信息系统安全技术安全审计与

信息系统安全技术

--安全审计与日志分析何长龙高级工程师目录专业安全审计系统体系结构分析网络信息系统安全审计综述审计与日志分析审计结果分析安全审计系统的必要性一旦我们采用的防御体系被突破怎么办？至少我们必须知道系统是怎样遭到攻击的，这样才能恢复系统，此外我们还要知道系统存在什么漏洞，如何能使系统在受到攻击时有所察觉，如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的，它相当于飞机上使用的“黑匣子”。

安全审计系统的必要性（续）在TCSEC和CC等安全认证体系中，网络安全审计的功能都是方在首要位置的，它是评判一个系统是否真正安全的重要尺码。因此在一个安全网络系统中的安全审计功能是必不可少的一部分。网络安全审计系统能帮助我们对网络安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。它是保证网络安全十分重要的一种手段。

CC标准中的网络安全审计功能定义

网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。国际标准化组织(ISO)和国际电工委员会(IEC)发表了【信息技术安全性评估通用准则2.0版】(ISO/IEC15408)，俗称CC准则，目前它已被广泛地用于评估一个系统的安全性。在这个标准中对网络审计定义了一套完整的功能，有：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。

安全审计自动响应

安全审计自动响应定义在被测事件指示出一个潜在的安全攻击时作出的响应，它是管理审计事件的需要，这些需要包括报警或行动，例如包括实时报警的生成、违例进程的终止、中断服务、用户帐号的失效等。根据审计事件的不同系统将作出不同的响应。其响应方式可作增加、删除、修改等操作。

安全审计数据生成

该功能要求记录与安全相关事件的出现，包括鉴别审计层次、列举可被审计的事件类型、以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单，每个可审计事件对应于某个事件级别，如低级、中级、高级。

产生的审计数据有以下几方面

对于敏感数据项（例如，口令通行字等）的访问目标对象的删除访问权限或能力的授予和废除改变主体或目标的安全属性标识定义和用户授权认证功能的使用审计功能的启动和关闭

每一条审计记录中至少应所含以下信息：事件发生的日期、时间、事件类型、主题标识、执行结果（成功、失败）、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。

安全审计分析

此部分功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生，并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。

安全审审计分分析类类型潜在攻攻击分分析基于模模板的的异常常检测测简单攻攻击试试探复杂攻攻击试试探等几种种类型型。安全审审计分分析类类型（（续））潜在攻攻击分分析：：系统统能用用一系系列的的规则则监控控审计计事件件，并并根据据这些些规则则指示示系统统的潜潜在攻攻击；；基于模模板的的异常常检测测：检检测系系统不不同等等级用用户的的行动动记录录，当当用户户的活活动等等级超超过其其限定定的登登记时时，应应指示示出此此为一一个潜潜在的的攻击击；简单攻攻击试试探：：当发发现一一个系系统事事件与与一个个表示示对系系统潜潜在攻攻击的的签名名事件件匹配配时，，应指指示出出此为为一个个潜在在的攻攻击；；复杂攻攻击试试探：：当发发现一一个系系统事事件或或事迹迹序列列与一一个表表示对对系统统潜在在攻击击的签签名事事件匹匹配时时，应应指示示出此此为一一个潜潜在的的攻击击。安全审审计浏浏览该功能能要求求审计计系统统能够够使授授权的的用户户有效效地浏浏览审审计数数据。。包括括：审审计浏浏览、、有限限审计计浏览览、可可选审审计浏浏览。。审计浏浏览提提供从从审计计记录录中读读取信信息的的服务务；有限审审计浏浏览要要求除除注册册用户户外，，其他他用户户不能能读取取信息息；可选审审计信信息要要求审审计浏浏览工工具根根据相相应的的判断断标准准选择择需浏浏览的的审计计数据据。安全全审审计计事事件件选选择择系统统能能够够维维护护、、检检查查或或修修改改审审计计事事件件的的集集合合，，能能够够选选择择对对哪哪些些安安全全属属性性进进行行审审计计，，例例如如：：与与目目标标标标识识、、用用户户标标识识、、主主体体标标识识、、主主机机标标识识或或事事件件类类型型有有关关的的属属性性。。系系统统管管理理员员将将能能够够有有选选择择地地在在个个人人识识别别的的基基础础上上审审计计任任何何一一个个用用户户或或多多个个用用的的动动作作。。安全全审审计计事事件件存存储储系统统将将提提供供控控制制措措施施以以防防止止由由于于资资源源的的不不可可用用丢丢失失审审计计数数据据。。能能够够创创造造、、维维护护、、访访问问它它所所保保护护的的对对象象的的审审计计踪踪迹迹，，并并保保护护其其不不被被修修改改、、非非授授权权访访问问或或破破坏坏。。审审计计数数据据将将受受到到保保护护直直至至授授权权用用户户对对它它进进行行的的访访问问。。安全全审审计计事事件件存存储储（（续续））它可可保保证证某某个个指指定定量量度度的的审审计计记记录录被被维维护护，，并并不不受受以以下下事事件件的的影影响响：：审计计存存储储用用尽尽；；审计计存存储储故故障障；；非法法攻攻击击；；其他他任任何何非非预预期期事事件件。。系统统能能够够在在审审计计存存储储发发生生故故障障时时采采取取相相应应的的动动作作，，能能够够在在审审计计存存储储即即将将用用尽尽时时采采取取相相应应的的动动作作。。网络络安安全全审审计计层层次次结结构构图图网络层审审计系统层审审计应用层审审计TCP/IP、、ATM…UNIX、Windows9x/NT、、ODBC审计总控控CA发证证操作主页更新新监视…安全审计计系统体体系结构构示意图图安全审计系统统的典型型配置示示意图

MailServer

DNSServer

DBServer

ApplicationServer

Workstation

路由器

防火墙

审计设备1

审计设备2

审计软件Agent

服务网

内部网

ApplicationServer

WebServer

SearchServer

审计中心

审计与日日志分析析审计与日日志分析析的参考考标准防火墙和和路由器器等网络络和网络络安全设设备日志志通用操作作系统日日志日志过滤滤可疑的活活动分析析审计结果果参考审计计执行过过程建立设计计报告库库安全审计计和安全全标准建议性审审计解决决方案建议审计计执行过过程为了能够够确定安安全策略略和实施施情况的的差距，，建议采采用特定定方法继继续进行行有效的的审计；；抵御和清清除病毒毒，蠕虫虫和木马马，修补补系统漏漏洞；建议改善善和增强强如下内内容：重新配置置路由器器；添加和重重新配置置防火墙墙规则；；升级操作作系统补补丁类型型；升级已有有的和不不安全的的服务；；加强网络络审核；；自动实施施和集中中管理网网络内部部和边界界安全；；建议改善善和增强强如下内内容（续续）增加入侵侵检测和和网络监监控产品品；增强物理理安全；；加强反病病毒扫描描；加强用户户级别的的加密；；删除不必必要的用用户账号号，程序序和服务务；等等具体改善善建议分类改善防火墙保证访问控制规则为最小、正确和有效的设置；保证NAT、冲定向等为最小、正确和有效设置；扫描DMZ区域内有问题的主机和服务器。入侵检测随时升级和更新入侵检测系统的规则；识别需要检测的内容。主机和个人安全实施用户级别的加密；在单个客户端上安装“个人防火墙”来锁定端口和减小风险。强制实施安全策略安装监视软件，如Axrent的企业级安全管理器；对物理安全进行有规律的审计。建议设计计审计报报告库在安全审审计报告告中应该该包括：：总体评价价现在的的安全级级别：你你应该给给出低、、中、高高的结论论，包括括你监视视的网络络设备的的简要评评价（例例如：大大型机、、路由器器、NT系统、、UNIX系统统等等））；对偶然的的、有经经验的和和专家级级的黑客客入侵系系统作出出时间上上的估计计；简要总结结出你的的最重要要的建议议；在安全审审计报告告中应该该包括（（续）详细列举举你在审审计过程程中的步步骤：此此时可以以提及一一些在侦侦查、渗渗透和控控制阶段段你发现现的有趣趣问题；；对各种种网络络元素素提出出建议议，包包括路路由器器、端端口、、服务务、登登陆账账户、、物理理安全全等等等；讨论物物理安安全：：许多多网络络对重重要设设备的的摆放放都不不注意意。例例如，，有的的公司司把文文件服服务器器置于于接待待台的的桌子子后，，一旦旦接待待人员员离开开，则则服务务器便便暴露露在网网络攻攻击下下。有有一次次，安安全设设计人人员抱抱着机机器离离开，，安全全守卫卫还帮帮了忙忙；安全审审计领领域内内使用用的术术语。。在安全全审计计报告告中应应该包包括（（续））最后，，记着着递交交你的的审计计报告告。因因为安安全审审计涉涉及了了商业业和技技术行行为，，所以以应该该把你你的报报告递递交给给两方方面的的负责责人。。如果果你采采用电电子邮邮件的的方式式递交交报告告，最最好对对报告告进行行数字字签名名和加加密。。持续续审审计计的的可可以以采采取取的的有有效效步步骤骤定义义安安全全策策略略建立立对对特特定定任任务务负负责责的的内内部部组组织织对网网络络资资源源进进行行分分类类为雇员建立安安全指导确保个人和网网络系统的物物理安全保障网络主机机的服务和操操作系统安全全持续审计的可可以采取的有有效步骤加强访问控制制机制建立和维护系系统确保网络满足足商业目标保持安全策略略的一致性重复的过程安全审计和安安全标准安全审计可参参考的标准ISO7498-2英国标准7799（BS7799）ISO15408（（CommonCriteria，CC）ISO7498英国标准7799（BS7799）BS7799文档的标标题是《ACodeofPracticeForInformationSecurityManagement》，论论述了如何确确保网络系统统安全。1999年的的版本有两个个部分，BS7799-1论述了了确保网络安安全所采取的的步骤；BS7799-2讨论论了在实施信信息安全管理理系统（ISMS）是应应采取的步骤骤。ISO17799虽然BS7799是英英国标准，但但由于它可以以帮助网络专专家设计实施施计划并提交交结果，所以以很多非英国国的安全人士士也接受这一一标准。ISO17799于于2000年年12月出版版，它是适用用于所有的组组织，建议成成为强制性的的安全标准。。它是基于BS7799之上的的，BS77991995年2月月首版，最后后一次修订和和改进是在1999年5月ISO17799概述述ISO17799在在安全问题的的范围上是全全面的。它包包含大量实质质性的控制要要求,有些是是极其复杂的的。要符合ISO17799，或其他他真正的任何何详细安全标标准，都不是是一项简单的的事情。甚至至对于最有安安全意识的组组织来说，认认证就更令人人头痛了。什么是ISO17799？ISO17799是一一个详细的安安全标准。包包括安全内容容的所有准则则，由十个独独立的部分组组成，每一一节都覆盖了了不同的主题题和区域。1、商业持续续规划这节的主要内内容包括：1）防止商业业活动的中断断；2）防止关键键商业过程免免受重大失误误或灾难的影影响。2、系统访问问控制——这节的主要内内容有：1）控制访问问信息；2）阻止非法法访问信息系系统；3）确保网络络服务得到保保护；4）阻阻止非非法访访问计计算机机；5）检检测非非法行行为；；6）保保证在在使用用移动动计算算机和和远程程网络络设备备时信信息的的安全全3、系系统开开发和和维护护这节的的主要要内容容有：：1)确确保信信息安安全保保护深深入到到操作作系统统中；；2)阻阻止应应用系系统中中的用用户数数据的的丢失失，修修改或或误用用；3)确确保信信息的的保密密性，，可靠靠性和和完整整性；；4)确确保IT项项目工工程及及其支支持活活动是是在安安全的的方式式下进进行的的；5)维维护应应用程程序软软件和和数据据的安安全。。4、物物理和和环境境安全全这部分分的主主要内内容有有：阻止对对业务务机密密和信信息非非法的的访问问，损损坏干干扰；；阻止资资产的的丢失失，损损坏或或遭受受危险险，使使业务务活动动免受受干扰扰；阻止信信息和和信息息处理理设备备的免免受损损坏或或盗窃窃。5、符符合性性这部分分的主主要内内容有有：避免违违背刑刑法、、民法法、条条例或或契约约责任任、以以及各各种安安全要要求；；确保组组织系系统符符合安安全方方针和和标准准；使系统统审查查过程程的绩绩效最最大化化，并并将干干扰因因素降降到最最小。。6、人人员安安全这部分分的主主要内内容包包括：：减少错错误，，偷窃窃，欺欺骗或或资源源误用用等人人为风风险；；确保使使用者者了解解信息息安全全的威威胁和和，在在他们们的正正常的的工作作中有有相应应的训训练，，以便便利于于信息息安全全政策策的贯贯彻和和实施施；通过从以以前事件件和故障障中汲取取教训，，最大限限度降低低安全的的损失。。7、安全全组织这节的主主要内容容包括：：在公司内内部管理理信息安安全；保持组织织的信息息采集设设施和可可被第三三方利用用的信息息资产的的安全性性；当信息处处理的责责任需借借助于外外力是时时，维持持信息的的安全。。8、计算算机与网网络管理理这节的目目的是：：确保信息息处理设设备的正正确和安安全的操操作；降低系统统失效的的风险到到最小；；保护护软软件件和和信信息息的的完完整整性性；；维护护信信息息处处理理和和通通讯讯的的完完整整性性和和可可用用性性；；确保保网网络络信信息息的的安安全全措措施施和和支支持持基基础础结结构构的的保保护护；；防止止资资产产被被损损坏坏和和业业务务活活动动被被干干扰扰中中断断；；防止止组组织织间间的的交交易易信信息息遭遭受受损损坏坏，，修修改改或或误误用用。。9、、资资产产分分类类和和控控制制这节节的的主主要要阐阐述述了了：：对于于共共同同的的资资产产给给予予适适当当的的保保护护并并且且确确保保那那些些信信息息资资产产得得到到适适当当水水平平的的保保护护。。10.安安全全政政策策这节节的的目目的的是是：：为信信息息安安全全提提供供管管理理方方向向和和支支持持。。在完完善善ISMS时时，，应应遵遵循循以以下下步步骤骤定义义安安全全策策略略为你你的的信信息息安安全全管管理理系系统统（（ISMS））定定义义范范围围风险险评评估估对已已知知的的风风险险进进行行排排序序和和管管理理BS7799和和ISO7498-2建建议议的的步步骤骤发布布安安全全策策略略公布负责责人名单单培训公司司人员的的信息安安全意识识定义汇报报事件的的程序建立有效效的反病病毒保护护措施确保实施施的策略略与公司司商业目目标的一一致性BS7799和ISO7498-2建建议的步步骤制定规范以确确保雇员不会会为了完成任任务而破坏软软件许可规则则物理上确保对对网络操作记记录的安全建立系统来保保护公司数据据的安全实施能够衡量量规定的安全全策略与实际际遵守情况的的等级的机制制和过程ISO15408（CC）CC提供了有有助于你选择择和发展网络络安全解决方方案的全球统统一标准CC出现实际际上是为了统统一ITSEC和TCSEC，并取取代“OrangeBook”。。ISO15408由三三个部分组成成第一部分：定定义了如何创创建安全目标标和需求，还还提供了一个个术语的概述述第二部分：定定义了如何建建立能够使商商业通信更安安全的需求列列表第三部分：提提出了如何建建立能够达到到公司安全需需求的“保险险内容”的过过程。ISO15408的第第三部分第三部分的内内容描述很仔仔细和复杂，，作为审计人人员只需要理理解这些条款款的基本内容容即可。许多多专家用它们们来：作为厂商需要要的特殊设置置提供了审计人人员和IT专专家在商业和和技术交流中中常用的术语语定义了为更新新网络或特殊殊产品而建立立特殊过程的的需求需要由软件和和硬件厂商声声明的证明能能力与安全审计员员有关的概念念和术语术语描述ProtectionProfile（PP）需要的网络服务和元素的项系列表，包括安全目标SecurityObjectives列出如何提出特别的弱点的书面描述。这是一种总体的陈述。安全需求比目标陈述更具体SecurityTarg