安全审计的基础知识

1、安全审计的基础知识安全审计的基础知识安全审计审计技术出现在计算机技术之前，是产生和记录并检查按时间顺序排列的系统事件记录过程。安全审计是计算机和网络安全的重要组成部分。安全审计提供的功能服务于直接和间接两方面的安全目标：1.直接的安全目标包括跟踪和监测系统中的异常事件2.间接的安全目标是检测系统中其他安全机制的运行 情况和可信度安全审计审计技术出现在计算机技术之前，是产生和记录并检查按审计的目标确定和保持系统活动中每个人的责任确认重建事件的发生 评估损失监测系统问题区提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供案件侦破证据安全审计系统的目标至少要包括以下几个方面：审计的目标确定和

2、保持系统活动中每个人的责任安全审计系统的目标审计系统的组成审计系统的组成日志记录的原则 在理想情况下，日志应该记录每个可能的事件，以便分析发生的所有事件，并恢复任何时刻进行的历史情况。但这样存储量过大，并且将严重影响系统的性能。因此。日志的内容应该是有选择的。一般情况下日志的记录应该满足如下的原则：（1） 日志应该记录任何必要的事件，以检测已知的攻击模式。（2） 日志应该记录任何必要的事件，以检测异常的攻击模式。（3） 日志应该记录关于记录系统连续可靠工作的信息。日志记录的原则 在理想情况下，日志应该记录每个可日志的内容审计功能的启动和关闭使用身份鉴别机制将客体引入主体的地址空间删除客体管理员

3、、安全员、审计员和一般操作人员的操作其他专门定义的可审计事件 日志系统根据安全要求记录上面事件的部分或全部。通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）事件、和源目的的位置、事件类型、事件成败等。日志的内容审计功能的启动和关闭 日志系统根据安全记录机制 不同的系统可采用不同的机制记录日志。但大多情况可用系统调用Syslog来记录日志，也可用SNMP记录。下面简单介绍下Syslog： Syslog由Syslog守护程序、Syslog规则集及Syslog系统调用三部分组成，如下图：记录机制 不同的系统可采用不同的机制记录日志。但安全审计分析（1）潜在侵害分析：日志分析

4、应能用一些规则去监控审计事件，并根据规则发现潜在的入侵。（2）基于异常检测的轮廓：确定正常行为轮廓，当日志中的事件违反它或超出他的一定门限，能指出将要发生的威胁。（3）简单攻击探测：对重大威胁特征有明确描述，当攻击现象出现，能及时指出。（4）复杂攻击检测：要求高的日志分析系统还应能检测到多部入侵序列，当攻击序列出现，能预测其发生的步骤。日志分析就是在日志中寻找模式，其主要内容：安全审计分析（1）潜在侵害分析：日志分析应能用一些规则去监控审计事件查阅 由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全性主要是查阅和存储的安全。 审计事件的查阅应该受到严

5、格的限制，不能篡改日志。通常通过以下不同的层次来保证查阅的安全。 （1）审计查阅：审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。 （2）有限审计查阅：审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统。 （3）可选审计查阅：在有限审计查阅的基础上限制查阅的范围。审计事件查阅 由于审计系统是追踪、恢复的审计事件存储 审计事件的存储也有安全性的要求，具体有如下几种情况。 （1）受保护的审计踪迹存储：即要求存储系统对日志事件具有防护功能，防止未授权的修改和删除，并具有检测修改和删除的能力。 （2）审计数据的可用性保证：在审计存储系统遭受意外时，能防止或检测审计

6、记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏。 （3）防止审计数据丢失：在审计踪迹超过预定的门限或记满时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作等等。审计事件存储 审计事件的存储也有安全性的要求，安全审计应用实例安全审计应用实例1.NT审计子系统结构 几乎Windows NT系统中的每一项事务都可以在一定程度上被审计，可以在Explorer和User manager两个地方打开审计。在Explorer中，选择Security，再选择Auditing以激活Directory Auditing对话框，系统管理员可

7、以在这个窗口选择跟踪有效和无效的文件访问。在User manager中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登陆和退出、文件访问、权限非法和关闭系统等。Windows NT使用一种特殊的格式存放它的日志文件，这种各式的文件可以被事件查看器Event viewer读取。事件应用实例Windows NT 中的安全审计1.NT审计子系统结构应用实例Windows NT 中的安 Windows NT的日志文件很多，但主要是系统日志、安全日志和应用日志三个。这三个审计日志是审计一Windows NT系统的核心。默认安装时安全日志不打开。 Windows NT中所有可被审计的事件都存

8、入了其中的一个日志。（1）Application Log：包括用NT Security authority注册的应用程序产生的信息。（2）Security Log：包括有关通过NT可识别安全提供者和客户的系统访问信息。（3）System Log: 包含所有系统相关事件的信息。察看器可以在Administrative tool程序组中找到。系统管理员可以使用事件察看器的Filter选项根据一定条件选择要查看的日志条目。查看条件条件包括类别、拥护和消息类型。1.NT审计子系统结构 察看器可以在Administrative tool应用实例Windows NT 中的安全审计2.审计日志和记录格式 W

9、indows NT的审计日志由一系列的事件记录组成，每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。如下表显示了一个事件记录的结构。安全日志的入口通常由头和事件描述组成。数据时间用户名计算机名事件ID源类型种类可变内容,依赖于事件。可以使问题的文本解释和纠正措施的建议附加域。如果采用的话，包含可以字节或字显示的二进制数据及事件记录的源应用产生的信息记录头事件描述附加数据应用实例Windows NT 中的安全审计2.审计日志和记时间记录头有下列域组成：（1）日期：事件的日期标识。（2）时间：事件的时间标识。（3）用户名：表识事件是有谁触发的。（4）计算机名：事件所在的计算机名。当

10、用户在整个企业范围内集中 安全管理时，该信息大大简化了审计信息的回顾。（5）事件ID：事件类型的数字标识。在事件记录描述中，这个域通常被映射 成一个文本表识（事件名）。 (6) 源：用来响应事件纪录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动器。（7）类型：事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息，按重要性降序排列。（8）种类：触发事件类型，主要用在安全日志中指示该类事件的成功 或失败审计已经被许可。时间记录头有下列域组成：（1）日期：事件的日期标识。（4）计 3. NT事件日志管理特征 Windows NT提供了大量特征给系统管理员区管理操作系统事件日志机

11、制。例如：管理员能限制日志的大小并规定当文档达到容量上限时，如何去处理这些文件。选项包括：用新纪录去冲掉最老的纪录，停止系统直到事件日志备受共清除。 当系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须备受共清除时，日志停止。另一方面，安全事件日志必须由具有管理者权限的人启动。利用NT得用户管理器，可以设置安全审计规则。要启动安全审计的功能，只需在规则菜单下选择审计，然后通过察看NT记录的安全事件日志中的安全性事件，既可以跟踪所选用户的操作。 3. NT事件日志管理特征 Windows N应用实例Windows NT 中的安全审计4. NT安全日志的审计策略NT

12、安全日志由审计策略支配，审计策略可以通过配置审计策略对话框中的选项来建立。NT的审计规则如下（既可以审计成功的操作，又可以审计失败的操作）：（1）登陆及注销（2）用户及组管理（3）文件及对象访问（4）安全性规则更改（5）重新启动、关机及系统级事件（6）进程追踪（7）文件和目录审计应用实例Windows NT 中的安全审计4. NT安全日5.管理和维护NT审计 通常情况下，Windows NT 不是将所有的事件都记录日志，而需要手动启动审计的功能。这是首先需要从开始菜单中选择程序，然后再选择管理工具。从管理工具紫菜单选择用户管理器，显示出用户管理起窗口。然后从用户管理器的菜单中单击policie

13、s(策略)，再单击audit(审计)，审计策略窗口就出现了。接着选择单选框”audit thest events”(审计这些事件)。最后选择需要启动事件的按OK，然后关闭用户管理器。值得注意的是在启动Windows NT的审计功能时，需要仔细选择审计的内容。5.管理和维护NT审计 通常情况下，Windows审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单审计，然后在监视系统的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个叫有效率的选择。 最后介绍一下Windows NT的三个日志文件的物理位置。 系统日志：%syst

14、emroot%system32configsysevent.evt 安全日志：%systemroot%system32configsecevent.evt 应用程序日志：%systemroot%system32configappevent.evt5.管理和维护NT审计审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简Unix/Linux 中的安全审计Unix存放日志文件最常用的目录/usr/adm 早期版本的unix/var/adm 较新版本的unix/var/log 用于Solaris,Linix,BSD/etc Unix system V 早期版本Unix/Linux 中的安全审

15、计Unix存放日志文件最常用常的日志文件lastlog 用户最后一次成功登录时间loginlog 不良的登录尝试记录messages 输出到系统主控台的消息utmp 当前登录的每个用户wtmp 每一次用户登录和注销的历史信息vold.log 使用外部介质出现的错误xferkig Ftp的存取情况acct 每个用户使用过的命令aculog 拨出自动呼叫记录常的日志文件lastlog 用户最后一次成功登录应用实例Unix/Linux 中的安全审计连接时间日志 连接时间日志由多个程序程序执行，把记录写入到/var/log/wtm和/var/run/utmp中并通过login等程序更新wtmp和utm

16、p文件，使系统管理员能够跟踪谁在何时登录到系统。应用实例Unix/Linux 中的安全审计连接时间日志lastlog文件，Unix在lastlog 日志文件中记录每一个用户注册进入系统的最后时间，在每一次进入系统是，系统会显示这个信息。告诉用户和对一下最后注册进入系统的时间是否正确，若系统显示的时间与上次 进入系统的时间不服，说明发生了非授权用户注册。 连接时间日志： 连接时间日志：loginlog文件，Unix system V版本中可以把不成功的登陆行为记录在/var/adm/loginlog中。如果某个入侵者直到一个系统的用户名，同时又想猜出密码，/var/adm/loginlog就会记

17、录他的失败的登陆尝试。utmp、wtmp和lastlog日志文件是多数Unix日志系统的关键-记录用户的登陆和推出信息。有关当前登陆用户的信息记录在utmp中。等和推出记录在文件wtmp中。最后一次登陆文件可以用lastlog命令察看。数据交换和重启也记录在wtmp文件中。所有的记录都包括时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速.wtmp和utmp都是为二进制文件，不能被诸如tail命令剪贴或合并（使用cat命令）。用户可以通过who,w,users,last和ac来使用这两个文件包含的信息。 连接时间日志：loginlog文件，Unix system V版

18、本中可应用实例Unix/Linux 中的安全审计进程统计日志 进程统计日志由系统内核执行。当一个进程终止时，系统往进程统计文件中写一个记录。其目的是为系统中的基本服务提供命令使用统计。应用实例Unix/Linux 中的安全审计进程统计日志 与连接按日志不同，进程统计子系统缺省为不激活，必须通过启动来激活。在Unix/Linux系统中启动进程统计使用accton命令，必须用root身份来运行。accton命令的形式为accton file，file必须先存在。然后运行accton:accton/var/log/pacct。进程日志系统可以跟踪每个用户运行的每条命令，并且对跟踪一个入侵者有帮助。，

19、进程系统一个问题是pacct文件可能增长得十分迅速。这是需要交互式或经过corn机制运行sa命名来保持日志数据在系统控制的范围内。进程系统日志： 进程系统日志：应用实例Unix/Linux 中的安全审计错误日志 错误日志由syslog执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。另外，有许多Unix/Linux程序也会创建日志。应用实例Unix/Linux 中的安全审计错误日志syslog采用可配置的统一的系统登陆程序，随时从系统各处接受log请求，然后根据/etc/syslog.conf中的预先设定把log消息写入相应的文件

20、并有机给特定的用户或者直接以消息的方式发往控制台。任何程序都可以通过syslog记录事件。syslog可以记录系统事件，也能记录本地事件或通过网络记录另一个主机上的事件。syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件。习惯上，多数syslog信息被写道/var/adm或/var/log目录下的信息文件中（message.*）。错误日志：错误日志： syslog.conf文件指明syslog程序记录日志的行为，syslog程序在启动时查询配置文件。给文件由不同的程序或消息分类的单个条目组成，每个占一行。对每类消息提供俄选择域和一

21、个动作域。这些域由tab隔开，选择域指明消息的类型和优先级，动作域指明syslog接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时。syslog将记录一个拥有相同或更高优先级的消息。所以如果指明crit,那所有标为crit、alert和emerg的消息都将被纪录。每行的行动域指明当选择域选择了一个给定消息后应给把它发送到哪里。错误日志： syslog.conf文件指明syslog程序记录日志的行每一次的加油，每一次的努力都是为了下一次更好的自己。9月-229月-22Wednesday, September 21, 2022天生我材必有用，千金散尽还复来。11:28:0011:28:0011:289/21/2022 11:2