计算机 审计追踪功能,第 讲 审计追踪技术与Windows安全审计功能

《第 讲 审计追踪技术与Windows安全审计功能》由会员分享，可在线阅读，更多相关《第 讲 审计追踪技术与Windows安全审计功能(28页珍藏版)》请在人人文库网上搜索。

1、信息安全技术,第,6,讲,访问控制与审计技术,6.1,访问控制技术与,Windows,6.2,审计追踪技术与,Windows,安全审计功能,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,审计是对信息系统访问控制的必要补充，它会,对用户使用何种信息资源、使用的时间，以及,如何使用,执行何种操作,进行记录与监控,审计和监控是实现系统安全的,最后一道防线,它能够,再现,原有的进程和问题，这对于责任追,查和,数据恢复,是非常必要的,审计跟踪是系统活动的流水记录,该记录,按事件自始至终顺序检查、审查和检验每,个事件的环境及活动,审计跟踪通过书面方式提供应负责任人员,的活动证据以支持访问控。

2、制职能的实现,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,审计跟踪记录系统活动和用户活动,系统活动包,括操作系统和应用程序进程的活动；用户活动包,括用户在操作系统中和应用程序中的活动。通过,借助适当的工具和规程，审计跟踪可以发现违反,安全策略的活动、影响运行效率的问题以及程序,中的错误。审计跟踪不但有助于帮助系统管理员,确保系统及其资源免遭非法授权用户的侵害，同,时还能提供对数据恢复的帮助,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,1,审计内容,审计跟踪可以实现多种安全相关目标，包括,个人职能,事件重建,入侵检测,故障分析,第,6-2,讲,审计追踪技术与,。

3、Windows,安全审计功能,1,个人职能,审计跟踪是管理人员用来维护个人职能的技术手段,一般来说，如果用户知道他们的行为活动被记录在审,计日志中，相应的人员需要为自己的行为负责，他们,就不太会违反安全策略和绕过安全控制措施,例如，审计跟踪可以保存改动前和改动后的记录，以,确定是哪个操作者在什么时候做了哪些实际的改动,这可以帮助管理层确定错误到底是由用户、操作系统,应用软件还是由其他因素造成的,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,允许用户访问特定资源意味着用户要通,过访问控制和授权实现他们的访问，被,授权的访问有可能会被滥用，导致敏感,信息的扩散，当无法阻止用户通过其。

4、合,法身份访问资源时，审计跟踪就能发挥,作用,审计跟踪可以用于检测他们的活,动,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,2,事件重建,发生故障后，审计跟踪可以用于重建事件和数,据恢复,通过审查系统活动的审计跟踪可以比,较容易地评估故障损失，确定故障发生的时间,原因和过程。通过对审计跟踪的分析就可以,重建系统和协助恢复数据文件；同时，还有可,能避免下次发生此类故障的情况,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,3,入侵检测,审计跟踪记录可以用来协助入侵检测工作。如果将审,计的每一笔记录都进行上下文分析，就可以实时发现,或是过后预防入侵活动。实时入侵检测。

5、可以及时发现,非法授权者对系统的非法访问，也可以探测到病毒扩,散和网络攻击,4,故障分析,审计跟踪还可以用于实时监控和故障分析,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,2,安全审计的目标,安全审计提供的功能服务于,直接和间接,两个方面的安全目标,直接目标包括跟,踪和监测系统中的异常事件，间接目标,是监视系统中其他安全机制的运行情况,和可信度,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,所有审计的前提是有一个支配审计过程的,规则集,规,则的确切形式和内容随审计过程具体内容的改变而改,变。在商业与管理审计中，规则集包括对确保商业目,标的实现有重要意义的管理控。

6、制、过程和惯例。这些,商业目标,包括,资源的合理使用、利率最大化、费用最,小化、符合相应的法律法规和适当的风险控制,在计,算机安全审计的特殊情况下，规则集通常以,安全策略,的形式明确表述,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,从抽象意义上讲,传统的金融和管理审,计与计算机安全审计的过程是完全相同,的,但它们各自关注的问题有很大不同,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,计算机安全审计是通过一定的策略，利用记录,和分析历史操作事件来发现系统的漏洞并改进,系统的性能和安全,计算机安全审计,需要达到,的目的,包括,对潜在的攻击者起到震慑和警告,的作用；。

7、对于已经发生的系统破坏行为提供有,效的追究责任的证据；为系统管理员提供有价,值的系统使用日志，帮助系统管理员及时发现,系统入侵行为或潜在的系统漏洞,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,3,安全审计系统,审计是通过对所关心的事件进行记录和,分析来实现的,因此审计系统包括,审计,发生器、日志记录器、日志分析器和报,告机制,等几部分,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,1,日志的内容,在理想的情况下，日志应该记录每一个可能的事件,以便分析发生的所有事件，并恢复任何时刻进行的历,史情况,然而，这样做显然是不现实的，因为要记录每一个数,据包、每一条命令。

8、和每一次存取操作，需要的存储量,将远远大于业务系统，并且将严重影响系统的性能,因此，日志的内容应该是有选择的,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,一般情况下，日志记录的内容应满足以下原,则,1,任何必要的事件，以检测已知的攻击模式,2,任何必要的事件，以检测异常的攻击模式,3,关于记录系统连续可靠工作的信息,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,在这些原则的指导下，日志系统可根据安全要求,的强度选择记录下列事件的部分或全部,1,审计功能的启动和关闭,2,使用身份鉴别机制,3,将客体引入主体的地址空间,4,删除客体,5,管理员、安全员、审计员和一。

9、般操作人员的操作,6,其他专门定义的可审计事件,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,通常，对于一个事件，日志应包括,事件发,生的日期和时间、引发事件的用户,地址,事件源的位置和目的的位置、事件类型,事件成败,等,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,2,安全审计的记录机制,日志的记录可能由,操作系统完成，也可,以由应用系统或其他专用记录系统完成,但是，大部分情况都可通过系统调用,Syslog,来记录日志，也可以用,SNMP,记录,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,Syslog,由,Syslog,守护程序,Syslog。

10、,规则集及,Syslog,系统,调用,3,部分组成,记录日志时，系统调用,Syslog,将日志,素材发送给,Syslog,守护程序,Syslog,守护程序监听,Syslog,调用或,Syslog,端口,UDP 514,的消息，然后根据,Syslog,规则集对收到的日志素材进行处理。如果日志,是记录在其他计算机上，则,Syslog,守护程序将日志转,发到相应的日志服务器上,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,3,安全审计分析,通过对日志进行分析，从中发现相关事,件信息及其规律是安全审计的根本目的,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,其主要内容包。

11、括,1,潜在侵害分析,日志分析应能用一些规则去监控审,计事件，并根据规则发现潜在的入侵。这种规则可以,是由已定义的可审计事件的子集所指示的潜在安全攻,击的积累或组合，或者其他规则,2,基于异常检测的轮廓,日志分析应确定用户正常行,为的轮廓，当日志中的事件违反正常访问行为的轮廓,或超出正常轮廓一定的门限时，能指出将要发生的,威胁,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,3,简单攻击探测,日志分析应对重大威胁事件的特征,有明确描述，当这些攻击现象出现时，能及时指出,4,复杂攻击探测,要求高的日志分析系统还应能检测,到多步入侵序列，当攻击序列出现时，能预测其发生,的步骤,第,6。

12、-2,讲,审计追踪技术与,Windows,安全审计功能,4,审计事件查阅,由于审计系统是追踪、恢复的直接依据,甚至是司法依据，因此其自身的安全,性十分重要。审计系统的安全主要是,查,阅和存储的安全,审计事件的查阅应受到严格的限制，不,能篡改日志,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,通常通过以下不同的层次来保证查阅的安全,1,审计查阅,审计系统以可理解的方式为授权用户提,供查阅日志和分析结果的功能,2,有限审计查阅,审计系统只提供对内容的读权限,拒绝具有读以外权限的用户访问审计系统,3,可选审计查阅,在有限审计查阅的基础上限制查阅,的范围,第,6-2,讲,审计追踪技术与。

13、,Windows,安全审计功能,5,审计事件存储,审计事件的存储也有安全要求，具体有如下几种,1,受保护的审计踪迹存储,即要求存储系统对日志事,件具有保护功能，防止未授权的修改和删除，并具有,检测修改删除的能力,2,审计数据的可用性保证,在审计存储系统遭受意外,时，能防止或检测审计记录的修改，在存储介质存满,或存储失败时，能确保记录不被破坏,第,6-2,讲,审计追踪技术与,Windows,安全审计功能,3,防止审计数据丢失,在审计踪迹超过,预定的门限或记满时，应采取相应的措,施防止数据丢失。这种措施可以是忽略,可审计事件、只允许记录有特殊权限的,事件、覆盖以前记录、停止工作等,第,6-2,讲,审计追踪技术与,Windows,安全审计功能。