安全审计与系统恢复.ppt

1、第章安全审计与系统恢复第章安全审计与系统恢复时间时间:2008年年5月月计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术第章安全审计与系统恢复第章安全审计与系统恢复教学目标：教学目标：安全计是对系统内部进行监视、审查，识别系统是否正在受到攻击或机密信息是否受到非法访问，如发现问题后则采取相应措施。系统恢复是指根据检测和响应环节提供有关事件的资料修补该事件所利用的系统缺陷，不让黑客再次利用这样的缺陷入侵。本章主要介绍安全审计概述、日志的审计、安全审计的实施以及Windows NT 中的访问控制与安全审计；系统恢复和信息恢复、系统恢复的过程等。教学重点和

2、难点：教学重点和难点：日志的审计Windows NT中的安全审计夺回对系统的控制权计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术7.1安全审计安全审计安全计是对系统内部进行监视、审查，识别系统是否正在受到攻击或机密信息是否受到非法访问，如发现问题后则采取相应措施。可以用监听来给审计提供原始数据。通过审计，把网络信息系统中发生的所有感兴趣的事件写入审计日志当中，以便分析原因，分清责任，及时采取相应的措施。审计是计算机网络安全的重要组成部分。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术7.1.1安全审计概

3、述安全审计概述审计（audit）就是发现问题，暴露相关的脆弱性。凡是对于网络的脆弱性进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计。全面的安全审计涉及从物理安全、安全组织、人员安全、网络安全、BCP安全等各个方面。安全审计也包括外部审计和内部审计，范围、深度和审计方法都有不同。审计跟踪提供了一种不可忽视的安全机制，它的潜在价值在于经事后的安全审计可以检测和调查安全的漏洞。已知审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。审计评估系统是指根据一定的安全策略记录和分析历史操作事件及数据，发现能够改进系统性能和系统安全的地方

4、，弥补漏洞。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术一个审计评估系统，主要有以下的作用：（1）对潜在的攻击者起到震慑或警告作用。（2）对于已经发生的系统破坏行为提供有效的追纠证据。（3）为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。（4）为系统管理员提供系统运行的统计日志，使系统管理员能够发现系统性能上的不足或需要改进与加强的地方。审计评估系统通过建立内部系统的安全审计制度，辅以相应的分析手段和工具，从内部提升“内力”，杜绝了外强中干的现象。1 1安全审计的目标 安全审计应达到如下目标：对潜在的

5、攻击者起到震慑和警告的作用；对于已经发生的系统破坏行为，提供有效的追究责任的证据，评估损失，提供有效的灾难恢复依据；为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术2 2安全审计的类型从审计的对象来划分，安全审计的类型有三种，分别为：系统级审计、应用级审计、用户级审计。（1）系统级审计。系统级审计的内容主要包括登录（成功和失败）、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容（如用户启动应用的尝试，无论成功或失败）。典

6、型的系统日志还包括和安全无关的信息，如系统操作、费用记账和网络性能。（2）应用级审计。系统级审计可能无法跟踪和记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的细节信息。通常，应用级审计的内容包括打开和关闭数据文件，读取、编辑、和删除记录或字段的特定操作以及打印报告之类的用户活动。（3）用户级审计。用户级审计的内容通常包括：用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术3 3审计的具体要求（1）自动收集所有由管理员在安装时所选定的、与安全性有关的活动信息。（2

7、）采用标准格式记录信息。（3）审计信息的建立和存储是自动的，不要求管理员参与。（4）在一定安全体制下保护审计记录，例如用根通行字作为加密密钥对记录进行加密，或要求出示根通行字才能访问此记录。（5）对计算机系统的运行和性能影响尽可能地小。审计系统设计的关键是首先要确定必须审计的事件，建立软件（审计日志）记录这些事件，并将其存储，防止随意访问。审计机构监测系统的活动细节并以确定格式进行记录。对试图（成功或不成功）联机，对敏感文件的读写，管理员对文件的删除、建立、访问权的授予等每一事件进行记录。例如，什么时候开机，哪个用户在什么时候从哪儿登录等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败

8、，也可以大致推测出可能有人想强行闯入系统。审计还可以记录系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术一般选择可审计事件的准则如下：（1）使用认证和授权机制。对保护的对象或实体的合法或企图非法访问进行记录。（2）记录增加、删除和修改对象的操作。对已利用安全服务的对象的改变或删除操作。（3）记录计算机操作员、系统管理员、系统安全人员采取的与安全相关的行动。保持一个特权人员完成动作的记录。（4）识别访问事件和它的行动者，识别每次访问的起始和结束时间及其行动者。（5）识别例外条件。

9、在事务的处理中间，识别探测到的与安全相关的例外条件。（6）能够利用密码变量。记录密钥的使用、生成和消除。（7）能够改变分布环境中单元的配置，保持相关服务器的轨迹。（8）识别任何企图陷害、攻击或闯入（不管成功与否）安全机制的事件。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术7.1.2日志的审计日志的审计日志（log）是指系统或软件生成的记录文件，通常是多用户可读的，通常采用字符形式或标准记录形式（如wtmp）。大多数的多用户操作系统、正规的大型软件、多数安全设备都有日志功能。日志通常用于检查用户的登录、分析故障、进行收费管理统计流量、检查软件运行状

10、况和调试软件。系统或设备的日志文件通常可以用作二次开发的基础。记录着非常重要的信息，发生安全事件之后，一般应对其进行详细分析。1.日志的内容在理想的情况下,日志应该记录每一个可能的事件,以便分析发生的所有事件,并恢复任何时刻进行的历史事件.然而,这样做显然是不现实的,因为要记录每一个数据包、每一条命令和每一次存取操作，需要的存储量将远远大于业务系统，并且将严重影响系统的性能。因此，日志的内容应该是有选择的。一般情况下，日志记录的内容应该满足以下原则：(1)日志应该记录任何必要的事件，以检测已知的攻击模式。(2)日志应该记录任何必要的事件，以检测异常的攻击模式。(3)日志应该记录关于记录系统连续

11、可靠工作的信息。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术在这些原则的指导下，日志系统可根据安全要求的强度选择记录下列事件的部分或全部：(1)审计功能的启动和关闭。(2)使用身份验证机制。(3)将客体引入主体的地址空间。(4)删除客体。(5)管理员、安全员、审计员和一般操作人员的操作。(6)其他专门定义的可审计事件。通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）、事件和源及目的的位置、事件类型、事件成败等。.安全审计的记录机制不同的系统可采用不同的机制记录日志。日志的记录可以由操作系统完成，也可以由应用系统或其他专用

12、记录系统完成。但是，大部分情况都可以用系统调用yslog来记录日志，也可以用记录。下面简单介绍yslog。Unix采用了syslog工具来实现日志功能。Syslog可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。Syslog已被许多日志系统采纳，任何程序都可以通过syslog记录事件。它能记录本地事件或通过网络记录另一个主机上的事件。Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成，如图7-1所示。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术记录日志时，系统调用Syslog将日志素材发送给S

13、yslog守护程序，Syslog守护程序监听Syslog调用或Syslog端口（UDP514）的消息，然后根据Syslog规则集对收到的日志素材进行处理。如果日志是记录在其他计算机上，则Syslog守护程序将日志转发到相应的日志服务器上。Syslog规则集（对于，常放在文件etc/syslog.conf中）是用来配置Syslog守护程序如何处理日志的规则。通常的规则如下：Syslog系统调用Syslog守护程序日志记录系统Syslog规则集日志素材计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术(1)将日志放进文件中。(2)通过将日志记录到另一台计算

14、机上。(3)将日志写入系统控制台。(4)将日志发给所有注册的用户。在记录日志时，为便于管理，一般将一定时段的日志存为一个文件，通常是将一天、一周、半个月或一个月的日志存为一个文件。这样，就需要在0：00时刻切换日志文件，现在假设一天的日志存为一个日志文件，日志文件在年月日零点切换，此前的日志文件名为logfile.20050131，那么在年月日：时刻日志监护程序会关闭旧日志文件logfile.20050131，生成新日志文件logfile.20050201，同时将新日志写入到这个新日志文件中。在日志文件切换时，一种合适切换的算法是每次写文件之前打开文件，写完后关闭，程序如下：While(okT

15、oRun)Message=getlogmessage();FILE=openForAppending(logfile);Append(FILE,message);Close(FILE)计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术值得注意的是，由于问的打开和关闭时间较写的时间长的多，因此可能会导致有些事件丢失。为此，可以将文件永久打开，供日志读写。程序如下：FILE=openForAppending(logfile);While(okToRun)Message=getlogmessage();Append(FILE,message);Close(F

16、ILE);但这样又会影响日志文件的切换。依次比较好的做法是将Syslog监护程序打开的文件作为原始日志文件，另外增加一个日志整理进程，专门负责日志的整理和归档。日志分析通过日志进行分析，发现所需事件信息和规律是安全审计的根本目的。因此，审计分析十分重要。日志分析就是在日志中寻找模式，主要内容如下：(1)潜在侵害分析。日志分析应能用一些规则去监控审计事件，并根据规则发现潜在的入侵。这种规则可以是由己定义的可审计事件的子集所指示的潜在安全攻击的积累或组合，或则其他规则。(2)基于异常检测的轮廓。日志分析应确定用户正常行为的轮廓，当日志中的事件违反正常访问行为的轮廓，或超出正常轮廓一定的门限时，能指

17、出将要发生的威胁。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术(3)简单攻击探测。日志分析应对重大威胁事件的特征有明确的描述，当这些攻击现象出现时，能及时指出。(4)复杂攻击探测。要求高的日志分析系统还应能检测到多步入侵序列，当攻击序列出现时，能预测其发生的步骤。审计时间查阅由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。通常通过以下不同的层次保证查阅的安全：(1)审计查阅。审计系统以可理解的方式为授权用户提供查阅日志和分析结果的

18、功能。(2)有限审计查阅。审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的拥护访问审计系统。(3)可选审计查阅。在有限审计查阅的基础上限制查阅的范围。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术审计事件存储审计事件的存储也有安全要求，具体有如下几种情况。(1)受保护的审计踪迹存储。即要求存储系统对日志事件具有保护功能，防止未授权的修改和删除，并具有检测修改删除的能力。(2)审计数据的可用性保证。在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。(3)防止审计数据丢失。在审计踪迹超过预定

19、的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等。审计日志本身也需要保护，因为非法用户在进入系统之后通常会抹掉其活动踪迹。应该保证只有管理员才能对日志进行访问。日志记载在本地硬盘，如果有人能控制这台机器，日志就非常容易被操作。可考虑把日志集中存储在安全性更好的日志服务器上。同时应该定时自动备份日志文件，但是如果这些备份仍然是联机的，则也有可能被非法用户找到，可以考虑将审计事件记录同时制成硬拷贝，或将其通过e-mail发送给系统管理员来解决。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技

20、术计算机安全技术7.1.安全审计的实施安全审计的实施为了确保审计跟踪数据的可用性和正确性，审计跟踪数据需要受到保护，因为不正确的数据也是没用的。而且，如果不对日志数据进行及时审查，规划和实施得再好的审计跟踪也会失去价值。审计跟踪应该根据需要（经常由安全事件触发）定期审查、自动实时审查、或两者兼而有之。系统管理人和系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计跟踪数据，其中包括系统内保存的和归档保存的数据。与实施有关的问题包括（1）保护审计跟踪数据，（2）审查审计跟踪数据，和（3）用于审计跟踪分析的工具。1 1、保护审计跟踪数据访问在线审计日志必须受到严格限制。计算机安全管理人

21、员和系统管理员或职能部门经理出于检查的目的可以访问，但是维护逻辑访问功能的安全和管理人员没有必要访问审计日志。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术防止非法修改以确保审计跟踪数据的完整性尤其重要。使用数字签名是实现这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计跟踪记录以掩盖自己的踪迹是审计跟踪文件需要保护的原因之一。使用强访问控制是保护审计跟踪记录免受非法访问的有效措施。当牵涉到法律问题时，审计跟踪信息的完整性尤为重要（这可能需要每天打印和签署日志）。此类法律问题应该直接咨询相关法律顾问。审计跟踪信息的机密性也需要受到保

22、护，例如审计跟踪所记录的用户信息可能包含诸如交易记录等不宜披露的个人信息。强访问控制和加密在保护机密性方面非常有效。2 2、审查审计跟踪数据审计跟踪的审查和分析可以分为在事后检查、定期检查或实时检查。审查人员应该知道如何发现异常活动。他们应该知道怎么算是正常活动。如果可以通过用户识别码、终端识别码、应用程序名、日期时间或其它参数组来检索审计跟踪记录并生成所需的报告，那么审计跟踪检查就会比较容易。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术（1）事后检查 当系统或应用软件发生了故障、用户违反了操作规范、或发现了系统或用户的异常问题时，系统级或应用级

23、的管理员就会检查审计跟踪。应用或数据的拥有者在检查审计跟踪数据后会生成一个独立的报告以评估他们的资源是否遭受损失。（2）定期检查 应用的拥有者、数据的拥有者、系统管理员、数据处理管理员和计算机安全管理员应该根据非法活动的严重程度确定检查审计跟踪的频率。（3）实时检查 通常，审计跟踪分析是在批处理模式下定时执行的。审计记录会定时归档用于以后的分析。审计分析工具可用于实时和准实时模式下。此类入侵探测工具基于审计数据精选、攻击特征识别、和差异分析技术。由于数据量过大，所以在大型多用户系统中使用人工方式对审计数据进行实时检查是不切实际的。但是，对于特定用户和应用的审计记录进行实时检查还是可能的。这类似

24、于击键监控，不过这可能会涉及到法律是否允许的问题。3 3、审计跟踪工具 许多工具是用于从大量粗糙原始的审计数据中精选出有用信息。尤其是在大系统中，审计跟踪软件产生的数据文件非常庞大，用人工方式分析非常困难。使用自动化工具就是从审计信息中将无用的信息剔除。其它工具还有差异探测工具和攻击特征探测工具。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术（1）审计精选工具（audit reduction tools）此类工具用于从大量的数据中精选出有用的信息以协助人工检查。在安全检查前，此类工具可以剔除大量对安全影响不大的信息。这类工具通常可以剔除由特定类型事

25、件产生的记录，例如由夜间备份产生的记录将被剔除。（2）趋势差别探测工具(trends/variance-detection tools)此类工具用于发现系统或用户的异常活动。可以建立较复杂的处理机制以监控系统使用趋势和探测各种异常活动。例如，如果用户通常在上午9点登录，但却有一天在凌晨4点半登录，这可能是一件值得调查的安全事件。（3）攻击特征探测工具（attack signature-detection tools）此类工具用于查找攻击特征，通常一系列特定的事件表明有可能发生了非法访问尝试。一个简单的例子是反复进行失败的登录尝试。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复

26、计算机安全技术计算机安全技术7.2WindowsNT中的访问控制与安全审计中的访问控制与安全审计t7.2.1WindowsNT中的访问控制Windows NT分为服务器版和工作站版。它们的核心特性、安全系统和网络设计都非常相似。主要区别在于：服务器版的用户帐户数据库可以用于整个域；而工作站版的用户帐户只能用于本地。本节主要介绍服务器版的访问控制，工作站版的访问控制大体相同。Windows NT的安全等级为C2级。其主要特点就是自主访问控制，要求资源的所有者必须能够控制对资源的访问。1.1.Windows NT的安全模型Windows NT采用的是微内核（Microkernel）结构和模块化的系

27、统设计。有的模块运行在底层的内核模式上，有的模块则运行在受内核保护的用户模式上。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术Windows NT的安全模型由4部分构成：(1)登录过程（LogonProcess,LP）：接受本地用户或者远程用户的登录请求，处理用户信息，为用户做一些初始化工作。(2)本地安全授权机构（Local Security Authority,LSA）：根据安全帐号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。这是整个安全子系统的核心。(3)安全帐号管理器（Security Account Manager,S

28、AM）：维护帐号的安全性管理的数据库。(4)安全引用监视器（Security Reference Monitor,SRM）：检查存取合法性，防止非法存取和修改。这4部分在访问控制的不同阶段发挥各自不同的作用。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术2.2.Windows NT的访问控制过程(1)创建帐号。当一个帐号被创建时，Windows NT系统为它分配一个安全标识（SID）。安全标识和帐号唯一对应，在帐号创建时创建，帐号删除时删除，而且永不再用。安全标识与对应的用户和对应的帐号信息一起存储在SAM 数据库里。(2)登录过程（LP）控制。每

29、次用户登录时，用户应输入用户名、口令和用户希望登录的服务器/域等信息，登陆主机把这些信息传送给系统的安全帐号管理器，安全帐号管理器将这些信息与SAM数据库中的信息进行比较，如果匹配，服务器发给客户机或工作站允许访问的信息，记录用户帐号的特权、主目录位置、工作站参数等信息，并返回用户的安全标识和用户所在组的安全标识。工作站为用户生成一个进程。(3)创建访问令牌。当拥护登录成功后，本地安全授权机构（LSA）为用户创建一个访问令牌，包括用户名、所在组、安全标识等信息。以后用户每新建一个进程，都将访问并复制令牌作为进程的访问令牌。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安

30、全技术计算机安全技术(4)访问对象控制。当用户或者用户生成的进程要 访问某个对象时，安全引用监视器（SRM）将用户/进程的访问令牌中的安全标识(SID)与对象安全描述符（是NT为共享资源创建的一组安全属性，包括所有者安全标识、组安全标识、自主访问控制表、系统访问控制表和访问控制项）中的自主访问控制表进行比较，从而决定用户是否有权访问该对象。在这个过程中应该注意：安全标识（SID）对应帐号的整个有效期，而访问令牌只对应一次帐号登录。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术7.2.2.WindowsNT中的安全审计中的安全审计1.Windows

31、NT的三个日志文件的物理位置Windows NT的三个日志文件的物理位置如下：(1)系统日志：%systemroot%system32configsysevent.evt(2)安全日志：%sysetmroot%system32configsecevent.evt(3)应用程序日志：%systemroot%system32configappevent.evt2.NT审计子系统结构几乎Windows NT系统中的每一项事务都可以在一定程度上被审计，在Windows NT中可以在Explorer和User manager两个地方打开审计。在Explorer中，选择Security,再选择Auditi

32、ng以激活Directory Auditing对话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访问。在User manager中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登录和退出、文件访问、权限非法和关闭系统等。Windows NT使用一种特殊的格式存放它的日志文件，这种格式的文件可以被事件浏览器（Event viewer）读取。事件浏览器可以在Administrative tool程序组中找到。系统管理员可以使用事件浏览器的Filter选项根据一定条件选择要查看的日志条目。查看条件包括类别、用户和消息类型。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系

33、统恢复计算机安全技术计算机安全技术Windows NT的日志文件很多，但主要是系统日志、安全日志和应用程序日志三个。这三个审计日志是审计一个Windows NT系统的核心。默认安装时安全日志不打开。Windows NT中所有可被审计的事件都存入了其中一个日志。(1)应用程序日志。包括用NT Security authority注册的应用程序产生的信息。(2)安全日志。包括有关通过NT可识别安全提供者和客户的系统访问信息。(3)系统日志。包含所有系统相关事件的信息。不幸的是，Windows NT中的审计缺乏足够的深度和广度。系统或安全管理员用于浏览审计日志的工具事件浏览器（Event Viewe

34、r）只有非常有限的灵活性，并且对大型日志的浏览速度很慢。这些日志并不能以域作为中心存储。每个服务器和工作站都有自己的日志集。这些日志分散在Windows NT网络的成千上万个服务器上，如果没有复杂的自动操作工具和数据存储工具，管理和利用这些日志是非常苦难的。3 3.审计日志的记录格式Windows NT的审计日志由一系列的事件记录组成。每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。图7-2显示了一个事件记录的结构。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术图图7-2WindowsNT事件记录格式事件记录格式数据时间用户名计算机

35、名事件ID源类型种类可变内容，依赖于事件，可以是问题的文本解释和纠正措施的建议附加域。如果采用的话，包含以字节或字显示的二进制数据及事件记录的源应用产生的信息头记录事件描述附加记录计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术事件记录头由下列域组成：(1)日期。事件的日期标识。(2)时间。事件的时间标识。(3)用户名。标识事件是由谁触发的。这个标识可以是初始用户ID、某个客户ID或两者同时具有。具体是哪一个用户ID，由Windows NT的扮演功能是否触发来决定。当操作系统允许一个进程继承另一个进程的安全属性时，当扮演触发。当扮演发生时，安全日志机

36、制将同时反映用户ID和扮演ID。(4)计算机名。事件所在的计算机名。当拥护在整个企业范围内集中安全管理时，该信息大大简化了审计信息的回顾。(5)事件ID。事件类型的数字标识。在事件记录描述中，这个域通常被映射成一个文本标识（事件名）。(6)源。用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动程序。(7)类型。事件严重性指示器。在系统和应用程序日志中，类型可以是错误、警告或信息，按重要性降序排列。在安全日志中，类型可能是成功审计或失败审计。(8)种类。触发事件类型，主要用在安全日志中，指示该类事件的成功或失败审计已经被许可。计算机安全技术计算机安全技术安全审计与系统恢

37、复安全审计与系统恢复计算机安全技术计算机安全技术4.4.NT事件日志管理特征Windows NT提供了大量特征给系统管理员去管理操作系统事件日志机制。例如，管理员能限制日志的大小并规定当文件达到容量上限时，如何去处理这些文件。选项包括：用新记录去冲掉最老的记录，停止系统直到事件日志被手工清除。当系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须被手工清除时，日志停止。另一方面，安全事件日志必须由具有管理者权限的人启动。利用NT用户管理器，可以设置安全审计规则。要启用安全审计的功能，只需在“规则”菜单下选择“审计”，然后通过查看NT记录的安全事件日志中的安全性事件

38、，即可以跟踪所选用户的操作。5.5.NT安全日志的设计策略NT安全日志由审计策略支配。审计策略可以通过配置“审计策略”对话框中的选项来建立。审计策略规定日志的事件类型并可以根据动作、用户和目标进一步具体化。安全事件记录包括动作的时间和日期、已执行的动作和执行响应的动作。成功和失败的动作都能在安全日志中产生条目。日志条目也记录企图执行被策略禁止的动作的活动。NT的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）：(1)登录及注销。登录及注销或连接到网络。(2)用户及组管理。创建、更改或删除用户帐号或组，重命名、禁止或启用用户号，设置和更改密码。计算机安全技术计算机安全技术安全审计与系统

39、恢复安全审计与系统恢复计算机安全技术计算机安全技术(3)文件及对象访问。对访问的用户，访问的文件、目录、对象进行审计。如果设置用于打印审计的系统发送打印用户及作业的消息，审计通过后才能打印。(4)安全性规则更改。对用户权利、审计或委托关系规则的改动。(5)重新启动、关机及系统级事件。用户重新启动或关闭计算机，或者发生了一个影响系统安全性或安全日志的事件。(6)进程跟踪。这些事件提供了关于事件的详细跟踪信息，如程序活动、某些形式句柄的复制、间接对象的访问和推出进程。对于“文件及对象访问”中的文件和目录的审计还需要在资源管理器中对要审计的目录或文件进行具体设置。(7)文件和目录审计。允许跟踪目录和

40、文件的用法。对于一个具体的文件或目录，可以指定要审计的组、用户或操作。既可以审计成功的操作，又可以审计失败的操作。审计目录可以选择读、写、执行、删除、更改权限或者获得所有权等事件。审计文件也可以选择读、写、可执行、删除、更改权限、获得所有权等事件。6.6.管理和维护NT审计通常情况下，Windows NT不是将所有的事件都记录日志，而需要手动启动审计的功能。这时需要首先从“开始”菜单中选择“程序”，然后再选择“管理工具”。从“管理工具”子菜单选择“用户管理器”，显示出“用户管理器”窗口。然后从“用户管理器”菜单中单击Policies（策略），再单击audi（审计），“审计策略“窗口就出现了。接

41、着选择audit these events单选框（审计这些事件）。最后选择需要启动的事件按OK，然后关闭“用户管理器”。值得注意的是，在启动Windows NT的审计功能时，需要仔细选择审计的内容。审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单的审计，然后在监视系统性能的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个较有效率的选择。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术7.3系统的恢复在系统被入侵之后，就要面临系统的恢复过程。在此过程中应当注意的是，所有步骤都应

42、该与组织的网络安全策略中所描述的相符。t7.3.1系统恢复和信息恢复通过软件和程序恢复系统也可以分为两个方面：系统恢复和信息恢复。系统恢复。是指根据检测和响应环节提供有关事件的资料修补该事件所利用的系统缺陷，不让黑客再次利用这样的缺陷入侵。一般系统恢复包括系统升级、软件升级、打补丁和除去后门等。注意：打补丁和除去后门是不同的概念。一般来说，黑客在第一次入侵的时候都是利用系统的缺陷。在第一次成功入侵之后，黑客就在系统打开一些后门，如安装一个特洛伊木马。所以，尽管系统缺陷已经被打补丁，黑客下一次还可以通过后门进入系统。信息恢复。是指恢复丢失的数据。信息恢复就是从备份的数据恢复原来数据，其过程有一个

43、显著特点：就是有优先级别。直接影响日常生活和工作的信息必须先恢复，这样可以提高信息恢复的效率。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术7.3.27.3.2系统恢复的过程系统恢复的过程1 1准备工作（1）组织商讨安全策略如果组织没有自己的安全策略，那么需要按照以下步骤建立自己的安全策略：和管理人员协商如果安全策略中没有描述如何进行系统的恢复，那么可以先和管理人员协商。将入侵事故通知管理人员，可能在有的组织中很重要。与管理人员协商的好处在于，当管理人员得知系统被入侵后，有从更高的角度判别出着一入侵事件的重要性，从而系统的恢复过程，网络管理人员能够

44、得到内部各部门的配合。和法律顾问协商在开始恢复工作之前，组织可以因此决定是否进行法律相关的调查，系统在被入侵后，是否要进行法律调查诉讼等问题。注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络主机对安全事件的反应速度。它们不会提出法律方面的建议。所以，对于法律方面的问题建议咨询自己的法律顾问。法律顾问能够告诉入侵者应该承担的法律责任(民事的或者是刑事的)，以及有关的法律程序。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术针对与入侵事件，应该与管理人员和法律顾问讨论以下问题：如果要追踪入侵者

45、或者跟踪网络连接，是否会触犯法律。如果站点已经意识到入侵但是没有采取措施阻止，要承担什么法律责任。入侵者是否触犯了全国或者本地的法律。是否需要进行调查。是否应该报警。报警通常，如果想进行任何类型的调查或者起诉入侵者，最好先跟管理人员和法律顾问商量以下。然后通知有关执法机构。一定要记住，除非执法部门的参与，否则对入侵者进行的一切跟踪都可能是非法的。知会其他有关人员除了管理者和法律顾问之外，还需要通知恢复工作可能影响到的人员，例如其他网络管理人员和用户。（2）记录恢复过程中所有的步骤记录恢复过程中采取的每一步措施，是非常重要的。恢复一个被侵入的系统是一件很麻烦的事，要耗费大量的时间，记录自己所做的

46、每一步可以帮助避免做出草率的决定，还可以留作以后的参考。记录还可能对法律调查提供帮助。重建系统相对要容易一些，只要考虑到以上步骤所得的结果，或者抹掉入侵者的痕迹、途径和其他安全隐患，重新试运行系统，或者是重新安装系统之后进行安全配置。一般说来，在系统重建之后，往往要经历一个试运行阶段，以判断目前的系统是否已经足够安全。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术2.2.夺回对系统的控制权（1）将被侵入的系统从网络上断开为了夺会对被入侵系统的控制权，首先需要避免入侵者造成更严重的破坏。如果在恢复过程中，没有断开被侵入系统的入侵者访问途径，入侵者就可

47、能破坏恢复工作。为了夺回对被侵入系统的控制权，需要将其从网络上断开。断开以后，可能想进入Unix系统的单用户模式或者NT的本地管理者(local administrator)模式，以夺回系统控制权。然而，重启或者切换到单用户/本地管理者模式，会丢失一些有用的信息，因为被侵入系统当前运行的所有进程都会被杀死。在对系统进行恢复的过程中，如果系统处于Unix单用户模式下，会阻止用户、入侵者和入侵进程对系统的访问或者切换主机的运行状态。如果在恢复过程中，没有断开被侵入系统和网络的连接，在进行恢复的过程中，入侵者就可能连接到主机，破坏恢复工作。（2）复制一份被侵入系统的影象在进行入侵分析之前，建议备份被

48、侵入的系统。以后，可能会用得着。如果有一个相同大小和类型的硬盘，就可以使用Unix命令dd将被侵入系统复制到这个硬盘。例如，在一个有两个SCSI硬盘的Linux系统，以下命令将在相同大小和类型的备份硬盘(/dev/sdb)上复制被侵入系统(在/dev/sda盘上)的一个精确拷贝。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术#dd if=/dev/sda of=/dev/sdb还有一些其它的方法备份被侵入的系统。在NT系统中没有类似于dd的内置命令，可以使用一些第三方的程序复制被侵入系统的整个硬盘映象。建立一个备份非常重要，可能会需要将系统恢复到侵

49、入刚被发现时的状态。它对法律调查可能有帮助。记录下备份的卷标、标志和日期，然后保存到一个安全的地方以保持数据的完整性。3 3入侵分析现在可以审查日志文件和系统配置文件了，检查入侵的蛛丝马迹，入侵者对系统的修改，和系统配置的脆弱性。（1）检查入侵者对系统软件和配置文件的修改校验系统中所有的二进制文件在检查入侵者对系统软件和配置文件的修改时，一定要记住:使用的校验工具本身可能已经被修改过，操作系统的内核也有可能被修改了，这非常普遍。因此，建议使用一个可信任的内核启动系统，而且使用的所有分析工具都应该是干净的。对于Unix系统，可以通过建立一个启动盘，然后对其写保护来获得一个可以信赖的操作系统内核。

50、应该彻底检查所有的系统二进制文件，把它们与原始发布介质(例如光盘)做比较。因为现在已经发现了大量的特洛伊木马二进制文件，攻击者可以安装到系统中。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术在Unix系统上，通常有如下的二进制文件会被特洛伊木马代替：telnet、in.telnetd、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd。除此之外，还需要检查所有被/etc/inetd.conf文件引用的文件，重要的网络和系统程序以及共享库文件。在NT系统上。特洛