网络安全管理及实用技术 作者 贾铁军5-8章 第5章 身份认证与访问控制.pptVIP

5.3.5 准入控制与身份认证管理 4. 准入控制技术的发展与现状 5.3 访问控制 准入控制技术发展很快，并出现各种方案整合的趋势。各主要厂商在突出发展本身准入控制方案的同时，也加大了厂商之间的合作力度。思科和微软都承诺支持对方的准入控制计划，并开放自己的API。准入控制标准化工作也在加快。可信计算组织（Trusted Computing Group，TCG）在2004年5月成立了可信网络连接（Trusted Network Connect，TNC）分组，TNC计划为端点准入强制策略开发一个对所有开发商开放的架构规范，从而保证各个开发商端点准入产品的可互操作性。这些规范将利用现存的工业标准，并在需要的时候开发新的标准和协议。 TNC的成立促进了标准化的发展，许多重要的网络和安全公司如Foundry、Sygate、Juniper、Trend Micro、Symantec和Zone Labs等都加入了TNC组织。TNC希望通过构建框架和规范保证互操作性，这些规范将包括端点的安全构建之间、端点主机和网络设备之间，以及网络设备之间的软件接口和通信协议。TNC的加入，预示准入控制将向标准化、软硬件相结合的方向发展。 5.4.1 安全审计概述 1. 安全审计的概念及目的 5.4 安全审计 计算机安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验每个事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。简单说，安全审计是记录用户使用计算机和网络系统进行所有活动的过程，它是提高安全性的重要工具。安全审计对系统记录和行为进行独立的审查和估计，其目的和意义在于： 1）对潜在的攻击者起到震慑和警告作用。 2）测试系统的控制是否恰当，以便进行调整，保证与既定安全策略和操作协调一致。 3）对已发生的破坏行为，做出损害评估，并提供有效的灾难恢复依据和追究责任的依据。 4）对系统控制、安全策略与规程中特定的改变做出评价和反馈，便于修订决策和部署。 5）帮助系统管理员及时发现系统入侵或潜在的系统漏洞。 5.4.1 安全审计概述 2. 安全审计的类型 5.4 安全审计 计算机安全审计从审计级别上看有3种类型：系统级审计、应用级审计和用户级审计。 （1）系统级审计 系统级审计主要针对系统的登录情况、用户识别号、登录尝试的日期和具体时间、退出的日期和时间、所使用的设备、登录后运行程序等内容进行审查。典型的系统级审计日志还包括和安全无关的信息，如系统操作、费用记账和网络性能。然而，系统级审计无法跟踪和记录应用事件，也无法提供足够的细节信息。 （2）应用级审计 应用级审计的内容主要是应用程序的活动信息，例如：打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作，打印报告等。 （3）用户级审计 用户级审计的内容主要是用户的活动信息，例如：用户直接启动的所有命令，用户所有的鉴别和认证尝试，用户所访问的文件和资源等方面。 5.4.2 系统日记审计 1. 系统日志的内容 5.4 安全审计 系统日志可根据安全强度的要求，选择记录部分或全部的系统操作。例如：审计功能的启动和关闭，使用身份验证机制，将客体引入主体的地址空间，删除客体、管理员、安全员、审计员和一般操作人员的操作，其它专门定义的可审计事件。 通常，对于单个事件，日志应包括事件发生的日期和时间、引发时间的用户（地址）、事件源及目的的位置、事件类型等。 5.4.2 系统日记审计 2. 安全审计的记录机制 5.4 安全审计 不同的系统采用不同的机制记录日志。日志的记录可以由操作系统完成，也可以由应用系统或其它专用记录系统完成。大部分情况都采用系统调用Syslog方式记录日志，少部分采用SNMP记录。其中，Syslog记录机制由守护程序、规则集及系统调用3部分组成。 5.4.2 系统日记审计 3. 日志分析 5.4 安全审计 日志分析就是在大量的日志信息中找到系统敏感数据，并分析系统运行情况。主要内容如下： 1）潜在侵害分析。日志分析可以根据规则监控审计事件，检测并发现潜在的入侵行为。这种规则可以是已定义的敏感子集的组合。 2）异常行为检测