信息系統(tǒng)安全審計_第1頁
信息系統(tǒng)安全審計_第2頁
信息系統(tǒng)安全審計_第3頁
信息系統(tǒng)安全審計_第4頁
信息系統(tǒng)安全審計_第5頁
已閱讀5頁,還剩26頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第七章信息系統(tǒng)安全審計信息安全管理信息系統(tǒng)安全審計全文共31頁,當前為第1頁。本講內(nèi)容信息系統(tǒng)安全審計概述1235安全審計系統(tǒng)的體系結(jié)構(gòu)安全審計的一般流程34安全審計的數(shù)據(jù)源信息系統(tǒng)安全審計全文共31頁,當前為第2頁。信息系統(tǒng)安全審計概述概念:信息系統(tǒng)安全審計是評判一個信息系統(tǒng)是否真正安全的重要手段之一。我國的國家標準《GB/T20945-2007,信息安全技術(shù)信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法》給出了安全審計的定義。安全審計是對信息系統(tǒng)的各種事件及行為實行監(jiān)測、信息采集、分析并針對特定事件及行為采取相應(yīng)響應(yīng)動作。信息系統(tǒng)安全審計全文共31頁,當前為第3頁。信息系統(tǒng)安全審計概述主要目標:檢查是否符合現(xiàn)行的安全策略,標準,指南和程序找出不足之處,并檢查現(xiàn)有策略,標準、指南和程序的實施效果識別和審查是否符合相關(guān)的法律、法規(guī)和合同的要求識別和理解存在的漏洞檢討現(xiàn)有的操作、行政和管理方面的安全控制問題,確保實現(xiàn)的安全措施和符合最低安全標準的要求提供改進建議和糾正措施信息系統(tǒng)安全審計全文共31頁,當前為第4頁。信息系統(tǒng)安全審計概述功能:取證威懾發(fā)現(xiàn)系統(tǒng)漏洞發(fā)現(xiàn)系統(tǒng)運行異常評價標準符合程度信息系統(tǒng)安全審計全文共31頁,當前為第5頁。信息系統(tǒng)安全審計概述分類:按照審計分析的對象,分為針對主機的審計針對網(wǎng)絡(luò)的審計按照審計的工作方式,分為集中式安全審計分布式安全審計信息系統(tǒng)安全審計全文共31頁,當前為第6頁。安全審計系統(tǒng)的體系結(jié)構(gòu)信息安全審計系統(tǒng)的一般組成:一般而言,一個完整的安全審計系統(tǒng)如圖所示信息系統(tǒng)安全審計全文共31頁,當前為第7頁。安全審計系統(tǒng)的體系結(jié)構(gòu)集中式安全審計系統(tǒng)體系結(jié)構(gòu):集中式安全審計系統(tǒng)體系結(jié)構(gòu)如圖所示信息系統(tǒng)安全審計全文共31頁,當前為第8頁。安全審計系統(tǒng)的體系結(jié)構(gòu)集中式的審計體系結(jié)構(gòu)越來越顯示出其缺陷,主要表現(xiàn)在:造成CPU、I/O以及網(wǎng)絡(luò)通信的負擔,而且中心計算機往往容易發(fā)生單點故障有可能因為單個點的失敗造成整個審計數(shù)據(jù)的不可用集中式的體系結(jié)構(gòu),自適應(yīng)能力差,不能根據(jù)環(huán)境變化自動更改配置信息系統(tǒng)安全審計全文共31頁,當前為第9頁。分布式安全審計系統(tǒng)體系結(jié)構(gòu)集中式安全審計系統(tǒng)體系結(jié)構(gòu):典型的分布式安全審計系統(tǒng)結(jié)構(gòu)如圖所示信息系統(tǒng)安全審計全文共31頁,當前為第10頁。分布式安全審計系統(tǒng)體系結(jié)構(gòu)它由三部分組成:主機代理模塊局域網(wǎng)監(jiān)視器代理模塊中央管理者模塊優(yōu)點:擴展能力強容錯能力強兼容性強適應(yīng)性強信息系統(tǒng)安全審計全文共31頁,當前為第11頁。安全審計的一般流程安全審計流程如圖所示信息系統(tǒng)安全審計全文共31頁,當前為第12頁。安全審計的一般流程策略定義:安全審計應(yīng)在一定的審計策略下進行,審計策略規(guī)定哪些信息需要采集、哪些事件是危險事件、以及對這些事件應(yīng)如何處理等。因而審計前應(yīng)制定一定的審計策略,并下發(fā)到各審計單元。信息系統(tǒng)安全審計全文共31頁,當前為第13頁。安全審計的一般流程事件采集:事件采集階段包含以下行為:按照預(yù)定的審計策略對客體進行相關(guān)審計事件采集。形成的結(jié)果交由事件后續(xù)的各階段來處理將事件其他各階段提交的審計策略分發(fā)至各審計代理,審計代理依據(jù)策略進行客體事件采集信息系統(tǒng)安全審計全文共31頁,當前為第14頁。安全審計的一般流程事件分析:事件分析階段包含以下行為:按照預(yù)定策略,對采集到事件進行事件辨析,決定忽略該事件產(chǎn)生審計信息產(chǎn)生審計信息并報警產(chǎn)生審計信息且進行響應(yīng)聯(lián)動按照用戶定義與預(yù)定策略,將事件分析結(jié)果生成審計記錄,并形成審計報告信息系統(tǒng)安全審計全文共31頁,當前為第15頁。安全審計的一般流程事件響應(yīng):事件響應(yīng)階段是根據(jù)事件分析的結(jié)果采用相應(yīng)的響應(yīng)行動,包含以下行為:對事件分析階段產(chǎn)生的報警信息、響應(yīng)請求進行報警與響應(yīng)按照預(yù)定策略,生成審計記錄,寫入審計數(shù)據(jù)庫,并將各類審計分析報告發(fā)送到指定的對象按照預(yù)定策略對審計記錄進行備份信息系統(tǒng)安全審計全文共31頁,當前為第16頁。安全審計的一般流程結(jié)果匯總:結(jié)果匯總階段負責(zé)對事件分析及響應(yīng)的結(jié)果進行匯總,主要包含以下行為:將各類審計報告進行分類匯總對審計結(jié)果進行適當?shù)慕y(tǒng)計分析,形成分析報告根據(jù)用戶需求和事件分析處理結(jié)果形成審計策略修改意見信息系統(tǒng)安全審計全文共31頁,當前為第17頁。安全審計的數(shù)據(jù)源

基于主機的數(shù)據(jù)源操作系統(tǒng)的審計記錄系統(tǒng)日志應(yīng)用程序日志信息基于網(wǎng)絡(luò)的數(shù)據(jù)源其它數(shù)據(jù)源來自其它安全產(chǎn)品的數(shù)據(jù)源來自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源帶外數(shù)據(jù)源信息系統(tǒng)安全審計全文共31頁,當前為第18頁。安全審計的分析方法

基于規(guī)則庫的安全審計方法基于數(shù)理統(tǒng)計的安全審計方法基于日志數(shù)據(jù)挖掘的安全審計方法其它安全審計方法神經(jīng)網(wǎng)絡(luò)遺傳算法信息系統(tǒng)安全審計全文共31頁,當前為第19頁。信息安全審計與標準TCSES中的安全審計功能需求:TCSEC將系統(tǒng)定義為從高到低的A、B、C、D四類安全等級。A類安全等級只包含A1一個安全類別B類安全等級包括B1、B2、B3三個安全類別(其中安全等級要求強度的順序是B1<B2<B3)C類安全等級可劃分為C1和C2兩類(C1<C2)信息系統(tǒng)安全審計全文共31頁,當前為第20頁。信息安全審計與標準CC中的安全審計功能需求:CC標準基于安全功能與安全保證措施相獨立的觀念,在組織上分為基本概念、安全功能需求和安全保證需求三大部分。CC中,安全需求都以類、族、組件的層次結(jié)構(gòu)形式進行定義。安全審計類有六個族(如圖所示),分別對審計記錄的選擇、生成、存儲、保護、分析以及相應(yīng)的入侵響應(yīng)等功能做出了不同程度的要求。信息系統(tǒng)安全審計全文共31頁,當前為第21頁。信息安全審計與標準信息系統(tǒng)安全審計全文共31頁,當前為第22頁。信息安全審計與標準GB17859對安全審計的要求:我國的信息安全國家標準GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》定義了五個安全等級,其中較高的四個級別都對審計提出了明確的要求。信息系統(tǒng)安全審計全文共31頁,當前為第23頁。信息安全審計與標準信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求:我國的國標《GB/T20945-2007信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法》對信息安全審計產(chǎn)品提出了以下幾個方面的技術(shù)要求。安全審計產(chǎn)品分類安全功能要求自身安全要求性能要求保證要求信息系統(tǒng)安全審計全文共31頁,當前為第24頁。計算機取證計算機取證的發(fā)展歷程:美國是開展電子證據(jù)檢驗和研究工作最早的國家之一。為了適應(yīng)當前形勢,我國從1999年開始對電子證據(jù)檢驗技術(shù)進行研究,2001年開始開展電子證據(jù)檢驗鑒定工作,目前已成功受理此類案件近30起。對計算機取證的技術(shù)研究、專門的工具軟件的開發(fā)以及相關(guān)商業(yè)服務(wù)出現(xiàn)的始自于90年代中后期。從近兩年的計算機安全技術(shù)論壇上看,計算機取證分析已成為當前大家普遍關(guān)注的熱點問題。信息系統(tǒng)安全審計全文共31頁,當前為第25頁。計算機取證計算機取證的概念:計算機取證是對計算機入侵、破壞、欺詐、攻擊等犯罪行為,利用計算機軟硬件技術(shù),按照符合法律規(guī)范的方式,進行識別、保存、分析和提交數(shù)字證據(jù)的過程。計算機取證遵循如下原則:盡早搜集證據(jù),并保證其沒有受到任何破壞必須保證“證據(jù)連續(xù)性”整個檢查、取證過程必須是受到監(jiān)督的信息系統(tǒng)安全審計全文共31頁,當前為第26頁。計算機取證計算機取證流程:計算機取證的一般步驟由以下幾個部分組成,如圖所示信息系統(tǒng)安全審計全文共31頁,當前為第27頁。計算機取證計算機取證相關(guān)技術(shù):依據(jù)計算機取證的過程,涉及到的相關(guān)技術(shù)大體如下:電子證據(jù)監(jiān)測技術(shù)物理證據(jù)獲取技術(shù)電子證據(jù)收集技術(shù)電子證據(jù)保全技術(shù)電子證據(jù)處理及鑒定技術(shù)電子證據(jù)提交技術(shù)信息系統(tǒng)安全審計全文共31頁,當前為第28頁。計算機取證計算機取證工具:計算機取證工具分類證據(jù)獲取工具證據(jù)保全工具證據(jù)分析工具證據(jù)歸檔工具信息系統(tǒng)安全審計全文共31頁,當前為第29頁。本章小結(jié):安全審計就是對系統(tǒng)安全的審核

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論