信息安全管理第五信息系统安全审计

第5章信息系统安全审计第1页，共142页。5.1概述5.2安全审计系统的体系结构5.3安全审计的一般流程5.4安全审计的分析方法5.5安全审计的数据源5.6信息安全审计与标准5.7计算机取证第2页，共142页。5.1概述第3页，共142页。5.1概述审计信息系统审计（信息系统）安全审计（信息系统）网络安全审计第4页，共142页。5.1概述审计（Audit）是指由专设机关依照法律对国家各级政府及金融机构、企业事业组织的重大项目和财务收支进行事前和事后的审查的独立性经济监督活动。第5页，共142页。第6页，共142页。第7页，共142页。第8页，共142页。第9页，共142页。第10页，共142页。第11页，共142页。5.1概述信息系统审计（InformationSystemAudit，ISA）是通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。第12页，共142页。5.1概述对信息系统审计的理解：信息系统审计是具有独立性的监督活动审计对象是以计算机为处理手段的信息系统，不仅包括会计信息系统，其他信息处理系统如人事档案管理系统，以及整个应用系统、网络系统,都是信息系统审计的对象审计的目的是揭发弊端，提高系统的安全性、可靠性、合法性和效率第13页，共142页。第14页，共142页。第15页，共142页。5.1概述安全审计（SecurityAudit））就是对系统安全的审核、稽查与计算，即在记录一切(或部分)与系统安全有关活动的基础上，对其进行分析处理、评价审查，发现系统中的安全隐患，或追查造成安全事故的原因，并作出进一步的处理。信息系统安全审计是信息系统审计的一个分支，是专门针对信息系统的安全实施的审计。其审计目的是确定信息系统是否设置了相应的安全控制措施以识别、防范各种安全威胁，从而帮助被审单位的信息系统在一个更加安全的环境下运行。第16页，共142页。5.1概述对信息系统安全审计的含义可以从两方面理解1.信息系统安全审计的目的是测评系统的安全控制措施，确定其是否足以识别、防范各种“威胁”2.信息系统安全审计是针对提高系统安全性的审计第17页，共142页。第18页，共142页。五险一金第19页，共142页。审计人员在被审计单位计算机机房对其信息系统建设和运行情况进行检查第20页，共142页。5.1概述网络安全审计（NetworkSecurityAudit）网络安全审计是指对与网络安全有关的活动的相关信息进行识别、记录、存储和分析，并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。网络安全审计相当于飞机上的“黑匣子”。国际标准ISO／IEC15408(俗称为CC准则)：广泛应用于评估系统的安全性第21页，共142页。5.1概述审计对象：网络设备、服务器、用户电脑、数据库、应用系统、网络安全设备等。第22页，共142页。安全审计的必要性随着日益增长的互联网安全风险，安全问题的复杂性日益加大，大约76%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的损失，而这些威胁绝大部分与内部各种网络访问行为有关，如何对业务系统访问和网络行为进行有效的监控，已经成为政府、企业重点关注的问题。第23页，共142页。安全审计的必要性防火墙、入侵检测等传统网络安全手段，可实现对网络异常行为的管理和监测，如网络连接和访问的合法性进行控制、监测网络攻击事件等，但是不能监控网络内容和已经授权的正常内部网络访问行为，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为（即时通讯、论坛、在线视频、P2P下载、网络游戏等）也无能为力，也难以实现针对内容、行为的监控管理及安全事件的追查取证。第24页，共142页。安全审计的必要性如何有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是企业迫切需要解决的问题。第25页，共142页。安全审计的必要性网络信息系统在综合运用防护工具（如防火墙、操作系统身份认证、加密等手段）、检测工具（如漏洞评估、入侵检测等系统）的同时，必须通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。

第26页，共142页。安全审计的必要性信息安全体系结构模型安全审计也是一项重要内容第27页，共142页。利用信息系统审计建立我国网络安全的第三道防线第28页，共142页。利用信息系统审计建立我国网络安全的第三道防线“一道防线”：组织业务及操作层面的网络安全管理，由组织的一线业务部门负责。职责是识别和管理网络安全固有风险，并对风险实施有效的控制措施，是整个网络安全保障工作的基础。第29页，共142页。利用信息系统审计建立我国网络安全的第三道防线“二道防线”：网络安全风险的专职管理，由组织的风险管理部门和IT部门负责。职责是建立网络安全风险管理框架，实施独立的风险评估、计量、监测和报告，确保网络安全风险管理政策及措施有效执行，将风险控制在可接受水平。第30页，共142页。利用信息系统审计建立我国网络安全的第三道防线“三道防线”：对网络安全独立的监督评价，即审计，由审计监督部门负责。职责是对网络安全风险管理的相关控制、流程和系统进行独立审阅和检查，促进一、二道防线积极履职，进一步揭示网络安全风险，为一、二道防线提供改进建议。第31页，共142页。信息系统安全审计的功能(1)取证

利用审计工具，监视和记录系统的活动情况，如记录用户登录账户、登录时间、终端以及所访问的文件、存取操作等，并放入系统日志中，必要时可打印输出，提供审计报告，对于已经发生的系统破坏行为提供有效的追究证据。(2)威慑

通过审计跟踪，并配合相应的责任追究机制，对外部的入侵者以及内部人员的恶意行为具有威慑和警告作用。第32页，共142页。信息系统安全审计的功能(3)发现系统漏洞

安全审计为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。(4)发现系统运行异常

通过安全审计，为系统管理员提供系统运行的统计日志，管理员可根据日志数据库记录的日志数据，分析网络或系统的安全性，输出安全性分析报告，因而能够及时发现系统的异常行为，并采取相应的处理措施。第33页，共142页。信息系统安全审计的分类按照审计分析的对象，安全审计可分为针对主机的审计和针对网络的审计。第34页，共142页。针对主机的审计针对主机的审计是指通过收集主机系统上面的各种形式的日志文件实现审计的方式。针对主机的审计的特点是收集的信息比较深入，比较完整，不受加密协议的影响，其缺点是部署过程较为复杂，通常需要在主机系统上安装代理，这样不容易保持审计策略的一致，不容易保证审计代理工作的正常和健壮，安装在审计对象主机上面的代理可能会被卸载或者停止运行，这样审计代理产生的审计信息的可信性也会大打折扣。第35页，共142页。针对网络的审计针对网络的审计是指直接从网络中收集各种会话信息，从网络传输的数据和行为中提取审计信息。针对网络的审计的特点是部署快速，对应用系统影响小，覆盖面大，不容易被绕过，不容易被窜改等。普通的基于网络的审计系统主要通过收集包括路由器、交换机、防火墙、入侵检测等网络和安全设备记录的日志来实现。这样实现的审计系统丢失了网络会话的绝大部分内容，缺陷是它们不能有效地审计那些使用了加密协议的会话。第36页，共142页。信息系统安全审计的分类按照审计的工作方式，安全审计可分为集中式安全审计和分布式安全审计。集中式体系结构采用集中的方法，收集并分析数据源(网络各主机的原始审计记录)，所有的数据都要交给中央处理机进行审计处理。分布式安全审计包含两层含义，一是对分布式网络的安全审计，二是采用分布式计算的方法，对数据源进行安全审计。第37页，共142页。5.2安全审计系统的体系结构第38页，共142页。5.2安全审计系统的体系结构第39页，共142页。安全审计系统安全审计系统（SecurityAuditSystem，SAS）是在一个特定的企事业单位的网络环境下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄露、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。安全审计系统是对信息系统进行安全审计的系统第40页，共142页。安全审计系统的特点细粒度的网络内容审计

安全审计系统可对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原；

全面的网络行为审计

安全审计系统可对网络行为，如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等，提供全面的行为监控，方便事后追查取证；综合流量分析

安全审计系统可对网络流量进行综合分析，为网络带宽资源的管理提供可靠策略支持；

因此，通过传统安全手段与安全审计技术相结合，在功能上互相协调、补充，构建一个立体的、全方位的安全保障管理体系第41页，共142页。信息安全审计系统的一般组成一般而言，一个完整的安全审计系统包括事件探测及数据采集引擎、数据管理引擎和审计引擎等重要组成部分。(1)事件探测及数据采集引擎

事件探测及数据采集引擎主要全面侦听主机及网络上的信息流，动态监视主机的运行情况以及网络上流过的数据包，对数据包进行检测和实时分析，并将分析结果发送给相应的数据管理中心进行保存。第42页，共142页。信息安全审计系统的一般组成(2)数据管理引擎

数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及安全审计的输出数据进行管理，另一方面，数据管理引擎还负责对事件探测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息的管理。它一般包括三个模块：数据库管理、引擎管理、配置管理。第43页，共142页。信息安全审计系统的一般组成(3)审计引擎

审计引擎包括两个应用程序：审计控制台和用户管理。审计控制台可以实时显示网络审计信息、流量统计信息，可以查询审计信息历史数据，并且对审计事件进行回放。用户管理程序可以对用户进行权限设定，限制不同级别的用户查看不同的审计内容。同时还可以对每一种权限的使用人员的操作进行审计记录，可以由用户管理员进行查看，具有一定的自身安全审计功能。第44页，共142页。绿盟安全审计系统第45页，共142页。绿盟安全审计系统绿盟安全审计系统（NSFOCUSSecurityAuditSystem，简称：NSFOCUSSAS）通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。第46页，共142页。绿盟安全审计系统的功能内容审计NSFOCUSSAS系统提供深入的内容审计功能，可对网站访问、邮件收发、远程终端访问、数据库访问、数据传输、文件共享等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。行为审计NSFOCUSSAS系统提供全面的网络行为审计功能，根据设定行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、数据传输、文件共享、网络资源滥用（即时通讯、论坛、在线视频、P2P下载、网络游戏等）等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。流量审计NSFOCUSSAS系统提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。第47页，共142页。堡垒机在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。第48页，共142页。堡垒机的产生原因随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险，主要表现在：1.多个用户使用同一个账号。这种情况主要出现在同一工作组中，由于工作需要，同时系统管理账号唯一，因此只能多用户共享同一账号。如果发生安全事故，不仅难以定位账号的实际使用者和责任人，而且无法对账号的使用范围进行有效控制，存在较大安全风险和隐患。第49页，共142页。堡垒机的产生原因2.一个用户使用多个账号。目前，一个维护人员使用多个账号是较为普遍的情况，用户需要记忆多套口令同时在多套主机系统、网络设备之间切换，降低工作效率，增加工作复杂度。第50页，共142页。堡垒机的产生原因3.缺少统一的权限管理平台，权限管理日趋繁重和无序；而且维护人员的权限大多是粗放管理，无法基于最小权限分配原则的用户权限管理，难以实现更细粒度的命令级权限控制，系统安全性无法充分保证。第51页，共142页。堡垒机的产生原因4.无法制定统一的访问审计策略，审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为，由于没有统一审计策略，并且各系统自身审计日志内容深浅不一，难以及时通过系统自身审计发现违规操作行为和追查取证。5.传统的网络安全审计系统无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计。SSH：

SecureShell

，安全外壳协议RDP：RemoteDesktopProtocol，远程桌面协议第52页，共142页。堡垒机的核心功能1.单点登录功能支持对linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改，简化密码管理，让使用者无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全。2.账号管理设备支持统一账户管理策略，能够实现对所有服务器、网络设备、安全设备等账号进行集中管理，完成对账号整个生命周期的监控，并且可以对设备进行特殊角色设置如：审计巡检员、运维操作员、设备管理员等自定义设置，以满足审计需求第53页，共142页。堡垒机的核心功能3.身份认证设备提供统一的认证接口，对用户进行认证，支持身份认证模式包括动态口令、静态密码、硬件key、生物特征等多种认证方式，设备具有灵活的定制接口，可以与其他第三方认证服务器之间结合；安全的认证模式，有效提高了认证的安全性和可靠性。4.资源授权设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权，最大限度保护用户资源的安全第54页，共142页。堡垒机的核心功能5.访问控制设备支持对不同用户进行不同策略的制定，细粒度的访问控制能够最大限度的保护用户资源的安全，严防非法、越权访问事件的发生。6.操作审计设备能够对字符串、图形、文件传输、数据库等全程操作行为审计；通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作，对违规行为进行事中控制。对终端指令信息能够进行精确搜索，进行录像精确定位。第55页，共142页。安全审计系统的体系结构集中式安全审计系统体系结构分布式安全审计系统体系结构第56页，共142页。集中式安全审计系统体系结构集中式体系结构采用集中的方法，收集并分析数据源，所有的数据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎及安全审计引擎的工作，而部署在各受监视系统上的外围设备只是简单的数据采集设备，承担事件检测及数据采集引擎的作用。第57页，共142页。集中式安全审计系统体系结构集中式的审计体系结构的缺陷(1)由于事件信息的分析全部由中央处理机承担，势必造成CPU、I/O以及网络通信的负担，而且中心计算机往往容易发生单点故障(如针对中心分析系统的攻击)。另外，对现有的系统进行用户的增容(如网络的扩展、通信数据量的加大)是很困难的。(2)由于数据的集中存储，在大规模的分布式网络中，有可能因为单个点的失败造成整个审计数据的不可用。(3)集中式的体系结构，自适应能力差，不能根据环境变化自动更改配置。通常，配置的改变和增加是通过编辑配置文件来实现的，往往需要重新启动系统以使配置生效。第58页，共142页。分布式安全审计系统体系结构分布式安全审计系统实际上包含两层含义：一是对分布式网络的安全审计；二是采用分布式计算的方法，对数据源进行安全审计。它由三部分组成。(1)主机代理模块

主机代理模块是部署在受监视主机上，并作为后台进程运行的审计信息收集模块。主要目的是收集主机上与安全相关的事件信息，并将数据传送给中央管理者。它同时承担了数据采集以及部分的安全审计工作。

第59页，共142页。分布式安全审计系统体系结构(2)局域网监视器代理模块

局域网监视器代理模块是部署在受监视的局域网上，用以收集并对局域网上的行为进行审计的模块，主要分析局域网上的通信信息，并根据需要将结果报告给中央管理者。(3)中央管理者模块

中央管理者模块接收包括来自局域网监视器和主机代理的数据和报告，控制整个系统的通信信息，对接收到的数据进行分析。第60页，共142页。分布式安全审计系统体系结构分布式安全审计系统体系结构的优点：(1)扩展能力强：通过扩展审计单元来实现网络安全范围的扩张。(2)容错能力强：分布式的独立结构解决了单点失效问题。(3)兼容性强：既可包含基于主机的审计，又可含有基于网络的审计，超越了传统审计模型的界限。(4)适应性强：当网络和主机状态改变时，如升级或重构，分布式审计系统可以容易地作相应修改。第61页，共142页。5.3安全审计的一般流程第62页，共142页。安全审计的一般流程事件采集设备通过硬件或软件代理对客体进行事件采集，并将采集到的事件发送至事件辨别与分析器进行事件辨别与分析，策略定义的危险事件，发送至报警处理部件，进行报警或响应。对所有需产生审计信息的事件，产生审计信息，并发送至结果汇总，进行数据备份或报告生成。事件采集事件分析结果汇总事件响应策略定义第63页，共142页。安全审计的一般流程1．策略定义2．事件采集3．事件分析4．事件响应5．结果汇总第64页，共142页。安全审计的一般流程1．策略定义

安全审计应在一定的审计策略下进行，审计策略规定哪些信息需要采集、哪些事件是危险事件，以及对这些事件应如何处理等。因而审计前应制定一定的审计策略，并下发到各审计单元。在事件处理结束后，应根据对事件的分析处理结果来检查策略的合理性，必要时应调整审计策略。第65页，共142页。安全审计的一般流程2．事件采集

事件采集阶段包含以下行为：(1)按照预定的审计策略对客体进行相关审计事件采集，形成的结果交由事件后续的各阶段来处理；(2)将事件其他各阶段提交的审计策略分发至各审计代理，审计代理依据策略进行客体事件采集。

注意：审计代理是安全审计系统中完成审计数据采集、鉴别并向审计跟踪记录中心发送审计消息的功能部件，包括软件代理和硬件代理。第66页，共142页。安全审计的一般流程3．事件分析

事件分析阶段包含以下行为：(1)按照预定策略，对采集到事件进行事件辨析，决定：

①忽略该事件；

②产生审计信息；

③产生审计信息并报警；

④产生审计信息且进行响应联动。(2)按照用户定义与预定策略，将事件分析结果生成审计记录，并形成审计报告。第67页，共142页。安全审计的一般流程4．事件响应

事件响应阶段是根据事件分析的结果采用相应的响应行动，包含以下行为：(1)对事件分析阶段产生的报警信息、响应请求进行报警与响应；(2)按照预定策略，生成审计记录，写入审计数据库，并将各类审计分析报告发送到指定的对象；(3)按照预定策略对审计记录进行备份。第68页，共142页。安全审计的一般流程5．结果汇总

结果汇总阶段负责对事件分析及响应的结果进行汇总，主要包含以下行为：(1)将各类审计报告进行分类汇总；(2)对审计结果进行适当的统计分析，形成分析报告；(3)根据用户需求和事件分析处理结果形成审计策略修改意见。第69页，共142页。5.4安全审计的分析方法第70页，共142页。安全审计的分析方法1．基于规则库的安全审计方法2．基于数理统计的安全审计方法3．基于日志数据挖掘的安全审计方法4．其他安全审计方法

(1)神经网络(2)遗传算法第71页，共142页。基于规则库的安全审计方法基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放入规则库中，当进行安全审计时，将收集到的审核数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等)，从而发现可能的网络攻击行为。这种方法和某些防火墙和防病毒软件的技术思路类似，检测的准确率都相当高，可以通过最简单的匹配方法过滤掉大量的无效审核数据信息，对于使用特定黑客工具进行的网络攻击特别有效。第72页，共142页。基于数理统计的安全审计方法数理统计方法就是首先给对象创建一个统计量的描述，比如一个网络流量的平均值、方差等，统计出正常情况下这些特征量的数值，然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生。第73页，共142页。基于日志数据挖掘的安全审计方法它的主要思想是从系统使用或网络通信的“正常”数据中发现系统的“正常”运行模式，并和常规的一些攻击规则库进行关联分析，并用以检测系统攻击行为。

数据挖掘本身是一项通用的知识发现技术，其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。第74页，共142页。第75页，共142页。第76页，共142页。其他安全审计方法神经网络：神经网络的基本思想是用一系列信息单元序列来训练神经单元，在神经网络的输入中包括当前的信息单元序列和过去的信息单元序列集合，神经网络由此可进行判断，并能预测输出。与概率统计方法相比，神经网络方法更好地表达了变量之间的非线性关系，并且能自动学习和更新。第77页，共142页。第78页，共142页。其他安全审计方法(2)遗传算法：一个遗传算法是一类进化算法的一个实例，这些算法在多维优化问题处理方面的能力已经得到认可，并且遗传算法在对异常检测的准确率和速度上有较大优势。主要不足在于不能在审计跟踪中精确定位攻击，这一点和神经网络面临的问题相似。第79页，共142页。第80页，共142页。5.5安全审计的数据源第81页，共142页。安全审计的数据源一般来说安全审计数据具有以下特征：攻击事件相对于正常的网络或系统访问是很少的。安全审计数据在正常情况下是非常稳定的。异常操作总是使安全审计数据的某些特征变量明显地偏离正常值。第82页，共142页。安全审计的数据源1．基于主机的数据源2．基于网络的数据源3．其他数据源(1)来自其他安全产品的数据源(2)来自网络设备的数据源(3)带外数据源第83页，共142页。基于主机的数据源基于主机的安全审计的数据源，包括操作系统的审计记录、系统日志、应用程序的日志信息以及基于目标的信息。(1)操作系统的审计记录

操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，如用户进程所调用的系统调用类型以及执行的命令行等，并将这些信息按照时间顺序组织为一个或多个审计文件。第84页，共142页。基于主机的数据源(2)系统日志

日志分为操作系统日志和应用程序日志两部分。操作系统日志与主机的信息源相关，是使用操作系统日志机制生成的日志文件的总称；应用程序日志是由应用程序自己生成并维护的日志文件的总称。第85页，共142页。基于主机的数据源系统日志的安全性与操作系统的审计记录相比，安全性存在不足，主要原因在于：

·系统日志是由载操作系统内核外运行的应用程序产生的，容易受到恶意的攻击和修改。

·日志系统通常存储在不受保护的普通文件目录中，并且经常以普通文本文件方式储存，容易受到恶意的篡改和删除。相反，操作系统审计记录通常以二进制文件形式存储，具备较强的保护机制。系统日志又是在于简单易读，容易处理，仍然成为安全审计的一个重要的数据源。

第86页，共142页。基于主机的数据源(3)应用程序日志信息

操作系统审计记录和系统日志都属于系统级别的数据源信息，通常由操作系统及其标准部件统一维护，是安全审计优先选用的输人数据源。随着计算机网络的分布式计算架构的发展，对传统的安全观念提出了挑战。以Web服务器为例，www服务是最流行的网络服务，也是电子商务的主要应用平台。Web服务器的日志信息是最为常见的应用级别数据源，主流的Web服务器都支持访问日志机制。第87页，共142页。基于网络的数据源随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。来自用户使用计算机网络资源访问的所有资源和所有访问过程。通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。第88页，共142页。基于网络的数据源采用网络数据具有以下优势：(1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，不会对目标监控系统的运行性能产生任何影响，而且通常无须改变原有的结构和工作方式。(2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到攻击的概率。第89页，共142页。基于网络的数据源(3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和大量误用数据包的DoS攻击等。(4)网络数据包的标准化程度，比主机数据源来说要高得多，如目前几乎大部分网络协议都采用了TCP/IP协议族。其标准化程度很高，所以，有利于安全审计系统在不同系统平台环境下的移植。

第90页，共142页。其他数据源(1)来自其他安全产品的数据源

主要是指目标系统内部其他独立运行的安全产品(防火墙、身份认证系统和访问控制系统等)所产生的日志文件。这些数据源同样也是安全审计系统所必须考虑的。(2)来自网络设备的数据源

如网络管理系统，利用SNMP(简单网管协议)所提供的信息作为数据源。(3)带外数据源

指人工方式提供的数据信息，如硬件错误信息、系统配置信息、其他的各种自然危害事件等。

第91页，共142页。5.6信息安全审计与标准第92页，共142页。信息安全审计与标准TCSEC对于审计子系统的要求CC中的安全审计功能需求GB17859—1999对安全审计的要求信息系统安全审计产品技术要求第93页，共142页。TCSECTCSEC：TrustedComputerSystemEvaluationCriteria，（美国）可信计算机系统评价标准TCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别。第94页，共142页。TCSECD类安全等级D类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。D1级的计算机系统包括：MS-Dos、Windows95、Apple的System7.x第95页，共142页。TCSECC类安全等级该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1级系统要求硬件有一定的安全机制，用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力，经应当允许系统管理员为一些程序或数据设立访问许可权限。常见的C1级兼容计算机系统有：UNIX

系统、XENIX

、Novell3.x或更高版本、WindowsNT第96页，共142页。TCSECC2级

C2级实际是安全产品的最低档次，提供受控的存取保护。

C2级引进了受控访问环境（用户权限级别）的增强特性。授权分级使系统管理员能够分用户分组，授予他们访问某些程序的权限或访问分级目录。

C2级系统还采用了系统审计。审计特性跟踪所有的“安全事件”，以及系统管理员的工作。常见的C2级系统有：操作系统中Microsoft的WindowsNT3.5，UNIX系统。数据库产品有oracle公司的oracle7，Sybase公司的SQLServer11.0.6等。第97页，共142页。TCSECB类安全等级B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。B1级

B1级系统支持多级安全，多级是指这一安全保护安装在不同级别的系统中（网络、应用程序、工作站等），它对敏感信息提供更高级的保护。B2级这一级别称为结构化的保护（StructuredProtection)。B2级安全要求计算机系统中所有对象加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。B3级

B3级要求用户工作站或终端通过可信任途径连接网络系统，这一级必须采用硬件来保护安全系统的存储区。第98页，共142页。TCSECA类安全等级A系统的安全级别最高。目前，A类安全等级只包含A1一个安全类别。A1类与B3类相似，对系统的结构和策略不作特别要求。A1系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。第99页，共142页。TCSEC4个等级D类安全等级C类安全等级B类安全等级A类安全等级7个级别D、C1、C2、B1、B2、B3、A1从低到高从低到高第100页，共142页。TCSEC第101页，共142页。TCSEC欧洲四国（英、法、德、荷）提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则（ITSEC，InformationTechnologySecurityEvaluationCriteria）后，美国又联合以上诸国和加拿大，并会同国际标准化组织（ISO）共同提出信息技术安全评价的通用准则（CC

forITSEC），CC已经被五技术发达的国家承认为代替TCSEC的评价安全信息系统的标准。目前，CC已经被采纳为国家标准ISO/IEC15408第102页，共142页。TCSECTCSEC对于审计子系统的要求

TCSEC的A1和A1+两个级别较B3级没有增加任何安全审计特征，从C2级的各级别都要求具有审计功能，而B3级提出了关于审计的全部功能要求。因此，TCSEC共定义了四个级别的审计要求:C2、B1、B2、B3。第103页，共142页。TCSECC2级要求审计以下事件:用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员/系统管理员/安全管理员的行为、其它与安全有关的事件。第104页，共142页。TCSECB1级相对于C2级增加了以下需要审计的事件:对于可以输出到硬拷贝设备上的人工可读标志的修改（包括敏感标记的覆写和标记功能的关闭）、对任何具有单一安全标记的通讯通道或I/O设备的标记指定、对具有多个安全标记的通讯通道或I/O设备的安全标记范围的修改。B2级的安全功能要求较之B1级增加了可信路径和隐蔽通道分析等，因此，除了B1级的审计要求外，对于可能被用于存储型隐蔽通道的活动，在B2级也要求被审计。B3级在B2级的功能基础上，增加了对可能将要违背系统安全政策这类事件的审计，比如对于时间型隐蔽通道的利用。第105页，共142页。CCCC，CommonCriteria，通用评估准则简称，已经于1999年12月正式由ISO组织所接受与颁布，成为全世界所公认的信息安全技术评估准则。CC不仅可以作为安全信息系统的评测标准，而且更可以作为安全信息系统设计与实现的标准与参考。发展历程：1985年，美国国防部公布《可信计算机系统评估准则》（TCSEC）；1989年，加拿大公布《可信计算机产品评估准则》（CTCPEC）；1991年，欧洲公布《信息技术安全评估准则》（ITSEC）；1993年，美国公布《美国信息技术安全联邦准则》（FC）；1996年，六国七方（英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究所）公布《信息技术安全性通用评估准则》（CC1.0版）；1998年，六国七方公布《信息技术安全性通用评估准则》（CC2.0版）；1999年12月，ISO接受CC为国际标准ISO/IEC15408标准，并正式颁布发行第106页，共142页。CC特点：从CC的发展历史可以看出，CC源于TCSEC。CC已经完全改进了TCSEC，全面地考虑了与信息技术安全性有关的所有因素，以"安全功能要求"和"安全保证要求"的形式提出了这些因素，这些要求也可以用来构建TCSEC的各级要求。CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构。把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。第107页，共142页。CC第108页，共142页。CC标准中的安全审计功能需求CC标准中，安全需求都以类、族、组件的层次结构形式进行定义，其中，安全功能需求共有11个类，安全审计就是一个单独的安全功能需求类，其类名为FAU。安全审计类有六个族，分别对审计记录的选择、生成、存储、保护、分析以及相应的入侵响应等功能做出了不同程度的要求。第109页，共142页。GB17859—1999计算机信息系统安全保护等级划分准则这是我国计算机信息系统安全保护等级划分准则强制性标准，本标准给出了计算机信息系统相关定义，规定了计算机系统安全保护能力的五个等级。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。第110页，共142页。GB17859—1999本标准规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。从低到高第111页，共142页。GB17859—1999对安全审计的要求从第二级“系统审计保护级”开始有了对审计的要求，它规定计算机信息系统可信计算基（TCB）可以记录以下事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其它与系统安全相关的事件。第112页，共142页。GB17859—1999对安全审计的要求TCB，TrustedComputingBase，可信计算基可信计算基是"计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境，并提供一个可信计算系统所要求的附加用户服务"。通常指构成安全计算机信息系统的所有安全保护装置的组合体，以防止不可信主体的干扰和篡改。第113页，共142页。GB17859—1999对安全审计的要求第三级“安全标记保护级”在第二级的基础上，要求对于客体的增加和删除这类事件要在审计记录中增加对客体安全标记的记录。另外，TCB也要审计对可读输出记号（如输出文件的安全标记）的更改这类事件。第四级“结构化保护级”的审计功能要求与第三级相比，增加了对可能利用存储型隐蔽通道的事件进行审计的要求。第114页，共142页。GB17859—1999对安全审计的要求第五级“访问验证保护级”在第四级的基础上，要求TCB能够监控可审计安全事件的发生与积累，当（这类事件的发生或积累）超过预定阈值时，TCB能够立即向安全管理员发出警报。并且，如果这些事件继续发生，系统应以最小的代价终止它们。第115页，共142页。信息系统安全审计产品技术要求1.安全审计产品分类技术规范将安全审计产品分为专用型和综合型两类。专用型是指对主机、服务器、网络、数据库管理系统、其它应用系统等客体采集对象其中一类进行审计，并对审计事件进行分析和响应的安全审计产品。综合型是指对主机、服务器、网络、数据库管理系统、其他应用系统中至少两类客体采集对象进行审计，并对审计事件进行统一分析与响应的安全审计产品。第116页，共142页。信息系统安全审计产品技术要求2.安全功能要求技术规范分为审计踪迹、审计数据保护、安全管理、标识和鉴别、产品升级、监管要求等六个方面给出了详细的安全功能要求，其中每个功能还有更细致、可测试的安全子功能描述。第117页，共142页。信息系统安全审计产品技术要求3.自身安全要求技术规范对安全审计产品自身安全也作出了明确的要求，分别包括：自身审计数据生成、自身安全审计记录独立存放、审计代理安全、产品卸载安全、系统时间同步、管理信息传输安全、系统部署安全、审计数据安全等。第118页，共142页。信息系统安全审计产品技术要求4.性能要求信息系统安全审计产品的性能要求是指(1)稳定性;(2)资源占用：软件代理的运行对宿主机资源（如CPU、内存空间和存储空间），不应长时间固定或无限制占用(3)网络影响：产品的运行不应对原网络正常通信产生长时间固定影响。(4)产品应有足够的吞吐量.5.保证要求技术规范还对产品及开发者提出了若干产品保证方面的要求.第119页，共142页。5.7计算机取证第120页，共142页。计算机犯罪根据刑法条文的有关规定和我国计算机犯罪的实际情况，计算机犯罪是指行为人违反国家规定，故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统，或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏，制作、传播计算机病毒。影响计算机系统正常运行且造成严重后果的行为。第121页，共142页。计算机犯罪利用计算机进行犯罪的两种方式：一是利用计算机存储有关犯罪活动的信息；二是直接利用计算机作为犯罪工具进行犯罪活动。第122页，共142页。计算机取证计算机取证的发展历程美国是开展电子证据检验和研究工作最早的国家之一。1989年FBI实验室开始了电子证据检验研究，并成立了专门从事电子证据检验的部门（CART）。每名检验人员除了具有专业基础外，还必须经过FBI组织的七周以上的专门培训，包括刑事技术检验基础、电子技术检验技术和有关法律知识，每年还要对检验人员进行一定的新技术培训。美国的这种做法后来被许多其他国家的执法机构效仿。CART：ComputerAnalysisandResponseTeam，计算机分析与响应组为了适应当前形势，推动电子证据鉴定工作的开展，我国有关机构在充实计算机技术力量和设备的基础上，适应新时期公安工作的实际需要，从1999年开始对电子证据检验技术进行研究，2001年开始开展电子证据检验鉴定工作。第123页，共142页。计算机取证1999年的《合同法》第十一条规定了“数据电文包括电报、电传、传真、电子数据交换和电子邮件等”。2004年的《电子签名法》对于数据电文的形式要求、保存要求、审查认定的规则做了详细规定。2010年最高法、最高检等部门联合发布的《关于办理死刑案件审查判断证据若干问题的规定》中，第一次将电子邮件、电子数据交换、网上聊天记录、网络博客、手机短信、电子签名、域名等界定为电子证据的形式。2012年修订后的民事诉讼法第六十三条规定：“证据包括：（一）当事人的陈述；（二）书证；（三）物证；（四）视听资料；（五）电子数据；（六）证人证言；（七）鉴定意见；（八）勘验笔录。”该规定明确将“电子数据”与书证、视听资料等并列作为单独的证据类型。2015年，最高法发布的民诉法解释第一百一十六条规定：“视听资料包括录音资料和影像资料。电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息。存储在电子介质中的录音资料和影像资料，适用电子数据的规定。”第124页，共142页。计算机取证计算机取证（ComputerForensics）计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方式，进行识别、保存、分析和提交数字证据的过程。把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行法医式的解剖，搜索确认犯罪及其犯罪证据，并据此提起诉讼的过程和技术。目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。第125页，共142页。电子证据计算机取证主要是围绕电子证据进行的。电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录。多媒体技术的发展，电子证据综合了文本、图形、图像、动画、音频及视频等多种类型的信息。第126页，共142页。电子证据的来源系统日