（计算机软件与理论专业论文）一种基于数字水印日志的安全审计系统的研究与实现.pdfVIP

y7 7 9 5 7 2 一种基于数字水印臼志的安全审计系统的 研究与实现 计算机软件与理论专业 研究生仰石指导教师李涛 信息技术和互联网技术的迅猛发展在给人们带来了生活方便的同时也引入 了众多的安全问题，因此对计算机信息系统的安全性研究也 益得到人们的重 视和关注。而传统的安全防护措施如防火墙技术、入侵检测技术等都有自己的 局限性。而安全审计系统是一个完整安全框架中的”个必要环节，作为防火墙 和入侵检测等系统的一个补充，它能够检测出某些入侵检测无法检测的特殊的 入侵行为；可以对入侵行为进行记录并在任何时间对其进行再现以达到取证的 目的；另外它还可以用来提取一些未知的或未被发现的入侵行为模式等。 在安全审计系统中，可靠、完整的日志记录信息是安全审计的基础和核心。 然而在传统安全审计中，日志记录以明文形式存放，日志记录容易被人非法篡 改或破坏；日志的定义不够完整；h 志一般是限于本机存储，容量有限；分析 审计也仅限于简单的查询等功能。 在本文中，利用数字水印技术与传统的数字加密算法相结合的办法使日志 记录的安全性得到更大的提高，其水印e t 志通过安全v p n 存放于远程专用日志 服务器，从而能很好的避免日志被篡改、伪造。在数字水印日志基础上实现的 安全日志审计，分析审计也就具有可信性与说服力，分析审计结果也就具有很 高的合法性与权威性。 具体说来，本文的主要工作： ( 1 ) 对现行安全审计系统的模型和流程进行了分析和阐述，对两种类型 的安全审计进行了分析比较。 ( 2 ) 分析了数字水印相关技术以及其实现模型，并在系统中实现了水印 添加与水印验证模型。 ( 3 ) 构建了远程安全日志服务器，将日志采集点的日志能过安全v p n 存 放到远程同志服务器。 ( 4 ) 在h 志服务器端实现按不同厂 志类型定义不同h 志文件，并通过文 件头的修改来保证日志文件的完整性。 ( 5 ) 在安全同志服务器端，构建了基于多相关文件的安全f j 志审计模型， 借鉴其s n o r t 规则库定义了安全审计规则库。 ( 6 ) 在安全日志服务器端对r 忐记录、安令审计规则以及安全审计结果 各记录的字段信息进行了定义和说明。 关键词：安全审计数字水印 水印f 1 志卜1 志服务器分析规则库 审计报表 t h er e s e a r c ha n di m p l e m e n t a t i o no fs e c u r i t ya u d i t s y s t e mb a s e d o nd i g i t a l w a t e r m a r k i n gl o g m a j o rc o m p e e rs o f t w a r e & t h e o r y s t u d e n t y a n g s h ia d v i s o rl it a o w i t ht h ec o n v e n i e n c ec o n t r i b u t e db y r a p i dd e v e l o p m e n t o fi n f o r m a t i o n t e c h n o l o g y a n di n t e r n e t ，n u m e r o u ss e c u r i t y p r o b l e m s h a v eb e e ni n t r o d u c e d t h e r e f o r e ，t h er e s e a r c ho fs e c u r i t yi nc o m p u t e ri n f o r m a t i o ns y s t e mh a sa r i s e nt h e a t t e n t i o na n dr e c o g n i t i o ni n c r e a s i n g l y a st r a d i t i o n a lm e t h o d so fn e t w o r ks e c u r i t y , f i r e w a l lt e c h n o l o g ya n di n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) b o t hh a v et h e i r s h o r t c o m i n g sa n dl i m i t a t i o n s a sa ni n d i s p e n s a b l ep a r to ft h ec o m p l e t es e c u r i t y f r a m e w o r ka n dac o m p l e m e mo ff i r e w a l ls y s t e ma n di d s ，s e c u r i t ya u d i ts y s t e m ( s a s ) c a nd e t e c ts o m es p e c i a lp o t e n t i a ls e c u r i t yv i o l a t i o n st h a ti d sc a n tf i n do u t ；i t c a nr e c o r dt h ei n t r u s i o n sa n dr e c u rt h e ma ta n yt i m ef o ru st og e tn e t w o r ki n t r u s i o n e v i d e n c e 1 tc a r ta l s ob eu s e dt op i c ku ps o m eu n k n o w no ru n d e t e c t e di n t r u s i o n m o d e s i nt h ep r o c e s so fs e c u r i t ya u d i t ，r e l i a b i l i t ya n di n t e g r i t yo fl o gi st h ef o u n d a t i o n a n dk e r n e l b u tt h et r a d i t i o n a ll o gi ss t r o r a g e dw i t hp l a i nt e x t ，a n dc a nb ee a s i l y m o d i f i e do rd e s t r o y e dl a w l e s s l y t h ed e f i n i t i o no fl o gi si n c o m p l e t e t h el o gi s u s u a l l ys t o r e da tt h el o c a lm a c h i n e ，t h ec a p a b i l i t yo fs t o r a g ei sl i m i t e d ，a n da u d i t a n a l y s i si sl i m i t e dt ot h ef u n c t i o no fs i m p l ei n q u i r y t h i sp a p e rs h o w st h a tt h es e c u r i t yo fl o gc a r lb ei m p r o v e db yt h ec o m b i n a t i o no f d i g i t a l w a t e r m a r k i n gt e c h n o l o g ya n dt r a d i t i o n a le n c r y p t i o n ，a n dm o d i f i c a t i o na n d f a l s i f i c a t i o no ft h el o gc a nb ew e l la v o i d e d ，a n dt h ed i g i t a l w a t e r m a r k i n gl o gi s s t o r a g e di nt h er e m o t el o gs e r v e rt h r o u g ht h ev i r t u a lp f i v m en e t w o r k ( v p n ) t h e p r o c e s so fa u d i ta n da n a l y s i sb a s e do nd i g i t a l - w a t e r m a r k i n gh a sm o r er e l i a b i l i t ya n d i s t r i n g e n c y t h e r e f o r e ，t h er e s u l to f a u d i th a sm u c hh i g h e rv a l i d i t ya n da u t h o r i t y s p e c i f i c a l l y , t h ec o n t r i b u t i o ni nt h ep a p e ri n c l u d e st h ef o l l o w i n g ： 1 a n a l y s i sa n de x p l a n a t i o no ft h em o d e la n dp r o c e s so ft h ec u r r e n ts e c u r i t y a u d i ts y s t e ma n dac o m p a r i s o nb e t w e e nt w ot y p e so fs e c u r i t ya u d i ti si n c l u d e d 2 a n a l y s i so ft h ec o n e l a t i v et e c h n o l o g ya n dm o d e lo fd i g i t a l w a t e r m a r k i n g ， a n di m p l e m e n t a t i o no f t h em o d e lo f a d d i n gw a t e r m a r ka n dv a l i d a t i n gw a t e r m a r k 3 t h el o n g d i s t a n c es e c u r i t yl o gs e r v e ri ss e tu p ，a n dl o g sc a l lb es t o r e di nt h e l o n g d i s t a n c el o gs e r v e rt h r o u g hv i r t u a lp r i r a t en e t w o r k ( v p n ) 4 、ad e f i l f i t i o no fd i f f e r e n tl o gf i l e si nt h el o gs e r v e ri sm a d e ，a n dt h ei n t e g r i t y o f t h ef i l e si ss e c u r e db ym o d i f i c a t i o no f t h eh e a do f t h ef i l e s 5 i m p l e m e n t a t i o no ft h em o d e o fs e c u r i t yl o ga u d i tb a s e do nc o r r e l a t i v ef i l e s i sm a d ei nt h el o gs e r v e r , a n dt h er u l el i b r a r yo fs e c t w i t ya u d i ti sd e f i n e dw i t h r e f e r e n c et ot h er u l el i b r a r yo f s n o r t 6 t h ef i e l d so fl o g s ，t h er u l e sa n dr e s u l t so ft h es e c u r i t ya u d i ta r ed e f i n e da n d i l l u m i n a t e di nt h el o gs e r v e n k e y w o r d s ：s e c u r i t ya u d i t d i g i t a l w a t e r m a r k i n gd i g i t a l w a t e r m a r k i n gl o g s e c u r i t yl o gs e r v e r r u l el i b r a r i e s a u d i tr e p o r t 四川人学硕士学位论文 1 绪论 1 1背景 来自网络的安全威胁日益增多，很多威胁并不是以网络入侵的形式进行的， 这些威胁事件多数是来自于内部合法用户的误操作或恶意操作，仅靠系统自身 的日志功并不能满足对这些网络安伞事件的审计要求，网络安全审计系统正是 在这样的安全审计需求下产生的。网络安全审计通常要求专门细致的协议分析 技术，完整的跟踪能力，和数据查询过程回放功能。 在进行安全审计中，其核心是针对e t 志进行分析审计，作为传统的安全审 计系统，对原始日志自身的安全往往考虑不周，传统的日志记录是以明文方式 存于服务器中的，这种方式很不安全，日志记录容易被人非法篡改或破坏，因 此对日志记录的安全性要求越来越高。在本文中，利用数字水印技术与传统的 数字加密算法相结合的办法使日志数据的安全性得到更大的提高。 这种技术是通过在同志记录中嵌入秘密信息水印来证实该日志记录的 所有权。这种被嵌入的水印可以是一段文字、标识、序列号等，而且这种水印 通常是不可见或不可察的，它与原始日志记录密结合并隐藏其中，不影响对该 f 1 志记录的审讯、查询等操作。 将数字水印技术应用于计算机系统安全日志文件，保证了同志内容的完整 性，防止日志内容被第三方截获、修改和重构，确保日志文件的权威性和不可 抵赖性。因而建立在此基础上的基于日志的安全审计系统也就更具有可信性， 其审计结果也就更具有说服力与权威性，从而能有效的保证安全审计系统的自 身的安全性。 1 2 课题来源 本课题是李涛教授主持的四川大学计算机网络与安全研究所( n i s e c ) 的众多 课题之一，n i s e c 长期致力于计算机网络与安全、电子商务、电子政务、智能信 息系统等领域的理论与技术的研究，研制成功c a 认证中心、新型智能防火墙、 p u 川大学顺士学位论文 i d s 、安全v p n 、安全电子邮件系统、安全w e b 服务器、灾难紧急救援系统、 多功能网络安全服务器、国库直接支付系统、政府采购系统等八大系列1 0 多个 产品，应用范围遍及全省各地市州县乡镇。 该系统是这些安全产品中的一个重要组成部份，是作为安全性保证的一个重 要途径，是其安全防护的必要的补充。如在防火墙系统中，安全f 1 志审计与实 时包过滤是相互相成，实时包过滤是针对当前网络数据包进行过滤判断，而安 全审计则可以对历史过滤曰志进行分析审计，最大限度地避免了攻击的发生。 1 3 国内外研究应用现状 网络与信息安全问题日益突出，几志作为安全系统的一个重要组成部份， 因而对日志审计也就变得越来越重要。 国内外对于网络安全审计系统的研究起步是比较晚的，1 9 8 0 年，a n d e r s o n 首次提出了利用系统日志信息进行安全审计的思想，直到1 9 9 5 才发布了第一个 具有实用性的网络安全漏洞审计软件s a t a n ，但是s a t a n 的技术要求高，使 用非常不方便。虽然近年来出现了许多此方面的工具，但大多数是基于系统用 户的审计工具，如s e c u r i t yc o n f i g u r a t i o ne d i t o r ( s c e ) i nw i n d o w sn t5 0 或者 u n i x 下自带的审计工具，对于整个网络中安全事件的审计能力有限，此外一般 的审计软件，对数据的采集有一定的限制。审计的基础是数据，数据是如何采 集得到的在很大程度上决定了一个审计软件的质量。由此可见，未来的网络安 全审计系统应该更加独立，成为个独立的安全软件，其地位将等同于现在的 防火墙和i d s 。 在安全审计中，针对其审计对象不同可以分为基于主机的安全审计与基于 网络的安全审计。两者间既相互区别，又相互联系，其两者问的比较如表1 1 所 不。 利用系统目志进行安全审计分析的思想，最早是在1 9 8 0 年a n d e r s o n 的论文 中正式提出的，至今研究经历了余年的2 0 研究和发展，已经形成了较为完备的 理论和实际应用系统，包括针对各种安全策略的具体审计策略的确定、安全审 计标准，安全审计等级划分、安全相关事件的确定等方面；而目前主流的操作 叫川人学硕土学位论= 壹= 传统安全审计系统网络安全审计系统 研究历史2 0 多年 近儿年 理论状况较完备处于探索阶段 实际系统己经被普遍应用应用相对较少 审计重点系统中的用户及进程行为网络访问行为及网络数据包 系统举例 w i n d o w sn t ，s u n0 s i n s p e c t ， n a s h i d 表1 1 安全审汁系统比较 系统，均有自己较为完善的安全审计机制，包括各种u n i x l i n u x 的s y s l o g 的机 制、w i n d o w sn t 符合c 2 安全等级s c e ( s e c u r i t yc o n f i g u r a t i o ne d i t o r ) 的机制等。 网络安全审计系统是近几年网络安全领域的研究重点之一，其不能直接利 用传统安全审计理论和审计系统的原因在于两者所面对的计算环境和审计重点 不同。传统的安全审计系统没有记录足够的进行网络入侵检测所需要的信息， 传统安全审计系统主要针对系统中已登录用户的行为及系统中进程的行为进行 记录和审计，从网络协议的观点来看，这些均属于高层应用层信息。在p r i c e 的 综述中，只有一种传统的安全审计系统记录了少量i p 栈的相关信息，这就是s u n 公司的b s m ( b a s i cs e c u r i t ym o d u l e ) 系统，这可以认为是该模型在网络安全审计 方面的探索。 目前真正成熟的网络安全审计系统基本上没有，而国内外的学者和厂商正 加紧进行这方面的研究，德国的i n s p e c t 分布式网络安全审计系统、p u r d u e 大学 的n a s h i d 系统等是这方面的试验性系统。 在国际与国内规范中都将安全审计放在了重要的位置。在c c 准则与t c s e c 准则中，对网络安全审计定义了一套完整的功能与基本要求。在计算机信息系 统安全保护等级划分准则中，对安全定义了五个级别，从第二个级别开始就需 要基本的审计功能，越高的级别对于审计的要求也越高。 日志审计用于检查网络上发生的与安全相关的活动，以及谁对这个活动负 责。同志审计不仅可以判断系统是否正常运行，而且还能发现系统中的异常操 作和破坏性尝试，并对违规的操作进行攻击告警、策略转移、攻击阻断和事故 分析以及故障后系统的重建。因此，安全审计是保证网络安全必不可少的一种 手段。 现阶段基于网络日志的安全审计系统刚刚起步，其审计重点也仅局限在网 i i 大学硕士学位论文 络访问行为和网络中的各种数据上。网络安全产品对相应的日志审计也不够重 视，r 志记录通常都是以明文方式存放，对臼志的审计也仅局限于简单的日志 查淘，很少能支持专用的日志服务器，且f 志的完整性验证有限，对审计的日 志安全考虑不周，不能有效地防i l 日志被篡改或伪造，从而无法保证其所审计 同志的可信性与原始性。 本文扶日志审计安全出发，将数字水印技术应用了二计算机系统安全日志审 计中，从而保证了同志内容的完整性，防止日志内容被第三方截获、修改或重 构，确保日志记录的权威性和不可抵赖性，并将水印f f 志通过安全隧道存放于 远程的专用同志服务器，从而为安全审计提供保证。而基于此的安全r 志审计 结果也就更具有可信性与权威性。 1 4 本文工作 本文研究了现行的基于网络日志的安全审计系统的模型与流程，详细分析 了其实现过程与自身所具有的缺陷，并将数字水印技术与加密算法引入到网络 闩志安全中，提出并实现了一种基于数字水印的网络日志的安全审计系统 ( s a s ， s e c u r i t ya u d i ts y s t e m ) 。 具体来说，本文工作如下： 1 对现行安全审计系统的模型和流程进行了分析和阐述，对两种类型的安 全审计( 基于主机与基于网络) 进行了分析比较。 2 分析了数字水印相关技术以及其实现模型，并在系统中实现了水印添加 与水印验证模型。 3 构建了远程安全日志服务器，将日志采集点的日志能过安全v p n 存放 到远程日志服务器。 4 在曰志服务器端实现按不同曰志类型定义不同日志文件，并通过文件头 的修改来保证日志文件的完整性。 5 在安全同志服务器端，构建了基于多相关文件的安全同志审计模型，借 鉴其s n o r t 规则库定义了安全审计规则库。 6 在安全日志服务器端对日志记录、安全审计规则以及安全审计结果各记 录的字段信息进行了定义和说明。 叫川大学颂上学位沦丈 1 5 论文结构 本文辛要论述了现行的以网络h 志为基础的安全审计系统模型，针对其当前 系统的缺陷，并提出了一种基于数字水印的安今日志审计模型。 论文结构如下： 第一章，( 即本章) 讲述课题背景、来源，国内外研究现状及本文工作。 第二章，对安全审计的相关理论进行了介绍，包含安全审计的概念、安全审 计的国际标准、安全审计的功能需求、安全审计的功能模型与其常规的安全审 计流程。这是全文的理论基础。 第三章，阐述了数字水印的基本原理，重点介绍了数字水印的实现模型，并 在最后对其设计准则与发展趋势进行说明。 第四章，对本文所提出的基于数字水印模型的安全审计系统进行了总体的说 明，包含其系统结构以及其总体框架，并对其三个主要模块进行详细说明，包 含水印日志生成模块、日志分析与审计模块、审计结果发布模块，在最后，对 该系统中所要解决的关键问题进行了阐述。 第五章，针对上一章的总体设计，本章从三个主要模块出发，对其详细实现 做了说明，围绕水印同志的生成、水印日志传输与保存、以及水印日志的分析 与审计、以及其审计结果的查看流程对系统的实现进行了详细的介绍。该章是 对上一章的补充与细化。 第六章，在完成其系统模块的基础上，本章从安全臼志服务器角度出发，说 明了其系统的架构与基本功能，对在目志服务器端存放日志数屠库中的日志记 录格式进行了说明，最后对其整个系统的安全性进行了总结。 第七章，对全文进行了总结。 1 6小结 现代安全计算机系统，除了要求有数据加密、身份验证、访问控制等安全措 施以外，还要求有安全审计功能。安全审计是在计算机系统中用来监视、记录 和控制用户活动的一种机制，它的主要目的是检测和阻止非法用户对计算机系 统的入侵，并显示合法用户的误操作。通过对审计曰志文件的分析，我们可以 5 - 四川1 人学硕士学位论文 有效阻止这些访问或者在事后进行分析和追查。审计作为安全系统的重要组成 部分，在安全系统中占很重要的地何，因而对安全审计系统的研究具有很好的 前途和价值。 。6 四j 1 1 大学硕l j 学位论文 2 安全审计基本理论 2 1 安全审计的简介 网络安全审计系统相当于飞机 ：的“黑匣子”。目前有关网络安全产品种类 繁多，但是，征所谓“道高一尺，魔高一丈”，没有任何一种单一的技术可以确 保网络的绝对安全。一旦这些防御体系被突破怎么办? 至少应该知道系统是怎 样遭到攻击的，此外还要知道系统存在什么漏洞。如何能使系统在遭受攻击时 有所察觉，如何获取攻击者所留下的证据，这正是网络安全审计要解决的问题。 1 9 9 8 年，国际标准化组织( i s o ) 和国际电工委员会( i e c ) 发表了“信息 技术安全性评估通用准则2 0 版”( i s o i e c l 5 4 0 8 ) ，俗称c c 准则，目前它已被 广泛地用于评估一个系统的安全性。在这个标准中，国际上有关信息技术安全 评估标准中对信息系统安全审计有个完整的定义：信息系统安全审计主要是 针对与安全有关活动的相关信息进行识别、记录、存储和分析；审计的记录用 于检查网络上发生了哪些与安全有关的活动，谁( 哪个用户) 对这个活动负责。 信息系统的安全与否是一个相对的概念，从来就没有绝对的安全，只有相 对的安全，这和物理速度只能无限接近光速是一样的道理，人们可以在实验室 里模拟9 9 9 9 的光速，但要是再提高0 0 0 9 的速度则需要投入数十倍于现在设 备的投资方可实现，其实我们在安全上投资也是这样，当安全级别到一定程度 的时候。若还要想提高整体的安全级别，此时的高额投入带来的效果却不明显。 在网络安全整体解决方案日益流行的今天，对于用户来说，与其花费大量的人 力、物力去建立庞大的安全系统，倒不如根据自身需要，通过弥补薄弱的漏洞 去构建切合实际的安全系统，这些弥补漏洞的工作不需要或者只需要添加少量 的设备，通过合理的整合企业内部资源，就能达到四两拨千斤的效果。 那么怎样去弥补漏洞呢? 这就需要一个完善的审计评估系统，安全审计系 统就是根据定的安全策略记录和分析历史操作事件及数据，发现能够改进系 统运行性能和系统安全的地方。 如果将防火墙、入侵检测、防病毒等安全系统是主动防御工具，比作是各 种兵器的话，那么审计系统更像是内功心法，无论多么强大的兵器，如果在酱 列川大掌硕士学位论义 通人手中，是不能发挥多大作用的，真正的高手可以凭借内力，一把小刀，一 柄铁剑就可以笑傲江湖，纵横四海，审计系统是通过建立内部系统的安全审计 制度，辅以相应的分析手段和工具，由“内”提升“内力”，杜绝了外强中干的 现象。 安全审计的作用包含以下几点： 对潜在的攻击者起到震慑或警告的作用； 检测和制止对安全系统的入侵： 发现计算机的滥用情况； 为系统管理员提供系统运行的同志，从而能发现系统入侵行为和潜在的 漏洞： 对已经发生的系统攻击行为提供有效的追纠证据：； 安全审计的从其被审计的对象来分，可以包含以下几种类型： 操作系统的审计 应用系统的审计 设备的审计 网络应用的审计 2 2安全审计的国际性标准 标准是技术性法规，是一种依据和尺度。国际性的标准化组织主要有国际 化组织( i s o ) 、国际电器技术委员会( i e c ) 及国际电信联盟( i t u ) 所属的电 信标准化组织( i t u t s ) 。i s o 是一个总体标准化组织，而i e c 在电工与电子技 术领域里相当于i s o 的位置。 目前国际上比较重要的安全标准有美国t c s e c ( 橙皮书) ，欧洲i t e s c ， 加拿大c t c p e c 、美国联邦准则( f c ) 、联合公共准则( c c ) 。它们的关系如图 2 1 所示。 2 2 1 美国可信计算机安全评价标准( t c s e c ) t c s e c 标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。 该准则于1 9 7 0 年由美国国防科学委员会提出，并于1 9 8 5 年1 2 月由美国国防部 - 8 叫川人学钡卜学位论文 】9 8 5 美国可信计 算机系统评估准 则t c s e c 1 9 9 0 加拿人可信计 算机产品评价准! j | 【j c t c p e c 1 9 9 0 欧洲信息技 术安全评 价准则i t s e c 美国联邦政 府评价准则f c 1 9 9 5 国际通剧 准则c c 9 9 9 年c c 成为 国际标准 幽2 1安全准! j l i j 发展以及相互关系 公布at c s e c 最初只是军用标准，后来延至民用领域。t c s e c 将计算机系统的 安全划分为4 个等级、8 个级别。 d 类安全等级：d 类安全等级只包括d l 一个级别。d 1 的安全等级最低。 d 1 系统只为文件和用户提供安全保护。d 1 系统最普通的形式是本地操作系统， 或者是一个完全没有保护的网络。 c 类安全等级：该类安全等级能够提供审慎的保护，并为用户的行动和责任 提供审计能力。c 类安全等级可划分为c l 和c 2 两类。c l 系统的可信任运算基 础体制( t r u s t e dc o m p u t i n gb a s e ，t c b ) 通过将用户和数据分开来达到安全的目 的。在c 1 系统中，所有的用户以同样的灵敏度来处理数据，即用户认为c l 系 统中的所有文档都具有相同的机密性。c 2 系统比c 1 系统加强了可调的审慎控 制。在连接到网络上时，c 2 系统的用户分别对各自的行为负责。c 2 系统通过登 陆过程、安全事件和资源隔离来增强这种控制。c 2 系统具有c l 系统中所有的 安全性特征。 b 级中有三个级别，b l 级即标志安全保护，是支持多级安全( 比如秘密和 绝密) 的第一个级别，这个级别说明一个处于强制性访问控制之下的对象，系 统不允许文件的拥有者改变其许可权限。 安全级别存在保密、绝密级别，如国防部和国家安全局系统。在这一级， 四川大学硕士学位论义 对象( 如盘区和文件服务器目录) 必须在访问控制之下，不允许拥有者更改他 们的权限。 b 1 级安全措施的计算机系统随着操作系统而定。政府机构和防御承包商们 是b l 级计算机系统的主要拥有者。 b 2 级也称为结构保护，要求计算机系统中所有对象都加标签，而且给设备 分配单个或多个安全级别。这是提出的较高安全级别的对象与另一个较低安全 级别对象相互通信的第一个级别。 b 3 级或称安全域级别，使用安装硬件的办法来加强域。例如，内存管理硬 件用于保护安全域免遭无授权访问或其他安全域对象的修改。该级别要求用户 终端通过一个可信任途径连接到系统上。 a 类安全等级：a 系统的安全级别最高。目前，a 类安全等级只包含a 1 一 个安全类别。a 1 类与b 3 类相似，对系统的结构和策略不作特别要求。a 1 系统 的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系 统分析后，设计者必须运用核对技术来确保系统符合设计规范。a 1 系统必须满 足下列要求：系统管理员必须从开发者那罩接收到一个安全策略的正式模型：所 自_ 的安装操作都必须由系统管理员进行：系统管理员进行的每一步安装操作都 必须有正式文档。 2 2 2 欧洲的信息技术安全评价标准( i t s c e ) i t s c e 是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商 业。该标准将安全概念分为功能与评估两部分。功能准则从f 1 f 1 0 共分1 0 级。 l 5 级对应于t c s e c 的d 到a 。f 6 至f 1 0 级分别对应数据和程序的完整性、 系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的 网络安全。评估准则分为6 级，分别是测试、配置控制和可控的分配、能访问 详细设计和源码、详细的脆弱性分析、设计与源码明显对应以及设计与源码在 形式上一致。 2 2 3 加拿大的可信计算机产品评价准则( c t c p e c ) c t c p e c 专门针对政府需求而设计。与i t s e c 类似，该标准将安全分为功 1 0 四川大学硕上学位论文 能性需求和保证性需要两部分。功能性需求共划分为四大类：机密性、完整性、 可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别， 分级条数为0 5 级。 2 2 4 美国联邦政府评价准则( f c ) f c 是对t c s e c 的升级，并引入了“保护轮廓”( p p ) 的概念。每个轮廓都 包括功能、开发保证和评价三部分。f c 充分吸取了i t s e c 和c t c p e c 的优点， 在美国的政府、民间和商业领域得到广泛应用。 2 2 5 国际通用准则( c c ) c c 是国际标准化组织统一现有多种准则的结果，是目自f 最全面的评价准则。 1 9 9 6 年6 月，c c 第一版发布：1 9 9 8 年5 月，c c 第二版发靠；1 9 9 9 年1 0 月c c v 2 1 版发布，并且成为i s o 标准。c c 的主要思想和框架都取自i t s e c 和f c ， 并充分突出了“保护轮廓”概念。c c 将评估过程划分为功能和保证两部分，评 估等级分为e a l l 、e a l 2 、e a l 3 、e a l 4 、e a l 5 、e a l 6 和e a l 7 共七个等级。 每一级均需评估7 个功能类，分别是配置管理、分发和操作、开发过程、指导 文献、生命期的技术支持、测试和脆弱性评估。 2 2 6 国家标准 由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准 g b l 7 8 9 5 - - 1 9 9 9 计算机信息系统安全保护等级划分准则已经正式颁布，并于 2 0 0 1 年1 月1 日起实施。该准则将信息系统安全分为5 个等级： 1 ) 自主保护级； 2 ) 系统审计保护级； 3 ) 安全标记保护级： 4 1 结构化保护级： 5 ) 访问验证保护级。 主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐 必川大学坝士字位论文 蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等， 这些指标涵盖了不同级别的安全要求。 另外还有信息处理系统开放系统互联基本参考模型第2 部分：安全体系 结构( g b t9 3 8 7 21 9 9 5 ) 、信息处理数据加密实体鉴别机制第1 部分：一般模 型( g b1 5 8 3 4 1 - - 1 9 9 5 ) 、信息技术设备的安全( g b 4 3 9 3 - - 1 9 9 5 ) 等。 2 3 安全审计功钱需求 安全审计的主要功能包括：安全审计自动响应( s e c 嘶t ya u d i ta u t or e s p o n s e ) 、 安全审计数据生成( s e c u r 时a u d i td a t ag e n e r a t i o n ) 、安全审计分析( s e c u r i t ya u d i t a n a l y s i s ) 、安全审计浏览( s e c 谢t ya u d i tr e v i e w ) 、安全审计事件存储( s e c u r i t ya u d i t e v e n ts t o r a g e ) $ 1 安全审计事件选择( s e c u r i t ya u d i te v e n ts e l e c t i o n ) 等。 2 3 1 安全审计自动响应 安全审计自动响应是指当审计系统检测出个安全违犯事件( 或潜在的违 犯) 时采取自动响应措施。c c 准则中只定义了一种响应措旖：安全报警。但在 实际中可以自己定义多种响应措施。一个系统实现了安全审计自动响应将会实 时通知管理员网络上发生的事件，某些自动响应措施还可以实时地降低损失。 2 3 2 安全审计数据生成 安全审计事件生成与安全相关事件的记录。其中包括两个组件的定义： f a u g e n 1 规定了哪些事件被记录，每条记录包含的信息：f a ug e n 2 规定 了将审计记录和用户联系起来。 2 3 3 安全审计分析 安全审计分析主要是指对系统活动和审计数据的自动分析能力。安全审计 分析的能力直接关系到能否识别真正的安全入侵行为。入侵检测技术是实时的 安全审计分析的基础。 四川大学顺卜学位论文 2 3 4 安全审计浏览 安伞审计浏览( r e v i e w ) 主要是指经过授权的管理人员对于审计记录的访问 和浏览。审计系统需要提供审计浏览的工具。通常审计系统对审计数据的浏览 有授权控制，审计记录只能被授权用户访问，并且对于审计数据也是有选择地 进行浏览。 2 3 5 安全审计事件选择 安全审计事件选择是指管理员可以选择接受审计的事件。一个系统通常不 可能记录和分析所有的事件。因为选择过多的事件将无法实时处理和存储，所 以安全审计事件选择的功能可以减少系统开销，提高审计效率。此外，因为不 同场合的需求不同，所以需要为特定场合配置特定的审计事件选择。审计系统 应该能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审 计。例如：与目标标识、用户标识、主体标识、主机标识或事件类型有关的属 性。 2 3 6 安全审计事件存储 安全审计事件存储主要是指对审计记录的维护，包括如何保护审计、如何 保护审计记录的有效性，以及如何防止审计数据的丢失。审计系统需要对审计 记录、审计数据进行严格保护，防止未授权的修改、还需要考虑在极端情况下 保证审计数据的有效性。 安全审计系统应该是网络多个层次上的审计，它既要能够对低层网络数据 通信进行审计，又要能对高层应用服务进行审计。对于一个地点分散、站点众 多、各种联网方式共存的大规模网络，安全审计系统应该覆盖整个系统。即安 全审计系统应对每个子系统都能进行安全审计，这样才能保证整体的安全。通 过全网络的安全审计建立起一套完整的安全监控体系。 凹川大学颂 ：学位论文 2 4安全审计的功能模块 安全审计从功能需求出发，可将系统细分为以下模块： 事件鉴别器( e v e n td i s c r i m i n a t o r ) ，提供事件的初始化，并且确定事件 是应该送到审计记录器，还是报警处理器。 审计记录器( a u d i tr e c o r d e r ) ，从收到的消息中产生审计记录，并且在 安全审计跟踪存储该记录。 报警处理器( a l a r mp r o c e s s o r ) ，既产生审计消息，又对安全报警采取合 适的行动进行响应。 审计分析器( a u d i ta n a l y z e r ) ，检测每条安全审计跟踪记录，如匹配成 功，产生安全报警和安全审计消息。 安全跟踪审查者( a u d i tt r i a le x a m i n e o ，从一条或多条安全审计跟踪记录 中产生安全报告。 附加功能模块用于支持分布式的安全审计和报警，包括： 审计跟踪收集器( a u d i tt r i a lc o l l e c t o r ) ，从分布式的安全审计跟踪收集 记到一个安全审计跟踪。 审计发送器( a u d i td i s p a t c h e r ) ，传送部份或者全部的分布式的安全审 计跟踪到审计跟踪收集器。 2 5 安全审计模型 安全审计模型和报警模型包含几个部份，当检测出一个事件后，必须做出 决定该事件是安全相关事件还是与安全无关的事件，事件鉴别器接受到事件后， 确定应该产生安全审计消息，或者产生安全报警消息，或者两者都产生。安全 审计消息发送到审计记录器，安全报警发送到报警记录器，等待下一步的评估 和行动。安全审计消息被格式化，转换成安全审计记录，包括在安全审计跟踪 罩。部份安全审计跟踪可能存档，安全审计跟踪和安全审计跟踪的存档都用来 产生安全报告，这些报告的来源是针对特别的标准选择特别的安全审计跟踪记 录。总之，安全审计跟踪可能用于分析，安全审计报告或者安全报警的产生， 其模型如图2 2 所示。 四川人学锁l 学位论文 图2 2 安全审计流程模型 2 6安全审计流程与范围 电子数据安全审计工作的流程是：收集来自内核和核外的事件，根据相应 的审计条件，判断是否是审计事件。对审计事件的内容按n 志的模式记录到审 计日志中。当审计事件满足报警阀的报警值时，则向审计人员发送报警信息并 记录其内容。当事件在一定时间内连续发生，满足逐出系统闽值，则将引起该 事件的用户逐出系统并记录其内容。 安全审计过程如下： 1 记录和搜集有关的审计信息，产生审计数据记录。 2 对数据记录进行安全违反分析，以检查安全违反与安全入侵原因。 3 对其分析产生相应的分析报表。 4 评估系统安全，并提出改进意见 其简化为三个功能模块，如图2 3 所示。 常用的报警类型有：用于实时报告用户试探进入系统的登录失败报警以及 用于实时报告系统中病毒活动情况的病毒报警等。 四川1 大学坝t 学位论叟 审计事件产生和收集卜_ 叫事什安全审计i 叫审计结果发布 将网络日志定时 收集并实时传输 到日志服务器 接收日志，并对 日志进行分析 过滤，并按同定 格式存放 图2 3 安拿审计流群 审计人员可以查询、检查审计同志以形成审计报告。检查的内容包括：审 计事件类型：事件安全级；引用事件的用尸i ；报警：指定时问内的事件以及恶 意用户表等，上述内容可结合使用。 审计有人工审计，计算机手动分析、处理审计记录并与审计人员最后决策 相结合的半自动审计，依靠专家系统做出判断结果的自动化的智能审计等。为 了支持审计工作，要求数据库管理系统具有高可靠性和高完整性。数据库管理 系统要为审计的需要设置相应的特性。 在系统中，审计通常作为个相对独立的子系统来实现。审计范围包括操 作系统和各种应用程序。操作系统审计子系统的主要目标是检测和判定对系统 的渗透及识别误操作。其基本功能为：审计对象( 如用户、文件操作、操作命 令等) 的选择；审计文件的定义与自动转换；文件系统完整性的定时检测；审 计信息的格式和输出媒体；逐出系统、报警阈值的设置与选择；审计日志记录 及其数据的安全保护等。 应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行 监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制是否在 发挥正确作用：判断程序和数据是否完整；依靠使用者身份、口令验证终端保 护等办法控制应用程序的运行。 四川大学坝十学位论殳 2 7小结 本章从理论角度出发，对安伞审计相关知识进行了完整、详细的介绍，包 含其安全审计的定义，安全审计的国际标准，并对安全审计六方面的功能需求 以及其功能模块进行了介绍。并对其传统的安全审计模型与其流程进行了简介， 为第四章的安全审计流程做下铺垫，通过对比传统的审计方法