信息系统安全技术安全审计与分析.ppt

信息系统安全技术 -安全审计与日志分析,何长龙 高级工程师,目 录,专业安全审计系统体系结构分析 网络信息系统安全审计综述 审计与日志分析 审计结果分析,安全审计系统的必要性,一旦我们采用的防御体系被突破怎么办？至少我们必须知道系统是怎样遭到攻击的，这样才能恢复系统，此外我们还要知道系统存在什么漏洞，如何能使系统在受到攻击时有所察觉，如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的，它相当于飞机上使用的“黑匣子”。,安全审计系统的必要性（续）,在TCSEC和CC等安全认证体系中，网络安全审计的功能都是方在首要位置的，它是评判一个系统是否真正安全的重要尺码。因此在一个安全网络系统中的安全审计功能是必不可少的一部分。网络安全审计系统能帮助我们对网络安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。它是保证网络安全十分重要的一种手段。,CC标准中的网络安全审计功能定义,网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。国际标准化组织(ISO)和国际电工委员会(IEC)发表了【信息技术安全性评估通用准则2.0版】(ISO/IEC15408)，俗称CC准则，目前它已被广泛地用于评估一个系统的安全性。在这个标准中对网络审计定义了一套完整的功能，有：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。,安全审计自动响应,安全审计自动响应定义在被测事件指示出一个潜在的安全攻击时作出的响应，它是管理审计事件的需要，这些需要包括报警或行动，例如包括实时报警的生成、违例进程的终止、中断服务、用户帐号的失效等。根据审计事件的不同系统将作出不同的响应。其响应方式可作增加、删除、修改等操作。,安全审计数据生成,该功能要求记录与安全相关事件的出现，包括鉴别审计层次、列举可被审计的事件类型、以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单，每个可审计事件对应于某个事件级别，如低级、中级、高级。,产生的审计数据有以下几方面,对于敏感数据项（例如，口令通行字等）的访问 目标对象的删除 访问权限或能力的授予和废除 改变主体或目标的安全属性 标识定义和用户授权认证功能的使用 审计功能的启动和关闭,每一条审计记录中至少应所含以下信息： 事件发生的日期、时间、事件类型、主题标识、执行结果（成功、失败） 、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。,安全审计分析,此部分功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生，并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。,安全审计分析类型,潜在攻击分析 基于模板的异常检测 简单攻击试探 复杂攻击试探 等几种类型。,安全审计分析类型（续）,潜在攻击分析：系统能用一系列的规则监控审计事件，并根据这些规则指示系统的潜在攻击； 基于模板的异常检测：检测系统不同等级用户的行动记录，当用户的活动等级超过其限定的登记时，应指示出此为一个潜在的攻击； 简单攻击试探：当发现一个系统事件与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在的攻击； 复杂攻击试探：当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在的攻击。,安全审计浏览,该功能要求审计系统能够使授权的用户有效地浏览审计数据。包括：审计浏览、有限审计浏览、可选审计浏览。 审计浏览 提供从审计记录中读取信息的服务； 有限审计浏览 要求除注册用户外，其他用户不能读取信息； 可选审计信息 要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。,安全审计事件选择,系统能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审计，例如：与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性。系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用的动作。,安全审计事件存储,系统将提供控制措施以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。,安全审计事件存储（续）,它可保证某个指定量度的审计记录被维护，并不受以下事件的影响： 审计存储用尽； 审计存储故障； 非法攻击； 其他任何非预期事件。 系统能够在审计存储发生故障时采取相应的动作，能够在审计存储即将用尽时采取相应的动作。,网络安全审计层次结构图,网络层审计,系统层审计,应用层审计,TCP/IP、ATM,UNIX、Windows 9x/NT、ODBC,审计总控,CA发证操作,主页更新监视,安全审计系统体系结构示意图,安全审计系统的典型配置示意图,审计与日志分析,审计与日志分析的参考标准 防火墙和路由器等网络和网络安全设备日志 通用操作系统日志 日志过滤 可疑的活动分析,审计结果,参考审计执行过程 建立设计报告库 安全审计和安全标准 建议性审计解决方案,建议审计执行过程,为了能够确定安全策略和实施情况的差距，建议采用特定方法继续进行有效的审计； 抵御和清除病毒，蠕虫和木马，修补系统漏洞；,建议改善和增强如下内容：,重新配置路由器； 添加和重新配置防火墙规则； 升级操作系统补丁类型； 升级已有的和不安全的服务； 加强网络审核； 自动实施和集中管理网络内部和边界安全；,建议改善和增强如下内容（续）,增加入侵检测和网络监控产品； 增强物理安全； 加强反病毒扫描； 加强用户级别的加密； 删除不必要的用户账号，程序和服务； 等等,具体改善建议,建议设计审计报告库,在安全审计报告中应该包括：,总体评价现在的安全级别：你应该给出低、中、高的结论，包括你监视的网络设备的简要评价（例如：大型机、路由器、NT系统、UNIX系统等等）； 对偶然的、有经验的和专家级的黑客入侵系统作出时间上的估计； 简要总结出你的最重要的建议；,在安全审计报告中应该包括（续）,详细列举你在审计过程中的步骤：此时可以提及一些在侦查、渗透和控制阶段你发现的有趣问题； 对各种网络元素提出建议，包括路由器、端口、服务、登陆账户、物理安全等等； 讨论物理安全：许多网络对重要设备的摆放都不注意。例如，有的公司把文件服务器置于接待台的桌子后，一旦接待人员离开，则服务器便暴露在网络攻击下。有一次，安全设计人员抱着机器离开，安全守卫还帮了忙； 安全审计领域内使用的术语。,在安全审计报告中应该包括（续）,最后，记着递交你的审计报告。因为安全审计涉及了商业和技术行为，所以应该把你的报告递交给两方面的负责人。如果你采用电子邮件的方式递交报告，最好对报告进行数字签名和加密。,持续审计的可以采取的有效步骤,定义安全策略 建立对特定任务负责的内部组织 对网络资源进行分类 为雇员建立安全指导 确保个人和网络系统的物理安全 保障网络主机的服务和操作系统安全,持续审计的可以采取的有效步骤,加强访问控制机制 建立和维护系统 确保网络满足商业目标 保持安全策略的一致性 重复的过程,安全审计和安全标准,安全审计可参考的标准,ISO 7498-2 英国标准7799（BS 7799） ISO 15408 （Common Criteria，CC）,ISO 7498,ISO建立了7498系列标准来帮助网络实施标准化。其中第二个文件7498-2描述了如何确保站点安全和实施有效的审计计划。它是第一篇论述如何系统的达到网络安全的文章，大家可以从：WWW.ISO.CH获得更多的ISO标准的消息。,英国标准7799（BS 7799）,BS 7799文档的标题是A Code of Practice For Information Security Management，论述了如何确保网络系统安全。 1999年的版本有两个部分，BS 7799-1论述了确保网络安全所采取的步骤； BS 7799-2讨论了在实施信息安全管理系统（ISMS）是应采取的步骤。,ISO 17799,虽然BS 7799是英国标准，但由于它可以帮助网络专家设计实施计划并提交结果，所以很多非英国的安全人士也接受这一标准。 ISO 17799 于2000年12月出版，它是适用于所有的组织，建议成为强制性的安全标准。它是基于 BS7799 之上的，BS7799 1995年2月首版，最后一次修订和改进是在1999年5月,ISO 17799概述,ISO 17799 在安全问题的范围上是全面的。它包含大量实质性的控制要求,有些是极其复杂的。 要符合ISO 17799，或其他真正的任何详细安全标准，都不是一项简单的事情。甚至对于最有安全意识的组织来说，认证就更令人头痛了。,什么是ISO 17799 ？,ISO17799 是一个详细的安全标准。包括安全内容的所有准则，由十个独立的部分组成， 每一节都覆盖了不同的主题和区域。,1、商业持续规划,这节的主要内容包括： 1）防止商业活动的中断； 2）防止关键商业过程免受重大失误或灾难的影响。,2、系统访问控制,这节的主要内容有： 1）控制访问信息； 2）阻止非法访问信息系统 ； 3）确保网络服务得到保护 ； 4）阻止非法访问计算机； 5）检测非法行为； 6）保证在使用移动计算机和远程网络设备时信息的安全,3、系统开发和维护,这节的主要内容有： 1 ) 确保信息安全保护深入到操作系统中； 2 ) 阻止应用系统中的用户数据的丢失，修改或误用； 3 ) 确保信息的保密性，可靠性和完整性； 4 ) 确保IT项目工程及其支持活动是在安全的方式下进行的； 5 ) 维护应用程序软件和数据的安全。,4、物理和环境安全,这部分的主要内容有： 阻止对业务机密和信息非法的访问，损坏干扰； 阻止资产的丢失，损坏或遭受危险，使业务活动免受干扰； 阻止信息和信息处理设备的免受损坏或盗窃。,5、符合性,这部分的主要内容有： 避免违背刑法、民法、条例或契约责任、以及各种安全要求； 确保组织系统符合安全方针和标准； 使系统审查过程的绩效最大化，并将干扰因素降到最小。,6、人员安全,这部分的主要内容包括： 减少错误，偷窃，欺骗或资源误用等人为风险； 确保使用者了解信息安全的威胁和，在他们的正常的工作中有相应的训练，以便利于信息安全政策的贯彻和实施； 通过从以前事件和故障中汲取教训，最大限度降低安全的损失。,7、安全组织,这节的主要内容包括： 在公司内部管理信息安全； 保持组织的信息采集设施和可被第三方利用的信息资产的安全性 ； 当信息处理的责任需借助于外力是时，维持信息的安全。,8、计算机与网络管理,这节的目的是： 确保信息处理设备的正确和安全的操作； 降低系统失效的风险到最小； 保护软件和信息的完整性； 维护信息处理和通讯的完整性和可用性； 确保网络信息的安全措施和支持基础结构的保护； 防止资产被损坏和业务活动被干扰中断； 防止组织间的交易信息遭受损坏，修改或误用。,9、资产分类和控制,这节的主要阐述了： 对于共同的资产给予适当的保护并且确保那些信息资产得到适当水平的保护。,10. 安全政策,这节的目的是： 为信息安全提供管理方向和支持。,在完善ISMS时，应遵循以下步骤,定义安全策略 为你的信息安全管理系统（ISMS）定义范围 风险评估 对已知的风险进行排序和管理,BS 7799和ISO 7498-2建议的步骤,发布安全策略 公布负责人名单 培训公司人员的信息安全意识 定义汇报事件的程序 建立有效的反病毒保护措施 确保实施的策略与公司商业目标的一致性,BS 7799和ISO 7498-2建议的步骤,制定规范以确保雇员不会为了完成任务而破坏软件许可规则 物理上确保对网络操作记录的安全 建立系统来保护公司数据的安全 实施能够衡量规定的安全策略与实际遵守情况的等级的机制和过程,ISO 15408（CC）,CC提供了有助于你选择和发展网络安全解决方案的全球统一标准 CC出现实际上是为了统一ITSEC和TCSEC，并取代“Orange Book”。,ISO 15408由三个部分组成,第一部分：定义了如何创建安全目标和需求，还提供了一个术语的概述 第二部分：定义了如何建立能够使商业通信更安全的需求列表 第三部分：提出了如何建立能够达到公司安全需求的“保险内容”的过程。,ISO 15408的第三部分,第三部分的内容描述很仔细和复杂，作为审计人员只需要理解这些条款的基本内容即可。许多专家用它们来： 作为厂商需要的特殊设置 提供了审计人员和IT专家在商业和技术交流中常用的术语 定义了为更新网络或特殊产品而建立特殊过程的需求 需要由软件和硬件厂商声明的证明能力,与安全审计员有关的概念和术语,与安全审计员有关的概念和术语,Eval