第九讲-信息安全审计分析课件.ppt

1、信息安全审计信息安全审计1 概述概述2 安全审计系统的体系结构安全审计系统的体系结构3 安全审计的一般流程安全审计的一般流程4 安全审计的分析方法安全审计的分析方法5 安全审计的数据源安全审计的数据源6 信息安全审计与标准信息安全审计与标准7 计算机取证计算机取证信息安全审计信息安全审计1 概述概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述天融信天融信TA为用户提供的价值为用户提供的价值信息安全审计概述信息安全审计

2、概述信息安全审计概述信息安全审计概述信息安全审计的一般步骤信息安全审计的一般步骤信息安全审计概述信息安全审计概述确定和保持系统活动中每个人的责任确认重建事件的发生 评估损失监测系统问题区提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供案件侦破证据信息安全审计概述信息安全审计概述 安全审计是对信息系统的各种事件及行为实行监测、信安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。网息采集、分析并针对特定事件及行为采取相应响应动作。网络安全审计是指对与网络安全有关的活动的相关信息进行识络安全审计是指对与网络安全有关的活动的相关信息进行识别、记

3、录、存储和分析，并检查网络上发生了哪些与安全有别、记录、存储和分析，并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。关的活动以及谁对这个活动负责。信息系统安全审计的概念信息系统安全审计的概念信息安全审计概述信息安全审计概述 信息安全审计的有多方面的作用与功能，包括取证、威信息安全审计的有多方面的作用与功能，包括取证、威慑、发现系统漏洞、发现系统运行异常等。慑、发现系统漏洞、发现系统运行异常等。(1)取证取证：利用审计工具，监视和记录系统的活动情况。：利用审计工具，监视和记录系统的活动情况。(2)威慑威慑：通过审计跟踪，并配合相应的责任追究机制，对外：通过审计跟踪，并配合相应的责任追

4、究机制，对外部的入侵者以及内部人员的恶意行为具有威慑和警告作用。部的入侵者以及内部人员的恶意行为具有威慑和警告作用。(3)发现系统漏洞发现系统漏洞：安全审计为系统管理员提供有价值的系统：安全审计为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。在的系统漏洞。(4)发现系统运行异常发现系统运行异常：通过安全审计，为系统管理员提供系统运行的统计日志，管通过安全审计，为系统管理员提供系统运行的统计日志，管理员可根据日志数据库记录的日志数据，分析网络或系统的理员可根据日志数据库记录的日志数据，分析网络或系统

5、的安全性，输出安全性分析报告，因而能够及时发现系统的异安全性，输出安全性分析报告，因而能够及时发现系统的异常行为，并采取相应的处理措施。常行为，并采取相应的处理措施。信息系统安全审计的功能信息系统安全审计的功能信息安全审计概述信息安全审计概述 安全审计，按照不同的分类标准，具有不同的分类特性。安全审计，按照不同的分类标准，具有不同的分类特性。 按照审计分析的对象按照审计分析的对象，安全审计可分为，安全审计可分为针对主机的审计针对主机的审计和和针对网络的审计针对网络的审计。前者对系统资源如系统文件、注册表等。前者对系统资源如系统文件、注册表等文件的操作进行事前控制和事后取证，并形成日志文件；后文

6、件的操作进行事前控制和事后取证，并形成日志文件；后者主要是针对网络的信息内容和协议分析。者主要是针对网络的信息内容和协议分析。 按照按照审计的工作方式审计的工作方式，安全审计可分为，安全审计可分为集中式安全审计集中式安全审计和和分布式安全审计分布式安全审计。集中式体系结构采用集中的方法，收集。集中式体系结构采用集中的方法，收集并分析数据源（网络各主机的原始审计记录），所有的数据并分析数据源（网络各主机的原始审计记录），所有的数据都要交给中央处理机进行审计处理。分布式安全审计包含两都要交给中央处理机进行审计处理。分布式安全审计包含两层涵义，一是对分布式网络的安全审计，其二是采用分布式层涵义，一是

7、对分布式网络的安全审计，其二是采用分布式计算的方法，对数据源进行安全审计。计算的方法，对数据源进行安全审计。信息系统安全审计的分类信息系统安全审计的分类信息安全审计信息安全审计2 安全审计系统的体系结构安全审计系统的体系结构信息安全审计体系结构信息安全审计体系结构信息安全审计体系结构信息安全审计体系结构信息安全审计体系结构信息安全审计体系结构一般而言，一个完整的安全审计系统图一般而言，一个完整的安全审计系统图5-1所示，包括事件探测及数据所示，包括事件探测及数据采集引擎、数据管理引擎和审计引擎等重要组成部分，每一部分实现不采集引擎、数据管理引擎和审计引擎等重要组成部分，每一部分实现不同的功能。

8、同的功能。 (1)事件探测及数据采集引擎事件探测及数据采集引擎事件探测及数据采集引擎主要全面侦听主机及网络上的信息流，动态监事件探测及数据采集引擎主要全面侦听主机及网络上的信息流，动态监视主机的运行情况以及及网络上流过的数据包，对数据包进行检测和实视主机的运行情况以及及网络上流过的数据包，对数据包进行检测和实时分析，并将分析结果发送给相应的数据管理中心进行保存。时分析，并将分析结果发送给相应的数据管理中心进行保存。(2)数据管理引擎数据管理引擎 数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及安全审计的输出数据进行管理，另

9、一方面，数据管理引擎还负责对事件安全审计的输出数据进行管理，另一方面，数据管理引擎还负责对事件探测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息探测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息的管理。它一般包括三个模块的管理。它一般包括三个模块:数据库管理、引擎管理、配置管理。数据库管理、引擎管理、配置管理。(3)审计引擎审计引擎审计引擎包括两个应用程序审计引擎包括两个应用程序:审计控制台和用户管理。审计控制台和用户管理。 审计控制台可以审计控制台可以实时显示网络审计信息，流量统计信息，并可以查询审计信息历史数据，实时显示网络审计信息，流量统计信息，并可以查询审计信息

10、历史数据，并且对审计事件进行回放。用户管理程序可以对用户进行权限设定，限并且对审计事件进行回放。用户管理程序可以对用户进行权限设定，限制不同级别的用户查看不同的审计内容。制不同级别的用户查看不同的审计内容。信息安全审计系统的一般组成信息安全审计系统的一般组成信息安全审计体系结构信息安全审计体系结构 集中式体系结构采用集中的方法，收集并分析数据源，所有的数集中式体系结构采用集中的方法，收集并分析数据源，所有的数据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎及安全审计引擎的工作，而部署在各受监视系统上的外围设备只是简及安全审

11、计引擎的工作，而部署在各受监视系统上的外围设备只是简单的数据采集设备，承担事件检测及数据采集引擎的作用。单的数据采集设备，承担事件检测及数据采集引擎的作用。随着分布式网络技术的广泛应用，集中式的审计体系结构越来越显示随着分布式网络技术的广泛应用，集中式的审计体系结构越来越显示出其出其缺陷缺陷，主要表现在，主要表现在:(1)由于事件信息的分析全部由中央处理机承担，势必造成由于事件信息的分析全部由中央处理机承担，势必造成CPU、I/O以以及网络通信的负担，而且中心计算机往往容易发生单点故障（如针对及网络通信的负担，而且中心计算机往往容易发生单点故障（如针对中心分析系统的攻击）。另外，对现有的系统进

12、行用户的增容（如网中心分析系统的攻击）。另外，对现有的系统进行用户的增容（如网络的扩展，通信数据量的加大）是很困难的。络的扩展，通信数据量的加大）是很困难的。(2)由于数据的集中存储，在大规模的分布式网络中，有可能因为单个由于数据的集中存储，在大规模的分布式网络中，有可能因为单个点的失败造成整个审计数据的不可用。点的失败造成整个审计数据的不可用。(3)集中式的体系结构，自适应能力差，不能根据环境变化自动更改配集中式的体系结构，自适应能力差，不能根据环境变化自动更改配置。通常，配置的改变和增加是通过编辑配置文件来实现的，往往需置。通常，配置的改变和增加是通过编辑配置文件来实现的，往往需要重新启动

13、系统以使配置生效。要重新启动系统以使配置生效。因此，集中式的体系结构已不能适应高度分布的网络环境。因此，集中式的体系结构已不能适应高度分布的网络环境。集中式安全审计系统体系结构集中式安全审计系统体系结构信息安全审计体系结构信息安全审计体系结构分布式安全审计系统体系结构分布式安全审计系统体系结构分布式安全审计系统实际上包含两层涵义：一是对分布式网络的安全审计，分布式安全审计系统实际上包含两层涵义：一是对分布式网络的安全审计，其二是采用分布式计算的方法，对数据源进行安全审计。其二是采用分布式计算的方法，对数据源进行安全审计。的通信信息，并根据需要将结果报告给中央管理者。的通信信息，并根据需要将结果

14、报告给中央管理者。(3)中央管理者模块。中央管理者模块。接收包括来自局域网监视器和主机代理的数据和报告，接收包括来自局域网监视器和主机代理的数据和报告，控制整个系统的通信信息，对接收到的数据进行分析。控制整个系统的通信信息，对接收到的数据进行分析。相对于集中式结构，它有以下优点相对于集中式结构，它有以下优点:(1) 扩展能力强；扩展能力强；(2) 容错能力强容错能力强 (3) 兼容性强兼容性强 (4) 适应性强。适应性强。它由三部分组成：它由三部分组成：（1）主机代理模块主机代理模块。主机代理模块是部。主机代理模块是部署在受监视主机上，并作为后台进程运行署在受监视主机上，并作为后台进程运行的审

15、计信息收集模块。的审计信息收集模块。2）局域网监视器代理模块局域网监视器代理模块局域网监视器代理模块是部署在受监视的局域网监视器代理模块是部署在受监视的局域网上，用以收集并对局域网上的行为局域网上，用以收集并对局域网上的行为进行审计的模块，主要分析局域网网上的进行审计的模块，主要分析局域网网上的信息安全审计信息安全审计3 安全审计的一般流程安全审计的一般流程信息安全审计流程信息安全审计流程 事件采集设备通过硬件或软件代理对客体进行事件采集，并事件采集设备通过硬件或软件代理对客体进行事件采集，并将采集到的事件发送至事件辨别与分析器进行事件辨别与分析，将采集到的事件发送至事件辨别与分析器进行事件辨

16、别与分析，策略定义的危险事件，发送至报警处理部件，进行报警或响应。策略定义的危险事件，发送至报警处理部件，进行报警或响应。对所有需产生审计信息的事件，产生审计信息，并发送至结果汇对所有需产生审计信息的事件，产生审计信息，并发送至结果汇总，进行数据备份或报告生成。总，进行数据备份或报告生成。信息安全审计流程信息安全审计流程 1 策略定义策略定义安全审计应在一定的审计策略下进行，审计策略规定哪些信息需要采集、哪安全审计应在一定的审计策略下进行，审计策略规定哪些信息需要采集、哪些事件是危险事件、以及对这些事件应如何处理等。因而审计前应制定一定些事件是危险事件、以及对这些事件应如何处理等。因而审计前应

17、制定一定的审计策略，并下发到各审计单元。在事件处理结束后，应根据对事件的分的审计策略，并下发到各审计单元。在事件处理结束后，应根据对事件的分析处理结果来检查策略的合理性，必要时应调整审计策略。析处理结果来检查策略的合理性，必要时应调整审计策略。2 事件采集事件采集包含以下行为：包含以下行为：a)按照预定的审计策略对客体进行相关审计事件采集。形成的结果交由事件按照预定的审计策略对客体进行相关审计事件采集。形成的结果交由事件后续的各阶段来处理；后续的各阶段来处理；b)将事件其他各阶段提交的审计策略分发至各审计代理，审计代理依据策略将事件其他各阶段提交的审计策略分发至各审计代理，审计代理依据策略进行

18、客体事件采集。进行客体事件采集。信息安全审计流程信息安全审计流程3 事件分析事件分析包含以下行为：包含以下行为： a）按照预定策略，对采集到事件进行事件辨析，决定：）按照预定策略，对采集到事件进行事件辨析，决定：1)忽略该事件；忽略该事件；2)产生产生审计信息；审计信息；3)产生审计信息并报警；产生审计信息并报警；4)产生审计信息且进行响应联动。产生审计信息且进行响应联动。b）按照用户定义与预定策略，将事件分析结果生成审计记录，并形成审计报告；）按照用户定义与预定策略，将事件分析结果生成审计记录，并形成审计报告；4 事件响应事件响应包含以下行为：包含以下行为：a)对事件分析阶段产生的报警信息、

19、响应请求进行报警与响应；对事件分析阶段产生的报警信息、响应请求进行报警与响应；b)按照预定策略，生成审计记录，写入审计数据库，并将各类审计分析报告发按照预定策略，生成审计记录，写入审计数据库，并将各类审计分析报告发送到指定的对象；送到指定的对象；c)照预定策略对审计记录进行备份；照预定策略对审计记录进行备份；5 结果汇总结果汇总主要包含以下行为：主要包含以下行为：a)将各类审计报告进行分类汇总；将各类审计报告进行分类汇总；b)对审计结果进行适当的统计分析，形成分析报告；对审计结果进行适当的统计分析，形成分析报告；c)根据用户需求和事件分析处理结果形成审计策略修改意见。根据用户需求和事件分析处理

20、结果形成审计策略修改意见。信息安全审计信息安全审计4 安全审计的分析方法安全审计的分析方法信息安全审计分析方法信息安全审计分析方法1. 基于规则库的安全审计方法基于规则库的安全审计方法 基于规则库的安全审计方法就是将已知的攻击行为进行特基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放入规则库中，征提取，把这些特征用脚本语言等方法进行描述后放入规则库中，当进行安全审计时，将收集到的审核数据与这些规则进行某种比当进行安全审计时，将收集到的审核数据与这些规则进行某种比较和匹配操作较和匹配操作(关键字、正则表达式、模糊近似度等关键字、正则表达式、模糊近似

21、度等)，从而发现，从而发现可能的网络攻击行为。可能的网络攻击行为。 基于规则库的安全审计方法有其自身的局限性。对于某些基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击行为，该技术的效果非常之好特征十分明显的网络攻击行为，该技术的效果非常之好;但是对但是对于其他一些非常容易产生变种的网络攻击行为，规则库就很难用于其他一些非常容易产生变种的网络攻击行为，规则库就很难用完全满足要求了。完全满足要求了。信息安全审计分析方法信息安全审计分析方法2. 基于数理统计的安全审计方法基于数理统计的安全审计方法 数理统计方法就是首先给对象创建一个统计量的描述，比如数理统计方法就是首先给对象

22、创建一个统计量的描述，比如一个网络流量的平均值、方差等等，统计出正常情况下这些特征一个网络流量的平均值、方差等等，统计出正常情况下这些特征量的数值，然后用来对实际网络数据包的情况进行比较，当发现量的数值，然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生。实际值远离正常数值时，就可以认为是潜在的攻击发生。 但是，数理统计的最大问题在于如何设定统计量的但是，数理统计的最大问题在于如何设定统计量的“阀值阀值”，也就是正常数值和非正常数值的分界点，这往往取决于管理员的也就是正常数值和非正常数值的分界点，这往往取决于管理员的经验，不可避免产生误报和漏报。经验

23、，不可避免产生误报和漏报。信息安全审计分析方法信息安全审计分析方法3 基于日志数据挖掘的安全审计方法基于日志数据挖掘的安全审计方法 与传统的网络安全审计系统相比，基于数据挖掘的网络安全与传统的网络安全审计系统相比，基于数据挖掘的网络安全审计系统有检测准确率高、速度快、自适应能力强等优点。审计系统有检测准确率高、速度快、自适应能力强等优点。 带有学习能力的数据挖掘方法己经在一些安全审计系统中得带有学习能力的数据挖掘方法己经在一些安全审计系统中得到了应用，它的主要思想是从系统使用或网络通信的到了应用，它的主要思想是从系统使用或网络通信的“正常正常”数数据中发现系统的据中发现系统的“正常正常”运行模

24、式，并和常规的一些攻击规则库运行模式，并和常规的一些攻击规则库进行关联分析，并用以检测系统攻击行为。进行关联分析，并用以检测系统攻击行为。信息安全审计分析方法信息安全审计分析方法4 其它安全审计方法其它安全审计方法 安全审计是根据收集到的关于己发生事件的各种数据来发现安全审计是根据收集到的关于己发生事件的各种数据来发现系统漏洞和入侵行为，能为追究造成系统危害的人员责任提供证系统漏洞和入侵行为，能为追究造成系统危害的人员责任提供证据，是一种事后监督行为。入侵检测是在事件发生前或攻击事件据，是一种事后监督行为。入侵检测是在事件发生前或攻击事件正在发生过程中，利用观测到的数据，发现攻击行为。两者的目

25、正在发生过程中，利用观测到的数据，发现攻击行为。两者的目的都是发现系统入侵行为，只是入侵检测要求有更高的实时性，的都是发现系统入侵行为，只是入侵检测要求有更高的实时性，因而安全审计与入侵检测两者在分析方法上有很大的相似之处，因而安全审计与入侵检测两者在分析方法上有很大的相似之处，入侵检测分析方法多能应用与安全审计。入侵检测分析方法多能应用与安全审计。信息安全审计信息安全审计5 安全审计的数据源安全审计的数据源信息安全审计数据源信息安全审计数据源 对于安全审计系统而言，输入数据的选择是首先对于安全审计系统而言，输入数据的选择是首先需要解决的问题，而安全审计的数据源，可以分为三需要解决的问题，而安

26、全审计的数据源，可以分为三类：基于主机、基于网络和其他途径。类：基于主机、基于网络和其他途径。信息安全审计数据源信息安全审计数据源1 基于主机的数据源基于主机的数据源(1)操作系统的审计记录操作系统的审计记录操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，如用户进程所调用的系统调用类型以其目的是记录当前系统的活动信息，如用户进程所调用的系统调用类型以及执行的命令行等，并将这些信息按照时间顺序组织为一个或多个审计文及执行的命令行等，并将这些信息按照时间顺序组织为一个或多个审计文件。件。

27、(2)系统日志系统日志日志分为操作系统日志和应用程序日志两部分。操作系统日志与主机的信日志分为操作系统日志和应用程序日志两部分。操作系统日志与主机的信息源相关，是使用操作系统日志机制生成的日志文件的总称；应用程序日息源相关，是使用操作系统日志机制生成的日志文件的总称；应用程序日志是有应用程序自己生成并维护的日志文件的总称。志是有应用程序自己生成并维护的日志文件的总称。(3)应用程序日志信息应用程序日志信息操作系统审计记录和系统日志都属于系统级别的数据源信息，通常由操作操作系统审计记录和系统日志都属于系统级别的数据源信息，通常由操作系统及其标准部件统一维护，是安全审计优先选用的输入数据源。随着计

28、系统及其标准部件统一维护，是安全审计优先选用的输入数据源。随着计算机网络的分布式计算架构的发展，对传统的安全观念提出了挑战。一方算机网络的分布式计算架构的发展，对传统的安全观念提出了挑战。一方面，系统设计的日益复杂，使管理者无法单纯从内核底层级别的数据源来面，系统设计的日益复杂，使管理者无法单纯从内核底层级别的数据源来分析判断系统活动的情况。另一方面，网络化计算环境的普及，导致入侵分析判断系统活动的情况。另一方面，网络化计算环境的普及，导致入侵攻击行为的目标日益集中于提供网络服务的特定应用程序，攻击行为的目标日益集中于提供网络服务的特定应用程序，信息安全审计数据源信息安全审计数据源2 基于网络

29、的数据源基于网络的数据源随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。传输的数据。采用网络数据具有以下优势：采用网络数据具有以下优势：(1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，不会对目标监控系统的运行性能产生任何影响，而且通常无需改变原据，不会对目标监控系统的运行性能产生任何影响，而且

30、通常无需改变原有的结构和工作方式。有的结构和工作方式。(2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到攻击的概率。到攻击的概率。(3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和大量误用数据包的包和大量误用数据包的DOS攻击等。攻击等。(4)网络数据包的标准化程度，比主机数据源来说要高得多，网络数据包的

31、标准化程度，比主机数据源来说要高得多，信息安全审计数据源信息安全审计数据源5.5.2 基于网络的数据源基于网络的数据源随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。的数据。采用网络数据具有以下优势：采用网络数据具有以下优势：(1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，不会对目标监

32、控系统的运行性能产生任何影响，而且通常无需改变原有的结不会对目标监控系统的运行性能产生任何影响，而且通常无需改变原有的结构和工作方式。构和工作方式。(2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到攻击的概率。攻击的概率。(3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和大量误用数据包的大量误用数据

33、包的DOS攻击等。攻击等。(4)网络数据包的标准化程度，比主机数据源来说要高得多，网络数据包的标准化程度，比主机数据源来说要高得多，5.5.3 其它数据源其它数据源(1)来自其它安全产品的数据源来自其它安全产品的数据源(2)来自网络设备的数据源来自网络设备的数据源(3)带外数据源带外数据源信息安全审计数据源信息安全审计数据源3 其它数据源其它数据源(1)来自其它安全产品的数据源来自其它安全产品的数据源(2)来自网络设备的数据源来自网络设备的数据源(3)带外数据源带外数据源信息安全审计信息安全审计6 信息安全审计与标准信息安全审计与标准信息安全标准信息安全标准1 TCSES对于审计子系统的要求对

34、于审计子系统的要求 TCSEC 的的A1和和A1+两个级别较两个级别较B3级没有增加任何安全审计级没有增加任何安全审计特征，从特征，从C2级的各级别都要求具有审计功能，而级的各级别都要求具有审计功能，而B3级提出了关级提出了关于审计的全部功能要求。因此，于审计的全部功能要求。因此，TCSEC共定义了四个级别的审共定义了四个级别的审计要求计要求:C2、B1、B2、B3。 C2级级要求审计以下事件要求审计以下事件:用户的身份标识和鉴别、用户地址用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员空间中客体的引入和删除、计算机操作员/系统管理员系统管理员/安全管理安全管理员的行为、其它

35、与安全有关的事件。员的行为、其它与安全有关的事件。 B1级级相对于相对于C2级增加了以下需要审计的事件级增加了以下需要审计的事件:对于可以输出对于可以输出到硬拷贝设备上的人工可读标志的修改（包括敏感标记的覆写和到硬拷贝设备上的人工可读标志的修改（包括敏感标记的覆写和标记功能的关闭）、对任何具有单一安全标记的通讯通道或标记功能的关闭）、对任何具有单一安全标记的通讯通道或I/O设备的标记指定、对具有多个安全标记的通讯通道或设备的标记指定、对具有多个安全标记的通讯通道或I/O设备的设备的安全标记范围的修改。安全标记范围的修改。 B3级级在在B2级的功能基础上，增加了对可能将要违背系统安级的功能基础上

36、，增加了对可能将要违背系统安全政策这类事件的审计，比如对于时间型隐蔽通道的利用。全政策这类事件的审计，比如对于时间型隐蔽通道的利用。 B2级级的安全功能要求较之的安全功能要求较之B1级增加了可信路径和隐蔽通道级增加了可信路径和隐蔽通道分析等，因此，除了分析等，因此，除了B1级的审计要求外，对于可能被用于存储级的审计要求外，对于可能被用于存储型隐蔽通道的活动，在型隐蔽通道的活动，在B2级也要求被审计。级也要求被审计。信息安全标准信息安全标准2 CC中的安全审计功能需求中的安全审计功能需求 CC是美国、加拿大、英国、法国、德国、荷兰等国家联合是美国、加拿大、英国、法国、德国、荷兰等国家联合提出的信

37、息安全评价标准，在提出的信息安全评价标准，在1999年通过国际标准化组织认可，年通过国际标准化组织认可，成为信息安全评价国际标准。成为信息安全评价国际标准。CC标准基于安全功能与安全保证标准基于安全功能与安全保证措施相独立的观念，在组织上分为基本概念、安全功能需求和安措施相独立的观念，在组织上分为基本概念、安全功能需求和安全保证需求三大部分。全保证需求三大部分。CC中，安全需求都以类、族、组件的层中，安全需求都以类、族、组件的层次结构形式进行定义次结构形式进行定义.信息安全标准信息安全标准3 17859对安全审计的要求对安全审计的要求 我国的信息安全国家标准我国的信息安全国家标准GB 1785

38、9-1999计算机信息系统计算机信息系统安全保护等级划分准则安全保护等级划分准则定义了五个安全等级，从第二级定义了五个安全等级，从第二级“系统系统审计保护级审计保护级”开始有了对审计的要求，它规定计算机信息系统可开始有了对审计的要求，它规定计算机信息系统可信计算基（信计算基（TCB）可以记录以下事件：使用身份鉴别机制；将客）可以记录以下事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其

39、它与系统安全相关的事件。第三级以及其它与系统安全相关的事件。第三级“安全标记保护级安全标记保护级”在在第二级的基础上，要求对于客体的增加和删除这类事件要在审计第二级的基础上，要求对于客体的增加和删除这类事件要在审计记录中增加对客体安全标记的记录。另外，记录中增加对客体安全标记的记录。另外，TCB也要审计对可读也要审计对可读输出记号（如输出文件的安全标记）的更改这类事件。第四级输出记号（如输出文件的安全标记）的更改这类事件。第四级“结构化保护级结构化保护级”的审计功能要求与第三级相比，增加了对可能的审计功能要求与第三级相比，增加了对可能利用存储型隐蔽通道的事件进行审计的要求。利用存储型隐蔽通道的

40、事件进行审计的要求。 第五级第五级“访问验证保护级访问验证保护级”在第四级的基础上，要求在第四级的基础上，要求TCB能能够监控可审计安全事件的发生与积累，当（这类事件的发生或积够监控可审计安全事件的发生与积累，当（这类事件的发生或积累）超过预定阈值时，累）超过预定阈值时，TCB能够立即向安全管理员发出警报。并能够立即向安全管理员发出警报。并且，如果这些事件继续发生，系统应以最小的代价终止它们。且，如果这些事件继续发生，系统应以最小的代价终止它们。信息安全标准信息安全标准4 信息系统安全审计产品技术要求信息系统安全审计产品技术要求1. 安全审计产品分类安全审计产品分类技术规范将安全审计产品分为专

41、用型和综合型两类。专用型是指对主机、服务器、技术规范将安全审计产品分为专用型和综合型两类。专用型是指对主机、服务器、网络、数据库管理系统、其它应用系统等客体采集对象其中一类进行审计，并对网络、数据库管理系统、其它应用系统等客体采集对象其中一类进行审计，并对审计事件进行分析和响应的安全审计产品。审计事件进行分析和响应的安全审计产品。2.安全功能要求安全功能要求技术规范分为审计踪迹、审计数据保护、安全管理、标识和鉴别、产品升级、监技术规范分为审计踪迹、审计数据保护、安全管理、标识和鉴别、产品升级、监管要求等六个方面给出了详细的安全功能要求，其中每个功能还有更细致、可测管要求等六个方面给出了详细的安

42、全功能要求，其中每个功能还有更细致、可测试的安全子功能描述。试的安全子功能描述。3.自身安全要求自身安全要求 技术规范对安全审计产品自身安全也作出了明确的要求，分别包括：自身审计技术规范对安全审计产品自身安全也作出了明确的要求，分别包括：自身审计数据生成、自身安全审计记录独立存放、审计代理安全、产品卸载安全、系统时数据生成、自身安全审计记录独立存放、审计代理安全、产品卸载安全、系统时间同步、管理信息传输安全、系统部署安全、审计数据安全等。间同步、管理信息传输安全、系统部署安全、审计数据安全等。4.性能要求性能要求信息系统安全审计产品的性能要求是指信息系统安全审计产品的性能要求是指 (1)稳定性

43、稳定性;(2)资源占用：软件代理的运资源占用：软件代理的运行对宿主机资源（如行对宿主机资源（如CPU、内存空间和存储空间），不应长时间固定或无限制占、内存空间和存储空间），不应长时间固定或无限制占用用 (4)产品应有足够的吞吐量产品应有足够的吞吐量.5.保证要求保证要求技术规范还对产品及开发者提出了若干产品保证方面的要求技术规范还对产品及开发者提出了若干产品保证方面的要求.信息安全审计信息安全审计7 计算机取证计算机取证计算机取证计算机取证 计算机取证的发展历程计算机取证的发展历程 美国是开展电子证据检验和研究工作最早的国家之一。美国是开展电子证据检验和研究工作最早的国家之一。1989年年FB

44、I实验室开始了电子证据检验研究，并成立了专门从事实验室开始了电子证据检验研究，并成立了专门从事电子证据检验的部门（电子证据检验的部门（CART）。每名检验人员除了具有专业基）。每名检验人员除了具有专业基础外，还必须经过础外，还必须经过FBI 组织的七周以上的专门培训，包括刑事技组织的七周以上的专门培训，包括刑事技术检验基础、电子技术检验技术和有关法律知识，每年还要对检术检验基础、电子技术检验技术和有关法律知识，每年还要对检验人员进行一定的新技术培训。美国的这种做法后来被许多其他验人员进行一定的新技术培训。美国的这种做法后来被许多其他国家的执法机构效仿。国家的执法机构效仿。 为了适应当前形势，推

45、动电子证据鉴定工作的开展，我国有为了适应当前形势，推动电子证据鉴定工作的开展，我国有关机构在充实计算机技术力量和设备的基础上，适应新时期公安关机构在充实计算机技术力量和设备的基础上，适应新时期公安工作的实际需要，从工作的实际需要，从1999 年开始对电子证据检验技术进行研究，年开始对电子证据检验技术进行研究，2001 年开始开展电子证据检验鉴定工作。年开始开展电子证据检验鉴定工作。计算机取证计算机取证2 什么是计算机取证什么是计算机取证计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的

46、方式，进行识别、保存、分析和提交数字证硬件技术，按照符合法律规范的方式，进行识别、保存、分析和提交数字证据的过程。据的过程。3 计算机取证流程计算机取证流程计算机取证的一般步骤应由以下几个部分组成。计算机取证的一般步骤应由以下几个部分组成。保护目标计算机系统保护目标计算机系统电子证据的确定电子证据的确定电子证据的收集电子证据的收集电子证据的保护电子证据的保护电子证据的分析电子证据的分析归档归档 在处理电子证据的过程中，为保证数据的可信度，必须确保在处理电子证据的过程中，为保证数据的可信度，必须确保“证据链证据链”的完整性即证据保全，对各个步骤的情况进行归档，包括收集证据的地点、的完整性即证据保

47、全，对各个步骤的情况进行归档，包括收集证据的地点、日期、时间和人员、方法及理由等，以使证据经得起法庭的质询。日期、时间和人员、方法及理由等，以使证据经得起法庭的质询。计算机取证计算机取证4 计算机取证相关技术计算机取证相关技术（1）电子证据监测技术）电子证据监测技术电于数据的监测技术就是要监测各类系统设备以及存储介质中的电电于数据的监测技术就是要监测各类系统设备以及存储介质中的电子数据，分析是否存在可作为证据的电子数据，涉及到的技术大体子数据，分析是否存在可作为证据的电子数据，涉及到的技术大体有事件犯罪监测、异常监测（有事件犯罪监测、异常监测（Anomalous Detection）、审计日）

48、、审计日志分析等。志分析等。（2）物理证据获取技术）物理证据获取技术依据电子证据监测技术，当计算机取证系统监测到有入侵时，应当依据电子证据监测技术，当计算机取证系统监测到有入侵时，应当立即获取物理证据，它是全部取证工作的基础，在获取物理证据时立即获取物理证据，它是全部取证工作的基础，在获取物理证据时最重要的工作是保证所保存的原始证据不受任何破坏。最重要的工作是保证所保存的原始证据不受任何破坏。（3）电子证据收集技术）电子证据收集技术电子数据收集技术是指遵照授权的方法，使用授权的软硬件设备，电子数据收集技术是指遵照授权的方法，使用授权的软硬件设备，将己收集的数据进行保全，并对数据进行一些预处理，

49、然后完整安将己收集的数据进行保全，并对数据进行一些预处理，然后完整安全的将数据从目标机器转移到取证设备上。全的将数据从目标机器转移到取证设备上。计算机取证计算机取证（4）电子证据保全技术。在取证过程中，应对电子证据及）电子证据保全技术。在取证过程中，应对电子证据及整套的取证机制进行保护。整套的取证机制进行保护。（5）电子证据处理及鉴定技术）电子证据处理及鉴定技术 指对己收集的电子数据证据进行过滤、模式匹配、隐藏数指对己收集的电子数据证据进行过滤、模式匹配、隐藏数据挖掘等的预处理工作，并在预处理的基础上，对处理过的据挖掘等的预处理工作，并在预处理的基础上，对处理过的数据进行数据统计、数据挖掘等分

50、析工作，试图对攻击者的数据进行数据统计、数据挖掘等分析工作，试图对攻击者的攻击时间、攻击目标、攻击者身份、攻击意图、攻击手段以攻击时间、攻击目标、攻击者身份、攻击意图、攻击手段以及造成的后果给出明确并且符合法律规范的说明。及造成的后果给出明确并且符合法律规范的说明。（6）电子证据提交技术）电子证据提交技术依据法律程序，以法庭可接受的证据形式提交电子证据及相依据法律程序，以法庭可接受的证据形式提交电子证据及相应的文档说明。把对目标计算机系统的全面分析和追踪结果应的文档说明。把对目标计算机系统的全面分析和追踪结果进行汇总，然后给出分析结论。进行汇总，然后给出分析结论。4 计算机取证相关技术计算机取