入侵檢測(cè)與安全審計(jì)系統(tǒng)

第六章

入侵檢測(cè)與安全審計(jì)系統(tǒng)9/12/20231電子科技大學(xué)成都學(xué)院6.1入侵檢測(cè)系統(tǒng)6.2安全審計(jì)系統(tǒng)9/12/20232電子科技大學(xué)成都學(xué)院6.1入侵檢測(cè)系統(tǒng)6.1.1入侵檢測(cè)系統(tǒng)的概念入侵(Intrusion)是指任何企圖危及資源的完整性、機(jī)密性和可用性的活動(dòng)。入侵檢測(cè)顧名思義，是指通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)——IntrusionDetectionSystem，簡(jiǎn)稱IDS，入侵檢測(cè)的軟件與硬件的組合。9/12/20233電子科技大學(xué)成都學(xué)院模型

最早的入侵檢測(cè)模型是由Denning給出的，該模型主要根據(jù)主機(jī)系統(tǒng)審計(jì)記錄數(shù)據(jù)，生成有關(guān)系統(tǒng)的若干輪廓，并監(jiān)測(cè)輪廓的變化差異發(fā)現(xiàn)系統(tǒng)的入侵行為，如下圖：9/12/20234電子科技大學(xué)成都學(xué)院

CIDF(通用入侵檢測(cè)框架)標(biāo)準(zhǔn)——入侵檢測(cè)系統(tǒng)的通用模型，解決不同IDS之間的互操作和共存問(wèn)題。

事件——IDS需要分析的數(shù)據(jù)，可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。事件產(chǎn)生器：從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元：對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，或是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)：存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，既可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。9/12/20235電子科技大學(xué)成都學(xué)院作用是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。是安防系統(tǒng)的重要組成部分。以后臺(tái)進(jìn)程的形式運(yùn)行，發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員。被認(rèn)為是防火墻之后的第二道安全閘門。如同大樓的監(jiān)視系統(tǒng)。9/12/20236電子科技大學(xué)成都學(xué)院6.1.2入侵檢測(cè)系統(tǒng)的特點(diǎn)不需要人工干預(yù)即可不間斷的運(yùn)行有容錯(cuò)能力不需要占用大量的系統(tǒng)資源能夠發(fā)現(xiàn)異常的操作能夠適應(yīng)系統(tǒng)行為的長(zhǎng)期變化判斷正確靈活定制保持領(lǐng)先9/12/20237電子科技大學(xué)成都學(xué)院6.1.3入侵行為的誤判正誤判——將一個(gè)合法操作判斷為異常行為。后果：導(dǎo)致用戶不理會(huì)IDS的報(bào)警，使IDS形同虛設(shè)。負(fù)誤判——將一個(gè)攻擊動(dòng)作判斷為非攻擊行為，并允許其通過(guò)檢測(cè)。后果：背離了安全防護(hù)的宗旨，IDS系統(tǒng)成為例行公事。失控誤判——攻擊者修改了IDS系統(tǒng)的操作，使它總出現(xiàn)負(fù)誤判的情況。后果：不易察覺(jué)，長(zhǎng)此以往，IDS將不會(huì)報(bào)警。9/12/20238電子科技大學(xué)成都學(xué)院6.1.4入侵分析方法簽名分析法統(tǒng)計(jì)分析法數(shù)據(jù)完整性分析法9/12/20239電子科技大學(xué)成都學(xué)院簽名分析法主要用來(lái)監(jiān)測(cè)對(duì)系統(tǒng)的已知弱點(diǎn)進(jìn)行攻擊的行為。方法：從攻擊模式中歸納出它的簽名，編寫(xiě)到IDS系統(tǒng)的代碼里。簽名分析實(shí)際上是一種模板匹配操作：一方是系統(tǒng)設(shè)置情況和用戶操作動(dòng)作一方是已知攻擊模式的簽名數(shù)據(jù)庫(kù)9/12/202310電子科技大學(xué)成都學(xué)院統(tǒng)計(jì)分析法以統(tǒng)計(jì)學(xué)為理論基礎(chǔ)，以系統(tǒng)正常使用情況下觀察到的動(dòng)作模式為依據(jù)來(lái)判別某個(gè)動(dòng)作是否偏離了正常軌道。

數(shù)據(jù)完整性分析法以密碼學(xué)為理論基礎(chǔ)，可以查證文件或者對(duì)象是否被別人修改過(guò)。

9/12/202311電子科技大學(xué)成都學(xué)院工作流程根據(jù)計(jì)算機(jī)審計(jì)記錄文件產(chǎn)生代表用戶會(huì)話行為的會(huì)話矢量，然后對(duì)這些會(huì)話矢量進(jìn)行分析，計(jì)算出會(huì)話的異常值，當(dāng)該值超過(guò)閾值便產(chǎn)生警告。一個(gè)簡(jiǎn)單的基于統(tǒng)計(jì)的異常檢測(cè)模型9/12/202312電子科技大學(xué)成都學(xué)院步驟1：產(chǎn)生會(huì)話矢量。根據(jù)審計(jì)文件中的用戶會(huì)話(如用戶會(huì)話包括login和logout之間的所有行為)產(chǎn)生會(huì)話矢量。會(huì)話矢量X=<x1,x2,….,xn>表示描述單一會(huì)話用戶行為的各種屬性的數(shù)量。會(huì)話開(kāi)始于login，終止于logout，login和logout次數(shù)也作為會(huì)話矢量的一部分?？杀O(jiān)視20多種屬性，如：工作的時(shí)間、創(chuàng)建文件數(shù)、閱讀文件數(shù)、打印頁(yè)數(shù)和I/O失敗次數(shù)等。

9/12/202313電子科技大學(xué)成都學(xué)院步驟2：產(chǎn)生伯努里矢量。伯努里矢量B=<b1,b2,…,bn>是單一2值矢量，表示屬性的數(shù)目是否在正常用戶的閾值范圍之外。閾值矢量T=<t1,t2,…,tn>表示每個(gè)屬性的范圍，其中ti是<ti,min,ti,max>形式的元組，代表第i個(gè)屬性的范圍。這樣閾值矢量實(shí)際上構(gòu)成了一張測(cè)量表。算法假設(shè)ti服從高斯分布(即：正態(tài)分布)。產(chǎn)生伯努里矢量的方法就是用屬性i的數(shù)值xi與測(cè)量表中相應(yīng)的閾值范圍比較，當(dāng)超出范圍時(shí)，bi被置1，否則bi置0。產(chǎn)生伯努里矢量的函數(shù)可描述為：

9/12/202314電子科技大學(xué)成都學(xué)院步驟3：產(chǎn)生加權(quán)入侵值。加權(quán)入侵矢量W=<w1,w2,…,wn>中每個(gè)wi與檢測(cè)入侵類型的第i個(gè)屬性的重要性相關(guān)。即，wi對(duì)應(yīng)第i個(gè)屬性超過(guò)閾值ti的情況在整個(gè)入侵判定中的重要程度。加權(quán)入侵值由下式給出： 加權(quán)入侵值步驟4：若加權(quán)入侵值大于預(yù)設(shè)的閾值，則給出報(bào)警。

9/12/202315電子科技大學(xué)成都學(xué)院模型應(yīng)用實(shí)例利用該模型設(shè)計(jì)一防止網(wǎng)站被黑客攻擊的預(yù)警系統(tǒng)。考慮到一個(gè)黑客應(yīng)該攻擊他自己比較感興趣的網(wǎng)站，因此可以在黑客最易發(fā)起攻擊的時(shí)間段去統(tǒng)計(jì)各網(wǎng)頁(yè)被訪問(wèn)的頻率，當(dāng)某一網(wǎng)頁(yè)突然間被同一主機(jī)訪問(wèn)的頻率劇增，那么可以判定該主機(jī)對(duì)某一網(wǎng)頁(yè)發(fā)生了超乎尋常的興趣，這時(shí)可以給管理員一個(gè)警報(bào)，以使其提高警惕。9/12/202316電子科技大學(xué)成都學(xué)院借助該模型，可以根據(jù)某一時(shí)間段的Web日志信息產(chǎn)生會(huì)話矢量，該矢量描述在特定時(shí)間段同一請(qǐng)求主機(jī)訪問(wèn)各網(wǎng)頁(yè)的頻率，xi說(shuō)明第i個(gè)網(wǎng)頁(yè)被訪問(wèn)的頻率；接著根據(jù)閾值矢量產(chǎn)生伯努里矢量，此處的閾值矢量定為各網(wǎng)頁(yè)被訪問(wèn)的正常頻率范圍；然后計(jì)算加權(quán)入侵值，加權(quán)矢量中的wi與網(wǎng)頁(yè)需受保護(hù)程度相關(guān)，即若wi>wj，表明網(wǎng)頁(yè)i比網(wǎng)頁(yè)j更需要保護(hù)；最后若加權(quán)入侵值大于預(yù)設(shè)的閾值，則給出報(bào)警，提醒管理員，網(wǎng)頁(yè)可能將會(huì)被破壞。

9/12/202317電子科技大學(xué)成都學(xué)院該模型存在的缺陷和問(wèn)題，如：大量審計(jì)日志的實(shí)時(shí)處理問(wèn)題。盡管審計(jì)日志能提供大量信息，但它們可能遭受數(shù)據(jù)崩潰、修改和刪除。并且在許多情況下，只有在發(fā)生入侵行為后才產(chǎn)生相應(yīng)的審計(jì)記錄，因此該模型在實(shí)時(shí)監(jiān)控性能方面較差。檢測(cè)屬性的選擇問(wèn)題，即如何選擇與入侵判定相關(guān)度高的、有限的一些檢測(cè)屬性。閾值矢量的設(shè)置存在缺陷。由于模型依賴于用戶正常行為的規(guī)范性，因此用戶行為變化越快，誤警率也越高。預(yù)設(shè)入侵閾值的選擇問(wèn)題，即如何更加科學(xué)地設(shè)置入侵閾值，以降低誤報(bào)率、漏報(bào)率。9/12/202318電子科技大學(xué)成都學(xué)院6.1.5入侵檢測(cè)系統(tǒng)的主要類型分類根據(jù)其采用的分析方法可分為異常檢測(cè)誤用檢測(cè)根據(jù)系統(tǒng)的工作方式可分為離線檢測(cè)在線檢測(cè)根據(jù)系統(tǒng)所檢測(cè)的對(duì)象可分為基于主機(jī)的基于網(wǎng)絡(luò)的9/12/202319電子科技大學(xué)成都學(xué)院異常檢測(cè)需要建立目標(biāo)系統(tǒng)及其用戶的正常活動(dòng)模型，然后基于這個(gè)模型對(duì)系統(tǒng)和用戶的實(shí)際活動(dòng)進(jìn)行審計(jì)，當(dāng)主體活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，則將其視為可疑行為。關(guān)鍵：異常閾值和特征的選擇優(yōu)點(diǎn)：可以發(fā)現(xiàn)新型的入侵行為，漏報(bào)少缺點(diǎn)：容易產(chǎn)生誤報(bào)9/12/202320電子科技大學(xué)成都學(xué)院誤用檢測(cè)假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，系統(tǒng)的目標(biāo)就是檢測(cè)主體活動(dòng)是否符合這些模式。優(yōu)點(diǎn)：可以有針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng)，其精確度較高，誤報(bào)少。缺點(diǎn):只能發(fā)現(xiàn)攻擊庫(kù)中已知的攻擊，不能檢測(cè)未知的入侵，也不能檢測(cè)已知入侵的變種，因而會(huì)發(fā)生漏報(bào)；復(fù)雜性將隨著攻擊數(shù)量的增加而增加。9/12/202321電子科技大學(xué)成都學(xué)院離線檢測(cè)在事后分析審計(jì)事件，從中檢查入侵活動(dòng)，是一種非實(shí)時(shí)工作的系統(tǒng)。在線檢測(cè) 實(shí)時(shí)聯(lián)機(jī)的檢測(cè)系統(tǒng)，包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，對(duì)實(shí)時(shí)主機(jī)審計(jì)分析。9/12/202322電子科技大學(xué)成都學(xué)院主要類型應(yīng)用軟件入侵檢測(cè)概念：在應(yīng)用級(jí)收集信息優(yōu)點(diǎn)：控制性好缺點(diǎn)：需要支持的應(yīng)用軟件數(shù)量多只能保護(hù)一個(gè)組件9/12/202323電子科技大學(xué)成都學(xué)院基于主機(jī)的入侵檢測(cè)概念在宿主系統(tǒng)審計(jì)日志文件中尋找攻擊特征，然后給出統(tǒng)計(jì)分析報(bào)告。始于80年代早期，通常采用查看針對(duì)可疑行為的審計(jì)記錄來(lái)執(zhí)行。對(duì)新的記錄條目與攻擊特征進(jìn)行比較，并檢查不應(yīng)該被改變的系統(tǒng)文件的校驗(yàn)和來(lái)分析系統(tǒng)是否被侵入或被攻擊。若發(fā)現(xiàn)與攻擊模式匹配，IDS系統(tǒng)通過(guò)向管理員報(bào)警和其他呼叫行為來(lái)響應(yīng)。9/12/202324電子科技大學(xué)成都學(xué)院優(yōu)點(diǎn)：監(jiān)視所有系統(tǒng)行為有些攻擊在網(wǎng)絡(luò)的數(shù)據(jù)流中很難發(fā)現(xiàn)，或根本沒(méi)有通過(guò)網(wǎng)絡(luò)在本地進(jìn)行，此時(shí)基于網(wǎng)絡(luò)的IDS系統(tǒng)將無(wú)能為力適應(yīng)交換和加密不要求額外的硬件缺點(diǎn)：看不到網(wǎng)絡(luò)活動(dòng)的狀況運(yùn)行審計(jì)功能要占用額外系統(tǒng)資源主機(jī)監(jiān)視感應(yīng)器對(duì)不同的平臺(tái)不能通用管理和實(shí)施比較復(fù)雜9/12/202325電子科技大學(xué)成都學(xué)院基于網(wǎng)絡(luò)的入侵檢測(cè)概念在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵模板的數(shù)據(jù)包，并立即做出相應(yīng)反應(yīng)，如發(fā)生電子郵件、記錄日志、切斷網(wǎng)絡(luò)連接等。優(yōu)點(diǎn)花費(fèi)低檢查所有的包頭來(lái)識(shí)別惡意和可疑行為處于比較隱蔽的位置，基本上不對(duì)外提供服務(wù)，比較堅(jiān)固。具有更好的實(shí)時(shí)性檢測(cè)不成功的攻擊和惡意企圖基于網(wǎng)路的IDS不依賴于被保護(hù)主機(jī)的操作系統(tǒng)9/12/202326電子科技大學(xué)成都學(xué)院缺點(diǎn)對(duì)加密通信無(wú)能為力對(duì)高速網(wǎng)絡(luò)無(wú)能為力不能預(yù)測(cè)命令的執(zhí)行后果9/12/202327電子科技大學(xué)成都學(xué)院集成入侵檢測(cè)概念：綜合前幾種技術(shù)的入侵檢測(cè)方法優(yōu)點(diǎn)具有每一種檢測(cè)技術(shù)的優(yōu)點(diǎn)，并試圖彌補(bǔ)各自的不足趨勢(shì)分析穩(wěn)定性好節(jié)約成本缺點(diǎn)在安防問(wèn)題上不思進(jìn)取把不同供應(yīng)商的組件集成在一起較困難9/12/202328電子科技大學(xué)成都學(xué)院6.1.6入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)和不足優(yōu)點(diǎn)能夠使現(xiàn)有的安防體系更完善能夠更好地掌握系統(tǒng)的情況能夠追蹤攻擊者的攻擊線路界面友好，便于建立安防體系能夠抓住肇事者9/12/202329電子科技大學(xué)成都學(xué)院不足不能夠在沒(méi)有用戶參與的情況下對(duì)攻擊行為展開(kāi)調(diào)查不能夠在沒(méi)有用戶參與的情況下阻止攻擊行為的發(fā)生不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷不能克服設(shè)計(jì)原理方面的缺陷響應(yīng)不夠快時(shí)，簽名數(shù)據(jù)庫(kù)更新不夠快。9/12/202330電子科技大學(xué)成都學(xué)院6.1.7入侵檢測(cè)體系結(jié)構(gòu)集中式結(jié)構(gòu)IDS發(fā)展初期，大都采用單一的體系結(jié)構(gòu)，即所有的工作包括數(shù)據(jù)的采集、分析都由單一主機(jī)上的單一程序來(lái)完成。注意：一些所謂的分布式IDS只是在數(shù)據(jù)采集上實(shí)現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)和識(shí)別還是由單一程序來(lái)完成。優(yōu)點(diǎn)：數(shù)據(jù)的集中處理可以更加準(zhǔn)確地分析可能的入侵行為9/12/202331電子科技大學(xué)成都學(xué)院缺點(diǎn)：可擴(kuò)展性差。在單一主機(jī)上處理所有的信息限制了受監(jiān)視網(wǎng)絡(luò)的規(guī)模；分布式的數(shù)據(jù)收集常會(huì)引起網(wǎng)絡(luò)數(shù)據(jù)過(guò)載問(wèn)題。難于重新配置和添加新功能。要使新的設(shè)置和功能生效，IDS通常要重新啟動(dòng)。中央分析器是個(gè)單一失效點(diǎn)。數(shù)據(jù)的集中處理使檢測(cè)主機(jī)成了網(wǎng)絡(luò)安全的瓶頸，若它出現(xiàn)故障或受到攻擊，則整個(gè)網(wǎng)絡(luò)的安全將無(wú)從保障。9/12/202332電子科技大學(xué)成都學(xué)院分布式結(jié)構(gòu)采用多個(gè)代理在網(wǎng)絡(luò)各部分分別進(jìn)行入侵檢測(cè)，并且協(xié)同處理可能的入侵行為。優(yōu)點(diǎn):能夠較好地實(shí)現(xiàn)數(shù)據(jù)的監(jiān)聽(tīng)，可以檢測(cè)內(nèi)部和外部的入侵行為。缺點(diǎn)：不能完全解決集中式結(jié)構(gòu)的缺點(diǎn)。因?yàn)楫?dāng)前的網(wǎng)絡(luò)普遍是分層的結(jié)構(gòu)，而純分布式的入侵檢測(cè)要求代理分布在同一個(gè)層次，若代理所處的層次太低，則無(wú)法檢測(cè)針對(duì)網(wǎng)絡(luò)上層的入侵；反之，則無(wú)法檢測(cè)針對(duì)網(wǎng)絡(luò)下層的入侵。同時(shí)，由于每個(gè)代理都沒(méi)有針對(duì)網(wǎng)絡(luò)數(shù)據(jù)的整體認(rèn)識(shí)，所以無(wú)法準(zhǔn)確地判斷跨一定時(shí)間和空間的攻擊，容易受到IP分段等針對(duì)IDS的攻擊。9/12/202333電子科技大學(xué)成都學(xué)院分層結(jié)構(gòu)在樹(shù)形分層結(jié)構(gòu)中，最底層的代理負(fù)責(zé)收集所有的基本信息，然后對(duì)這些信息進(jìn)行簡(jiǎn)單的處理，并完成簡(jiǎn)單的判斷和處理。特點(diǎn)：所處理的數(shù)據(jù)量大、速度快、效率高，但只能堅(jiān)持某些簡(jiǎn)單的攻擊。中間層代理起承上啟下的作用，一方面可以接受并處理下層節(jié)點(diǎn)處理后的數(shù)據(jù)，一方面可以進(jìn)行較高層次的關(guān)聯(lián)分析、判斷和結(jié)果輸出，并向高層節(jié)點(diǎn)進(jìn)行報(bào)告。中間層的加入減輕了中央控制的負(fù)擔(dān)，增強(qiáng)了系統(tǒng)的伸縮性。最高層節(jié)點(diǎn)主要負(fù)責(zé)在整體上對(duì)各級(jí)節(jié)點(diǎn)進(jìn)行管理和協(xié)調(diào)，此外，它還可根據(jù)環(huán)境的要求動(dòng)態(tài)調(diào)整節(jié)點(diǎn)層次關(guān)系，實(shí)現(xiàn)系統(tǒng)的動(dòng)態(tài)配置。9/12/202334電子科技大學(xué)成都學(xué)院6.1.8入侵檢測(cè)系統(tǒng)的發(fā)展方向：攻擊防范技術(shù)和更好的攻擊識(shí)別技術(shù)，即入侵防范技術(shù)。優(yōu)勢(shì)：對(duì)入侵作出主動(dòng)的反映不再完全依賴于簽名數(shù)據(jù)庫(kù)，易于管理追求的目標(biāo)是在攻擊對(duì)系統(tǒng)造成真正危害之前將它們化解掉對(duì)攻擊展開(kāi)的跟蹤調(diào)查隨時(shí)都可以進(jìn)行極大地改善了IDS系統(tǒng)的易用性，減輕了主機(jī)安防在系統(tǒng)管理方面的壓力9/12/202335電子科技大學(xué)成都學(xué)院6.2安全審計(jì)系統(tǒng)6.2.1安全審計(jì)的概念及目的計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)（Audit）是通過(guò)一定的安全策略，利用記錄及分析系統(tǒng)活動(dòng)和用戶活動(dòng)的歷史操作事件，按照順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)，發(fā)現(xiàn)系統(tǒng)的漏洞和入侵行為并改進(jìn)系統(tǒng)的性能和安全。其中系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng)；用戶活動(dòng)包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)，如用戶使用何種資源、使用的時(shí)間、執(zhí)行何種操作等方面。安全審計(jì)就是對(duì)系統(tǒng)的記錄與行為進(jìn)行獨(dú)立的審查與估計(jì)。9/12/202336電子科技大學(xué)成都學(xué)院目的及意義對(duì)潛在的攻擊者起到重大震懾和警告作用測(cè)試系統(tǒng)的控制是否恰當(dāng)，以便進(jìn)行調(diào)整，保證與既定安全策略和操作協(xié)調(diào)一致對(duì)已發(fā)生的破壞行為，作出損害評(píng)估并提供有效的災(zāi)難恢復(fù)依據(jù)和追究責(zé)任的證據(jù)對(duì)系統(tǒng)控制、安全策略與規(guī)程中特定的改變作出評(píng)價(jià)和反饋，便于修訂決策和部署為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞9/12/202337電子科技大學(xué)成都學(xué)院安全審計(jì)涉及四個(gè)基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試?？刂颇繕?biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方。控制措施是指企業(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度?？刂茰y(cè)試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對(duì)漏洞的防范是否有效,評(píng)價(jià)企業(yè)安全措施的可依賴程度。9/12/202338電子科技大學(xué)成都學(xué)院安全審計(jì)的類型系統(tǒng)級(jí)審計(jì)登錄情況、登錄識(shí)別號(hào)、每次登錄嘗試的日期和時(shí)間、每次退出的日期和時(shí)間、所使用的設(shè)備、登錄后運(yùn)行的內(nèi)容、如用戶啟動(dòng)應(yīng)用的嘗試，無(wú)論是成功還是失敗。典型的系統(tǒng)級(jí)日志還包括和安全無(wú)關(guān)的信息，如系統(tǒng)操作、費(fèi)用記賬和網(wǎng)絡(luò)性能。 應(yīng)用級(jí)審計(jì)打開(kāi)和關(guān)閉數(shù)據(jù)文件、讀取、編輯和刪除記錄或字段的特定操作以及打印報(bào)告之類的用戶活動(dòng)。用戶級(jí)審計(jì)用戶直接啟動(dòng)的所有命令、用戶所有的鑒別和認(rèn)證嘗試、用戶所訪問(wèn)的文件和資源等方面。9/12