信息安全管理之信息安全审计与计算机取证
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全审计的功能
信息安全审计的有多方面的作用与功能,包括取证、威 慑、发现系统漏洞、发现系统运行异常等。 (1)取证:利用审计工具,监视和记录系统的活动情况。 (2)威慑:通过审计跟踪,并配合相应的责任追究机制,对外 部的入侵者以及内部人员的恶意行为具有威慑和警告作用。 (3)发现系统漏洞:安全审计为系统管理员提供有价值的系统 使用日志,从而帮助系统管理员及时发现系统入侵行为或潜 在的系统漏洞。 (4)发现系统运行异常: 通过安全审计,为系统管理员提供系统运行的统计日志,管 理员可根据日志数据库记录的日志数据,分析网络或系统的 安全性,输出安全性分析报告,因而能够及时发现系统的异 常行为,并采取相应的处理措施。
第九讲 信息安全管理之
信息安全审计和计算机取证
信息安全审计
1 概述 2 安全审计系统的体系结构 3 安全审计的一般流程 4 安全审计的分析方法 5 安全审计的数据源 6 信息安全审计与标准 7 计算机取证
信息安全审计
1 概述
信息安全审计概述
信息安全审计概述
Fra Baidu bibliotek 信息安全审计概述
信息安全审计概述
信息安全审计体系结构
分布式安全审计系统体系结构
分布式安全审计系统实际上包含两层涵义:一是对分布式网络的安全审计, 其二是采用分布式计算的方法,对数据源进行安全审计。 它由三部分组成: (1)主机代理模块。主机代理模块是部 署在受监视主机上,并作为后台进程运行 的审计信息收集模块。 2)局域网监视器代理模块 局域网监视器代理模块是部署在受监视的 局域网上,用以收集并对局域网上的行为 进行审计的模块,主要分析局域网网上的 的通信信息,并根据需要将结果报告给中央管理者。 (3)中央管理者模块。接收包括来自局域网监视器和主机代理的数据和报告, 控制整个系统的通信信息,对接收到的数据进行分析。
信息安全审计
2 安全审计系统的体系结构
信息安全审计体系结构
信息安全审计体系结构
信息安全审计体系结构
信息安全审计系统的一般组成
一般而言,一个完整的安全审计系统图5-1所示,包括事件探测及数据 采集引擎、数据管理引擎和审计引擎等重要组成部分,每一部分实现不 同的功能。 (1)事件探测及数据采集引擎 事件探测及数据采集引擎主要全面侦听主机及网络上的信息流,动态监 视主机的运行情况以及及网络上流过的数据包,对数据包进行检测和实 时分析,并将分析结果发送给相应的数据管理中心进行保存。 (2)数据管理引擎 数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及安 全审计的输出数据进行管理,另一方面,数据管理引擎还负责对事件探 测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息的 管理。它一般包括三个模块:数据库管理、引擎管理、配置管理。 (3)审计引擎 审计引擎包括两个应用程序:审计控制台和用户管理。 审计控制台可以 实时显示网络审计信息,流量统计信息,并可以查询审计信息历史数据, 并且对审计事件进行回放。用户管理程序可以对用户进行权限设定,限 制不同级别的用户查看不同的审计内容。
信息安全审计体系结构
集中式安全审计系统体系结构
集中式体系结构采用集中的方法,收集并分析数据源,所有的数 据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎 及安全审计引擎的工作,而部署在各受监视系统上的外围设备只是简 单的数据采集设备,承担事件检测及数据采集引擎的作用。 随着分布式网络技术的广泛应用,集中式的审计体系结构越来越显示 出其缺陷,主要表现在: (1)由于事件信息的分析全部由中央处理机承担,势必造成CPU、I/O以 及网络通信的负担,而且中心计算机往往容易发生单点故障(如针对 中心分析系统的攻击)。另外,对现有的系统进行用户的增容(如网 络的扩展,通信数据量的加大)是很困难的。 (2)由于数据的集中存储,在大规模的分布式网络中,有可能因为单个 点的失败造成整个审计数据的不可用。 (3)集中式的体系结构,自适应能力差,不能根据环境变化自动更改配 置。通常,配置的改变和增加是通过编辑配置文件来实现的,往往需 要重新启动系统以使配置生效。 因此,集中式的体系结构已不能适应高度分布的网络环境。
信息安全审计概述
信息安全审计概述
信息安全审计概述 天融信TA为用户提供的价值
信息安全审计概述
信息安全审计概述
信息安全审计的一般步骤
信息安全审计概述
安全审计系统的目标至少要包括以下几个方面:
确定和保持系统活动中每个人的责任 确认重建事件的发生 评估损失 监测系统问题区 提供有效的灾难恢复依据 提供阻止不正当使用系统行为的依据 提供案件侦破证据
信息安全审计概述
信息系统安全审计的分类
安全审计,按照不同的分类标准,具有不同的分类特性。 按照审计分析的对象,安全审计可分为针对主机的审计 和针对网络的审计。前者对系统资源如系统文件、注册表等 文件的操作进行事前控制和事后取证,并形成日志文件;后 者主要是针对网络的信息内容和协议分析。 按照审计的工作方式,安全审计可分为集中式安全审计 和分布式安全审计。集中式体系结构采用集中的方法,收集 并分析数据源(网络各主机的原始审计记录),所有的数据 都要交给中央处理机进行审计处理。分布式安全审计包含两 层涵义,一是对分布式网络的安全审计,其二是采用分布式 计算的方法,对数据源进行安全审计。
信息安全审计概述
信息系统安全审计的概念
安全审计是对信息系统的各种事件及行为实行监测、信 息采集、分析并针对特定事件及行为采取相应响应动作。网 络安全审计是指对与网络安全有关的活动的相关信息进行识 别、记录、存储和分析,并检查网络上发生了哪些与安全有 关的活动以及谁对这个活动负责。
信息安全审计概述
相对于集中式结构,它有以下优点: (1) 扩展能力强;(2) 容错能力强 (3) 兼容性强 (4) 适应性强。
信息安全审计
3 安全审计的一般流程
信息安全审计流程
事件采集设备通过硬件或软件代理对客体进行事件采集,并 将采集到的事件发送至事件辨别与分析器进行事件辨别与分析, 策略定义的危险事件,发送至报警处理部件,进行报警或响应。 对所有需产生审计信息的事件,产生审计信息,并发送至结果汇 总,进行数据备份或报告生成。
信息安全审计的有多方面的作用与功能,包括取证、威 慑、发现系统漏洞、发现系统运行异常等。 (1)取证:利用审计工具,监视和记录系统的活动情况。 (2)威慑:通过审计跟踪,并配合相应的责任追究机制,对外 部的入侵者以及内部人员的恶意行为具有威慑和警告作用。 (3)发现系统漏洞:安全审计为系统管理员提供有价值的系统 使用日志,从而帮助系统管理员及时发现系统入侵行为或潜 在的系统漏洞。 (4)发现系统运行异常: 通过安全审计,为系统管理员提供系统运行的统计日志,管 理员可根据日志数据库记录的日志数据,分析网络或系统的 安全性,输出安全性分析报告,因而能够及时发现系统的异 常行为,并采取相应的处理措施。
第九讲 信息安全管理之
信息安全审计和计算机取证
信息安全审计
1 概述 2 安全审计系统的体系结构 3 安全审计的一般流程 4 安全审计的分析方法 5 安全审计的数据源 6 信息安全审计与标准 7 计算机取证
信息安全审计
1 概述
信息安全审计概述
信息安全审计概述
Fra Baidu bibliotek 信息安全审计概述
信息安全审计概述
信息安全审计体系结构
分布式安全审计系统体系结构
分布式安全审计系统实际上包含两层涵义:一是对分布式网络的安全审计, 其二是采用分布式计算的方法,对数据源进行安全审计。 它由三部分组成: (1)主机代理模块。主机代理模块是部 署在受监视主机上,并作为后台进程运行 的审计信息收集模块。 2)局域网监视器代理模块 局域网监视器代理模块是部署在受监视的 局域网上,用以收集并对局域网上的行为 进行审计的模块,主要分析局域网网上的 的通信信息,并根据需要将结果报告给中央管理者。 (3)中央管理者模块。接收包括来自局域网监视器和主机代理的数据和报告, 控制整个系统的通信信息,对接收到的数据进行分析。
信息安全审计
2 安全审计系统的体系结构
信息安全审计体系结构
信息安全审计体系结构
信息安全审计体系结构
信息安全审计系统的一般组成
一般而言,一个完整的安全审计系统图5-1所示,包括事件探测及数据 采集引擎、数据管理引擎和审计引擎等重要组成部分,每一部分实现不 同的功能。 (1)事件探测及数据采集引擎 事件探测及数据采集引擎主要全面侦听主机及网络上的信息流,动态监 视主机的运行情况以及及网络上流过的数据包,对数据包进行检测和实 时分析,并将分析结果发送给相应的数据管理中心进行保存。 (2)数据管理引擎 数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及安 全审计的输出数据进行管理,另一方面,数据管理引擎还负责对事件探 测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息的 管理。它一般包括三个模块:数据库管理、引擎管理、配置管理。 (3)审计引擎 审计引擎包括两个应用程序:审计控制台和用户管理。 审计控制台可以 实时显示网络审计信息,流量统计信息,并可以查询审计信息历史数据, 并且对审计事件进行回放。用户管理程序可以对用户进行权限设定,限 制不同级别的用户查看不同的审计内容。
信息安全审计体系结构
集中式安全审计系统体系结构
集中式体系结构采用集中的方法,收集并分析数据源,所有的数 据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎 及安全审计引擎的工作,而部署在各受监视系统上的外围设备只是简 单的数据采集设备,承担事件检测及数据采集引擎的作用。 随着分布式网络技术的广泛应用,集中式的审计体系结构越来越显示 出其缺陷,主要表现在: (1)由于事件信息的分析全部由中央处理机承担,势必造成CPU、I/O以 及网络通信的负担,而且中心计算机往往容易发生单点故障(如针对 中心分析系统的攻击)。另外,对现有的系统进行用户的增容(如网 络的扩展,通信数据量的加大)是很困难的。 (2)由于数据的集中存储,在大规模的分布式网络中,有可能因为单个 点的失败造成整个审计数据的不可用。 (3)集中式的体系结构,自适应能力差,不能根据环境变化自动更改配 置。通常,配置的改变和增加是通过编辑配置文件来实现的,往往需 要重新启动系统以使配置生效。 因此,集中式的体系结构已不能适应高度分布的网络环境。
信息安全审计概述
信息安全审计概述
信息安全审计概述 天融信TA为用户提供的价值
信息安全审计概述
信息安全审计概述
信息安全审计的一般步骤
信息安全审计概述
安全审计系统的目标至少要包括以下几个方面:
确定和保持系统活动中每个人的责任 确认重建事件的发生 评估损失 监测系统问题区 提供有效的灾难恢复依据 提供阻止不正当使用系统行为的依据 提供案件侦破证据
信息安全审计概述
信息系统安全审计的分类
安全审计,按照不同的分类标准,具有不同的分类特性。 按照审计分析的对象,安全审计可分为针对主机的审计 和针对网络的审计。前者对系统资源如系统文件、注册表等 文件的操作进行事前控制和事后取证,并形成日志文件;后 者主要是针对网络的信息内容和协议分析。 按照审计的工作方式,安全审计可分为集中式安全审计 和分布式安全审计。集中式体系结构采用集中的方法,收集 并分析数据源(网络各主机的原始审计记录),所有的数据 都要交给中央处理机进行审计处理。分布式安全审计包含两 层涵义,一是对分布式网络的安全审计,其二是采用分布式 计算的方法,对数据源进行安全审计。
信息安全审计概述
信息系统安全审计的概念
安全审计是对信息系统的各种事件及行为实行监测、信 息采集、分析并针对特定事件及行为采取相应响应动作。网 络安全审计是指对与网络安全有关的活动的相关信息进行识 别、记录、存储和分析,并检查网络上发生了哪些与安全有 关的活动以及谁对这个活动负责。
信息安全审计概述
相对于集中式结构,它有以下优点: (1) 扩展能力强;(2) 容错能力强 (3) 兼容性强 (4) 适应性强。
信息安全审计
3 安全审计的一般流程
信息安全审计流程
事件采集设备通过硬件或软件代理对客体进行事件采集,并 将采集到的事件发送至事件辨别与分析器进行事件辨别与分析, 策略定义的危险事件,发送至报警处理部件,进行报警或响应。 对所有需产生审计信息的事件,产生审计信息,并发送至结果汇 总,进行数据备份或报告生成。