转载http://www.iteye.com/topic/108239
安全审计概述
审计是对访问控制的必要补充,是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间,以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。
审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持访问控制职能的实现(职能是指记录系统活动并可以跟踪到对这些活动应负责任人员的能力)。审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能提供对数据恢复的帮助。
11.3.2 审计内容
审计跟踪可以实现多种安全相关目标,包括个人职能、事件重建、入侵检测和故障分析。
1)个人职能(individual accountability)。审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知道他们的行为活动被记录在审计日志中,相应的人员需要为自己的行为负责,他们就不太会违反安全策略和绕过安全控制措施。例如;审计跟踪可以记录改动前和改动后的记录,以确定是哪个操作者在什么时候做了哪些实际的改动,这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其他因素造成的。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问,被授权的访问有可能会被滥用,导致敏感信息的扩散,当无法阻止用户通过其合法身份访问资源时,审计跟踪就能发挥作用。审计跟踪可以用于检查和检测他们的活动。
2)事件重建(reconstruction of events)。在发生故障后,审计跟踪可以用于重建事件和数据恢复。通过审查系统活动的审计跟踪可以比较容易地评估故障损失,确定故障发生的时间、原因和过程。通过对审计跟踪的分析就可以重建系统和协助恢复数据文件;同时,还有可能避免下次发生此类故障的情况。
3)入侵检测(intrusion detection)。审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析,就可以实时发现或是过后预防入侵检测活动。实时入侵检测可以及时发现非法授权者对系统的非法访问,也可以探测到病毒扩散和网络攻击。
4)故障分析(problem analysis)。审计跟踪可以用于实时审计或监控。
11.3.3 安全审计的目标
审计技术出现在计算机技术之前,是产生、记录并检查按时间顺序排列的系统事件记 录的过程。安全审计是计算机和网络安全的重要组成部分。安全审计提供的功能服务于直 接和间接两方面的安全目标:直接的安全目标包括跟踪和监测系统中的异常事件,间接的 安全目标是监视系统中其他安全机制的运行情况和可信度。
所有审计的前提是有一个支配审计过程的规则集。规则的确切形式和内容随审计过程具体内容的改变而改变。在商业与管理审计中,规则集包括对确保商业目标的实现有重要意义的管理控制、过程和惯例。这些商业目标包括资源的合理使用、利率最大化、费用最小化、符合相应的法律法规和适当的风险控制。在计算机安全审计的特殊情况下,规则集通常以安全策略的形式明确表述。并且,为了能完成合理的审计数据分析,策略表中还需要增加一些不容易明确表述的规则。
尽管从抽象意义上讲,传统的金融和管理审计与计算机安全审计的过程是完全相同 的,但它们各自关注的问题有很大不同。计算机安全审计是通过一定的策略,利用记录和分析历史操作事件发现系统的漏洞并改进系统的性能和安全。计算机安全审计需要达到的目的包括:对潜在的攻击者起到震慑和警告的作用;对于已经发生的系统破坏行为提供有效的追究责任的证据;为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
James P.Anderson在1980年写的一份报告中对计算机安全审计机制的目标作了如下阐述:
1)应为安全人员提供足够多的信息,使他们能够定位问题所在;但另一方面,提供的信息应不足以使他们自己也能够进行攻击。
2)应优化审计追踪的内容,以检测发现的问题,而且必须能从不同的系统资源收集信息。
3)应能够对一个给定的资源(其他用户也被视为资源)进行审计分析,分辨看似正常的活动,以发现内部计算机系统的不正当使用;
4)设计审计机制时,应将系统攻击者的策略也考虑在内。
概括而言,审计系统的目标至少包括:确定和保持系统活动中每个人的责任;确认重建事件的发生;评估损失;临测系统问题区;提供有效的灾难恢复依据;提供阻止不正当使用系统行为的依据;提供案件侦破证据。
11.3.4 安全审计系统
审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分。
1.日志的内容
在理想的情况下,日志应该记录每一个可能的事件,以便分析发生的所有事件,并恢复任何时刻进行的历史情况。然而,这样做显然是不现实的,因为要记录每一个数据包、每一条命令和每一次存取操作,需要的存储量将远远大于业务系统,并且将严重影响系统的性能。因此,日志的内容应该是有选择的。一般情况下,日志记录的内容应该满足以下原则:
1)日志应该记录任何必要的事件,以检测已知的攻击模式。
2)日志应该记录任何必要的事件,以检测异常的攻击模式。
3)日志应该记录关于记录系统连续可靠工作的信息。
在这些原则的指导下,日志系统可根据安全要求的强度选择记录下列事件的部分或全部:
1)审计功能的启动和关闭。
2)使用身份鉴别机制。
3)将客体引入主体的地址空间。
4)删除客体。
5)管理员、安全员、审计员和一般操作人员的操作。
6)其他专门定义的可审计事件。
通常,对于一个事件,日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件和源和目的的位置、事件类型、事件成败等。
2.安全审计的记录机制
不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成,也可以由应用系统或其他专用记录系统完成。但是,大部分情况都可用系统调用Syslog来记录日志,也可以用SNMP记录。下面简单介绍Syslog。
Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成。
记录日志时,系统调用Syslog将日志素材发送给Syslog守护程序,Syslog守护程序监听Syslog调用或Syslog端口(UDP 514)的消息,然后根据Syslog规则集对收到的日志素材进行处理。如果日志是记录在其他计算机上,则Syslog守护程序将日志转发到相应的日志服务器上。Syslog规则集是用来配置Syslog守护程序如何处理日志的规则。通常的规则可以是以下情况:
1)将日志放进文件中。
2)通过UDP将日志记录到另一台计算机上。
3)将日志写入系统控制台。
4)将日志发给所有注册的用户。
3.安全审计分析
通过对日志进行分析,发现所需事件信息和规律是安全审计的根本目的。因此,审计分析十分重要。日志分析就是在日志中寻找模式,主要内容如下:
1)潜在侵害分析。日志分析应能用一些规则去监控审计事件,并根据规则发现潜在的入侵。这种规则可以是由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合,或者其他规则。
2)基于异常检测的轮廓。日志分析应确定用户正常行为的轮廓,当日志中的事件违 反正常访问行为的轮廓,或超出正常轮廓一定的门限时,能指出将要发生的威胁。
3)简单攻击探测。日志分析应对重大威胁事件的特征有明确的描述,当这些攻击现象出现时,能及时指出。
4)复杂攻击探测。要求高的日志分析系统还应能检测到多步入侵序列,当攻击序列出现时,能预测其发生的步骤。
4.审计事件查阅
由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。
审计事件的查阅应该受到严格的限制,不能篡改日志。通常通过以下不同的层次保证查阅的安全:
1)审计查阅。审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。
2)有限审计查阅。审计系统只能提供对内容的读权限,因此应拒绝具有读以外权限的用户访问审计系统。
3)可选审计查阅。在有限审计查阅的基础上限制查阅的范围。
5.审计事件存储
审计事件的存储也有安全要求,具体有如下几种情况:
1)受保护的审计踪迹存储。即要求存储系统对日志事件具有保护功能,防止未授权的修改和删除,并具有检测修改删除的能力。
2)审计数据的可用性保证。在审计存储系统遭受意外时,能防止或检测审计记录的修改,在存储介质存满或存储失败时,能确保记录不被破坏。
3)防止审计数据丢失。在审计踪迹超过预定的门限或记满时,应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等
分享到:
相关推荐
安全审计月报模板 安全审计月报是指按照一定的标准和程序对组织的安全状态进行检查和评估,以便发现可能存在的安全隐患,并采取相应的措施来改进和完善安全管理策略。安全审计月报的内容包括审计目的、审计范围、...
2020-信息安全技术代码安全审计规范 信息安全技术中的代码安全审计规范是指在软件开发过程中,为了确保代码的安全性和可靠性而进行的审计活动。该规范的目的是为了确保软件代码的安全性、完整性和可靠性,防止代码...
信息安全审计报告 信息安全审计报告是对计算机信息系统的安全性进行检查和评估的文件。该报告旨在评估计算机信息系统的安全性,发现潜在的安全隐患,并提出改进建议。 在信息安全审计报告中,审计对象是计算机信息...
系统源代码安全审计报告 本报告对系统源代码进行了安全审计,旨在发现和修复源代码中的安全缺陷,提高系统的安全性。报告的主要内容包括源代码审计概述、审计流程、审计组织、源代码审计范围、源代码审计详情等部分...
《XXX系统源代码安全审计报告》是一份针对软件开发人员在软件安装前进行代码安全审计的重要文档。这份报告详尽地介绍了源代码审计的过程、范围和细节,旨在确保软件的安全性,防止恶意代码的入侵,并识别潜在的安全...
者理解本次源代码安全审计的上下文。XX系统是一个复杂的信息技术解决方案,涵盖了多个模块和功能,包括用户接口、数据库管理、数据处理和网络通信等。审计对象为该系统的全部源代码,旨在确保代码的安全性,防止潜在...
安华金和数据库安全审计系统是一款基于数据库通讯协议准确分析和SQL完全解析技术的数据库安全审计系统。它的主要功能包括数据库操作、访问用户及外部应用用户的审计,可以用于安全合规、用户行为分析、运维监控、...
### 网神SecFox安全审计系统用户手册关键知识点解析 #### 一、产品概述与特点 **网神SecFox安全审计系统(业务审计型)**是一款专为满足企业级网络安全需求而设计的安全审计解决方案。该系统具备强大的审计功能,...
计算机安全审计报告是针对组织内部计算机信息系统安全保密工作的一次全面评估,旨在确保所有设备、数据和操作符合保密规定和安全标准。这份报告是根据省保密局的要求进行编写的,表明了公司领导对信息安全的高度重视...
Oracle数据库自身没有针对安全审计数据的分析工具,为了改进与完善Oracle当前安全审计机制,采用了数据挖掘技术,将数据挖掘技术应用至Oracle数据库安全审计中来,对数据库的记录特点进行分析,通过审计记录的分析,提出了...
### 网神SecFox安全审计系统(业务审计型)用户手册V486 #### 一、系统介绍与特点 ##### 1.1 产品概述 网神SecFox安全审计系统(业务审计型),简称SecFox-NBA,是一款专为业务安全审计设计的安全解决方案。该系统...
### 天玥网络安全审计系统(业务网审计)V6.0.12.1用户手册相关知识点 #### 一、系统概述 **天玥网络安全审计系统**是一款由北京启明星辰信息安全技术有限公司研发的安全审计解决方案。该系统专注于业务网络审计领域...
安华金和应用系统安全审计系统 AAS V3.2.5-1 用户手册 安华金和应用系统安全审计系统 AAS V3.2.2.5-1 用户手册是北京安华金和科技有限公司开发的应用系统安全审计系统的用户手册。该手册详细介绍了 AAS V3.2.2.5-1 ...
NET110互联网信息安全审计管理系统是一款专用于网络监控与安全审计的软件系统,主要用于保障组织的网络安全,确保网络活动的合规性,以及防止潜在的信息泄露和非法操作。系统6.0版提供了更加强大的功能和优化的用户...
安全审计管理制度是确保组织的信息安全策略得到有效执行的关键环节。它涉及到对安全管理的全面检查,旨在发现潜在的安全隐患,及时采取纠正措施,以保障系统的稳定性和数据的机密性、完整性和可用性。以下是对该制度...
信息安全管理之信息安全审计 信息安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。它有多方面的作用与功能,包括取证、威慑、发现系统漏洞、发现系统运行异常...
根据提供的文件信息我们可以推断出该文档主要围绕“数据库安全审计”这一主题展开。下面将对数据库安全审计的相关知识点进行详细阐述。 ### 数据库安全审计概述 #### 1.1 定义 数据库安全审计是指对数据库系统的...
因此,本框架涉及安全审计和安全报警两方面。安全审计是系统记录和活动的独立审查和检验。安全审计的目的包括: — 辅助识别和分析未经授权的动作或攻击; — 帮助确保将动作归结到为其负责的实体上; — 促进开发改进...
信息安全审计报告实用 信息安全审计报告实用是指对计算机信息系统中的安全性进行检查和评估,以确保系统的安全可靠性。本文将对信息安全审计的概念、内容、实现原理、存在的问题、以及今后的发展方向进行讨论。 ...
网络安全理论与技术安全审计是信息技术领域的一个重要主题,主要关注如何保护网络系统免受攻击和潜在威胁。安全审计系统在确保网络安全中起着至关重要的作用,它们能够记录、存储、分析与安全相关的行为,帮助识别...