信息安全管理第五信息系統(tǒng)安全審計

第5章信息系統(tǒng)平安審計5.1概述5.2平安審計系統(tǒng)的體系結(jié)構(gòu)5.3平安審計的一般流程5.4平安審計的分析方法5.5平安審計的數(shù)據(jù)源5.6信息平安審計與標(biāo)準(zhǔn)5.7計算機(jī)取證5.1概述5.1概述審計信息系統(tǒng)審計〔信息系統(tǒng)〕平安審計〔信息系統(tǒng)〕網(wǎng)絡(luò)平安審計5.1概述審計〔Audit〕是指由專設(shè)機(jī)關(guān)依照法律對國家各級政府及金融機(jī)構(gòu)、企業(yè)事業(yè)組織的重大工程和財務(wù)收支進(jìn)行事前和事后的審查的獨(dú)立性經(jīng)濟(jì)監(jiān)督活動。5.1概述信息系統(tǒng)審計〔InformationSystemAudit，ISA〕是通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的平安、維護(hù)數(shù)據(jù)的完整、使被審計單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。5.1概述對信息系統(tǒng)審計的理解：信息系統(tǒng)審計是具有獨(dú)立性的監(jiān)督活動審計對象是以計算機(jī)為處理手段的信息系統(tǒng)，不僅包括會計信息系統(tǒng)，其他信息處理系統(tǒng)如人事檔案管理系統(tǒng)，以及整個應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng),都是信息系統(tǒng)審計的對象審計的目的是揭發(fā)弊端，提高系統(tǒng)的平安性、可靠性、合法性和效率5.1概述平安審計〔SecurityAudit〕〕就是對系統(tǒng)平安的審核、稽查與計算，即在記錄一切(或局部)與系統(tǒng)平安有關(guān)活動的根底上，對其進(jìn)行分析處理、評價審查，發(fā)現(xiàn)系統(tǒng)中的平安隱患，或追查造成平安事故的原因，并作出進(jìn)一步的處理。信息系統(tǒng)平安審計是信息系統(tǒng)審計的一個分支，是專門針對信息系統(tǒng)的平安實(shí)施的審計。其審計目的是確定信息系統(tǒng)是否設(shè)置了相應(yīng)的平安控制措施以識別、防范各種平安威脅，從而幫助被審單位的信息系統(tǒng)在一個更加平安的環(huán)境下運(yùn)行。5.1概述對信息系統(tǒng)平安審計的含義可以從兩方面理解1.信息系統(tǒng)平安審計的目的是測評系統(tǒng)的平安控制措施，確定其是否足以識別、防范各種“威脅〞2.信息系統(tǒng)平安審計是針對提高系統(tǒng)平安性的審計五險一金審計人員在被審計單位計算機(jī)機(jī)房對其信息系統(tǒng)建設(shè)和運(yùn)行情況進(jìn)行檢查5.1概述網(wǎng)絡(luò)平安審計〔NetworkSecurityAudit〕網(wǎng)絡(luò)平安審計是指對與網(wǎng)絡(luò)平安有關(guān)的活動的相關(guān)信息進(jìn)行識別、記錄、存儲和分析，并檢查網(wǎng)絡(luò)上發(fā)生了哪些與平安有關(guān)的活動以及誰對這個活動負(fù)責(zé)。網(wǎng)絡(luò)平安審計相當(dāng)于飛機(jī)上的“黑匣子〞。國際標(biāo)準(zhǔn)ISO／IEC15408(俗稱為CC準(zhǔn)那么)：廣泛應(yīng)用于評估系統(tǒng)的平安性5.1概述審計對象：網(wǎng)絡(luò)設(shè)備、效勞器、用戶電腦、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)平安設(shè)備等。平安審計的必要性隨著日益增長的互聯(lián)網(wǎng)平安風(fēng)險，平安問題的復(fù)雜性日益加大，大約76%的網(wǎng)絡(luò)平安威脅來自于內(nèi)部，其危害程度更是遠(yuǎn)遠(yuǎn)超過黑客攻擊及病毒造成的損失，而這些威脅絕大局部與內(nèi)部各種網(wǎng)絡(luò)訪問行為有關(guān)，如何對業(yè)務(wù)系統(tǒng)訪問和網(wǎng)絡(luò)行為進(jìn)行有效的監(jiān)控，已經(jīng)成為政府、企業(yè)重點(diǎn)關(guān)注的問題。平安審計的必要性平安審計的必要性如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息傳播，準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的平安狀態(tài)，及時發(fā)現(xiàn)違反平安策略的事件并實(shí)時告警、記錄，同時進(jìn)行平安事件定位分析，事后追查取證，滿足合規(guī)性審計要求，是企業(yè)迫切需要解決的問題。平安審計的必要性平安審計的必要性信息平安體系結(jié)構(gòu)模型平安審計也是一項(xiàng)重要內(nèi)容利用信息系統(tǒng)審計建立我國網(wǎng)絡(luò)平安的第三道防線利用信息系統(tǒng)審計建立我國網(wǎng)絡(luò)平安的第三道防線“一道防線〞：組織業(yè)務(wù)及操作層面的網(wǎng)絡(luò)平安管理，由組織的一線業(yè)務(wù)部門負(fù)責(zé)。職責(zé)是識別和管理網(wǎng)絡(luò)平安固有風(fēng)險，并對風(fēng)險實(shí)施有效的控制措施，是整個網(wǎng)絡(luò)平安保障工作的根底。利用信息系統(tǒng)審計建立我國網(wǎng)絡(luò)平安的第三道防線利用信息系統(tǒng)審計建立我國網(wǎng)絡(luò)平安的第三道防線“三道防線〞：對網(wǎng)絡(luò)平安獨(dú)立的監(jiān)督評價，即審計，由審計監(jiān)督部門負(fù)責(zé)。職責(zé)是對網(wǎng)絡(luò)平安風(fēng)險管理的相關(guān)控制、流程和系統(tǒng)進(jìn)行獨(dú)立審閱和檢查，促進(jìn)一、二道防線積極履職，進(jìn)一步揭示網(wǎng)絡(luò)平安風(fēng)險，為一、二道防線提供改進(jìn)建議。信息系統(tǒng)平安審計的功能(1)取證

利用審計工具，監(jiān)視和記錄系統(tǒng)的活動情況，如記錄用戶登錄賬戶、登錄時間、終端以及所訪問的文件、存取操作等，并放入系統(tǒng)日志中，必要時可打印輸出，提供審計報告，對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù)。(2)威懾

通過審計跟蹤，并配合相應(yīng)的責(zé)任追究機(jī)制，對外部的入侵者以及內(nèi)部人員的惡意行為具有威懾和警告作用。信息系統(tǒng)平安審計的功能(3)發(fā)現(xiàn)系統(tǒng)漏洞平安審計為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。(4)發(fā)現(xiàn)系統(tǒng)運(yùn)行異常通過平安審計，為系統(tǒng)管理員提供系統(tǒng)運(yùn)行的統(tǒng)計日志，管理員可根據(jù)日志數(shù)據(jù)庫記錄的日志數(shù)據(jù)，分析網(wǎng)絡(luò)或系統(tǒng)的平安性，輸出平安性分析報告，因而能夠及時發(fā)現(xiàn)系統(tǒng)的異常行為，并采取相應(yīng)的處理措施。信息系統(tǒng)平安審計的分類按照審計分析的對象，平安審計可分為針對主機(jī)的審計和針對網(wǎng)絡(luò)的審計。針對主機(jī)的審計針對主機(jī)的審計是指通過收集主機(jī)系統(tǒng)上面的各種形式的日志文件實(shí)現(xiàn)審計的方式。針對主機(jī)的審計的特點(diǎn)是收集的信息比較深入，比較完整，不受加密協(xié)議的影響，其缺點(diǎn)是部署過程較為復(fù)雜，通常需要在主機(jī)系統(tǒng)上安裝代理，這樣不容易保持審計策略的一致，不容易保證審計代理工作的正常和健壯，安裝在審計對象主機(jī)上面的代理可能會被卸載或者停止運(yùn)行，這樣審計代理產(chǎn)生的審計信息的可信性也會大打折扣。針對網(wǎng)絡(luò)的審計信息系統(tǒng)平安審計的分類按照審計的工作方式，平安審計可分為集中式平安審計和分布式平安審計。集中式體系結(jié)構(gòu)采用集中的方法，收集并分析數(shù)據(jù)源(網(wǎng)絡(luò)各主機(jī)的原始審計記錄)，所有的數(shù)據(jù)都要交給中央處理機(jī)進(jìn)行審計處理。分布式平安審計包含兩層含義，一是對分布式網(wǎng)絡(luò)的平安審計，二是采用分布式計算的方法，對數(shù)據(jù)源進(jìn)行平安審計。5.2平安審計系統(tǒng)的體系結(jié)構(gòu)5.2平安審計系統(tǒng)的體系結(jié)構(gòu)平安審計系統(tǒng)平安審計系統(tǒng)的特點(diǎn)信息平安審計系統(tǒng)的一般組成一般而言，一個完整的平安審計系統(tǒng)包括事件探測及數(shù)據(jù)采集引擎、數(shù)據(jù)管理引擎和審計引擎等重要組成局部。(1)事件探測及數(shù)據(jù)采集引擎事件探測及數(shù)據(jù)采集引擎主要全面?zhèn)陕犞鳈C(jī)及網(wǎng)絡(luò)上的信息流，動態(tài)監(jiān)視主機(jī)的運(yùn)行情況以及網(wǎng)絡(luò)上流過的數(shù)據(jù)包，對數(shù)據(jù)包進(jìn)行檢測和實(shí)時分析，并將分析結(jié)果發(fā)送給相應(yīng)的數(shù)據(jù)管理中心進(jìn)行保存。信息平安審計系統(tǒng)的一般組成(2)數(shù)據(jù)管理引擎數(shù)據(jù)管理引擎一方面負(fù)責(zé)對事件探測及數(shù)據(jù)采集引擎?zhèn)骰氐臄?shù)據(jù)以及平安審計的輸出數(shù)據(jù)進(jìn)行管理，另一方面，數(shù)據(jù)管理引擎還負(fù)責(zé)對事件探測及數(shù)據(jù)采集引擎的設(shè)置、用戶對平安審計的自定義、系統(tǒng)配置信息的管理。它一般包括三個模塊：數(shù)據(jù)庫管理、引擎管理、配置管理。信息平安審計系統(tǒng)的一般組成(3)審計引擎審計引擎包括兩個應(yīng)用程序：審計控制臺和用戶管理。審計控制臺可以實(shí)時顯示網(wǎng)絡(luò)審計信息、流量統(tǒng)計信息，可以查詢審計信息歷史數(shù)據(jù)，并且對審計事件進(jìn)行回放。用戶管理程序可以對用戶進(jìn)行權(quán)限設(shè)定，限制不同級別的用戶查看不同的審計內(nèi)容。同時還可以對每一種權(quán)限的使用人員的操作進(jìn)行審計記錄，可以由用戶管理員進(jìn)行查看，具有一定的自身平安審計功能。綠盟平安審計系統(tǒng)綠盟平安審計系統(tǒng)綠盟平安審計系統(tǒng)〔NSFOCUSSecurityAuditSystem，簡稱：NSFOCUSSAS〕通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實(shí)時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，實(shí)時報警響應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件，實(shí)現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及平安事件的準(zhǔn)確全程跟蹤定位，為整體網(wǎng)絡(luò)平安策略的制定提供權(quán)威可靠的支持。綠盟平安審計系統(tǒng)的功能內(nèi)容審計NSFOCUSSAS系統(tǒng)提供深入的內(nèi)容審計功能，可對網(wǎng)站訪問、郵件收發(fā)、遠(yuǎn)程終端訪問、數(shù)據(jù)庫訪問、數(shù)據(jù)傳輸、文件共享等提供完整的內(nèi)容檢測、信息復(fù)原功能；并可自定義關(guān)鍵字庫，進(jìn)行細(xì)粒度的審計追蹤。行為審計NSFOCUSSAS系統(tǒng)提供全面的網(wǎng)絡(luò)行為審計功能，根據(jù)設(shè)定行為審計策略，對網(wǎng)站訪問、郵件收發(fā)、數(shù)據(jù)庫訪問、遠(yuǎn)程終端訪問、數(shù)據(jù)傳輸、文件共享、網(wǎng)絡(luò)資源濫用〔即時通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等〕等網(wǎng)絡(luò)應(yīng)用行為進(jìn)行監(jiān)測，對符合行為策略的事件實(shí)時告警并記錄。流量審計NSFOCUSSAS系統(tǒng)提供基于協(xié)議識別的流量分析功能，實(shí)時統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的各種報文流量，進(jìn)行綜合流量分析，為流量管理策略的制定提供可靠支持。堡壘機(jī)堡壘機(jī)的產(chǎn)生原因隨著企事業(yè)單位IT系統(tǒng)的不斷開展，網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量迅速擴(kuò)大，日趨復(fù)雜的IT系統(tǒng)與不同背景的運(yùn)維人員的行為給信息系統(tǒng)平安帶來較大風(fēng)險，主要表現(xiàn)在：1.多個用戶使用同一個賬號。這種情況主要出現(xiàn)在同一工作組中，由于工作需要，同時系統(tǒng)管理賬號唯一，因此只能多用戶共享同一賬號。如果發(fā)生平安事故，不僅難以定位賬號的實(shí)際使用者和責(zé)任人，而且無法對賬號的使用范圍進(jìn)行有效控制，存在較大平安風(fēng)險和隱患。堡壘機(jī)的產(chǎn)生原因2.一個用戶使用多個賬號。目前，一個維護(hù)人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換，降低工作效率，增加工作復(fù)雜度。堡壘機(jī)的產(chǎn)生原因3.缺少統(tǒng)一的權(quán)限管理平臺，權(quán)限管理日趨繁重和無序；而且維護(hù)人員的權(quán)限大多是粗放管理，無法基于最小權(quán)限分配原那么的用戶權(quán)限管理，難以實(shí)現(xiàn)更細(xì)粒度的命令級權(quán)限控制，系統(tǒng)平安性無法充分保證。堡壘機(jī)的產(chǎn)生原因4.無法制定統(tǒng)一的訪問審計策略，審計粒度粗。各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫是分別單獨(dú)審計記錄訪問行為，由于沒有統(tǒng)一審計策略，并且各系統(tǒng)自身審計日志內(nèi)容深淺不一，難以及時通過系統(tǒng)自身審計發(fā)現(xiàn)違規(guī)操作行為和追查取證。5.傳統(tǒng)的網(wǎng)絡(luò)平安審計系統(tǒng)無法對維護(hù)人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議進(jìn)行內(nèi)容審計。SSH：

SecureShell

，平安外殼協(xié)議RDP：RemoteDesktopProtocol，遠(yuǎn)程桌面協(xié)議堡壘機(jī)的核心功能1.單點(diǎn)登錄功能支持對linux、unix、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、平安設(shè)備等一系列授權(quán)賬號進(jìn)行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統(tǒng)密碼，即可實(shí)現(xiàn)自動登錄目標(biāo)設(shè)備，便捷平安。2.賬號管理設(shè)備支持統(tǒng)一賬戶管理策略，能夠?qū)崿F(xiàn)對所有效勞器、網(wǎng)絡(luò)設(shè)備、平安設(shè)備等賬號進(jìn)行集中管理，完成對賬號整個生命周期的監(jiān)控，并且可以對設(shè)備進(jìn)行特殊角色設(shè)置如：審計巡檢員、運(yùn)維操作員、設(shè)備管理員等自定義設(shè)置，以滿足審計需求堡壘機(jī)的核心功能3.身份認(rèn)證設(shè)備提供統(tǒng)一的認(rèn)證接口，對用戶進(jìn)行認(rèn)證，支持身份認(rèn)證模式包括動態(tài)口令、靜態(tài)密碼、硬件key、生物特征等多種認(rèn)證方式，設(shè)備具有靈活的定制接口，可以與其他第三方認(rèn)證效勞器之間結(jié)合；平安的認(rèn)證模式，有效提高了認(rèn)證的平安性和可靠性。4.資源授權(quán)設(shè)備提供基于用戶、目標(biāo)設(shè)備、時間、協(xié)議類型IP、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán)，最大限度保護(hù)用戶資源的平安堡壘機(jī)的核心功能5.訪問控制設(shè)備支持對不同用戶進(jìn)行不同策略的制定，細(xì)粒度的訪問控制能夠最大限度的保護(hù)用戶資源的平安，嚴(yán)防非法、越權(quán)訪問事件的發(fā)生。6.操作審計設(shè)備能夠?qū)ψ址?、圖形、文件傳輸、數(shù)據(jù)庫等全程操作行為審計；通過設(shè)備錄像方式實(shí)時監(jiān)控運(yùn)維人員對操作系統(tǒng)、平安設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等進(jìn)行的各種操作，對違規(guī)行為進(jìn)行事中控制。對終端指令信息能夠進(jìn)行精確搜索，進(jìn)行錄像精確定位。平安審計系統(tǒng)的體系結(jié)構(gòu)集中式平安審計系統(tǒng)體系結(jié)構(gòu)分布式平安審計系統(tǒng)體系結(jié)構(gòu)集中式平安審計系統(tǒng)體系結(jié)構(gòu)集中式體系結(jié)構(gòu)采用集中的方法，收集并分析數(shù)據(jù)源，所有的數(shù)據(jù)都要交給中央處理機(jī)進(jìn)行審計處理。中央處理機(jī)承擔(dān)數(shù)據(jù)管理引擎及平安審計引擎的工作，而部署在各受監(jiān)視系統(tǒng)上的外圍設(shè)備只是簡單的數(shù)據(jù)采集設(shè)備，承擔(dān)事件檢測及數(shù)據(jù)采集引擎的作用。集中式平安審計系統(tǒng)體系結(jié)構(gòu)集中式的審計體系結(jié)構(gòu)的缺陷(1)由于事件信息的分析全部由中央處理機(jī)承擔(dān)，勢必造成CPU、I/O以及網(wǎng)絡(luò)通信的負(fù)擔(dān)，而且中心計算機(jī)往往容易發(fā)生單點(diǎn)故障(如針對中心分析系統(tǒng)的攻擊)。另外，對現(xiàn)有的系統(tǒng)進(jìn)行用戶的增容(如網(wǎng)絡(luò)的擴(kuò)展、通信數(shù)據(jù)量的加大)是很困難的。(2)由于數(shù)據(jù)的集中存儲，在大規(guī)模的分布式網(wǎng)絡(luò)中，有可能因?yàn)閱蝹€點(diǎn)的失敗造成整個審計數(shù)據(jù)的不可用。(3)集中式的體系結(jié)構(gòu)，自適應(yīng)能力差，不能根據(jù)環(huán)境變化自動更改配置。通常，配置的改變和增加是通過編輯配置文件來實(shí)現(xiàn)的，往往需要重新啟動系統(tǒng)以使配置生效。分布式平安審計系統(tǒng)體系結(jié)構(gòu)分布式平安審計系統(tǒng)實(shí)際上包含兩層含義：一是對分布式網(wǎng)絡(luò)的平安審計；二是采用分布式計算的方法，對數(shù)據(jù)源進(jìn)行平安審計。它由三局部組成。(1)主機(jī)代理模塊主機(jī)代理模塊是部署在受監(jiān)視主機(jī)上，并作為后臺進(jìn)程運(yùn)行的審計信息收集模塊。主要目的是收集主機(jī)上與平安相關(guān)的事件信息，并將數(shù)據(jù)傳送給中央管理者。它同時承擔(dān)了數(shù)據(jù)采集以及局部的平安審計工作。

分布式平安審計系統(tǒng)體系結(jié)構(gòu)(2)局域網(wǎng)監(jiān)視器代理模塊

局域網(wǎng)監(jiān)視器代理模塊是部署在受監(jiān)視的局域網(wǎng)上，用以收集并對局域網(wǎng)上的行為進(jìn)行審計的模塊，主要分析局域網(wǎng)上的通信信息，并根據(jù)需要將結(jié)果報告給中央管理者。(3)中央管理者模塊

中央管理者模塊接收包括來自局域網(wǎng)監(jiān)視器和主機(jī)代理的數(shù)據(jù)和報告，控制整個系統(tǒng)的通信信息，對接收到的數(shù)據(jù)進(jìn)行分析。分布式平安審計系統(tǒng)體系結(jié)構(gòu)分布式平安審計系統(tǒng)體系結(jié)構(gòu)的優(yōu)點(diǎn)：(1)擴(kuò)展能力強(qiáng)：通過擴(kuò)展審計單元來實(shí)現(xiàn)網(wǎng)絡(luò)平安范圍的擴(kuò)張。(2)容錯能力強(qiáng)：分布式的獨(dú)立結(jié)構(gòu)解決了單點(diǎn)失效問題。(3)兼容性強(qiáng)：既可包含基于主機(jī)的審計，又可含有基于網(wǎng)絡(luò)的審計，超越了傳統(tǒng)審計模型的界限。(4)適應(yīng)性強(qiáng)：當(dāng)網(wǎng)絡(luò)和主機(jī)狀態(tài)改變時，如升級或重構(gòu)，分布式審計系統(tǒng)可以容易地作相應(yīng)修改。5.3平安審計的一般流程平安審計的一般流程事件采集設(shè)備通過硬件或軟件代理對客體進(jìn)行事件采集，并將采集到的事件發(fā)送至事件區(qū)分與分析器進(jìn)行事件區(qū)分與分析，策略定義的危險事件，發(fā)送至報警處理部件，進(jìn)行報警或響應(yīng)。對所有需產(chǎn)生審計信息的事件，產(chǎn)生審計信息，并發(fā)送至結(jié)果匯總，進(jìn)行數(shù)據(jù)備份或報告生成。事件采集事件分析結(jié)果匯總事件響應(yīng)策略定義平安審計的一般流程1．策略定義2．事件采集3．事件分析4．事件響應(yīng)5．結(jié)果匯總平安審計的一般流程1．策略定義平安審計應(yīng)在一定的審計策略下進(jìn)行，審計策略規(guī)定哪些信息需要采集、哪些事件是危險事件，以及對這些事件應(yīng)如何處理等。因而審計前應(yīng)制定一定的審計策略，并下發(fā)到各審計單元。在事件處理結(jié)束后，應(yīng)根據(jù)對事件的分析處理結(jié)果來檢查策略的合理性，必要時應(yīng)調(diào)整審計策略。平安審計的一般流程2．事件采集事件采集階段包含以下行為：(1)按照預(yù)定的審計策略對客體進(jìn)行相關(guān)審計事件采集，形成的結(jié)果交由事件后續(xù)的各階段來處理；(2)將事件其他各階段提交的審計策略分發(fā)至各審計代理，審計代理依據(jù)策略進(jìn)行客體事件采集。注意：審計代理是平安審計系統(tǒng)中完成審計數(shù)據(jù)采集、鑒別并向?qū)徲嫺櫽涗浿行陌l(fā)送審計消息的功能部件，包括軟件代理和硬件代理。平安審計的一般流程3．事件分析

事件分析階段包含以下行為：(1)按照預(yù)定策略，對采集到事件進(jìn)行事件辨析，決定：

①忽略該事件；

②產(chǎn)生審計信息；

③產(chǎn)生審計信息并報警；

④產(chǎn)生審計信息且進(jìn)行響應(yīng)聯(lián)動。(2)按照用戶定義與預(yù)定策略，將事件分析結(jié)果生成審計記錄，并形成審計報告。平安審計的一般流程4．事件響應(yīng)事件響應(yīng)階段是根據(jù)事件分析的結(jié)果采用相應(yīng)的響應(yīng)行動，包含以下行為：(1)對事件分析階段產(chǎn)生的報警信息、響應(yīng)請求進(jìn)行報警與響應(yīng)；(2)按照預(yù)定策略，生成審計記錄，寫入審計數(shù)據(jù)庫，并將各類審計分析報揭發(fā)送到指定的對象；(3)按照預(yù)定策略對審計記錄進(jìn)行備份。平安審計的一般流程5．結(jié)果匯總結(jié)果匯總階段負(fù)責(zé)對事件分析及響應(yīng)的結(jié)果進(jìn)行匯總，主要包含以下行為：(1)將各類審計報告進(jìn)行分類匯總；(2)對審計結(jié)果進(jìn)行適當(dāng)?shù)慕y(tǒng)計分析，形成分析報告；(3)根據(jù)用戶需求和事件分析處理結(jié)果形成審計策略修改意見。5.4平安審計的分析方法平安審計的分析方法1．基于規(guī)那么庫的平安審計方法2．基于數(shù)理統(tǒng)計的平安審計方法3．基于日志數(shù)據(jù)挖掘的平安審計方法4．其他平安審計方法(1)神經(jīng)網(wǎng)絡(luò)(2)遺傳算法基于規(guī)那么庫的平安審計方法基于數(shù)理統(tǒng)計的平安審計方法數(shù)理統(tǒng)計方法就是首先給對象創(chuàng)立一個統(tǒng)計量的描述，比方一個網(wǎng)絡(luò)流量的平均值、方差等，統(tǒng)計出正常情況下這些特征量的數(shù)值，然后用來對實(shí)際網(wǎng)絡(luò)數(shù)據(jù)包的情況進(jìn)行比較，當(dāng)發(fā)現(xiàn)實(shí)際值遠(yuǎn)離正常數(shù)值時，就可以認(rèn)為是潛在的攻擊發(fā)生?；谌罩緮?shù)據(jù)挖掘的平安審計方法其他平安審計方法神經(jīng)網(wǎng)絡(luò)：神經(jīng)網(wǎng)絡(luò)的根本思想是用一系列信息單元序列來訓(xùn)練神經(jīng)單元，在神經(jīng)網(wǎng)絡(luò)的輸入中包括當(dāng)前的信息單元序列和過去的信息單元序列集合，神經(jīng)網(wǎng)絡(luò)由此可進(jìn)行判斷，并能預(yù)測輸出。與概率統(tǒng)計方法相比，神經(jīng)網(wǎng)絡(luò)方法更好地表達(dá)了變量之間的非線性關(guān)系，并且能自動學(xué)習(xí)和更新。其他平安審計方法(2)遺傳算法：一個遺傳算法是一類進(jìn)化算法的一個實(shí)例，這些算法在多維優(yōu)化問題處理方面的能力已經(jīng)得到認(rèn)可，并且遺傳算法在對異常檢測的準(zhǔn)確率和速度上有較大優(yōu)勢。主要缺乏在于不能在審計跟蹤中精確定位攻擊，這一點(diǎn)和神經(jīng)網(wǎng)絡(luò)面臨的問題相似。5.5平安審計的數(shù)據(jù)源平安審計的數(shù)據(jù)源一般來說平安審計數(shù)據(jù)具有以下特征：攻擊事件相對于正常的網(wǎng)絡(luò)或系統(tǒng)訪問是很少的。平安審計數(shù)據(jù)在正常情況下是非常穩(wěn)定的。異常操作總是使平安審計數(shù)據(jù)的某些特征變量明顯地偏離正常值。平安審計的數(shù)據(jù)源1．基于主機(jī)的數(shù)據(jù)源2．基于網(wǎng)絡(luò)的數(shù)據(jù)源3．其他數(shù)據(jù)源(1)來自其他平安產(chǎn)品的數(shù)據(jù)源(2)來自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源(3)帶外數(shù)據(jù)源基于主機(jī)的數(shù)據(jù)源基于主機(jī)的平安審計的數(shù)據(jù)源，包括操作系統(tǒng)的審計記錄、系統(tǒng)日志、應(yīng)用程序的日志信息以及基于目標(biāo)的信息。(1)操作系統(tǒng)的審計記錄操作系統(tǒng)的審計記錄是由操作系統(tǒng)軟件內(nèi)部的專門審計子系統(tǒng)所產(chǎn)生的，其目的是記錄當(dāng)前系統(tǒng)的活動信息，如用戶進(jìn)程所調(diào)用的系統(tǒng)調(diào)用類型以及執(zhí)行的命令行等，并將這些信息按照時間順序組織為一個或多個審計文件?；谥鳈C(jī)的數(shù)據(jù)源(2)系統(tǒng)日志日志分為操作系統(tǒng)日志和應(yīng)用程序日志兩局部。操作系統(tǒng)日志與主機(jī)的信息源相關(guān)，是使用操作系統(tǒng)日志機(jī)制生成的日志文件的總稱；應(yīng)用程序日志是由應(yīng)用程序自己生成并維護(hù)的日志文件的總稱。基于主機(jī)的數(shù)據(jù)源系統(tǒng)日志的平安性與操作系統(tǒng)的審計記錄相比，平安性存在缺乏，主要原因在于：·系統(tǒng)日志是由載操作系統(tǒng)內(nèi)核外運(yùn)行的應(yīng)用程序產(chǎn)生的，容易受到惡意的攻擊和修改?！と罩鞠到y(tǒng)通常存儲在不受保護(hù)的普通文件目錄中，并且經(jīng)常以普通文本文件方式儲存，容易受到惡意的篡改和刪除。相反，操作系統(tǒng)審計記錄通常以二進(jìn)制文件形式存儲，具備較強(qiáng)的保護(hù)機(jī)制。系統(tǒng)日志又是在于簡單易讀，容易處理，仍然成為平安審計的一個重要的數(shù)據(jù)源?；谥鳈C(jī)的數(shù)據(jù)源(3)應(yīng)用程序日志信息操作系統(tǒng)審計記錄和系統(tǒng)日志都屬于系統(tǒng)級別的數(shù)據(jù)源信息，通常由操作系統(tǒng)及其標(biāo)準(zhǔn)部件統(tǒng)一維護(hù)，是平安審計優(yōu)先選用的輸人數(shù)據(jù)源。隨著計算機(jī)網(wǎng)絡(luò)的分布式計算架構(gòu)的開展，對傳統(tǒng)的平安觀念提出了挑戰(zhàn)。以Web效勞器為例，www效勞是最流行的網(wǎng)絡(luò)效勞，也是電子商務(wù)的主要應(yīng)用平臺。Web效勞器的日志信息是最為常見的應(yīng)用級別數(shù)據(jù)源，主流的Web效勞器都支持訪問日志機(jī)制。基于網(wǎng)絡(luò)的數(shù)據(jù)源隨著基于網(wǎng)絡(luò)入侵檢測的日益流行，基于網(wǎng)絡(luò)的平安審計也成為平安審計開展的流行趨勢，而基于網(wǎng)絡(luò)的平安審計系統(tǒng)所采用的輸入數(shù)據(jù)即網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。來自用戶使用計算機(jī)網(wǎng)絡(luò)資源訪問的所有資源和所有訪問過程。通過對一些重要的事件進(jìn)行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。基于網(wǎng)絡(luò)的數(shù)據(jù)源采用網(wǎng)絡(luò)數(shù)據(jù)具有以下優(yōu)勢：(1)通過網(wǎng)絡(luò)被動監(jiān)聽的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，作為平安審計系統(tǒng)的輸入數(shù)據(jù)，不會對目標(biāo)監(jiān)控系統(tǒng)的運(yùn)行性能產(chǎn)生任何影響，而且通常無須改變原有的結(jié)構(gòu)和工作方式。(2)嗅探模塊在工作時，可以采用對網(wǎng)絡(luò)用戶透明的模式，降低了其本身受到攻擊的概率?；诰W(wǎng)絡(luò)的數(shù)據(jù)源(3)基于網(wǎng)絡(luò)數(shù)據(jù)的輸入信息源，可以發(fā)現(xiàn)許多基于主機(jī)數(shù)據(jù)源所無法發(fā)現(xiàn)的攻擊手段，例如基于網(wǎng)絡(luò)協(xié)議的漏洞開掘過程，或是發(fā)送畸形網(wǎng)絡(luò)數(shù)據(jù)包和大量誤用數(shù)據(jù)包的DoS攻擊等。(4)網(wǎng)絡(luò)數(shù)據(jù)包的標(biāo)準(zhǔn)化程度，比主機(jī)數(shù)據(jù)源來說要高得多，如目前幾乎大局部網(wǎng)絡(luò)協(xié)議都采用了TCP/IP協(xié)議族。其標(biāo)準(zhǔn)化程度很高，所以，有利于平安審計系統(tǒng)在不同系統(tǒng)平臺環(huán)境下的移植。其他數(shù)據(jù)源5.6信息平安審計與標(biāo)準(zhǔn)信息平安審計與標(biāo)準(zhǔn)TCSECTCSECD類平安等級D類平安等級只包括D1一個級別。D1的平安等級最低。D1系統(tǒng)只為文件和用戶提供平安保護(hù)。D1系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個完全沒有保護(hù)的網(wǎng)絡(luò)。D1級的計算機(jī)系統(tǒng)包括：MS-Dos、Windows95、Apple的System7.xTCSECC類平安等級該類平安等級能夠提供審慎的保護(hù)，并為用戶的行動和責(zé)任提供審計能力。C類平安等級可劃分為C1和C2兩類。C1級系統(tǒng)要求硬件有一定的平安機(jī)制，用戶在使用前必須登錄到系統(tǒng)。C1級系統(tǒng)還要求具有完全訪問控制的能力，經(jīng)應(yīng)當(dāng)允許系統(tǒng)管理員為一些程序或數(shù)據(jù)設(shè)立訪問許可權(quán)限。常見的C1級兼容計算機(jī)系統(tǒng)有：UNIX系統(tǒng)、XENIX、Novell3.x或更高版本、WindowsNTTCSECC2級C2級實(shí)際是平安產(chǎn)品的最低檔次，提供受控的存取保護(hù)。C2級引進(jìn)了受控訪問環(huán)境〔用戶權(quán)限級別〕的增強(qiáng)特性。授權(quán)分級使系統(tǒng)管理員能夠分用戶分組，授予他們訪問某些程序的權(quán)限或訪問分級目錄。C2級系統(tǒng)還采用了系統(tǒng)審計。審計特性跟蹤所有的“平安事件〞，以及系統(tǒng)管理員的工作。常見的C2級系統(tǒng)有：操作系統(tǒng)中Microsoft的WindowsNT3.5，UNIX系統(tǒng)。數(shù)據(jù)庫產(chǎn)品有oracle公司的oracle7，Sybase公司的等。TCSECB類平安等級B類平安等級可分為B1、B2和B3三類。B類系統(tǒng)具有強(qiáng)制性保護(hù)功能。強(qiáng)制性保護(hù)意味著如果用戶沒有與平安等級相連，系統(tǒng)就不會讓用戶存取對象。B1級B1級系統(tǒng)支持多級平安，多級是指這一平安保護(hù)安裝在不同級別的系統(tǒng)中〔網(wǎng)絡(luò)、應(yīng)用程序、工作站等〕，它對敏感信息提供更高級的保護(hù)。B2級這一級別稱為結(jié)構(gòu)化的保護(hù)〔StructuredProtection)。B2級平安要求計算機(jī)系統(tǒng)中所有對象加標(biāo)簽，而且給設(shè)備〔如工作站、終端和磁盤驅(qū)動器〕分配平安級別。B3級B3級要求用戶工作站或終端通過可信任途徑連接網(wǎng)絡(luò)系統(tǒng)，這一級必須采用硬件來保護(hù)平安系統(tǒng)的存儲區(qū)。TCSECTCSEC4個等級D類平安等級C類平安等級B類平安等級A類平安等級7個級別D、C1、C2、B1、B2、B3、A1從低到高從低到高TCSECTCSECTCSECTCSEC對于審計子系統(tǒng)的要求TCSEC的A1和A1+兩個級別較B3級沒有增加任何平安審計特征，從C2級的各級別都要求具有審計功能，而B3級提出了關(guān)于審計的全部功能要求。因此，TCSEC共定義了四個級別的審計要求:C2、B1、B2、B3。TCSECC2級要求審計以下事件:用戶的身份標(biāo)識和鑒別、用戶地址空間中客體的引入和刪除、計算機(jī)操作員/系統(tǒng)管理員/平安管理員的行為、其它與平安有關(guān)的事件。TCSECCCCCCCCC標(biāo)準(zhǔn)中的平安審計功能需求CC標(biāo)準(zhǔn)中，平安需求都以類、族、組件的層次結(jié)構(gòu)形式進(jìn)行定義，其中，平安功能需求共有11個類，平安審計就是一個單獨(dú)的平安功能需求類，其類名為FAU。平安審計類有六個族，分別對審計記錄的選擇、生成、存儲、保護(hù)、分析以及相應(yīng)的入侵響應(yīng)等功能做出了不同程度的要求。GB17859—1999計算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么這是我國計算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么強(qiáng)制性標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)給出了計算機(jī)信息系統(tǒng)相關(guān)定義，規(guī)定了計算機(jī)系統(tǒng)平安保護(hù)能力的五個等級。計算機(jī)信息系統(tǒng)平安保護(hù)能力隨著平安保護(hù)等級的增高，逐漸增強(qiáng)。GB17859—1999本標(biāo)準(zhǔn)規(guī)定了計算機(jī)系統(tǒng)平安保護(hù)能力的五個等級，即：第一級：用戶自主保護(hù)級；第二級：系統(tǒng)審計保護(hù)級；第三級：平安標(biāo)記保護(hù)級；第四級：結(jié)構(gòu)化保護(hù)級；第五級：訪問驗(yàn)證保護(hù)級。從低到高GB17859—1999對平安審計的要求從第二級“系統(tǒng)審計保護(hù)級〞開始有了對審計的要求，它規(guī)定計算機(jī)信息系統(tǒng)可信計算基〔TCB〕可以記錄以下事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間〔例如：翻開文件、程序初始化〕；刪除客體；由操作員、系統(tǒng)管理員或〔和〕系統(tǒng)平安管理員實(shí)施的動作，以及其它與系統(tǒng)平安相關(guān)的事件。GB17859—1999對平安審計的要求TCB，TrustedComputingBase，可信計算基可信計算基是"計算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行平安策略的組合體。它建立了一個根本的保護(hù)環(huán)境，并提供一個可信計算系統(tǒng)所要求的附加用戶效勞"。通常指構(gòu)成平安計算機(jī)信息系統(tǒng)的所有平安保護(hù)裝置的組合體，以防止不可信主體的干擾和篡改。GB17859—19