网络安全理论及技术15-安全审计课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络安全理论及技术15-安全审计课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 理论 技术 15 安全 审计 课件
- 资源描述:
-
1、 -安全审计与日志分析安全审计与日志分析目 录专业安全审计系统体系结构分析网络信息系统安全审计综述审计与日志分析审计结果分析安全审计系统的必要性一旦我们采用的防御体系被突破怎么办?至少我们必须知道:n系统是怎样遭到攻击的,这样才能恢复系统,n此外我们还要知道系统存在什么漏洞n如何能使系统在受到攻击时有所察觉n如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的,它相当于飞机上使用的“黑匣子”。 安全审计系统的必要性(续)在TCSEC和CC等安全认证体系中,网络安全审计的功能都是放在首要位置的,它是评判一个系统是否真正安全的重要尺码。nTCSEC标准是计算机系统安全评估的第一个
2、正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。主要关注于保密性,不关注可用性和完整性。n欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)后,美国又联合以上诸国和加拿大,并会同国际标准化组织(ISO)共同提出信息技术安全评价的通用准则(CC for ITSEC),CC已经被五技术发达的国家承认为代替TCSEC的评价安全信息系统的标准。目前,CC已经被采纳为国际标准ISO 15408。安全审计系统的必要性(续)因此在一个安全网络系统中的安全审计功能是必不可少的一部分。网络安全审计系
3、统能帮助我们n对网络安全进行实时监控,n及时发现整个网络上的动态,n发现网络入侵和违规行为,n忠实记录网络上发生的一切,n提供取证手段。它是保证网络安全十分重要的一种手段。 CC标准中的网络安全审计功能定义 网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。n1996 年六国七方签署了信息技术安全评估通用准则即 CC1.0。 1998 年美国、英国、加拿大、法国和德国共同签署了【信息技术安全性评估通用准则2.0版】(即 CC2.0)。1999 年成为国际标准 ISO/IEC 15408,我国于 2001 年等同采用为 GB/T 18336。目前它已被广泛地用于评估一个系统的安全性
4、。在这个标准中对网络审计定义了一套完整的功能,有:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。 安全审计自动响应安全审计自动响应 安全审计自动响应定义在被测事件指示出一个潜在的安全攻击时作出的响应,它是管理审计事件的需要,这些需要包括报警或行动,例如包括实时报警的生成、违例进程的终止、中断服务、用户帐号的失效等。根据审计事件的不同系统将作出不同的响应。其响应方式可作增加、删除、修改等操作。 安全审计数据生成安全审计数据生成 该功能要求记录与安全相关事件的出现,包括鉴别审计层次、列举可被审计的事件类型、以及鉴别由各种审计记录类型提供的相关
5、审计信息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。 产生的审计数据有以下几方面 对于敏感数据项(例如,口令通行字等)的访问目标对象的删除访问权限或能力的授予和废除改变主体或目标的安全属性标识定义和用户授权认证功能的使用审计功能的启动和关闭 每一条审计记录中至少应所含以下信息:事件发生的日期、时间、事件类型、主题标识、执行结果(成功、失败) 、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。 安全审计分析安全审计分析 此部分功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应
6、。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。 安全审计分析类型安全审计分析类型潜在攻击分析基于模板的异常检测简单攻击试探复杂攻击试探安全审计分析类型(续)安全审计分析类型(续)潜在攻击分析:系统能用一系列的规则监控审计事件,并根据这些规则指示系统的潜在攻击;基于模板的异常检测:检测系统不同等级用户的行动记录,当用户的活动等级超过其限定的登记时,应指示出此为一个潜在的攻击;安全审计分析类型(续)安全审计分析类型(续)简单攻击试探:当发现一个系统事件与一个表示对系统潜在攻击的签名事件匹配时,应指示出此为一
7、个潜在的攻击;复杂攻击试探:当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的签名事件匹配时,应指示出此为一个潜在的攻击。安全审计浏览安全审计浏览 该功能要求审计系统能够使授权的用户有效地浏览审计数据。包括:审计浏览、有限审计浏览、可选审计浏览。审计浏览 提供从审计记录中读取信息的服务;有限审计浏览 要求除注册用户外,其他用户不能读取信息;可选审计信息 要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。安全审计事件选择安全审计事件选择 系统能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计,例如:与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性。系统管理员
8、将能够有选择地在个人识别的基础上审计任何一个用户或多个用的动作。 安全审计事件存储安全审计事件存储 系统将提供控制措施以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。 安全审计事件存储(续)安全审计事件存储(续)它可保证某个指定量度的审计记录被维护,并不受以下事件的影响:审计存储用尽;审计存储故障; 非法攻击;其他任何非预期事件。 系统能够在审计存储发生故障时采取相应的动作,能够在审计存储即将用尽时采取相应的动作。 网络安全审计层次结构图网络安全审计层次结构图 网络层审计网络层审
9、计系统层审计系统层审计应用层审计应用层审计TCP/IP、ATMUNIX、Windows 9x/NT、ODBC审计总控审计总控CA发证操作发证操作主页更新监视主页更新监视安全审计系统体系结构示意图安全审计系统体系结构示意图 Ethernet 2FDDIEthernet 1装有审计软件服务器审计设备要保护的工作站要保护的网络服务器移动工作站数据库服务器DBX.25审计中心控制台 2控制台 1审计设备广域网 安全安全审计系统的典型配置示意图审计系统的典型配置示意图 Mail Server DNS Server DB Server Application Server Work station 路由器
10、路由器 防火墙防火墙 审计设备审计设备 1 审计设备审计设备 2 审计软件审计软件Agent 服务网服务网 内部网内部网 Application Server Web Server Search Server 审计中心审计中心 审计与日志分析审计与日志分析的参考标准防火墙和路由器等网络和网络安全设备日志通用操作系统日志日志过滤可疑的活动分析审计结果参考审计执行过程建立设计报告库安全审计和安全标准建议性审计解决方案建议审计执行过程为了能够确定安全策略和实施情况的差距,建议采用特定方法继续进行有效的审计;抵御和清除病毒,蠕虫和木马,修补系统漏洞;建议改善和增强如下内容:重新配置路由器;添加和重新配
11、置防火墙规则;升级操作系统补丁类型;升级已有的和不安全的服务;加强网络审核;自动实施和集中管理网络内部和边界安全;建议改善和增强如下内容(续)增加入侵检测和网络监控产品;增强物理安全;加强反病毒扫描;加强用户级别的加密;删除不必要的用户账号,程序和服务; 等等具体改善建议防火墙保证访问控制规则为最小、正确和有效的设置;保证NAT、冲定向等为最小、正确和有效设置;扫描DMZ区域内有问题的主机和服务器。入侵检测随时升级和更新入侵检测系统的规则;识别需要检测的内容。主机和个人安全实施用户级别的加密;在单个客户端上安装“个人防火墙”来锁定端口和减小风险。强制实施安全策略安装监视软件,如Axrent的企
12、业级安全管理器;对物理安全进行有规律的审计。建议设计审计报告库在安全审计报告中应该包括:总体评价现在的安全级别:你应该给出低、中、高的结论,包括你监视的网络设备的简要评价(例如:大型机、路由器、NT系统、UNIX系统等等);对偶然的、有经验的和专家级的黑客入侵系统作出时间上的估计;简要总结出你的最重要的建议;在安全审计报告中应该包括(续)详细列举你在审计过程中的步骤:此时可以提及一些在侦查、渗透和控制阶段你发现的有趣问题;对各种网络元素提出建议,包括路由器、端口、服务、登陆账户、物理安全等等;讨论物理安全:许多网络对重要设备的摆放都不注意。例如,有的公司把文件服务器置于接待台的桌子后,一旦接待
13、人员离开,则服务器便暴露在网络攻击下。有一次,安全设计人员抱着机器离开,安全守卫还帮了忙;安全审计领域内使用的术语。在安全审计报告中应该包括(续)最后,记着递交你的审计报告。因为安全审计涉及了商业和技术行为,所以应该把你的报告递交给两方面的负责人。如果你采用电子邮件的方式递交报告,最好对报告进行数字签名和加密。持续审计的可以采取的有效步骤定义安全策略建立对特定任务负责的内部组织对网络资源进行分类为雇员建立安全指导确保个人和网络系统的物理安全保障网络主机的服务和操作系统安全持续审计的可以采取的有效步骤加强访问控制机制建立和维护系统确保网络满足商业目标保持安全策略的一致性重复的过程安全审计和安全标
展开阅读全文