安全审计技术..pptVIP

谢谢大家！ 8.1 审计系统 1. 审计与日志 审计就是发现问题， 暴露相关的脆弱性。 安全审计是指凡是对于网络的脆弱性进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段。 日志是指系统或软件生成的记录文件，通常是多用户可读的，通常采用字符形式或标准记录形式。大多数的多用户操作系统、正规的大型软件、多数安全设备都有日志功能。日志通常用于检查用户的登录、分析故障、进行收费管理统计流量、检查软件运行状况和调试软件。 8.1 审计系统 审计使用认证和授权机制，对保护的对象或实体的合法或企图非法访问进行记录。 安全审计技术能自动对用户的合法性进行评估，及时发现非法访问与攻击，中止其相关操作。计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计。 审计和日志功能对于系统安全来说是非常重要的，它记录了系统每天发生的各种各样的事情，可以通过它来检查错误发生的原因，或分析和检查攻击者留下的痕迹。 2. 审计评估系统 审计评估系统是指根据一定的安全策略记录和分析历史操作事件及数据，发现能够改进系统性能和系统安全的地方，弥补漏洞。 审计评估系统，主要有以下的作用： — 对潜在的攻击者起到震慑或警告作用。 — 对于已经发生的系统破坏行为提供有效的追纠证据。 — 为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。 — 为系统管理员提供系统运行的统计日志，使系统管理员能够发现系统性能上的不足或需要改进与加强的地方。 8.1 审计系统 3. 审计的具体要求 （1）自动收集所有由管理员在安装时所选定的、与安全性有关的活动信息。 （2）采用标准格式记录信息。 （3）审计信息的建立和存储是自动的，不要求管理员参与。 （4）在一定安全体制下保护审计记录。 （5）对计算机系统的运行和性能影响尽可能地小。 8.1 审计系统 4. 审计系统设计的关键 审计系统设计的关键是首先要确定必须审计的事件，建立软件（审计日志）记录这些事件，并将其存储，防止随意访问。 审计机构监测系统的活动细节并以确定格式进行记录。对试图（成功或不成功）联机，对敏感文件的读写以及管理员对文件的删除、建立、访问权的授予等每一事件进行记录。例如，什么时候开机，哪个用户在什么时候从哪儿登录等，这样通过查看日志，就可以发现入侵的痕迹；如果多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计还可以记录系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。 8.1 审计系统 4. 选择审计事件的准则 审计事件通常包括系统事件、登录事件、资源访问、特权使用、账号管理和策略更改等类别。选择审计事件的准则如下： — 使用认证和授权机制。对保护的对象或实体的合法或企图非法访问进行记录。 — 记录增加、删除和修改对象的操作。对已利用安全服务的对象的改变或删除操作。 — 记录操作员、系统管理员、系统安全人员采取的与安全相关的行动。保持一个特权人员完成动作的记录。 — 能改变分布环境中单元的配置。保持相关服务器的轨迹。 — 识别任何企图陷害、攻击或闯入（不管成功与否）安全机制的事件。 8.1 审计系统 5. 事件记录 事件记录是指当审计事件发生时，由审计系统用审计日志记录相关的信息。 审计日志一般由一些文件组成，每个文件中包含中包含多条记录，每条记录都记载了系统事件和统计信息发生的事件、基本情况等信息。 审计记录的内容包括事件的主体、相关的各个对象、涉及的进程和用户以及它们的标识等，内核级审计记录还包括调用参数和返回值。 8.1 审计系统 1. 审计追踪概述 审计追踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活动。通过书面方式提供应负责人员的活动证据以支持职能的实现。审计追踪记录系统活动（操作系统和应用程序进程）和用户活动（用户在操作系统中和应用程序中的活动）。借助适当的工具和规程，审计追踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。 审计追踪是一种安全策略，用于帮助系统管理员确保系统及其资源免遭黑客、内部使用者或技术故障的伤害。 8.2 审计追踪 1. 审计追踪概述 审计追踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活动。通过书面方式提供应负责人员的活动证据以支持职能的实现。审计追踪记录