《审计与管理课件》由会员分享,可在线阅读,更多相关《审计与管理课件(49页珍藏版)》请在金锄头文库上搜索。
1、安全审计与管理安全审计与管理1审计与管理问题的提出70%的安全问题起源于管理几乎所有的安全事件的查处和追踪依赖系统事件记录系统资源的改善需要历史经验2审计与管理审计概念:根据一定的策略记录系统活动,这些记录足以重构、评估、审查环境和活动的次序,这些环境和活动在一项事务的开始到最后结束期间能够围绕或导致一项操作、一个过程或一个事件。作用:对潜在的攻击者起到震摄或警告对于已经发生的系统破坏行为提供有效的追纠证据为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞3审计与管理应用实例1- NT 的安全审计在NT 中可以对如下事件进行安全审计登录及注销文件及对象
2、访问用户权力的使用、用户及组管理安全策略更改重新启动、关机及系统过程追踪等4审计与管理NT安全审计方法利用NT 的用户管理器,可以设置安全审计规则。要启用安全审计功能,只需在规则菜单下选择审计,然后通过查看NT 记录的安全性事件类型的事件,可以跟踪所选用户的操作。5审计与管理NT 的审计规则如下(既可以审计成功的操作,又可以审计失败的操作):登录及注销:登录及注销或连接到网络文件及对象访问:访问设置用于文件或目录审计的目录或文件的用户向设置用于打印机审计的打印机发送打印作业用户6审计与管理用户及组管理:创建更改或删除用户帐号或组:重命名、禁止或启用用户号;或者设置和更改密码。安全性规则更改:对
3、用户权利、审计或委托关系规则的改动。重新启动、关机及系统:用户重新启动或关闭计算机;或者发生了一个影响系统安全性或安全日志的事件。7审计与管理进程追踪:这些事件提供了关于事件的详细跟踪信息,如程序活动,某些形式句柄的复制,间接对象的访问和退出进程。对于“文件及对象访问”中的文件和目录的审计还需要在资源管理器中对要审计的目录或文件具体进行设置。8审计与管理文件和目录审计允许您跟踪目录和文件的用法。对于一个具体的文件或目录,可以指定要审计的组、用户或操作。既可以审计成功的操作,又可以审计失败的操作。审计目录可以选择下列事件:读、写、执行、删除、更改权限、获得所有权。9审计与管理WindowsXP的
4、安全审计策略10审计与管理NT 日志文件名称:/WINNT/SYSTEM32/CONFIG/.SysEvent.evt.SecEvent.evt.AppEvent.evt打开工具:程序/管理工具/事件查看器11审计与管理系统日志例子日期 时间 来源 分类 事件 用户 计算机01-3-31 Am02:05:04 Srv 无 2013 N/A Imok01-3-31 Am01:51:23 EventLog 无 6005 N/A Imok01-3-31 Am01:32:14 Browser 无 8033 N/A Imok12审计与管理应用日志13审计与管理安全日志14审计与管理其他日志Ftp日志Ht
5、tp日志Snmp日志SQL Server日志15审计与管理应用实例2-UNIX 的安全审计Unix的日志文件主要目录:/etc/etc/security/usr/adm :早期版本/var/adm :近期版本/var/log16审计与管理UNIX安全审计主要工具:AuthdDump_lastloglogdaemomloginlog.c.ZnetlogNOCOL/NetConsoleSparsunrogate-syslogchklastlogchkwtmptrimlog17审计与管理UNIX安全审计主要工具L5traceroutstartUplogsupersavebootloggerin18审
6、计与管理UNIX安全审计Unix的日志文件(主要文件):acct pacct ;记录所有用户使用过的文件lastlog ;记录最新登录时间成/败message ;记录syslog产生的输出到控制台的信息Sulog ;使用su命令的记录Utmp ;记录当前登录进系统的用户信息Wtmp ;提供一份详细每次用户登录和退出的历史信息文件HOME/.sh history ;用户登录进系统后执行的所有命令19审计与管理审计实例3-防火墙日志审计1. 选择日志文件点击日志按钮后程序将从日志文件中读出日志列表用户可以根据日志列表中的起始和终止时间选择要查询的文件界面如下20审计与管理日志审计21审计与管理日志
7、审计2. 设置日志审计条件选择要查询的日志文件后会出现如后一页所示界面,用户可以根据查询时间(起始、结束)、 访问方向(any、 in、 out)、过滤动作(any、 pass、 deny) 网络协议(IP、 TCP、 UDP、ICMP 、ESP )、出访IP地址、出访端口、受访IP地址受访端口等限定条件,迅速、准确的找到想察看的日志信息。22审计与管理日志审计23审计与管理日志审计3. 查看日志审计内容用户可以根据需要设置好查询条件后点击确定按钮如下一页图所示系统将列出详细的日志记录信息下面列举其中一行进行说明开始时间:3-22|10:04 结束时间:3-22|10:09 过滤动作:pass
8、 网络协议:TCP 出访地址:端口: 192.168.100.156:1357受访地址:端口: 162.105.100.166:80连接报文数: 65 访问方向: out经过网卡: 外卡 以上信息说明在3月22日上午10 04至10 09之间内网一台IP地址为192.168.100.156的主机向外网IP地址为162.105.100.166的主机发起了访问(由于受访端口是80 正常应该是进行了Web浏览) 其间共有65个TCP报文经由外网卡离开防火墙24审计与管理日志审计25审计与管理安全管理技术什么是安全管理?安全管理是指在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全措施
9、,来保障系统和信息的安全性26审计与管理安全管理目标使用访问控制机制,阻止非授权用户进入网络,从而保证网络系统的可用性。使用授权机制,实现对用户的权限控制,用户不能得到不属于用户权限范围的信息或操作,同时结合内容审计机制,实现对网络资源及信息的可控性。27审计与管理使用加密机制,确保信息不暴漏给未授权的实体或进程,从而实现信息的保密性。使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而未授权用户无法修改,从而确保信息的完整性。28审计与管理使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者无法否认,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。29
10、审计与管理安全管理原则有限授权原则防问控制原则使用日志原则审计原则分离与制约原则30审计与管理有限授权原则应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。31审计与管理访问控制原则对主体访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)32审计与管理使用日志原则将使用系统的有关操作记录在某些文件中日志内容应包括软件及磁盘错误记录登录系统及退出系统的时间用户标识符用户权限以及属于系统管理员权限范围的操作33审计与管理审计原则计算机系统能创建和维护受保护客体的访问审计跟踪记录,并能阻止非
11、授权的用户对它访问或破坏。一般应能记录下述事件:删除客体:由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。34审计与管理分离与制约原则将用户与系统管理人员分离将系统管理人员与软件开发人员分离;将系统的开发与系统运行分离将密钥分离管理将系统访问权限分级管理35审计与管理安全管理规则面对信息安全的脆弱性,必须加强网络的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。36审计与管理安全措施必须落实到每天的使用和管理中。首先,要明确安全责任负责人。一般情况下,网络管理员负责网络安全责任。如果有多个管理员,
12、应明确责任范围,安全责任人必须熟悉诸如防火墙的配置使用等安全技术知识。37审计与管理对于安全要求高的场合,还必须做到:对安全负责人进行严格的检查筛选,以确保其责任心及技术合格新雇用的系统管理员不能被赋予全部安全责任。只有在使用中逐渐了解后才不断增加权限系统对外连接必须使用防火墙或安全网关,以保证分散的公共用户通过远程接入可访问的机器必须与内部网重要信息记者机器从物理上分离38审计与管理本地安全策略用于配置本地计算机的安全设置。这些设置包括:密码策略帐户锁定策略审核策略IP 安全策略用户权利指派39审计与管理加密数据的恢复代理以及其他安全选项。在Windows2000中,本地安全策略只有在不是域
13、控制器的Windows 2000 计算机时上才可用。如果计算机是域的成员,这些设置将被从域收到的策略替代。40审计与管理怎样检测系统入侵察看登录用户和活动进程w, who, finger ,last 命令ps , crash寻找入侵的痕迹last, lastcomm, netstat, lsof,/var/log/syslog,/var/adm/messages, /.history查找最近被修改的文件 :find检测sniffer 程序ifconfig, cpm有用的工具 tripware,cops, cpm, tcpdump,41审计与管理l入侵的迹象可以从几个方面来检查:l 物理检查:物
14、理检查:l 检查是否有非授权接触、使用网络系统的行为;l 检查网络系统是否保持其物理完整性,有关硬件设备不多也不少;l 系统或网络活动检查:系统或网络活动检查:l 检查主机系统、网络的日志以及各种网络服务的日志,注意利于信息收集l或存在较多安全隐患的命令的执行,如rm, finger, /bin/sh,检查是否有可疑的行l为;是否有频繁的或特殊的错误记录,比如频繁的口令错误,访问关键系统文l件、端口被拒绝等;l 检查主机系统、网络的各种报警信息;l 注意考察异常的主机系统、网络行为;l 检查文件系统的完整性检查文件系统的完整性,l包括关键系统文件和重要的网络服务器的信息等内容。需要提醒的是,在
15、使用l辅助工具之前必须确认用以辅助检查的安全工具本身的安全性。 注意通过其他途径从侧面收集入侵信息,比如注意用户的反馈意见。 42审计与管理43攻击取证和报告l系统取证 Syslog系统日志 Netstat连接情况 CPU、Mem使用情况 网络取证 Tcpdump 路由器、防火墙纪录 入侵检测系统 报告责任方 对方CERT或本辖区CERT 对方责任人whois43审计与管理怎样从被攻破的系统中恢复重新获得控制权从网络中断开备份被攻破的系统镜像分析入侵寻找被修改的程序或配置文件# find / ( -perm -004000 -o -perm -002000 ) -type f -print寻找
16、被修改的数据,如web pages, 寻找入侵者留下的工具和数据sniffer, Trojan Horses, backdoor检查日志文件 messages, xferlog,utmp,wtmp, /.history 44审计与管理怎样从被攻破的系统中恢复寻找sniffer: cpm, ifstatus 检查其他的系统是否也被入侵与相关的IRT联系报告, 申请援助、调查通知相关站点恢复安装一份干净的操作系统关掉所有不必要的服务安装所有的补丁45审计与管理怎样从被攻破的系统中恢复查阅IRT相关的公告谨慎使用数据备份修改所有用户口令提高系统的安全性根据UNIX / NT的安全配置指南文件检查系统
17、安全性检查工具与文档安装安全工具激活记账功能配置防火墙46审计与管理怎样从被攻破的系统中恢复重新连接到INTERNET更新你的安全政策记录从事件中吸取的教训计算损失修改安全策略47审计与管理审计与计算机犯罪的关系建立审计跟踪,防范计算机犯罪利用审计跟踪,揭露可能的计算机犯罪根据审计跟踪,排查计算机犯罪依据审计跟踪,打击计算机犯罪48审计与管理lNT系统安全配置指南, CIAC-2317lUnix 系统安全配置指南, CIAC-2305 RFC 2196 : Site Security HandbooklCISCO 路由器安全配置, CIAC-2319l计算机安全应急响应组(CSIRT)手册RFC 2350 : Expectations for Computer Security Incident Response.49审计与管理
