安全審計(jì)的基礎(chǔ)知識(29張)課件

1、*第1頁，共31頁。安全審計(jì)審計(jì)技術(shù)出現(xiàn)在計(jì)算機(jī)技術(shù)之前，是產(chǎn)生和記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄過程。安全審計(jì)是計(jì)算機(jī)和網(wǎng)絡(luò)安全的重要組成部分。安全審計(jì)提供的功能服務(wù)于直接和間接兩方面的安全目標(biāo)：1.直接的安全目標(biāo)包括跟蹤和監(jiān)測系統(tǒng)中的異常事件2.間接的安全目標(biāo)是檢測系統(tǒng)中其他安全機(jī)制的運(yùn)行 情況和可信度第2頁，共31頁。審計(jì)的目標(biāo)確定和保持系統(tǒng)活動中每個(gè)人的責(zé)任確認(rèn)重建事件的發(fā)生 評估損失監(jiān)測系統(tǒng)問題區(qū)提供有效的災(zāi)難恢復(fù)依據(jù)提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù)提供案件偵破證據(jù)安全審計(jì)系統(tǒng)的目標(biāo)至少要包括以下幾個(gè)方面：第3頁，共31頁。審計(jì)系統(tǒng)的組成第4頁，共31頁。日志記錄的原則 在理想

2、情況下，日志應(yīng)該記錄每個(gè)可能的事件，以便分析發(fā)生的所有事件，并恢復(fù)任何時(shí)刻進(jìn)行的歷史情況。但這樣存儲量過大，并且將嚴(yán)重影響系統(tǒng)的性能。因此。日志的內(nèi)容應(yīng)該是有選擇的。一般情況下日志的記錄應(yīng)該滿足如下的原則：（1） 日志應(yīng)該記錄任何必要的事件，以檢測已知的攻擊模式。（2） 日志應(yīng)該記錄任何必要的事件，以檢測異常的攻擊模式。（3） 日志應(yīng)該記錄關(guān)于記錄系統(tǒng)連續(xù)可靠工作的信息。第5頁，共31頁。日志的內(nèi)容審計(jì)功能的啟動和關(guān)閉使用身份鑒別機(jī)制將客體引入主體的地址空間刪除客體管理員、安全員、審計(jì)員和一般操作人員的操作其他專門定義的可審計(jì)事件 日志系統(tǒng)根據(jù)安全要求記錄上面事件的部分或全部。通常，對于一個(gè)事

3、件，日志應(yīng)包括事件發(fā)生的日期和時(shí)間、引發(fā)事件的用戶（地址）事件、和源目的的位置、事件類型、事件成敗等。第6頁，共31頁。記錄機(jī)制 不同的系統(tǒng)可采用不同的機(jī)制記錄日志。但大多情況可用系統(tǒng)調(diào)用Syslog來記錄日志，也可用SNMP記錄。下面簡單介紹下Syslog： Syslog由Syslog守護(hù)程序、Syslog規(guī)則集及Syslog系統(tǒng)調(diào)用三部分組成，如下圖：第7頁，共31頁。安全審計(jì)分析（1）潛在侵害分析：日志分析應(yīng)能用一些規(guī)則去監(jiān)控審計(jì)事件，并根據(jù)規(guī)則發(fā)現(xiàn)潛在的入侵。（2）基于異常檢測的輪廓：確定正常行為輪廓，當(dāng)日志中的事件違反它或超出他的一定門限，能指出將要發(fā)生的威脅。（3）簡單攻擊探測：對

4、重大威脅特征有明確描述，當(dāng)攻擊現(xiàn)象出現(xiàn)，能及時(shí)指出。（4）復(fù)雜攻擊檢測：要求高的日志分析系統(tǒng)還應(yīng)能檢測到多部入侵序列，當(dāng)攻擊序列出現(xiàn)，能預(yù)測其發(fā)生的步驟。日志分析就是在日志中尋找模式，其主要內(nèi)容：第8頁，共31頁。審計(jì)事件查閱 由于審計(jì)系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。審計(jì)系統(tǒng)的安全性主要是查閱和存儲的安全。 審計(jì)事件的查閱應(yīng)該受到嚴(yán)格的限制，不能篡改日志。通常通過以下不同的層次來保證查閱的安全。 （1）審計(jì)查閱：審計(jì)系統(tǒng)以可理解的方式為授權(quán)用戶提供查閱日志和分析結(jié)果的功能。 （2）有限審計(jì)查閱：審計(jì)系統(tǒng)只能提供對內(nèi)容的讀權(quán)限，因此應(yīng)拒絕具有讀以外權(quán)限的用

5、戶訪問審計(jì)系統(tǒng)。 （3）可選審計(jì)查閱：在有限審計(jì)查閱的基礎(chǔ)上限制查閱的范圍。第9頁，共31頁。審計(jì)事件存儲 審計(jì)事件的存儲也有安全性的要求，具體有如下幾種情況。 （1）受保護(hù)的審計(jì)蹤跡存儲：即要求存儲系統(tǒng)對日志事件具有防護(hù)功能，防止未授權(quán)的修改和刪除，并具有檢測修改和刪除的能力。 （2）審計(jì)數(shù)據(jù)的可用性保證：在審計(jì)存儲系統(tǒng)遭受意外時(shí)，能防止或檢測審計(jì)記錄的修改，在存儲介質(zhì)存滿或存儲失敗時(shí)，能確保記錄不被破壞。 （3）防止審計(jì)數(shù)據(jù)丟失：在審計(jì)蹤跡超過預(yù)定的門限或記滿時(shí)，應(yīng)采取相應(yīng)的措施防止數(shù)據(jù)丟失。這種措施可以是忽略可審計(jì)事件、只允許記錄有特殊權(quán)限的事件、覆蓋以前記錄、停止工作等等。第10頁，共

6、31頁。安全審計(jì)應(yīng)用實(shí)例第11頁，共31頁。1.NT審計(jì)子系統(tǒng)結(jié)構(gòu) 幾乎Windows NT系統(tǒng)中的每一項(xiàng)事務(wù)都可以在一定程度上被審計(jì)，可以在Explorer和User manager兩個(gè)地方打開審計(jì)。在Explorer中，選擇Security，再選擇Auditing以激活Directory Auditing對話框，系統(tǒng)管理員可以在這個(gè)窗口選擇跟蹤有效和無效的文件訪問。在User manager中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計(jì)策略，如登陸和退出、文件訪問、權(quán)限非法和關(guān)閉系統(tǒng)等。Windows NT使用一種特殊的格式存放它的日志文件，這種各式的文件可以被事件查看器Event

7、 viewer讀取。事件應(yīng)用實(shí)例Windows NT 中的安全審計(jì)第12頁，共31頁。 Windows NT的日志文件很多，但主要是系統(tǒng)日志、安全日志和應(yīng)用日志三個(gè)。這三個(gè)審計(jì)日志是審計(jì)一Windows NT系統(tǒng)的核心。默認(rèn)安裝時(shí)安全日志不打開。 Windows NT中所有可被審計(jì)的事件都存入了其中的一個(gè)日志。（1）Application Log：包括用NT Security authority注冊的應(yīng)用程序產(chǎn)生的信息。（2）Security Log：包括有關(guān)通過NT可識別安全提供者和客戶的系統(tǒng)訪問信息。（3）System Log: 包含所有系統(tǒng)相關(guān)事件的信息。察看器可以在Administra

8、tive tool程序組中找到。系統(tǒng)管理員可以使用事件察看器的Filter選項(xiàng)根據(jù)一定條件選擇要查看的日志條目。查看條件條件包括類別、擁護(hù)和消息類型。1.NT審計(jì)子系統(tǒng)結(jié)構(gòu)第13頁，共31頁。應(yīng)用實(shí)例Windows NT 中的安全審計(jì)2.審計(jì)日志和記錄格式 Windows NT的審計(jì)日志由一系列的事件記錄組成，每一個(gè)事件記錄分為三個(gè)功能部分：頭、事件描述和可選的附加數(shù)據(jù)項(xiàng)。如下表顯示了一個(gè)事件記錄的結(jié)構(gòu)。安全日志的入口通常由頭和事件描述組成。數(shù)據(jù)時(shí)間用戶名計(jì)算機(jī)名事件ID源類型種類可變內(nèi)容,依賴于事件?？梢允箚栴}的文本解釋和糾正措施的建議附加域。如果采用的話，包含可以字節(jié)或字顯示的二進(jìn)制數(shù)據(jù)及

9、事件記錄的源應(yīng)用產(chǎn)生的信息記錄頭事件描述附加數(shù)據(jù)第14頁，共31頁。時(shí)間記錄頭有下列域組成：（1）日期：事件的日期標(biāo)識。（2）時(shí)間：事件的時(shí)間標(biāo)識。（3）用戶名：表識事件是有誰觸發(fā)的。（4）計(jì)算機(jī)名：事件所在的計(jì)算機(jī)名。當(dāng)用戶在整個(gè)企業(yè)范圍內(nèi)集中 安全管理時(shí)，該信息大大簡化了審計(jì)信息的回顧。（5）事件ID：事件類型的數(shù)字標(biāo)識。在事件記錄描述中，這個(gè)域通常被映射 成一個(gè)文本表識（事件名）。 (6) 源：用來響應(yīng)事件紀(jì)錄的軟件。源可以是一個(gè)應(yīng)用程序、一個(gè)系統(tǒng)服務(wù)或一個(gè)設(shè)備驅(qū)動器。（7）類型：事件嚴(yán)重性指示器。在系統(tǒng)和應(yīng)用日志中，類型可以是錯(cuò)誤、警告或信息，按重要性降序排列。（8）種類：觸發(fā)事件類型

10、，主要用在安全日志中指示該類事件的成功 或失敗審計(jì)已經(jīng)被許可。第15頁，共31頁。 3. NT事件日志管理特征 Windows NT提供了大量特征給系統(tǒng)管理員區(qū)管理操作系統(tǒng)事件日志機(jī)制。例如：管理員能限制日志的大小并規(guī)定當(dāng)文檔達(dá)到容量上限時(shí)，如何去處理這些文件。選項(xiàng)包括：用新紀(jì)錄去沖掉最老的紀(jì)錄，停止系統(tǒng)直到事件日志備受共清除。 當(dāng)系統(tǒng)開始運(yùn)行時(shí)，系統(tǒng)和應(yīng)用事件日志也自動開始。當(dāng)日志文件滿并且系統(tǒng)配置規(guī)定它們必須備受共清除時(shí)，日志停止。另一方面，安全事件日志必須由具有管理者權(quán)限的人啟動。利用NT得用戶管理器，可以設(shè)置安全審計(jì)規(guī)則。要啟動安全審計(jì)的功能，只需在規(guī)則菜單下選擇審計(jì)，然后通過察看NT

11、記錄的安全事件日志中的安全性事件，既可以跟蹤所選用戶的操作。第16頁，共31頁。應(yīng)用實(shí)例Windows NT 中的安全審計(jì)4. NT安全日志的審計(jì)策略NT安全日志由審計(jì)策略支配，審計(jì)策略可以通過配置審計(jì)策略對話框中的選項(xiàng)來建立。NT的審計(jì)規(guī)則如下（既可以審計(jì)成功的操作，又可以審計(jì)失敗的操作）：（1）登陸及注銷（2）用戶及組管理（3）文件及對象訪問（4）安全性規(guī)則更改（5）重新啟動、關(guān)機(jī)及系統(tǒng)級事件（6）進(jìn)程追蹤（7）文件和目錄審計(jì)第17頁，共31頁。5.管理和維護(hù)NT審計(jì) 通常情況下，Windows NT 不是將所有的事件都記錄日志，而需要手動啟動審計(jì)的功能。這是首先需要從開始菜單中選擇程序，

12、然后再選擇管理工具。從管理工具紫菜單選擇用戶管理器，顯示出用戶管理起窗口。然后從用戶管理器的菜單中單擊policies(策略)，再單擊audit(審計(jì))，審計(jì)策略窗口就出現(xiàn)了。接著選擇單選框”audit thest events”(審計(jì)這些事件)。最后選擇需要啟動事件的按OK，然后關(guān)閉用戶管理器。值得注意的是在啟動Windows NT的審計(jì)功能時(shí)，需要仔細(xì)選擇審計(jì)的內(nèi)容。第18頁，共31頁。審計(jì)日志將產(chǎn)生大量的數(shù)據(jù)，因此較為合理的方法是首先設(shè)置進(jìn)行簡單審計(jì)，然后在監(jiān)視系統(tǒng)的情況下逐步增加復(fù)雜的審計(jì)要求。當(dāng)需要審查審計(jì)日志以跟蹤網(wǎng)絡(luò)或機(jī)器上的異常事件時(shí)，采用一些第三方提供的工具是一個(gè)叫有效率的選

13、擇。 最后介紹一下Windows NT的三個(gè)日志文件的物理位置。 系統(tǒng)日志：%systemroot%system32configsysevent.evt 安全日志：%systemroot%system32configsecevent.evt 應(yīng)用程序日志：%systemroot%system32configappevent.evt5.管理和維護(hù)NT審計(jì)第19頁，共31頁。Unix/Linux 中的安全審計(jì)Unix存放日志文件最常用的目錄/usr/adm 早期版本的unix/var/adm 較新版本的unix/var/log 用于Solaris,Linix,BSD/etc Unix system

14、 V 早期版本第20頁，共31頁。常的日志文件lastlog 用戶最后一次成功登錄時(shí)間loginlog 不良的登錄嘗試記錄messages 輸出到系統(tǒng)主控臺的消息utmp 當(dāng)前登錄的每個(gè)用戶wtmp 每一次用戶登錄和注銷的歷史信息vold.log 使用外部介質(zhì)出現(xiàn)的錯(cuò)誤xferkig Ftp的存取情況acct 每個(gè)用戶使用過的命令aculog 撥出自動呼叫記錄第21頁，共31頁。應(yīng)用實(shí)例Unix/Linux 中的安全審計(jì)連接時(shí)間日志 連接時(shí)間日志由多個(gè)程序程序執(zhí)行，把記錄寫入到/var/log/wtm和/var/run/utmp中并通過login等程序更新wtmp和utmp文件，使系統(tǒng)管理員能

15、夠跟蹤誰在何時(shí)登錄到系統(tǒng)。第22頁，共31頁。lastlog文件，Unix在lastlog 日志文件中記錄每一個(gè)用戶注冊進(jìn)入系統(tǒng)的最后時(shí)間，在每一次進(jìn)入系統(tǒng)是，系統(tǒng)會顯示這個(gè)信息。告訴用戶和對一下最后注冊進(jìn)入系統(tǒng)的時(shí)間是否正確，若系統(tǒng)顯示的時(shí)間與上次 進(jìn)入系統(tǒng)的時(shí)間不服，說明發(fā)生了非授權(quán)用戶注冊。 連接時(shí)間日志：第23頁，共31頁。loginlog文件，Unix system V版本中可以把不成功的登陸行為記錄在/var/adm/loginlog中。如果某個(gè)入侵者直到一個(gè)系統(tǒng)的用戶名，同時(shí)又想猜出密碼，/var/adm/loginlog就會記錄他的失敗的登陸嘗試。utmp、wtmp和lastl

16、og日志文件是多數(shù)Unix日志系統(tǒng)的關(guān)鍵-記錄用戶的登陸和推出信息。有關(guān)當(dāng)前登陸用戶的信息記錄在utmp中。等和推出記錄在文件wtmp中。最后一次登陸文件可以用lastlog命令察看。數(shù)據(jù)交換和重啟也記錄在wtmp文件中。所有的記錄都包括時(shí)間戳。這些文件（lastlog通常不大）在具有大量用戶的系統(tǒng)中增長十分迅速.wtmp和utmp都是為二進(jìn)制文件，不能被諸如tail命令剪貼或合并（使用cat命令）。用戶可以通過who,w,users,last和ac來使用這兩個(gè)文件包含的信息。 連接時(shí)間日志：第24頁，共31頁。應(yīng)用實(shí)例Unix/Linux 中的安全審計(jì)進(jìn)程統(tǒng)計(jì)日志 進(jìn)程統(tǒng)計(jì)日志由系統(tǒng)內(nèi)核執(zhí)行

17、。當(dāng)一個(gè)進(jìn)程終止時(shí)，系統(tǒng)往進(jìn)程統(tǒng)計(jì)文件中寫一個(gè)記錄。其目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。第25頁，共31頁。 與連接按日志不同，進(jìn)程統(tǒng)計(jì)子系統(tǒng)缺省為不激活，必須通過啟動來激活。在Unix/Linux系統(tǒng)中啟動進(jìn)程統(tǒng)計(jì)使用accton命令，必須用root身份來運(yùn)行。accton命令的形式為accton file，file必須先存在。然后運(yùn)行accton:accton/var/log/pacct。進(jìn)程日志系統(tǒng)可以跟蹤每個(gè)用戶運(yùn)行的每條命令，并且對跟蹤一個(gè)入侵者有幫助。，進(jìn)程系統(tǒng)一個(gè)問題是pacct文件可能增長得十分迅速。這是需要交互式或經(jīng)過corn機(jī)制運(yùn)行sa命名來保持日志數(shù)據(jù)在系統(tǒng)控制的

18、范圍內(nèi)。進(jìn)程系統(tǒng)日志：第26頁，共31頁。應(yīng)用實(shí)例Unix/Linux 中的安全審計(jì)錯(cuò)誤日志 錯(cuò)誤日志由syslog執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過syslog向文件/var/log/messages報(bào)告值得注意的事件。另外，有許多Unix/Linux程序也會創(chuàng)建日志。第27頁，共31頁。syslog采用可配置的統(tǒng)一的系統(tǒng)登陸程序，隨時(shí)從系統(tǒng)各處接受log請求，然后根據(jù)/etc/syslog.conf中的預(yù)先設(shè)定把log消息寫入相應(yīng)的文件并有機(jī)給特定的用戶或者直接以消息的方式發(fā)往控制臺。任何程序都可以通過syslog記錄事件。syslog可以記錄系統(tǒng)事件，也能記錄本地事件或通過網(wǎng)絡(luò)記

19、錄另一個(gè)主機(jī)上的事件。syslog設(shè)備依據(jù)兩個(gè)重要的文件：/etc/syslogd（守護(hù)進(jìn)程）和/etc/syslog.conf配置文件。習(xí)慣上，多數(shù)syslog信息被寫道/var/adm或/var/log目錄下的信息文件中（message.*）。錯(cuò)誤日志：第28頁，共31頁。 syslog.conf文件指明syslog程序記錄日志的行為，syslog程序在啟動時(shí)查詢配置文件。給文件由不同的程序或消息分類的單個(gè)條目組成，每個(gè)占一行。對每類消息提供俄選擇域和一個(gè)動作域。這些域由tab隔開，選擇域指明消息的類型和優(yōu)先級，動作域指明syslog接收到一個(gè)與選擇標(biāo)準(zhǔn)相匹配的消息時(shí)所執(zhí)行的動作。每個(gè)選項(xiàng)

20、是由設(shè)備和優(yōu)先級組成。當(dāng)指明一個(gè)優(yōu)先級時(shí)。syslog將記錄一個(gè)擁有相同或更高優(yōu)先級的消息。所以如果指明crit,那所有標(biāo)為crit、alert和emerg的消息都將被紀(jì)錄。每行的行動域指明當(dāng)選擇域選擇了一個(gè)給定消息后應(yīng)給把它發(fā)送到哪里。錯(cuò)誤日志：第29頁，共31頁。1、想要體面生活，又覺得打拼辛苦；想要健康身體，又無法堅(jiān)持運(yùn)動。人最失敗的，莫過于對自己不負(fù)責(zé)任，連答應(yīng)自己的事都辦不到，又何必抱怨這個(gè)世界都和你作對？人生的道理很簡單，你想要什么，就去付出足夠的努力。2、時(shí)間是最公平的，活一天就擁有24小時(shí)，差別只是珍惜。你若不相信努力和時(shí)光，時(shí)光一定第一個(gè)辜負(fù)你。有夢想就立刻行動，因?yàn)楝F(xiàn)在過的

21、每一天，都是余生中最年輕的一天。3、無論正在經(jīng)歷什么，都請不要輕言放棄，因?yàn)閺膩頉]有一種堅(jiān)持會被辜負(fù)。誰的人生不是荊棘前行，生活從來不會一蹴而就，也不會永遠(yuǎn)安穩(wěn)，只要努力，就能做獨(dú)一無二平凡可貴的自己。4、努力本就是年輕人應(yīng)有的狀態(tài)，是件充實(shí)且美好的事，可一旦有了表演的成分，就會顯得廉價(jià)，努力，不該是為了朋友圈多獲得幾個(gè)贊，不該是每次長篇贅述后的自我感動，它是一件平凡而自然而然的事，最佳的努力不過是：但行好事，莫問前程。愿努力，成就更好的你！5、付出努力卻沒能實(shí)現(xiàn)的夢想，愛了很久卻沒能在一起的人，活得用力卻平淡寂寞的青春，遺憾是每一次小的挫折，它磨去最初柔軟的心智、讓我們懂得累積時(shí)間的力量；那

22、些孤獨(dú)沉寂的時(shí)光，讓我們學(xué)會守候內(nèi)心的平和與堅(jiān)定。那些脆弱的不完美，都會在努力和堅(jiān)持下，改變模樣。6、人生中總會有一段艱難的路，需要自己獨(dú)自走完，沒人幫助，沒人陪伴，不必畏懼，昂頭走過去就是了，經(jīng)歷所有的挫折與磨難，你會發(fā)現(xiàn)，自己遠(yuǎn)比想象中要強(qiáng)大得多。多走彎路，才會找到捷徑，經(jīng)歷也是人生，修煉一顆強(qiáng)大的內(nèi)心，做更好的自己！7、“一定要成功”這種內(nèi)在的推動力是我們生命中最神奇最有趣的東西。一個(gè)人要做成大事，絕不能缺少這種力量，因?yàn)檫@種力量能夠驅(qū)動人不停地提高自己的能力。一個(gè)人只有先在心里肯定自己，相信自己，才能成就自己！8、人生的旅途中，最清晰的腳印，往往印在最泥濘的路上，所以，別畏懼暫時(shí)的困頓，即使無人鼓掌，也要全情投入，優(yōu)雅堅(jiān)持。真正改變命運(yùn)的，并不是等來的機(jī)遇，而是我們的態(tài)度。9、這世上沒有所謂的天才，也沒有不勞而獲的回報(bào)，你所看到的每個(gè)光鮮人物，其背后都付出了令人震驚的努力。請相信，你的潛力還遠(yuǎn)遠(yuǎn)沒有爆發(fā)出來，不要給自己的人生設(shè)限，你自以為的極限，只是別人的起點(diǎn)。寫給渴望突破瓶頸、實(shí)現(xiàn)快速跨越的你。10、生活中，