收藏
下载资源

安全审计技术_1汇总

上传人:今*** 文档编号:105886711 上传时间:2019-10-13 格式:PPT 页数:31 大小:576.50KB
返回 下载 相关 举报
安全审计技术_1汇总_第1页
第1页 / 共31页
安全审计技术_1汇总_第2页
第2页 / 共31页
安全审计技术_1汇总_第3页
第3页 / 共31页
安全审计技术_1汇总_第4页
第4页 / 共31页
安全审计技术_1汇总_第5页
第5页 / 共31页
点击查看更多>>
资源描述

《安全审计技术_1汇总》由会员分享,可在线阅读,更多相关《安全审计技术_1汇总(31页珍藏版)》请在金锄头文库上搜索。

1、8.1 审计系统,1. 审计与日志 审计就是发现问题, 暴露相关的脆弱性。 安全审计是指凡是对于网络的脆弱性进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段。 日志是指系统或软件生成的记录文件,通常是多用户可读的,通常采用字符形式或标准记录形式。大多数的多用户操作系统、正规的大型软件、多数安全设备都有日志功能。日志通常用于检查用户的登录、分析故障、进行收费管理统计流量、检查软件运行状况和调试软件。,8.1 审计系统,审计使用认证和授权机制,对保护的对象或实体的合法或企图非法访问进行记录。 安全审计技术能自动对用户的合法性进行评估,及时发现非法访问与

2、攻击,中止其相关操作。计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计。 审计和日志功能对于系统安全来说是非常重要的,它记录了系统每天发生的各种各样的事情,可以通过它来检查错误发生的原因,或分析和检查攻击者留下的痕迹。,2. 审计评估系统 审计评估系统是指根据一定的安全策略记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方,弥补漏洞。 审计评估系统,主要有以下的作用: 对潜在的攻击者起到震慑或警告作用。 对于已经发生的系统破坏行为提供有效的追纠证据。 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜

3、在的系统漏洞。 为系统管理员提供系统运行的统计日志,使系统管理员能够发现系统性能上的不足或需要改进与加强的地方。,8.1 审计系统,3. 审计的具体要求 (1)自动收集所有由管理员在安装时所选定的、与安全性有关的活动信息。 (2)采用标准格式记录信息。 (3)审计信息的建立和存储是自动的,不要求管理员参与。 (4)在一定安全体制下保护审计记录。 (5)对计算机系统的运行和性能影响尽可能地小。,8.1 审计系统,4. 审计系统设计的关键 审计系统设计的关键是首先要确定必须审计的事件,建立软件(审计日志)记录这些事件,并将其存储,防止随意访问。 审计机构监测系统的活动细节并以确定格式进行记录。对试

4、图(成功或不成功)联机,对敏感文件的读写以及管理员对文件的删除、建立、访问权的授予等每一事件进行记录。例如,什么时候开机,哪个用户在什么时候从哪儿登录等,这样通过查看日志,就可以发现入侵的痕迹;如果多次登录失败,也可以大致推测出可能有人想强行闯入系统。审计还可以记录系统管理员执行的活动,审计还加有身份验证,这样就可以知道谁在执行这些命令。,8.1 审计系统,4. 选择审计事件的准则 审计事件通常包括系统事件、登录事件、资源访问、特权使用、账号管理和策略更改等类别。选择审计事件的准则如下: 使用认证和授权机制。对保护的对象或实体的合法或企图非法访问进行记录。 记录增加、删除和修改对象的操作。对已

5、利用安全服务的对象的改变或删除操作。 记录操作员、系统管理员、系统安全人员采取的与安全相关的行动。保持一个特权人员完成动作的记录。 能改变分布环境中单元的配置。保持相关服务器的轨迹。 识别任何企图陷害、攻击或闯入(不管成功与否)安全机制的事件。,8.1 审计系统,5. 事件记录 事件记录是指当审计事件发生时,由审计系统用审计日志记录相关的信息。 审计日志一般由一些文件组成,每个文件中包含中包含多条记录,每条记录都记载了系统事件和统计信息发生的事件、基本情况等信息。 审计记录的内容包括事件的主体、相关的各个对象、涉及的进程和用户以及它们的标识等,内核级审计记录还包括调用参数和返回值。,8.1 审

6、计系统,1. 审计追踪概述 审计追踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。通过书面方式提供应负责人员的活动证据以支持职能的实现。审计追踪记录系统活动(操作系统和应用程序进程)和用户活动(用户在操作系统中和应用程序中的活动)。借助适当的工具和规程,审计追踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。 审计追踪是一种安全策略,用于帮助系统管理员确保系统及其资源免遭黑客、内部使用者或技术故障的伤害。,8.2 审计追踪,1. 审计追踪概述 审计追踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环

7、境及活动。通过书面方式提供应负责人员的活动证据以支持职能的实现。审计追踪记录系统活动(操作系统和应用程序进程)和用户活动(用户在操作系统中和应用程序中的活动)。借助适当的工具和规程,审计追踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。 审计追踪是一种安全策略,用于帮助系统管理员确保系统及其资源免遭黑客、内部使用者或技术故障的伤害。,8.2 审计追踪,2. 审计追踪方法 审计跟踪提供了实现多种安全相关目标的一种方法,这些目标包括个人职能、事件重建、入侵探测和故障分析。 1) 个人职能(individual accountability) 审计跟踪是管理人员用来维护个人职能的技

8、术手段。例如在访问控制中,审计跟踪可以用于鉴别对数据的不恰当修改(如在数据库中引入一条错误记录)和提供与之相关的信息。审计跟踪可以记录改动前和改动后的记录,以确定所作的实际改动。这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其它因素造成的。,8.2 审计追踪,2) 事件重建(reconstruction of events) 在故障发生后,审计跟踪可以用于重建事件。通过审查系统活动的审计跟踪可以比较容易地评估故障损失,确定故障发生的时间、原因和过程。通过对审计跟踪的分析通常可以辨别故障是操作引起的还是系统引起的。例如,当系统失败或文件的完整性受到质疑时,通过对审计跟踪的分析就可

9、以重建系统、用户或应用程序的完整的操作步骤。在对诸如系统崩溃这样的故障的发生条件有清晰认识的前提下,就能够避免未来发生此类系统中断的情况。而且,在发生技术故障(如数据文件损坏)时,审计跟踪可以通过更改记录可以重建文件。,8.2 审计追踪,3) 入侵探测(intrusion detection) 如果用审计跟踪记录适当的信息,也可以用来协助入侵探测工作。如果在审计记录产生时就通过使用某种警告标志或提示进行检查,就可以进行实时的入侵探测,不过事后定时检查审计记录也是可行的。 实时入侵探测主要用于探测外部对系统的非法访问。也可以用于探测系统性能指标的变化以发现病毒或蠕虫攻击。但是实时审计可能会降低系

10、统性能。 事后鉴别可以标示出非法访问的企图(或事实)。这样就可以提醒人们对损失进行评估或重新检查受攻击的控制方式。,8.2 审计追踪,4) 故障分析(problem analysis) 在线的审计跟踪还可以用于鉴别入侵以外的故障。这常被称为实时审计或监控。如果操作系统或应用系统对公司的业务非常重要,可以使用实时审计对这些进程进行监控。 3. 审计追踪实施 为了确保审计跟踪数据的可用性和正确性,审计跟踪数据需要受到保护,因为不正确的数据也是没用的。而且,如果不对日志数据进行及时审查,规划和实施得再好的审计跟踪也会失去价值。审计跟踪应该根据需要定期审查、自动实时审查、或两者兼而有之。系统管理员应该

11、根据计算机安全管理的要求确定需要维护多长时间的审计跟踪数据,其中包括系统内保存的和归档保存的数据。与实施有关的问题包括:保护审计跟踪数据、审查审计跟踪数据和用于审计跟踪分析的工具。,8.2 审计追踪,1. 数字取证概述 随着计算机及网络技术的高速发展和广泛应用,利用计算机进行犯罪也在日趋增加。要想遏制这类犯罪案件的发生, 就需要能证明犯罪的证据, 从计算机中提取证据成为案件侦破的关键。计算机取证对于起诉这类犯罪行为至关重要。 计算机犯罪取证(数字取证)也被称为计算机法医学,是指把计算机看做犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。它

12、作为计算机领域和法学领域的一门交叉科学,正逐渐成为人们关注的焦点。,8.3 数字取证,利用计算机和其他数字产品进行犯罪的证据都以数字形式通过计算机或网络进行存储和传输,从而出现了电子证据。电子证据是指以电子的、数字的、电磁的、光学的或类似性能的相关技术形式保存记录于计算机、磁性物、光学设备或类似设备及介质中或通过以上设备生成、发送、接受的能够证明刑事案件情况的一切数据或信息。 数字证据(Digital Forensics)是指任何使用计算机存储和传输的数据,用于支持和反驳犯罪发生的推测,或者用于表述诸如动机、犯罪现场等的犯罪关键要素。一般情况数字证据与电子证据经常交替使用。数字取证主要是对电子

13、证据识别、保存、收集、分析和呈堂,从而揭示与数字产品相关的犯罪行为或过失。,8.3 数字取证,从计算机取证技术的发展来看,先后有数字取证、电子取证、计算机取证、网络取证等术语。 电子取证(Electric Forensics)主要研究除计算机和网络以外的电子产品中的数字证据获取、分析和展示,如数码相机、复印机、传真机甚至有记忆存储功能的家电产品等。 计算机取证(Computer Forensic)的主要方法有对文件的复制、被删除文件的恢复、缓冲区内容获取、系统日志分析等,是一种被动式的事后措施,不特定于网络环境。 网络取证(Networks Forensics)更强调对网络安全的主动防御功能,

14、主要通过对网络数据流、审计、主机系统日志等的实时监控和分析,发现对网络系统的入侵行为,记录犯罪证据,并且阻止对网络系统的进一步入侵。,8.3 数字取证,3.电子证据的特点 电子证据以文本、图形、图像、动画、音频、视频等多种信息形式表现出来。证据一经生成,会在计算机系统、网络系统中留下相关的痕迹或记录并被保存于系统自带日志或第三方软件形成的日志中,客观真实地记录了案件事实情况。但由于计算机数字信息存储、传输不连续和离散,容易被截取、监听、剪接、删除,同时还可能由于计算机系统、网络系统、物理系统的原因,造成其变化且难有痕迹可寻。 刑事电子证据的特点要求数字取证应遵循电子证据的特点,严格执行证据规则

15、,客观、真实、合法,利用专门工具、专业人士取证保证,司法活动合法、高效、公正。,8.3 数字取证,4. 数字取证原则 尽早搜集证据,并保证其没有受到任何破坏。 必须保证取证过程中计算机病毒不会被引入到目标计算机。 必须保证“证据连续性”,即在证据被正式提交给法庭时必须保证一直能跟踪证据,要能够说明用于拷贝这些证据的进程是可靠、可复验的等。 整个检查、取证过程必须是受到监督的。 必须保证提取出来的可能有用的证据不会受到机械或电磁损害。 被取证的对象如果必须运行某些商务程序,只能影响一段有限的时间。 应当尊重不小心获取的任何关于客户代理人的私人信息。,8.3 数字取证,5. 数字取证过程 数字取证

16、的过程一般可划分为四个阶段:电子证据的确定和收集、电子证据的保护、电子证据的分析、展示阶段。 1)电子证据的确定和收集 要保存计算机系统的状态,避免无意识破坏现场,同时不给犯罪者破坏证据提供机会,以供日后分析。包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染,绘制计算机犯罪现场图、网络拓扑图等,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和还原犯罪现场提供直接依据。 获取证据从本质上说就是从众多的未知和不确定性中找到确定性的东西。,8.3 数字取证,2)电子证据的保护 这一阶段将使用原始数据的精确副本,应保证能显示存在于镜像中的所有数据,而且证据必须是安全的,有非常严格的访问控制。 3)电子证据的分析 具体包括:文件属性分析、文件数字摘要分析、日志分析、密码破译分析等。分析阶段首先要确定证据的类型,即: 使人负罪的证据,支持已知的推测; 辨明无罪的证据,同已知的推测相矛盾; 篡改证据,以证明计算机系统已被篡改而无法用来作证。 4)展示阶段 给出调查所得结论及相应的证据,供法庭作为公诉证

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号