（计算机应用技术专业论文）基于审计跟踪技术的信息安全研究.pdf

摘要 随着i n t e r n e t 的发展，网络信息安全逐渐成为i n t e m e t 及各项网络 服务和应用进一步发展的关键问题。传统的方法是对操作系统进行安 全加固，通过各种各样的安全补丁提高系统本身的抗攻击性，如入侵 检测技术，它是在还没被入侵前可能会出现的一些情况所采取的一种 预防性手段。审计跟踪技术是信息安全领域的重要组成部分，它是利 用技术手段，不间断地将计算机和计算机网络上发生的一切事件记录 下来，用事后追查的方法保证系统的安全和防止个别用户对实际发生 的事件否认的抵赖行为。 本文介绍了信息安全的相关知识，并对审计跟踪技术进行了深入 研究。根据安全系统的设计原则，设计出一个可用于网络信息采集并 对之进行分析的审计跟踪系统体系结构模型。在审计跟踪系统的具体 开发实现过程中，将系统划分成主要的四个模块：数据采集、数据分 析、系统管理及信息发布模块。数据采集模块采用基于s m n p r m o n 的数据采集代理技术，可同时收集多个采集点的日志数据。数据分析 模块采用基于b p f 模型的网络信息过滤机制，基于规则库和数据统计 的方法，对原始数据进行匹配和分析，检测出各类入侵安全事件，得 到审计跟踪记录。为保证日志的安全，在日志文件进行存储时引入了 高速缓冲机制。系统管理及信息发布部分，分配不同的用户角色对审 计跟踪记录进行发布，提供了各个层次的安全报告，并且实现对规则 库和发布系统各种参数的管理。 关键词信息安全，安全日志，事件，入侵检测，审计跟踪 a b s t r a c t 助场t h ed e v e l o p m e n to fi n t e r n 西t h en e t w o r ks e c u r i t yg r a d u a l l y b e c o m e st h ek e yq u e s t i o nw h i c hi n t e m e ta n de a c hn e t w o r ks e r v i c ea n d t h ea p p l i c a t i o nf u r t h e rd e v e l o p n et r a d i t i o n a lm e t h o di sc a r r y i n g0 1 1t h e s a f er e i n f o r c e m e n tt ot h eo p e r a t es y s t e m ，e n h a n c e st h es y s t e mi t s e l f a n t i a g g r e s s i v i t yt h r o u g hv a r i o u ss e c u r i t yp a t c h ，s u c h a si n t r u s i o n d e t e c t i o nt e c h n o l o g y 1 1 1 ea u d i t - t r a i lt e c h n o l o g yi so n eo ft h em o s t i m p o r t a n tp a r t si nt h ef i e l do fi n f o r m a t i o ns e c u r i t y f i r s t l y , i t r e c o r d s e v e r y t h i n gf a i t h f u l l ya n du n i n t e r r u p t e d l yi n c l u d i n gu s e r s o p e r a t i o n sa n d o t h e ra c t i v i t i e sh a p p e n e db o t hi nt h el o c a lc o m p u t e rs y s t e ma n dr e l a t e d n e t w o r k 1 1 1 i sa r t i c l ei n t r o d u c e dt h ek n o w l e d g ea b o u ti n f o r m a t i o ns e c u r i t y , a n dc a r r i e do u tad e e p 咖d yt oa u d i tt r a c kt e c h n o l o g y a c c o r d i n gt os a f e s y s t e m sd e s i g np h i l o s o p h y , t h ep a p e rd e s i g n e do n ea r c h i t e c t u r em o d e l o f a u d i t t r a c ks y s t e mw h i c hc a ng a t h e r st h en e t w o r ki n f o r m a t i o na n d a n a l y s i s i t 1 1 1 e s y s t e m i n c l u d e df o u rm o d u l e s ：d a t ac o l l e c t i o n ，d a t a a n a l y s i s ，s y s t e mm a n a g e m e n t a n di n f o r m a t i o nr e l e a s e t h ed a t a c o l l e c t i o nm o d u l ew a sb a s e do nt h et e c h n o l o g yo fs m n p r m o nd a t a c o l l e c t i n ga c t s ，i tc o l l e c t e dt h em a i n f r a m ea n dn e t w o r kl o gf r o mm a n y c o l l e c t i o np o i n t s t h ed a t aa n a l y s i sm o d u l ew a sb a s e do nt h eb p fm o d e l n e t w o r ki n f o r m a t i o nf i l t e r sm e c h a n i s m ，i tm a t c h e da n da n a l y z e dt h e o r i g i na u d i td a t aa c c o r d i n g t ot h er u l el i b r a r yb a s e do nt h er u l el i b r a r ya n d s t a t i s t i c s t oe n s u r et h el o g ss e c u r i t y , t h es y s t e mi n t r o d u c e dh i g h s p e e d s l o w sd o w nm e c h a n i s mi nt h el o gs t o r a g e t h em o d u l ed e t e c t e da l lk i n d s o fe v e n t sa n dg e t st h ea u d i tt r a c kr e c o r d t h es y s t e mm a n a g e m e n ta n d i n f o r m a t i o nr e l e a s em o d u l ep r o v i d e dt h er e p o r t sa b o u ta u d i tr e c o r d a c c o r d i n gt od i f f e r e n tu s e r s ；w h a t sm o r e ，w em a n a g e dt h ep a r a m e t e r si n t h i sm o d u l et o o k e yw o r d si n f o r m a t i o ns e c u r i t y ，s a f ed a i l yr e c o r d ，e v e n t ， i n t r u s i o nd e t e c t i o n ，a u d i tt r a i l i i 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在本论文中作了明确的说 明。： 作者签名：j 斡 日期：盟年月日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名：皲导师签名：互血型l 日期：巡年月多 1 1 课题提出的背景 第一章绪论 随着i n t e m e t 的发展，网络安全逐渐成为i n t e m e t 及各项网络服务和应用进一 步发展的关键问题，特别是i n t e m e t 开始商用化以后，通过i n t e m e t 进行的各种电 子商务业务日益增多，电子商务应用和企业网络中的商业秘密均成为各大商业机 构争夺的目标。然而，近些年对计算机及网络系统的入侵事件频繁发生，网络上 大量的数据信息受到黑客的截获、攻击和篡改，给个人、公司或国家造成了巨大 的损失，所以信息的安全变得越来越重要，研究计算机信息系统的安全性具有重 大的、直接的现实意义。 安全技术也在与网络攻击的对抗中不断发展。传统的做法是部署防火墙f 1 1 1 2 1 ， 这也是应用最为广泛的网络安全解决方案。但随着网络应用复杂程度的提高，仅 靠防火墙对网络的传输内容进行粗粒度的控制是不够的。传统包过滤1 3 1 1 4 1 型防火 墙只能对网络传输的内容进行粗粒度( 传输层以下) 的控制，即针对数据报头的i p 地址、协议、端口号等作过滤控制，无法对网络内容进行顶层应用( 应用层) 的 过滤控制i s 。传统代理型防火墙配置复杂，使用不方便，同样不能进行顶层应用 ( 应用层) 的全面过滤控制。另外防火墙的入侵检测手段单一，无法对层出不穷的 攻击手段进行有效监测，并且缺乏强大的审计机制。 另一种采用的安全方法入侵检测技术在近几年发展比较迅速。入侵检测系统 能使在入侵攻击对系统发生危害之前发现入侵攻击，并利用报警和防护系统驱逐 入侵攻击。在入侵攻击中能减少攻击的损失，在入侵攻击发生后能收集相关信息， 并将其作为防范系统的知识信息添加到知识库中，增强系统的防范能力，避免系 统再次遭到攻击损失嘲。 近年来研究较多的安全技术还有密码技术、身份识别技术、访问控制技术、 数字签名技术、内容审查技术等安全技术。以上这些安全措施都是在还没被入侵 前可能会出现的一些情况所采取的一种预防性手段，而并没有分析网络用户和系 统的行为，并定期进行统计和分析，发现潜在的安全威胁，事后也没有追查。那 么审计跟踪技术却是一种预防+ 追查的安全技术手段。 信息安全审计跟踪技术通过实时监控网络活动，分析用户和系统的行为、审 计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常 7 1 行为进行统计、跟踪识别违反安全法则的行为，使用诱骗服务器记录黑客行为等 功能，使系统管理员可以有效地监控、评估自己的系统和网络。审计跟踪技术是 对防火墙和入侵检测系统的有效补充，弥补了传统防火墙对网络传输内容粗粒度 ( 传输层以上) 的控制不足，同时作为一种重要的网络安全防范手段，对检测手段 单一的入侵检测系统也是有益的补充，能及时对网络进行监控，规范网络的使用， 保证网络信息的安全。 1 2国内外研究现状和水平 审计跟踪技术的概念是由入侵检测技术发展而来的。入侵检测技术的研究最 早可追溯到1 9 8 0 年，由j a m e sa d e r s o n 在( ( c o m p u t e rs e c u r i t yt h r e a dm o n i t o r i n ga n d s u r v e i l l a n c e ) ) 一文中首先提出了入侵检测【8 】【9 】的概念，并指出审计追踪可应用于 监视入侵威胁，但这一设想的重要性当时并没有引起人们的足够重视，因为当时 的系统安全程序都着重于拒绝未经认证主体对重要数据信息的访问。 2 0 世纪9 0 年代，计算机和网络技术取得了突飞猛进的发展。以大型主机为特 征的时代过去了，取而代之的是以p c 机和互联网为特征的网络时代。随着网络 的发展和攻击手段日趋多样化，基于主机的入侵检测系统已经无法胜任，在这种 形势下，面向网络的入侵检测系统发展起来了。1 9 9 0 年，h e b e r l e i n t l o 】等提出了基 于网络的入侵检测的新概念n s m ( n e t w o r ks e c u r i t ym o n “o r ) ，n s m 与此前的i d s 最大的不同在于它并不检查主机系统的审计记录，而是通过在网络上主动监视网 络流量来追踪可疑的行为，并由此提出了审计跟踪技术的概念。 信息安全审计跟踪技术是一种新兴的技术，从出现到发展，也不过十几年的 时间，综合性的信息安全审计跟踪技术和产品还属于起步阶段，国内外的一些其 他的产品大都侧重于某个方面的审计或监控，并不全面。近年来，中国信息安全 产品测评认证中心根据一些行业选型的需求，曾经帮助一些行业，比如金融、税 务等系统测试过一些信息安全审计跟踪系统。实际上，一些防火墙、防止内连和 外连的专项产品，都是属于信息安全审计跟踪范畴，只不过不同的厂商有不同的 命名方法而已。目前，在市场上己经有了一些网络安全审计系统，主要作用是禁 止使用各个存储、通讯端口，禁止指定应用程序的执行，禁止拨号上网，禁止非 法主机接入等。另外，安全审计跟踪系统还具备较强的监控功能以及查询审计功 能，能够截取网络中计算机的屏幕信息，获取f t p ，t e l n e t ，s m t p ，p o p 3 等网络 协议的信息，有效地监控网络中用户所有操作文件的行为，并用一定的记录方式 保存相关信息，是一种非常强大的内网信息安全管理工具【l 。 目前国内关于基于审计跟踪技术的网络信息安全的相关研究文献报道并不 太多，但这几年正逐步发展走来。国外对于这个问题的研究也正在发展过程中， 2 常在一些国家资助的项目中涉及到一些审计跟踪技术的相关问题。 1 3主要研究内容 目前大部分的网络安全技术是针对主机或计算机网络进行保护，很少考虑到 对存储于计算机系统中的信息的保护。当然，现在多数的大型系统本身都提供了 一定的安全措施，但是这些安全措施还具有相当的局限性。目前，针对应用及其 后台的应用级入侵已经变得越来越猖獗，如s q l 注入、跨站点脚本攻击和未经授 权的用户访问等。所有这些入侵都有可能绕过前台安全系统并对信息数据来源发 起攻击。 为了对付这类威胁，新一级别的安全脱颖而出，这就是应用安全【1 2 1 。这种 安全技术将传统的网络和操作系统级入侵检测系统概念应用于数据库( 即应用) 。 与通常的网络或操作系统解决方案不同的是，应用审计跟踪系统提供主动的、针 对s q l 的保护和监视，可以保护数以千计的预先包装或自行开发的w 曲应用【1 3 1 。 例如，应用入侵检测系统可以监视和防护关键的数据，使那些针对系统的攻击， 如缓冲区溢出和w e b 应用攻击等无法对系统造成真正的损害，而且应用审计跟 踪还可以对这些事件进行审查，并它对涉及计算机系统安全保密的操作进行完整 的记录。 如今，安全审计与监控技术在越来越多的大型网络管理系统中得到应用，通 过实时监控网络活动，分析用户和系统的行为、审计系统配置和漏洞等，可以对 异常行为进行统计、跟踪识别违反安全法则的行为，维护网络的安全可靠运行， 使系统管理员可以有效地监控、评估自己的系统和网络。 本文介绍了对信息安全相关概念、对审计跟踪技术进行了深入的研究，并对 审计跟踪系统的实现模型进行了研究设计，实现了网络数据采集、网络数据分析、 报警响应及基于w e b 的信息发布，软件取得了较好的效果。文中的具体工作主要 包括以下几个部分： 1 信息安全和o s i 安全性体系结构简介； 2 常用信息安全技术； 3 审计跟踪技术概述； 4 信息安全审计跟踪系统的设计； 5 审计跟踪系统的具体实现及测试。 将审计跟踪技术应用于计算机系统信息的保护，可以有效地发现对系统的异 常访问，提供对系统的进一步保护。因此，对审计跟踪技技术的研究是一个新的 国际前沿的研究领域，具有重要意义。 1 4论文的安排 本文主要阐述审计跟踪技术相关概念、审计跟踪系统的整体设计和系统的具 体实现方法。本论文共分为六章，各章的具体内容安排如下： 第一章主要介绍课题的研究背景，国内外研究现状，本文的主要研究内容及 论文安排。 第二章主要介绍信息安全相关知识，o s i 安全性体系结构及常用的安全技 术。 第三章主要介绍的审计跟踪技术发展过程，审计跟踪系统的功能、模型、分 类，并探讨审计跟踪技术发展方向。 第四章主要介绍审计跟踪系统总设计情况。首先介绍审计跟踪系统设计目标 及系统功能，然后介绍审计跟踪总体框架和总体结构，最后介绍系统各部分的详 细设计。 第五章详细介绍基于审计跟踪技术的信息安全系统的实现全过程，并对该系 统进行一个局域网环境下的攻击测试。 第六章主要对本论文所做的工作进行总结，并审计跟踪技术的发展做出展 望，最后根据该审计跟踪系统不足之处，提出课题的下一步工作。 4 第二章信息安全与o s i 安全性体系结构 网络在社会生活中的重要性，决定了网络信息安全的重要性，完善的信息安 全保障体系对信息的安全性具有重要的作用。 2 1i n t e m e t 的发展与现状 i n t e m e t 最初开始于上世纪6 0 年代，源自于美国国防研究计划署( a r p a ) 的一 项计划，为了提高超级计算机的共享能力而建立的a r p a n e t ，并于1 9 6 9 年1 2 月连接成功。a r p a n e t 设计之初是为了提供通信网络，可以让科学家们共享数 据、远程访问计算机等，其上的应用如电子邮件越来越流行。在a r p a n e t 上， 人们可以很方便的在研究项目上共同合作，很方便的讨论共同感兴趣的问题。由 于其所具有的系统结构特点，以及采取了系列行之有效的原则，如：t c p i p 体系结构和协议规范、分布式、模块化，端到端( e n dt oe n d ) 等，从而促使其得到 迅速的发展【1 4 1 。 8 0 年代中期，个人计算机和超小型计算机的发展、廉价的桌面系统和功能 强大的网络服务器的集合，使得许多公司加入了i n t e m e t 。公司利用i n t e m e t 与其 它公司或客户进行联系和沟通。此时i n t e m e t 主机数量超过1 0 0 0 0 台。之后，主 机数量与网络流量急剧增加。同时，i n t e m e t 上的各种应用如，w w w 、f t p 、m a i l 、 t e l n e t 、n e w s 等也蓬勃发展，尤其是w w w 技术的发展促使了i n t e m e t 的广泛使 用。经过3 0 多年的发展，i n t e m e t 己经成为连通世界上几乎所有国家、超过一亿 四千万台土机的国际互连网，成为世界上最大的计算机网络，并且成为事实上的 “信息高速公路”( i n f oh i g h w a y ) 。 国际互联网的基本特点就是全球性的广泛连接，这种广泛的连接使信息资源 的作用得到了极其充分的发挥，但也正是这种广泛连接导致了众多不安全因素的 进入。i n t e m e t 的内在脆弱性( 包括t c p i p 协议的内在脆弱性) 导致了安全问题的 产生【1 5 1 ，i n t e r a c t 上的保密和安全问题成了热点。 美国在网络化方面起步最早，主导着全球信息化发展的历程。他们在不同时 期都提出了信息安全的不同范式，从网络技术固有的脆弱性和信息固有的不确定 性出发，提出网络安全不仅是安全设施，而且是一个安全过程；不仅要静态地防 护，而且要动态地适应。并于近年美国全面推出了“信息安全保障体系”概念【1 6 】， 它概括了网络安全的全过程，即边界防卫、入侵检测、安全反应和破坏恢复，较 全面地归纳了网络安全的主要内涵，即鉴别、保密、完整性、可用性、不可抵赖 5 性、责任可核查性和可恢复性；提出了信息安全的几个重点领域，即关键基础设 施的网络安全( 包括电信、油气管网、交通、供水、金融等) 、内容的信息安全( 包 括反病毒、电子信箱安全和有害内容过滤等) 和电子商务旧的信息安全。 2 2信息安全 由于个人计算机的大量普及和各种互联网络应用的蓬勃发展，人们的生活逐 渐步入了信息社会。在信息化社会中，网络的正常运行与安全保障对人们日常工 作生活的重要性日益突出。在国际交往中，信息安全甚至关系到国家的主权和安 全，特别是关键信息的流失或者被篡改，都可能造成不可想象的损失。 2 2 1信息安全概念 信息安全事业起始于本世纪6 0 年代末期。当时，计算机系统的脆弱性已日 益为美国政府和私营部门的一些机构所认识。但是，由于当时计算机的速度和性 能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制。 因此，有关信息安全的研究一直局限在比较小的范围内。进入8 0 年代后，计算 机的性能得到了成千百倍的提高，应用的范围也在不断扩大，计算机己遍及世界 各个角落。而且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共 享资源。但是，随之而来并日益严重的问题是计算机上信息的安全问题。由于计 算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的 脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和 破坏，还有可能受到计算机病毒的感染。 信息安全1 1 8 】是指信息在产生、传输、处理和存储过程中不被泄露或破坏， 确保信息的可用性、保密性、完整性和不可否认性，并保证信息在系统的可靠性 和安全性。在技术的含义就是保证在客观上杜绝对信息属性的安全威胁，使得信 息的主人在客观上对其本源性放心。 信息安全的基本属性是【1 9 】： ( 1 ) 完整性( i n t e g r i t y ) ( 2 ) 可用性( a v a i l a b i l i t y ) ( 3 ) 保密性( c o n f i d e n t i a l i t y ) ( 4 ) 可靠性( r e l i a b i l i t y ) ( 5 ) 可控性( c o n t r o l l a b i l i t y ) 信息安全关系到国家的主权和利益，关系着国家的安全。网络安全是关键， 6 由于网络安全问题的敏感性，不能像引进其它高科技产品一样，大量引进国外网 络安全产品，即所谓先引进使用后消化。因此，安全而实用的网络安全技术的研 究与开发的重要性和必要性显而易见，且迫不及待。 信息安全的威胁主要来自信息网络上的非法操作，其威胁是多种多样的，并 随着时间推移和技术的发展发生着变化。这些威胁既有针对信息运用系统物理环 境的攻击破坏，也有对信息系统软件和信息资源的“软”攻击。主要表现为：信息 泄露、完整性破坏、业务拒绝和非法使用。信息安全的威胁主要来自五种类型的 威胁源1 2 0 1 计算机病毒、网络“黑客”和蓄意入侵、内部失窃和反叛、预置陷阱以 及有组织、有预谋的计算机犯罪等。 2 2 2 信息安全组成及服务 美国国家电信和信息系统安全委员会主席、前国防部副部长l a n t h a m dc 认 为，信息安全包括以下六个方面【2 l 】：通信安全( c o m s e c ) 、计算机安全 ( c o m p u s e c ) 、符合瞬时电磁脉冲辐射标准( t e m p e s t ) 、传送安全( t r a n s e c ) 、 物理安全( p h y s i c a ls e c u r i t y ) 、人员安全( p e r s o n a ls e c u r i t y ) ，其中，计算机安全又 包括实体安全、软件安全、数据安全和运行安全。 下图2 1 给出了网络信息安全模型，报文从源站经网络送至目地站，原站和 目的站是处理的两个主体，它们必须协同处理这个交换。建立逻辑信息通道的目 的是确定从源站经i n t e m e t 至l j 目的站的路由以及两个主体协同使用诸如t c p i p l 2 2 】 的通道协议。 图2 - 1 网络信息安全模型 安全服务是指计算机网络提供的安全保护措施。国际标准化组织( i s o ) 定 义了几种基本的安全服务，他们分别是：谁认证服务、访问控制、数据机密性服 务、数据完整性服务和不可否认服务。 7 1 认证服务 确保某种实体身份的可靠性，可分为两种类型。一种是认证实体本身的身份， 称为实体认证，如通过口令来认证访问者的身份。另一种是证明某个信息是否不 自于某个特定的实体，称为数据源认证，如银行支票上的签名。 2 访问控制 其目标是防止对任何资源的非授权访问，只有经过授权的实体才能访问受保 护的资源。 3 数据机密性服务 数据机密性服务确保只有经过授权的实体才能理解受保护的信息。在信息安 全中主要有两种机密性服务：数据机密性服务和业务流体性服务。前者主要采用 加密手段使得攻击者即使窃取了数据也很难推出有用信息，后者则要使监听都很 难从网络流量的变化上推出敏感信息。 4 数据完整性服务 防止对数据未授权的修改和破坏，使消息的接收者能够发出消息是否被修 改、是否被攻击者用假消息换掉。 5 不可否认服务 根据i s o 标准，不可否认服务要防止对数据源以及数据提交的否认。它有 两种可能：数据发送的不可否认性和数据接收的不可否认性。 2 3信息安全体系结构 信息安全体系的形成主要是根据所要保护的信息系统资源，对资源攻击者的 假设及其攻击的目的、技术手段以及造成后果来分析该系统所受到的已知的、可 能的和该系统有关的威胁，并且考虑到构成系统各部件的缺陷和隐患共同形成的 风险，然后建立起系统的安全需求。安全体系结构的目的，是从管理和技术革新 上保证安全策略得以完整准确地实现，安全需求全面准确地得以全面的满足。 2 3 1c c 安全技术标准 c c 定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国 际上公认的表述信息技术安全性的结构以及如何正确有效地实施这些功能的保 证要求，是目前系统安全认证方面最权威的标准。i s o i i e c1 5 4 0 8 1 9 9 9 信息技术 一安全技术信息技术安全性评估准则( 简称c c ) 2 3 1 ，作为评估信息技术产品和 系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。 8 c c 的内容共分为三大部分：第一部分是简介和一般模型，介绍c c 中的有 关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍“保 护轮廓”和“安全目标”的基本内容；第二部分定义了十一个公认的安全功能要求 类：安全审计类、通信类、加密支持类、用户数据保护类、标识和鉴别类、安全 管理类、隐私类、安全功能保护类、资源利用类、评估对象访问类和可信路径 通道类：第三部分介绍评估保证级别，定义了七个公认的安全保证要求类：构造 管理类、发行与使用类、开发类、指南文档类、生命周期支持类、测试类和脆弱 性评估类。c c 中定义了三种类型的用于描述产品或系统安全要求的组织结构： 安全组织包、保护轮廓和安全目标，安全要求组件可以在这三种类型的组织结构 中得到使用。 2 3 2o s i 安全体系结构 g b 厂r 9 3 8 7 2 一1 9 9 5 信息化处理系统开放系统互连基本参考模型第 二部分：安全体系结构 2 4 1 1 2 5 1 1 2 6 给出了o s i 参考模型的七层协议之上的安全体 系结构。其核心内容是保证异构计算机进程之间远距离交换信息的安全。 g b t 9 3 8 7 2 1 9 9 5 定义了五大类安全服务，提供服务的八类安全机制【27 】以 及相应的开放系统互连的安全管理，并可根据具体系统适当地配置于o s i 模型 的七层协议中。如图2 2 所示。 图2 - 2g b t 9 3 8 7 2 1 9 9 5 三维体系结构图 2 4常用的信息安全技术 由于计算机网络具有联结形式多样、终端分布不均匀性和网络的开放性、互 联性等特征，致使网络易受到黑客、恶意软件和其他不轨行为的攻击，所以网络 信息的安全和保密是一个至关重要的问题。计算机网络系统的安全措施应能全方 9 位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和 可用性。常用的信息安全技术口8 】 2 9 1 主要有： ( 1 ) 加密技术 ( 2 ) 认证技术 ( 3 ) 病毒防治技术 ( 4 ) 防火墙与隔离技术 ( 5 ) 入侵检测技术 当然除此上述的各种安全技术外，还有容错技术防电磁泄漏、虚拟专用网络 ( v p n ) 技术、网上监控、内容审查、内容过滤等安全技术。 1 0 第三章审计跟踪技术 对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监 测、分析、评估是保障网络安全的重要手段。网络安全是动态的，对已经建立的 系统，如果没有实时的、集中的、可视化审计，就不能有效、及时的评估系统究 竟是不是安全的，并及时发现安全隐患；同时能够为网络犯罪案件的侦破和取证 提供精确、宝贵的辅助数据。对网络信息系统的访问控制进行审计和跟踪监控是 保证有效实施访问控制的重要手段，也是访问控制系统【3 0 】管理的重要内容。 3 1审计跟踪技术概述 审计跟踪( a u d i tt r a i l s ) 3 1 】是运用操作系统、数据库管理系统、网络管理系 统提供的审计模块的功能或其它专门程序，对系统的使用情况建立日志记录，以 便实时地监控、报警或事后分析、统计、报告，是一种通过事后追查来保证系统 安全的技术手段。审计跟踪记录系统活动和用户活动，通过书面方式提供应负责 任人员的活动证据以支持职能的实现。系统活动包括操作系统和应用程序进程的 活动；用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工 具和规程，审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程 序中的错误。 职能( a c c o u n t a b i l i t y ) 是记录系统活动并可以跟踪到对这些活动应负责任人 员的能力。在很大程度上，信息的完整性和机密性取决于使用人的职能。也就是 说，人们必须为他们的行为负责。这是一种探测和威慑机制。首先应该制定一系 列行为标准，使用人必须认可这些行为标准；还要由较高级别的管理者对违反标 准的人进行处罚。让用户知道自己的行为被监控也可以阻止潜在的破坏者对安全 的侵害。用户职能可以通过策略、授权方案、识别和鉴别机制、访问控制、审计 跟踪和审计实现。 3 1 1 审计跟踪目的 审计跟踪可以作为对正常系统操作的一种支持，也可以作为一种保证策略或 前两者兼而有之。作为保证策略，所维护的审计跟踪只在需要时使用，比如系统 中断。作为对操作的支持，审计跟踪用于帮助系统管理员确保系统及其资源免遭 黑客、内部使用者或技术故障的伤害。 审计跟踪提供了实现多种安全相关目标的一种方法，这些目标包括个人职 能、事件重建、入侵探测和故障分析。 1 个人职能( i n d i v i d u a la c c o u n t a b i l i t y ) 审计跟踪是管理人员用来维护个人职能的技术手段。通过告知用户应该为自 己的行为负责，通过审计跟踪记录用户的活动，管理人员可以改善用户的行为方 式。如果用户知道他们的行为被记录在审计日志中，他们就不太会违反安全策略 和绕过安全控制措施。 例如在访问控制中，审计跟踪可以用于鉴别对数据的不恰当修改( 如在数据 库中引入一条错误记录) 和提供与之相关的信息。审计跟踪可以记录改动前和改 动后的记录，以确定所作的实际改动。这可以帮助管理层确定错误到底是由用户、 操作系统、应用软件还是由其它因素造成的。 逻辑访问控制是用于限制对系统资源的访问，允许用户访问特定资源意味着 用户通常要通过这种访问完成他们的工作。当然，被授权的访问也会被滥用，这 种情况下审计跟踪就能发挥作用。当无法阻止用户通过其合法身份访问资源时， 审计跟踪就可以用于检查他们的活动。比方说人事部的某员工需要访问他们所负 责的员工的人事记录，通过审计跟踪发现该员工对人事记录的超常打印，这也许 意味着盗卖人事数据。再比方说某工程师需要通过使用计算机来设计新产品，通 过审计跟踪发现在该工程师在设计结束前通过调制解调器进行了可疑的对外通 信，这可以用来协助调查公司的专利数据被非法泄漏给其它公司的事件。 2 事件重建( r e c o n s t r u c t i o no fe v e n t s ) 在故障发生后，审计跟踪可以用于重建事件。通过审查系统活动的审计跟踪 可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。通过对审计 跟踪的分析通常可以辨别故障是操作引起的还是系统引起的。例如，当系统失败 或文件的完整性受到质疑时，通过对审计跟踪的分析就可以重建系统、用户或应 用程序的完整的操作步骤。在对诸如系统崩溃这样的故障的发生条件有清晰认识 的前提下，就能够避免未来发生此类系统中断的情况。而且，在发生技术故障( 如 数据文件损坏) 时，审计跟踪可以协助进行恢复( 通过更改记录可以重建文件) 。 3 入侵探测( i n t r u s i o nd e t e c t i o n ) 如果用审计跟踪记录适当的信息，也可以用来协助入侵探测工作。如果在审 计记录产生时就进行检查( 通过使用某种警告标志或提示) ，就可以进行实时的 入侵探测，不过事后检查( 定时检查审计记录) 也是可行的。 实时入侵探测主要用于探测外部对系统的非法访问。也可以用于探测系统性 能指标的变化以发现病毒或蠕虫攻击。但是实时审计可能会降低系统性能。事后 鉴别可以标示出非法访问的企图( 或事实) ，可以提醒人们对损失进行评估或重 1 2 新检查受攻击的控制方式。 4 故障分析( p r o b l e ma n a l y s i s ) 在线的审计跟踪还可以用于鉴别入侵以外的故障。这常被称为实时审计或监 控。如果操作系统或应用系统对公司的业务非常重要，可以使用实时审计对这些 进程进行监控。 3 1 2 审计跟踪与日志文件 系统可以同时维护多个审计跟踪。有两种典型的日志文件： ( 1 ) 所有键盘敲击的记录，通常称为击键监控； ( 2 ) 面向事件的审计日志。 这些日志【3 2 l 通常包括描述系统事件、应用事件或用户事件的记录。 审计跟踪应该包括足够的信息，以确定事件的内容和引起事件的因素。通常， 事件记录应该列有事件发生的时间、和事件有关的用户识别码、启动事件的程序 或命令以及事件的结果。日期和时间戳可以帮助确定用户到底是假冒的还是真实 的，采用标准化格式记录信息，如表3 1 所示。 表3 - 1 审计跟踪日志格式 格式示例 主体某人 动作写入文件 目标雇员记录文件 例外条件无 资源利用次数 1 0 时间戳 0 9 0 0 0 8 0 1 9 9 虽然有日志文件可供查看，但日志记录大都不具有较好的可读性，如何从大 量的日志信息中提炼出有用信息，如何综合分析诸多日志文件以搜寻出可疑行 踪，历来是烦扰管理员的一件难情。尤其是对于国内的多个用户来说，情形更是 如此。在目前国内的许多公司，管理员很少甚至从不利用日志文件进行追踪，这 虽然与管理员的工作态度或业务能力有一定关系，但也不能不承认，可读性差是 日志文件记录致命的缺陷之一。另外，也不能完全相信系统日志文件，因为系统 管理员查看的日志记录有可能已经被入侵者修改过。因而，如何从这些被破坏的 日志文件中发现入侵者的踪迹，得到有效的查询证据，或者尽最大可能保留一份 完整的日志信息，以提高系统的安全性，这是相当重要的。 3 1 3 审计跟踪技术分类 用户审计跟踪通过记录用户启动的事件( 如访问文件、记录和字段；使用调 制解调器) 来监控和记录系统或应用中该用户的活动。审计跟踪分为系统级审计 跟踪、应用级审计跟踪和用户级审计跟踪。 1 系统级审计跟踪 系统级审计要求审计跟踪至少要能够记录登录( 成功和失败) 、登录识别号、 每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运 行的内容( 如用户启动应用的尝试，无论成功或失败) 。典型的系统级日志还包 括和安全无关的信息，如系统操作、费用记帐和网络性能。 系统级审计跟踪应该能够鉴别登录的成功和失败，在系统不能限制失败登录 的尝试次数时尤其需要这样。遗憾的是，有些系统级审计跟踪无法探测登录尝试， 所以无法进行记录以便日后检查。这样的审计跟踪只能监控和记录成功的登录及 其登录后的活动。记录失败的登录尝试对于有效的入侵探测是必须的。 2 应用级审计跟踪 系统级审计跟踪可能无法跟踪和记录应用中的事件，也可能无法提供应用和 数据拥有者需要的足够的细节信息。通常，应用级审计跟踪监控和记录诸如打开 和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的 用户活动。有些应用会对数据的可用性、机密性和完整性比较敏感，这些应用的 审计跟踪应该记录数据修改前后的数据快照。 3 用户级审计跟踪 用户审计跟踪通常记录用户直接启动的所有命令，所有的鉴别和认证尝试和 所访问的文件和资源。如果连同命令的选项和参数一同记录将会更有用，因为知 道用户想要删除日志文件( 以掩盖非法访问) 比仅仅知道用户使用了删除命令更 有价值。 3 2审计跟踪的技术架构 为了实现计算机系统安全所采取的基本安全措施，信息安全机制中涉及到三 种安全机制：身份认证、访问控制和审计跟踪。 3 2 1 审计跟踪的技术实施架构 审计跟踪技术在保障网络信息安全时，采用图3 - 1 所示架构作为信息安全的 1 4 防护架构。 图3 - 1 审计跟踪技术架构 本模型包含如下基本要素： ( 1 ) 明确定义的主体( 用户) 和客体( 主机) ； ( 2 ) 约束主体对客体访问尝试的一个身份认证机制； ( 3 ) 约束主体对客体内容进行访问的访问控制机制； ( 4 ) 记录主体对客体的访问信息并响应。 为了确保审计跟踪数据的可用性和正确性，审计跟踪数据需要受到保护，因 为不正确的数据也是没用的。而且，如果不对日志数据进行及时审查，规划和实 施得再好的审计跟踪也会失去价值。审计跟踪应该根据需要( 经常由安全事件触 发) 定期审查、自动实时审查、或两者兼而有之。系统管理人和系统管理员应该 根据计算机安全管理的要求确定需要维护多长时间的审计跟踪数据，其中包括系 统内保存的和归档保存的数据。 与实施有关的问题包括： ( 1 ) 保护审计跟踪数据； ( 2 ) 审查审计跟踪数据； ( 3 ) 用于审计跟踪分析的工具。 3 2 2 审计跟踪数据的保护及审查 1 审计跟踪数据的保护 访问在线审计跟踪日志必须受到严格限制。计算机安全管理人员和系统管理 员或职能部门经理出于检查的目的可以访问，但是维护逻辑访问功能的安全和管 理人员没有必要访闯审计日志。 防止非法修改以确保审计跟踪数据的完整性尤其重要。使用数字签名是实现 这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计跟踪 记录以掩盖自己的踪迹是审计跟踪文件需要保护的原因之一。使用强访问控制是 保护审计跟踪记录免受非法访问的有效措施。当牵涉到法律问题时，审计跟踪信 息的完整性尤为重要( 这可能需要每天打印和签署日志) 。此类法律问题应该直 接咨询相关法律顾问。 审计跟踪信息的机密性也需要受到保护，例如审计跟踪所记录的用户信息可 能包含诸如交易记录等不宜披露的个人信息。强访问控制和加密在保护机密性方 面非常有效。 2 审计跟踪数据的审查 可以通过用户识别码、终端识别码、应用程序名、日期时间或其它参数组来 检索审计跟踪记录并生成所需的报告，审计跟踪检查就会比较容易。审计跟踪的 审查和分析可以分为在事后检查、定期检查或实时检查。 ( 1 ) 事后检查 当系统或应用软件发生了故障、用户违反了操作规范、或发现了系统或用户 的异常问题时，系统级或应用级的管理员就会检查审计跟踪。应用或数据的拥有 者在检查审计跟踪数据后会生成一个独立的报告以评估他们的资源是否遭受损 失。 ( 2 ) 定期检查 应用的拥有者、数据的拥有者、系统管理员、数据处理管理员和计算机安全 管理员应该根据非法活动的严重程度确定检查审计跟踪的频率。 ( 3 ) 实时检查 通常，审计跟踪分析是在批处理模式下定时执行的。审计记录会定时归档用 于以后的分析。审计分析工具可用于实时和准实时模式下。此类入侵探测工具基 于审计数据精选、攻击特征识别、和差异分析技术。由于数据量过大，所以在大 型多用户系统中使用人工方式对审计数据进行实时检查是不切实际的。但是，对 于特定用户和应用的审计记录进行实时检查还是可能的。这类似于击键监控，不 过这可能会涉及到法律是否允许的问题。 3 2 3 审计跟踪工具 审计跟踪工具是用于从大量粗糙原始的审计跟踪数据中精选出有用信息。尤 其是在大系统中，审计跟踪软件产生的数据文件非常庞大，用人工方式分析非常 困难。常用的审计跟踪工具主要有审计精选工具、趋势差别探测工具和攻击特 征探测工具。 1 6 ( 1 ) 审计精选工具( a u d i tr e d u c t i o nt o o l s ) ：此类工具用于从大量的数据中 精选出有用的信息以协助人工检查。在安全检查前，此类工具可以剔除大量对安 全影响不大的信息。这类工具通常可以剔除由特定类型事件产生的记录，例如由 夜间备份产生的记录将被剔除。 ( 2 ) 趋势差别探测工具( t r e n d s v a r i a n c e - d e t e c t i o nt o o l s ) ：此类工具用于发 现系统或用户的异常活动。