网络安全理论与技术15-安全审计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全审计分析类型(续)
简单攻击试探:当发现一个系统事件与 一个表示对系统潜在攻击的签名事件匹 配时,应指示出此为一个潜在的攻击;
复杂攻击试探:当发现一个系统事件或 事迹序列与一个表示对系统潜在攻击的 签名事件匹配时,应指示出此为一个潜 在的攻击。
安全审计浏览
该功能要求审计系统能够使授权的用户有 效地浏览审计数据。包括:审计浏览、有限审 计浏览、可选审计浏览。 审计浏览 提供从审计记录中读取信息的服务; 有限审计浏览 要求除注册用户外,其他用户 不能读取信息; 可选审计信息 要求审计浏览工具根据相应的 判断标准选择需浏览的审计数据。
安全审计事件存储(续)
它可保证某个指定量度的审计记录被维护,并不 受以下事件的影响: 审计存储用尽; 审计存储故障; 非法攻击; 其他任何非预期事件。 系统能够在审计存储发生故障时采取相应的动 作,能够在审计存储即将用尽时采取相应的动 作。
网络安全审计层次结构图
应用层审计
Байду номын сангаас
审
计
总
系统层审计
控
CA发证操作 主页更新监视 … UNIX、Windows 9x/NT、ODBC
安全审计系统的必要性(续)
因此在一个安全网络系统中的安全审计功能是必不可 少的一部分。 网络安全审计系统能帮助我们
? 对网络安全进行实时监控, ? 及时发现整个网络上的动态, ? 发现网络入侵和违规行为, ? 忠实记录网络上发生的一切, ? 提供取证手段。
它是保证网络安全十分重要的一种手段。
CC标准中的网络安全审计功能定义
网络层审计
TCP/IP、ATM…
安全审计系统体系结构示意图
FDDI
●●●
控制台 1
控制台 2
广域网 X.25
网络安全审计的概念就是在这样的需求下被提出 的,它相当于飞机上使用的“黑匣子”。
安全审计系统的必要性(续)
在TCSEC和CC等安全认证体系中,网络安全审计的功能 都是放在首要位置的,它是评判一个系统是否真正安 全的重要尺码。
? TCSEC标准是计算机系统安全评估的第一个正式标准,具有划 时代的意义。该准则于1970年由美国国防科学委员会提出, 并于1985年12月由美国国防部公布。主要关注于保密性,不 关注可用性和完整性。
安全审计分析类型
潜在攻击分析 基于模板的异常检测 简单攻击试探 复杂攻击试探
安全审计分析类型(续)
潜在攻击分析:系统能用一系列的规则 监控审计事件,并根据这些规则指示系 统的潜在攻击;
基于模板的异常检测:检测系统不同等 级用户的行动记录,当用户的活动等级 超过其限定的登记时,应指示出此为一 个潜在的攻击;
安全审计数据生成
该功能要求记录与安全相关事件的出现, 包括鉴别审计层次、列举可被审计的事 件类型、以及鉴别由各种审计记录类型 提供的相关审计信息的最小集合。 系统可定义可审计事件清单,每个可审 计事件对应于某个事件级别,如低级、 中级、高级。
产生的审计数据有以下几方面
对于敏感数据项(例如,口令通行字等) 的访问 目标对象的删除 访问权限或能力的授予和废除 改变主体或目标的安全属性 标识定义和用户授权认证功能的使用 审计功能的启动和关闭
安全审计事件选择
系统能够维护、检查或修改审计事件的 集合,能够选择对哪些安全属性进行审 计,例如:与目标标识、用户标识、主 体标识、主机标识或事件类型有关的属 性。 系统管理员将能够有选择地在个人识别 的基础上审计任何一个用户或多个用的 动作。
安全审计事件存储
系统将提供控制措施以防止由于资源的 不可用丢失审计数据。 能够创造、维护、访问它所保护的对象 的审计踪迹,并保护其不被修改、非授 权访问或破坏。 审计数据将受到保护直至授权用户对它 进行的访问。
--安全审计与日志分析
目录
专业安全审计系统体系结构分析 网络信息系统安全审计综述 审计与日志分析 审计结果分析
安全审计系统的必要性
一旦我们采用的防御体系被突破怎么办?至少我 们必须知道:
? 系统是怎样遭到攻击的,这样才能恢复系统, ? 此外我们还要知道系统存在什么漏洞 ? 如何能使系统在受到攻击时有所察觉 ? 如何获取攻击者留下的证据。
? 欧洲四国(英、法、德、荷)提出了评价满足保密性、完整 性、可用性要求的信息技术安全评价准则(ITSEC)后,美国 又联合以上诸国和加拿大,并会同国际标准化组织(ISO)共 同提出信息技术安全评价的通用准则(CC for ITSEC),CC已 经被五技术发达的国家承认为代替TCSEC的评价安全信息系统 的标准。目前,CC已经被采纳为国际标准ISO 15408。
在这个标准中对网络审计定义了一套完整的功能,有: 安全审计自动响应、安全审计数据生成、安全审计分 析、安全审计浏览、安全审计事件存储、安全审计事 件选择等。
安全审计自动响应
安全审计自动响应定义在被测事件指示出一个 潜在的安全攻击时作出的响应, 它是管理审计事件的需要,这些需要包括报警 或行动,例如包括实时报警的生成、违例进程 的终止、中断服务、用户帐号的失效等。 根据审计事件的不同系统将作出不同的响应。 其响应方式可作增加、删除、修改等操作。
每一条审计记录中至少应所含 以下信息:
事件发生的日期、时间、事件类型、主 题标识、执行结果(成功、失败) 、引 起此事件的用户的标识以及对每一个审 计事件与该事件有关的审计信息。
安全审计分析
此部分功能定义了分析系统活动和审计数据来 寻找可能的或真正的安全违规操作。 它可以用于入侵检测或对安全违规的自动响应。 当一个审计事件集出现或累计出现一定次数时 可以确定一个违规的发生,并执行审计分析。 事件的集合能够由经授权的用户进行增加、修 改或删除等操作。
网络安全审计包括识别、记录、存储、分析与安全相 关行为有关的信息。
? 1996 年六国七方签署了《信息技术安全评估通用准则》即 CC1.0。 1998 年美国、英国、加拿大、法国和德国共同签署 了【信息技术安全性评估通用准则2.0版】(即 CC2.0)。 1999 年成为国际标准 ISO/IEC 15408,我国于 2001 年等同 采用为 GB/T 18336。目前它已被广泛地用于评估一个系统的 安全性。