《信息安全审计》

信息平安审计信息平安处顾超2021年8月15日2信息平安与审计根底及理论知识信息平安与审计的概念、目标、范围信息平安审计/IT审计/信息系统平安审计审计应该是独立的。审计与信息平安的目标是一致的，而不是对立的。信息平安与IT审计的关系信息平安其中一项必不可少的内容是IT审计IT审计主要针对的是信息平安，也包含其他内容信息平安与IT审计有很大的重合点1.不懂信息平安如何进行IT审计2.要做好IT审计必须了解信息平安3信息平安各类标准1.1GB18336

1.2美国标准TCSEC欧洲标准ITSEC1.3CC标准1.4CC、TCSEC、ITSEC对应关系1.5SSE-CMM1.6BS7799/ISO270011.7ITIL1.8ISO154081.9ISO133351.10等级保护41.4信息平安根底-国际标准CC(CommonCriteria)美英法德荷加六国制定的共同标准包含的类FAU 平安审计FCO 通信FCS 密码支持FDP 用户数据保护FIA 标识与鉴别FMT 平安管理FPR 隐私FPT TSF保护(固件保护，TOESecurityFunctions,TOESecurityPolicy，(TargetOfEvaluation))FRU 资源利用FTA TOE访问FTP 可信信道/路径51.8信息平安标准-BS7799BS7799BS7799是英国标准协会制定的信息平安管理体系标准，已得到了一些国家的采纳，是国际上具有代表性的信息平安管理体系标准。BS7799以下10个局部：信息平安政策平安组织资产分类及控制人员平安物理及环境平安计算机及系统管理系统访问控制系统开发与维护业务连续性规划符合性61.8信息平安根底-7799/27001ISO27001BS7799Part2的全称是InformationSecurityManagementSpecification，也即为信息平安管理体系标准，其最新修订版在05年10月正式成为ISO/IEC27001:2005，ISO/IEC27001是建立信息平安管理体系〔ISMS〕的一套标准，其中详细说明了建立、实施和维护信息平安管理体系的要求，可用来指导相关人员去应用ISO/IEC17799，其最终目的，在于建立适合企业需要的信息平安管理体系〔ISMS〕。71.1信息平安根底-三要素信息平安内容概述计算机平安信息平安三要素ConfidentialityIntegrityAvailability81.信息平安根底-北美标准TCSEC美国国防部(TrustedComputerSystemsEvaluationCriteria)平安等级A验证保护B强制保护C自主保护D无保护FC美联邦标准(FederalCriteria)CTCPEC加拿大标准(CanadianTrustedComputerProductEvaluationCriteria)91.3信息平安根底-欧洲标准ITSECInformationTechnologySecurityEvaluationCriteria英法德荷四国制定ITSEC是欧洲多国平安评价方法的综合产物，应用领域为军队、政府和商业。该标准将平安概念分为功能与评估两局部。功能准那么从F1～F10共分10级。1～5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只表达技术平安的要求,把保密作为平安增强功能。另外,TCSEC把保密作为平安的重点,而ITSEC那么把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个平安等级,对于每个系统,平安功能可分别定义。101.5信息平安根底-国际标准CC、TCSEC、ITSEC对应关系CC TCSEC ITSEC- D E0EAL1 - -EAL2 C1 E1EAL3 C2 E2EAL4 B1 E3EAL5 B2 E4EAL6 B3 E5EAL7 A1 E6111.5信息平安根底-国际标准CC分为三个局部：第1局部"简介和一般模型"，正文介绍了CC中的有关术语、根本概念和一般模型以及与评估有关的一些框架，附录局部主要介绍保护轮廓〔PP〕和平安目标〔ST〕的根本内容。第2局部"平安功能要求"，按"类--子类--组件"的方式提出平安功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释。第3局部“平安保证要求〞，定义了评估保证级别，介绍了PP和ST的评估，并按“类--子类--组件〞的方式提出平安保证要求121.5信息平安根底-国际标准CC的三个局部相互依存，缺一不可。第1局部是介绍CC的根本概念和根本原理第2局部提出了技术要求第3局部提出了非技术要求和对开发过程、工程过程的要求。这三局部的有机结合具体表达在PP和ST中，PP和ST的概念和原理由第1局部介绍，PP和ST中的平安功能要求和平安保证要求在第2、3局部选取，这些平安要求的完备性和一致性，由第2、3两局部来保证。CC作为评估信息技术产品和系统平安性的世界性通用准那么，是信息技术平安性评估结果国际互认的根底。131.5信息平安根底-国际标准141.7信息平安根底-SSE-CMMSSE-CMM(SystemSecurityEngineeringCapabilityMaturityModel)模型是CMM在系统平安工程这个具体领域应用而产生的一个分支，是美国国家平安局(NSA)领导开发的，是专门用于系统平安工程的能力成熟度模型。SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相应评估方法2.0版发布。系统平安工程过程一共有三个相关组织过程：工程过程风险过程保证过程151.7信息平安根底-SSE-CMMSSE-CMM共分5个能力级别，11个过程区域：根本执行级、方案跟踪级、充分定义级、量化控制级、持续改进级2002年SSE-CMM被国际标准化组织采纳成为国际标准即ISO/IEC21827:2002?信息技术系统平安工程－成熟度模型?。SSE-CMM和BS7799都提出了一系列最正确惯例，但BS7799是一个认证标准〔第二局部〕，提出了一个可供认证的ISMS体系，组织应该将其作为目标，通过选择适当的控制措施〔第一局部〕去实现。而SSE-CMM那么是一个评估标准，适合作为评估工程实施组织能力与资质的标准.161.8信息平安根底-7799/27001ISO17799BS7799Part1的全称是CodeofPracticeforInformationSecurity，也即为信息平安的实施细那么。2000年被采纳为ISO/IEC17799，目前其最新版本为2005版，也就是ISO17799:2005。ISO/IEC17799:2005通过层次结构化形式提供平安策略、信息平安的组织结构、资产管理、人力资源平安等11个平安管理要素，还有39个主要执行目标和133个具体控制措施〔最正确实践〕，供负责信息平安系统应用和开发的人员作为参考使用，以标准化组织机构信息平安管理建设的内容。171.8信息平安根底-7799/27001BS7799BS7799涵盖了平安管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高的信息平安管理环境。推广信息平安管理标准的关键在重视程度和制度落实方面。标准存在一定缺乏对查看敏感信息等保密性缺少控制。标准中对评审控制和审计没有区分标准中只在开发和维护中简单涉及密码技术某些方面可能不全面，但是它仍是目前可以用来到达一定预防标准的最好的指导标准。181.9信息平安根底-ITILITILITIL的全称是信息技术根底设施库〔InformationTechnologyInfrastructureLibrary〕。ITIL针对一些重要的IT实践，详细描述了可适用于任何组织的全面的Checklists、Tasks、Procedures、Responsibilities等IT效劳管理中最主要的内容就是效劳交付〔ServiceDelivery〕和效劳支持〔ServiceSupport〕效劳交付〔ServiceDelivery〕：ServiceLevelManagementFinancialManagementforITServiceCapacityManagementITServiceContinuityManagementAvailabilityManagement191.9信息平安根底-ITILITILV3版本图201.9信息平安根底-ITIL效劳支持〔ServiceSupport〕：ServiceDeskIncidentManagementProblemManagementConfigurationManagementChangeManagementReleaseManagementBS150002001年，英国标准协会在国际IT效劳管理论坛〔itSMF〕上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT效劳管理领域具有历史意义的重大事件。211.9信息平安根底-ITILBS15000有两个局部，目前都已经转化成国际标准了。ISO/IEC20000-1:2005信息技术效劳管理-效劳管理标准〔Informationtechnologyservicemanagement.SpecificationforServiceManagement〕ISO/IEC20000-2:2005信息技术效劳管理-效劳管理最正确实践〔Informationtechnologyservicemanagement.CodeofPracticeforServiceManagement〕与BS7799相比ITIL关注面更为广泛〔信息技术〕，而且更侧重于具体的实施流程。ISMS实施者可以将BS7799作为ITIL在信息平安方面的补充，同时引入ITIL流程的方法，以此加强信息平安管理的实施能力。221.10信息平安根底-ISO15408ISO15408ISO国际标准化组织于1999年正式发布了ISO/IEC15408。ISO/IECJTC1和CommonCriteriaProjectOrganisations共同制订了此标准，此标准等同于CommonCriteriaV2.1。ISO/IEC15408有一个通用的标题信息技术—平安技术—IT平安评估准那么。此标准包含三个局部：第一局部介绍和一般模型第二局部平安功能需求第三局部平安认证需求平安功能需求1审计——平安审计自动响应、平安审计数据产生、平安审计分析、平安审计评估、平安审计事件选择、平安审计事件存储231.10信息平安根底-ISO15408平安功能需求2通信——源不可否认、接受不可否认3密码支持——密码密钥管理、密码操作4用户数据保护——访问控制策略、访问控制功能、数据鉴别、出口控制、信息流控制策略、信息流控制功能、入口控制、内部平安传输、剩余信息保护、反转、存储数据的完整性、内部用户数据保密传输保护、内部用户数据完整传输保护5鉴别和认证——认证失败平安、用户属性定义、平安说明、用户认证、用户鉴别、用户主体装订6平安管理——平安功能的管理、平安属性管理、平安功能数据管理、撤回、平安属性终止、平安管理角色7隐私——匿名、使用假名、可解脱性、可随意性241.10信息平安根底-ISO15408平安功能需求8平安功能保护——底层抽象及其测试、失败平安、输出数据的可用性、输出数据的保密性、输出数据的完整性、内部数据传输平安、物理保护、可信恢复、重放检测、参考仲裁、领域分割、状态同步协议、时间戳、内部数据的一致性、内部数据复制的一致性、平安自检。9资源利用——容错、效劳优先权、资源分配10访问——可选属性范围限制、多并发限制、锁、访问标志、访问历史、session建立11可信通道/信道——内部可信通道、可信通道251.10信息平安根底-ISO15408平安认证需求1配置管理2分发和操作3开发4指导文档5生命周期支持6测试7漏洞评估261.11信息平安根底-ISO13335ISO13335(CIA+Accountability,Authenticity,Reliability)ISO13335是一个信息平安管理指南，这个标准的主要目的就是要给出如何有效地实施IT平安管理的建议和指南。该标准目前分为5个局部。第一局部：IT平安的概念和模型〔ConceptsandmodelsforITSecurity〕第二局部：IT平安的管理和方案〔ManagingandplanningITSecurity〕第三局部：IT平安的技术管理〔TechniquesforthemanagementofITSecurity〕第四局部：防护的选择〔Selectionofsafeguards〕第五局部：网络平安管理指南〔Managementguidanceonnetworksecurity〕271.11信息平安根底-ISO13335ISO13335第一局部：IT平安的概念和模型发布于1996年12月15日。该局部包括了对IT平安和平安管理的一些根本概念和模型的介绍第二局部：IT平安的管理和方案发布于1997年12月15日。这个局部建议性地描述了IT平安管理和方案的方式和要点，包括决定IT平安目标、战略和策略决定组织IT平安需求管理IT平安风险方案适当IT平安防护措施的实施开发平安教育方案筹划跟进的程序，如监控、复查和维护平安效劳开发事件处理方案281.11信息平安根底-ISO13335ISO13335第三局部：IT平安的技术管理发布于1998年6月15日。这个局部覆盖了风险管理技术、IT平安方案的开发以及实施和测试，还包括一些后续的制度审查、事件分析、IT平安教育程序等。第四局部：防护的选择发布于2000年3月1日。这个局部主要探讨如何针对一个组织的特定环境和平安需求来选择防护措施。这些措施不仅仅包括技术措施。第五局部：网络平安管理指南这个局部是基于ISO/IECTR13335第四局部建立的，介绍了如何确定与网络连接相关的保护域。291.11信息平安根底-ISO13335301.12信息平安根底-GB18336GB18336GB/T18336：2001?信息技术平安技术信息技术平安性评估准那么?〔等同于ISO/IEC15408-1999〕〔通常也简称通用准那么--CC〕已于2001年3月正式公布，该标准是评估信息技术产品和系统平安性的根底准那么。ISO/IEC15408-1999是国际标准化组织统一现有多种评估准那么努力的结果，是在美国、加拿大、欧洲等国家和地区分别自行推出测评准那么并具体实践的根底上，通过相互间的总结和互补开展起来的。311.13信息平安根底-等级保护等级保护信息系统的平安保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家平安、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家平安造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家平安造成严重损害。第五级，信息系统受到破坏后，会对国家平安造成特别严重损害。321.13信息平安根底-等级保护等级保护第一级信息系统运营、使用单位应当依据国家有关管理标准和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理标准和技术标准进行保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理标准和技术标准进行保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理标准、技术标准和业务专门需求进行保护。国家信息平安监管部门对该级信息系统信息平安等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理标准、技术标准和业务特殊平安需求进行保护。国家指定专门部门对该级信息系统信息平安等级保护工作进行专门监督、检查。33信息平安与审计根底及理论知识究竟什么是信息平安审计PDCA〔监督与保障〕Syslog〔日志〕AuditTrail〔审计留痕〕34信息平安与审计根底及理论知识35信息平安与审计根底及理论知识信息平安审计目的是什么让别人难堪？显示我们的聪明与他们的错误？展示审计的权力？内审与外审1,为了保证提供独立的审计委员会〔和高级管理〕的内部控制措施，在公司内有效地运作2,为了改善公司的内部控制，促进和帮助该公司确定的控制弱点，和制定解决这些弱点本钱效益的解决方案，内部控制的状态。36信息平安与审计根底及理论知识怎样做好信息平安审计工作领导的推动与支持审计的方式不是挑毛病，而是交朋友积累专业知识37如果开始信息平安审计工作采用一个标准建立一套系统充实与完善细那么内容执行与监督ISO27001ISMSNet/OS/DBACTS1234信息平安与审计根底及理论知识38信息平安与审计根底及理论知识资质与认证BSIDNV指定评测或认证机构CISSPCISALA391.6信息平安根底-权威认证CISSP介绍平安管理 SecurityManagementPractices平安架构与模型 SecurityArchitectureandModels访问控制 AccessControl应用与系统开发 ApplicationsandSystemsDevelopment操作平安 OperationsSecurity物理平安 PhysicalSecurity加密 Cryptography通信与网络 TelecommunicationsandNetworking业务连续性/灾难恢复 BusinessContinuityPlanning/DRP法律，事后取证 Law,Investigation,andEthics401.6信息平安根底-权威认证CISA介绍()CISA考试每年举行两次，分别为每年的六月和十二月的第二周星期六，六月和十二月考试中国学员均可以选择中文和英文考试，在中国考试从上午九点开始，共四个小时13点结束包括六局部内容，各自所占比例如下：信息系统审计过程〔占10%〕IT治理〔占15%〕系统和生命周期管理〔占16%〕IT效劳的交付与支持〔占14%〕信息资产保护〔占31%〕业务连续性与灾难恢复方案〔占14%〕?管理指引?－适用范围适用范围：本指引适用于在中华人民共和国境内依法设立的法人商业银行。

参照范围：

政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构。41?管理指引?－管理职责商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。董事会：遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会〔以下简称银监会〕相关监管要求。……首席信息官：确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保其履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技工程发起和管理、信息系统和信息科技根底设施的运行、维护和升级、信息平安管理、灾难恢复方案、信息科技外包和信息系统退出等职责。……特定部门负责信息科技风险管理工作:为信息科技突发事件应急响应小组的成员之一，负责协调制定有关信息科技风险管理策略，尤其是在涉及信息平安、业务连续性方案和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息平安威胁和不合规事件的发生。……内部审计部门设立专门的信息科技风险审计岗位:负责信息科技审计制度和流程的实施，制订和执行信息科技审计方案，对信息科技整个生命周期和重大事件等进行审计。…人员平安和法规：入职前审查、入职中教育、降低离职的损失知识产权保护总体原那么：自上而下、明确分工42?管理指引?－风险管理涉及范围：信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理平安、人员平安、业务连续性方案与应急处置。制定持续的风险识别和评估流程识别隐患评价影响排序制定措施及安排资源措施：风险管理制度、技术标准、操作规程权限管理：高权限用户的审查、物理和逻辑控制、最小化和必须知道原那么、授权审批和验证。风险监测：评价机制、程序和标准、报告机制、整改机制、定期审查〔已有体系、控制台、新技术、外部威胁〕43?管理指引?－信息平安科技部门：信息分类和保护体系、平安教育和贯彻信息平安体系：平安制度管理、平安组织管理、资产管理、人员平安、物理与环境平安、通信与运营管理、访问控制管理、系统开发与维护管理、事故管理、业务连续性、合规性管理。用户认证与授权：必须知道、离职的权限移除物理保护区域划分与保护：物理、逻辑访问控制、内容过滤、传输、监控、记录系统平安：平安标准、权限分配、帐户审计、补丁管理、日志监控所有系统：职责分配、认证、输入输出、数据保密、审计踪迹44?管理指引?－信息平安〔续〕日志管理:交易日志、系统日志记录内容、覆盖范围、保存期限加密措施：符合国家要求、人员要求、强度要求、密钥管理定期检查：包括台式个人计算机〔PC〕、便携式计算机、柜员终端、自动柜员机〔ATM〕、存折打印机、读卡器、销售终端〔POS〕和个人数字助理〔PDA〕等管理客户信息：采集、处理、存贮、传输、分发、备份、恢复、清理和销毁的生命周期。Pci-dss？人员培训。45?管理指引?－开发管理职责：工程实施部门应定期向信息科技管理委员会提交重大信息科技工程的进度报告，由其进行审核，进度报告应当包括方案的重大变更、关键人员或供给商的变更以及主要费用支出情况。应在信息系统投产后一定时期内，组织对系统的后评价，并根据评价结果及时对系统功能进行调整和优化。工程风险：潜在的各种操作风险、财务损失风险和因无效工程规划或不适当的工程管理控制产生的时机本钱，并采取适当的工程管理方法。生命周期管理。变更管理：生产、开发、测试环境的物理区域和人员职责别离、紧急修复的记录、变更审查。问题管理：全面的追踪、分析和解决。ITIL？升级管理.46?管理指引?－信息科技运行物理环境控制：电力供给、自然灾害、根底设施外来人员访问：审查批准记录陪同人员职责别离：运行与维护别离交易数据：可保存、机密性、完整性、可恢复操作说明：运营操作指南与标准。事故管理：报告分析追踪解决。效劳水平管理：SlA。监控、例外和预警。容量管理：外部变化和内部业务。升级管理：记录保存。变更管理：审批、记录和更正紧急修复。47?管理指引?－业务连续性管理规划：基于自身业务的性质、规模和复杂程度制定规划；定期演练。意外事件：内部资源故障或缺失、信息丧失与受损、外部事件业务中断：系统恢复和双机热备应急恢复、保险以降低损失连续性策略：规划〔资源管理、优先级、外部沟通〕、更新、验证、审核应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。48?管理指引?－外包管理谨慎原那么外包协议：适合业务和风险战略、操作风险、财务稳定性和专业经验、平稳过滤、外包商共用的风险。合同谈判：必要条件、监督、所有权、损失补偿、遵守标准、效劳水平管理、变更效劳水平管理：定性和定量指标、水平考核、不达标的处理数据平安保护：隔离、最小授权、保密协议、信息披露、禁止再外包、合同终止应急措施：外包不可用外包合同审批：信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。并定期审核49?管理指引?－内部审计内审部门：系统控制的适当性和有效性。审计人员资源和能力。审计责任：审计方案、审计工作、整改检查、专项审计。审计范围和频率：基于业务性质、规模、复杂度、应用情况、风险评估结果。至少每三年一次。审计参与：大规模审计时，风险管理部门的参与。50?管理指引?－外部审计外审机构选择：法律法规要求、能力要求审计沟通银监会及其派出机构：必要时的检查、审计授权书、保密协定、规定时间内完成整改。5152ISMS信息平安与风险管理框架介绍ISMSInformationSecurityManagementSystem-ISMS信息平安管理体系基于国际标准ISO/IEC27001：信息平安管理体系要求是综合信息平安管理和技术手段，保障组织信息平安的一种方法ISMS是管理体系〔MS〕家族的一个成员

ISO27000系列标准介绍ISO/IEC27001:2005

ISO/IEC27001:2005的名称Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements信息技术-平安技术-信息平安管理体系-要求该标准用于：为建立、实施、运行、监视、评审、保持和改进信息平安管理体系提供模型，并规定了要求。该标准适用于：所有类型的组织〔例如，商业企业、政府机构、非赢利组织〕。是建立和实施ISMS的依据，是ISMS认证的依据。

ISO27000系列标准介绍ISO/IEC27002:2005主要内容

章节控制措施域控制目标控制措施5安全方针126信息安全组织2117资产管理258人力资源安全399物理和环境安全21310通信和操作管理103211访问控制72512信息系统获取、开发和维护61613信息安全事故管理2514业务连续性管理1515符合性310合计3913355COBIT框架介绍什么是Cobit是由信息系统审计和控制基金会ISACF〔InformationSystemsAuditandControlFoundation〕最早于1996年制定的IT治理模型，目前已经更新至第四版。COBIT的制订宗旨是跨越业务控制〔businesscontrol〕和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。COBIT是IT治理的模型COBIT是基于控制的模型与IT标准的关联关系与IT审计的关系COBIT包含而不限于IT审计的模块〔AuditGuidline〕，但并非是针对IT审计的专门论述与BS7799、ITIL的关系侧重不同。COBIT主要侧重于处理企业治理中不同方面的需求，使信息管理、控制目标、IT审计等围绕信息系统管理控制的工作能够在一个统一的平台上协调开展。572.信息平安相关内容为什么要了解信息平安IT审计的主要内容就是信息平安审计了解信息平安的问题，才能制定有效的解决方法审计这些解决方法的制定、实施、改进情况582.信息平安相关内容扫描信息扫描Nmapportscan密码扫描WebcrackEmailcracksolarwinds漏洞扫描NessusISS综合扫描器Xscan流光SSSDBSCAN木马探测592.信息平安相关内容密码破解在线通常是密码扫描工具，实时地连接目标系统进行密码猜测。另外也有一些工具有在线密码破解功能，例如solarwinds、l0phtcrack等。对于WEB的cookie进行猜测破解对于内存、缓存、视图中的密码进行破解，例如msn密码。IE浏览器星号密码等。离线通常是获取了目标系统的用户或者密码文件，通过对加密算法的复原，或者密文猜测明文、暴力破解等方式。离线破解的优势在于，不易被目标系统发现，并且可以分布式计算破解等。602.信息平安相关内容密码破解字典字典通常包括所有英文单词，常用数字与符号，例如123、qwe、qaz、poi等等。中文字典可能包括单位、部门、姓名拼音的缩写，例如cmcc、yssh、zhc等。暴力暴力破解通常是按照一定的规那么，将所有可能的字母、数字、符号等组合进行尝试。也就是穷举破解。暴力破解通常至少包括6位以下的字母、数字，包括所有生日。暴力破解不一定全部针对密码，也有可能是对加密置换方法的穷举。612.信息平安相关内容密码破解规那么可定制规那么的产生字典或者暴力破解的密码集，例如将账号倒过来，将字母与常用前、后缀组合，按照目标的习惯产生密码等。例如creek123等。组合还可能包括将字母与数字互换，加上大小写等。例如r00t!@#、cr33k!23等。其他通过密码找回功能，关联分析功能、密码重置或者密码去除等进行密码功能破解。典型的工具crack、John、l0pht等。622.信息平安相关内容漏洞利用与权限获取缓冲区溢出一般是堆栈缓冲区溢出，主要是利用目标系统存在的漏洞，使得堆栈区的数据越界，覆盖和修改了同样在堆栈中的程序返回地址，从而可以改变程序流，执行特定构造或者指定的程序代码的方法。本地缓冲区溢出通常是针对suid程序，来获得权限的提升。远程缓冲区溢出是指通过网络效劳的数据包通信，进行缓冲区溢出攻击的方法。远程效劳通常都是超级用户权限，因此通常溢出后直接得到超级权限。远程效劳溢出可能直接从远程得到本地权限，因此不需要账号密码登录。缓冲区溢出也可以被用来进行拒绝效劳攻击。632.信息平安相关内容漏洞利用与权限获取格式化字符串格式化字符串是指的，在程序中通常用%s做为参数来输出动态的字符串，例如printf(“itis%s〞,string)如果存在格式化字符串漏洞，那么可以通过构造string的内容，造成岐义，例如string内容又带有%s，并且格式化字符串被多层引用。格式化字符串也可能造成与缓冲区溢出类似的效果。SQL注入SQL注入有点类似于格式化字符串。通常是指的网页脚本程序，操作数据库的代码局部，如果对于输入的变量未进行检查，那么可能通过特定构造的输入字符，造成拼接后的SQL语句语义的改变，从而到达控制程序流运行。642.信息平安相关内容漏洞利用与权限获取SQL注入“〞，例如源代码是if“user〞=“input〞then…这里input是指我们输入的用户，我们输入aaa〞or1=“1作为用户名，那么程序成为if“user〞=“aaa〞or1=“1〞，这是恒等式。从而可以在不知道用户名或者密码的情况下绕过认证。；，输入信息为aaa;echo/etc/passwd，在unix下分号表示后面为独立的命令，运行完当前命令后，继续运行分号后的命令。CGICGI就是通用网关接口，效劳端的ASP、PHP、JSP、PERL以及可执行程序等都可以统称为CGI程序。CGI程序可能存在漏洞，也可能存在泄露效劳器信息的问题。可以通过WEB效劳器CGI功能挂马。652.信息平安相关内容权限提升高权限用户本地suid程序缓冲区溢出通常是权限提升的方法进程注入可以用来提升权限获取密码文件，破解密码可以提升权限通过文件系统漏洞、临时文件、符号链接等，获取高级别用户权限通过伪造欺骗，获取高级别用户密码等权限突破Chroot、jailChroot是改变程序运行的绝对目录为虚拟目录。突破这种限制将可以访问磁盘文件系统上的非授权访问文件。662.信息平安相关内容权限提升突破虚拟机虚拟机将所有程序限制在一定的磁盘空间、一定的内存，一定的外设等，指令可能被替换和虚拟执行突破虚拟机将可以对宿主机直接进行磁盘、内存、外设的访问。网络的扫描与其他系统的权限获取，也可能提升权限。例如信任主机、密码文件获取等。网络扫描与网络窃听也可能获取密码，提升权限。672.信息平安相关内容网络嗅探Sniffer，译为嗅探、监听、窃听，或者抓包。在同一个HUB上，数据包是播送的，可以得到所有人的数据包，如果是明文协议，那么可能得到登录过程相应的密码。交换环境下，需要采取ARP欺骗相结合的手段进行交换环境的网络窃听，主要代表工具是dsniff。网络嗅探除了可能得到账号密码，也可能得到重要数据文件、重要操作过程与操作方法等。网络嗅探通常是被动监听状态，不向网络发送任何数据包，比较隐蔽，不容易被发现，有些工具能发现网络中的嗅探器，例如promiscan等。682.信息平安相关内容网络欺骗IP欺骗通常伪造数据包的源IP地址，使得目标收到数据包后，无法找到来攻击者来源。也可以伪造数据包的源IP地址，使得此IP地址成为被攻击的对象。在能猜测TCP的SEQ号情况下，IP欺骗可能实现会话劫持的效果。ARP互联网上的数据包到了局域网后，就需要通过局域网协议传输，使用的是MAC地址和ARP协议。ARP欺骗通常是中间人攻击。ARP欺骗可以是主动更新包，也可以免费响应包。692.信息平安相关内容网络欺骗DNS(域名效劳)猜测DNS的序列号，穷举同时发送所有的DNS数据包，可以实现DNS的会话劫持，从而可以改变DNS请求者的获得的解析内容，将域名解析到其他IP地址。直接控制DNS效劳器，修改DNS解析内容，也可能实现网络欺骗，特别是根域名效劳器影响会大，今年百度事件就是因为根域名效劳器的域名解析被篡改。钓鱼钓鱼网站可能和真实网站做得外观非常相似，域名也类似，通常用来窃取粗心用户的用户名与密码。例如与工商银行相似的钓鱼网站通过虚假中奖信息发布、免费注册博客账号等方式，诱骗不知情用户输入用户名与密码。702.信息平安相关内容中间人与会话劫持中间人理论上，如果A与B通信，所有通信过程前没有任何协商好的秘密，那么M一定可以用某种方法成为中间人，并且让A与B并不知情。由于A与B事先无协商好的秘密，因此A无法鉴别正在与自己通信的是B还是M，同样B也无法鉴别与自己通信的是A还是M。M可以通过某种方式成为A与B的中间人。作为中间的传声筒，A与B不知道自己发送的内容是否被中间人替换，即使是加密的。会话劫持通常是通过中间的人方式来实现，也有可能通过某种方式造成原通信主机拒绝效劳后，由自己替代。712.信息平安相关内容跨站脚本攻击Crosssitescript的缩写，因为与CSS网页样式文件重名，因此简写为XSS攻击者向Web页面里插入恶意html代码，当用户浏览该页时，嵌入其中Web里面的html代码会被执行，通常在用户不知情的情况下，中途访问其他站点，收集用户的COOKIE，或者自动下载木马与运行等。欺骗其他人访问自己构造的页面，通常可能在允许HTML语言输入的BBS、博客等签名文档里构造。722.信息平安相关内容拒绝效劳漏洞型协议漏洞Synflood(半开连接，资源耗尽)Fin攻击(违反协议)Land(源/目的地址与端口都是被攻击者)Smurf(源地址为被攻击者或者播送地址)CISCO的55、77协议……效劳漏洞例如snmpd漏洞使用ftp探测ibm某高端口等……732.信息平安相关内容拒绝效劳流量型资源消耗+流量型分布式拒绝效劳TargetAttackerMasterInternetZombies攻击者主控机僵尸机目标机742.信息平安相关内容后门木马本地账号后门密码后门SHELLSUID后门替换命令/修改loginCrontab/atinittabRcXinitrc.login/.profile/.bashrc/.cshrcLKM……752.信息平安相关内容后门木马网络监听端口网页CGI远程连接IRC客户端发送邮件ICMP通道Udp通道NC反向连接定时访问……762.信息平安相关内容无线网络非加密不播送SSID中文SSID超长SSIDWEPWPAAircrack-ngAiromon-ngAirodump-ng772.信息平安相关内容扫尾去除入侵信息去除过程文件去除core文件去除访问日志修改文件、目录时间修改/删除日志修改shell记录杀掉/重启进程填补系统漏洞782.信息平安相关内容其他社会工程学技术入侵不一定是最优选择权限集中可以被利用兴趣爱好可以被利用操作习惯可以被利用……792.信息平安相关内容PKIPKI是PublicKeyInfrastructure的缩写，是指用公钥概念和技术来实施和提供平安效劳的具有普适性的平安根底设施。这个定义涵盖的内容比较宽，是一个被很多人接受的概念。这个定义说明，任何以公钥技术为根底的平安根底设施都是PKI。当然，没有好的非对称算法和好的密钥管理就不可能提供完善的平安效劳，也就不能叫做PKI。也就是说，该定义中已经隐含了必须具有的密钥管理功能X.509标准中，为了区别于权限管理根底设施(PrivilegeManagementInfrastructure，简称PMI)，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性效劳的根底设施]。这个概念与第一个概念相比，不仅仅表达PKI能提供的平安效劳，更强调PKI必须支持公开密钥的管理。也就是说，仅仅使用公钥技术还不能叫做PKI，还应该提供公开密钥的管理。802.信息平安相关内容PKIPKI技术是信息平安技术的核心，PKI的根底技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下局部：公钥密码证书管理。黑名单的发布和管理。密钥的备份和恢复。自动更新密钥。自动管理历史密钥。支持交叉认证。812.信息平安相关内容VPNVPN的英文全称是“VirtualPrivateNetwork〞，即虚拟专用网。VPN主要采用的四项平安保证技术隧道技术加解密技术密钥管理技术身份认证技术IPSecVPN:IPsec(缩写IPSecurity)是保护IP协议平安通信的标准，它主要对IP协议分组进行加密和认证。IPsec作为一个协议族〔即一系列相互关联的协议〕由以下局部组成：保护分组流的协议；用来建立这些平安分组流的密钥交换协议。822.信息平安相关内容VPNIPSecVPN:前者又分成两个局部：加密分组流的封装平安载荷〔ESP〕及较少使用的认证头〔AH〕，认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。PPTPVPN:PointtoPointTunnelingProtocol点到点隧道协议，在因特网上建立IP虚拟专用网〔VPN〕隧道的协议，主要内容是在因特网上建立多协议平安虚拟专用网的通信方式。微软系统自带PPTP协议。832.信息平安相关内容VPNL2F:Layer2Forwarding--第二层转发协议L2TP:Layer2TunnelingProtocol--第二层隧道协议GRE:VPN的第三层隧道协议SSLVPN:从概念角度来说，SSLVPN即指采用SSL〔SecuritySocketLayer〕协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的平安协议，它包括：效劳器认证、客户认证〔可选〕、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。842.信息平安相关内容其他平安防护技术与产品需要审计，我们是否需要、是否部署了、是否合理使用了这些产品，并且提供相应的记录与证据扫描防火墙FW入侵检测IDS防病毒AV入侵防御IPS统一威胁管理UTM身份鉴别加解密系统虚拟专网VPN主机入侵检测HIDS852.信息平安相关内容其他平安防护技术与产品数字签名校验网闸终端平安TS与上网行为管理防水墙业务连续性产品审计与取证数据备份、复制与恢复流量清洗网络抓包平安管理平台86IT审计的技术内容〔一〕实体级控制审计数据库审计的方法数据中心与灾难恢复网络与平安设备审计87ChecklistforAuditingEntity-LevelControls实体级控制审计检查项列表1.ReviewtheoverallITorganizationstructuretoensurethatitprovidesforclearassignmentofauthorityandresponsibilityoverIToperationsandthatitprovidesforadequatesegregationofduties.检查整体的IT组织结构，确认在该结构中对整体的IT运行提供了清晰明确的权、责分配，并且提供了适当的分权设置2.ReviewtheITstrategicplanningprocesstoensurethatitalignswithbusinessstrategies.EvaluatetheITorganization'sprocessesformonitoringprogressagainstthestrategicplan.检查其IT策略的规划过程，确认该过程与其业务策略相匹配。针对策略规划，评估IT组织对其进展的监控过程。3.Determinewhethertechnologyandapplicationstrategiesandroadmapsexist,andevaluateprocessesforlong-rangetechnicalplanning.确认技术、应用与路线图是否存在，并评估其长期技术规划过程。4.ReviewperformanceindicatorsandmeasurementsforIT.Ensurethatprocessesandmetricsareinplace(andapprovedbykeystakeholders)formeasuringperformanceofday-to-dayactivitiesandfortrackingperformanceagainstSLAs,budgets,andotheroperationalrequirements.检查IT的绩效指标与测量。确保已经制定了各种绩效测量的方法与指标，这些绩效测量的方法与指标用于评估日常工作，也用于针对SLA〔ServiceLevelAgreement〕、预算和其它操作要求的评估。同时确保绩效测量的方法与指标已得到相关管理层的授权批准。实体级控制审计885.ReviewtheITorganization'sprocessforapprovingandprioritizingnewprojects.Determinewhetherthisprocessisadequateforensuringthatsystemacquisitionanddevelopmentprojectscannotcommencewithoutapproval.Ensurethatmanagementandkeystakeholdersreviewprojectstatus,schedule,andbudgetperiodicallythroughoutthelifeofsignificantprojects.检查IT组织对新工程的批准与确定其优先级的过程。要确认在这个过程中，如果系统采购与开发工程没有得到批准是不能开工的。要确保在整个工程执行过程中管理层与关键利益相关者定期检查工程状态、工期与预算执行情况。6.EvaluatestandardsforgoverningtheexecutionofITprojectsandforensuringthequalityofproductsdevelopedoracquiredbytheITorganization.Determinehowthesestandardsarecommunicatedandenforced.评估管理IT工程执行、保证产品质量所使用的标准。确定这些标准是如何传达与执行的。7.EnsurethatITsecuritypoliciesexistandprovideadequaterequirementsforthesecurityoftheenvironment.Determinehowthosepoliciesarecommunicatedandhowcomplianceismonitoredandenforced.确保已经制定了IT平安策略，并且这些策略满足平安环境的需求。确定这些策略是如何传达的，对这些策略的遵从情况是如何监控的，对策略的执行通过何种方式保证执行的。8.Reviewandevaluaterisk-assessmentprocessesinplacefortheITorganization.检查并评估IT组织中的风险评估过程。实体级控制审计899.ReviewandevaluateprocessesforensuringthatITemployeesatthecompanyhavetheskillsandknowledgenecessaryforperformingtheirjobs.检查并评估企业中保证IT雇员具备合格技能与知识的过程。10.Reviewandevaluatepoliciesandprocessesforassigningownershipofcompanydata,classifyingthedata,protectingthedatainaccordancewiththeirclassification,anddefiningthedata'slifecycle.检查并评估在企业数据生命周期中，对其进行所有权分配、密级设定、数据保护的策略与过程。11.EnsurethateffectiveprocessesexistforcomplyingwithapplicablelawsandregulationsthataffectIT(e.g.,HIPAA,Sarbanes-Oxley)andformaintainingawarenessofchangesintheregulatoryenvironment.确保存在一个保证IT运行符合相关法律、法规、行业标准的过程，同时保证该过程能够适应合规性要求的变化。12.ReviewandevaluateprocessesforensuringthatendusersoftheITenvironmenthavetheabilitytoreportproblems,haveappropriateinvolvementinITdecisions,andaresatisfiedwiththeservicesprovidedbyIT.检查并评估IT环境最终用户的反响过程，通过该过程他们能够报告问题、以适宜的方式参与IT决策。评估最终用户对IT效劳是否满意。13.Reviewandevaluateprocessesformanagingthird-partyservices,ensuringthattheirrolesandresponsibilitiesareclearlydefinedandmonitoringtheirperformance.检查并评估管理第三方效劳的过程，在该过程中能够清晰定义第三方的角色与责任，并能监督其绩效。实体级控制审计9014.Reviewandevaluateprocessesforcontrollingnonemployeelogicalaccess.检查并评估控制非雇员逻辑访问的过程。15.Reviewandevaluateprocessesforensuringthatthecompanyisincompliancewithapplicablesoftwarelicenses.检查并评估保证企业遵守软件授权的过程。16.Reviewandevaluatecontrolsoverremoteaccessintothecompany'snetwork(e.g.,dial-up,VPN,dedicatedexternalconnections).检查并评估控制对企业网络远程访问〔通过拨号、VPN、专线等〕的过程。17.Ensurethathiringandterminationproceduresareclearandcomprehensive.确保有完整、清晰的聘用与解聘手续。18.Reviewandevaluatepoliciesandproceduresforcontrollingtheprocurementandmovementofhardware.检查并评估控制硬件采购、迁移的策略与手续。19.Ensurethatsystemconfigurationsarecontrolledwithchangemanagementtoavoidunnecessarysystemoutages.确保系统配置由变更管理系统控制以防止不必要的系统故障。实体级控制审计9120.Ensurethatmediatransportation,storage,reuse,anddisposalareaddressedadequatelybycompany-widepoliciesandprocedures.确保企业有明确的介质使用策略与手续，包括介质的运输、存储、再使用和销毁。21.Verifythatcapacitymonitoringandplanningareaddressedadequatelybycompanypoliciesandprocedures.确认企业策略与执行过程中存在能力监控与方案。22.Basedonthestructureofyourcompany'sITorganizationandprocesses,identifyandauditotherentity-levelITprocesses.根据具体的企业的IT组织与流程，标识并审计其它实体级IT过程。实体级控制审计92

数据中心与灾难恢复什么是数据中心93

数据中心与灾难恢复什么是数据中心银行系统的数据大集中电信系统的数据中心数据中心可以分为二种一种是可以上网，也就是可以访问公网的，称为IDC一种是不上网，只用做数据存放，称为DC。94数据中心与灾难恢复什么是数据中心IDC通常可以被定义为一种拥有完善的设备〔包括高速互联网接入带宽、高性能局域网络、平安可靠的机房环境等〕、专业化的管理、完善的应用级服务的效劳平台95

数据中心与灾难恢复什么是数据中心DC常被和DR放在一起，这种数据中心主要是用做数据备份，冗余，数据恢复之用。96数据中心与灾难恢复数据中心审计数据中心审计的必要性信息系统核心资产多方接入平安威胁故障定位与事后取证数据中心审计的可行性统一的审计平台行为的集中监控权限的划分97

数据中心与灾难恢复什么是灾难恢复DisasterRecovery是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程。

关于异地容灾关于灾后重建什么是瘦客户机瘦客户机灾后重建优势98

数据中心与灾难恢复主要检查项列表基于设备的控制访问控制防火、防水、防盗、防雷、防磁告警与监控系统系统健壮性电源温度、湿度、空调网络连接维护管理操作策略、方案与操作程序物理访问控制系统与设备监控设备维护应急处理角色与分权管理硬件冗余与高可靠性异地容灾网络拓扑位置的重要性造成事故影响的危害性误操作的可能性越权操作与滥用的普遍性为什么需要进行网络与平安设备的审计网络与平安设备审计99七层协议网络与平安设备审计100开发维护配置的控制平安mailing-list补丁、升级漏洞扫描配置状态报告检查项列表网络与平安设备审计101关闭不必要的效劳检查项列表网络与平安设备审计102SNMP管理用户与密码管理tacacs-serverhost<IPAddress>username<name>password7<encryptedpassword>enablesecret5xxxxxxxxxxxxxxxSSH取代TELNET配置的备份记录日志logginghost<ipaddress>snmp-serverhost[loghost][version][communitystring][trap-type]snmp-serverenabletraps[trap-type]NTPACLlinecon0login(touseapasswordonly)loginlocal(tousealocallydefinedusernameandpassword)logintacacs(tousetheTACACS+servers)检查项列表网络与平安设备审计103路由协议认证禁用未使用物理端口、VLAN端口MAC地址绑定Netflow使用检查项列表网络与平安设备审计104RAT://Wireshark://NAMP://MRTG://oss.oetiker.ch/mrtg/常用工具网络与平安设备审计105明文协议Telnet协议HTTP协议加密协议SSH协议HTTPS协议协议审计网络与平安设备审计106107WINDOWS系统审计WINDOWS系统自带功能翻开审核功能三种日志记录应用程序日志平安日志系统日志WINDOWS缺乏审计技术108WINDOWS系统审计109WINDOWS系统审计WINDOWS系统常用远程管理协议RDPICAVNCPCANYWHERE其他工具软件平安工具procexpTcpviewAutorunsFilemonRegmonNcwiresharkWINDOWS系统审计110111WINDOWS系统审计112WINDOWS系统审计113WINDOWS系统审计114UNIX/LINUX系统审计常见UNIX系统自带审计IBMAIXSUNSolarisHPHPUXLinuxFreeBSD115目录描述/bin系统二进制执行文件/sbin超级用户可执行文件/etc配置文件/boot启动内核映象文件/home用户目录/var运行中产生文件、日志文件、进程临时文件/lib系统库文件/opt附加安装包/usr软件包、常用软件、帮助、共享文件等/root超级用户主目录/tmp临时文件/mnt文件系统挂接/dev设备文件/proc虚拟文件系统UNIX/LINUX系统审计116目录权限UNIX/LINUX系统审计117目录权限UNIX/LINUX系统审计118UNIX/LINUX系统审计IBMAIX1、定义/etc/security/audit/config文件中的class节，单独定义一个类，名称为custom，将需要审计的各种事件依次列出，格式如下：classes：Custom＝PASSWORD_Change，USER_SU定义使用这些审计的用户，在同一个文件的user节中定义：格式如下：users:Root=custom

2、增加一个新的文件系统，挂接点为：/audit

3、启动审计程序：auditstart

4、系统自动在/audit目录下生成bin1、bin2、trail三个文件

5、查看审计情况

1〕如果查看近期的审计情况，执行命令：auditpr–v<bin1或者auditpr–v<bin2

2〕如果查看历史审计情况，执行命令：auditpr–v<trail其中，bin1、bin2是两个循环日志，交替使用，其内容定期刷新内容到trail文件中。

6、关闭审计：auditshutdown

7、注意：audit不自动启动、关闭，因此需要在启动脚本和停止脚本中分别增加auditstart/auditshutdown，使得每次系统启动/关闭后，自动运行/关闭审计功能。119UNIX/LINUX系统审计SUNSolaris

1)开启BSM：

#init1

(重新引导或改变运行级别到单用户状态)

#/etc/security/bsmconv

(运行BSM初始化脚本，开启审计功能)

#reboot

(重新启动系统，或者Ctrl+D改变到多用户状态)

2)关闭BSM审计功能：

#init1

#/etc/security/bsmunconv

#reboot

120UNIX/LINUX系统审计SUNSolaris

3)配置文件的功能：

BSM所有的配置文件都存放在/etc/security目录下：

?audit_class(4)

审计类别定义

?audit_control(4)

审计进程控制信息

?audit_data(4)

审计进程当前信息

?audit.log(4)审计日志格式

?audit_event(4)

时间定义到类别的映射文件

?audit_user(4)

按用户审计时的用户定义文件

除了上面的配置文件之外，系统中还有一些用于BSM管理的脚本。

?audit_startup(1M)

启动BSM进程运行。

121UNIX/LINUX系统审计SUNSolaris?auditconfig(1M)

读取配置文件，重新配置audit进程。

?auditd(1M)

审计监控效劳。

?auditreduce(1M)

审计事件日志管理，可以调整日志格式，生成时间周期等信息。

?auditstat(1M)

先是内核审计进程状态。

?bsmconv(1M)

开启BSM功能。

?bsmunconv(1M)

关闭BSM功能。

?praudit(1M)

打印BSM审计日志内容。

122UNIX/LINUX系统审计SUNSolaris

4)BSM应用

在默认配置情况下，BSM每天(24小时)会生成一个以当天日期为名字的审计日志，存放在/var/audit目录下，这个文件具有自己的数据结构，所以直接查看时是乱码，必须使用系统命令praudit来查看。

#praudit/var/audit/xxxxxx.xxxxxx.log

另一个可能用到的命令是auditreduce，这个命令允许管理员对审计日志做一些设置，例如调整审计事件集或调整审计日志生成周期等等。auditreduce和praudit是系统中BSM管理最根本的两个命令，组合起来可以完成相当多的功能：

用管道联合两个命令，会显示系统中所有的历史审计事件。

#auditreduce|praudit

再加上lp，将把所有审计事件直接打印出来。

#auditreduce|praudit|lp

如果系统中有相当多的审计信息的话，查找将是非常困难的事情，这条命令可以按照yymmdd的时间格式显示目标时间段内的审计事件，范例为显示April13,1990,用户fred的登录类别审计事件集。

#auditreduce-d900413-ufred-clo|praudit

过滤目标时间所有的登录日志信息(Class:lo)，并且输出到一个单独的日志文件中：

#auditreduce-clo-d870413-O/usr/audit_summary/logins

auditr