第九讲 信息安全审计ppt课件.ppt

,商学院屈维意 博士 讲师,信息安全审计,第九讲 信息安全管理之,信息安全审计,1 概述,2 安全审计系统的体系结构,3 安全审计的一般流程,4 安全审计的分析方法,5 安全审计的数据源,6 信息安全审计与标准,7 计算机取证,信息安全审计,1 概述,信息安全审计概述,信息安全审计概述,信息安全审计概述,信息安全审计概述,信息安全审计概述,信息安全审计概述,信息安全审计概述,天融信TA为用户提供的价值,信息安全审计概述,信息安全审计概述,信息安全审计的一般步骤,信息安全审计概述,确定和保持系统活动中每个人的责任确认重建事件的发生 评估损失监测系统问题区提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供案件侦破证据,安全审计系统的目标至少要包括以下几个方面：,信息安全审计概述,安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。网络安全审计是指对与网络安全有关的活动的相关信息进行识别、记录、存储和分析，并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。,信息系统安全审计的概念,信息安全审计概述,信息安全审计的有多方面的作用与功能，包括取证、威慑、发现系统漏洞、发现系统运行异常等。(1)取证：利用审计工具，监视和记录系统的活动情况。(2)威慑：通过审计跟踪，并配合相应的责任追究机制，对外部的入侵者以及内部人员的恶意行为具有威慑和警告作用。(3)发现系统漏洞：安全审计为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。(4)发现系统运行异常：通过安全审计，为系统管理员提供系统运行的统计日志，管理员可根据日志数据库记录的日志数据，分析网络或系统的安全性，输出安全性分析报告，因而能够及时发现系统的异常行为，并采取相应的处理措施。,信息系统安全审计的功能,信息安全审计概述,安全审计，按照不同的分类标准，具有不同的分类特性。 按照审计分析的对象，安全审计可分为针对主机的审计和针对网络的审计。前者对系统资源如系统文件、注册表等文件的操作进行事前控制和事后取证，并形成日志文件；后者主要是针对网络的信息内容和协议分析。 按照审计的工作方式，安全审计可分为集中式安全审计和分布式安全审计。集中式体系结构采用集中的方法，收集并分析数据源（网络各主机的原始审计记录），所有的数据都要交给中央处理机进行审计处理。分布式安全审计包含两层涵义，一是对分布式网络的安全审计，其二是采用分布式计算的方法，对数据源进行安全审计。,信息系统安全审计的分类,信息安全审计,2 安全审计系统的体系结构,信息安全审计体系结构,信息安全审计体系结构,信息安全审计体系结构,一般而言，一个完整的安全审计系统图5-1所示，包括事件探测及数据采集引擎、数据管理引擎和审计引擎等重要组成部分，每一部分实现不同的功能。 (1)事件探测及数据采集引擎事件探测及数据采集引擎主要全面侦听主机及网络上的信息流，动态监视主机的运行情况以及及网络上流过的数据包，对数据包进行检测和实时分析，并将分析结果发送给相应的数据管理中心进行保存。(2)数据管理引擎 数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及安全审计的输出数据进行管理，另一方面，数据管理引擎还负责对事件探测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息的管理。它一般包括三个模块:数据库管理、引擎管理、配置管理。(3)审计引擎审计引擎包括两个应用程序:审计控制台和用户管理。 审计控制台可以实时显示网络审计信息，流量统计信息，并可以查询审计信息历史数据，并且对审计事件进行回放。用户管理程序可以对用户进行权限设定，限制不同级别的用户查看不同的审计内容。,信息安全审计系统的一般组成,信息安全审计体系结构,集中式体系结构采用集中的方法，收集并分析数据源，所有的数据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎及安全审计引擎的工作，而部署在各受监视系统上的外围设备只是简单的数据采集设备，承担事件检测及数据采集引擎的作用。随着分布式网络技术的广泛应用，集中式的审计体系结构越来越显示出其缺陷，主要表现在:(1)由于事件信息的分析全部由中央处理机承担，势必造成CPU、I/O以及网络通信的负担，而且中心计算机往往容易发生单点故障（如针对中心分析系统的攻击）。另外，对现有的系统进行用户的增容（如网络的扩展，通信数据量的加大）是很困难的。(2)由于数据的集中存储，在大规模的分布式网络中，有可能因为单个点的失败造成整个审计数据的不可用。(3)集中式的体系结构，自适应能力差，不能根据环境变化自动更改配置。通常，配置的改变和增加是通过编辑配置文件来实现的，往往需要重新启动系统以使配置生效。因此，集中式的体系结构已不能适应高度分布的网络环境。,集中式安全审计系统体系结构,信息安全审计体系结构,分布式安全审计系统体系结构分布式安全审计系统实际上包含两层涵义：一是对分布式网络的安全审计，其二是采用分布式计算的方法，对数据源进行安全审计。的通信信息，并根据需要将结果报告给中央管理者。(3)中央管理者模块。接收包括来自局域网监视器和主机代理的数据和报告，控制整个系统的通信信息，对接收到的数据进行分析。相对于集中式结构，它有以下优点:(1) 扩展能力强；(2) 容错能力强 (3) 兼容性强 (4) 适应性强。,它由三部分组成：（1）主机代理模块。主机代理模块是部署在受监视主机上，并作为后台进程运行的审计信息收集模块。2）局域网监视器代理模块局域网监视器代理模块是部署在受监视的局域网上，用以收集并对局域网上的行为进行审计的模块，主要分析局域网网上的,信息安全审计,3 安全审计的一般流程,信息安全审计流程,事件采集设备通过硬件或软件代理对客体进行事件采集，并将采集到的事件发送至事件辨别与分析器进行事件辨别与分析，策略定义的危险事件，发送至报警处理部件，进行报警或响应。对所有需产生审计信息的事件，产生审计信息，并发送至结果汇总，进行数据备份或报告生成。,信息安全审计流程,1 策略定义安全审计应在一定的审计策略下进行，审计策略规定哪些信息需要采集、哪些事件是危险事件、以及对这些事件应如何处理等。因而审计前应制定一定的审计策略，并下发到各审计单元。在事件处理结束后，应根据对事件的分析处理结果来检查策略的合理性，必要时应调整审计策略。2 事件采集包含以下行为：a)按照预定的审计策略对客体进行相关审计事件采集。形成的结果交由事件后续的各阶段来处理；b)将事件其他各阶段提交的审计策略分发至各审计代理，审计代理依据策略进行客体事件采集。,信息安全审计流程,3 事件分析包含以下行为： a）按照预定策略，对采集到事件进行事件辨析，决定：1)忽略该事件；2)产生审计信息；3)产生审计信息并报警；4)产生审计信息且进行响应联动。b）按照用户定义与预定策略，将事件分析结果生成审计记录，并形成审计报告；4 事件响应包含以下行为：a)对事件分析阶段产生的报警信息、响应请求进行报警与响应；b)按照预定策略，生成审计记录，写入审计数据库，并将各类审计分析报告发送到指定的对象；c)照预定策略对审计记录进行备份；5 结果汇总主要包含以下行为：a)将各类审计报告进行分类汇总；b)对审计结果进行适当的统计分析，形成分析报告；c)根据用户需求和事件分析处理结果形成审计策略修改意见。,信息安全审计,4 安全审计的分析方法,信息安全审计分析方法,基于规则库的安全审计方法 基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放入规则库中，当进行安全审计时，将收集到的审核数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等)，从而发现可能的网络攻击行为。 基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击行为，该技术的效果非常之好;但是对于其他一些非常容易产生变种的网络攻击行为，规则库就很难用完全满足要求了。,信息安全审计分析方法,2. 基于数理统计的安全审计方法 数理统计方法就是首先给对象创建一个统计量的描述，比如一个网络流量的平均值、方差等等，统计出正常情况下这些特征量的数值，然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生。 但是，数理统计的最大问题在于如何设定统计量的“阀值”，也就是正常数值和非正常数值的分界点，这往往取决于管理员的经验，不可避免产生误报和漏报。,信息安全审计分析方法,3 基于日志数据挖掘的安全审计方法 与传统的网络安全审计系统相比，基于数据挖掘的网络安全审计系统有检测准确率高、速度快、自适应能力强等优点。 带有学习能力的数据挖掘方法己经在一些安全审计系统中得到了应用，它的主要思想是从系统使用或网络通信的“正常”数据中发现系统的“正常”运行模式，并和常规的一些攻击规则库进行关联分析，并用以检测系统攻击行为。,信息安全审计分析方法,4 其它安全审计方法 安全审计是根据收集到的关于己发生事件的各种数据来发现系统漏洞和入侵行为，能为追究造成系统危害的人员责任提供证据，是一种事后监督行为。入侵检测是在事件发生前或攻击事件正在发生过程中，利用观测到的数据，发现攻击行为。两者的目的都是发现系统入侵行为，只是入侵检测要求有更高的实时性，因而安全审计与入侵检测两者在分析方法上有很大的相似之处，入侵检测分析方法多能应用与安全审计。,信息安全审计,5 安全审计的数据源,信息安全审计数据源,对于安全审计系统而言，输入数据的选择是首先需要解决的问题，而安全审计的数据源，可以分为三类：基于主机、基于网络和其他途径。,信息安全审计数据源,1 基于主机的数据源(1)操作系统的审计记录操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的，其目的是记录当前系统的活动信息，如用户进程所调用的系统调用类型以及执行的命令行等，并将这些信息按照时间顺序组织为一个或多个审计文件。(2)系统日志日志分为操作系统日志和应用程序日志两部分。操作系统日志与主机的信息源相关，是使用操作系统日志机制生成的日志文件的总称；应用程序日志是有应用程序自己生成并维护的日志文件的总称。(3)应用程序日志信息操作系统审计记录和系统日志都属于系统级别的数据源信息，通常由操作系统及其标准部件统一维护，是安全审计优先选用的输入数据源。随着计算机网络的分布式计算架构的发展，对传统的安全观念提出了挑战。一方面，系统设计的日益复杂，使管理者无法单纯从内核底层级别的数据源来分析判断系统活动的情况。另一方面，网络化计算环境的普及，导致入侵攻击行为的目标日益集中于提供网络服务的特定应用程序，,信息安全审计数据源,2 基于网络的数据源随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。采用网络数据具有以下优势：(1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，不会对目标监控系统的运行性能产生任何影响，而且通常无需改变原有的结构和工作方式。(2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到攻击的概率。(3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和大量误用数据包的DOS攻击等。(4)网络数据包的标准化程度，比主机数据源来说要高得多，,信息安全审计数据源,5.5.2 基于网络的数据源随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。采用网络数据具有以下优势：(1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，不会对目标监控系统的运行性能产生任何影响，而且通常无需改变原有的结构和工作方式。(2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到攻击的概率。(3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和大量误用数据包的DOS攻击等。(4)网络数据包的标准化程度，比主机数据源来说要高得多，5.5.3 其它数据源(1)来自其它安全产品的数据源(2)来自网络设备的数据源(3)带外数据源,信息安全审计数据源,3 其它数据源(1)来自其它安全产品的数据源(2)来自网络设备的数据源(3)带外数据源,信息安全审计,6 信息安全审计与标准,信息安全标准,1 TCSES对于审计子系统的要求 TCSEC 的A1和A1+两个级别较B3级没有增加任何安全审计特征，从C2级的各级别都要求具有审计功能，而B3级提出了关于审计的全部功能要求。因此，TCSEC共定义了四个级别的审计要求:C2、B1、B2、B3。 C2级要求审计以下事件:用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员/系统管理员/安全管理员的行为、其它与安全有关的事件。 B1级相对于C2级增加了以下需要审计的事件:对于可以输出到硬拷贝设备上的人工可读标志的修改（包括敏感标记的覆写和标记功能的关闭）、对任何具有单一安全标记的通讯通道或I/O设备的标记指定、对具有多个安全标记的通讯通道或I/O设备的安全标记范围的修改。 B3级在B2级的功能基础上，增加了对可能将要违背系统安全政策这类事件的审计，比如对于时间型隐蔽通道的利用。 B2级的安全功能要求较之B1级增加了可信路径和隐蔽通道分析等，因此，除了B1级的审计要求外，对于可能被用于存储型隐蔽通道的活动，在B2级也要求被审计。,信息安全标准,2 CC中的安全审计功能需求 CC是美国、加拿大、英国、法国、德国、荷兰等国家联合提出的信息安全评价标准，在1999年通过国际标准化组织认可，成为信息安全评价国际标准。CC标准基于安全功能与安全保证措施相独立的观念，在组织上分为基本概念、安全功能需求和安全保证需求三大部分。CC中，安全需求都以类、族、组件的层次结构形式进行定义.,信息安全标准,3 17859对安全审计的要求 我国的信息安全国家标准GB 17859-1999计算机信息系统安全保护等级划分准则定义了五个安全等级，从第二级“系统审计保护级”开始有了对审计的要求，它规定计算机信息系统可信计算基（TCB）可以记录以下事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其它与系统安全相关的事件。第三级“安全标记保护级”在第二级的基础上，要求对于客体的增加和删除这类事件要在审计记录中增加对客体安全标记的记录。另外，TCB也要审计对可读输出记号（如输出文件的安全标记）的更改这类事件。第四级“结构化保护级”的审计功能要求与第三级相比，增加了对可能利用存储型隐蔽通道的事件进行审计的要求。 第五级“访问验证保护级”在第四级的基础上，要求TCB能够监控可审计安全事件的发生与积累，当（这类事件的发生或积累）超过预定阈值时，TCB能够立即向安全管理员发出警报。并且，如果这些事件继续发生，系统应以最小的代价终止它们。,信息安全标准,4 信息系统安全审计产品技术要求1. 安全审计产品分类技术规范将安全审计产品分为专用型和综合型两类。专用型是指对主机、服务器、网络、数据库管理系统、其它应用系统等客体采集对象其中一类进行审计，并对审计事件进行分析和响应的安全审计产品。2.安全功能要求技术规范分为审计踪迹、审计数据保护、安全管理、标识和鉴别、产品升级、监管要求等六个方面给出了详细的安全功能要求，其中每个功能还有更细致、可测试的安全子功能描述。3.自身安全要求 技术规范对安全审计产品自身安全也作出了明确的要求，分别包括：自身审计数据生成、自身安全审计记录独立存放、审计代理安全、产品卸载安全、系统时间同步、管理信息传输安全、系统部署安全、审计数据安全等。4.性能要求信息系统安全审计产品的性能要求是指 (1)稳定性;(2)资源占用：软件代理的运行对宿主机资源（如CPU、内存空间和存储空间），不应长时间固定或无限制占用 (4)产品应有足够的吞吐量.5.保证要求技术规范还对产品及开发者提出了若干产品保证方面的要求.,信息安全审计,7 计算机取证,计算机取证,计算机取证的发展历程 美国是开展电子证据检验和研究工作最早的国家之一。1989年FBI实验室开始了电子证据检验研究，并成立了专门从事电子证据检验的部门（CART）。每名检验人员除了具有专业基础外，还必须经过FBI 组织的七周以上的专门培训，包括刑事技术检验基础、电子技术检验技术和有关法律知识，每年还要对检验人员进行一定的新技术培训。美国的这种做法后来被许多其他国家的执法机构效仿。 为了适应当前形势，推动电子证据鉴定工作的开展，我国有关机构在充实计算机技术力量和设备的基础上，适应新时期公安工作的实际需要，从1999 年开始对电子证据检验技术进行研究，2001 年开始开展电子证据检验鉴定工作。,计算机取证,2 什么是计算机取证计算机取证是对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方式，进行识别、保存、分析和提交数字证据的过程。3 计算机取证流程计算机取证的一般步骤应由以下几个部分组成。保护目标计算机系统电子证据的确定电子证据的收集电子证据的保护电子证据的分析归档 在处理电子证据的过程中，为保证数据的可信度，必须确保“证据链”的完整性即证据保全，对各个步骤的情况进行归档，包括收集证据的地点、日期、时间和人员、方法及理由等，以使证据经得起法庭的质询。,计算机取证,4 计算机取证相关技术（1）电子证据监测技术电于数据的监测技术就是要监测各类系统设备以及存储介质中的电子数据，分析是否存在可作为证据的电子数据，涉及到的技术大体有事件犯罪监测、异常监测（Anomalous Detection）、审计日志分析等。（2）物理证据获取技术依据电子证据监测技术，当计算机取证系统监测到有入侵时，应当立即获取物理证据，它是全部取证工作的基础，在获取物理证据时最重要的工作是保证所保存的原始证据不受任何破坏。（3）电子证据收集技术电子数据收集技术是指遵照授权的方法，使用授权的软硬件设备，将己收集的数据进行保全，并对数据进行一些预处理，然后完整安全的将数据从目标机器转移到取证设备上。,计算机取证,（4）电子证据保全技术。在取证过程中，应对电子证据及整套的取证机制进行保护。（5）电子证据处理及鉴定技术 指对己收集的电子数据证据进行过滤、模式匹配、隐藏数据挖掘等的预处理工作，并在预处理的基础上，对处理过的数据进行数据统计、数据挖掘等分析工作，试图对攻击者的攻击时间、攻击目标、攻击者身份、攻击意图、攻击手段以及造成的后果给出明确并且符合法律规范的说明。（6）电子证据提交技术依据法律程序，以法庭可接受的证据形式提交电子证据及相应的文档说明。把对目标计算机系统的全面分析和追踪结果进行汇总，然后给出分析结论。,4 计算机取证相关技术,计算机取证,5 计算机取证工具1. 计算机取证工具分类计算机取证是一门综合性的技术，涉及到磁盘分析、加解密、图形和音频文件的分析、日志信息挖掘、数据库技术、媒体介质的物理分析等，如果没有合适的取证工具，依赖人工实现就会大大降低取证的速度和取证结果的可靠性。按照计算机取证流程，取证工具可分为证据获取工具、证据保全工具、证据分析工具、证据归档工具。2.证据获取工具证据获取工具就是用来从这些证据源中得到准确的数据。计算机取证的重要原则是，在不对原有证物进行任何改动或损坏的前提下获取证据，否则证据将不被法庭接受。为了能有效地分析证据，首先必须安全、全面地获取证据，以保证证据信息的完整性和安全性。,计算机取证,3. 证据保全工具需要证明的是取证人员在取证调查过程中没有造成任何对原始证物的改变；或者如果存在对证物的改变，也是由于计算机的本质特征造成的，并且这种改变对证物在取证上没有任何的影响。4. 证据分析工具证据分析是计算机取证的核心和关键，其内容包括分析计算机的类型，采用的操作系统类型，是否有隐藏的分区，有无可疑外设，有无远程控制和木马程序及当前计算机系统的网络环境等。通过将收集的程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改痕迹。5. 证据归档工具在计算机取证的最后阶段，也是最终目的，应该是整理取证分析的结果供法庭作为诉讼证据。主要对涉及计算机犯罪的时间、地点、直接证据信息、系统环境信息、取证过程、以及取证专家对电子证据的分析结果和评估报告等进行归档处理。尤其值得注意的是，在处理电子证据的过程中，为保证证据的可信度，必须对各个步骤的情况进行归档以使证据经得起法庭的质询。,5 计算机取证工具,典型产品介绍,