第 讲 审计追踪技术与Windows安全审计功能.pptVIP

信息安全技术 第 6 讲 访问控制与审计技术 ? 6.1 访问控制技术与 Windows 访问控制 ? 6.2 审计追踪技术与 Windows 安全审计功能 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 审计是对信息系统访问控制的必要补充，它会 对用户使用何种信息资源、使用的时间，以及 如何使用 ( 执行何种操作 ) 进行记录与监控 。 ? 审计和监控是实现系统安全的 最后一道防线 ， 它能够 再现 原有的进程和问题，这对于责任追 查和 数据恢复 是非常必要的。 ? 审计跟踪是系统活动的流水记录 。该记录 按事件自始至终顺序检查、审查和检验每 个事件的环境及活动。 ? 审计跟踪通过书面方式提供应负责任人员 的活动证据以支持访问控制职能的实现。 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 审计跟踪记录系统活动和用户活动 。系统活动包 括操作系统和应用程序进程的活动；用户活动包 括用户在操作系统中和应用程序中的活动。通过 借助适当的工具和规程，审计跟踪可以发现违反 安全策略的活动、影响运行效率的问题以及程序 中的错误。审计跟踪不但有助于帮助系统管理员 确保系统及其资源免遭非法授权用户的侵害，同 时还能提供对数据恢复的帮助。 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 1. 审计内容 ? 审计跟踪可以实现多种安全相关目标，包括 ? 个人职能 ? 事件重建 ? 入侵检测 ? 故障分析 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 1) 个人职能。 ? 审计跟踪是管理人员用来维护个人职能的技术手段 。 一般来说，如果用户知道他们的行为活动被记录在审 计日志中，相应的人员需要为自己的行为负责，他们 就不太会违反安全策略和绕过安全控制措施。 ? 例如，审计跟踪可以保存改动前和改动后的记录，以 确定是哪个操作者在什么时候做了哪些实际的改动， 这可以帮助管理层确定错误到底是由用户、操作系统 、应用软件还是由其他因素造成的。 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 允许用户访问特定资源意味着用户要通 过访问控制和授权实现他们的访问，被 授权的访问有可能会被滥用，导致敏感 信息的扩散，当无法阻止用户通过其合 法身份访问资源时，审计跟踪就能发挥 作用： 审计跟踪可以用于检测他们的活 动 。 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 2) 事件重建。 ? 发生故障后，审计跟踪可以用于重建事件和数 据恢复 。通过审查系统活动的审计跟踪可以比 较容易地评估故障损失，确定故障发生的时间 、原因和过程。通过对审计跟踪的分析就可以 重建系统和协助恢复数据文件；同时，还有可 能避免下次发生此类故障的情况。 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 3) 入侵检测。 ? 审计跟踪记录可以用来协助入侵检测工作。如果将审 计的每一笔记录都进行上下文分析，就可以实时发现 或是过后预防入侵活动。实时入侵检测可以及时发现 非法授权者对系统的非法访问，也可以探测到病毒扩 散和网络攻击。 ? 4) 故障分析。 ? 审计跟踪还可以用于实时监控和故障分析。 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 2. 安全审计的目标 ? 安全审计提供的功能服务于 直接和间接 两个方面的安全目标： 直接目标包括跟 踪和监测系统中的异常事件，间接目标 是监视系统中其他安全机制的运行情况 和可信度 。 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 所有审计的前提是有一个支配审计过程的 规则集 。规 则的确切形式和内容随审计过程具体内容的改变而改 变。在商业与管理审计中，规则集包括对确保商业目 标的实现有重要意义的管理控制、过程和惯例。这些 商业目标 包括 资源的合理使用、利率最大化、费用最 小化、符合相应的法律法规和适当的风险控制 。在计 算机安全审计的特殊情况下，规则集通常以 安全策略 的形式明确表述。 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 从抽象意义上讲， 传统的金融和管理审 计与计算机安全审计的过程是完全相同 的 ，但它们各自关注的问题有很大不同 。 第 6-2 讲 审计追踪技术与 Windows 安全审计功能 ? 计算机安全审计是通过一定的策略，利用记录 和分析历史操作事件来发现系统的漏洞并改进 系统的性能和安全 。计算机安全审计 需要达到 的目的 包括： 对潜在的攻击者起到震慑和警告 的作用；对于已经发生的系统破坏行为提供有 效的追究责任的证据；为系统管理员提供有价 值的系统使用日志，帮助系统管理员及时发现 系统入侵行为或