安全审计new.ppt

安全审计new.ppt安全审计
安全审计
审计技术出现在计算机技术之前,是产生和记录并检查按时间顺序排列的系统事件记录过程。安全审计是计算机和网络安全的重要组成部分。
安全审计提供的功能服务于直接和间接两方面的安全目标:


情况和可信度
审计的目标
确定和保持系统活动中每个人的责任
确认重建事件的发生
评估损失
监测系统问题区
提供有效的灾难恢复依据
提供阻止不正当使用系统行为的依据
提供案件侦破证据
安全审计系统的目标至少要包括以下几个方面:
审计系统的组成
日志记录的原则
在理想情况下,日志应该记录每个可能的事件,以便分析发生的所有事件,并恢复任何时刻进行的历史情况。但这样存储量过大,并且将严重影响系统的性能。因此。日志的内容应该是有选择的。一般情况下日志的记录应该满足如下的原则:
(1) 日志应该记录任何必要的事件,以检测已知的攻击模式。
(2) 日志应该记录任何必要的事件,以检测异常的攻击模式。
(3) 日志应该记录关于记录系统连续可靠工作的信息。
日志的内容
审计功能的启动和关闭
使用身份鉴别机制
将客体引入主体的地址空间
删除客体
管理员、安全员、审计员和一般操作人员的操作
其他专门定义的可审计事件
日志系统根据安全要求记录上面事件的部分或全部。通常,对于一个事件,日志应包括事件发生的日期和时间、引发事件的用户(地址)事件、和源目的的位置、事件类型、事件成败等。
记录机制
不同的系统可采用不同的机制记录日志。但大多情况可用系统调用Syslog来记录日志,也可用SNMP记录。下面简单介绍下Syslog:
Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成,如下图:
安全审计分析
(1)潜在侵害分析:日志分析应能用一些规则去监控审计事件,并根据规则发现潜在的入侵。
(2)基于异常检测的轮廓:确定正常行为轮廓,当日志中的事件违反它或超出他的一定门限,能指出将要发生的威胁。
(3)简单攻击探测:对重大威胁特征有明确描述,当攻击现象出现,能及时指出。
(4)复杂攻击检测:要求高的日志分析系统还应能检测到多部入侵序列,当攻击序列出现,能预测其发生的步骤。
日志分析就是在日志中寻找模式,其主要内容:
审计事件查阅
由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要。审计系统的安全性主要是查阅和存储的安全。
审计事件的查阅应该受到严格的限制,不能篡改日志。通常通过以下不同的层次来保证查阅的安全。
(1)审计查阅:审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。
(2)有限审计查阅:审计系统只能提供对内容的读权限,因此应拒绝具有读以外权限的用户访问审计系统。
(3)可选审计查阅:在有限审计查阅的基础上限制查阅的范围。
审计事件存储
审计事件的存储也有安全性的要求,具体有如下几种情况。
(1)受保护的审计踪迹存储:即要求存储系统对日志事件具有防护功能,防止未授权的修改和删除,并具有检测修改和删除的能力。
(2)审计数据的可用性保证:在审计存储系统遭受意外时,能防止或检测审计记录的修改,在存储介质存满或存储失败时,能确保记录不被破坏。
(3)防止审计数据丢失:在审计踪迹超过预定的门限或记满时,应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等等。