安全审计与系统恢复.ppt
《安全审计与系统恢复.ppt》由会员分享,可在线阅读,更多相关《安全审计与系统恢复.ppt(47页珍藏版)》请在沃文网上搜索。
1、第章安全审计与系统恢复第章安全审计与系统恢复时间时间:2008年年5月月计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术第章安全审计与系统恢复第章安全审计与系统恢复教学目标:教学目标:安全计是对系统内部进行监视、审查,识别系统是否正在受到攻击或机密信息是否受到非法访问,如发现问题后则采取相应措施。系统恢复是指根据检测和响应环节提供有关事件的资料修补该事件所利用的系统缺陷,不让黑客再次利用这样的缺陷入侵。本章主要介绍安全审计概述、日志的审计、安全审计的实施以及Windows NT 中的访问控制与安全审计;系统恢复和信息恢复、系统恢复的过程等。教学重点和
2、难点:教学重点和难点:日志的审计Windows NT中的安全审计夺回对系统的控制权计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术7.1安全审计安全审计安全计是对系统内部进行监视、审查,识别系统是否正在受到攻击或机密信息是否受到非法访问,如发现问题后则采取相应措施。可以用监听来给审计提供原始数据。通过审计,把网络信息系统中发生的所有感兴趣的事件写入审计日志当中,以便分析原因,分清责任,及时采取相应的措施。审计是计算机网络安全的重要组成部分。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术7.1.1安全审计概
3、述安全审计概述审计(audit)就是发现问题,暴露相关的脆弱性。凡是对于网络的脆弱性进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计。全面的安全审计涉及从物理安全、安全组织、人员安全、网络安全、BCP安全等各个方面。安全审计也包括外部审计和内部审计,范围、深度和审计方法都有不同。审计跟踪提供了一种不可忽视的安全机制,它的潜在价值在于经事后的安全审计可以检测和调查安全的漏洞。已知审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。审计评估系统是指根据一定的安全策略记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方
4、,弥补漏洞。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术一个审计评估系统,主要有以下的作用:(1)对潜在的攻击者起到震慑或警告作用。(2)对于已经发生的系统破坏行为提供有效的追纠证据。(3)为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。(4)为系统管理员提供系统运行的统计日志,使系统管理员能够发现系统性能上的不足或需要改进与加强的地方。审计评估系统通过建立内部系统的安全审计制度,辅以相应的分析手段和工具,从内部提升“内力”,杜绝了外强中干的现象。1 1安全审计的目标 安全审计应达到如下目标:对潜在的
5、攻击者起到震慑和警告的作用;对于已经发生的系统破坏行为,提供有效的追究责任的证据,评估损失,提供有效的灾难恢复依据;为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术2 2安全审计的类型从审计的对象来划分,安全审计的类型有三种,分别为:系统级审计、应用级审计、用户级审计。(1)系统级审计。系统级审计的内容主要包括登录(成功和失败)、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容(如用户启动应用的尝试,无论成功或失败)。典
6、型的系统日志还包括和安全无关的信息,如系统操作、费用记账和网络性能。(2)应用级审计。系统级审计可能无法跟踪和记录应用中的事件,也可能无法提供应用和数据拥有者需要的足够的细节信息。通常,应用级审计的内容包括打开和关闭数据文件,读取、编辑、和删除记录或字段的特定操作以及打印报告之类的用户活动。(3)用户级审计。用户级审计的内容通常包括:用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术3 3审计的具体要求(1)自动收集所有由管理员在安装时所选定的、与安全性有关的活动信息。(2
7、)采用标准格式记录信息。(3)审计信息的建立和存储是自动的,不要求管理员参与。(4)在一定安全体制下保护审计记录,例如用根通行字作为加密密钥对记录进行加密,或要求出示根通行字才能访问此记录。(5)对计算机系统的运行和性能影响尽可能地小。审计系统设计的关键是首先要确定必须审计的事件,建立软件(审计日志)记录这些事件,并将其存储,防止随意访问。审计机构监测系统的活动细节并以确定格式进行记录。对试图(成功或不成功)联机,对敏感文件的读写,管理员对文件的删除、建立、访问权的授予等每一事件进行记录。例如,什么时候开机,哪个用户在什么时候从哪儿登录等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败
8、,也可以大致推测出可能有人想强行闯入系统。审计还可以记录系统管理员执行的活动,审计还加有身份验证,这样就可以知道谁在执行这些命令。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术一般选择可审计事件的准则如下:(1)使用认证和授权机制。对保护的对象或实体的合法或企图非法访问进行记录。(2)记录增加、删除和修改对象的操作。对已利用安全服务的对象的改变或删除操作。(3)记录计算机操作员、系统管理员、系统安全人员采取的与安全相关的行动。保持一个特权人员完成动作的记录。(4)识别访问事件和它的行动者,识别每次访问的起始和结束时间及其行动者。(5)识别例外条件。
9、在事务的处理中间,识别探测到的与安全相关的例外条件。(6)能够利用密码变量。记录密钥的使用、生成和消除。(7)能够改变分布环境中单元的配置,保持相关服务器的轨迹。(8)识别任何企图陷害、攻击或闯入(不管成功与否)安全机制的事件。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术7.1.2日志的审计日志的审计日志(log)是指系统或软件生成的记录文件,通常是多用户可读的,通常采用字符形式或标准记录形式(如wtmp)。大多数的多用户操作系统、正规的大型软件、多数安全设备都有日志功能。日志通常用于检查用户的登录、分析故障、进行收费管理统计流量、检查软件运行状
10、况和调试软件。系统或设备的日志文件通常可以用作二次开发的基础。记录着非常重要的信息,发生安全事件之后,一般应对其进行详细分析。1.日志的内容在理想的情况下,日志应该记录每一个可能的事件,以便分析发生的所有事件,并恢复任何时刻进行的历史事件.然而,这样做显然是不现实的,因为要记录每一个数据包、每一条命令和每一次存取操作,需要的存储量将远远大于业务系统,并且将严重影响系统的性能。因此,日志的内容应该是有选择的。一般情况下,日志记录的内容应该满足以下原则:(1)日志应该记录任何必要的事件,以检测已知的攻击模式。(2)日志应该记录任何必要的事件,以检测异常的攻击模式。(3)日志应该记录关于记录系统连续
11、可靠工作的信息。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术在这些原则的指导下,日志系统可根据安全要求的强度选择记录下列事件的部分或全部:(1)审计功能的启动和关闭。(2)使用身份验证机制。(3)将客体引入主体的地址空间。(4)删除客体。(5)管理员、安全员、审计员和一般操作人员的操作。(6)其他专门定义的可审计事件。通常,对于一个事件,日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件和源及目的的位置、事件类型、事件成败等。.安全审计的记录机制不同的系统可采用不同的机制记录日志。日志的记录可以由操作系统完成,也可以由应用系统或其他专用
12、记录系统完成。但是,大部分情况都可以用系统调用yslog来记录日志,也可以用记录。下面简单介绍yslog。Unix采用了syslog工具来实现日志功能。Syslog可以记录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。Syslog已被许多日志系统采纳,任何程序都可以通过syslog记录事件。它能记录本地事件或通过网络记录另一个主机上的事件。Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成,如图7-1所示。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术记录日志时,系统调用Syslog将日志素材发送给S
13、yslog守护程序,Syslog守护程序监听Syslog调用或Syslog端口(UDP514)的消息,然后根据Syslog规则集对收到的日志素材进行处理。如果日志是记录在其他计算机上,则Syslog守护程序将日志转发到相应的日志服务器上。Syslog规则集(对于,常放在文件etc/syslog.conf中)是用来配置Syslog守护程序如何处理日志的规则。通常的规则如下:Syslog系统调用Syslog守护程序日志记录系统Syslog规则集日志素材计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术(1)将日志放进文件中。(2)通过将日志记录到另一台计算
14、机上。(3)将日志写入系统控制台。(4)将日志发给所有注册的用户。在记录日志时,为便于管理,一般将一定时段的日志存为一个文件,通常是将一天、一周、半个月或一个月的日志存为一个文件。这样,就需要在0:00时刻切换日志文件,现在假设一天的日志存为一个日志文件,日志文件在年月日零点切换,此前的日志文件名为logfile.20050131,那么在年月日:时刻日志监护程序会关闭旧日志文件logfile.20050131,生成新日志文件logfile.20050201,同时将新日志写入到这个新日志文件中。在日志文件切换时,一种合适切换的算法是每次写文件之前打开文件,写完后关闭,程序如下:While(okT
15、oRun)Message=getlogmessage();FILE=openForAppending(logfile);Append(FILE,message);Close(FILE)计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术值得注意的是,由于问的打开和关闭时间较写的时间长的多,因此可能会导致有些事件丢失。为此,可以将文件永久打开,供日志读写。程序如下:FILE=openForAppending(logfile);While(okToRun)Message=getlogmessage();Append(FILE,message);Close(F
16、ILE);但这样又会影响日志文件的切换。依次比较好的做法是将Syslog监护程序打开的文件作为原始日志文件,另外增加一个日志整理进程,专门负责日志的整理和归档。日志分析通过日志进行分析,发现所需事件信息和规律是安全审计的根本目的。因此,审计分析十分重要。日志分析就是在日志中寻找模式,主要内容如下:(1)潜在侵害分析。日志分析应能用一些规则去监控审计事件,并根据规则发现潜在的入侵。这种规则可以是由己定义的可审计事件的子集所指示的潜在安全攻击的积累或组合,或则其他规则。(2)基于异常检测的轮廓。日志分析应确定用户正常行为的轮廓,当日志中的事件违反正常访问行为的轮廓,或超出正常轮廓一定的门限时,能指
17、出将要发生的威胁。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术(3)简单攻击探测。日志分析应对重大威胁事件的特征有明确的描述,当这些攻击现象出现时,能及时指出。(4)复杂攻击探测。要求高的日志分析系统还应能检测到多步入侵序列,当攻击序列出现时,能预测其发生的步骤。审计时间查阅由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制,不能篡改日志。通常通过以下不同的层次保证查阅的安全:(1)审计查阅。审计系统以可理解的方式为授权用户提供查阅日志和分析结果的
18、功能。(2)有限审计查阅。审计系统只能提供对内容的读权限,因此应拒绝具有读以外权限的拥护访问审计系统。(3)可选审计查阅。在有限审计查阅的基础上限制查阅的范围。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术审计事件存储审计事件的存储也有安全要求,具体有如下几种情况。(1)受保护的审计踪迹存储。即要求存储系统对日志事件具有保护功能,防止未授权的修改和删除,并具有检测修改删除的能力。(2)审计数据的可用性保证。在审计存储系统遭受意外时,能防止或检测审计记录的修改,在存储介质存满或存储失败时,能确保记录不被破坏。(3)防止审计数据丢失。在审计踪迹超过预定
19、的门限或记满时,应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等。审计日志本身也需要保护,因为非法用户在进入系统之后通常会抹掉其活动踪迹。应该保证只有管理员才能对日志进行访问。日志记载在本地硬盘,如果有人能控制这台机器,日志就非常容易被操作。可考虑把日志集中存储在安全性更好的日志服务器上。同时应该定时自动备份日志文件,但是如果这些备份仍然是联机的,则也有可能被非法用户找到,可以考虑将审计事件记录同时制成硬拷贝,或将其通过e-mail发送给系统管理员来解决。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技
20、术计算机安全技术7.1.安全审计的实施安全审计的实施为了确保审计跟踪数据的可用性和正确性,审计跟踪数据需要受到保护,因为不正确的数据也是没用的。而且,如果不对日志数据进行及时审查,规划和实施得再好的审计跟踪也会失去价值。审计跟踪应该根据需要(经常由安全事件触发)定期审查、自动实时审查、或两者兼而有之。系统管理人和系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计跟踪数据,其中包括系统内保存的和归档保存的数据。与实施有关的问题包括(1)保护审计跟踪数据,(2)审查审计跟踪数据,和(3)用于审计跟踪分析的工具。1 1、保护审计跟踪数据访问在线审计日志必须受到严格限制。计算机安全管理人
21、员和系统管理员或职能部门经理出于检查的目的可以访问,但是维护逻辑访问功能的安全和管理人员没有必要访问审计日志。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术防止非法修改以确保审计跟踪数据的完整性尤其重要。使用数字签名是实现这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计跟踪记录以掩盖自己的踪迹是审计跟踪文件需要保护的原因之一。使用强访问控制是保护审计跟踪记录免受非法访问的有效措施。当牵涉到法律问题时,审计跟踪信息的完整性尤为重要(这可能需要每天打印和签署日志)。此类法律问题应该直接咨询相关法律顾问。审计跟踪信息的机密性也需要受到保
22、护,例如审计跟踪所记录的用户信息可能包含诸如交易记录等不宜披露的个人信息。强访问控制和加密在保护机密性方面非常有效。2 2、审查审计跟踪数据审计跟踪的审查和分析可以分为在事后检查、定期检查或实时检查。审查人员应该知道如何发现异常活动。他们应该知道怎么算是正常活动。如果可以通过用户识别码、终端识别码、应用程序名、日期时间或其它参数组来检索审计跟踪记录并生成所需的报告,那么审计跟踪检查就会比较容易。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术(1)事后检查 当系统或应用软件发生了故障、用户违反了操作规范、或发现了系统或用户的异常问题时,系统级或应用级
23、的管理员就会检查审计跟踪。应用或数据的拥有者在检查审计跟踪数据后会生成一个独立的报告以评估他们的资源是否遭受损失。(2)定期检查 应用的拥有者、数据的拥有者、系统管理员、数据处理管理员和计算机安全管理员应该根据非法活动的严重程度确定检查审计跟踪的频率。(3)实时检查 通常,审计跟踪分析是在批处理模式下定时执行的。审计记录会定时归档用于以后的分析。审计分析工具可用于实时和准实时模式下。此类入侵探测工具基于审计数据精选、攻击特征识别、和差异分析技术。由于数据量过大,所以在大型多用户系统中使用人工方式对审计数据进行实时检查是不切实际的。但是,对于特定用户和应用的审计记录进行实时检查还是可能的。这类似
24、于击键监控,不过这可能会涉及到法律是否允许的问题。3 3、审计跟踪工具 许多工具是用于从大量粗糙原始的审计数据中精选出有用信息。尤其是在大系统中,审计跟踪软件产生的数据文件非常庞大,用人工方式分析非常困难。使用自动化工具就是从审计信息中将无用的信息剔除。其它工具还有差异探测工具和攻击特征探测工具。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复计算机安全技术计算机安全技术(1)审计精选工具(audit reduction tools)此类工具用于从大量的数据中精选出有用的信息以协助人工检查。在安全检查前,此类工具可以剔除大量对安全影响不大的信息。这类工具通常可以剔除由特定类型事
25、件产生的记录,例如由夜间备份产生的记录将被剔除。(2)趋势差别探测工具(trends/variance-detection tools)此类工具用于发现系统或用户的异常活动。可以建立较复杂的处理机制以监控系统使用趋势和探测各种异常活动。例如,如果用户通常在上午9点登录,但却有一天在凌晨4点半登录,这可能是一件值得调查的安全事件。(3)攻击特征探测工具(attack signature-detection tools)此类工具用于查找攻击特征,通常一系列特定的事件表明有可能发生了非法访问尝试。一个简单的例子是反复进行失败的登录尝试。计算机安全技术计算机安全技术安全审计与系统恢复安全审计与系统恢复
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
10 积分
下载 | 加入VIP,下载更划算! |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 审计 系统 恢复