返回
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第4章 安全审计与入侵检测

信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第4章 安全审计与入侵检测

ID:40239818

大小:4.48 MB

页数:126页

时间:2019-07-28

信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第4章 安全审计与入侵检测_第1页
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第4章 安全审计与入侵检测_第2页
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第4章 安全审计与入侵检测_第3页
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第4章 安全审计与入侵检测_第4页
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第4章 安全审计与入侵检测_第5页
资源描述:

《信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第4章 安全审计与入侵检测》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全原理与技术蒋朝惠武彤王晓鹏邓少勋编著中国铁道出版社2009.5第4章安全审计与入侵检测4.1安全审计4.1.1安全审计概念4.1.2安全审计目的4.1.3安全审计内容4.1.4安全审计分类和过程4.1.5审计日志管理4.1.6安全审计系统的组成、功能与特点4.2入侵检测4.2.1入侵检测概述4.2.2入侵检测侧方法4.2.3入侵检测系统的部署4.2.4入侵检测技术发展4.2.5与入侵检测有关的新技术4.1安全审计安全审计即是对安全方案中的功能提供持续的评估。安全审计可以为安全官员提供一组可进行分析的管理数据,以发现在何处发生了违反安全方案的事件。为

2、了保证信息系统安全可靠的运行,需加强信息安全审计。4.1.1安全审计概念从总体上说,安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。利用安全审计结果,可调整安全政策,堵住出现的漏洞。安全审计日志利用安全审计日志进行监控是一种更为主动的监督管理形式,它也是一种检测触犯安全规定事件的手段。出于它自身的重要性,安全审计日志和监控功能本身给安全带来了额外的威胁,因此必须加强对这类信息的保护。对安全审计日志和监控功能的使用也必须做审计记录,否则蓄

3、谋作案的内部人员将有机可乘,逃脱审查。安全审计和报警安全报警的产生是检测到任何符合已定义报警条件的安全相关事件的结果。安全审计和报警的实现,可能需要使用其他安全服务来支持安全审计和报警服务,并确保它们正确而有把握地运行。安全审计和报警服务与其他安全服务的不同之处在于没有单个的特定安全机制可以用于提供这种服务。安全审计跟踪安全审计跟踪是一种很有价值的安全机制,可以通过事后的安全审计来检测和调查安全策略执行的情况以及安全遭到破坏的情况。安全审计需要安全审计跟踪与安全有关的记录信息,以及从安全审计跟踪中得到的分析和报告信息。日志或记录被视为一种安全机制,而分析和

4、报告生成则被视为一种安全管理功能。4.1.2安全审计目的安全审计与报警的目的是根据适当安全机构的安全策略,确保与开放系统互联的安全有关的事件得到处理,安全审计只在定义的安全策略范围内提供。具体的目的主要有:辅助辨识和分析来经授权的活动或攻击;帮助保证那些实体响应行动处理这些活动;促进开发改进的损伤控制处理程序;认可与已建立的安全策略的一致性;报告那些可能与系统控制不相适应的信息;辨识可能需要的对控制、策略和处理程序的改变。4.1.3安全审计内容个人职能(IndividualAccountability)。审计跟踪是管理人员用来维护个人职能的技术手段。事件重

5、建(ReconstructionofEvents)。在发生故障后,审计跟踪可以用于重建事件和数据恢复。入侵检测(IntrusionDetection)。审计跟踪记录可以用来协助入侵检测工作。故障分析(ProblemAnalysis)。审计跟踪可以用于实时审计或监控。4.1.4安全审计分类和过程安全审计分类按照审计对象分类:①网络审计;②主机审计;③应用系统审计。按照审计方式分类:①人工审计;②半自动审计;③智能审计。审计过程的实现:第一步,收集审计事件,产生审计记录;第二步,根据记录进行安全事件的分析;第三步,采取处理措施。审计范围包括操作系统和各种应用程

6、序。审计的工作流程根据相应的审计条件判断事件是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。对满足报警条件的事件向审计员发送报警信息并记录其内容。当事件在一定时间内频繁发生,满足逐出系统的条件值时,则将引起该事件的用户逐出系统并记录其内容。审计员可以查询、检索审计日志以形成审计报告。4.1.5审计日志管理审计日志是记录信息系统安全状态和问题的依据,各级信息系统必须制定保存和调阅审计日志的管理制度。忽视日志管理很快会变成严重的问题,日志管理是确保记录长期稳定和有用的过程。日志的内容基于安全观点考虑,理想的日志应该包括全部与数据、程序以及与系统资

7、源相关事件的记录。实际上,这样的日志只能适用于某些有特殊需要的系统,因为它所付出的代价太大,因此,最好根据系统的安全目标和操作环境单独设计日志。日志中的典型信息列举如下:事件的性质;全部相关组件的标识;有关事件的信息。日志的作用当雇员涉嫌欺骗、贪污或有其他非法使用系统的行为时,日志可以为调查处理工作提供有效的证明。日志还可以作为责任认定的依据,当发生责任纠纷时,查阅日志不失是一种好方法。另外,日志作为系统运行记录集,对分析系统画了情况、排除故障和提高效率都会起到很好的帮助作用。日志的管理方法日志管理最典型的方法是日志轮转,即将旧的、已写满的日志文件移到一边

8、,新的空日志文件占用它们的位置。正确轮转日志以后,还必须注意备份。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。