信息安全管理第五信息系統(tǒng)安全審計

第5章信息系統(tǒng)安全審計第1頁，共142頁。5.1概述5.2安全審計系統(tǒng)的體系結(jié)構(gòu)5.3安全審計的一般流程5.4安全審計的分析方法5.5安全審計的數(shù)據(jù)源5.6信息安全審計與標(biāo)準(zhǔn)5.7計算機(jī)取證第2頁，共142頁。5.1概述第3頁，共142頁。5.1概述審計信息系統(tǒng)審計（信息系統(tǒng)）安全審計（信息系統(tǒng)）網(wǎng)絡(luò)安全審計第4頁，共142頁。5.1概述審計（Audit）是指由專設(shè)機(jī)關(guān)依照法律對國家各級政府及金融機(jī)構(gòu)、企業(yè)事業(yè)組織的重大項目和財務(wù)收支進(jìn)行事前和事后的審查的獨(dú)立性經(jīng)濟(jì)監(jiān)督活動。第5頁，共142頁。第6頁，共142頁。第7頁，共142頁。第8頁，共142頁。第9頁，共142頁。第10頁，共142頁。第11頁，共142頁。5.1概述信息系統(tǒng)審計（InformationSystemAudit，ISA）是通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。第12頁，共142頁。5.1概述對信息系統(tǒng)審計的理解：信息系統(tǒng)審計是具有獨(dú)立性的監(jiān)督活動審計對象是以計算機(jī)為處理手段的信息系統(tǒng)，不僅包括會計信息系統(tǒng)，其他信息處理系統(tǒng)如人事檔案管理系統(tǒng)，以及整個應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng),都是信息系統(tǒng)審計的對象審計的目的是揭發(fā)弊端，提高系統(tǒng)的安全性、可靠性、合法性和效率第13頁，共142頁。第14頁，共142頁。第15頁，共142頁。5.1概述安全審計（SecurityAudit））就是對系統(tǒng)安全的審核、稽查與計算，即在記錄一切(或部分)與系統(tǒng)安全有關(guān)活動的基礎(chǔ)上，對其進(jìn)行分析處理、評價審查，發(fā)現(xiàn)系統(tǒng)中的安全隱患，或追查造成安全事故的原因，并作出進(jìn)一步的處理。信息系統(tǒng)安全審計是信息系統(tǒng)審計的一個分支，是專門針對信息系統(tǒng)的安全實施的審計。其審計目的是確定信息系統(tǒng)是否設(shè)置了相應(yīng)的安全控制措施以識別、防范各種安全威脅，從而幫助被審單位的信息系統(tǒng)在一個更加安全的環(huán)境下運(yùn)行。第16頁，共142頁。5.1概述對信息系統(tǒng)安全審計的含義可以從兩方面理解1.信息系統(tǒng)安全審計的目的是測評系統(tǒng)的安全控制措施，確定其是否足以識別、防范各種“威脅”2.信息系統(tǒng)安全審計是針對提高系統(tǒng)安全性的審計第17頁，共142頁。第18頁，共142頁。五險一金第19頁，共142頁。審計人員在被審計單位計算機(jī)機(jī)房對其信息系統(tǒng)建設(shè)和運(yùn)行情況進(jìn)行檢查第20頁，共142頁。5.1概述網(wǎng)絡(luò)安全審計（NetworkSecurityAudit）網(wǎng)絡(luò)安全審計是指對與網(wǎng)絡(luò)安全有關(guān)的活動的相關(guān)信息進(jìn)行識別、記錄、存儲和分析，并檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動以及誰對這個活動負(fù)責(zé)。網(wǎng)絡(luò)安全審計相當(dāng)于飛機(jī)上的“黑匣子”。國際標(biāo)準(zhǔn)ISO／IEC15408(俗稱為CC準(zhǔn)則)：廣泛應(yīng)用于評估系統(tǒng)的安全性第21頁，共142頁。5.1概述審計對象：網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶電腦、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備等。第22頁，共142頁。安全審計的必要性隨著日益增長的互聯(lián)網(wǎng)安全風(fēng)險，安全問題的復(fù)雜性日益加大，大約76%的網(wǎng)絡(luò)安全威脅來自于內(nèi)部，其危害程度更是遠(yuǎn)遠(yuǎn)超過黑客攻擊及病毒造成的損失，而這些威脅絕大部分與內(nèi)部各種網(wǎng)絡(luò)訪問行為有關(guān)，如何對業(yè)務(wù)系統(tǒng)訪問和網(wǎng)絡(luò)行為進(jìn)行有效的監(jiān)控，已經(jīng)成為政府、企業(yè)重點(diǎn)關(guān)注的問題。第23頁，共142頁。安全審計的必要性防火墻、入侵檢測等傳統(tǒng)網(wǎng)絡(luò)安全手段，可實現(xiàn)對網(wǎng)絡(luò)異常行為的管理和監(jiān)測，如網(wǎng)絡(luò)連接和訪問的合法性進(jìn)行控制、監(jiān)測網(wǎng)絡(luò)攻擊事件等，但是不能監(jiān)控網(wǎng)絡(luò)內(nèi)容和已經(jīng)授權(quán)的正常內(nèi)部網(wǎng)絡(luò)訪問行為，因此對正常網(wǎng)絡(luò)訪問行為導(dǎo)致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為（即時通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等）也無能為力，也難以實現(xiàn)針對內(nèi)容、行為的監(jiān)控管理及安全事件的追查取證。第24頁，共142頁。安全審計的必要性如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息傳播，準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)違反安全策略的事件并實時告警、記錄，同時進(jìn)行安全事件定位分析，事后追查取證，滿足合規(guī)性審計要求，是企業(yè)迫切需要解決的問題。第25頁，共142頁。安全審計的必要性網(wǎng)絡(luò)信息系統(tǒng)在綜合運(yùn)用防護(hù)工具（如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段）、檢測工具（如漏洞評估、入侵檢測等系統(tǒng)）的同時，必須通過安全審計收集、分析、評估安全信息、掌握安全狀態(tài)，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統(tǒng)調(diào)整到“最安全”和“最低風(fēng)險”的狀態(tài)。

第26頁，共142頁。安全審計的必要性信息安全體系結(jié)構(gòu)模型安全審計也是一項重要內(nèi)容第27頁，共142頁。利用信息系統(tǒng)審計建立我國網(wǎng)絡(luò)安全的第三道防線第28頁，共142頁。利用信息系統(tǒng)審計建立我國網(wǎng)絡(luò)安全的第三道防線“一道防線”：組織業(yè)務(wù)及操作層面的網(wǎng)絡(luò)安全管理，由組織的一線業(yè)務(wù)部門負(fù)責(zé)。職責(zé)是識別和管理網(wǎng)絡(luò)安全固有風(fēng)險，并對風(fēng)險實施有效的控制措施，是整個網(wǎng)絡(luò)安全保障工作的基礎(chǔ)。第29頁，共142頁。利用信息系統(tǒng)審計建立我國網(wǎng)絡(luò)安全的第三道防線“二道防線”：網(wǎng)絡(luò)安全風(fēng)險的專職管理，由組織的風(fēng)險管理部門和IT部門負(fù)責(zé)。職責(zé)是建立網(wǎng)絡(luò)安全風(fēng)險管理框架，實施獨(dú)立的風(fēng)險評估、計量、監(jiān)測和報告，確保網(wǎng)絡(luò)安全風(fēng)險管理政策及措施有效執(zhí)行，將風(fēng)險控制在可接受水平。第30頁，共142頁。利用信息系統(tǒng)審計建立我國網(wǎng)絡(luò)安全的第三道防線“三道防線”：對網(wǎng)絡(luò)安全獨(dú)立的監(jiān)督評價，即審計，由審計監(jiān)督部門負(fù)責(zé)。職責(zé)是對網(wǎng)絡(luò)安全風(fēng)險管理的相關(guān)控制、流程和系統(tǒng)進(jìn)行獨(dú)立審閱和檢查，促進(jìn)一、二道防線積極履職，進(jìn)一步揭示網(wǎng)絡(luò)安全風(fēng)險，為一、二道防線提供改進(jìn)建議。第31頁，共142頁。信息系統(tǒng)安全審計的功能(1)取證

利用審計工具，監(jiān)視和記錄系統(tǒng)的活動情況，如記錄用戶登錄賬戶、登錄時間、終端以及所訪問的文件、存取操作等，并放入系統(tǒng)日志中，必要時可打印輸出，提供審計報告，對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù)。(2)威懾

通過審計跟蹤，并配合相應(yīng)的責(zé)任追究機(jī)制，對外部的入侵者以及內(nèi)部人員的惡意行為具有威懾和警告作用。第32頁，共142頁。信息系統(tǒng)安全審計的功能(3)發(fā)現(xiàn)系統(tǒng)漏洞

安全審計為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。(4)發(fā)現(xiàn)系統(tǒng)運(yùn)行異常

通過安全審計，為系統(tǒng)管理員提供系統(tǒng)運(yùn)行的統(tǒng)計日志，管理員可根據(jù)日志數(shù)據(jù)庫記錄的日志數(shù)據(jù)，分析網(wǎng)絡(luò)或系統(tǒng)的安全性，輸出安全性分析報告，因而能夠及時發(fā)現(xiàn)系統(tǒng)的異常行為，并采取相應(yīng)的處理措施。第33頁，共142頁。信息系統(tǒng)安全審計的分類按照審計分析的對象，安全審計可分為針對主機(jī)的審計和針對網(wǎng)絡(luò)的審計。第34頁，共142頁。針對主機(jī)的審計針對主機(jī)的審計是指通過收集主機(jī)系統(tǒng)上面的各種形式的日志文件實現(xiàn)審計的方式。針對主機(jī)的審計的特點(diǎn)是收集的信息比較深入，比較完整，不受加密協(xié)議的影響，其缺點(diǎn)是部署過程較為復(fù)雜，通常需要在主機(jī)系統(tǒng)上安裝代理，這樣不容易保持審計策略的一致，不容易保證審計代理工作的正常和健壯，安裝在審計對象主機(jī)上面的代理可能會被卸載或者停止運(yùn)行，這樣審計代理產(chǎn)生的審計信息的可信性也會大打折扣。第35頁，共142頁。針對網(wǎng)絡(luò)的審計針對網(wǎng)絡(luò)的審計是指直接從網(wǎng)絡(luò)中收集各種會話信息，從網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)和行為中提取審計信息。針對網(wǎng)絡(luò)的審計的特點(diǎn)是部署快速，對應(yīng)用系統(tǒng)影響小，覆蓋面大，不容易被繞過，不容易被竄改等。普通的基于網(wǎng)絡(luò)的審計系統(tǒng)主要通過收集包括路由器、交換機(jī)、防火墻、入侵檢測等網(wǎng)絡(luò)和安全設(shè)備記錄的日志來實現(xiàn)。這樣實現(xiàn)的審計系統(tǒng)丟失了網(wǎng)絡(luò)會話的絕大部分內(nèi)容，缺陷是它們不能有效地審計那些使用了加密協(xié)議的會話。第36頁，共142頁。信息系統(tǒng)安全審計的分類按照審計的工作方式，安全審計可分為集中式安全審計和分布式安全審計。集中式體系結(jié)構(gòu)采用集中的方法，收集并分析數(shù)據(jù)源(網(wǎng)絡(luò)各主機(jī)的原始審計記錄)，所有的數(shù)據(jù)都要交給中央處理機(jī)進(jìn)行審計處理。分布式安全審計包含兩層含義，一是對分布式網(wǎng)絡(luò)的安全審計，二是采用分布式計算的方法，對數(shù)據(jù)源進(jìn)行安全審計。第37頁，共142頁。5.2安全審計系統(tǒng)的體系結(jié)構(gòu)第38頁，共142頁。5.2安全審計系統(tǒng)的體系結(jié)構(gòu)第39頁，共142頁。安全審計系統(tǒng)安全審計系統(tǒng)（SecurityAuditSystem，SAS）是在一個特定的企事業(yè)單位的網(wǎng)絡(luò)環(huán)境下，為了保障業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)信息數(shù)據(jù)不受來自用戶的破壞、泄露、竊取，而運(yùn)用各種技術(shù)手段實時監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，以便集中收集、分析、報警、處理的一種技術(shù)手段。安全審計系統(tǒng)是對信息系統(tǒng)進(jìn)行安全審計的系統(tǒng)第40頁，共142頁。安全審計系統(tǒng)的特點(diǎn)細(xì)粒度的網(wǎng)絡(luò)內(nèi)容審計

安全審計系統(tǒng)可對網(wǎng)站訪問、郵件收發(fā)、遠(yuǎn)程終端訪問、數(shù)據(jù)庫訪問、論壇發(fā)帖等進(jìn)行關(guān)鍵信息監(jiān)測、還原；

全面的網(wǎng)絡(luò)行為審計

安全審計系統(tǒng)可對網(wǎng)絡(luò)行為，如網(wǎng)站訪問、郵件收發(fā)、數(shù)據(jù)庫訪問、遠(yuǎn)程終端訪問、即時通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等，提供全面的行為監(jiān)控，方便事后追查取證；綜合流量分析

安全審計系統(tǒng)可對網(wǎng)絡(luò)流量進(jìn)行綜合分析，為網(wǎng)絡(luò)帶寬資源的管理提供可靠策略支持；

因此，通過傳統(tǒng)安全手段與安全審計技術(shù)相結(jié)合，在功能上互相協(xié)調(diào)、補(bǔ)充，構(gòu)建一個立體的、全方位的安全保障管理體系第41頁，共142頁。信息安全審計系統(tǒng)的一般組成一般而言，一個完整的安全審計系統(tǒng)包括事件探測及數(shù)據(jù)采集引擎、數(shù)據(jù)管理引擎和審計引擎等重要組成部分。(1)事件探測及數(shù)據(jù)采集引擎

事件探測及數(shù)據(jù)采集引擎主要全面?zhèn)陕犞鳈C(jī)及網(wǎng)絡(luò)上的信息流，動態(tài)監(jiān)視主機(jī)的運(yùn)行情況以及網(wǎng)絡(luò)上流過的數(shù)據(jù)包，對數(shù)據(jù)包進(jìn)行檢測和實時分析，并將分析結(jié)果發(fā)送給相應(yīng)的數(shù)據(jù)管理中心進(jìn)行保存。第42頁，共142頁。信息安全審計系統(tǒng)的一般組成(2)數(shù)據(jù)管理引擎

數(shù)據(jù)管理引擎一方面負(fù)責(zé)對事件探測及數(shù)據(jù)采集引擎?zhèn)骰氐臄?shù)據(jù)以及安全審計的輸出數(shù)據(jù)進(jìn)行管理，另一方面，數(shù)據(jù)管理引擎還負(fù)責(zé)對事件探測及數(shù)據(jù)采集引擎的設(shè)置、用戶對安全審計的自定義、系統(tǒng)配置信息的管理。它一般包括三個模塊：數(shù)據(jù)庫管理、引擎管理、配置管理。第43頁，共142頁。信息安全審計系統(tǒng)的一般組成(3)審計引擎

審計引擎包括兩個應(yīng)用程序：審計控制臺和用戶管理。審計控制臺可以實時顯示網(wǎng)絡(luò)審計信息、流量統(tǒng)計信息，可以查詢審計信息歷史數(shù)據(jù)，并且對審計事件進(jìn)行回放。用戶管理程序可以對用戶進(jìn)行權(quán)限設(shè)定，限制不同級別的用戶查看不同的審計內(nèi)容。同時還可以對每一種權(quán)限的使用人員的操作進(jìn)行審計記錄，可以由用戶管理員進(jìn)行查看，具有一定的自身安全審計功能。第44頁，共142頁。綠盟安全審計系統(tǒng)第45頁，共142頁。綠盟安全審計系統(tǒng)綠盟安全審計系統(tǒng)（NSFOCUSSecurityAuditSystem，簡稱：NSFOCUSSAS）通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，實時報警響應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件，實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確全程跟蹤定位，為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。第46頁，共142頁。綠盟安全審計系統(tǒng)的功能內(nèi)容審計NSFOCUSSAS系統(tǒng)提供深入的內(nèi)容審計功能，可對網(wǎng)站訪問、郵件收發(fā)、遠(yuǎn)程終端訪問、數(shù)據(jù)庫訪問、數(shù)據(jù)傳輸、文件共享等提供完整的內(nèi)容檢測、信息還原功能；并可自定義關(guān)鍵字庫，進(jìn)行細(xì)粒度的審計追蹤。行為審計NSFOCUSSAS系統(tǒng)提供全面的網(wǎng)絡(luò)行為審計功能，根據(jù)設(shè)定行為審計策略，對網(wǎng)站訪問、郵件收發(fā)、數(shù)據(jù)庫訪問、遠(yuǎn)程終端訪問、數(shù)據(jù)傳輸、文件共享、網(wǎng)絡(luò)資源濫用（即時通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等）等網(wǎng)絡(luò)應(yīng)用行為進(jìn)行監(jiān)測，對符合行為策略的事件實時告警并記錄。流量審計NSFOCUSSAS系統(tǒng)提供基于協(xié)議識別的流量分析功能，實時統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的各種報文流量，進(jìn)行綜合流量分析，為流量管理策略的制定提供可靠支持。第47頁，共142頁。堡壘機(jī)在一個特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運(yùn)用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，以便集中報警、及時處理及審計定責(zé)。第48頁，共142頁。堡壘機(jī)的產(chǎn)生原因隨著企事業(yè)單位IT系統(tǒng)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量迅速擴(kuò)大，日趨復(fù)雜的IT系統(tǒng)與不同背景的運(yùn)維人員的行為給信息系統(tǒng)安全帶來較大風(fēng)險，主要表現(xiàn)在：1.多個用戶使用同一個賬號。這種情況主要出現(xiàn)在同一工作組中，由于工作需要，同時系統(tǒng)管理賬號唯一，因此只能多用戶共享同一賬號。如果發(fā)生安全事故，不僅難以定位賬號的實際使用者和責(zé)任人，而且無法對賬號的使用范圍進(jìn)行有效控制，存在較大安全風(fēng)險和隱患。第49頁，共142頁。堡壘機(jī)的產(chǎn)生原因2.一個用戶使用多個賬號。目前，一個維護(hù)人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換，降低工作效率，增加工作復(fù)雜度。第50頁，共142頁。堡壘機(jī)的產(chǎn)生原因3.缺少統(tǒng)一的權(quán)限管理平臺，權(quán)限管理日趨繁重和無序；而且維護(hù)人員的權(quán)限大多是粗放管理，無法基于最小權(quán)限分配原則的用戶權(quán)限管理，難以實現(xiàn)更細(xì)粒度的命令級權(quán)限控制，系統(tǒng)安全性無法充分保證。第51頁，共142頁。堡壘機(jī)的產(chǎn)生原因4.無法制定統(tǒng)一的訪問審計策略，審計粒度粗。各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫是分別單獨(dú)審計記錄訪問行為，由于沒有統(tǒng)一審計策略，并且各系統(tǒng)自身審計日志內(nèi)容深淺不一，難以及時通過系統(tǒng)自身審計發(fā)現(xiàn)違規(guī)操作行為和追查取證。5.傳統(tǒng)的網(wǎng)絡(luò)安全審計系統(tǒng)無法對維護(hù)人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議進(jìn)行內(nèi)容審計。SSH：

SecureShell

，安全外殼協(xié)議RDP：RemoteDesktopProtocol，遠(yuǎn)程桌面協(xié)議第52頁，共142頁。堡壘機(jī)的核心功能1.單點(diǎn)登錄功能支持對linux、unix、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等一系列授權(quán)賬號進(jìn)行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統(tǒng)密碼，即可實現(xiàn)自動登錄目標(biāo)設(shè)備，便捷安全。2.賬號管理設(shè)備支持統(tǒng)一賬戶管理策略，能夠?qū)崿F(xiàn)對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬號進(jìn)行集中管理，完成對賬號整個生命周期的監(jiān)控，并且可以對設(shè)備進(jìn)行特殊角色設(shè)置如：審計巡檢員、運(yùn)維操作員、設(shè)備管理員等自定義設(shè)置，以滿足審計需求第53頁，共142頁。堡壘機(jī)的核心功能3.身份認(rèn)證設(shè)備提供統(tǒng)一的認(rèn)證接口，對用戶進(jìn)行認(rèn)證，支持身份認(rèn)證模式包括動態(tài)口令、靜態(tài)密碼、硬件key、生物特征等多種認(rèn)證方式，設(shè)備具有靈活的定制接口，可以與其他第三方認(rèn)證服務(wù)器之間結(jié)合；安全的認(rèn)證模式，有效提高了認(rèn)證的安全性和可靠性。4.資源授權(quán)設(shè)備提供基于用戶、目標(biāo)設(shè)備、時間、協(xié)議類型IP、行為等要素實現(xiàn)細(xì)粒度的操作授權(quán)，最大限度保護(hù)用戶資源的安全第54頁，共142頁。堡壘機(jī)的核心功能5.訪問控制設(shè)備支持對不同用戶進(jìn)行不同策略的制定，細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的安全，嚴(yán)防非法、越權(quán)訪問事件的發(fā)生。6.操作審計設(shè)備能夠?qū)ψ址?、圖形、文件傳輸、數(shù)據(jù)庫等全程操作行為審計；通過設(shè)備錄像方式實時監(jiān)控運(yùn)維人員對操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行的各種操作，對違規(guī)行為進(jìn)行事中控制。對終端指令信息能夠進(jìn)行精確搜索，進(jìn)行錄像精確定位。第55頁，共142頁。安全審計系統(tǒng)的體系結(jié)構(gòu)集中式安全審計系統(tǒng)體系結(jié)構(gòu)分布式安全審計系統(tǒng)體系結(jié)構(gòu)第56頁，共142頁。集中式安全審計系統(tǒng)體系結(jié)構(gòu)集中式體系結(jié)構(gòu)采用集中的方法，收集并分析數(shù)據(jù)源，所有的數(shù)據(jù)都要交給中央處理機(jī)進(jìn)行審計處理。中央處理機(jī)承擔(dān)數(shù)據(jù)管理引擎及安全審計引擎的工作，而部署在各受監(jiān)視系統(tǒng)上的外圍設(shè)備只是簡單的數(shù)據(jù)采集設(shè)備，承擔(dān)事件檢測及數(shù)據(jù)采集引擎的作用。第57頁，共142頁。集中式安全審計系統(tǒng)體系結(jié)構(gòu)集中式的審計體系結(jié)構(gòu)的缺陷(1)由于事件信息的分析全部由中央處理機(jī)承擔(dān)，勢必造成CPU、I/O以及網(wǎng)絡(luò)通信的負(fù)擔(dān)，而且中心計算機(jī)往往容易發(fā)生單點(diǎn)故障(如針對中心分析系統(tǒng)的攻擊)。另外，對現(xiàn)有的系統(tǒng)進(jìn)行用戶的增容(如網(wǎng)絡(luò)的擴(kuò)展、通信數(shù)據(jù)量的加大)是很困難的。(2)由于數(shù)據(jù)的集中存儲，在大規(guī)模的分布式網(wǎng)絡(luò)中，有可能因為單個點(diǎn)的失敗造成整個審計數(shù)據(jù)的不可用。(3)集中式的體系結(jié)構(gòu)，自適應(yīng)能力差，不能根據(jù)環(huán)境變化自動更改配置。通常，配置的改變和增加是通過編輯配置文件來實現(xiàn)的，往往需要重新啟動系統(tǒng)以使配置生效。第58頁，共142頁。分布式安全審計系統(tǒng)體系結(jié)構(gòu)分布式安全審計系統(tǒng)實際上包含兩層含義：一是對分布式網(wǎng)絡(luò)的安全審計；二是采用分布式計算的方法，對數(shù)據(jù)源進(jìn)行安全審計。它由三部分組成。(1)主機(jī)代理模塊

主機(jī)代理模塊是部署在受監(jiān)視主機(jī)上，并作為后臺進(jìn)程運(yùn)行的審計信息收集模塊。主要目的是收集主機(jī)上與安全相關(guān)的事件信息，并將數(shù)據(jù)傳送給中央管理者。它同時承擔(dān)了數(shù)據(jù)采集以及部分的安全審計工作。

第59頁，共142頁。分布式安全審計系統(tǒng)體系結(jié)構(gòu)(2)局域網(wǎng)監(jiān)視器代理模塊

局域網(wǎng)監(jiān)視器代理模塊是部署在受監(jiān)視的局域網(wǎng)上，用以收集并對局域網(wǎng)上的行為進(jìn)行審計的模塊，主要分析局域網(wǎng)上的通信信息，并根據(jù)需要將結(jié)果報告給中央管理者。(3)中央管理者模塊

中央管理者模塊接收包括來自局域網(wǎng)監(jiān)視器和主機(jī)代理的數(shù)據(jù)和報告，控制整個系統(tǒng)的通信信息，對接收到的數(shù)據(jù)進(jìn)行分析。第60頁，共142頁。分布式安全審計系統(tǒng)體系結(jié)構(gòu)分布式安全審計系統(tǒng)體系結(jié)構(gòu)的優(yōu)點(diǎn)：(1)擴(kuò)展能力強(qiáng)：通過擴(kuò)展審計單元來實現(xiàn)網(wǎng)絡(luò)安全范圍的擴(kuò)張。(2)容錯能力強(qiáng)：分布式的獨(dú)立結(jié)構(gòu)解決了單點(diǎn)失效問題。(3)兼容性強(qiáng)：既可包含基于主機(jī)的審計，又可含有基于網(wǎng)絡(luò)的審計，超越了傳統(tǒng)審計模型的界限。(4)適應(yīng)性強(qiáng)：當(dāng)網(wǎng)絡(luò)和主機(jī)狀態(tài)改變時，如升級或重構(gòu)，分布式審計系統(tǒng)可以容易地作相應(yīng)修改。第61頁，共142頁。5.3安全審計的一般流程第62頁，共142頁。安全審計的一般流程事件采集設(shè)備通過硬件或軟件代理對客體進(jìn)行事件采集，并將采集到的事件發(fā)送至事件辨別與分析器進(jìn)行事件辨別與分析，策略定義的危險事件，發(fā)送至報警處理部件，進(jìn)行報警或響應(yīng)。對所有需產(chǎn)生審計信息的事件，產(chǎn)生審計信息，并發(fā)送至結(jié)果匯總，進(jìn)行數(shù)據(jù)備份或報告生成。事件采集事件分析結(jié)果匯總事件響應(yīng)策略定義第63頁，共142頁。安全審計的一般流程1．策略定義2．事件采集3．事件分析4．事件響應(yīng)5．結(jié)果匯總第64頁，共142頁。安全審計的一般流程1．策略定義

安全審計應(yīng)在一定的審計策略下進(jìn)行，審計策略規(guī)定哪些信息需要采集、哪些事件是危險事件，以及對這些事件應(yīng)如何處理等。因而審計前應(yīng)制定一定的審計策略，并下發(fā)到各審計單元。在事件處理結(jié)束后，應(yīng)根據(jù)對事件的分析處理結(jié)果來檢查策略的合理性，必要時應(yīng)調(diào)整審計策略。第65頁，共142頁。安全審計的一般流程2．事件采集

事件采集階段包含以下行為：(1)按照預(yù)定的審計策略對客體進(jìn)行相關(guān)審計事件采集，形成的結(jié)果交由事件后續(xù)的各階段來處理；(2)將事件其他各階段提交的審計策略分發(fā)至各審計代理，審計代理依據(jù)策略進(jìn)行客體事件采集。

注意：審計代理是安全審計系統(tǒng)中完成審計數(shù)據(jù)采集、鑒別并向?qū)徲嫺櫽涗浿行陌l(fā)送審計消息的功能部件，包括軟件代理和硬件代理。第66頁，共142頁。安全審計的一般流程3．事件分析

事件分析階段包含以下行為：(1)按照預(yù)定策略，對采集到事件進(jìn)行事件辨析，決定：

①忽略該事件；

②產(chǎn)生審計信息；

③產(chǎn)生審計信息并報警；

④產(chǎn)生審計信息且進(jìn)行響應(yīng)聯(lián)動。(2)按照用戶定義與預(yù)定策略，將事件分析結(jié)果生成審計記錄，并形成審計報告。第67頁，共142頁。安全審計的一般流程4．事件響應(yīng)

事件響應(yīng)階段是根據(jù)事件分析的結(jié)果采用相應(yīng)的響應(yīng)行動，包含以下行為：(1)對事件分析階段產(chǎn)生的報警信息、響應(yīng)請求進(jìn)行報警與響應(yīng)；(2)按照預(yù)定策略，生成審計記錄，寫入審計數(shù)據(jù)庫，并將各類審計分析報告發(fā)送到指定的對象；(3)按照預(yù)定策略對審計記錄進(jìn)行備份。第68頁，共142頁。安全審計的一般流程5．結(jié)果匯總

結(jié)果匯總階段負(fù)責(zé)對事件分析及響應(yīng)的結(jié)果進(jìn)行匯總，主要包含以下行為：(1)將各類審計報告進(jìn)行分類匯總；(2)對審計結(jié)果進(jìn)行適當(dāng)?shù)慕y(tǒng)計分析，形成分析報告；(3)根據(jù)用戶需求和事件分析處理結(jié)果形成審計策略修改意見。第69頁，共142頁。5.4安全審計的分析方法第70頁，共142頁。安全審計的分析方法1．基于規(guī)則庫的安全審計方法2．基于數(shù)理統(tǒng)計的安全審計方法3．基于日志數(shù)據(jù)挖掘的安全審計方法4．其他安全審計方法

(1)神經(jīng)網(wǎng)絡(luò)(2)遺傳算法第71頁，共142頁。基于規(guī)則庫的安全審計方法基于規(guī)則庫的安全審計方法就是將已知的攻擊行為進(jìn)行特征提取，把這些特征用腳本語言等方法進(jìn)行描述后放入規(guī)則庫中，當(dāng)進(jìn)行安全審計時，將收集到的審核數(shù)據(jù)與這些規(guī)則進(jìn)行某種比較和匹配操作(關(guān)鍵字、正則表達(dá)式、模糊近似度等)，從而發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊行為。這種方法和某些防火墻和防病毒軟件的技術(shù)思路類似，檢測的準(zhǔn)確率都相當(dāng)高，可以通過最簡單的匹配方法過濾掉大量的無效審核數(shù)據(jù)信息，對于使用特定黑客工具進(jìn)行的網(wǎng)絡(luò)攻擊特別有效。第72頁，共142頁?；跀?shù)理統(tǒng)計的安全審計方法數(shù)理統(tǒng)計方法就是首先給對象創(chuàng)建一個統(tǒng)計量的描述，比如一個網(wǎng)絡(luò)流量的平均值、方差等，統(tǒng)計出正常情況下這些特征量的數(shù)值，然后用來對實際網(wǎng)絡(luò)數(shù)據(jù)包的情況進(jìn)行比較，當(dāng)發(fā)現(xiàn)實際值遠(yuǎn)離正常數(shù)值時，就可以認(rèn)為是潛在的攻擊發(fā)生。第73頁，共142頁。基于日志數(shù)據(jù)挖掘的安全審計方法它的主要思想是從系統(tǒng)使用或網(wǎng)絡(luò)通信的“正?！睌?shù)據(jù)中發(fā)現(xiàn)系統(tǒng)的“正?！边\(yùn)行模式，并和常規(guī)的一些攻擊規(guī)則庫進(jìn)行關(guān)聯(lián)分析，并用以檢測系統(tǒng)攻擊行為。

數(shù)據(jù)挖掘本身是一項通用的知識發(fā)現(xiàn)技術(shù)，其目的是要從海量數(shù)據(jù)中提取出我們所感興趣的數(shù)據(jù)信息(知識)。這恰好與當(dāng)前網(wǎng)絡(luò)安全審計的現(xiàn)實相吻合。第74頁，共142頁。第75頁，共142頁。第76頁，共142頁。其他安全審計方法神經(jīng)網(wǎng)絡(luò)：神經(jīng)網(wǎng)絡(luò)的基本思想是用一系列信息單元序列來訓(xùn)練神經(jīng)單元，在神經(jīng)網(wǎng)絡(luò)的輸入中包括當(dāng)前的信息單元序列和過去的信息單元序列集合，神經(jīng)網(wǎng)絡(luò)由此可進(jìn)行判斷，并能預(yù)測輸出。與概率統(tǒng)計方法相比，神經(jīng)網(wǎng)絡(luò)方法更好地表達(dá)了變量之間的非線性關(guān)系，并且能自動學(xué)習(xí)和更新。第77頁，共142頁。第78頁，共142頁。其他安全審計方法(2)遺傳算法：一個遺傳算法是一類進(jìn)化算法的一個實例，這些算法在多維優(yōu)化問題處理方面的能力已經(jīng)得到認(rèn)可，并且遺傳算法在對異常檢測的準(zhǔn)確率和速度上有較大優(yōu)勢。主要不足在于不能在審計跟蹤中精確定位攻擊，這一點(diǎn)和神經(jīng)網(wǎng)絡(luò)面臨的問題相似。第79頁，共142頁。第80頁，共142頁。5.5安全審計的數(shù)據(jù)源第81頁，共142頁。安全審計的數(shù)據(jù)源一般來說安全審計數(shù)據(jù)具有以下特征：攻擊事件相對于正常的網(wǎng)絡(luò)或系統(tǒng)訪問是很少的。安全審計數(shù)據(jù)在正常情況下是非常穩(wěn)定的。異常操作總是使安全審計數(shù)據(jù)的某些特征變量明顯地偏離正常值。第82頁，共142頁。安全審計的數(shù)據(jù)源1．基于主機(jī)的數(shù)據(jù)源2．基于網(wǎng)絡(luò)的數(shù)據(jù)源3．其他數(shù)據(jù)源(1)來自其他安全產(chǎn)品的數(shù)據(jù)源(2)來自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源(3)帶外數(shù)據(jù)源第83頁，共142頁?；谥鳈C(jī)的數(shù)據(jù)源基于主機(jī)的安全審計的數(shù)據(jù)源，包括操作系統(tǒng)的審計記錄、系統(tǒng)日志、應(yīng)用程序的日志信息以及基于目標(biāo)的信息。(1)操作系統(tǒng)的審計記錄

操作系統(tǒng)的審計記錄是由操作系統(tǒng)軟件內(nèi)部的專門審計子系統(tǒng)所產(chǎn)生的，其目的是記錄當(dāng)前系統(tǒng)的活動信息，如用戶進(jìn)程所調(diào)用的系統(tǒng)調(diào)用類型以及執(zhí)行的命令行等，并將這些信息按照時間順序組織為一個或多個審計文件。第84頁，共142頁?；谥鳈C(jī)的數(shù)據(jù)源(2)系統(tǒng)日志

日志分為操作系統(tǒng)日志和應(yīng)用程序日志兩部分。操作系統(tǒng)日志與主機(jī)的信息源相關(guān)，是使用操作系統(tǒng)日志機(jī)制生成的日志文件的總稱；應(yīng)用程序日志是由應(yīng)用程序自己生成并維護(hù)的日志文件的總稱。第85頁，共142頁?；谥鳈C(jī)的數(shù)據(jù)源系統(tǒng)日志的安全性與操作系統(tǒng)的審計記錄相比，安全性存在不足，主要原因在于：

·系統(tǒng)日志是由載操作系統(tǒng)內(nèi)核外運(yùn)行的應(yīng)用程序產(chǎn)生的，容易受到惡意的攻擊和修改。

·日志系統(tǒng)通常存儲在不受保護(hù)的普通文件目錄中，并且經(jīng)常以普通文本文件方式儲存，容易受到惡意的篡改和刪除。相反，操作系統(tǒng)審計記錄通常以二進(jìn)制文件形式存儲，具備較強(qiáng)的保護(hù)機(jī)制。系統(tǒng)日志又是在于簡單易讀，容易處理，仍然成為安全審計的一個重要的數(shù)據(jù)源。

第86頁，共142頁?；谥鳈C(jī)的數(shù)據(jù)源(3)應(yīng)用程序日志信息

操作系統(tǒng)審計記錄和系統(tǒng)日志都屬于系統(tǒng)級別的數(shù)據(jù)源信息，通常由操作系統(tǒng)及其標(biāo)準(zhǔn)部件統(tǒng)一維護(hù)，是安全審計優(yōu)先選用的輸人數(shù)據(jù)源。隨著計算機(jī)網(wǎng)絡(luò)的分布式計算架構(gòu)的發(fā)展，對傳統(tǒng)的安全觀念提出了挑戰(zhàn)。以Web服務(wù)器為例，www服務(wù)是最流行的網(wǎng)絡(luò)服務(wù)，也是電子商務(wù)的主要應(yīng)用平臺。Web服務(wù)器的日志信息是最為常見的應(yīng)用級別數(shù)據(jù)源，主流的Web服務(wù)器都支持訪問日志機(jī)制。第87頁，共142頁。基于網(wǎng)絡(luò)的數(shù)據(jù)源隨著基于網(wǎng)絡(luò)入侵檢測的日益流行，基于網(wǎng)絡(luò)的安全審計也成為安全審計發(fā)展的流行趨勢，而基于網(wǎng)絡(luò)的安全審計系統(tǒng)所采用的輸入數(shù)據(jù)即網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。來自用戶使用計算機(jī)網(wǎng)絡(luò)資源訪問的所有資源和所有訪問過程。通過對一些重要的事件進(jìn)行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。第88頁，共142頁。基于網(wǎng)絡(luò)的數(shù)據(jù)源采用網(wǎng)絡(luò)數(shù)據(jù)具有以下優(yōu)勢：(1)通過網(wǎng)絡(luò)被動監(jiān)聽的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，作為安全審計系統(tǒng)的輸入數(shù)據(jù)，不會對目標(biāo)監(jiān)控系統(tǒng)的運(yùn)行性能產(chǎn)生任何影響，而且通常無須改變原有的結(jié)構(gòu)和工作方式。(2)嗅探模塊在工作時，可以采用對網(wǎng)絡(luò)用戶透明的模式，降低了其本身受到攻擊的概率。第89頁，共142頁?；诰W(wǎng)絡(luò)的數(shù)據(jù)源(3)基于網(wǎng)絡(luò)數(shù)據(jù)的輸入信息源，可以發(fā)現(xiàn)許多基于主機(jī)數(shù)據(jù)源所無法發(fā)現(xiàn)的攻擊手段，例如基于網(wǎng)絡(luò)協(xié)議的漏洞發(fā)掘過程，或是發(fā)送畸形網(wǎng)絡(luò)數(shù)據(jù)包和大量誤用數(shù)據(jù)包的DoS攻擊等。(4)網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)準(zhǔn)化程度，比主機(jī)數(shù)據(jù)源來說要高得多，如目前幾乎大部分網(wǎng)絡(luò)協(xié)議都采用了TCP/IP協(xié)議族。其標(biāo)準(zhǔn)化程度很高，所以，有利于安全審計系統(tǒng)在不同系統(tǒng)平臺環(huán)境下的移植。

第90頁，共142頁。其他數(shù)據(jù)源(1)來自其他安全產(chǎn)品的數(shù)據(jù)源

主要是指目標(biāo)系統(tǒng)內(nèi)部其他獨(dú)立運(yùn)行的安全產(chǎn)品(防火墻、身份認(rèn)證系統(tǒng)和訪問控制系統(tǒng)等)所產(chǎn)生的日志文件。這些數(shù)據(jù)源同樣也是安全審計系統(tǒng)所必須考慮的。(2)來自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源

如網(wǎng)絡(luò)管理系統(tǒng)，利用SNMP(簡單網(wǎng)管協(xié)議)所提供的信息作為數(shù)據(jù)源。(3)帶外數(shù)據(jù)源

指人工方式提供的數(shù)據(jù)信息，如硬件錯誤信息、系統(tǒng)配置信息、其他的各種自然危害事件等。

第91頁，共142頁。5.6信息安全審計與標(biāo)準(zhǔn)第92頁，共142頁。信息安全審計與標(biāo)準(zhǔn)TCSEC對于審計子系統(tǒng)的要求CC中的安全審計功能需求GB17859—1999對安全審計的要求信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求第93頁，共142頁。TCSECTCSEC：TrustedComputerSystemEvaluationCriteria，（美國）可信計算機(jī)系統(tǒng)評價標(biāo)準(zhǔn)TCSEC標(biāo)準(zhǔn)是計算機(jī)系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn)，具有劃時代的意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標(biāo)準(zhǔn)，后來延至民用領(lǐng)域。TCSEC將計算機(jī)系統(tǒng)的安全劃分為4個等級、7個級別。第94頁，共142頁。TCSECD類安全等級D類安全等級只包括D1一個級別。D1的安全等級最低。D1系統(tǒng)只為文件和用戶提供安全保護(hù)。D1系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個完全沒有保護(hù)的網(wǎng)絡(luò)。D1級的計算機(jī)系統(tǒng)包括：MS-Dos、Windows95、Apple的System7.x第95頁，共142頁。TCSECC類安全等級該類安全等級能夠提供審慎的保護(hù)，并為用戶的行動和責(zé)任提供審計能力。C類安全等級可劃分為C1和C2兩類。C1級系統(tǒng)要求硬件有一定的安全機(jī)制，用戶在使用前必須登錄到系統(tǒng)。C1級系統(tǒng)還要求具有完全訪問控制的能力，經(jīng)應(yīng)當(dāng)允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限。常見的C1級兼容計算機(jī)系統(tǒng)有：UNIX

系統(tǒng)、XENIX

、Novell3.x或更高版本、WindowsNT第96頁，共142頁。TCSECC2級

C2級實際是安全產(chǎn)品的最低檔次，提供受控的存取保護(hù)。

C2級引進(jìn)了受控訪問環(huán)境（用戶權(quán)限級別）的增強(qiáng)特性。授權(quán)分級使系統(tǒng)管理員能夠分用戶分組，授予他們訪問某些程序的權(quán)限或訪問分級目錄。

C2級系統(tǒng)還采用了系統(tǒng)審計。審計特性跟蹤所有的“安全事件”，以及系統(tǒng)管理員的工作。常見的C2級系統(tǒng)有：操作系統(tǒng)中Microsoft的WindowsNT3.5，UNIX系統(tǒng)。數(shù)據(jù)庫產(chǎn)品有oracle公司的oracle7，Sybase公司的SQLServer11.0.6等。第97頁，共142頁。TCSECB類安全等級B類安全等級可分為B1、B2和B3三類。B類系統(tǒng)具有強(qiáng)制性保護(hù)功能。強(qiáng)制性保護(hù)意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用戶存取對象。B1級

B1級系統(tǒng)支持多級安全，多級是指這一安全保護(hù)安裝在不同級別的系統(tǒng)中（網(wǎng)絡(luò)、應(yīng)用程序、工作站等），它對敏感信息提供更高級的保護(hù)。B2級這一級別稱為結(jié)構(gòu)化的保護(hù)（StructuredProtection)。B2級安全要求計算機(jī)系統(tǒng)中所有對象加標(biāo)簽，而且給設(shè)備（如工作站、終端和磁盤驅(qū)動器）分配安全級別。B3級

B3級要求用戶工作站或終端通過可信任途徑連接網(wǎng)絡(luò)系統(tǒng)，這一級必須采用硬件來保護(hù)安全系統(tǒng)的存儲區(qū)。第98頁，共142頁。TCSECA類安全等級A系統(tǒng)的安全級別最高。目前，A類安全等級只包含A1一個安全類別。A1類與B3類相似，對系統(tǒng)的結(jié)構(gòu)和策略不作特別要求。A1系統(tǒng)的顯著特征是，系統(tǒng)的設(shè)計者必須按照一個正式的設(shè)計規(guī)范來分析系統(tǒng)。對系統(tǒng)分析后，設(shè)計者必須運(yùn)用核對技術(shù)來確保系統(tǒng)符合設(shè)計規(guī)范。A1系統(tǒng)必須滿足下列要求：系統(tǒng)管理員必須從開發(fā)者那里接收到一個安全策略的正式模型;所有的安裝操作都必須由系統(tǒng)管理員進(jìn)行；系統(tǒng)管理員進(jìn)行的每一步安裝操作都必須有正式文檔。第99頁，共142頁。TCSEC4個等級D類安全等級C類安全等級B類安全等級A類安全等級7個級別D、C1、C2、B1、B2、B3、A1從低到高從低到高第100頁，共142頁。TCSEC第101頁，共142頁。TCSEC歐洲四國（英、法、德、荷）提出了評價滿足保密性、完整性、可用性要求的信息技術(shù)安全評價準(zhǔn)則（ITSEC，InformationTechnologySecurityEvaluationCriteria）后，美國又聯(lián)合以上諸國和加拿大，并會同國際標(biāo)準(zhǔn)化組織（ISO）共同提出信息技術(shù)安全評價的通用準(zhǔn)則（CC

forITSEC），CC已經(jīng)被五技術(shù)發(fā)達(dá)的國家承認(rèn)為代替TCSEC的評價安全信息系統(tǒng)的標(biāo)準(zhǔn)。目前，CC已經(jīng)被采納為國家標(biāo)準(zhǔn)ISO/IEC15408第102頁，共142頁。TCSECTCSEC對于審計子系統(tǒng)的要求

TCSEC的A1和A1+兩個級別較B3級沒有增加任何安全審計特征，從C2級的各級別都要求具有審計功能，而B3級提出了關(guān)于審計的全部功能要求。因此，TCSEC共定義了四個級別的審計要求:C2、B1、B2、B3。第103頁，共142頁。TCSECC2級要求審計以下事件:用戶的身份標(biāo)識和鑒別、用戶地址空間中客體的引入和刪除、計算機(jī)操作員/系統(tǒng)管理員/安全管理員的行為、其它與安全有關(guān)的事件。第104頁，共142頁。TCSECB1級相對于C2級增加了以下需要審計的事件:對于可以輸出到硬拷貝設(shè)備上的人工可讀標(biāo)志的修改（包括敏感標(biāo)記的覆寫和標(biāo)記功能的關(guān)閉）、對任何具有單一安全標(biāo)記的通訊通道或I/O設(shè)備的標(biāo)記指定、對具有多個安全標(biāo)記的通訊通道或I/O設(shè)備的安全標(biāo)記范圍的修改。B2級的安全功能要求較之B1級增加了可信路徑和隱蔽通道分析等，因此，除了B1級的審計要求外，對于可能被用于存儲型隱蔽通道的活動，在B2級也要求被審計。B3級在B2級的功能基礎(chǔ)上，增加了對可能將要違背系統(tǒng)安全政策這類事件的審計，比如對于時間型隱蔽通道的利用。第105頁，共142頁。CCCC，CommonCriteria，通用評估準(zhǔn)則簡稱，已經(jīng)于1999年12月正式由ISO組織所接受與頒布，成為全世界所公認(rèn)的信息安全技術(shù)評估準(zhǔn)則。CC不僅可以作為安全信息系統(tǒng)的評測標(biāo)準(zhǔn)，而且更可以作為安全信息系統(tǒng)設(shè)計與實現(xiàn)的標(biāo)準(zhǔn)與參考。發(fā)展歷程：1985年，美國國防部公布《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》（TCSEC）；1989年，加拿大公布《可信計算機(jī)產(chǎn)品評估準(zhǔn)則》（CTCPEC）；1991年，歐洲公布《信息技術(shù)安全評估準(zhǔn)則》（ITSEC）；1993年，美國公布《美國信息技術(shù)安全聯(lián)邦準(zhǔn)則》（FC）；1996年，六國七方（英國、加拿大、法國、德國、荷蘭、美國國家安全局和美國標(biāo)準(zhǔn)技術(shù)研究所）公布《信息技術(shù)安全性通用評估準(zhǔn)則》（CC1.0版）；1998年，六國七方公布《信息技術(shù)安全性通用評估準(zhǔn)則》（CC2.0版）；1999年12月，ISO接受CC為國際標(biāo)準(zhǔn)ISO/IEC15408標(biāo)準(zhǔn)，并正式頒布發(fā)行第106頁，共142頁。CC特點(diǎn)：從CC的發(fā)展歷史可以看出，CC源于TCSEC。CC已經(jīng)完全改進(jìn)了TCSEC，全面地考慮了與信息技術(shù)安全性有關(guān)的所有因素，以"安全功能要求"和"安全保證要求"的形式提出了這些因素，這些要求也可以用來構(gòu)建TCSEC的各級要求。CC定義了作為評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)。把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效的實施這些功能的保證要求。第107頁，共142頁。CC第108頁，共142頁。CC標(biāo)準(zhǔn)中的安全審計功能需求CC標(biāo)準(zhǔn)中，安全需求都以類、族、組件的層次結(jié)構(gòu)形式進(jìn)行定義，其中，安全功能需求共有11個類，安全審計就是一個單獨(dú)的安全功能需求類，其類名為FAU。安全審計類有六個族，分別對審計記錄的選擇、生成、存儲、保護(hù)、分析以及相應(yīng)的入侵響應(yīng)等功能做出了不同程度的要求。第109頁，共142頁。GB17859—1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則這是我國計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則強(qiáng)制性標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)給出了計算機(jī)信息系統(tǒng)相關(guān)定義，規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級。計算機(jī)信息系統(tǒng)安全保護(hù)能力隨著安全保護(hù)等級的增高，逐漸增強(qiáng)。第110頁，共142頁。GB17859—1999本標(biāo)準(zhǔn)規(guī)定了計算機(jī)系統(tǒng)安全保護(hù)能力的五個等級，即：第一級：用戶自主保護(hù)級；第二級：系統(tǒng)審計保護(hù)級；第三級：安全標(biāo)記保護(hù)級；第四級：結(jié)構(gòu)化保護(hù)級；第五級：訪問驗證保護(hù)級。從低到高第111頁，共142頁。GB17859—1999對安全審計的要求從第二級“系統(tǒng)審計保護(hù)級”開始有了對審計的要求，它規(guī)定計算機(jī)信息系統(tǒng)可信計算基（TCB）可以記錄以下事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其它與系統(tǒng)安全相關(guān)的事件。第112頁，共142頁。GB17859—1999對安全審計的要求TCB，TrustedComputingBase，可信計算基可信計算基是"計算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個基本的保護(hù)環(huán)境，并提供一個可信計算系統(tǒng)所要求的附加用戶服務(wù)"。通常指構(gòu)成安全計算機(jī)信息系統(tǒng)的所有安全保護(hù)裝置的組合體，以防止不可信主體的干擾和篡改。第113頁，共142頁。GB17859—1999對安全審計的要求第三級“安全標(biāo)記保護(hù)級”在第二級的基礎(chǔ)上，要求對于客體的增加和刪除這類事件要在審計記錄中增加對客體安全標(biāo)記的記錄。另外，TCB也要審計對可讀輸出記號（如輸出文件的安全標(biāo)記）的更改這類事件。第四級“結(jié)構(gòu)化保護(hù)級”的審計功能要求與第三級相比，增加了對可能利用存儲型隱蔽通道的事件進(jìn)行審計的要求。第114頁，共142頁。GB17859—1999對安全審計的要求第五級“訪問驗證保護(hù)級”在第四級的基礎(chǔ)上，要求TCB能夠監(jiān)控可審計安全事件的發(fā)生與積累，當(dāng)（這類事件的發(fā)生或積累）超過預(yù)定閾值時，TCB能夠立即向安全管理員發(fā)出警報。并且，如果這些事件繼續(xù)發(fā)生，系統(tǒng)應(yīng)以最小的代價終止它們。第115頁，共142頁。信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求1.安全審計產(chǎn)品分類技術(shù)規(guī)范將安全審計產(chǎn)品分為專用型和綜合型兩類。專用型是指對主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫管理系統(tǒng)、其它應(yīng)用系統(tǒng)等客體采集對象其中一類進(jìn)行審計，并對審計事件進(jìn)行分析和響應(yīng)的安全審計產(chǎn)品。綜合型是指對主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫管理系統(tǒng)、其他應(yīng)用系統(tǒng)中至少兩類客體采集對象進(jìn)行審計，并對審計事件進(jìn)行統(tǒng)一分析與響應(yīng)的安全審計產(chǎn)品。第116頁，共142頁。信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求2.安全功能要求技術(shù)規(guī)范分為審計蹤跡、審計數(shù)據(jù)保護(hù)、安全管理、標(biāo)識和鑒別、產(chǎn)品升級、監(jiān)管要求等六個方面給出了詳細(xì)的安全功能要求，其中每個功能還有更細(xì)致、可測試的安全子功能描述。第117頁，共142頁。信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求3.自身安全要求技術(shù)規(guī)范對安全審計產(chǎn)品自身安全也作出了明確的要求，分別包括：自身審計數(shù)據(jù)生成、自身安全審計記錄獨(dú)立存放、審計代理安全、產(chǎn)品卸載安全、系統(tǒng)時間同步、管理信息傳輸安全、系統(tǒng)部署安全、審計數(shù)據(jù)安全等。第118頁，共142頁。信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求4.性能要求信息系統(tǒng)安全審計產(chǎn)品的性能要求是指(1)穩(wěn)定性;(2)資源占用：軟件代理的運(yùn)行對宿主機(jī)資源（如CPU、內(nèi)存空間和存儲空間），不應(yīng)長時間固定或無限制占用(3)網(wǎng)絡(luò)影響：產(chǎn)品的運(yùn)行不應(yīng)對原網(wǎng)絡(luò)正常通信產(chǎn)生長時間固定影響。(4)產(chǎn)品應(yīng)有足夠的吞吐量.5.保證要求技術(shù)規(guī)范還對產(chǎn)品及開發(fā)者提出了若干產(chǎn)品保證方面的要求.第119頁，共142頁。5.7計算機(jī)取證第120頁，共142頁。計算機(jī)犯罪根據(jù)刑法條文的有關(guān)規(guī)定和我國計算機(jī)犯罪的實際情況，計算機(jī)犯罪是指行為人違反國家規(guī)定，故意侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)等計算機(jī)信息系統(tǒng)，或者利用各種技術(shù)手段對計算機(jī)信息系統(tǒng)的功能及有關(guān)數(shù)據(jù)、應(yīng)用程序等進(jìn)行破壞，制作、傳播計算機(jī)病毒。影響計算機(jī)系統(tǒng)正常運(yùn)行且造成嚴(yán)重后果的行為。第121頁，共142頁。計算機(jī)犯罪利用計算機(jī)進(jìn)行犯罪的兩種方式：一是利用計算機(jī)存儲有關(guān)犯罪活動的信息；二是直接利用計算機(jī)作為犯罪工具進(jìn)行犯罪活動。第122頁，共142頁。計算機(jī)取證計算機(jī)取證的發(fā)展歷程美國是開展電子證據(jù)檢驗和研究工作最早的國家之一。1989年FBI實驗室開始了電子證據(jù)檢驗研究，并成立了專門從事電子證據(jù)檢驗的部門（CART）。每名檢驗人員除了具有專業(yè)基礎(chǔ)外，還必須經(jīng)過FBI組織的七周以上的專門培訓(xùn)，包括刑事技術(shù)檢驗基礎(chǔ)、電子技術(shù)檢驗技術(shù)和有關(guān)法律知識，每年還要對檢驗人員進(jìn)行一定的新技術(shù)培訓(xùn)。美國的這種做法后來被許多其他國家的執(zhí)法機(jī)構(gòu)效仿。CART：ComputerAnalysisandResponseTeam，計算機(jī)分析與響應(yīng)組為了適應(yīng)當(dāng)前形勢，推動電子證據(jù)鑒定工作的開展，我國有關(guān)機(jī)構(gòu)在充實計算機(jī)技術(shù)力量和設(shè)備的基礎(chǔ)上，適應(yīng)新時期公安工作的實際需要，從1999年開始對電子證據(jù)檢驗技術(shù)進(jìn)行研究，2001年開始開展電子證據(jù)檢驗鑒定工作。第123頁，共142頁。計算機(jī)取證1999年的《合同法》第十一條規(guī)定了“數(shù)據(jù)電文包括電報、電傳、傳真、電子數(shù)據(jù)交換和電子郵件等”。2004年的《電子簽名法》對于數(shù)據(jù)電文的形式要求、保存要求、審查認(rèn)定的規(guī)則做了詳細(xì)規(guī)定。2010年最高法、最高檢等部門聯(lián)合發(fā)布的《關(guān)于辦理死刑案件審查判斷證據(jù)若干問題的規(guī)定》中，第一次將電子郵件、電子數(shù)據(jù)交換、網(wǎng)上聊天記錄、網(wǎng)絡(luò)博客、手機(jī)短信、電子簽名、域名等界定為電子證據(jù)的形式。2012年修訂后的民事訴訟法第六十三條規(guī)定：“證據(jù)包括：（一）當(dāng)事人的陳述；（二）書證；（三）物證；（四）視聽資料；（五）電子數(shù)據(jù)；（六）證人證言；（七）鑒定意見；（八）勘驗筆錄?！痹撘?guī)定明確將“電子數(shù)據(jù)”與書證、視聽資料等并列作為單獨(dú)的證據(jù)類型。2015年，最高法發(fā)布的民訴法解釋第一百一十六條規(guī)定：“視聽資料包括錄音資料和影像資料。電子數(shù)據(jù)是指通過電子郵件、電子數(shù)據(jù)交換、網(wǎng)上聊天記錄、博客、微博客、手機(jī)短信、電子簽名、域名等形成或者存儲在電子介質(zhì)中的信息。存儲在電子介質(zhì)中的錄音資料和影像資料，適用電子數(shù)據(jù)的規(guī)定?！钡?24頁，共142頁。計算機(jī)取證計算機(jī)取證（ComputerForensics）計算機(jī)取證是對計算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式，進(jìn)行識別、保存、分析和提交數(shù)字證據(jù)的過程。把計算機(jī)看作犯罪現(xiàn)場，運(yùn)用先進(jìn)的辨析技術(shù)，對計算機(jī)犯罪行為進(jìn)行法醫(yī)式的解剖，搜索確認(rèn)犯罪及其犯罪證據(jù)，并據(jù)此提起訴訟的過程和技術(shù)。目的是要將犯罪者留在計算機(jī)中的“痕跡”作為有效的訴訟證據(jù)提供給法庭，以便將犯罪嫌疑人繩之以法。第125頁，共142頁。電子證據(jù)計算機(jī)取證主要是圍繞電子證據(jù)進(jìn)行的。電子證據(jù)也稱為計算機(jī)證據(jù)，是指在計算機(jī)或計算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的，以其記錄的內(nèi)容來證明案件事實的電磁記錄。多媒體技術(shù)的發(fā)展，電子證據(jù)綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。第126頁，共142頁。電子證據(jù)的來源系統(tǒng)日