网络安全理论及技术安全审计

--平安审计与日志分析第一页，共63页。目录专业平安审计系统体系构造分析网络信息系统平安审计综述审计与日志分析审计结果分析第二页，共63页。平安审计系统的必要性一旦我们采用的防御体系被打破怎么办？至少我们必须知道：系统是怎样遭到攻击的，这样才能恢复系统，此外我们还要知道系统存在什么破绽如何能使系统在受到攻击时有所觉察如何获取攻击者留下的证据。网络平安审计的概念就是在这样的需求下被提出的，它相当于飞机上使用的“黑匣子〞。第三页，共63页。平安审计系统的必要性〔续〕在TCSEC和CC等平安认证体系中，网络平安审计的功能都是放在首要位置的，它是评判一个系统是否真正平安的重要尺码。TCSEC标准是计算机系统平安评估的第一个正式标准，具有划时代的意义。该准那么于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。主要关注于保密性，不关注可用性和完好性。

欧洲四国〔英、法、德、荷〕提出了评价满足保密性、完好性、可用性要求的信息技术平安评价准那么〔ITSEC〕后，美国又结合以上诸国和加拿大，并会同国际标准化组织〔ISO〕共同提出信息技术平安评价的通用准那么〔CCforITSEC〕，CC已经被五技术兴隆的国家成认为代替TCSEC的评价平安信息系统的标准。目前，CC已经被采纳为国际标准ISO15408。第四页，共63页。平安审计系统的必要性〔续〕因此在一个平安网络系统中的平安审计功能是必不可少的一部分。网络平安审计系统能帮助我们对网络平安进展实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。它是保证网络平安非常重要的一种手段。第五页，共63页。CC标准中的网络平安审计功能定义网络平安审计包括识别、记录、存储、分析与平安相关行为有关的信息。1996年六国七方签署了?信息技术平安评估通用准那么?即。1998年美国、英国、加拿大、法国和德国共同签署了【信息技术平安性评估通用准那么版】(即〕。1999年成为国际标准ISO/IEC15408，我国于2001年等同采用为GB/T18336。目前它已被广泛地用于评估一个系统的平安性。在这个标准中对网络审计定义了一套完好的功能，有：平安审计自动响应、平安审计数据生成、平安审计分析、平安审计阅读、平安审计事件存储、平安审计事件选择等。第六页，共63页。平安审计自动响应平安审计自动响应定义在被测事件指示出一个潜在的平安攻击时作出的响应，它是管理审计事件的需要，这些需要包括报警或行动，例如包括实时报警的生成、违例进程的终止、中断效劳、用户帐号的失效等。根据审计事件的不同系统将作出不同的响应。其响应方式可作增加、删除、修改等操作。第七页，共63页。平安审计数据生成该功能要求记录与平安相关事件的出现，包括鉴别审计层次、列举可被审计的事件类型、以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单，每个可审计事件对应于某个事件级别，如低级、中级、高级。第八页，共63页。产生的审计数据有以下几方面

对于敏感数据项〔例如，口令通行字等〕的访问目的对象的删除访问权限或才能的授予和废除改变主体或目的的平安属性标识定义和用户受权认证功能的使用审计功能的启动和关闭第九页，共63页。每一条审计记录中至少应所含以下信息：事件发生的日期、时间、事件类型、主题标识、执行结果〔成功、失败〕、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。第十页，共63页。平安审计分析此部分功能定义了分析系统活动和审计数据来寻找可能的或真正的平安违规操作。它可以用于入侵检测或对平安违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生，并执行审计分析。事件的集合可以由经受权的用户进展增加、修改或删除等操作。第十一页，共63页。平安审计分析类型潜在攻击分析基于模板的异常检测简单攻击试探复杂攻击试探第十二页，共63页。平安审计分析类型〔续〕潜在攻击分析：系统能用一系列的规那么监控审计事件，并根据这些规那么指示系统的潜在攻击；基于模板的异常检测：检测系统不同等级用户的行动记录，当用户的活动等级超过其限定的登记时，应指示出此为一个潜在的攻击；第十三页，共63页。平安审计分析类型〔续〕简单攻击试探：当发现一个系统事件与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在的攻击；复杂攻击试探：当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在的攻击。第十四页，共63页。平安审计阅读该功能要求审计系统可以使受权的用户有效地阅读审计数据。包括：审计阅读、有限审计阅读、可选审计阅读。审计阅读提供从审计记录中读取信息的效劳；有限审计阅读要求除注册用户外，其他用户不能读取信息；可选审计信息要求审计阅读工具根据相应的判断标准选择需阅读的审计数据。第十五页，共63页。平安审计事件选择系统可以维护、检查或修改审计事件的集合，可以选择对哪些平安属性进展审计，例如：与目的标识、用户标识、主体标识、主机标识或事件类型有关的属性。系统管理员将可以有选择地在个人识别的根底上审计任何一个用户或多个用的动作。第十六页，共63页。平安审计事件存储系统将提供控制措施以防止由于资源的不可用丧失审计数据。可以创造、维护、访问它所保护的对象的审计踪迹，并保护其不被修改、非受权访问或破坏。审计数据将受到保护直至受权用户对它进展的访问。第十七页，共63页。平安审计事件存储〔续〕它可保证某个指定量度的审计记录被维护，并不受以下事件的影响：审计存储用尽；审计存储故障；非法攻击；其他任何非预期事件。系统可以在审计存储发生故障时采取相应的动作，可以在审计存储即将用尽时采取相应的动作。第十八页，共63页。网络平安审计层次构造图网络层审计系统层审计应用层审计TCP/IP、ATM…UNIX、Windows9x/NT、ODBC审计总控CA发证操作主页更新监视…第十九页，共63页。平安审计系统体系构造示意图第二十页，共63页。平安审计系统的典型配置示意图

MailServer

DNSServer

DBServer

ApplicationServer

Workstation

路由器

防火墙

审计设备1

审计设备2

审计软件Agent

服务网

内部网

ApplicationServer

WebServer

SearchServer

审计中心

第二十一页，共63页。审计与日志分析审计与日志分析的参考标准防火墙和路由器等网络和网络平安设备日志通用操作系统日志日志过滤可疑的活动分析第二十二页，共63页。审计结果参考审计执行过程建立设计报告库平安审计和平安标准建议性审计解决方案第二十三页，共63页。建议审计执行过程为了可以确定平安策略和施行情况的差距，建议采用特定方法继续进展有效的审计；抵御和去除病毒，蠕虫和木马，修补系统破绽；第二十四页，共63页。建议改善和增强如下内容：重新配置路由器；添加和重新配置防火墙规那么；晋级操作系统补丁类型；晋级已有的和不平安的效劳；加强网络审核；自动施行和集中管理网络内部和边界平安；第二十五页，共63页。建议改善和增强如下内容〔续〕增参加侵检测和网络监控产品；增强物理平安；加强反病毒扫描；加强用户级别的加密；删除不必要的用户账号，程序和效劳；等等第二十六页，共63页。详细改善建议分类改善防火墙保证访问控制规则为最小、正确和有效的设置；保证NAT、冲定向等为最小、正确和有效设置；扫描DMZ区域内有问题的主机和服务器。入侵检测随时升级和更新入侵检测系统的规则；识别需要检测的内容。主机和个人安全实施用户级别的加密；在单个客户端上安装“个人防火墙”来锁定端口和减小风险。强制实施安全策略安装监视软件，如Axrent的企业级安全管理器；对物理安全进行有规律的审计。第二十七页，共63页。建议设计审计报告库第二十八页，共63页。在平安审计报告中应该包括：总体评价如今的平安级别：你应该给出低、中、高的结论，包括你监视的网络设备的简要评价〔例如：大型机、路由器、NT系统、UNIX系统等等〕；对偶尔的、有经历的和专家级的黑客入侵系统作出时间上的估计；简要总结出你的最重要的建议；第二十九页，共63页。在平安审计报告中应该包括〔续〕详细列举你在审计过程中的步骤：此时可以提及一些在侦查、浸透和控制阶段你发现的有趣问题；对各种网络元素提出建议，包括路由器、端口、效劳、登陆账户、物理平安等等；讨论物理平安：许多网络对重要设备的摆放都不注意。例如，有的公司把文件效劳器置于接待台的桌子后，一旦接待人员分开，那么效劳器便暴露在网络攻击下。有一次，平安设计人员抱着机器分开，平安守卫还帮了忙；平安审计领域内使用的术语。第三十页，共63页。在平安审计报告中应该包括〔续〕最后，记着递交你的审计报告。因为平安审计涉及了商业和技术行为，所以应该把你的报告递交给两方面的负责人。假如你采用电子邮件的方式递交报告，最好对报告进展数字签名和加密。第三十一页，共63页。持续审计的可以采取的有效步骤定义平安策略建立对特定任务负责的内部组织对网络资源进展分类为雇员建立平安指导确保个人和网络系统的物理平安保障网络主机的效劳和操作系统平安第三十二页，共63页。持续审计的可以采取的有效步骤加强访问控制机制建立和维护系统确保网络满足商业目的保持平安策略的一致性重复的过程第三十三页，共63页。平安审计和平安标准第三十四页，共63页。平安审计可参考的标准ISO7498-2英国标准7799〔BS7799〕ISO15408〔CommonCriteria，CC〕第三十五页，共63页。ISO7498ISO建立了7498系列标准来帮助网络施行标准化。其中第二个文件7498-2描绘了如何确保站点平安和施行有效的审计方案。它是第一篇阐述如何系统的到达网络平安的文章，大家可以从：获得更多的ISO标准的消息。第三十六页，共63页。英国标准7799〔BS7799〕BS7799文档的标题是?ACodeofPracticeForInformationSecurityManagement?，阐述了如何确保网络系统平安。1999年的版本有两个部分，BS7799-1阐述了确保网络平安所采取的步骤；BS7799-2讨论了在施行信息平安管理系统〔ISMS〕是应采取的步骤。第三十七页，共63页。ISO17799虽然BS7799是英国标准，但由于它可以帮助网络专家设计施行方案并提交结果，所以很多非英国的平安人士也承受这一标准。ISO17799于2000年12月出版，它是适用于所有的组织，建议成为强迫性的平安标准。它是基于BS7799之上的，BS77991995年2月首版，最后一次修订和改进是在1999年5月第三十八页，共63页。ISO17799概述ISO17799在平安问题的范围上是全面的。它包含大量本质性的控制要求,有些是极其复杂的。要符合ISO17799，或其他真正的任何详细平安标准，都不是一项简单的事情。甚至对于最有平安意识的组织来说，认证就更令人头痛了。第三十九页，共63页。什么是ISO17799？ISO17799是一个详细的平安标准。包括平安内容的所有准那么，由十个独立的部分组成，每一节都覆盖了不同的主题和区域。第四十页，共63页。1、商业持续规划这节的主要内容包括：1〕防止商业活动的中断；2〕防止关键商业过程免受重大失误或灾难的影响。第四十一页，共63页。2、系统访问控制——这节的主要内容有：1〕控制访问信息；2〕阻止非法访问信息系统；3〕确保网络效劳得到保护；4〕阻止非法访问计算机；5〕检测非法行为；6〕保证在使用挪动计算机和远程网络设备时信息的平安第四十二页，共63页。3、系统开发和维护这节的主要内容有：1)确保信息平安保护深化到操作系统中；2)阻止应用系统中的用户数据的丧失，修改或误用；3)确保信息的保密性，可靠性和完好性；4)确保IT工程工程及其支持活动是在平安的方式下进展的；5)维护应用程序软件和数据的平安。第四十三页，共63页。4、物理和环境平安这部分的主要内容有：阻止对业务机密和信息非法的访问，损坏干扰；阻止资产的丧失，损坏或遭受危险，使业务活动免受干扰；阻止信息和信息处理设备的免受损坏或盗窃。第四十四页，共63页。5、符合性这部分的主要内容有：防止违犯刑法、民法、条例或契约责任、以及各种平安要求；确保组织系统符合平安方针和标准；使系统审查过程的绩效最大化，并将干扰因素降到最小。第四十五页，共63页。6、人员平安这部分的主要内容包括：减少错误，偷窃，欺骗或资源误用等人为风险；确保使用者理解信息平安的威胁和，在他们的正常的工作中有相应的训练，以便利于信息平安政策的贯彻和施行；通过从以前事件和故障中汲取教训，最大限度降低平安的损失。第四十六页，共63页。7、平安组织这节的主要内容包括：在公司内部管理信息平安；保持组织的信息采集设施和可被第三方利用的信息资产的平安性；当信息处理的责任需借助于外力是时，维持信息的平安。第四十七页，共63页。8、计算机与网络管理这节的目的是：确保信息处理设备的正确和平安的操作；降低系统失效的风险到最小；保护软件和信息的完好性；维护信息处理和通讯的完好性和可用性；确保网络信息的平安措施和支持根底构造的保护；防止资产被损坏和业务活动被干扰中断；防止组织间的交易信息遭受损坏，修改或误用。第四十八页，共63页。9、资产分类和控制这节的主要阐述了：对于共同的资产给予适当的保护并且确保那些信息资产得到适当程度的保护。第四十九页，共63页。10.平安政策这节的目的是：为信息平安提供管理方向和支持。第五十页，共63页。在完善ISMS时，应遵循以下步骤定义平安策略为你的信息平安管理系统〔ISMS〕定义范围风险评估对的风险进展排序和管理第五十一页，共63页。BS7799和ISO7498-2建议的步骤发布平安策略公布负责人名单培训公司人员的信息平安意识定义汇报事件的程序建立有效的反病毒保护措施确保施行的策略与公司商业目的的一致性第五十二页，共63页。BS7799和ISO7498-2建议的步骤制定标准以确保雇员不会为了完成任务而破坏软件答应规那么物理上确保对网络操作记录的平安建立系统来保护公司数据的平安施行可以衡量规定的平安策略与实际遵守情况的等级的机制和过程第五十三页，共63页。ISO15408〔CC〕CC提供了有助于你选择和开展网络平安解决方案的全球统一标准CC出现实际上是为了统一ITSEC和TCSEC，并取代“OrangeBook〞。第五十四页，共63页。ISO15408由三个部分组成第一部分：定义了如何创立平安目的和需求，还提供了一个术语的概述第二部分：定义了如何建立可以使商业通信更平安的需求列表第三部分：提出了如何建立可以到达公司平安需求的“保险内容〞的过程。第五十五页，共63页。ISO15408的第三部分第三部分的内容描绘很仔细和复杂，作为审计人员只需要理解这些条款的根本内容即可。许多专家用它们来：作为厂商需要的特殊设置提供了审计人员和IT专家在商业和技术交流中常用的术语定义了为更新网络或特殊产品而建立特殊过程的需求需要由软件和硬件厂商声明的证明才能第五十六页，共63页。与平安审计员有关的概念和术语术语描述ProtectionProfile（PP）需要的网络服务和元素的项系列表，包括安全目标SecurityObjectives列出如何提出特别的弱点的书面描述。这是一种总体的陈述。安全需求比目标陈述更具体SecurityTarget（ST）由生产厂商提供的描述安全工具的用处的一组声明。与安全目标和安全需求不同。安全需求是由厂商实施在软硬件上的，而安全目标只是由IT部门和网络审计人员定义的目标第五十七页，共63页。与平安审计员有关的概念和术语术语描述TargetofEvaluation（TOE）你将要审计的某个操作系统，网络，分布式的程序或软件。使用安全目标和安全对象，你可以确定系统是否满足了目标以及对象是否达到了声明的功能Packages任何允许IT专家达到安全目标和要求的可以重复使用的内容。例如七个EAL。你可以合并这些Package来确保额外的安全EvaluationAssurance