入侵檢測(cè)與安全審計(jì)系統(tǒng)

1、第六章 入侵檢測(cè)與安全審計(jì)系統(tǒng)8/6/20221電子科技大學(xué)成都學(xué)院6.1 入侵檢測(cè)系統(tǒng)6.2 安全審計(jì)系統(tǒng)8/6/20222電子科技大學(xué)成都學(xué)院6.1 入侵檢測(cè)系統(tǒng)6.1.1 入侵檢測(cè)系統(tǒng)的概念入侵(Intrusion)是指任何企圖危及資源的完整性、機(jī)密性和可用性的活動(dòng)。入侵檢測(cè)顧名思義，是指通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)Intrusion Detection System，簡(jiǎn)稱IDS，入侵檢測(cè)的軟件與硬件的組合。8/6/20223電子科技大學(xué)成都學(xué)院模型最早的入侵檢測(cè)模型是由Denn

2、ing給出的，該模型主要根據(jù)主機(jī)系統(tǒng)審計(jì)記錄數(shù)據(jù)，生成有關(guān)系統(tǒng)的若干輪廓，并監(jiān)測(cè)輪廓的變化差異發(fā)現(xiàn)系統(tǒng)的入侵行為，如下圖：8/6/20224電子科技大學(xué)成都學(xué)院CIDF(通用入侵檢測(cè)框架)標(biāo)準(zhǔn)入侵檢測(cè)系統(tǒng)的通用模型，解決不同IDS之間的互操作和共存問題。事件IDS需要分析的數(shù)據(jù)，可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。事件產(chǎn)生器：從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元：對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性 等強(qiáng)烈反應(yīng)，或是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫：存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)

3、稱，既可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡(jiǎn)單的文本文件。8/6/20225電子科技大學(xué)成都學(xué)院作用是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。是安防系統(tǒng)的重要組成部分。以后臺(tái)進(jìn)程的形式運(yùn)行，發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員。被認(rèn)為是防火墻之后的第二道安全閘門。如同大樓的監(jiān)視系統(tǒng)。8/6/20226電子科技大學(xué)成都學(xué)院6.1.2 入侵檢測(cè)系統(tǒng)的特點(diǎn)不需要人工干預(yù)即可不間斷的運(yùn)行有容錯(cuò)能力不需要占用大量的系統(tǒng)資源能夠發(fā)現(xiàn)異常的操作能夠適應(yīng)系統(tǒng)行為的長(zhǎng)期變化判斷正確靈活定制保持領(lǐng)先8/6/20227電子科技大學(xué)成都學(xué)院6.1.3 入侵行為的誤判正

4、誤判將一個(gè)合法操作判斷為異常行為。后果：導(dǎo)致用戶不理會(huì)IDS的報(bào)警，使IDS形同虛設(shè)。負(fù)誤判將一個(gè)攻擊動(dòng)作判斷為非攻擊行為，并允許其通過檢測(cè)。后果：背離了安全防護(hù)的宗旨，IDS系統(tǒng)成為例行公事。失控誤判攻擊者修改了IDS系統(tǒng)的操作，使它總出現(xiàn)負(fù)誤判的情況。后果：不易察覺，長(zhǎng)此以往，IDS將不會(huì)報(bào)警。8/6/20228電子科技大學(xué)成都學(xué)院6.1.4 入侵分析方法簽名分析法統(tǒng)計(jì)分析法數(shù)據(jù)完整性分析法8/6/20229電子科技大學(xué)成都學(xué)院簽名分析法主要用來監(jiān)測(cè)對(duì)系統(tǒng)的已知弱點(diǎn)進(jìn)行攻擊的行為。方法：從攻擊模式中歸納出它的簽名，編寫到IDS系統(tǒng)的代碼里。簽名分析實(shí)際上是一種模板匹配操作：一方是系統(tǒng)設(shè)置情

5、況和用戶操作動(dòng)作一方是已知攻擊模式的簽名數(shù)據(jù)庫 8/6/202210電子科技大學(xué)成都學(xué)院統(tǒng)計(jì)分析法以統(tǒng)計(jì)學(xué)為理論基礎(chǔ)，以系統(tǒng)正常使用情況下觀察到的動(dòng)作模式為依據(jù)來判別某個(gè)動(dòng)作是否偏離了正常軌道。 數(shù)據(jù)完整性分析法以密碼學(xué)為理論基礎(chǔ)，可以查證文件或者對(duì)象是否被別人修改過。 8/6/202211電子科技大學(xué)成都學(xué)院工作流程根據(jù)計(jì)算機(jī)審計(jì)記錄文件產(chǎn)生代表用戶會(huì)話行為的會(huì)話矢量，然后對(duì)這些會(huì)話矢量進(jìn)行分析，計(jì)算出會(huì)話的異常值，當(dāng)該值超過閾值便產(chǎn)生警告。一個(gè)簡(jiǎn)單的基于統(tǒng)計(jì)的異常檢測(cè)模型8/6/202212電子科技大學(xué)成都學(xué)院步驟1：產(chǎn)生會(huì)話矢量。根據(jù)審計(jì)文件中的用戶會(huì)話(如用戶會(huì)話包括login和log

6、out之間的所有行為)產(chǎn)生會(huì)話矢量。會(huì)話矢量X=表示描述單一會(huì)話用戶行為的各種屬性的數(shù)量。會(huì)話開始于login，終止于logout，login和logout次數(shù)也作為會(huì)話矢量的一部分?？杀O(jiān)視20多種屬性，如：工作的時(shí)間、創(chuàng)建文件數(shù)、閱讀文件數(shù)、打印頁數(shù)和I/O失敗次數(shù)等。 8/6/202213電子科技大學(xué)成都學(xué)院步驟2：產(chǎn)生伯努里矢量。伯努里矢量B=是單一2值矢量，表示屬性的數(shù)目是否在正常用戶的閾值范圍之外。閾值矢量T=表示每個(gè)屬性的范圍，其中ti是形式的元組，代表第i個(gè)屬性的范圍。這樣閾值矢量實(shí)際上構(gòu)成了一張測(cè)量表。算法假設(shè)ti服從高斯分布(即：正態(tài)分布)。產(chǎn)生伯努里矢量的方法就是用屬性i的

7、數(shù)值xi與測(cè)量表中相應(yīng)的閾值范圍比較，當(dāng)超出范圍時(shí)，bi被置1，否則bi置0。產(chǎn)生伯努里矢量的函數(shù)可描述為： 8/6/202214電子科技大學(xué)成都學(xué)院步驟3：產(chǎn)生加權(quán)入侵值。加權(quán)入侵矢量W=中每個(gè)wi與檢測(cè)入侵類型的第i個(gè)屬性的重要性相關(guān)。即，wi對(duì)應(yīng)第i個(gè)屬性超過閾值ti的情況在整個(gè)入侵判定中的重要程度。加權(quán)入侵值由下式給出： 加權(quán)入侵值步驟4：若加權(quán)入侵值大于預(yù)設(shè)的閾值，則給出報(bào)警。 8/6/202215電子科技大學(xué)成都學(xué)院模型應(yīng)用實(shí)例利用該模型設(shè)計(jì)一防止網(wǎng)站被黑客攻擊的預(yù)警系統(tǒng)?？紤]到一個(gè)黑客應(yīng)該攻擊他自己比較感興趣的網(wǎng)站，因此可以在黑客最易發(fā)起攻擊的時(shí)間段去統(tǒng)計(jì)各網(wǎng)頁被訪問的頻率，當(dāng)某

8、一網(wǎng)頁突然間被同一主機(jī)訪問的頻率劇增，那么可以判定該主機(jī)對(duì)某一網(wǎng)頁發(fā)生了超乎尋常的興趣，這時(shí)可以給管理員一個(gè)警報(bào)，以使其提高警惕。8/6/202216電子科技大學(xué)成都學(xué)院借助該模型，可以根據(jù)某一時(shí)間段的Web日志信息產(chǎn)生會(huì)話矢量，該矢量描述在特定時(shí)間段同一請(qǐng)求主機(jī)訪問各網(wǎng)頁的頻率，xi說明第i個(gè)網(wǎng)頁被訪問的頻率；接著根據(jù)閾值矢量產(chǎn)生伯努里矢量，此處的閾值矢量定為各網(wǎng)頁被訪問的正常頻率范圍；然后計(jì)算加權(quán)入侵值，加權(quán)矢量中的wi與網(wǎng)頁需受保護(hù)程度相關(guān)，即若wiwj，表明網(wǎng)頁i比網(wǎng)頁j更需要保護(hù)；最后若加權(quán)入侵值大于預(yù)設(shè)的閾值，則給出報(bào)警，提醒管理員，網(wǎng)頁可能將會(huì)被破壞。 8/6/202217電子科

9、技大學(xué)成都學(xué)院該模型存在的缺陷和問題，如：大量審計(jì)日志的實(shí)時(shí)處理問題。盡管審計(jì)日志能提供大量信息，但它們可能遭受數(shù)據(jù)崩潰、修改和刪除。并且在許多情況下，只有在發(fā)生入侵行為后才產(chǎn)生相應(yīng)的審計(jì)記錄，因此該模型在實(shí)時(shí)監(jiān)控性能方面較差。檢測(cè)屬性的選擇問題，即如何選擇與入侵判定相關(guān)度高的、有限的一些檢測(cè)屬性。閾值矢量的設(shè)置存在缺陷。由于模型依賴于用戶正常行為的規(guī)范性，因此用戶行為變化越快，誤警率也越高。預(yù)設(shè)入侵閾值的選擇問題，即如何更加科學(xué)地設(shè)置入侵閾值，以降低誤報(bào)率、漏報(bào)率。8/6/202218電子科技大學(xué)成都學(xué)院6.1.5 入侵檢測(cè)系統(tǒng)的主要類型分類根據(jù)其采用的分析方法可分為異常檢測(cè)誤用檢測(cè)根據(jù)系統(tǒng)

10、的工作方式可分為離線檢測(cè)在線檢測(cè)根據(jù)系統(tǒng)所檢測(cè)的對(duì)象可分為基于主機(jī)的基于網(wǎng)絡(luò)的8/6/202219電子科技大學(xué)成都學(xué)院異常檢測(cè)需要建立目標(biāo)系統(tǒng)及其用戶的正常活動(dòng)模型，然后基于這個(gè)模型對(duì)系統(tǒng)和用戶的實(shí)際活動(dòng)進(jìn)行審計(jì)，當(dāng)主體活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，則將其視為可疑行為。關(guān)鍵：異常閾值和特征的選擇優(yōu)點(diǎn)：可以發(fā)現(xiàn)新型的入侵行為，漏報(bào)少缺點(diǎn)：容易產(chǎn)生誤報(bào)8/6/202220電子科技大學(xué)成都學(xué)院誤用檢測(cè)假定所有入侵行為和手段（及其變種）都能夠表達(dá)為一種模式或特征，系統(tǒng)的目標(biāo)就是檢測(cè)主體活動(dòng)是否符合這些模式。優(yōu)點(diǎn)：可以有針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng)，其精確度較高，誤報(bào)少。缺點(diǎn):只能發(fā)現(xiàn)攻擊庫中已知的攻擊，不能

11、檢測(cè)未知的入侵，也不能檢測(cè)已知入侵的變種，因而會(huì)發(fā)生漏報(bào)；復(fù)雜性將隨著攻擊數(shù)量的增加而增加。8/6/202221電子科技大學(xué)成都學(xué)院離線檢測(cè)在事后分析審計(jì)事件，從中檢查入侵活動(dòng)，是一種非實(shí)時(shí)工作的系統(tǒng)。在線檢測(cè)實(shí)時(shí)聯(lián)機(jī)的檢測(cè)系統(tǒng)，包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，對(duì)實(shí)時(shí)主機(jī)審計(jì)分析。8/6/202222電子科技大學(xué)成都學(xué)院主要類型應(yīng)用軟件入侵檢測(cè)概念：在應(yīng)用級(jí)收集信息優(yōu)點(diǎn)：控制性好缺點(diǎn)：需要支持的應(yīng)用軟件數(shù)量多只能保護(hù)一個(gè)組件8/6/202223電子科技大學(xué)成都學(xué)院基于主機(jī)的入侵檢測(cè)概念在宿主系統(tǒng)審計(jì)日志文件中尋找攻擊特征，然后給出統(tǒng)計(jì)分析報(bào)告。始于80年代早期，通常采用查看針對(duì)可疑行為的審計(jì)記錄來執(zhí)

12、行。對(duì)新的記錄條目與攻擊特征進(jìn)行比較，并檢查不應(yīng)該被改變的系統(tǒng)文件的校驗(yàn)和來分析系統(tǒng)是否被侵入或被攻擊。若發(fā)現(xiàn)與攻擊模式匹配，IDS系統(tǒng)通過向管理員報(bào)警和其他呼叫行為來響應(yīng)。8/6/202224電子科技大學(xué)成都學(xué)院優(yōu)點(diǎn)：監(jiān)視所有系統(tǒng)行為有些攻擊在網(wǎng)絡(luò)的數(shù)據(jù)流中很難發(fā)現(xiàn)，或根本沒有通過網(wǎng)絡(luò)在本地進(jìn)行，此時(shí)基于網(wǎng)絡(luò)的IDS系統(tǒng)將無能為力適應(yīng)交換和加密不要求額外的硬件缺點(diǎn)：看不到網(wǎng)絡(luò)活動(dòng)的狀況運(yùn)行審計(jì)功能要占用額外系統(tǒng)資源主機(jī)監(jiān)視感應(yīng)器對(duì)不同的平臺(tái)不能通用管理和實(shí)施比較復(fù)雜8/6/202225電子科技大學(xué)成都學(xué)院基于網(wǎng)絡(luò)的入侵檢測(cè)概念在網(wǎng)絡(luò)通信中尋找符合網(wǎng)絡(luò)入侵模板的數(shù)據(jù)包，并立即做出相應(yīng)反應(yīng)，如發(fā)

13、生電子郵件、記錄日志、切斷網(wǎng)絡(luò)連接等。優(yōu)點(diǎn)花費(fèi)低檢查所有的包頭來識(shí)別惡意和可疑行為處于比較隱蔽的位置，基本上不對(duì)外提供服務(wù)，比較堅(jiān)固。具有更好的實(shí)時(shí)性檢測(cè)不成功的攻擊和惡意企圖基于網(wǎng)路的IDS不依賴于被保護(hù)主機(jī)的操作系統(tǒng)8/6/202226電子科技大學(xué)成都學(xué)院缺點(diǎn)對(duì)加密通信無能為力對(duì)高速網(wǎng)絡(luò)無能為力不能預(yù)測(cè)命令的執(zhí)行后果8/6/202227電子科技大學(xué)成都學(xué)院集成入侵檢測(cè)概念：綜合前幾種技術(shù)的入侵檢測(cè)方法優(yōu)點(diǎn)具有每一種檢測(cè)技術(shù)的優(yōu)點(diǎn)，并試圖彌補(bǔ)各自的不足趨勢(shì)分析穩(wěn)定性好節(jié)約成本缺點(diǎn)在安防問題上不思進(jìn)取把不同供應(yīng)商的組件集成在一起較困難8/6/202228電子科技大學(xué)成都學(xué)院6.1.6 入侵檢測(cè)

14、系統(tǒng)的優(yōu)點(diǎn)和不足優(yōu)點(diǎn)能夠使現(xiàn)有的安防體系更完善能夠更好地掌握系統(tǒng)的情況能夠追蹤攻擊者的攻擊線路界面友好，便于建立安防體系能夠抓住肇事者8/6/202229電子科技大學(xué)成都學(xué)院不足不能夠在沒有用戶參與的情況下對(duì)攻擊行為展開調(diào)查不能夠在沒有用戶參與的情況下阻止攻擊行為的發(fā)生不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷不能克服設(shè)計(jì)原理方面的缺陷響應(yīng)不夠快時(shí)，簽名數(shù)據(jù)庫更新不夠快。8/6/202230電子科技大學(xué)成都學(xué)院6.1.7 入侵檢測(cè)體系結(jié)構(gòu)集中式結(jié)構(gòu)IDS發(fā)展初期，大都采用單一的體系結(jié)構(gòu)，即所有的工作包括數(shù)據(jù)的采集、分析都由單一主機(jī)上的單一程序來完成。注意：一些所謂的分布式IDS只是在數(shù)據(jù)采集上實(shí)現(xiàn)了分布式，數(shù)

15、據(jù)的分析、入侵的發(fā)現(xiàn)和識(shí)別還是由單一程序來完成。優(yōu)點(diǎn)：數(shù)據(jù)的集中處理可以更加準(zhǔn)確地分析可能的入侵行為8/6/202231電子科技大學(xué)成都學(xué)院缺點(diǎn)：可擴(kuò)展性差。在單一主機(jī)上處理所有的信息限制了受監(jiān)視網(wǎng)絡(luò)的規(guī)模；分布式的數(shù)據(jù)收集常會(huì)引起網(wǎng)絡(luò)數(shù)據(jù)過載問題。難于重新配置和添加新功能。要使新的設(shè)置和功能生效，IDS通常要重新啟動(dòng)。中央分析器是個(gè)單一失效點(diǎn)。數(shù)據(jù)的集中處理使檢測(cè)主機(jī)成了網(wǎng)絡(luò)安全的瓶頸，若它出現(xiàn)故障或受到攻擊，則整個(gè)網(wǎng)絡(luò)的安全將無從保障。8/6/202232電子科技大學(xué)成都學(xué)院分布式結(jié)構(gòu)采用多個(gè)代理在網(wǎng)絡(luò)各部分分別進(jìn)行入侵檢測(cè)，并且協(xié)同處理可能的入侵行為。優(yōu)點(diǎn):能夠較好地實(shí)現(xiàn)數(shù)據(jù)的監(jiān)聽，可以

16、檢測(cè)內(nèi)部和外部的入侵行為。缺點(diǎn)：不能完全解決集中式結(jié)構(gòu)的缺點(diǎn)。因?yàn)楫?dāng)前的網(wǎng)絡(luò)普遍是分層的結(jié)構(gòu)，而純分布式的入侵檢測(cè)要求代理分布在同一個(gè)層次，若代理所處的層次太低，則無法檢測(cè)針對(duì)網(wǎng)絡(luò)上層的入侵；反之，則無法檢測(cè)針對(duì)網(wǎng)絡(luò)下層的入侵。同時(shí)，由于每個(gè)代理都沒有針對(duì)網(wǎng)絡(luò)數(shù)據(jù)的整體認(rèn)識(shí)，所以無法準(zhǔn)確地判斷跨一定時(shí)間和空間的攻擊，容易受到IP分段等針對(duì)IDS的攻擊。8/6/202233電子科技大學(xué)成都學(xué)院分層結(jié)構(gòu)在樹形分層結(jié)構(gòu)中，最底層的代理負(fù)責(zé)收集所有的基本信息，然后對(duì)這些信息進(jìn)行簡(jiǎn)單的處理，并完成簡(jiǎn)單的判斷和處理。特點(diǎn)：所處理的數(shù)據(jù)量大、速度快、效率高，但只能堅(jiān)持某些簡(jiǎn)單的攻擊。中間層代理起承上啟下的作

17、用，一方面可以接受并處理下層節(jié)點(diǎn)處理后的數(shù)據(jù)，一方面可以進(jìn)行較高層次的關(guān)聯(lián)分析、判斷和結(jié)果輸出，并向高層節(jié)點(diǎn)進(jìn)行報(bào)告。中間層的加入減輕了中央控制的負(fù)擔(dān)，增強(qiáng)了系統(tǒng)的伸縮性。最高層節(jié)點(diǎn)主要負(fù)責(zé)在整體上對(duì)各級(jí)節(jié)點(diǎn)進(jìn)行管理和協(xié)調(diào)，此外，它還可根據(jù)環(huán)境的要求動(dòng)態(tài)調(diào)整節(jié)點(diǎn)層次關(guān)系，實(shí)現(xiàn)系統(tǒng)的動(dòng)態(tài)配置。8/6/202234電子科技大學(xué)成都學(xué)院6.1.8 入侵檢測(cè)系統(tǒng)的發(fā)展方向：攻擊防范技術(shù)和更好的攻擊識(shí)別技術(shù)，即入侵防范技術(shù)。優(yōu)勢(shì)：對(duì)入侵作出主動(dòng)的反映不再完全依賴于簽名數(shù)據(jù)庫，易于管理追求的目標(biāo)是在攻擊對(duì)系統(tǒng)造成真正危害之前將它們化解掉對(duì)攻擊展開的跟蹤調(diào)查隨時(shí)都可以進(jìn)行極大地改善了IDS系統(tǒng)的易用性，減輕

18、了主機(jī)安防在系統(tǒng)管理方面的壓力8/6/202235電子科技大學(xué)成都學(xué)院6.2 安全審計(jì)系統(tǒng)6.2.1安全審計(jì)的概念及目的 計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)（Audit）是通過一定的安全策略，利用記錄及分析系統(tǒng)活動(dòng)和用戶活動(dòng)的歷史操作事件，按照順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)，發(fā)現(xiàn)系統(tǒng)的漏洞和入侵行為并改進(jìn)系統(tǒng)的性能和安全。其中系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng)；用戶活動(dòng)包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)，如用戶使用何種資源、使用的時(shí)間、執(zhí)行何種操作等方面。安全審計(jì)就是對(duì)系統(tǒng)的記錄與行為進(jìn)行獨(dú)立的審查與估計(jì)。8/6/202236電子科技大學(xué)成都學(xué)院目的及意義對(duì)潛在的攻擊者起到重大震懾和警告作

19、用測(cè)試系統(tǒng)的控制是否恰當(dāng)，以便進(jìn)行調(diào)整，保證與既定安全策略和操作協(xié)調(diào)一致對(duì)已發(fā)生的破壞行為，作出損害評(píng)估并提供有效的災(zāi)難恢復(fù)依據(jù)和追究責(zé)任的證據(jù)對(duì)系統(tǒng)控制、安全策略與規(guī)程中特定的改變作出評(píng)價(jià)和反饋，便于修訂決策和部署為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞8/6/202237電子科技大學(xué)成都學(xué)院安全審計(jì)涉及四個(gè)基本要素:控制目標(biāo)、安全漏洞、控制措施和控制測(cè)試?？刂颇繕?biāo)是指企業(yè)根據(jù)具體的計(jì)算機(jī)應(yīng)用,結(jié)合單位實(shí)際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方?？刂拼胧┦侵钙髽I(yè)為實(shí)現(xiàn)其安全控制目標(biāo)所制定的安全控制技術(shù)、配置

20、方法及各種規(guī)范制度?？刂茰y(cè)試是將企業(yè)的各種安全控制措施與預(yù)定的安全標(biāo)準(zhǔn)進(jìn)行一致性比較,確定各項(xiàng)控制措施是否存在、是否得到執(zhí)行、對(duì)漏洞的防范是否有效,評(píng)價(jià)企業(yè)安全措施的可依賴程度。 8/6/202238電子科技大學(xué)成都學(xué)院安全審計(jì)的類型系統(tǒng)級(jí)審計(jì)登錄情況、登錄識(shí)別號(hào)、每次登錄嘗試的日期和時(shí)間、每次退出的日期和時(shí)間、所使用的設(shè)備、登錄后運(yùn)行的內(nèi)容、如用戶啟動(dòng)應(yīng)用的嘗試，無論是成功還是失敗。典型的系統(tǒng)級(jí)日志還包括和安全無關(guān)的信息，如系統(tǒng)操作、費(fèi)用記賬和網(wǎng)絡(luò)性能。應(yīng)用級(jí)審計(jì)打開和關(guān)閉數(shù)據(jù)文件、讀取、編輯和刪除記錄或字段的特定操作以及打印報(bào)告之類的用戶活動(dòng)。用戶級(jí)審計(jì)用戶直接啟動(dòng)的所有命令、用戶所有的鑒別和認(rèn)證嘗試、用戶所訪問的文件和資源等