第九讲信息安全审计ppt课件

1、商学院屈维意 博士 讲师信息平安审计第九讲 信息平安管理之 .信息平安审计1 概述2 平安审计系统的体系构造3 平安审计的普通流程4 平安审计的分析方法5 平安审计的数据源6 信息平安审计与规范7 计算机取证.信息平安审计1 概述.信息平安审计概述.信息平安审计概述.信息平安审计概述.信息平安审计概述.信息平安审计概述.信息平安审计概述.信息平安审计概述天融信TA为用户提供的价值.信息平安审计概述.信息平安审计概述信息平安审计的普通步骤.信息平安审计概述确定和坚持系统活动中每个人的责任确认重建事件的发生 评价损失监测系统问题区提供有效的灾难恢复根据提供阻止不正当运用系统行为的根据提供案件侦破证

2、据平安审计系统的目的至少要包括以下几个方面：.信息平安审计概述 平安审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应呼应动作。网络平安审计是指对与网络平安有关的活动的相关信息进展识别、记录、存储和分析，并检查网络上发生了哪些与平安有关的活动以及谁对这个活动担任。信息系统平安审计的概念.信息平安审计概述 信息平安审计的有多方面的作用与功能，包括取证、威慑、发现系统破绽、发现系统运转异常等。(1)取证：利用审计工具，监视和记录系统的活动情况。(2)威慑：经过审计跟踪，并配合相应的责任清查机制，对外部的入侵者以及内部人员的恶意行为具有威慑和警告作用。(3)发现系统

3、破绽：平安审计为系统管理员提供有价值的系统运用日志，从而协助系统管理员及时发现系统入侵行为或潜在的系统破绽。(4)发现系统运转异常：经过平安审计，为系统管理员提供系统运转的统计日志，管理员可根据日志数据库记录的日志数据，分析网络或系统的平安性，输出平安性分析报告，因此可以及时发现系统的异常行为，并采取相应的处置措施。信息系统平安审计的功能.信息平安审计概述 平安审计，按照不同的分类规范，具有不同的分类特性。 按照审计分析的对象，平安审计可分为针对主机的审计和针对网络的审计。前者对系统资源如系统文件、注册表等文件的操作进展事前控制和事后取证，并构成日志文件；后者主要是针对网络的信息内容和协议分析

4、。 按照审计的任务方式，平安审计可分为集中式平安审计和分布式平安审计。集中式体系构造采用集中的方法，搜集并分析数据源网络各主机的原始审计记录，一切的数据都要交给中央处置机进展审计处置。分布式平安审计包含两层涵义，一是对分布式网络的平安审计，其二是采用分布式计算的方法，对数据源进展平安审计。信息系统平安审计的分类.信息平安审计2 平安审计系统的体系构造.信息平安审计体系构造.信息平安审计体系构造.信息平安审计体系构造普通而言，一个完好的平安审计系统图5-1所示，包括事件探测及数据采集引擎、数据管理引擎和审计引擎等重要组成部分，每一部分实现不同的功能。 (1)事件探测及数据采集引擎事件探测及数据采

5、集引擎主要全面侦听主机及网络上的信息流，动态监视主机的运转情况以及及网络上流过的数据包，对数据包进展检测和实时分析，并将分析结果发送给相应的数据管理中心进展保管。(2)数据管理引擎 数据管理引擎一方面担任对事件探测及数据采集引擎传回的数据以及平安审计的输出数据进展管理，另一方面，数据管理引擎还担任对事件探测及数据采集引擎的设置、用户对平安审计的自定义、系统配置信息的管理。它普通包括三个模块:数据库管理、引擎管理、配置管理。(3)审计引擎审计引擎包括两个运用程序:审计控制台和用户管理。 审计控制台可以实时显示网络审计信息，流量统计信息，并可以查询审计信息历史数据，并且对审计事件进展回放。用户管理

6、程序可以对用户进展权限设定，限制不同级别的用户查看不同的审计内容。信息平安审计系统的普通组成.信息平安审计体系构造 集中式体系构造采用集中的方法，搜集并分析数据源，一切的数据都要交给中央处置机进展审计处置。中央处置机承当数据管理引擎及平安审计引擎的任务，而部署在各受监视系统上的外围设备只是简单的数据采集设备，承当事件检测及数据采集引擎的作用。随着分布式网络技术的广泛运用，集中式的审计体系构造越来越显示出其缺陷，主要表如今:(1)由于事件信息的分析全部由中央处置机承当，势必呵斥CPU、I/O以及网络通讯的负担，而且中心计算机往往容易发生单点缺点如针对中心分析系统的攻击。另外，对现有的系统进展用户

7、的增容如网络的扩展，通讯数据量的加大是很困难的。(2)由于数据的集中存储，在大规模的分布式网络中，有能够由于单个点的失败呵斥整个审计数据的不可用。(3)集中式的体系构造，自顺应才干差，不能根据环境变化自动更改配置。通常，配置的改动和添加是经过编辑配置文件来实现的，往往需求重新启动系统以使配置生效。因此，集中式的体系构造已不能顺应高度分布的网络环境。集中式平安审计系统体系构造.信息平安审计体系构造分布式平安审计系统体系构造分布式平安审计系统实践上包含两层涵义：一是对分布式网络的平安审计，其二是采用分布式计算的方法，对数据源进展平安审计。的通讯信息，并根据需求将结果报告给中央管理者。(3)中央管理

8、者模块。接纳包括来自局域网监视器和主机代理的数据和报告，控制整个系统的通讯信息，对接纳到的数据进展分析。相对于集中式构造，它有以下优点:(1) 扩展才干强；(2) 容错才干强 (3) 兼容性强 (4) 顺应性强。它由三部分组成：1主机代理模块。主机代理模块是部署在受监视主机上，并作为后台进程运转的审计信息搜集模块。2局域网监视器代理模块局域网监视器代理模块是部署在受监视的局域网上，用以搜集并对局域网上的行为进展审计的模块，主要分析局域网网上的.信息平安审计3 平安审计的普通流程.信息平安审计流程 事件采集设备经过硬件或软件代理对客体进展事件采集，并将采集到的事件发送至事件区分与分析器进展事件区

9、分与分析，战略定义的危险事件，发送至报警处置部件，进展报警或呼应。对一切需产生审计信息的事件，产生审计信息，并发送至结果汇总，进展数据备份或报告生成。.信息平安审计流程 1 战略定义平安审计应在一定的审计战略下进展，审计战略规定哪些信息需求采集、哪些事件是危险事件、以及对这些事件应如何处置等。因此审计前应制定一定的审计战略，并下发到各审计单元。在事件处置终了后，应根据对事件的分析处置结果来检查战略的合理性，必要时应调整审计战略。2 事件采集包含以下行为：a)按照预定的审计战略对客体进展相关审计事件采集。构成的结果交由事件后续的各阶段来处置；b)将事件其他各阶段提交的审计战略分发至各审计代理，审

10、计代理根据战略进展客体事件采集。.信息平安审计流程3 事件分析包含以下行为： a按照预定战略，对采集到事件进展事件辨析，决议：1)忽略该事件；2)产生审计信息；3)产生审计信息并报警；4)产生审计信息且进展呼应联动。b按照用户定义与预定战略，将事件分析结果生成审计记录，并构成审计报告；4 事件呼应包含以下行为：a)对事件分析阶段产生的报警信息、呼应恳求进展报警与呼应；b)按照预定战略，生成审计记录，写入审计数据库，并将各类审计分析报揭露送到指定的对象；c)照预定战略对审计记录进展备份；5 结果汇总主要包含以下行为：a)将各类审计报告进展分类汇总；b)对审计结果进展适当的统计分析，构成分析报告；

11、c)根据用户需求和事件分析处置结果构成审计战略修正意见。.信息平安审计4 平安审计的分析方法.信息平安审计分析方法基于规那么库的平安审计方法 基于规那么库的平安审计方法就是将知的攻击行为进展特征提取，把这些特征用脚本言语等方法进展描画后放入规那么库中，当进展平安审计时，将搜集到的审核数据与这些规那么进展某种比较和匹配操作(关键字、正那么表达式、模糊近似度等)，从而发现能够的网络攻击行为。 基于规那么库的平安审计方法有其本身的局限性。对于某些特征十清楚显的网络攻击行为，该技术的效果非常之好;但是对于其他一些非常容易产生变种的网络攻击行为，规那么库就很难用完全满足要求了。.信息平安审计分析方法2.

12、 基于数理统计的平安审计方法 数理统计方法就是首先给对象创建一个统计量的描画，比如一个网络流量的平均值、方差等等，统计出正常情况下这些特征量的数值，然后用来对实践网络数据包的情况进展比较，当发现实践值远离正常数值时，就可以以为是潜在的攻击发生。 但是，数理统计的最大问题在于如何设定统计量的“阀值，也就是正常数值和非正常数值的分界点，这往往取决于管理员的阅历，不可防止产生误报和漏报。.信息平安审计分析方法3 基于日志数据发掘的平安审计方法 与传统的网络平安审计系统相比，基于数据发掘的网络平安审计系统有检测准确率高、速度快、自顺应才干强等优点。 带有学习才干的数据发掘方法己经在一些平安审计系统中得

13、到了运用，它的主要思想是从系统运用或网络通讯的“正常数据中发现系统的“正常运转方式，并和常规的一些攻击规那么库进展关联分析，并用以检测系统攻击行为。.信息平安审计分析方法4 其它平安审计方法 平安审计是根据搜集到的关于己发惹事件的各种数据来发现系统破绽和入侵行为，能为清查呵斥系统危害的人员责任提供证据，是一种事后监视行为。入侵检测是在事件发生前或攻击事件正在发生过程中，利用观测到的数据，发现攻击行为。两者的目的都是发现系统入侵行为，只是入侵检测要求有更高的实时性，因此平安审计与入侵检测两者在分析方法上有很大的类似之处，入侵检测分析方法多能运用与平安审计。.信息平安审计5 平安审计的数据源.信息

14、平安审计数据源 对于平安审计系统而言，输入数据的选择是首先需求处理的问题，而平安审计的数据源，可以分为三类：基于主机、基于网络和其他途径。.信息平安审计数据源1 基于主机的数据源(1)操作系统的审计记录操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，如用户进程所调用的系统调用类型以及执行的命令行等，并将这些信息按照时间顺序组织为一个或多个审计文件。(2)系统日志日志分为操作系统日志和运用程序日志两部分。操作系统日志与主机的信息源相关，是运用操作系统日志机制生成的日志文件的总称；运用程序日志是有运用程序本人生成并维护的日志文件的总称。(3)运用程序

15、日志信息操作系统审计记录和系统日志都属于系统级别的数据源信息，通常由操作系统及其规范部件一致维护，是平安审计优先选用的输入数据源。随着计算机网络的分布式计算架构的开展，对传统的平安观念提出了挑战。一方面，系统设计的日益复杂，使管理者无法单纯从内核底层级别的数据源来分析判别系统活动的情况。另一方面，网络化计算环境的普及，导致入侵攻击行为的目的日益集中于提供网络效力的特定运用程序，.信息平安审计数据源2 基于网络的数据源随着基于网络入侵检测的日益流行，基于网络的平安审计也成为平安审计开展的流行趋势，而基于网络的平安审计系统所采用的输入数据即网络中传输的数据。采用网络数据具有以下优势：(1)经过网络

16、被动监听的方式获取网络数据包，作为平安审计系统的输入数据，不会对目的监控系统的运转性能产生任何影响，而且通常无需改动原有的构造和任务方式。(2)嗅探模块在任务时，可以采用对网络用户透明的方式，降低了其本身遭到攻击的概率。(3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的破绽放掘过程，或是发送畸形网络数据包和大量误用数据包的DOS攻击等。(4)网络数据包的规范化程度，比主机数据源来说要高得多，.信息平安审计数据源5.5.2 基于网络的数据源随着基于网络入侵检测的日益流行，基于网络的平安审计也成为平安审计开展的流行趋势，而基于网络的平安审计系统所采用

17、的输入数据即网络中传输的数据。采用网络数据具有以下优势：(1)经过网络被动监听的方式获取网络数据包，作为平安审计系统的输入数据，不会对目的监控系统的运转性能产生任何影响，而且通常无需改动原有的构造和任务方式。(2)嗅探模块在任务时，可以采用对网络用户透明的方式，降低了其本身遭到攻击的概率。(3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的破绽放掘过程，或是发送畸形网络数据包和大量误用数据包的DOS攻击等。(4)网络数据包的规范化程度，比主机数据源来说要高得多，5.5.3 其它数据源(1)来自其它平安产品的数据源(2)来自网络设备的数据源(3)带外

18、数据源.信息平安审计数据源3 其它数据源(1)来自其它平安产品的数据源(2)来自网络设备的数据源(3)带外数据源.信息平安审计6 信息平安审计与规范.信息平安规范1 TCSES对于审计子系统的要求 TCSEC 的A1和A1+两个级别较B3级没有添加任何平安审计特征，从C2级的各级别都要求具有审计功能，而B3级提出了关于审计的全部功能要求。因此，TCSEC共定义了四个级别的审计要求:C2、B1、B2、B3。 C2级要求审计以下事件:用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员/系统管理员/平安管理员的行为、其它与平安有关的事件。 B1级相对于C2级添加了以下需求审计的事件:

19、对于可以输出到硬拷贝设备上的人工可读标志的修正包括敏感标志的覆写和标志功能的封锁、对任何具有单一平安标志的通讯通道或I/O设备的标志指定、对具有多个平安标志的通讯通道或I/O设备的平安标志范围的修正。 B3级在B2级的功能根底上，添加了对能够将要违背系统平安政策这类事件的审计，比如对于时间型隐蔽通道的利用。 B2级的平安功能要求较之B1级添加了可信途径和隐蔽通道分析等，因此，除了B1级的审计要求外，对于能够被用于存储型隐蔽通道的活动，在B2级也要求被审计。.信息平安规范2 CC中的平安审计功能需求 CC是美国、加拿大、英国、法国、德国、荷兰等国家结合提出的信息平安评价规范，在1999年经过国际

20、规范化组织认可，成为信息平安评价国际规范。CC规范基于平安功能与平安保证措施相独立的观念，在组织上分为根本概念、平安功能需求和平安保证需求三大部分。CC中，平安需求都以类、族、组件的层次构造方式进展定义.信息平安规范3 17859对平安审计的要求 我国的信息平安国家规范GB 17859-1999定义了五个平安等级，从第二级“系统审计维护级开场有了对审计的要求，它规定计算机信息系统可信计算基TCB可以记录以下事件：运用身份鉴别机制；将客体引入用户地址空间例如：翻开文件、程序初始化；删除客体；由操作员、系统管理员或和系统平安管理员实施的动作，以及其它与系统平安相关的事件。第三级“平安标志维护级在第

21、二级的根底上，要求对于客体的添加和删除这类事件要在审计记录中添加对客体平安标志的记录。另外，TCB也要审计对可读输出记号如输出文件的平安标志的更改这类事件。第四级“构造化维护级的审计功能要求与第三级相比，添加了对能够利用存储型隐蔽通道的事件进展审计的要求。 第五级“访问验证维护级在第四级的根底上，要求TCB可以监控可审计平安事件的发生与积累，当这类事件的发生或积累超越预定阈值时，TCB可以立刻向平安管理员发出警报。并且，假设这些事件继续发生，系统应以最小的代价终止它们。.信息平安规范4 信息系统平安审计产品技术要求1. 平安审计产品分类技术规范将平安审计产品分为公用型和综合型两类。公用型是指对

22、主机、效力器、网络、数据库管理系统、其它运用系统等客体采集对象其中一类进展审计，并对审计事件进展分析和呼应的平安审计产品。2.平安功能要求技术规范分为审计踪迹、审计数据维护、平安管理、标识和鉴别、产品晋级、监管要求等六个方面给出了详细的平安功能要求，其中每个功能还有更细致、可测试的平安子功能描画。3.本身平安要求 技术规范对平安审计产品本身平安也作出了明确的要求，分别包括：本身审计数据生成、本身平安审计记录独立存放、审计代理平安、产品卸载平安、系统时间同步、管理信息传输平安、系统部署平安、审计数据平安等。4.性能要求信息系统平安审计产品的性能要求是指 (1)稳定性;(2)资源占用：软件代理的运

23、转对宿主机资源如CPU、内存空间和存储空间，不应长时间固定或无限制占用 (4)产品应有足够的吞吐量.5.保证要求技术规范还对产品及开发者提出了假设干产品保证方面的要求.信息平安审计7 计算机取证.计算机取证 计算机取证的开展历程 美国是开展电子证据检验和研讨任务最早的国家之一。1989年FBI实验室开场了电子证据检验研讨，并成立了专门从事电子证据检验的部门CART。每名检验人员除了具有专业根底外，还必需经过FBI 组织的七周以上的专门培训，包括刑事技术检验根底、电子技术检验技术和有关法律知识，每年还要对检验人员进展一定的新技术培训。美国的这种做法后来被许多其他国家的执法机构效仿。 为了顺该当前

24、情势，推进电子证据鉴定任务的开展，我国有关机构在充实计算机技术力量和设备的根底上，顺应新时期公安任务的实践需求，从1999 年开场对电子证据检验技术进展研讨，2001 年开场开展电子证据检验鉴定任务。.计算机取证2 什么是计算机取证计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方式，进展识别、保管、分析和提交数字证据的过程。3 计算机取证流程计算机取证的普通步骤应由以下几个部分组成。维护目的计算机系统电子证据确实定电子证据的搜集电子证据的维护电子证据的分析归档 在处置电子证据的过程中，为保证数据的可信度，必需确保“证据链的完好性即证据保全，对各个

25、步骤的情况进展归档，包括搜集证据的地点、日期、时间和人员、方法及理由等，以使证据经得起法庭的质询。.计算机取证4 计算机取证相关技术1电子证据监测技术电于数据的监测技术就是要监测各类系统设备以及存储介质中的电子数据，分析能否存在可作为证据的电子数据，涉及到的技术大体有事件犯罪监测、异常监测Anomalous Detection、审计日志分析等。2物理证据获取技术根据电子证据监测技术，当计算机取证系统监测到有入侵时，该当立刻获取物理证据，它是全部取证任务的根底，在获取物理证据时最重要的任务是保证所保管的原始证据不受任何破坏。3电子证据搜集技术电子数据搜集技术是指遵照授权的方法，运用授权的软硬件设备，将己搜集的数据进展保全，并对数据进展一些预处置，然后完好平安的将数据从目的机器转移到取证设备上。.计算机取证4电子证据保全技术。在取证过程中，应对电子证据及整套的取证机制进展维护。5电子证据处置及鉴定技术 指对己搜集的电子数据证据进展过滤、方式匹配、隐藏数据发掘等的预处置任务，并在预处置的根底上，对处置过的数据进展数据统计、数据发掘等分析任务，试图对攻击