第9章 安全審計(jì)

《第9章 安全審計(jì)》由會(huì)員分享，可在線閱讀，更多相關(guān)《第9章 安全審計(jì)（29頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,安全審計(jì),安全審計(jì),審計(jì)技術(shù)出現(xiàn)在計(jì)算機(jī)技術(shù)之前，是產(chǎn)生和記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄過程。安全審計(jì)是計(jì)算機(jī)和網(wǎng)絡(luò)安全的重要組成部分。,安全審計(jì)提供的功能服務(wù)于直接和間接兩方面的安全目標(biāo)：,1.,直接的安全目標(biāo)包括跟蹤和監(jiān)測(cè)系統(tǒng)中的異常事件,2.,間接的安全目標(biāo)是檢測(cè)系統(tǒng)中其他安全機(jī)制的運(yùn)行,情況和可信度,審計(jì)的目標(biāo),確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任,

2、確認(rèn)重建事件的發(fā)生,評(píng)估損失,監(jiān)測(cè)系統(tǒng)問題區(qū),提供有效的災(zāi)難恢復(fù)依據(jù),提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù),提供案件偵破證據(jù),安全審計(jì)系統(tǒng)的目標(biāo)至少要包括以下幾個(gè)方面：,審計(jì)系統(tǒng)的組成,日志記錄的原則,在理想情況下，日志應(yīng)該記錄每個(gè)可能的事件，以便分析發(fā)生的所有事件，并恢復(fù)任何時(shí)刻進(jìn)行的歷史情況。但這樣存儲(chǔ)量過大，并且將嚴(yán)重影響系統(tǒng)的性能。因此。日志的內(nèi)容應(yīng)該是有選擇的。一般情況下日志的記錄應(yīng)該滿足如下的原則：,（,1,）日志應(yīng)該記錄任何必要的事件，以檢測(cè)已知的攻擊模式。,（,2,）日志應(yīng)該記錄任何必要的事件，以檢測(cè)異常的攻擊模式。,（,3,）日志應(yīng)該記錄關(guān)于記錄系統(tǒng)連續(xù)可靠工作的信息。,日志的內(nèi)

3、容,審計(jì)功能的啟動(dòng)和關(guān)閉,使用身份鑒別機(jī)制,將客體引入主體的地址空間,刪除客體,管理員、安全員、審計(jì)員和一般操作人員的操作,其他專門定義的可審計(jì)事件,日志系統(tǒng)根據(jù)安全要求記錄上面事件的部分或全部。,通常，對(duì)于一個(gè)事件，日志應(yīng)包括事件發(fā)生的日期和時(shí)間、引發(fā)事件的用戶（地址）事件、和源目的的位置、事件類型、事件成敗等。,記錄機(jī)制,不同的系統(tǒng)可采用不同的機(jī)制記錄日志。但大多情況可用系統(tǒng)調(diào)用,Syslog,來記錄日志，也可用,SNMP,記錄。下面簡(jiǎn)單介紹下,Syslog,：,Syslog,由,Syslog,守護(hù)程序、,Syslog,規(guī)則集及,Syslog,系統(tǒng)調(diào)用三部分組成，如下圖：,安全審計(jì)分析,（

4、,1,）潛在侵害分析：,日志分析應(yīng)能用一些規(guī)則去監(jiān)控審計(jì)事件，并根據(jù)規(guī)則發(fā)現(xiàn)潛在的入侵,。,（,2,）基于異常檢測(cè)的輪廓：,確定正常行為輪廓，當(dāng)日志中的事件違反它或超出他的一定門限，能指出將要發(fā)生的威脅。,（,3,）簡(jiǎn)單攻擊探測(cè)：,對(duì)重大威脅特征有明確描述，當(dāng)攻擊現(xiàn)象出現(xiàn)，能及時(shí)指出,。,（,4,）復(fù)雜攻擊檢測(cè)：,要求高的日志分析系統(tǒng)還應(yīng)能檢測(cè)到多部入侵序列，當(dāng)攻擊序列出現(xiàn)，能預(yù)測(cè)其發(fā)生的步驟。,日志分析就是在日志中尋找模式，其主要內(nèi)容：,審計(jì)事件查閱,由于審計(jì)系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。審計(jì)系統(tǒng)的安全性主要是查閱和存儲(chǔ)的安全。,審計(jì)事件的查閱應(yīng)該受

5、到嚴(yán)格的限制，不能篡改日志。通常通過以下不同的層次來保證查閱的安全。,（,1,）審計(jì)查閱：審計(jì)系統(tǒng)以可理解的方式為授權(quán)用戶提供查閱日志和分析結(jié)果的功能。,（,2,）有限審計(jì)查閱：審計(jì)系統(tǒng)只能提供對(duì)內(nèi)容的讀權(quán)限，因此應(yīng)拒絕具有讀以外權(quán)限的用戶訪問審計(jì)系統(tǒng)。,（,3,）可選審計(jì)查閱：在有限審計(jì)查閱的基礎(chǔ)上限制查閱的范圍。,審計(jì)事件存儲(chǔ),審計(jì)事件的存儲(chǔ)也有安全性的要求，具體有如下幾種情況。,（,1,）受保護(hù)的審計(jì)蹤跡存儲(chǔ)：,即要求存儲(chǔ)系統(tǒng)對(duì)日志事件具有防護(hù)功能，防止未授權(quán)的修改和刪除，并具有檢測(cè)修改和刪除的能力。,（,2,）審計(jì)數(shù)據(jù)的可用性保證：,在審計(jì)存儲(chǔ)系統(tǒng)遭受意外時(shí)，能防止或檢測(cè)審計(jì)記錄的修改

6、，在存儲(chǔ)介質(zhì)存滿或存儲(chǔ)失敗時(shí)，能確保記錄不被破壞。,（,3,）防止審計(jì)數(shù)據(jù)丟失：,在審計(jì)蹤跡超過預(yù)定的門限或記滿時(shí)，應(yīng)采取相應(yīng)的措施防止數(shù)據(jù)丟失。這種措施可以是忽略可審計(jì)事件、只允許記錄有特殊權(quán)限的事件、覆蓋以前記錄、停止工作等等。,安全審計(jì)應(yīng)用實(shí)例,1.NT,審計(jì)子系統(tǒng)結(jié)構(gòu),幾乎,Windows NT,系統(tǒng)中的每一項(xiàng)事務(wù)都可以在一定程度上被審計(jì)，可以在,Explorer,和,User manager,兩個(gè)地方打開審計(jì)。在,Explorer,中，選擇,Security,，再選擇,Auditing,以激活,Directory Auditing,對(duì)話框，系統(tǒng)管理員可以在這個(gè)窗口選擇跟蹤有效和無效的

7、文件訪問。在,User manager,中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計(jì)策略，如登陸和退出、文件訪問、權(quán)限非法和關(guān)閉系統(tǒng)等。,Windows NT,使用一種特殊的格式存放它的日志文件，這種各式的文件可以被事件查看器,Event viewer,讀取。事件,應(yīng)用實(shí)例,Windows NT,中的安全審計(jì),Windows NT,的日志文件很多，但主要是系統(tǒng)日志、安全日志和應(yīng)用日志三個(gè)。這三個(gè)審計(jì)日志是審計(jì)一,Windows NT,系統(tǒng)的核心。默認(rèn)安裝時(shí)安全日志不打開。,Windows NT,中所有可被審計(jì)的事件都存入了其中的一個(gè)日志。,（,1,）,Application Log,

8、：包括用,NT Security authority,注冊(cè)的應(yīng)用程序產(chǎn)生的信息。,（,2,）,Security Log,：包括有關(guān)通過,NT,可識(shí)別安全提供者和客戶的系統(tǒng)訪問信息。,（,3,）,System Log:,包含所有系統(tǒng)相關(guān)事件的信息。,察看器可以在,Administrative tool,程序組中找到。系統(tǒng)管理員可以使用事件察看器的,Filter,選項(xiàng)根據(jù)一定條件選擇要查看的日志條目。查看條件條件包括類別、擁護(hù)和消息類型。,1.NT,審計(jì)子系統(tǒng)結(jié)構(gòu),應(yīng)用實(shí)例,Windows NT,中的安全審計(jì),2.,審計(jì)日志和記錄格式,Windows NT,的審計(jì)日志由一系列的事件記錄組成，每一個(gè)

9、事件記錄分為三個(gè)功能部分：頭、事件描述和可選的附加數(shù)據(jù)項(xiàng)。如下表顯示了一個(gè)事件記錄的結(jié)構(gòu)。安全日志的入口通常由頭和事件描述組成。,數(shù)據(jù),時(shí)間,用戶名,計(jì)算機(jī)名,事件,ID,源,類型,種類,可變內(nèi)容,依賴于事件?？梢允箚栴}的文本解釋和糾正措施的建議,附加域。如果采用的話，包含可以字節(jié)或字顯示的二進(jìn)制數(shù)據(jù)及事件記錄的源應(yīng)用產(chǎn)生的信息,記錄頭,事件描述,附加數(shù)據(jù),時(shí)間記錄頭有下列域組成：,（,1,）日期：事件的日期,標(biāo)識(shí)。,（,2,）時(shí)間：事件的時(shí)間標(biāo)識(shí)。,（,3,）用戶名：表識(shí)事件是有誰觸發(fā)的。,（,4,）計(jì)算機(jī)名：事件所在的計(jì)算機(jī)名。當(dāng)用戶在整個(gè)企業(yè)范圍內(nèi)集中,安全管理時(shí)，該信息大大簡(jiǎn)化了審計(jì)信

10、息的回顧。,（,5,）事件,ID,：事件類型的數(shù)字標(biāo)識(shí)。在事件記錄描述中，這個(gè)域通常被映射 成一個(gè)文本表識(shí)（事件名）。,(6),源：用來響應(yīng)事件紀(jì)錄的軟件。源可以是一個(gè)應(yīng)用程序、一個(gè)系統(tǒng)服務(wù)或一個(gè)設(shè)備驅(qū)動(dòng)器。,（,7,）類型：事件嚴(yán)重性指示器。在系統(tǒng)和應(yīng)用日志中，類型可以是錯(cuò)誤、警告或信息，按重要性降序排列。,（,8,）種類：觸發(fā)事件類型，主要用在安全日志中指示該類事件的成功,或失敗審計(jì)已經(jīng)被許可。,3.NT,事件日志管理特征,Windows NT,提供了大量特征給系統(tǒng)管理員區(qū)管理操作系統(tǒng)事件日志機(jī)制。例如：管理員能限制日志的大小并規(guī)定當(dāng)文檔達(dá)到容量上限時(shí)，如何去處理這些,文件,。選項(xiàng)包括：用

11、新紀(jì)錄去沖掉最老的紀(jì)錄，停止系統(tǒng)直到事件日志備受共清除。,當(dāng)系統(tǒng)開始運(yùn)行時(shí)，系統(tǒng)和應(yīng)用事件日志也自動(dòng)開始。當(dāng)日志文件滿并且系統(tǒng)配置規(guī)定它們必須備受共清除時(shí)，日志停止。另一方面，安全事件日志必須由具有管理者權(quán)限的人啟動(dòng)。利用,NT,得用戶管理器，可以設(shè)置安全審計(jì)規(guī)則。要啟動(dòng)安全審計(jì)的功能，只需在規(guī)則菜單下選擇審計(jì)，然后通過察看,NT,記錄的安全事件日志中的安全性事件，既可以跟蹤所選用戶的操作。,應(yīng)用實(shí)例,Windows NT,中的安全審計(jì),4.NT,安全日志的審計(jì)策略,NT,安全日志由審計(jì)策略支配，審計(jì)策略可以通過配置審計(jì)策略對(duì)話框中的選項(xiàng)來建立。,NT,的審計(jì)規(guī)則如下（既可以審計(jì)成功的操作，又

12、可以審計(jì)失敗的操作）：,（,1,）登陸及注銷（,2,）用戶及組管理（,3,）文件及對(duì)象訪問,（,4,）安全性規(guī)則更改（,5,）重新啟動(dòng)、關(guān)機(jī)及系統(tǒng)級(jí)事件,（,6,）進(jìn)程追蹤（,7,）文件和目錄審計(jì),5.,管理和維護(hù),NT,審計(jì),通常情況下，,Windows NT,不是將所有的事件都記錄日志，而需要手動(dòng)啟動(dòng)審計(jì)的功能。這是首先需要從開始菜單中選擇程序，然后再選擇管理工具。從管理工具紫菜單選擇用戶管理器，顯示出用戶管理起窗口。然后從用戶管理器的菜單中單擊,policies(,策略,),，再單擊,audit(,審計(jì),),，審計(jì)策略窗口就出現(xiàn)了。接著選擇單選框,”,audit,thest,events

13、”(,審計(jì)這些事件,),。最后選擇需要啟動(dòng)事件的按,OK,，然后關(guān)閉用戶管理器。值得注意的是在啟動(dòng),Windows NT,的審計(jì)功能時(shí)，需要仔細(xì)選擇審計(jì)的內(nèi)容。,審計(jì)日志將產(chǎn)生大量的數(shù)據(jù)，因此較為合理的方法是首先設(shè)置進(jìn)行簡(jiǎn)單審計(jì)，然后在監(jiān)視系統(tǒng)的情況下逐步增加復(fù)雜的審計(jì)要求。當(dāng)需要審查審計(jì)日志以跟蹤網(wǎng)絡(luò)或機(jī)器上的異常事件時(shí)，采用一些第三方提供的工具是一個(gè)叫有效率的選擇。,最后介紹一下,Windows NT,的三個(gè)日志文件的物理位置。,系統(tǒng)日志：,%systemroot%system32configsysevent.evt,安全日志：,%systemroot%system32configsece

14、vent.evt,應(yīng)用程序日志：,%systemroot%system32configappevent.evt,5.,管理和維護(hù),NT,審計(jì),Unix/Linux,中的安全審計(jì),Unix,存放日志文件最常用的目錄,/,usr/adm,早期版本的,unix,/,var/adm,較新版本的,unix,/,var,/log,用于,Solaris,Linix,BSD,/etc Unix system V,早期版本,常的日志文件,lastlog,用戶最后一次成功登錄時(shí)間,loginlog,不良的登錄嘗試記錄,messages,輸出到系統(tǒng)主控臺(tái)的消息,utmp,當(dāng)前登錄的每個(gè)用戶,wtmp,每一次用戶登錄

15、和注銷的歷史信息,vold.log,使用外部介質(zhì)出現(xiàn)的錯(cuò)誤,xferkig,Ftp,的存取情況,acct,每個(gè)用戶使用過的命令,aculog,撥出自動(dòng)呼叫記錄,應(yīng)用實(shí)例,Unix/Linux,中的安全審計(jì),連接時(shí)間日志,連接時(shí)間日志由多個(gè)程序程序執(zhí)行，把記錄寫入到,/,var/log/wtm,和,/,var/run/utmp,中并通過,login,等程序更新,wtmp,和,utmp,文件，使系統(tǒng)管理員能夠跟蹤誰在何時(shí)登錄到系統(tǒng)。,lastlog,文件，,Unix,在,lastlog,日志文件中記錄每一個(gè)用戶注冊(cè)進(jìn)入系統(tǒng)的最后時(shí)間，在每一次進(jìn)入系統(tǒng)是，系統(tǒng)會(huì)顯示這個(gè)信息。告訴用戶和對(duì)一下最后注冊(cè)

16、進(jìn)入系統(tǒng)的時(shí)間是否正確，若系統(tǒng)顯示的時(shí)間與上次 進(jìn)入系統(tǒng)的時(shí)間不服，說明發(fā)生了非授權(quán)用戶注冊(cè)。,連接時(shí)間日志：,loginlog,文件，,Unix system V,版本中可以把不成功的登陸行為記錄在,/,var/adm/loginlog,中。如果某個(gè)入侵者直到一個(gè)系統(tǒng)的用戶名，同時(shí)又想猜出密碼，,/,var/adm/loginlog,就會(huì)記錄他的失敗的登陸嘗試。,utmp,、,wtmp,和,lastlog,日志文件是多數(shù),Unix,日志系統(tǒng)的關(guān)鍵,-,記錄用戶的登陸和推出信息。有關(guān)當(dāng)前登陸用戶的信息記錄在,utmp,中。等和推出記錄在文件,wtmp,中。最后一次登陸文件可以用,lastlog,命令察看。數(shù)據(jù)交換和重啟也記錄在,wtmp,文件中。所有的記錄都包括時(shí)間戳。這些文件（,lastlog,通常不大）在具有大量用戶的系統(tǒng)中增長(zhǎng)十分迅速,.,wtmp,和,utmp,都是為二進(jìn)制文件，不能被諸如,tail,命令剪貼或合并（使用,cat,命令）。用戶可以通過,who,w,users,last,和,ac,來使用這兩個(gè)文件包含的信息。,連接時(shí)間日志：,應(yīng)用實(shí)例,Unix/Linux,中的安