信息安全管理第五信息系统安全审计

1、第第5 5章章 信息系统安全审计信息系统安全审计 5.1 概述概述 5.2 安全审计系统的体系结构安全审计系统的体系结构 5.3 安全审计的一般流程安全审计的一般流程 5.4 安全审计的分析方法安全审计的分析方法 5.5 安全审计的数据源安全审计的数据源 5.6 信息安全审计与标准信息安全审计与标准 5.7 计算机取证计算机取证 5.15.1概述概述 5.1概述 审计 信息系统审计 （信息系统）安全审计 （信息系统）网络安全审计 5.1概述 审计（ Audit ） 是指由专设机关依照法律对国家各级政府及金融机构、 企业事业组织的重大项目和财务收支进行事前和事后的 审查的独立性经济监督活动。 5

2、.1概述 信息系统审计（Information System Audit，ISA ）是 通过收集和评价审计证据，对信息系统是否能够保护资 产的安全、维护数据的完整、使被审计单位的目标得以 有效地实现、使组织的资源得到高效地使用等方面作出 判断的过程。 5.1概述 对信息系统审计的理解：对信息系统审计的理解： 信息系统审计是具有独立性的监督活动 审计对象是以计算机为处理手段的信息系统，不仅包括 会计信息系统，其他信息处理系统如人事档案管理系统， 以及整个应用系统、网络系统,都是信息系统审计的对 象 审计的目的是揭发弊端，提高系统的安全性、可靠性、 合法性和效率 5.1概述 安全审计（ Secur

3、ity Audit） ） 就是对系统安全的审核、稽查与计算，即在记录一切 (或部分)与系统安全有关活动的基础上，对其进行分析 处理、评价审查，发现系统中的安全隐患，或追查造成 安全事故的原因，并作出进一步的处理。 信息系统安全审计是信息系统审计的一个分支，是专门 针对信息系统的安全实施的审计。其审计目的是确定信 息系统是否设置了相应的安全控制措施以识别、防范各 种安全威胁，从而帮助被审单位的信息系统在一个更加 安全的环境下运行。 5.1概述 对信息系统安全审计的含义可以从两方面理解 1.信息系统安全审计的目的是测评系统的安全控制措施， 确定其是否足以识别、防范各种“威胁” 2.信息系统安全审计

4、是针对提高系统安全性的审计 五险一金五险一金 审计人员在被审计单位计算机机房对其信息系统建 设和运行情况进行检查 5.1概述 网络安全审计（Network Security Audit ） 网络安全审计是指对与网络安全有关的活动的相关信息 进行识别、记录、存储和分析，并检查网络上发生了哪 些与安全有关的活动以及谁对这个活动负责。 网络安全审计相当于飞机上的“黑匣子”。 国际标准ISOIEC 15408(俗称为CC准则)：广泛应用 于评估系统的安全性 5.1概述 审计对象：网络设备、服务器、用户电脑、数据库、应 用系统、网络安全设备等。 安全审计的必要性 随着日益增长的互联网安全风险，安全问题的

5、复杂性日 益加大，大约76%的网络安全威胁来自于内部，其危害 程度更是远远超过黑客攻击及病毒造成的损失，而这些 威胁绝大部分与内部各种网络访问行为有关，如何对业 务系统访问和网络行为进行有效的监控，已经成为政府、 企业重点关注的问题。 安全审计的必要性 防火墙、入侵检测等传统网络安全手段，可实现对网络 异常行为的管理和监测，如网络连接和访问的合法性进 行控制、监测网络攻击事件等，但是不能监控网络内容 和已经授权的正常内部网络访问行为，因此对正常网络 访问行为导致的信息泄密事件、网络资源滥用行为（即 时通讯、 论坛、在线视频、P2P 下载、网络游戏等） 也无能为力，也难以实现针对内容、行为的监控

6、管理及 安全事件的追查取证。 安全审计的必要性 如何有效监控业务系统访问行为和敏感信息传播，准确 掌握网络系统的安全状态，及时发现违反安全策略的事 件并实时告警、记录，同时进行安全事件定位分析，事 后追查取证，满足合规性审计要求，是企业迫切需要解 决的问题。 安全审计的必要性 网络信息系统在综合运用防护工具（如防火墙、操作系 统身份认证、加密等手段）、检测工具（如漏洞评估、 入侵检测等系统）的同时，必须通过安全审计收集、分 析、评估安全信息、掌握安全状态，制定安全策略，确 保整个安全体系的完备性、合理性和适用性，才能将系 统调整到“最安全”和“最低风险”的状态。 安全审计的必要性 信息安全体系

7、结构模型 安全审计也是 一项重要内容 利用信息系统审计建立我国网络安全的第三 道防线 利用信息系统审计建立我国网络安全的第三 道防线 “一道防线”：组织业务及操作层面的网络安全管理， 由组织的一线业务部门负责。职责是识别和管理网络 安全固有风险，并对风险实施有效的控制措施，是整 个网络安全保障工作的基础。 利用信息系统审计建立我国网络安全的第三 道防线 “二道防线”：网络安全风险的专职管理，由组织的 风险管理部门和IT部门负责。职责是建立网络安全 风险管理框架，实施独立的风险评估、计量、监测和 报告，确保网络安全风险管理政策及措施有效执行， 将风险控制在可接受水平。 利用信息系统审计建立我国网

8、络安全的第三 道防线 “三道防线”：对网络安全独立的监督评价，即审计， 由审计监督部门负责。职责是对网络安全风险管理的 相关控制、流程和系统进行独立审阅和检查，促进一、 二道防线积极履职，进一步揭示网络安全风险，为一、 二道防线提供改进建议。 信息系统安全审计的功能 (1)取证 利用审计工具，监视和记录系统的活动情况，如记录 用户登录账户、登录时间、终端以及所访问的文件、存 取操作等，并放入系统日志中，必要时可打印输出，提 供审计报告，对于已经发生的系统破坏行为提供有效的 追究证据。 (2)威慑 通过审计跟踪，并配合相应的责任追究机制，对外部 的入侵者以及内部人员的恶意行为具有威慑和警告作用。

9、 信息系统安全审计的功能 (3)发现系统漏洞 安全审计为系统管理员提供有价值的系统使用日志， 从而帮助系统管理员及时发现系统入侵行为或潜在的系 统漏洞。 (4)发现系统运行异常 通过安全审计，为系统管理员提供系统运行的统计日 志，管理员可根据日志数据库记录的日志数据，分析网 络或系统的安全性，输出安全性分析报告，因而能够及 时发现系统的异常行为，并采取相应的处理措施。 信息系统安全审计的分类 按照审计分析的对象，安全审计可分为针对主机的审计 和针对网络的审计。 针对主机的审计 针对主机的审计是指通过收集主机系统上面的各种形式 的日志文件实现审计的方式。 针对主机的审计的特点是收集的信息比较深入

10、，比较完 整，不受加密协议的影响，其缺点是部署过程较为复杂， 通常需要在主机系统上安装代理，这样不容易保持审计 策略的一致，不容易保证审计代理工作的正常和健壮， 安装在审计对象主机上面的代理可能会被卸载或者停止 运行，这样审计代理产生的审计信息的可信性也会大打 折扣。 针对网络的审计 针对网络的审计是指直接从网络中收集各种会话信息， 从网络传输的数据和行为中提取审计信息。 针对网络的审计的特点是部署快速，对应用系统影响小， 覆盖面大，不容易被绕过，不容易被窜改等。普通的基 于网络的审计系统主要通过收集包括路由器、交换机、 防火墙、入侵检测等网络和安全设备记录的日志来实现。 这样实现的审计系统丢

11、失了网络会话的绝大部分内容， 缺陷是它们不能有效地审计那些使用了加密协议的会话。 信息系统安全审计的分类 按照审计的工作方式，安全审计可分为集中式安全审计 和分布式安全审计。 集中式体系结构采用集中的方法，收集并分析数据源 (网络各主机的原始审计记录)，所有的数据都要交给中 央处理机进行审计处理。 分布式安全审计包含两层含义，一是对分布式网络的安 全审计，二是采用分布式计算的方法，对数据源进行安 全审计。 5.25.2安全审计系统的体系结构安全审计系统的体系结构 5.25.2安全审计系统的体系结构安全审计系统的体系结构 安全审计系统 安全审计系统（Security Audit System，S

12、AS）是在 一个特定的企事业单位的网络环境下，为了保障业务系 统和网络信息数据不受来自用户的破坏、泄露、窃取， 而运用各种技术手段实时监控网络环境中的网络行为、 通信内容，以便集中收集、分析、报警、处理的一种技 术手段。 安全审计系统是对信息系统进行安全审计的系统 安全审计系统的特点 细粒度的网络内容审计细粒度的网络内容审计 安全审计系统可对网站访问、邮件收发、远程终端访问、数据库访问、 论坛发帖等进行关键信息监测、还原； 全面的网络行为审计全面的网络行为审计 安全审计系统可对网络行为，如网站访问、邮件收发、数据库访问、 远程终端访问、即时通讯、论坛、在线视频、P2P 下载、网络游戏等， 提供

13、全面的行为监控，方便事后追查取证； 综合流量分析综合流量分析 安全审计系统可对网络流量进行综合分析，为网络带宽资源的管理提 供可靠策略支持； 因此，通过传统安全手段与安全审计技术相结合，在功能上 互相协调、补充，构建一个立体的、全方位的安全保障管理 体系 信息安全审计系统的一般组成 一般而言，一个完整的安全审计系统包括事件探测及数 据采集引擎、数据管理引擎和审计引擎等重要组成部分。 (1)事件探测及数据采集引擎 事件探测及数据采集引擎主要全面侦听主机及网络上 的信息流，动态监视主机的运行情况以及网络上流过的 数据包，对数据包进行检测和实时分析，并将分析结果 发送给相应的数据管理中心进行保存。

14、信息安全审计系统的一般组成 (2)数据管理引擎 数据管理引擎一方面负责对事件探测及数据采集引擎 传回的数据以及安全审计的输出数据进行管理，另一方 面，数据管理引擎还负责对事件探测及数据采集引擎的 设置、用户对安全审计的自定义、系统配置信息的管理。 它一般包括三个模块：数据库管理、引擎管理、配置管 理。 信息安全审计系统的一般组成 (3)审计引擎 审计引擎包括两个应用程序：审计控制台和用户管理。 审计控制台可以实时显示网络审计信息、流量统计信息， 可以查询审计信息历史数据，并且对审计事件进行回放。 用户管理程序可以对用户进行权限设定，限制不同级别 的用户查看不同的审计内容。同时还可以对每一种权限

15、 的使用人员的操作进行审计记录，可以由用户管理员进 行查看，具有一定的自身安全审计功能。 绿盟安全审计系统 绿盟安全审计系统 绿盟安全审计系统 （NSFOCUS Security Audit System，简称：NSFOCUS SAS）通过网络数据的采 集、分析、识别，实时动态监测通信内容、网络行为和 网络流量，发现和捕获各种敏感信息、违规行为，实时 报警响应，全面记录网络系统中的各种会话和事件，实 现对网络信息的智能关联分析、评估及安全事件的准确 全程跟踪定位，为整体网络安全策略的制定提供权威可 靠的支持。 绿盟安全审计系统的功能 内容审计内容审计 NSFOCUS SAS系统提供深入的内容审

16、计功能，可对网站 访问、邮件收发、远程终端访问、数据库访问、数据传输、 文件共享等提供完整的内容检测、信息还原功能；并可自定 义关键字库，进行细粒度的审计追踪。 行为审计行为审计 NSFOC US SAS系统提供全面的网络行为审计功能，根 据设定行为审计策略，对网站访问、邮件收发、数据库访问、 远程终端访问、数据传输、文件共享、网络资源滥用（即时 通讯、 论坛、在线视频、P2P下载、网络游戏等）等网络应 用行为进行监测，对符合行为策略的事件实时告警并记录。 流量审计流量审计 NSFOCUS SAS系统提供基于协议识别的流量分析功能， 实时统计出当前网络中的各种报文流量，进行综合流量分析， 为流

17、量管理策略的制定提供可靠支持。 堡垒机 在一个特定的网络环境下，为了保障网络和数据不受来 自外部和内部用户的入侵和破坏，而运用各种技术手段 实时收集和监控网络环境中每一个组成部分的系统状态、 安全事件、网络活动，以便集中报警、及时处理及审计 定责。 堡垒机的产生原因 随着企事业单位IT系统的不断发展，网络规模和设备数 量迅速扩大，日趋复杂的IT系统与不同背景的运维人员 的行为给信息系统安全带来较大风险，主要表现在： 1.多个用户使用同一个账号。这种情况主要出现在同一 工作组中，由于工作需要，同时系统管理账号唯一，因 此只能多用户共享同一账号。如果发生安全事故，不仅 难以定位账号的实际使用者和责

18、任人，而且无法对账号 的使用范围进行有效控制，存在较大安全风险和隐患。 堡垒机的产生原因 2.一个用户使用多个账号。目前，一个维护人员使用多 个账号是较为普遍的情况，用户需要记忆多套口令同时 在多套主机系统、网络设备之间切换，降低工作效率， 增加工作复杂度。 堡垒机的产生原因 3. 缺少统一的权限管理平台，权限管理日趋繁重和无序； 而且维护人员的权限大多是粗放管理，无法基于最小权 限分配原则的用户权限管理，难以实现更细粒度的命令 级权限控制，系统安全性无法充分保证。 堡垒机的产生原因 4. 无法制定统一的访问审计策略，审计粒度粗。各网络 设备、主机系统、数据库是分别单独审计记录访问行为， 由于

19、没有统一审计策略，并且各系统自身审计日志内容 深浅不一，难以及时通过系统自身审计发现违规操作行 为和追查取证。 5. 传统的网络安全审计系统无法对维护人员经常使用的 SSH、RDP等加密、图形操作协议进行内容审计。 SSH ：Secure Shell，安全外壳协议 RDP：Remote Desktop Protocol，远程桌面协议 堡垒机的核心功能 1.单点登录功能 支持对linux、unix、数据库、网络设备、安全设备等 一系列授权账号进行密码的自动化周期更改，简化密码 管理，让使用者无需记忆众多系统密码，即可实现自动 登录目标设备，便捷安全。 2.账号管理 设备支持统一账户管理策略，能够

20、实现对所有服务器、 网络设备、安全设备等账号进行集中管理，完成对账号 整个生命周期的监控，并且可以对设备进行特殊角色设 置如：审计巡检员、运维操作员、设备管理员等自定义 设置，以满足审计需求 堡垒机的核心功能 3.身份认证 设备提供统一的认证接口，对用户进行认证，支持身份 认证模式包括 动态口令、静态密码、硬件key 、生物特 征等多种认证方式，设备具有灵活的定制接口，可以与 其他第三方认证服务器之间结合；安全的认证模式，有 效提高了认证的安全性和可靠性。 4.资源授权 设备提供基于用户、目标设备、时间、协议类型IP、行 为等要素实现细粒度的操作授权，最大限度保护用户资 源的安全 堡垒机的核心

21、功能 5.访问控制 设备支持对不同用户进行不同策略的制定，细粒度的访 问控制能够最大限度的保护用户资源的安全，严防非法、 越权访问事件的发生。 6.操作审计 设备能够对字符串、图形、文件传输、数据库等全程操 作行为审计；通过设备录像方式实时监控运维人员对操 作系统、安全设备、网络设备、数据库等进行的各种操 作，对违规行为进行事中控制。对终端指令信息能够进 行精确搜索，进行录像精确定位。 安全审计系统的体系结构 集中式安全审计系统体系结构 分布式安全审计系统体系结构 集中式安全审计系统体系结构 集中式体系结构采用集中的方法，收集并分析数据源， 所有的数据都要交给中央处理机进行审计处理。中央处 理

22、机承担数据管理引擎及安全审计引擎的工作，而部署 在各受监视系统上的外围设备只是简单的数据采集设备， 承担事件检测及数据采集引擎的作用。 集中式安全审计系统体系结构 集中式的审计体系结构的缺陷 (1)由于事件信息的分析全部由中央处理机承担，势必 造成CPU、I/O以及网络通信的负担，而且中心计算机 往往容易发生单点故障(如针对中心分析系统的攻击)。 另外，对现有的系统进行用户的增容(如网络的扩展、 通信数据量的加大)是很困难的。 (2)由于数据的集中存储，在大规模的分布式网络中，有 可能因为单个点的失败造成整个审计数据的不可用。 (3)集中式的体系结构，自适应能力差，不能根据环境变 化自动更改配

23、置。通常，配置的改变和增加是通过编辑 配置文件来实现的，往往需要重新启动系统以使配置生 效。 分布式安全审计系统体系结构 分布式安全审计系统实际上包含两层含义：一是对分布式网 络的安全审计；二是采用分布式计算的方法，对数据源进行 安全审计。 它由三部分组成。 (1)主机代理模块 主机代理模块是部署在受监视主机上，并作为后台进程运 行的审计信息收集模块。主要目的是收集主机上与安全相关 的事件信息，并将数据传送给中央管理者。它同时承担了数 据采集以及部分的安全审计工作。 分布式安全审计系统体系结构 (2)局域网监视器代理模块 局域网监视器代理模块是部署在受监视的局域网上， 用以收集并对局域网上的行

24、为进行审计的模块，主要分 析局域网上的通信信息，并根据需要将结果报告给中央 管理者。 (3)中央管理者模块 中央管理者模块接收包括来自局域网监视器和主机代 理的数据和报告，控制整个系统的通信信息，对接收到 的数据进行分析。 分布式安全审计系统体系结构 分布式安全审计系统体系结构的优点： (1)扩展能力强：通过扩展审计单元来实现网络安全范围的 扩张。 (2)容错能力强：分布式的独立结构解决了单点失效问题。 (3)兼容性强：既可包含基于主机的审计，又可含有基于网 络的审计，超越了传统审计模型的界限。 (4)适应性强：当网络和主机状态改变时，如升级或重构， 分布式审计系统可以容易地作相应修改。 5.

25、35.3安全审计的一般流程安全审计的一般流程 安全审计的一般流程 事件采集设备通过硬件或软件代理对客体进行事件采集， 并将采集到的事件发送至事件辨别与分析器进行事件辨 别与分析，策略定义的危险事件，发送至报警处理部件， 进行报警或响应。对所有需产生审计信息的事件，产生 审计信息，并发送至结果汇总，进行数据备份或报告生 成。 事件采集事件分析结果汇总 事件响应策略定义 安全审计的一般流程 1策略定义 2事件采集 3事件分析 4事件响应 5结果汇总 安全审计的一般流程 1策略定义 安全审计应在一定的审计策略下进行，审计策略规定 哪些信息需要采集、哪些事件是危险事件，以及对这些 事件应如何处理等。因

26、而审计前应制定一定的审计策略， 并下发到各审计单元。在事件处理结束后，应根据对事 件的分析处理结果来检查策略的合理性，必要时应调整 审计策略。 安全审计的一般流程 2事件采集 事件采集阶段包含以下行为： (1)按照预定的审计策略对客体进行相关审计事件采 集，形成的结果交由事件后续的各阶段来处理； (2)将事件其他各阶段提交的审计策略分发至各审计 代理，审计代理依据策略进行客体事件采集。 注意：审计代理是安全审计系统中完成审计数据采集、 鉴别并向审计跟踪记录中心发送审计消息的功能部件， 包括软件代理和硬件代理。 安全审计的一般流程 3事件分析 事件分析阶段包含以下行为： (1)按照预定策略，对采

27、集到事件进行事件辨析，决定： 忽略该事件； 产生审计信息； 产生审计信息并报警； 产生审计信息且进行响应联动。 (2)按照用户定义与预定策略，将事件分析结果生成审 计记录，并形成审计报告。 安全审计的一般流程 4事件响应 事件响应阶段是根据事件分析的结果采用相应的响应 行动，包含以下行为： (1)对事件分析阶段产生的报警信息、响应请求进行 报警与响应； (2)按照预定策略，生成审计记录，写入审计数据库， 并将各类审计分析报告发送到指定的对象； (3)按照预定策略对审计记录进行备份。 安全审计的一般流程 5结果汇总 结果汇总阶段负责对事件分析及响应的结果进行汇总， 主要包含以下行为： (1)将各

28、类审计报告进行分类汇总； (2)对审计结果进行适当的统计分析，形成分析报告； (3)根据用户需求和事件分析处理结果形成审计策略 修改意见。 5.45.4安全审计的分析方法安全审计的分析方法 安全审计的分析方法 1基于规则库的安全审计方法 2基于数理统计的安全审计方法 3基于日志数据挖掘的安全审计方法 4其他安全审计方法 (1)神经网络 (2)遗传算法 基于规则库的安全审计方法 基于规则库的安全审计方法就是将已知的攻击行为进行 特征提取，把这些特征用脚本语言等方法进行描述后放 入规则库中，当进行安全审计时，将收集到的审核数据 与这些规则进行某种比较和匹配操作(关键字、正则表 达式、模糊近似度等)

29、，从而发现可能的网络攻击行为。 这种方法和某些防火墙和防病毒软件的技术思路类似， 检测的准确率都相当高，可以通过最简单的匹配方法过 滤掉大量的无效审核数据信息，对于使用特定黑客工具 进行的网络攻击特别有效。 基于数理统计的安全审计方法 数理统计方法就是首先给对象创建一个统计量的描述， 比如一个网络流量的平均值、方差等，统计出正常情况 下这些特征量的数值，然后用来对实际网络数据包的情 况进行比较，当发现实际值远离正常数值时，就可以认 为是潜在的攻击发生。 基于日志数据挖掘的安全审计方法 它的主要思想是从系统使用或网络通信的“正常”数据 中发现系统的“正常”运行模式，并和常规的一些攻击 规则库进行

30、关联分析，并用以检测系统攻击行为。 数据挖掘本身是一项通用的知识发现技术，其目的是 要从海量数据中提取出我们所感兴趣的数据信息(知识)。 这恰好与当前网络安全审计的现实相吻合。 其他安全审计方法 神经网络：神经网络的基本思想是用一系列信息单元序 列来训练神经单元，在神经网络的输入中包括当前的信 息单元序列和过去的信息单元序列集合，神经网络由此 可进行判断，并能预测输出。与概率统计方法相比，神 经网络方法更好地表达了变量之间的非线性关系，并且 能自动学习和更新。 其他安全审计方法 (2)遗传算法：一个遗传算法是一类进化算法的一个实例， 这些算法在多维优化问题处理方面的能力已经得到认可， 并且遗传

31、算法在对异常检测的准确率和速度上有较大优 势。主要不足在于不能在审计跟踪中精确定位攻击，这 一点和神经网络面临的问题相似。 5.55.5安全审计的安全审计的数据源数据源 安全审计的数据源 一般来说安全审计数据具有以下特征： 攻击事件相对于正常的网络或系统访问是很少的。 安全审计数据在正常情况下是非常稳定的。 异常操作总是使安全审计数据的某些特征变量明显地偏离正 常值。 安全审计的数据源 1基于主机的数据源 2基于网络的数据源 3其他数据源 (1)来自其他安全产品的数据源 (2)来自网络设备的数据源 (3)带外数据源 基于主机的数据源 基于主机的安全审计的数据源，包括操作系统的审计记 录、系统日

32、志、应用程序的日志信息以及基于目标的信 息。 (1)操作系统的审计记录 操作系统的审计记录是由操作系统软件内部的专门审 计子系统所产生的，其目的是记录当前系统的活动信息， 如用户进程所调用的系统调用类型以及执行的命令行等， 并将这些信息按照时间顺序组织为一个或多个审计文件。 基于主机的数据源 (2)系统日志 日志分为操作系统日志和应用程序日志两部分。操作 系统日志与主机的信息源相关，是使用操作系统日志机 制生成的日志文件的总称；应用程序日志是由应用程序 自己生成并维护的日志文件的总称。 基于主机的数据源 系统日志的安全性与操作系统的审计记录相比，安全性存 在不足，主要原因在于： 系统日志是由载

33、操作系统内核外运行的应用程序产生的， 容易受到恶意的攻击和修改。 日志系统通常存储在不受保护的普通文件目录中，并且 经常以普通文本文件方式储存，容易受到恶意的篡改和删 除。相反，操作系统审计记录通常以二进制文件形式存储， 具备较强的保护机制。 系统日志又是在于简单易读，容易处理，仍然成为安全审 计的一个重要的数据源。 基于主机的数据源 (3)应用程序日志信息 操作系统审计记录和系统日志都属于系统级别的数据 源信息，通常由操作系统及其标准部件统一维护，是安 全审计优先选用的输人数据源。随着计算机网络的分布 式计算架构的发展，对传统的安全观念提出了挑战。 以Web服务器为例，www服务是最流行的网

34、络服务， 也是电子商务的主要应用平台。Web服务器的日志信息 是最为常见的应用级别数据源，主流的Web服务器都支 持访问日志机制。 基于网络的数据源 随着基于网络入侵检测的日益流行，基于网络的安全审计 也成为安全审计发展的流行趋势，而基于网络的安全审计 系统所采用的输入数据即网络中传输的数据。 来自用户使用计算机网络资源访问的所有资源和所有访问 过程。通过对一些重要的事件进行记录,从而在系统发现 错误或受到攻击时能定位错误和找到攻击成功的原因。 基于网络的数据源 采用网络数据具有以下优势： (1)通过网络被动监听的方式获取网络数据包，作为安全 审计系统的输入数据，不会对目标监控系统的运行性能产

35、 生任何影响，而且通常无须改变原有的结构和工作方式。 (2)嗅探模块在工作时，可以采用对网络用户透明的模式， 降低了其本身受到攻击的概率。 基于网络的数据源 (3)基于网络数据的输入信息源，可以发现许多基于主机 数据源所无法发现的攻击手段，例如基于网络协议的漏 洞发掘过程，或是发送畸形网络数据包和大量误用数据 包的DoS攻击等。 (4)网络数据包的标准化程度，比主机数据源来说要高得 多，如目前几乎大部分网络协议都采用了TCP/IP协议 族。其标准化程度很高，所以，有利于安全审计系统在 不同系统平台环境下的移植。 其他数据源 (1)来自其他安全产品的数据源 主要是指目标系统内部其他独立运行的安全

36、产品(防火 墙、身份认证系统和访问控制系统等)所产生的日志文 件。这些数据源同样也是安全审计系统所必须考虑的。 (2)来自网络设备的数据源 如网络管理系统，利用SNMP(简单网管协议)所提供 的信息作为数据源。 (3)带外数据源 指人工方式提供的数据信息，如硬件错误信息、系统 配置信息、其他的各种自然危害事件等。 5.65.6信息安全审计与标准信息安全审计与标准 信息安全审计与标准 TCSEC对于审计子系统的要求 CC中的安全审计功能需求 GB178591999对安全审计的要求 信息系统安全审计产品技术要求 TCSEC TCSEC：Trusted Computer System Evaluat

37、ion Criteria，（美国）可信计算机系统评价标准 TCSEC标准是计算机系统安全评估的第一个正式标准， 具有划时代的意义。该准则于1970年由美国国防科学委 员会提出，并于1985年12月由美国国防部公布。 TCSEC最初只是军用标准，后来延至民用领域。 TCSEC将计算机系统的安全划分为4个等级、7个级别。 TCSEC D类安全等级 D类安全等级只包括D1一个级别。D1的安全等级最低。 D1系统只为文件和用户提供安全保护。D1系统最普通 的形式是本地操作系统，或者是一个完全没有保护的网 络。 D1级的计算机系统包括：MS-Dos、Windows95 、 Apple的System7.x

38、 TCSEC C类安全等级 该类安全等级能够提供审慎的保护，并为用户的行动和 责任提供审计能力。C类安全等级可划分为C1和C2两 类。 C1级系统要求硬件有一定的安全机制，用户在使用前 必须登录到系统。C1级系统还要求具有完全访问控制 的能力，经应当允许系统管理员为一些程序或数据设立 访问许可权限。 常见的C1级兼容计算机系统有： UNIX 系统 、 XENIX 、Novell3.x或更高版本 、Windows NT TCSEC C2 级 C2级实际是安全产品的最低档次，提供受控的存取 保护。 C2级引进了受控访问环境（用户权限级别）的增强 特性。授权分级使系统管理员能够分用户分组，授予他 们

39、访问某些程序的权限或访问分级目录。 C2级系统还采用了系统审计。审计特性跟踪所有的 “安全事件”，以及系统管理员的工作。 常见的C2级系统有：操作系统中Microsoft的 Windows NT 3.5，UNIX系统。数据库产品有oracle公 司的oracle 7，Sybase公司的SQL Server11.0.6等。 TCSEC B类安全等级 B类安全等级可分为B1、B2和B3三类。B类系统具有 强制性保护功能。强制性保护意味着如果用户没有与安 全等级相连，系统就不会让用户存取对象。 B1 级 B1级系统支持多级安全，多级是指这一安全保护安 装在不同级别的系统中（网络、应用程序、工作站等）

40、， 它对敏感信息提供更高级的保护。 B2 级 这一级别称为结构化的保护（Structured Protection)。B2级安全要求计算机系统中所有对象加 标签，而且给设备（如工作站、终端和磁盘驱动器）分 配安全级别。 B3 级 B3级要求用户工作站或终端通过可信任途径连接网 络系统，这一级必须采用硬件来保护安全系统的存储区。 TCSEC A类安全等级 A系统的安全级别最高。目前，A类安全等级只包含A1 一个安全类别。A1类与B3类相似，对系统的结构和策 略不作特别要求。A1系统的显著特征是，系统的设计 者必须按照一个正式的设计规范来分析系统。对系统分 析后，设计者必须运用核对技术来确保系统符

41、合设计规 范。A1系统必须满足下列要求：系统管理员必须从开 发者那里接收到一个安全策略的正式模型;所有的安装 操作都必须由系统管理员进行；系统管理员进行的每一 步安装操作都必须有正式文档。 TCSEC 4个等级 D类安全等级 C类安全等级 B类安全等级 A类安全等级 7个级别 D、C1、C2、B1、B2、B3、A1 从低到高从低到高 从低到高从低到高 TCSEC TCSEC 欧洲四国（英、法、德、荷）提出了评价满足保密性、 完整性、可用性要求的信息技术安全评价准则（ITSEC， Information Technology Security Evaluation Criteria ）后，美国又

42、联合以上诸国和加拿大，并会同 国际标准化组织（ISO）共同提出信息技术安全评价的 通用准则（CCfor ITSEC），CC已经被五技术发达的 国家承认为代替TCSEC的评价安全信息系统的标准。 目前，CC已经被采纳为国家标准ISO/IEC 15408 TCSEC TCSEC对于审计子系统的要求 TCSEC 的A1和A1+两个级别较B3级没有增加任何安 全审计特征，从C2级的各级别都要求具有审计功能，而 B3级提出了关于审计的全部功能要求。因此，TCSEC共 定义了四个级别的审计要求:C2、B1、B2、B3。 TCSEC C2级要求审计以下事件:用户的身份标识和鉴别、用户 地址空间中客体的引入和

43、删除、计算机操作员/系统管 理员/安全管理员的行为、其它与安全有关的事件。 TCSEC B1级相对于C2级增加了以下需要审计的事件:对于可以 输出到硬拷贝设备上的人工可读标志的修改（包括敏感 标记的覆写和标记功能的关闭）、对任何具有单一安全 标记的通讯通道或I/O设备的标记指定、对具有多个安 全标记的通讯通道或I/O设备的安全标记范围的修改。 B2级的安全功能要求较之B1级增加了可信路径和隐蔽 通道分析等，因此，除了B1级的审计要求外，对于可 能被用于存储型隐蔽通道的活动，在B2级也要求被审 计。 B3级在B2级的功能基础上，增加了对可能将要违背系 统安全政策这类事件的审计，比如对于时间型隐蔽

44、通道 的利用。 CC CC，Common Criteria，通用评估准则简称，已经于1999年12月正式由 ISO组织所接受与颁布，成为全世界所公认的信息安全技术评估准则。 CC不仅可以作为安全信息系统的评测标准，而且更可以作为安全信息系 统设计与实现的标准与参考。 发展历程： 1985年，美国国防部公布可信计算机系统评估准则（TCSEC）； 1989年，加拿大公布可信计算机产品评估准则（CTCPEC）； 1991年，欧洲公布信息技术安全评估准则（ITSEC）； 1993年，美国公布美国信息技术安全联邦准则（FC）； 1996年，六国七方（英国、加拿大、法国、德国、荷兰、美国国家安全 局和美国

45、标准技术研究所）公布信息技术安全性通用评估准则（CC 1.0版）； 1998年，六国七方公布信息技术安全性通用评估准则（CC 2.0版）； 1999年12月，ISO接受CC为国际标准ISO/IEC 15408标准，并正式颁布 发行 CC 特点： 从CC的发展历史可以看出，CC源于TCSEC。 CC已经完全改进了TCSEC，全面地考虑了与信息技术安全 性有关的所有因素，以安全功能要求和安全保证要求的形 式提出了这些因素，这些要求也可以用来构建TCSEC的各级 要求。 CC定义了作为评估信息技术产品和系统安全性的基础准则， 提出了目前国际上公认的表述信息技术安全性的结构。 把安全要求分为规范产品和

46、系统安全行为的功能要求以及解 决如何正确有效的实施这些功能的保证要求。 CC CC 标准中的安全审计功能需求 CC标准中，安全需求都以类、族、组件的层次结构形 式进行定义，其中，安全功能需求共有11个类，安全审 计就是一个单独的安全功能需求类，其类名为FAU。安 全审计类有六个族，分别对审计记录的选择、生成、存 储、保护、分析以及相应的入侵响应等功能做出了不同 程度的要求。 GB 178591999 计算机信息系统安全保护等级划分准则 这是我国计算机信息系统安全保护等级划分准则强制性 标准，本标准给出了计算机信息系统相关定义，规定了 计算机系统安全保护能力的五个等级。计算机信息系统 安全保护能

47、力随着安全保护等级的增高，逐渐增强。 GB 178591999 本标准规定了计算机系统安全保护能力的五个等级，即： 第一级：用户自主保护级； 第二级：系统审计保护级； 第三级：安全标记保护级； 第四级：结构化保护级； 第五级：访问验证保护级。 从低到高从低到高 GB 178591999对安全审计的要求 从第二级“系统审计保护级”开始有了对审计的要求， 它规定计算机信息系统可信计算基（TCB）可以记录以 下事件：使用身份鉴别机制；将客体引入用户地址空间 （例如：打开文件、程序初始化）；删除客体；由操作 员、系统管理员或（和）系统安全管理员实施的动作， 以及其它与系统安全相关的事件。 GB 178

48、591999对安全审计的要求 TCB，Trusted Computing Base，可信计算基 可信计算基是计算机系统内保护装置的总体，包括硬 件、固件、软件和负责执行安全策略的组合体。它建立 了一个基本的保护环境，并提供一个可信计算系统所要 求的附加用户服务。 通常指构成安全计算机信息系统的所有安全保护装置的 组合体，以防止不可信主体的干扰和篡改。 GB 178591999对安全审计的要求 第三级“安全标记保护级”在第二级的基础上，要求对 于客体的增加和删除这类事件要在审计记录中增加对客 体安全标记的记录。另外，TCB也要审计对可读输出记 号（如输出文件的安全标记）的更改这类事件。 第四级“

49、结构化保护级”的审计功能要求与第三级相比， 增加了对可能利用存储型隐蔽通道的事件进行审计的要 求。 GB 178591999对安全审计的要求 第五级“访问验证保护级”在第四级的基础上，要求 TCB能够监控可审计安全事件的发生与积累，当（这类 事件的发生或积累）超过预定阈值时，TCB能够立即向 安全管理员发出警报。并且，如果这些事件继续发生， 系统应以最小的代价终止它们。 信息系统安全审计产品技术要求 1. 安全审计产品分类 技术规范将安全审计产品分为专用型和综合型两类。 专用型是指对主机、服务器、网络、数据库管理系统、 其它应用系统等客体采集对象其中一类进行审计，并对 审计事件进行分析和响应的

50、安全审计产品。综合型是指 对主机、服务器、网络、数据库管理系统、其他应用系 统中至少两类客体采集对象进行审计，并对审计事件进 行统一分析与响应的安全审计产品。 信息系统安全审计产品技术要求 2.安全功能要求 技术规范分为审计踪迹、审计数据保护、安全管理、 标识和鉴别、产品升级、监管要求等六个方面给出了详 细的安全功能要求，其中每个功能还有更细致、可测试 的安全子功能描述。 信息系统安全审计产品技术要求 3.自身安全要求 技术规范对安全审计产品自身安全也作出了明确的要 求，分别包括：自身审计数据生成、自身安全审计记录 独立存放、审计代理安全、产品卸载安全、系统时间同 步、管理信息传输安全、系统部

51、署安全、审计数据安全 等。 信息系统安全审计产品技术要求 4.性能要求 信息系统安全审计产品的性能要求是指 (1)稳定性; (2)资源占用：软件代理的运行对宿主机资源（如CPU、 内存空间和存储空间），不应长时间固定或无限制占用 (3)网络影响：产品的运行不应对原网络正常通信产生长 时间固定影响。 (4)产品应有足够的吞吐量. 5.保证要求 技术规范还对产品及开发者提出了若干产品保证方面 的要求. 5.75.7计算机取证计算机取证 计算机犯罪 根据刑法条文的有关规定和我国计算机犯罪的实际情况， 计算机犯罪是指行为人违反国家规定，故意侵入国家事 务、国防建设、尖端科学技术等计算机信息系统，或者

52、利用各种技术手段对计算机信息系统的功能及有关数据、 应用程序等进行破坏，制作、传播计算机病毒。影响计 算机系统正常运行且造成严重后果的行为。 计算机犯罪 利用计算机进行犯罪的两种方式： 一是利用计算机存储有关犯罪活动的信息； 二是直接利用计算机作为犯罪工具进行犯罪活动。 计算机取证 计算机取证的发展历程 美国是开展电子证据检验和研究工作最早的国家之一。1989 年FBI实验室开始了电子证据检验研究，并成立了专门从事 电子证据检验的部门（CART）。每名检验人员除了具有专 业基础外，还必须经过FBI 组织的七周以上的专门培训，包 括刑事技术检验基础、电子技术检验技术和有关法律知识， 每年还要对检

53、验人员进行一定的新技术培训。美国的这种做 法后来被许多其他国家的执法机构效仿。 CART： Computer Analysis and Response Team，计算机 分析与响应组 为了适应当前形势，推动电子证据鉴定工作的开展，我国有 关机构在充实计算机技术力量和设备的基础上，适应新时期 公安工作的实际需要，从1999 年开始对电子证据检验技术 进行研究，2001 年开始开展电子证据检验鉴定工作。 计算机取证 1999年的合同法第十一条规定了“数据电文包括电报、电传、 传真、电子数据交换和电子邮件等”。 2004年的电子签名法对于数据电文的形式要求、保存要求、审 查认定的规则做了详细规定。

54、 2010年最高法、最高检等部门联合发布的关于办理死刑案件审查 判断证据若干问题的规定中，第一次将电子邮件、电子数据交换、 网上聊天记录、网络博客、手机短信、电子签名、域名等界定为电 子证据的形式。 2012年修订后的民事诉讼法第六十三条规定：“证据包括：（一） 当事人的陈述；（二）书证；（三）物证；（四）视听资料；（五） 电子数据；（六）证人证言；（七）鉴定意见；（八）勘验笔录。” 该规定明确将“电子数据”与书证、视听资料等并列作为单独的证 据类型。 2015年，最高法发布的民诉法解释第一百一十六条规定：“视听资 料包括录音资料和影像资料。电子数据是指通过电子邮件、电子数 据交换、网上聊天记

55、录、博客、微博客、手机短信、电子签名、域 名等形成或者存储在电子介质中的信息。存储在电子介质中的录音 资料和影像资料，适用电子数据的规定。” 计算机取证 计算机取证（Computer Forensics） 计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪 行为，利用计算机软硬件技术，按照符合法律规范的方 式，进行识别、保存、分析和提交数字证据的过程。 把计算机看作犯罪现场，运用先进的辨析技术，对计算 机犯罪行为进行法医式的解剖，搜索确认犯罪及其犯罪 证据，并据此提起诉讼的过程和技术。 目的是要将犯罪者留在计算机中的“痕迹”作为有效的 诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。 电子证据 计算机取证主要是围绕电子证据进行的。电子证据也称 为计算机证据，是指在计算机或计算机系统运行过程中 产生的，以其记录的内容来证明案件事实的电磁记录。 多媒体技术的发展，电子证据综合了文本、图形、图像、 动画、音频及视频等多种类型的信息。 电子证据的来源 系统日志，防火墙、IDS、ftp、www 反病毒软件日志， 系统的审计记录(Audit trails) 网络