收藏
下载资源

财务管理第4章安全审计与入侵检测

上传人:种**** 文档编号:260546239 上传时间:2022-02-28 格式:PPTX 页数:125 大小:2.26MB
返回 下载 相关 举报
财务管理第4章安全审计与入侵检测_第1页
第1页 / 共125页
财务管理第4章安全审计与入侵检测_第2页
第2页 / 共125页
财务管理第4章安全审计与入侵检测_第3页
第3页 / 共125页
财务管理第4章安全审计与入侵检测_第4页
第4页 / 共125页
财务管理第4章安全审计与入侵检测_第5页
第5页 / 共125页
亲,该文档总共125页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《财务管理第4章安全审计与入侵检测》由会员分享,可在线阅读,更多相关《财务管理第4章安全审计与入侵检测(125页珍藏版)》请在金锄头文库上搜索。

1、第 4 章 安全审计与入侵检测4.1 安全审计 4.1.1 安全审计概念 4.1.2 安全审计目的 4.1.3 安全审计内容 4.1.4 安全审计分类和过程 4.1.5 审计日志管理 4.1.6 安全审计系统的组成、功能与特点4.2 入侵检测 4.2.1 入侵检测概述 4.2.2 入侵检测侧方法 4.2.3 入侵检测系统的部署 4.2.4 入侵检测技术发展 4.2.5 与入侵检测有关的新技术4.1 安全审计n安全审计即是对安全方案中的功能提供持续的评估。安全审计可以为安全官员提供一组可进行分析的管理数据,以发现在何处发生了违反安全方案的事件。为了保证信息系统安全可靠的运行,需加强信息安全审计。

2、 4.1.1 安全审计概念 n从总体上说,安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。利用安全审计结果,可调整安全政策,堵住出现的漏洞。 安全审计日志n利用安全审计日志进行监控是一种更为主动的监督管理形式,它也是一种检测触犯安全规定事件的手段。 n出于它自身的重要性,安全审计日志和监控功能本身给安全带来了额外的威胁,因此必须加强对这类信息的保护。 n对安全审计日志和监控功能的使用也必须做审计记录,否则蓄谋作案的内部人员将有机可乘,逃脱审查。 安全审计和报警 n安全报警的

3、产生是检测到任何符合已定义报警条件的安全相关事件的结果。n安全审计和报警的实现,可能需要使用其他安全服务来支持安全审计和报警服务,并确保它们正确而有把握地运行。 n安全审计和报警服务与其他安全服务的不同之处在于没有单个的特定安全机制可以用于提供这种服务。 安全审计跟踪n安全审计跟踪是一种很有价值的安全机制,可以通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏的情况。 n安全审计需要安全审计跟踪与安全有关的记录信息,以及从安全审计跟踪中得到的分析和报告信息。 n日志或记录被视为一种安全机制,而分析和报告生成则被视为一种安全管理功能。 4.1.2 安全审计目的 n安全审计与报警的目

4、的是根据适当安全机构的安全策略,确保与开放系统互联的安全有关的事件得到处理,安全审计只在定义的安全策略范围内提供。 n具体的目的主要有: 辅助辨识和分析来经授权的活动或攻击;帮助保证那些实体响应行动处理这些活动;促进开发改进的损伤控制处理程序;认可与已建立的安全策略的一致性;报告那些可能与系统控制不相适应的信息;辨识可能需要的对控制、策略和处理程序的改变。 4.1.3 安全审计内容 n个人职能(Individual Accountability)。审计跟踪是管理人员用来维护个人职能的技术手段。 n事件重建(Reconstruction of Events)。在发生故障后,审计跟踪可以用于重建事

5、件和数据恢复。 n入侵检测(Intrusion Detection)。审计跟踪记录可以用来协助入侵检测工作。 n故障分析(Problem Analysis)。审计跟踪可以用于实时审计或监控。 4.1.4 安全审计分类和过程 n安全审计分类n按照审计对象分类 : 网络审计; 主机审计; 应用系统审计 。n按照审计方式分类: 人工审计;半自动审计;智能审计。n审计过程的实现 : 第一步,收集审计事件,产生审计记录; 第二步,根据记录进行安全事件的分析; 第三步,采取处理措施。审计范围包括操作系统和各种应用程序。 审计的工作流程 n根据相应的审计条件判断事件是否是审计事件。对审计事件的内容按日志的模

6、式记录到审计日志中。对满足报警条件的事件向审计员发送报警信息并记录其内容。当事件在一定时间内频繁发生,满足逐出系统的条件值时,则将引起该事件的用户逐出系统并记录其内容。审计员可以查询、检索审计日志以形成审计报告。 4.1.5 审计日志管理 n审计日志是记录信息系统安全状态和问题的依据,各级信息系统必须制定保存和调阅审计日志的管理制度。 n忽视日志管理很快会变成严重的问题,日志管理是确保记录长期稳定和有用的过程。 日志的内容 n基于安全观点考虑,理想的日志应该包括全部与数据、程序以及与系统资源相关事件的记录。 n实际上,这样的日志只能适用于某些有特殊需要的系统,因为它所付出的代价太大,因此,最好

7、根据系统的安全目标和操作环境单独设计日志。 n日志中的典型信息列举如下:事件的性质;全部相关组件的标识;有关事件的信息。 日志的作用 n当雇员涉嫌欺骗、贪污或有其他非法使用系统的行为时,日志可以为调查处理工作提供有效的证明。 n日志还可以作为责任认定的依据,当发生责任纠纷时,查阅日志不失是一种好方法。 n另外,日志作为系统运行记录集,对分析系统画了情况、排除故障和提高效率都会起到很好的帮助作用。 日志的管理方法 n日志管理最典型的方法是日志轮转,即将旧的、已写满的日志文件移到一边,新的空日志文件占用它们的位置。 n正确轮转日志以后,还必须注意备份。 n经常是已经发现了攻击,要回过头来看看攻击者

8、还要试图做什么。要完成这一点,需要对日志做索引;需要滚动旧的日志以离线存储;需要检索离线日志,并尽可能快地找出合适的日志项。 4.1.6 安全审计系统的组成、功能与特点 1安全审计系统的组成n典型的安全审计系统包括:事件辨别器:提供事件的初始分析,并决定是否把该事件传送给审计记录器或报警处理器;事件记录器:将接受来的消息生成审计记录,并把此记录存入一个安全审计跟踪;报警处理器:产生一个审计消息,同时产生合适的行动以响应一个安全报警;审计分析器:检查安全审计跟踪,生成安全报警和安全审计消息;审计跟踪验证器:从安全审计跟踪产生出安全审计报告;审计提供器:按照某些准则提供审计记录;审计归档器:将安全

9、审计跟踪归档;审计跟踪收集器:将一个分布式安全审计跟踪的记录汇集成一个安全审计跟踪;审计调度器:将分布式安全审计跟踪的某些部分或全部传输到该审计调度器。 2安全审计系统的基本功能 n内容审计系统。内容审计系统专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;并可实时监控网络资源使用情况,提高整体工作效率。 该系统一般具有如下功能: 对用户的网络行为监控、网络传输内容审计 掌握网络使用情况,提高工作效率 网络传输信息的实时采集、海量存储、统计分析 网络行为后期取证,对网络潜在威胁者予以威慑 安全审计系统的基本功能(续)n日志审计系统。日志审计系统为不同的网设备及系统提供了统

10、一的日志管理分析平台,打破了组织中不同设备及系统之间存在的信息鸿沟。 该系统一般具有如下功能: 全面支持安全设备(如防火墙,IDS、AV)、网络设备(如Router、Switch)、应用系统(如WEB、Mail、Ftp、Database)、操作系统(如Windows、Linux、Unix)等多种产品及系统日志数据的收集和分析。 帮助管理员对网络事件进行深度的挖掘分析,系统提供多达300多种的报表模板,支持管理员从不同角度进行网络事件的可视化分析。同时系统还支持对网络设备、主机、系统应用、多种网络服务的全面监视。 提供全局安全视图,帮助管理员发现网络、系统及应用中存在的安全漏洞和隐患,并进行不断

11、改进。 可自定义安全事件的危险级别,并实现基于EMAIL,铃声、手机短信等多种响应方式。 3安全审计系统的特点 n具有Client/Server结构,便于不同级别的管理员通过客户端,针对不同的业务网段进行审计工作。 n力求得到被审计网络中的硬/软件资源的使用信息,使管理人员以最小的代价、最高的效率得到网络中资源的使用情况,从而制定网络维护和升级方案。 n审计单元向审计中心汇报工作以及审计中心向下一级部门索取审计数据。 n提供实时监控功能。 n事后的取证、分析。使用历史记录可以取得特定工作站、时间段或基于其他特定系统参数下,主机、服务器和网络的使用信息;基于这些历史记录可以进行某些统计、分析操作

12、。 n可自动进行审计工作,降低管理员工作压力。 4.2 入 侵 检 测 n入侵检测是安全审计的重要内容之一,是网络安全防护的重要组成部分。入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。它从计算机系统或者网络中收集、分析信息,检测任何企图破坏计算机资源的完整性(Integrity)、机密性(Confidentiality)和可用性( Availability )的行为,即查看是否有违反安全策略的行为和遭到攻击的迹象,并做出相应的反应。 4.2.1 入侵检测概述 1入侵检测概念n入侵是指任何企图危机资源的完整性、机密性和可用性的活动,不仅包括发起攻击的人取得超出合法范围的系

13、统控制权,也包括收集漏洞信息,造成拒绝服务等对计算机系统产生危害的行为。 n入侵检测(Intrusion Detection)的定义是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 入侵检测系统n入侵检测系统IDS(Intrusion Detection System)是试图实现检测入侵行为的计算机系统,包含计算机软件和硬件的组合。n入侵检测系统具有更多的智能,对系统进行实时监控,获取系统的审计数据或网络数据包,然后将得到的数据进行分析,并判断系统或网络是否出现异常或入侵行为,一旦发现异常或入侵情

14、况,发出报警并采取相应的保护措施。 入侵检测是一种动态的网络安全技术 n它利用各种不同类型的引擎,实时或定期的对网络中相关的数据源进行分析,依照引擎对特殊的数据或事件的认识,将其中具有威胁性的部分提取出来,并触发响应机制。 n入侵检测的动态性反映在入侵检测的实时性,对网络环境的变化具有一定程度上的自适应性,这是以往静态安全技术无法具有的。 2入侵检测原理模型 nDenning模型 图4-1 Denning入侵检测模型 上图模型中包含6个主要部分: 实体(Subjects):在目标系统上活动的实体,如用户。 对象(Objects):指系统资源,如文件、设备、命令等。 审计记录(Audit rec

15、ords):由主体、活动(Action)、异常条件(Exception-Condition)、资源使用状况(Resource-Usage)和时间戳(Time-Stamp)等组成。 活动档案(Active Profile):即系统正常行为模型,保存系统正常活动的有关信息。 异常记录(Anomaly Record):由事件、时间戳和审计记录组成,表示异常事件的发生情况。 活动规则(Active Rule):判断是否为入侵的准则及相应要采取的行动。2入侵检测原理模型(续) nCIDF模型 图4-2 CIDF入侵检测模型 2入侵检测原理模型(续) 上图所示的模型中,入侵检测系统分为4个基本组件: 事件

16、产生器的任务是从入侵检测系统之外的计算环境中收集事件,但并不分析它们,并将这些事件转换成CIDF的GIDO格式传送给其他组件; 事件分析器分析从其他组件收到的GIDO,并将产生的新的GIDO再传送给其他组件; 事件数据库用来存储GIDO,以备系统需要的时候使用; 响应单元处理收到的GIDO,并根据处理结果,采取相应的措施,如杀死相关进程、将连接复位、修改文件权限等。 2入侵检测原理模型(续) 3入侵响应机制 n入侵响应是入侵检测技术的配套技术,一般的入侵检测系统会同时使用这两种技术。n入侵响应技术可分为主动响应和被动响应两种类型。 n主动响应和被动响应并不是相互排斥的。不管使用哪一种响应机制,作为任务的一个重要部分,入侵检测系统应该总能以日志的形式记录下检测结果。 (1)主动响应 n主动响应,即检测到入侵后立即采取行动。 n主动响应有两种形式:一种是由用户驱动的,一种是由系统本身自动执行的。 n对入侵者采取反击行动、修正系统环境和收集尽可能多的信息是主动响应的基本手段。 对入侵者采取反击行动 n警告攻击者、跟踪攻击者、断开危险连接和对攻击者的攻击是最严厉的一种主动反击手段。 n这种响应

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 总结/报告

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号