安全審計的基礎(chǔ)知識_第1頁
安全審計的基礎(chǔ)知識_第2頁
安全審計的基礎(chǔ)知識_第3頁
安全審計的基礎(chǔ)知識_第4頁
安全審計的基礎(chǔ)知識_第5頁
已閱讀5頁,還剩25頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

安全審計

第一頁,共三十頁。安全審計

審計技術(shù)出現(xiàn)在計算機技術(shù)之前,是產(chǎn)生和記錄并檢查按時間順序排列的系統(tǒng)事件記錄過程。安全審計是計算機和網(wǎng)絡(luò)安全的重要組成部分。安全審計提供的功能服務(wù)于直接和間接兩方面的安全目標:1.直接的安全目標包括跟蹤和監(jiān)測系統(tǒng)中的異常事件2.間接的安全目標是檢測系統(tǒng)中其他安全機制的運行情況和可信度第二頁,共三十頁。審計的目標確定和保持系統(tǒng)活動中每個人的責(zé)任確認重建事件的發(fā)生評估損失監(jiān)測系統(tǒng)問題區(qū)提供有效的災(zāi)難恢復(fù)依據(jù)提供阻止不正當使用系統(tǒng)行為的依據(jù)提供案件偵破證據(jù)安全審計系統(tǒng)的目標至少要包括以下幾個方面:第三頁,共三十頁。審計系統(tǒng)的組成第四頁,共三十頁。日志記錄的原則

在理想情況下,日志應(yīng)該記錄每個可能的事件,以便分析發(fā)生的所有事件,并恢復(fù)任何時刻進行的歷史情況。但這樣存儲量過大,并且將嚴重影響系統(tǒng)的性能。因此。日志的內(nèi)容應(yīng)該是有選擇的。一般情況下日志的記錄應(yīng)該滿足如下的原則:(1)日志應(yīng)該記錄任何必要的事件,以檢測已知的攻擊模式。(2)日志應(yīng)該記錄任何必要的事件,以檢測異常的攻擊模式。(3)日志應(yīng)該記錄關(guān)于記錄系統(tǒng)連續(xù)可靠工作的信息。第五頁,共三十頁。日志的內(nèi)容審計功能的啟動和關(guān)閉使用身份鑒別機制將客體引入主體的地址空間刪除客體管理員、安全員、審計員和一般操作人員的操作其他專門定義的可審計事件

日志系統(tǒng)根據(jù)安全要求記錄上面事件的部分或全部。通常,對于一個事件,日志應(yīng)包括事件發(fā)生的日期和時間、引發(fā)事件的用戶(地址)事件、和源目的的位置、事件類型、事件成敗等。第六頁,共三十頁。記錄機制

不同的系統(tǒng)可采用不同的機制記錄日志。但大多情況可用系統(tǒng)調(diào)用Syslog來記錄日志,也可用SNMP記錄。下面簡單介紹下Syslog:

Syslog由Syslog守護程序、Syslog規(guī)則集及Syslog系統(tǒng)調(diào)用三部分組成,如下圖:第七頁,共三十頁。安全審計分析(1)潛在侵害分析:日志分析應(yīng)能用一些規(guī)則去監(jiān)控審計事件,并根據(jù)規(guī)則發(fā)現(xiàn)潛在的入侵。(2)基于異常檢測的輪廓:確定正常行為輪廓,當日志中的事件違反它或超出他的一定門限,能指出將要發(fā)生的威脅。(3)簡單攻擊探測:對重大威脅特征有明確描述,當攻擊現(xiàn)象出現(xiàn),能及時指出。(4)復(fù)雜攻擊檢測:要求高的日志分析系統(tǒng)還應(yīng)能檢測到多部入侵序列,當攻擊序列出現(xiàn),能預(yù)測其發(fā)生的步驟。日志分析就是在日志中尋找模式,其主要內(nèi)容:第八頁,共三十頁。審計事件查閱

由于審計系統(tǒng)是追蹤、恢復(fù)的直接依據(jù),甚至是司法依據(jù),因此其自身的安全性十分重要。審計系統(tǒng)的安全性主要是查閱和存儲的安全。審計事件的查閱應(yīng)該受到嚴格的限制,不能篡改日志。通常通過以下不同的層次來保證查閱的安全。(1)審計查閱:審計系統(tǒng)以可理解的方式為授權(quán)用戶提供查閱日志和分析結(jié)果的功能。(2)有限審計查閱:審計系統(tǒng)只能提供對內(nèi)容的讀權(quán)限,因此應(yīng)拒絕具有讀以外權(quán)限的用戶訪問審計系統(tǒng)。(3)可選審計查閱:在有限審計查閱的基礎(chǔ)上限制查閱的范圍。第九頁,共三十頁。審計事件存儲審計事件的存儲也有安全性的要求,具體有如下幾種情況。(1)受保護的審計蹤跡存儲:即要求存儲系統(tǒng)對日志事件具有防護功能,防止未授權(quán)的修改和刪除,并具有檢測修改和刪除的能力。(2)審計數(shù)據(jù)的可用性保證:在審計存儲系統(tǒng)遭受意外時,能防止或檢測審計記錄的修改,在存儲介質(zhì)存滿或存儲失敗時,能確保記錄不被破壞。(3)防止審計數(shù)據(jù)丟失:在審計蹤跡超過預(yù)定的門限或記滿時,應(yīng)采取相應(yīng)的措施防止數(shù)據(jù)丟失。這種措施可以是忽略可審計事件、只允許記錄有特殊權(quán)限的事件、覆蓋以前記錄、停止工作等等。第十頁,共三十頁。安全審計應(yīng)用實例第十一頁,共三十頁。1.NT審計子系統(tǒng)結(jié)構(gòu)幾乎WindowsNT系統(tǒng)中的每一項事務(wù)都可以在一定程度上被審計,可以在Explorer和Usermanager兩個地方打開審計。在Explorer中,選擇Security,再選擇Auditing以激活DirectoryAuditing對話框,系統(tǒng)管理員可以在這個窗口選擇跟蹤有效和無效的文件訪問。在Usermanager中,系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計策略,如登陸和退出、文件訪問、權(quán)限非法和關(guān)閉系統(tǒng)等。WindowsNT使用一種特殊的格式存放它的日志文件,這種各式的文件可以被事件查看器Eventviewer讀取。事件應(yīng)用實例

WindowsNT中的安全審計第十二頁,共三十頁。

WindowsNT的日志文件很多,但主要是系統(tǒng)日志、安全日志和應(yīng)用日志三個。這三個審計日志是審計一WindowsNT系統(tǒng)的核心。默認安裝時安全日志不打開。WindowsNT中所有可被審計的事件都存入了其中的一個日志。(1)ApplicationLog:包括用NTSecurityauthority注冊的應(yīng)用程序產(chǎn)生的信息。(2)SecurityLog:包括有關(guān)通過NT可識別安全提供者和客戶的系統(tǒng)訪問信息。(3)SystemLog:包含所有系統(tǒng)相關(guān)事件的信息。察看器可以在Administrativetool程序組中找到。系統(tǒng)管理員可以使用事件察看器的Filter選項根據(jù)一定條件選擇要查看的日志條目。查看條件條件包括類別、擁護和消息類型。1.NT審計子系統(tǒng)結(jié)構(gòu)第十三頁,共三十頁。應(yīng)用實例

WindowsNT中的安全審計2.審計日志和記錄格式WindowsNT的審計日志由一系列的事件記錄組成,每一個事件記錄分為三個功能部分:頭、事件描述和可選的附加數(shù)據(jù)項。如下表顯示了一個事件記錄的結(jié)構(gòu)。安全日志的入口通常由頭和事件描述組成。數(shù)據(jù)時間用戶名計算機名事件ID源類型種類可變內(nèi)容,依賴于事件。可以使問題的文本解釋和糾正措施的建議附加域。如果采用的話,包含可以字節(jié)或字顯示的二進制數(shù)據(jù)及事件記錄的源應(yīng)用產(chǎn)生的信息記錄頭事件描述附加數(shù)據(jù)第十四頁,共三十頁。時間記錄頭有下列域組成:(1)日期:事件的日期標識。(2)時間:事件的時間標識。(3)用戶名:表識事件是有誰觸發(fā)的。(4)計算機名:事件所在的計算機名。當用戶在整個企業(yè)范圍內(nèi)集中安全管理時,該信息大大簡化了審計信息的回顧。(5)事件ID:事件類型的數(shù)字標識。在事件記錄描述中,這個域通常被映射成一個文本表識(事件名)。(6)源:用來響應(yīng)事件紀錄的軟件。源可以是一個應(yīng)用程序、一個系統(tǒng)服務(wù)或一個設(shè)備驅(qū)動器。(7)類型:事件嚴重性指示器。在系統(tǒng)和應(yīng)用日志中,類型可以是錯誤、警告或信息,按重要性降序排列。(8)種類:觸發(fā)事件類型,主要用在安全日志中指示該類事件的成功或失敗審計已經(jīng)被許可。第十五頁,共三十頁。3.NT事件日志管理特征WindowsNT提供了大量特征給系統(tǒng)管理員區(qū)管理操作系統(tǒng)事件日志機制。例如:管理員能限制日志的大小并規(guī)定當文檔達到容量上限時,如何去處理這些文件。選項包括:用新紀錄去沖掉最老的紀錄,停止系統(tǒng)直到事件日志備受共清除。

當系統(tǒng)開始運行時,系統(tǒng)和應(yīng)用事件日志也自動開始。當日志文件滿并且系統(tǒng)配置規(guī)定它們必須備受共清除時,日志停止。另一方面,安全事件日志必須由具有管理者權(quán)限的人啟動。利用NT得用戶管理器,可以設(shè)置安全審計規(guī)則。要啟動安全審計的功能,只需在規(guī)則菜單下選擇審計,然后通過察看NT記錄的安全事件日志中的安全性事件,既可以跟蹤所選用戶的操作。第十六頁,共三十頁。應(yīng)用實例

WindowsNT中的安全審計4.NT安全日志的審計策略NT安全日志由審計策略支配,審計策略可以通過配置審計策略對話框中的選項來建立。NT的審計規(guī)則如下(既可以審計成功的操作,又可以審計失敗的操作):(1)登陸及注銷(2)用戶及組管理(3)文件及對象訪問(4)安全性規(guī)則更改(5)重新啟動、關(guān)機及系統(tǒng)級事件(6)進程追蹤(7)文件和目錄審計第十七頁,共三十頁。5.管理和維護NT審計通常情況下,WindowsNT不是將所有的事件都記錄日志,而需要手動啟動審計的功能。這是首先需要從開始菜單中選擇程序,然后再選擇管理工具。從管理工具紫菜單選擇用戶管理器,顯示出用戶管理起窗口。然后從用戶管理器的菜單中單擊policies(策略),再單擊audit(審計),審計策略窗口就出現(xiàn)了。接著選擇單選框”auditthestevents”(審計這些事件)。最后選擇需要啟動事件的按OK,然后關(guān)閉用戶管理器。值得注意的是在啟動WindowsNT的審計功能時,需要仔細選擇審計的內(nèi)容。第十八頁,共三十頁。審計日志將產(chǎn)生大量的數(shù)據(jù),因此較為合理的方法是首先設(shè)置進行簡單審計,然后在監(jiān)視系統(tǒng)的情況下逐步增加復(fù)雜的審計要求。當需要審查審計日志以跟蹤網(wǎng)絡(luò)或機器上的異常事件時,采用一些第三方提供的工具是一個叫有效率的選擇。最后介紹一下WindowsNT的三個日志文件的物理位置。系統(tǒng)日志:%systemroot%\system32\config\sysevent.evt安全日志:%systemroot%\system32\config\secevent.evt應(yīng)用程序日志:%systemroot%\system32\config\appevent.evt5.管理和維護NT審計第十九頁,共三十頁。Unix/Linux中的安全審計Unix存放日志文件最常用的目錄/usr/adm早期版本的unix/var/adm較新版本的unix/var/log用于Solaris,Linix,BSD/etcUnixsystemV早期版本第二十頁,共三十頁。常的日志文件lastlog用戶最后一次成功登錄時間loginlog不良的登錄嘗試記錄messages輸出到系統(tǒng)主控臺的消息utmp當前登錄的每個用戶wtmp每一次用戶登錄和注銷的歷史信息vold.log使用外部介質(zhì)出現(xiàn)的錯誤xferkigFtp的存取情況acct每個用戶使用過的命令aculog撥出自動呼叫記錄第二十一頁,共三十頁。應(yīng)用實例

Unix/Linux中的安全審計連接時間日志

連接時間日志由多個程序程序執(zhí)行,把記錄寫入到/var/log/wtm和/var/run/utmp中并通過login等程序更新wtmp和utmp文件,使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。第二十二頁,共三十頁。lastlog文件,Unix在lastlog日志文件中記錄每一個用戶注冊進入系統(tǒng)的最后時間,在每一次進入系統(tǒng)是,系統(tǒng)會顯示這個信息。告訴用戶和對一下最后注冊進入系統(tǒng)的時間是否正確,若系統(tǒng)顯示的時間與上次進入系統(tǒng)的時間不服,說明發(fā)生了非授權(quán)用戶注冊。

連接時間日志:第二十三頁,共三十頁。loginlog文件,UnixsystemV版本中可以把不成功的登陸行為記錄在/var/adm/loginlog中。如果某個入侵者直到一個系統(tǒng)的用戶名,同時又想猜出密碼,/var/adm/loginlog就會記錄他的失敗的登陸嘗試。

utmp、wtmp和lastlog日志文件是多數(shù)Unix日志系統(tǒng)的關(guān)鍵---記錄用戶的登陸和推出信息。有關(guān)當前登陸用戶的信息記錄在utmp中。等和推出記錄在文件wtmp中。最后一次登陸文件可以用lastlog命令察看。數(shù)據(jù)交換和重啟也記錄在wtmp文件中。所有的記錄都包括時間戳。這些文件(lastlog通常不大)在具有大量用戶的系統(tǒng)中增長十分迅速.wtmp和utmp都是為二進制文件,不能被諸如tail命令剪貼或合并(使用cat命令)。用戶可以通過who,w,users,last和ac來使用這兩個文件包含的信息。

連接時間日志:第二十四頁,共三十頁。應(yīng)用實例

Unix/Linux中的安全審計進程統(tǒng)計日志進程統(tǒng)計日志由系統(tǒng)內(nèi)核執(zhí)行。當一個進程終止時,系統(tǒng)往進程統(tǒng)計文件中寫一個記錄。其目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計。第二十五頁,共三十頁。

與連接按日志不同,進程統(tǒng)計子系統(tǒng)缺省為不激活,必須通過啟動來激活。在Unix/Linux系統(tǒng)中啟動進程統(tǒng)計使用accton命令,必須用root身份來運行。accton命令的形式為accton必須先存在。然后運行accton:accton/var/log/pacct。進程日志系統(tǒng)可以跟蹤每個用戶運行的每條命令,并且對跟蹤一個入侵者有幫助。,進程系統(tǒng)一個問題是pacct文件可能增長得十分迅速。這是需要交互式或經(jīng)過corn機制運行sa命名來保持日志數(shù)據(jù)在系統(tǒng)控制的范圍內(nèi)。進程系統(tǒng)日志:第二十六頁,共三十頁。應(yīng)用實例

Unix/Linux中的安全審計錯誤日志錯誤日志由syslog執(zhí)行。各種系統(tǒng)守護進程、用戶程序和內(nèi)核通過syslog向文件/var/log/messages報告值得注意的事件。另外,有許多Unix/Linux程序也會創(chuàng)建日志。第二十七頁,共三十頁。syslog采用可配置的統(tǒng)一的系統(tǒng)登陸程序,隨時從系統(tǒng)各處接受log請求,然后根據(jù)/etc/syslog.conf中的預(yù)先設(shè)定把log消息寫入相應(yīng)的文件并有機給特定的用戶或者直接以消息的方式發(fā)往控制臺。任何程序都可以通過syslog記錄事件。syslog可以記錄系統(tǒng)事件,也能記錄本地事件或通過網(wǎng)絡(luò)記錄另一個主機上的事件。syslog設(shè)備依據(jù)兩個重要的文件:/etc/syslogd(守護進程)和/etc/syslog.conf配置文件。習(xí)慣上,多數(shù)syslog信息被寫道/var/adm或/va

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論