返回
信息系统安全技术安全审计与分析

信息系统安全技术安全审计与分析

ID:39278405

大小:542.50 KB

页数:61页

时间:2019-06-29

信息系统安全技术安全审计与分析_第1页
信息系统安全技术安全审计与分析_第2页
信息系统安全技术安全审计与分析_第3页
信息系统安全技术安全审计与分析_第4页
信息系统安全技术安全审计与分析_第5页
资源描述:

《信息系统安全技术安全审计与分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息系统安全技术--安全审计与日志分析何长龙高级工程师目录专业安全审计系统体系结构分析网络信息系统安全审计综述审计与日志分析审计结果分析安全审计系统的必要性一旦我们采用的防御体系被突破怎么办?至少我们必须知道系统是怎样遭到攻击的,这样才能恢复系统,此外我们还要知道系统存在什么漏洞,如何能使系统在受到攻击时有所察觉,如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的,它相当于飞机上使用的“黑匣子”。安全审计系统的必要性(续)在TCSEC和CC等安全认证体系中,网络安全审计的功能都是方在首要位置的,它是评判一个系统是否真正安全的重要尺码。因此在一个安全网络系统中的安全

2、审计功能是必不可少的一部分。网络安全审计系统能帮助我们对网络安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。它是保证网络安全十分重要的一种手段。CC标准中的网络安全审计功能定义网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。国际标准化组织(ISO)和国际电工委员会(IEC)发表了【信息技术安全性评估通用准则2.0版】(ISO/IEC15408),俗称CC准则,目前它已被广泛地用于评估一个系统的安全性。在这个标准中对网络审计定义了一套完整的功能,有:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览

3、、安全审计事件存储、安全审计事件选择等。安全审计自动响应安全审计自动响应定义在被测事件指示出一个潜在的安全攻击时作出的响应,它是管理审计事件的需要,这些需要包括报警或行动,例如包括实时报警的生成、违例进程的终止、中断服务、用户帐号的失效等。根据审计事件的不同系统将作出不同的响应。其响应方式可作增加、删除、修改等操作。安全审计数据生成该功能要求记录与安全相关事件的出现,包括鉴别审计层次、列举可被审计的事件类型、以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。产生的审计数据有以下几方面对于敏感数据项(

4、例如,口令通行字等)的访问目标对象的删除访问权限或能力的授予和废除改变主体或目标的安全属性标识定义和用户授权认证功能的使用审计功能的启动和关闭每一条审计记录中至少应所含以下信息:事件发生的日期、时间、事件类型、主题标识、执行结果(成功、失败)、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。安全审计分析此部分功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。安全审计分析类型潜

5、在攻击分析基于模板的异常检测简单攻击试探复杂攻击试探等几种类型。安全审计分析类型(续)潜在攻击分析:系统能用一系列的规则监控审计事件,并根据这些规则指示系统的潜在攻击;基于模板的异常检测:检测系统不同等级用户的行动记录,当用户的活动等级超过其限定的登记时,应指示出此为一个潜在的攻击;简单攻击试探:当发现一个系统事件与一个表示对系统潜在攻击的签名事件匹配时,应指示出此为一个潜在的攻击;复杂攻击试探:当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的签名事件匹配时,应指示出此为一个潜在的攻击。安全审计浏览该功能要求审计系统能够使授权的用户有效地浏览审计数据。包括:审计浏览、有限审计浏

6、览、可选审计浏览。审计浏览提供从审计记录中读取信息的服务;有限审计浏览要求除注册用户外,其他用户不能读取信息;可选审计信息要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。安全审计事件选择系统能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计,例如:与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性。系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用的动作。安全审计事件存储系统将提供控制措施以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户

7、对它进行的访问。安全审计事件存储(续)它可保证某个指定量度的审计记录被维护,并不受以下事件的影响:审计存储用尽;审计存储故障;非法攻击;其他任何非预期事件。系统能够在审计存储发生故障时采取相应的动作,能够在审计存储即将用尽时采取相应的动作。网络安全审计层次结构图网络层审计系统层审计应用层审计TCP/IP、ATM…UNIX、Windows9x/NT、ODBC审计总控CA发证操作主页更新监视…安全审计系统体系结构示意图安全审计系统的典型配置示意图MailSer

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。