安全审计与日志分析
•
路漫漫其悠远
CC标准中的网络安全审计功能定义
网络安全审计包括识别、记录、存储、分析与
安全相关行为有关的信息。国际标准化组织 (ISO)和国际电工委员会(IEC)发表了【信息技 术安全性评估通用准则2.0版】 (ISO/IEC15408),俗称CC准则,目前它已被广 泛地用于评估一个系统的安全性。在这个标准 中对网络审计定义了一套完整的功能,有:安 全审计自动响应、安全审计数据生成、安全审 计分析、安全审计浏览、安全审计事件存储、 安全审计事件选择等。
•
审计与日志分析
审计与日志分析的参考标准 防火墙和路由器等网络和网络安
全设备日志
通用操作系统日志 日志过滤 可疑的活动分析
•
路漫漫其悠远
审计结果
参考审计执行过程 建立设计报告库 安全审计和安全标准 建议性审计解决方案
•
路漫漫其悠远
建议审计执行过程
为了能够确定安全策略和实施情况的差
距,建议采用特定方法继续进行有效的 审计;
审计存储用尽; 审计存储故障; 非法攻击; 其他任何非预期事件。
系统能够在审计存储发生故障时采取相应的动 作,能够在审计存储即将用尽时采取相应的动 作。
•
路漫漫其悠远
网络安全审计层次结构图
路漫漫其悠远
审计总控
应用层审计 系统层审计 网络层审计
•
安全审计系统体系结构示意图
•
路漫漫其悠远
安全审计系统的典型配置示意图
安全审计分析类型
潜在攻击分析 基于模板的异常检测 简单攻击试探 复杂攻击试探
等几种类型。
•
路漫漫其悠远
安全审计分析类型(续)
潜在攻击分析:系统能用一系列的规则监控审
计事件,并根据这些规则指示系统的潜在攻击 ;
基于模板的异常检测:检测系统不同等级用户
的行动记录,当用户的活动等级超过其限定的 登记时,应指示出此为一个潜在的攻击;
•
路漫漫其悠远
安全审计事件存储
系统将提供控制措施以防止由于资源的
不可用丢失审计数据。能够创造、维护 、访问它所保护的对象的审计踪迹,并 保护其不被修改、非授权访问或破坏。 审计数据将受到保护直至授权用户对它 进行的访问。
•
路漫漫其悠远
安全审计事件存储(续)
它可保证某个指定量度的审计记录被维护,并不 受以下事件的影响:
抵御和清除病毒,蠕虫和木马,修补系
统漏洞;
•
路漫漫其悠远ຫໍສະໝຸດ )的访问目标对象的删除 访问权限或能力的授予和废除 改变主体或目标的安全属性 标识定义和用户授权认证功能的使用 审计功能的启动和关闭
•
路漫漫其悠远
每一条审计记录中至少应所含
以下信息:
事件发生的日期、时间、事件类型、主
题标识、执行结果(成功、失败) 、引 起此事件的用户的标识以及对每一个审 计事件与该事件有关的审计信息。
审计浏览 提供从审计记录中读取信息的服务
;
有限审计浏览 要求除注册用户外,其他用户
不能读取信息;
可选审计信息 要求审计浏览工具根据相应的
判断标准选择需浏览的审计数据。
•
路漫漫其悠远
安全审计事件选择
系统能够维护、检查或修改审计事件的
集合,能够选择对哪些安全属性进行审 计,例如:与目标标识、用户标识、主 体标识、主机标识或事件类型有关的属 性。系统管理员将能够有选择地在个人 识别的基础上审计任何一个用户或多个 用的动作。
•
路漫漫其悠远
安全审计数据生成
该功能要求记录与安全相关事件的出现
,包括鉴别审计层次、列举可被审计的 事件类型、以及鉴别由各种审计记录类 型提供的相关审计信息的最小集合。系 统可定义可审计事件清单,每个可审计 事件对应于某个事件级别,如低级、中 级、高级。
•
路漫漫其悠远
产生的审计数据有以下几方面
对于敏感数据项(例如,口令通行字等
安全审计与日志分析
路漫漫其悠远
2020/3/22
目录
专业安全审计系统体系结构分析 网络信息系统安全审计综述 审计与日志分析 审计结果分析
•
路漫漫其悠远
安全审计系统的必要性
一旦我们采用的防御体系被突破怎么办
?至少我们必须知道系统是怎样遭到攻 击的,这样才能恢复系统,此外我们还 要知道系统存在什么漏洞,如何能使系 统在受到攻击时有所察觉,如何获取攻 击者留下的证据。网络安全审计的概念 就是在这样的需求下被提出的,它相当 于飞机上使用的“黑匣子”。
•
路漫漫其悠远
安全审计分析
此部分功能定义了分析系统活动和审计
数据来寻找可能的或真正的安全违规操 作。它可以用于入侵检测或对安全违规 的自动响应。当一个审计事件集出现或 累计出现一定次数时可以确定一个违规 的发生,并执行审计分析。事件的集合 能够由经授权的用户进行增加、修改或 删除等操作。
•
路漫漫其悠远
•
路漫漫其悠远
安全审计系统的必要性(续)
在TCSEC和CC等安全认证体系中,网络安全审
计的功能都是方在首要位置的,它是评判一个 系统是否真正安全的重要尺码。因此在一个安 全网络系统中的安全审计功能是必不可少的一 部分。网络安全审计系统能帮助我们对网络安 全进行实时监控,及时发现整个网络上的动态 ,发现网络入侵和违规行为,忠实记录网络上 发生的一切,提供取证手段。它是保证网络安 全十分重要的一种手段。
简单攻击试探:当发现一个系统事件与一个表
示对系统潜在攻击的签名事件匹配时,应指示 出此为一个潜在的攻击;
复杂攻击试探:当发现一个系统事件或事迹序
列与一个表示对系统潜在攻击的签名事件匹配 时,应指示出此为一个潜在的攻击。
•
路漫漫其悠远
安全审计浏览
该功能要求审计系统能够使授权的用户有 效地浏览审计数据。包括:审计浏览、有限审 计浏览、可选审计浏览。
•
路漫漫其悠远
安全审计自动响应
安全审计自动响应定义在被测事件指示
出一个潜在的安全攻击时作出的响应, 它是管理审计事件的需要,这些需要包 括报警或行动,例如包括实时报警的生 成、违例进程的终止、中断服务、用户 帐号的失效等。根据审计事件的不同系 统将作出不同的响应。其响应方式可作 增加、删除、修改等操作。
路由器
审计软件 Agent
防火墙
审计设备 2
路漫漫其悠远
DB Server
Application Server
内部网
审计中心 Work station
DNS Server Mail Server Application Server Search Server Web Server
审计设备 1 服务网
