第9章安全审计与计算机取证技术概述

1、安全审计与计算机取证技术安全审计与计算机取证技术第九章第九章 安全审计技术是入侵检测技术的前身，通过分析事件记录检测并调查试图或已突破系统安全屏障的非法行为和事件。计算机取证用于提取非法行为和入侵事件的痕迹，是利用法律手段对计算机犯罪行为予以制裁的有效途径。作为其它信息安全防御技术的有力补充，安全审计和和计算机取证技术是重要的信息安全技术，是震慑和打击计算机犯罪的重要手段。一.安全审计的分类按响应方式分类按响应方式分类 ：主动式：主动式和被动式和被动式 主动式审计系统对违规的主动式审计系统对违规的结果进行主动地响应，包结果进行主动地响应，包括强制违规用户退出系统，括强制违规用户退出系统，关闭相

2、关服务等；关闭相关服务等；A.被动式只是对审计出的异被动式只是对审计出的异常进行报警。常进行报警。按部署方式分类按部署方式分类 ：分为集中：分为集中式和分布式和分布A.集中式体系结构采用集中集中式体系结构采用集中的方法，收集、分析数据的方法，收集、分析数据源源(网络各主机的原始审网络各主机的原始审计记录计记录)，并对审计数据，并对审计数据进行集中处理。进行集中处理。B.分布式系统结构的安全审分布式系统结构的安全审计任务由分布于网络各处计任务由分布于网络各处的审计单元协作完成。的审计单元协作完成。A.系统级的审计是操作系统的审计、设备的审计与网络应用的审计的总称系统级的审计是操作系统的审计、设备

3、的审计与网络应用的审计的总称.主要是利用计算机操作系统和网络操作系统的审计功能记录主机和网络上发生主要是利用计算机操作系统和网络操作系统的审计功能记录主机和网络上发生的所有事件的所有事件. B.应用级审计应用级审计操作系统的审计无法审计到用户在操作系统的审计无法审计到用户在有些数据库系统和一些专用办公系统有些数据库系统和一些专用办公系统内的行为。内的行为。对这些系统的审计要依靠专门的审计软件。如对于数据库系统，审计的主要任对这些系统的审计要依靠专门的审计软件。如对于数据库系统，审计的主要任务是对应用程序或用户使用资源的情况进行记录和审查，以保证数据的安全。务是对应用程序或用户使用资源的情况进行

4、记录和审查，以保证数据的安全。A.用户级审计用户级审计用户级审计的内容通常包括用户直接启动的所有命令、用户所有的鉴别用户级审计的内容通常包括用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。和认证尝试、用户所访问的文件和资源等方面。按审计对象分类按审计对象分类 :系统级审计、应用级审计和用户级审计系统级审计、应用级审计和用户级审计 A.日志审计通过通过SNMP、SYSLOG、OPSEC或者其它的日志接口从各种网络设备、或者其它的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志，进行服务器、用户电脑、数据库、应用系统和网络安全设备中

5、收集日志，进行统一管理、分析和报警。日志审计以其它审计对象生成的日志为基础统一管理、分析和报警。日志审计以其它审计对象生成的日志为基础 。B.主机审计通过在服务器、用户电脑或其它审计对象中安装客户端的方式来进行通过在服务器、用户电脑或其它审计对象中安装客户端的方式来进行审计，可达到审计安全漏洞、审计合法和非法入侵操作、监控上网行审计，可达到审计安全漏洞、审计合法和非法入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等。为和内容以及向外拷贝文件行为、监控用户非工作行为等。C.网络审计通过旁路和串接的方式实现网络数据包的捕获，进行协议分析和还原，通过旁路和串接的方式实现网络数据

6、包的捕获，进行协议分析和还原，达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法入侵操作、监控上网行为和内容、监控用户非工作行为等目法和非法入侵操作、监控上网行为和内容、监控用户非工作行为等目的。的。按审计数据源分类：日志审计、主机审计和网络审计按审计数据源分类：日志审计、主机审计和网络审计 二二.安全审计的系统模型安全审计的系统模型 典型的安全审计系统由事件产生器、事件分析器、事件数据库以及响应单典型的安全审计系统由事件产生器、事件分析器、事件数据库以及响应单元等四部分组成，通用的安全审计系统模型如下图。元等四部分

7、组成，通用的安全审计系统模型如下图。 1.计算机取证关键技术计算机取证关键技术 2.计算机取证设备和工具 3.计算机取证的法律效力计算机取证的法律效力 4.取证工具的法律效力 在计算机取证工具中可能存在两类错误：工具执行错误和提在计算机取证工具中可能存在两类错误：工具执行错误和提取错误。工具执行错误源于代码中的漏洞，提取错误则源自取错误。工具执行错误源于代码中的漏洞，提取错误则源自算法错误。理想的测试取证工具的方法是使用开放式的方法。算法错误。理想的测试取证工具的方法是使用开放式的方法。首先为每类工具创建需求，然后根据需求来设计相应的测试首先为每类工具创建需求，然后根据需求来设计相应的测试方法。为所有工具使用明确的测试环境只能用在捕捉程序漏方法。为所有工具使用明确的测试环境只能用在捕捉程序漏洞上，因为测试量可能会很大。例如，为所有的洞上，因为测试量可能会很大。例如，为所有的NTFS文件系文件系统分析工具设计一种综合测试需求是一项艰目的任务，因为统分析工具设计一种综合测试需求是一项艰目的任务，因为文件系统的结构不是公开的。文件系统的结构不是公开的。 事实上，计算机取证工具的测试需求可能比原始应用程序或操作系统的测试更复杂。分析工具必须处理所有可能的环