《信息系统安全技术--安全审计与日志分析》由会员分享,可在线阅读,更多相关《信息系统安全技术--安全审计与日志分析(61页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全技术-安全审计与日志分析何长龙 高级工程师目 录w专业安全审计系统体系结构分析 w网络信息系统安全审计综述 w审计与日志分析 w审计结果分析安全审计系统的必要性w一旦我们采用的防御体系被突破怎么办 ?至少我们必须知道系统是怎样遭到攻 击的,这样才能恢复系统,此外我们还 要知道系统存在什么漏洞,如何能使系 统在受到攻击时有所察觉,如何获取攻 击者留下的证据。网络安全审计的概念 就是在这样的需求下被提出的,它相当 于飞机上使用的“黑匣子”。 安全审计系统的必要性(续)w在TCSEC和CC等安全认证体系中,网络安全审 计的功能都是方在首要位置的,它是评判一个 系统是否真正安全的重要尺码。
2、因此在一个安 全网络系统中的安全审计功能是必不可少的一 部分。网络安全审计系统能帮助我们对网络安 全进行实时监控,及时发现整个网络上的动态 ,发现网络入侵和违规行为,忠实记录网络上 发生的一切,提供取证手段。它是保证网络安 全十分重要的一种手段。 CC标准中的网络安全审计功能定义 w网络安全审计包括识别、记录、存储、分析与 安全相关行为有关的信息。国际标准化组织 (ISO)和国际电工委员会(IEC)发表了【信息技 术安全性评估通用准则2.0版】 (ISO/IEC15408),俗称CC准则,目前它已被广 泛地用于评估一个系统的安全性。在这个标准 中对网络审计定义了一套完整的功能,有:安 全审计自
3、动响应、安全审计数据生成、安全审 计分析、安全审计浏览、安全审计事件存储、 安全审计事件选择等。 安全审计自动响应 w安全审计自动响应定义在被测事件指示 出一个潜在的安全攻击时作出的响应, 它是管理审计事件的需要,这些需要包 括报警或行动,例如包括实时报警的生 成、违例进程的终止、中断服务、用户 帐号的失效等。根据审计事件的不同系 统将作出不同的响应。其响应方式可作 增加、删除、修改等操作。 安全审计数据生成 w该功能要求记录与安全相关事件的出现 ,包括鉴别审计层次、列举可被审计的 事件类型、以及鉴别由各种审计记录类 型提供的相关审计信息的最小集合。系 统可定义可审计事件清单,每个可审计 事件
4、对应于某个事件级别,如低级、中 级、高级。 产生的审计数据有以下几方面 w对于敏感数据项(例如,口令通行字等 )的访问 w目标对象的删除 w访问权限或能力的授予和废除 w改变主体或目标的安全属性 w标识定义和用户授权认证功能的使用 w审计功能的启动和关闭 w 每一条审计记录中至少应所含 以下信息:w事件发生的日期、时间、事件类型、主 题标识、执行结果(成功、失败) 、引 起此事件的用户的标识以及对每一个审 计事件与该事件有关的审计信息。 安全审计分析 w此部分功能定义了分析系统活动和审计 数据来寻找可能的或真正的安全违规操 作。它可以用于入侵检测或对安全违规 的自动响应。当一个审计事件集出现或
5、 累计出现一定次数时可以确定一个违规 的发生,并执行审计分析。事件的集合 能够由经授权的用户进行增加、修改或 删除等操作。 安全审计分析类型w潜在攻击分析 w基于模板的异常检测 w简单攻击试探 w复杂攻击试探等几种类型。 安全审计分析类型(续)w潜在攻击分析:系统能用一系列的规则监控审 计事件,并根据这些规则指示系统的潜在攻击 ; w基于模板的异常检测:检测系统不同等级用户 的行动记录,当用户的活动等级超过其限定的 登记时,应指示出此为一个潜在的攻击; w简单攻击试探:当发现一个系统事件与一个表 示对系统潜在攻击的签名事件匹配时,应指示 出此为一个潜在的攻击; w复杂攻击试探:当发现一个系统事
6、件或事迹序 列与一个表示对系统潜在攻击的签名事件匹配 时,应指示出此为一个潜在的攻击。安全审计浏览 该功能要求审计系统能够使授权的用户有 效地浏览审计数据。包括:审计浏览、有限审 计浏览、可选审计浏览。 w审计浏览 提供从审计记录中读取信息的服务 ; w有限审计浏览 要求除注册用户外,其他用户 不能读取信息; w可选审计信息 要求审计浏览工具根据相应的 判断标准选择需浏览的审计数据。安全审计事件选择 w系统能够维护、检查或修改审计事件的 集合,能够选择对哪些安全属性进行审 计,例如:与目标标识、用户标识、主 体标识、主机标识或事件类型有关的属 性。系统管理员将能够有选择地在个人 识别的基础上审
7、计任何一个用户或多个 用的动作。 安全审计事件存储 w系统将提供控制措施以防止由于资源的 不可用丢失审计数据。能够创造、维护 、访问它所保护的对象的审计踪迹,并 保护其不被修改、非授权访问或破坏。 审计数据将受到保护直至授权用户对它 进行的访问。 安全审计事件存储(续)它可保证某个指定量度的审计记录被维护,并不 受以下事件的影响: w审计存储用尽; w审计存储故障; w非法攻击; w其他任何非预期事件。系统能够在审计存储发生故障时采取相应的动 作,能够在审计存储即将用尽时采取相应的动 作。 网络安全审计层次结构图 网络层审计系统层审计应用层审计TCP/IP、ATMUNIX、Windows 9x
8、/NT、ODBC审计总控CA发证操作主页更新监视安全审计系统体系结构示意图 安全审计系统的典型配置示意图 Mail Server DNS Server DB Server Application Server Work station 路由器 防火墙 审计设备1 审计设备2 审计软件 Agent 服务网 内部网 Application Server Web Server Search Server 审计中心 审计与日志分析w审计与日志分析的参考标准 w防火墙和路由器等网络和网络安 全设备日志 w通用操作系统日志 w日志过滤 w可疑的活动分析审计结果w参考审计执行过程 w建立设计报告库 w安全审
9、计和安全标准 w建议性审计解决方案建议审计执行过程w为了能够确定安全策略和实施情况的差 距,建议采用特定方法继续进行有效的 审计; w抵御和清除病毒,蠕虫和木马,修补系 统漏洞;建议改善和增强如下内容:w重新配置路由器; w添加和重新配置防火墙规则; w升级操作系统补丁类型; w升级已有的和不安全的服务; w加强网络审核; w自动实施和集中管理网络内部和边界安 全;建议改善和增强如下内容(续 )w增加入侵检测和网络监控产品; w增强物理安全; w加强反病毒扫描; w加强用户级别的加密; w删除不必要的用户账号,程序和服务;等等具体改善建议分分类类类类改善改善防火墙保证访问 控制规则为 最小、正
10、确和有效的设置; 保证NAT、冲定向等为最小、正确和有效设置; 扫描DMZ区域内有问题 的主机和服务器。 入侵检 测随时升级和更新入侵检测 系统的规则 ; 识别 需要检测 的内容。主机和个 人安全实施用户级别 的加密; 在单个客户端上安装“个人防火墙”来锁定端口和减小风险 。 强制实 施安全策 略安装监视软 件,如Axrent的企业级 安全管理器; 对物理安全进行有规律的审计 。建议设计审计报告库在安全审计报告中应该包括:w总体评价现在的安全级别:你应该给出 低、中、高的结论,包括你监视的网络 设备的简要评价(例如:大型机、路由 器、NT系统、UNIX系统等等); w对偶然的、有经验的和专家级
11、的黑客入 侵系统作出时间上的估计; w简要总结出你的最重要的建议;在安全审计报告中应该包括(续 )w详细列举你在审计过程中的步骤:此时可以提 及一些在侦查、渗透和控制阶段你发现的有趣 问题; w对各种网络元素提出建议,包括路由器、端口 、服务、登陆账户、物理安全等等; w讨论物理安全:许多网络对重要设备的摆放都 不注意。例如,有的公司把文件服务器置于接 待台的桌子后,一旦接待人员离开,则服务器 便暴露在网络攻击下。有一次,安全设计人员 抱着机器离开,安全守卫还帮了忙; w安全审计领域内使用的术语。在安全审计报告中应该包括(续 )w最后,记着递交你的审计报告。因为安 全审计涉及了商业和技术行为,
12、所以应 该把你的报告递交给两方面的负责人。 如果你采用电子邮件的方式递交报告, 最好对报告进行数字签名和加密。持续审计的可以采取的有效步骤w定义安全策略 w建立对特定任务负责的内部组织 w对网络资源进行分类 w为雇员建立安全指导 w确保个人和网络系统的物理安全 w保障网络主机的服务和操作系统安全持续审计的可以采取的有效步骤w加强访问控制机制 w建立和维护系统 w确保网络满足商业目标 w保持安全策略的一致性 w重复的过程安全审计和安全标准安全审计可参考的标准wISO 7498-2 w英国标准7799(BS 7799) wISO 15408 (Common Criteria,CC)ISO 7498
13、wISO建立了7498系列标准来帮助网络实施 标准化。其中第二个文件7498-2描述了 如何确保站点安全和实施有效的审计计 划。它是第一篇论述如何系统的达到网 络安全的文章,大家可以从: WWW.ISO.CH获得更多的ISO标准的消 息。英国标准7799(BS 7799)wBS 7799文档的标题是A Code of Practice For Information Security Management,论述了如何确保网络系 统安全。 w1999年的版本有两个部分,BS 7799-1论 述了确保网络安全所采取的步骤; wBS 7799-2讨论了在实施信息安全管理系 统(ISMS)是应采取的步
14、骤。ISO 17799w虽然BS 7799是英国标准,但由于它可以帮助 网络专家设计实施计划并提交结果,所以很多 非英国的安全人士也接受这一标准。 wISO 17799 于2000年12月出版,它是适用于所 有的组织,建议成为强制性的安全标准。它是 基于 BS7799 之上的,BS7799 1995年2月首版 ,最后一次修订和改进是在1999年5月 ISO 17799概述wISO 17799 在安全问题的范围上是全面 的。它包含大量实质性的控制要求,有些 是极其复杂的。 w要符合ISO 17799,或其他真正的任何详 细安全标准,都不是一项简单的事情。 甚至对于最有安全意识的组织来说,认 证就
15、更令人头痛了。 什么是ISO 17799 ?wISO17799 是一个详细的安全标准。包 括安全内容的所有准则,由十个独立的 部分组成, 每一节都覆盖了不同的主题 和区域。 1、商业持续规划这节的主要内容包括: 1)防止商业活动的中断; 2)防止关键商业过程免受重大失误或灾难 的影响。2、系统访问控制这节的主要内容有: 1)控制访问信息; 2)阻止非法访问信息系统 ; 3)确保网络服务得到保护 ; 4)阻止非法访问计算机; 5)检测非法行为; 6)保证在使用移动计算机和远程网络设备时信 息的安全3、系统开发和维护这节的主要内容有: 1 ) 确保信息安全保护深入到操作系统中 ; 2 ) 阻止应用
16、系统中的用户数据的丢失, 修改或误用; 3 ) 确保信息的保密性,可靠性和完整性 ; 4 ) 确保IT项目工程及其支持活动是在安 全的方式下进行的; 5 ) 维护应用程序软件和数据的安全。 4、物理和环境安全这部分的主要内容有: w阻止对业务机密和信息非法的访问,损 坏干扰; w阻止资产的丢失,损坏或遭受危险,使 业务活动免受干扰; w阻止信息和信息处理设备的免受损坏或 盗窃。 5、符合性这部分的主要内容有: w 避免违背刑法、民法、条例或契约责任 、以及各种安全要求; w 确保组织系统符合安全方针和标准; w 使系统审查过程的绩效最大化,并将干 扰因素降到最小。6、人员安全这部分的主要内容包括: w减少错误,偷窃,欺骗或资源误用等人 为风险; w确保使用者了解信息安全的威胁和,在 他们的正常的工作中有相应的训练,以 便利于信息安全政策的贯彻和实施; w通过从以前事件和故障中汲取教训,最 大限度降低安全的损失。7、安全组织这节的主要内容包括: w 在公司内部管理信息安全; w 保持组织的信息
