網(wǎng)絡(luò)安全課件：第9章 安全審計(jì)與評(píng)估

第九章安全審計(jì)與評(píng)估

安全審計(jì)概述審計(jì)就是記錄用戶(hù)使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程。記錄的信息通常是存放在日志文件中的。審計(jì)是事故處理重要依據(jù)，為網(wǎng)絡(luò)犯罪行為和泄密行為提供證據(jù)。日志介紹不易讀懂?dāng)?shù)據(jù)量大不易獲取關(guān)聯(lián)困難Windows系統(tǒng)日志管理日志位置%systemroot%\system32\config默認(rèn)安全日志：SecEvent.EVT系統(tǒng)日志：SysEvent.EVT應(yīng)用程序：AppEvent.EVT安裝特殊應(yīng)用程序也會(huì)產(chǎn)生日志：如DNS、AD等事件查看器2-1事件查看器用來(lái)查看計(jì)算機(jī)中產(chǎn)生的日志打開(kāi)“事件查看器”的方法：%SystemRoot%\system32\eventvwr.msc/s3種類(lèi)別的日志應(yīng)用程序日志由應(yīng)用程序或系統(tǒng)程序記錄的事件安全日志記錄諸如有效和無(wú)效的登錄嘗試等事件，以及記錄與資源使用相關(guān)的事件系統(tǒng)日志W(wǎng)indows系統(tǒng)組件記錄的事件事件查看器2-2錯(cuò)誤：重要的問(wèn)題，如數(shù)據(jù)丟失或功能喪失警告：雖然不一定很重要，但是將來(lái)有可能導(dǎo)致問(wèn)題的事件信息：描述了應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操作的事件安全性日志審核成功：審核成功的行為，如登錄或者訪問(wèn)資源成功審核失?。簩徍耸〉男袨?，如登錄或者訪問(wèn)資源失敗事件查看器的使用清除所有事件保存日志文件查看另一臺(tái)計(jì)算機(jī)的日志篩選日志:例如右擊【系統(tǒng)】|【屬性】|【篩選器】日志分析及管理日志的功能用于記錄系統(tǒng)、程序運(yùn)行中發(fā)生的各種事件通過(guò)閱讀日志，有助于診斷和解決系統(tǒng)故障日志文件的分類(lèi)內(nèi)核及系統(tǒng)日志由系統(tǒng)服務(wù)syslog統(tǒng)一進(jìn)行管理，日志格式基本相似用戶(hù)日志記錄系統(tǒng)用戶(hù)登錄及退出系統(tǒng)的相關(guān)信息程序日志由各種應(yīng)用程序獨(dú)立管理的日志文件，記錄格式不統(tǒng)一日志分析及管理日志保存位置默認(rèn)位于：/var/log

目錄下主要日志文件介紹內(nèi)核及公共消息日志：/var/log/messages計(jì)劃任務(wù)日志：/var/log/cron系統(tǒng)引導(dǎo)日志：/var/log/dmesg郵件系統(tǒng)日志：/var/log/maillog用戶(hù)登錄日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/utmp……內(nèi)核及系統(tǒng)日志由系統(tǒng)服務(wù)syslogd統(tǒng)一管理軟件包：sysklogd-1.4.1-39.2主要程序：/sbin/klogd、/sbin/syslogd配置文件：/etc/syslog.conf[root@localhost~]#grep-v"^#"/etc/syslog.conf|grep-v^$*.info;mail.none;authpriv.none;cron.none /var/log/messagesauthpriv.* /var/log/securemail.* -/var/log/maillogcron.* /var/log/cron……設(shè)備類(lèi)別.日志級(jí)別消息發(fā)送位置內(nèi)核及系統(tǒng)日志日志消息的級(jí)別0EMERG（緊急）：會(huì)導(dǎo)致主機(jī)系統(tǒng)不可用的情況1ALERT（警告）：必須馬上采取措施解決的問(wèn)題2CRIT（嚴(yán)重）：比較嚴(yán)重的情況3ERR（錯(cuò)誤）：運(yùn)行出現(xiàn)錯(cuò)誤4WARNING（提醒）：可能會(huì)影響系統(tǒng)功能的事件5NOTICE（注意）：不會(huì)影響系統(tǒng)但值得注意6INFO（信息）：一般信息7DEBUG（調(diào)試）：程序或系統(tǒng)調(diào)試信息等數(shù)字越小，表示優(yōu)先級(jí)越高、問(wèn)題越嚴(yán)重[root@localhost~]#tail-5/var/log/messagesSep1411:22:44localhostkernel:sdb:cachedataunavailableSep1411:22:44localhostkernel:sdb:assumingdrivecache:writethroughSep1411:22:44localhostkernel:sdb:sdb1Sep1411:23:37localhostkernel:VFS:Can'tfindext3filesystemondevsdb1.Sep1416:54:48localhostNetworkManager:<information>starting...內(nèi)核及系統(tǒng)日志日志記錄的一般格式時(shí)間標(biāo)簽主機(jī)名子系統(tǒng)名消息字段用戶(hù)日志分析保存了用戶(hù)登錄、退出系統(tǒng)等相關(guān)信息/var/log/lastlog：最近的用戶(hù)登錄事件/var/log/wtmp：用戶(hù)登錄、注銷(xiāo)及系統(tǒng)開(kāi)、關(guān)機(jī)事件/var/run/utmp：當(dāng)前登錄的每個(gè)用戶(hù)的詳細(xì)信息/var/log/secure：與用戶(hù)驗(yàn)證相關(guān)的安全性事件分析工具who、w、user、last、ac程序日志分析由相應(yīng)的應(yīng)用程序獨(dú)立進(jìn)行管理Web服務(wù)：/var/log/httpd/access_log、error_log代理服務(wù)：/var/log/squid/access.log、cache.log、squid.out、store.logFTP服務(wù)：/var/log/xferlog……

分析工具文本查看、grep過(guò)濾檢索、Webmin管理套件中查看awk、sed等文本過(guò)濾、格式化編輯工具Webalizer、Awstats等專(zhuān)用日志分析工具日志管理策略及時(shí)作好備份和歸檔延長(zhǎng)日志保存期限控制日志訪問(wèn)權(quán)限日志中可能會(huì)包含各類(lèi)敏感信息，如賬戶(hù)、口令等集中管理日志便于日志信息的統(tǒng)一收集、整理和分析杜絕日志信息的意外丟失、惡意篡改或刪除日志管理策略應(yīng)用示例：調(diào)整syslogd服務(wù)設(shè)置，建立集中管理的日志服務(wù)器將客戶(hù)機(jī)B中crond服務(wù)產(chǎn)生的日志消息，自動(dòng)發(fā)送到服務(wù)器A的/var/log/cron文件中[root@localhost~]#vi/etc/s