shù)據(jù)項。如下表顯示了一個事件記錄的結構。安全日志的入口通常由頭和事件描述組成。,數(shù)據(jù),時間,用戶名,計算機名,事件,ID,源,類型,種類,可變內容,依賴于事件??梢允箚栴}的文本解釋和糾正措施的建議,附加域。如果采用的話,包含可以字節(jié)或字顯示的二進制數(shù)據(jù)及事件記錄的源應用產(chǎn)生的信息,記錄頭,事件描述,附加數(shù)據(jù),時間記錄頭有下列域組成:,(,1,)日期:事件的日期,標識。,(,2,)時間:事件的時間標識。,(,3,)用戶名:表識事件是有誰觸發(fā)的。,(,4,)計算機名:事件所在的計算機名。當用戶在整個企業(yè)范圍內集中,安全管理時,該信息大大簡化了審計信

10、息的回顧。,(,5,)事件,ID,:事件類型的數(shù)字標識。在事件記錄描述中,這個域通常被映射 成一個文本表識(事件名)。,(6),源:用來響應事件紀錄的軟件。源可以是一個應用程序、一個系統(tǒng)服務或一個設備驅動器。,(,7,)類型:事件嚴重性指示器。在系統(tǒng)和應用日志中,類型可以是錯誤、警告或信息,按重要性降序排列。,(,8,)種類:觸發(fā)事件類型,主要用在安全日志中指示該類事件的成功,或失敗審計已經(jīng)被許可。,3.NT,事件日志管理特征,Windows NT,提供了大量特征給系統(tǒng)管理員區(qū)管理操作系統(tǒng)事件日志機制。例如:管理員能限制日志的大小并規(guī)定當文檔達到容量上限時,如何去處理這些,文件,。選項包括:用

11、新紀錄去沖掉最老的紀錄,停止系統(tǒng)直到事件日志備受共清除。,當系統(tǒng)開始運行時,系統(tǒng)和應用事件日志也自動開始。當日志文件滿并且系統(tǒng)配置規(guī)定它們必須備受共清除時,日志停止。另一方面,安全事件日志必須由具有管理者權限的人啟動。利用,NT,得用戶管理器,可以設置安全審計規(guī)則。要啟動安全審計的功能,只需在規(guī)則菜單下選擇審計,然后通過察看,NT,記錄的安全事件日志中的安全性事件,既可以跟蹤所選用戶的操作。,應用實例,Windows NT,中的安全審計,4.NT,安全日志的審計策略,NT,安全日志由審計策略支配,審計策略可以通過配置審計策略對話框中的選項來建立。,NT,的審計規(guī)則如下(既可以審計成功的操作,又

12、可以審計失敗的操作):,(,1,)登陸及注銷(,2,)用戶及組管理(,3,)文件及對象訪問,(,4,)安全性規(guī)則更改(,5,)重新啟動、關機及系統(tǒng)級事件,(,6,)進程追蹤(,7,)文件和目錄審計,5.,管理和維護,NT,審計,通常情況下,,Windows NT,不是將所有的事件都記錄日志,而需要手動啟動審計的功能。這是首先需要從開始菜單中選擇程序,然后再選擇管理工具。從管理工具紫菜單選擇用戶管理器,顯示出用戶管理起窗口。然后從用戶管理器的菜單中單擊,policies(,策略,),,再單擊,audit(,審計,),,審計策略窗口就出現(xiàn)了。接著選擇單選框,”,audit,thest,events

13、”(,審計這些事件,),。最后選擇需要啟動事件的按,OK,,然后關閉用戶管理器。值得注意的是在啟動,Windows NT,的審計功能時,需要仔細選擇審計的內容。,審計日志將產(chǎn)生大量的數(shù)據(jù),因此較為合理的方法是首先設置進行簡單審計,然后在監(jiān)視系統(tǒng)的情況下逐步增加復雜的審計要求。當需要審查審計日志以跟蹤網(wǎng)絡或機器上的異常事件時,采用一些第三方提供的工具是一個叫有效率的選擇。,最后介紹一下,Windows NT,的三個日志文件的物理位置。,系統(tǒng)日志:,%systemroot%system32configsysevent.evt,安全日志:,%systemroot%system32configsece

14、vent.evt,應用程序日志:,%systemroot%system32configappevent.evt,5.,管理和維護,NT,審計,Unix/Linux,中的安全審計,Unix,存放日志文件最常用的目錄,/,usr/adm,早期版本的,unix,/,var/adm,較新版本的,unix,/,var,/log,用于,Solaris,Linix,BSD,/etc Unix system V,早期版本,常的日志文件,lastlog,用戶最后一次成功登錄時間,loginlog,不良的登錄嘗試記錄,messages,輸出到系統(tǒng)主控臺的消息,utmp,當前登錄的每個用戶,wtmp,每一次用戶登錄

15、和注銷的歷史信息,vold.log,使用外部介質出現(xiàn)的錯誤,xferkig,Ftp,的存取情況,acct,每個用戶使用過的命令,aculog,撥出自動呼叫記錄,應用實例,Unix/Linux,中的安全審計,連接時間日志,連接時間日志由多個程序程序執(zhí)行,把記錄寫入到,/,var/log/wtm,和,/,var/run/utmp,中并通過,login,等程序更新,wtmp,和,utmp,文件,使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。,lastlog,文件,,Unix,在,lastlog,日志文件中記錄每一個用戶注冊進入系統(tǒng)的最后時間,在每一次進入系統(tǒng)是,系統(tǒng)會顯示這個信息。告訴用戶和對一下最后注冊

16、進入系統(tǒng)的時間是否正確,若系統(tǒng)顯示的時間與上次 進入系統(tǒng)的時間不服,說明發(fā)生了非授權用戶注冊。,連接時間日志:,loginlog,文件,,Unix system V,版本中可以把不成功的登陸行為記錄在,/,var/adm/loginlog,中。如果某個入侵者直到一個系統(tǒng)的用戶名,同時又想猜出密碼,,/,var/adm/loginlog,就會記錄他的失敗的登陸嘗試。,utmp,、,wtmp,和,lastlog,日志文件是多數(shù),Unix,日志系統(tǒng)的關鍵,-,記錄用戶的登陸和推出信息。有關當前登陸用戶的信息記錄在,utmp,中。等和推出記錄在文件,wtmp,中。最后一次登陸文件可以用,lastlog,命令察看。數(shù)據(jù)交換和重啟也記錄在,wtmp,文件中。所有的記錄都包括時間戳。這些文件(,lastlog,通常不大)在具有大量用戶的系統(tǒng)中增長十分迅速,.,wtmp,和,utmp,都是為二進制文件,不能被諸如,tail,命令剪貼或合并(使用,cat,命令)。用戶可以通過,who,w,users,last,和,ac,來使用這兩個文件包含的信息。,連接時間日志:,應用實例,Unix/Linux,中的安

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關資源

更多
正為您匹配相似的精品文檔
關于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對上載內容本身不做任何修改或編輯。若文檔所含內容侵犯了您的版權或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!