第九講信息安全審計(jì)ppt課件

1、商學(xué)院屈維意 博士 講師信息平安審計(jì)第九講 信息平安管理之 .信息平安審計(jì)1 概述2 平安審計(jì)系統(tǒng)的體系構(gòu)造3 平安審計(jì)的普通流程4 平安審計(jì)的分析方法5 平安審計(jì)的數(shù)據(jù)源6 信息平安審計(jì)與規(guī)范7 計(jì)算機(jī)取證.信息平安審計(jì)1 概述.信息平安審計(jì)概述.信息平安審計(jì)概述.信息平安審計(jì)概述.信息平安審計(jì)概述.信息平安審計(jì)概述.信息平安審計(jì)概述.信息平安審計(jì)概述天融信TA為用戶提供的價(jià)值.信息平安審計(jì)概述.信息平安審計(jì)概述信息平安審計(jì)的普通步驟.信息平安審計(jì)概述確定和堅(jiān)持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任確認(rèn)重建事件的發(fā)生 評價(jià)損失監(jiān)測系統(tǒng)問題區(qū)提供有效的災(zāi)難恢復(fù)根據(jù)提供阻止不正當(dāng)運(yùn)用系統(tǒng)行為的根據(jù)提供案件偵破證

2、據(jù)平安審計(jì)系統(tǒng)的目的至少要包括以下幾個(gè)方面：.信息平安審計(jì)概述 平安審計(jì)是對信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測、信息采集、分析并針對特定事件及行為采取相應(yīng)呼應(yīng)動(dòng)作。網(wǎng)絡(luò)平安審計(jì)是指對與網(wǎng)絡(luò)平安有關(guān)的活動(dòng)的相關(guān)信息進(jìn)展識別、記錄、存儲和分析，并檢查網(wǎng)絡(luò)上發(fā)生了哪些與平安有關(guān)的活動(dòng)以及誰對這個(gè)活動(dòng)擔(dān)任。信息系統(tǒng)平安審計(jì)的概念.信息平安審計(jì)概述 信息平安審計(jì)的有多方面的作用與功能，包括取證、威懾、發(fā)現(xiàn)系統(tǒng)破綻、發(fā)現(xiàn)系統(tǒng)運(yùn)轉(zhuǎn)異常等。(1)取證：利用審計(jì)工具，監(jiān)視和記錄系統(tǒng)的活動(dòng)情況。(2)威懾：經(jīng)過審計(jì)跟蹤，并配合相應(yīng)的責(zé)任清查機(jī)制，對外部的入侵者以及內(nèi)部人員的惡意行為具有威懾和警告作用。(3)發(fā)現(xiàn)系統(tǒng)

3、破綻：平安審計(jì)為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)運(yùn)用日志，從而協(xié)助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)破綻。(4)發(fā)現(xiàn)系統(tǒng)運(yùn)轉(zhuǎn)異常：經(jīng)過平安審計(jì)，為系統(tǒng)管理員提供系統(tǒng)運(yùn)轉(zhuǎn)的統(tǒng)計(jì)日志，管理員可根據(jù)日志數(shù)據(jù)庫記錄的日志數(shù)據(jù)，分析網(wǎng)絡(luò)或系統(tǒng)的平安性，輸出平安性分析報(bào)告，因此可以及時(shí)發(fā)現(xiàn)系統(tǒng)的異常行為，并采取相應(yīng)的處置措施。信息系統(tǒng)平安審計(jì)的功能.信息平安審計(jì)概述 平安審計(jì)，按照不同的分類規(guī)范，具有不同的分類特性。 按照審計(jì)分析的對象，平安審計(jì)可分為針對主機(jī)的審計(jì)和針對網(wǎng)絡(luò)的審計(jì)。前者對系統(tǒng)資源如系統(tǒng)文件、注冊表等文件的操作進(jìn)展事前控制和事后取證，并構(gòu)成日志文件；后者主要是針對網(wǎng)絡(luò)的信息內(nèi)容和協(xié)議分析

4、。 按照審計(jì)的任務(wù)方式，平安審計(jì)可分為集中式平安審計(jì)和分布式平安審計(jì)。集中式體系構(gòu)造采用集中的方法，搜集并分析數(shù)據(jù)源網(wǎng)絡(luò)各主機(jī)的原始審計(jì)記錄，一切的數(shù)據(jù)都要交給中央處置機(jī)進(jìn)展審計(jì)處置。分布式平安審計(jì)包含兩層涵義，一是對分布式網(wǎng)絡(luò)的平安審計(jì)，其二是采用分布式計(jì)算的方法，對數(shù)據(jù)源進(jìn)展平安審計(jì)。信息系統(tǒng)平安審計(jì)的分類.信息平安審計(jì)2 平安審計(jì)系統(tǒng)的體系構(gòu)造.信息平安審計(jì)體系構(gòu)造.信息平安審計(jì)體系構(gòu)造.信息平安審計(jì)體系構(gòu)造普通而言，一個(gè)完好的平安審計(jì)系統(tǒng)圖5-1所示，包括事件探測及數(shù)據(jù)采集引擎、數(shù)據(jù)管理引擎和審計(jì)引擎等重要組成部分，每一部分實(shí)現(xiàn)不同的功能。 (1)事件探測及數(shù)據(jù)采集引擎事件探測及數(shù)據(jù)采

5、集引擎主要全面?zhèn)陕犞鳈C(jī)及網(wǎng)絡(luò)上的信息流，動(dòng)態(tài)監(jiān)視主機(jī)的運(yùn)轉(zhuǎn)情況以及及網(wǎng)絡(luò)上流過的數(shù)據(jù)包，對數(shù)據(jù)包進(jìn)展檢測和實(shí)時(shí)分析，并將分析結(jié)果發(fā)送給相應(yīng)的數(shù)據(jù)管理中心進(jìn)展保管。(2)數(shù)據(jù)管理引擎 數(shù)據(jù)管理引擎一方面擔(dān)任對事件探測及數(shù)據(jù)采集引擎?zhèn)骰氐臄?shù)據(jù)以及平安審計(jì)的輸出數(shù)據(jù)進(jìn)展管理，另一方面，數(shù)據(jù)管理引擎還擔(dān)任對事件探測及數(shù)據(jù)采集引擎的設(shè)置、用戶對平安審計(jì)的自定義、系統(tǒng)配置信息的管理。它普通包括三個(gè)模塊:數(shù)據(jù)庫管理、引擎管理、配置管理。(3)審計(jì)引擎審計(jì)引擎包括兩個(gè)運(yùn)用程序:審計(jì)控制臺和用戶管理。 審計(jì)控制臺可以實(shí)時(shí)顯示網(wǎng)絡(luò)審計(jì)信息，流量統(tǒng)計(jì)信息，并可以查詢審計(jì)信息歷史數(shù)據(jù)，并且對審計(jì)事件進(jìn)展回放。用戶管理

6、程序可以對用戶進(jìn)展權(quán)限設(shè)定，限制不同級別的用戶查看不同的審計(jì)內(nèi)容。信息平安審計(jì)系統(tǒng)的普通組成.信息平安審計(jì)體系構(gòu)造 集中式體系構(gòu)造采用集中的方法，搜集并分析數(shù)據(jù)源，一切的數(shù)據(jù)都要交給中央處置機(jī)進(jìn)展審計(jì)處置。中央處置機(jī)承當(dāng)數(shù)據(jù)管理引擎及平安審計(jì)引擎的任務(wù)，而部署在各受監(jiān)視系統(tǒng)上的外圍設(shè)備只是簡單的數(shù)據(jù)采集設(shè)備，承當(dāng)事件檢測及數(shù)據(jù)采集引擎的作用。隨著分布式網(wǎng)絡(luò)技術(shù)的廣泛運(yùn)用，集中式的審計(jì)體系構(gòu)造越來越顯示出其缺陷，主要表如今:(1)由于事件信息的分析全部由中央處置機(jī)承當(dāng)，勢必呵斥CPU、I/O以及網(wǎng)絡(luò)通訊的負(fù)擔(dān)，而且中心計(jì)算機(jī)往往容易發(fā)生單點(diǎn)缺點(diǎn)如針對中心分析系統(tǒng)的攻擊。另外，對現(xiàn)有的系統(tǒng)進(jìn)展用戶

7、的增容如網(wǎng)絡(luò)的擴(kuò)展，通訊數(shù)據(jù)量的加大是很困難的。(2)由于數(shù)據(jù)的集中存儲，在大規(guī)模的分布式網(wǎng)絡(luò)中，有能夠由于單個(gè)點(diǎn)的失敗呵斥整個(gè)審計(jì)數(shù)據(jù)的不可用。(3)集中式的體系構(gòu)造，自順應(yīng)才干差，不能根據(jù)環(huán)境變化自動(dòng)更改配置。通常，配置的改動(dòng)和添加是經(jīng)過編輯配置文件來實(shí)現(xiàn)的，往往需求重新啟動(dòng)系統(tǒng)以使配置生效。因此，集中式的體系構(gòu)造已不能順應(yīng)高度分布的網(wǎng)絡(luò)環(huán)境。集中式平安審計(jì)系統(tǒng)體系構(gòu)造.信息平安審計(jì)體系構(gòu)造分布式平安審計(jì)系統(tǒng)體系構(gòu)造分布式平安審計(jì)系統(tǒng)實(shí)踐上包含兩層涵義：一是對分布式網(wǎng)絡(luò)的平安審計(jì)，其二是采用分布式計(jì)算的方法，對數(shù)據(jù)源進(jìn)展平安審計(jì)。的通訊信息，并根據(jù)需求將結(jié)果報(bào)告給中央管理者。(3)中央管理

8、者模塊。接納包括來自局域網(wǎng)監(jiān)視器和主機(jī)代理的數(shù)據(jù)和報(bào)告，控制整個(gè)系統(tǒng)的通訊信息，對接納到的數(shù)據(jù)進(jìn)展分析。相對于集中式構(gòu)造，它有以下優(yōu)點(diǎn):(1) 擴(kuò)展才干強(qiáng)；(2) 容錯(cuò)才干強(qiáng) (3) 兼容性強(qiáng) (4) 順應(yīng)性強(qiáng)。它由三部分組成：1主機(jī)代理模塊。主機(jī)代理模塊是部署在受監(jiān)視主機(jī)上，并作為后臺進(jìn)程運(yùn)轉(zhuǎn)的審計(jì)信息搜集模塊。2局域網(wǎng)監(jiān)視器代理模塊局域網(wǎng)監(jiān)視器代理模塊是部署在受監(jiān)視的局域網(wǎng)上，用以搜集并對局域網(wǎng)上的行為進(jìn)展審計(jì)的模塊，主要分析局域網(wǎng)網(wǎng)上的.信息平安審計(jì)3 平安審計(jì)的普通流程.信息平安審計(jì)流程 事件采集設(shè)備經(jīng)過硬件或軟件代理對客體進(jìn)展事件采集，并將采集到的事件發(fā)送至事件區(qū)分與分析器進(jìn)展事件區(qū)

9、分與分析，戰(zhàn)略定義的危險(xiǎn)事件，發(fā)送至報(bào)警處置部件，進(jìn)展報(bào)警或呼應(yīng)。對一切需產(chǎn)生審計(jì)信息的事件，產(chǎn)生審計(jì)信息，并發(fā)送至結(jié)果匯總，進(jìn)展數(shù)據(jù)備份或報(bào)告生成。.信息平安審計(jì)流程 1 戰(zhàn)略定義平安審計(jì)應(yīng)在一定的審計(jì)戰(zhàn)略下進(jìn)展，審計(jì)戰(zhàn)略規(guī)定哪些信息需求采集、哪些事件是危險(xiǎn)事件、以及對這些事件應(yīng)如何處置等。因此審計(jì)前應(yīng)制定一定的審計(jì)戰(zhàn)略，并下發(fā)到各審計(jì)單元。在事件處置終了后，應(yīng)根據(jù)對事件的分析處置結(jié)果來檢查戰(zhàn)略的合理性，必要時(shí)應(yīng)調(diào)整審計(jì)戰(zhàn)略。2 事件采集包含以下行為：a)按照預(yù)定的審計(jì)戰(zhàn)略對客體進(jìn)展相關(guān)審計(jì)事件采集。構(gòu)成的結(jié)果交由事件后續(xù)的各階段來處置；b)將事件其他各階段提交的審計(jì)戰(zhàn)略分發(fā)至各審計(jì)代理，審

10、計(jì)代理根據(jù)戰(zhàn)略進(jìn)展客體事件采集。.信息平安審計(jì)流程3 事件分析包含以下行為： a按照預(yù)定戰(zhàn)略，對采集到事件進(jìn)展事件辨析，決議：1)忽略該事件；2)產(chǎn)生審計(jì)信息；3)產(chǎn)生審計(jì)信息并報(bào)警；4)產(chǎn)生審計(jì)信息且進(jìn)展呼應(yīng)聯(lián)動(dòng)。b按照用戶定義與預(yù)定戰(zhàn)略，將事件分析結(jié)果生成審計(jì)記錄，并構(gòu)成審計(jì)報(bào)告；4 事件呼應(yīng)包含以下行為：a)對事件分析階段產(chǎn)生的報(bào)警信息、呼應(yīng)懇求進(jìn)展報(bào)警與呼應(yīng)；b)按照預(yù)定戰(zhàn)略，生成審計(jì)記錄，寫入審計(jì)數(shù)據(jù)庫，并將各類審計(jì)分析報(bào)揭露送到指定的對象；c)照預(yù)定戰(zhàn)略對審計(jì)記錄進(jìn)展備份；5 結(jié)果匯總主要包含以下行為：a)將各類審計(jì)報(bào)告進(jìn)展分類匯總；b)對審計(jì)結(jié)果進(jìn)展適當(dāng)?shù)慕y(tǒng)計(jì)分析，構(gòu)成分析報(bào)告；

11、c)根據(jù)用戶需求和事件分析處置結(jié)果構(gòu)成審計(jì)戰(zhàn)略修正意見。.信息平安審計(jì)4 平安審計(jì)的分析方法.信息平安審計(jì)分析方法基于規(guī)那么庫的平安審計(jì)方法 基于規(guī)那么庫的平安審計(jì)方法就是將知的攻擊行為進(jìn)展特征提取，把這些特征用腳本言語等方法進(jìn)展描畫后放入規(guī)那么庫中，當(dāng)進(jìn)展平安審計(jì)時(shí)，將搜集到的審核數(shù)據(jù)與這些規(guī)那么進(jìn)展某種比較和匹配操作(關(guān)鍵字、正那么表達(dá)式、模糊近似度等)，從而發(fā)現(xiàn)能夠的網(wǎng)絡(luò)攻擊行為。 基于規(guī)那么庫的平安審計(jì)方法有其本身的局限性。對于某些特征十清楚顯的網(wǎng)絡(luò)攻擊行為，該技術(shù)的效果非常之好;但是對于其他一些非常容易產(chǎn)生變種的網(wǎng)絡(luò)攻擊行為，規(guī)那么庫就很難用完全滿足要求了。.信息平安審計(jì)分析方法2.

12、 基于數(shù)理統(tǒng)計(jì)的平安審計(jì)方法 數(shù)理統(tǒng)計(jì)方法就是首先給對象創(chuàng)建一個(gè)統(tǒng)計(jì)量的描畫，比如一個(gè)網(wǎng)絡(luò)流量的平均值、方差等等，統(tǒng)計(jì)出正常情況下這些特征量的數(shù)值，然后用來對實(shí)踐網(wǎng)絡(luò)數(shù)據(jù)包的情況進(jìn)展比較，當(dāng)發(fā)現(xiàn)實(shí)踐值遠(yuǎn)離正常數(shù)值時(shí)，就可以以為是潛在的攻擊發(fā)生。 但是，數(shù)理統(tǒng)計(jì)的最大問題在于如何設(shè)定統(tǒng)計(jì)量的“閥值，也就是正常數(shù)值和非正常數(shù)值的分界點(diǎn)，這往往取決于管理員的閱歷，不可防止產(chǎn)生誤報(bào)和漏報(bào)。.信息平安審計(jì)分析方法3 基于日志數(shù)據(jù)發(fā)掘的平安審計(jì)方法 與傳統(tǒng)的網(wǎng)絡(luò)平安審計(jì)系統(tǒng)相比，基于數(shù)據(jù)發(fā)掘的網(wǎng)絡(luò)平安審計(jì)系統(tǒng)有檢測準(zhǔn)確率高、速度快、自順應(yīng)才干強(qiáng)等優(yōu)點(diǎn)。 帶有學(xué)習(xí)才干的數(shù)據(jù)發(fā)掘方法己經(jīng)在一些平安審計(jì)系統(tǒng)中得

13、到了運(yùn)用，它的主要思想是從系統(tǒng)運(yùn)用或網(wǎng)絡(luò)通訊的“正常數(shù)據(jù)中發(fā)現(xiàn)系統(tǒng)的“正常運(yùn)轉(zhuǎn)方式，并和常規(guī)的一些攻擊規(guī)那么庫進(jìn)展關(guān)聯(lián)分析，并用以檢測系統(tǒng)攻擊行為。.信息平安審計(jì)分析方法4 其它平安審計(jì)方法 平安審計(jì)是根據(jù)搜集到的關(guān)于己發(fā)惹事件的各種數(shù)據(jù)來發(fā)現(xiàn)系統(tǒng)破綻和入侵行為，能為清查呵斥系統(tǒng)危害的人員責(zé)任提供證據(jù)，是一種事后監(jiān)視行為。入侵檢測是在事件發(fā)生前或攻擊事件正在發(fā)生過程中，利用觀測到的數(shù)據(jù)，發(fā)現(xiàn)攻擊行為。兩者的目的都是發(fā)現(xiàn)系統(tǒng)入侵行為，只是入侵檢測要求有更高的實(shí)時(shí)性，因此平安審計(jì)與入侵檢測兩者在分析方法上有很大的類似之處，入侵檢測分析方法多能運(yùn)用與平安審計(jì)。.信息平安審計(jì)5 平安審計(jì)的數(shù)據(jù)源.信息

14、平安審計(jì)數(shù)據(jù)源 對于平安審計(jì)系統(tǒng)而言，輸入數(shù)據(jù)的選擇是首先需求處理的問題，而平安審計(jì)的數(shù)據(jù)源，可以分為三類：基于主機(jī)、基于網(wǎng)絡(luò)和其他途徑。.信息平安審計(jì)數(shù)據(jù)源1 基于主機(jī)的數(shù)據(jù)源(1)操作系統(tǒng)的審計(jì)記錄操作系統(tǒng)的審計(jì)記錄是由操作系統(tǒng)軟件內(nèi)部的專門審計(jì)子系統(tǒng)所產(chǎn)生的，其目的是記錄當(dāng)前系統(tǒng)的活動(dòng)信息，如用戶進(jìn)程所調(diào)用的系統(tǒng)調(diào)用類型以及執(zhí)行的命令行等，并將這些信息按照時(shí)間順序組織為一個(gè)或多個(gè)審計(jì)文件。(2)系統(tǒng)日志日志分為操作系統(tǒng)日志和運(yùn)用程序日志兩部分。操作系統(tǒng)日志與主機(jī)的信息源相關(guān)，是運(yùn)用操作系統(tǒng)日志機(jī)制生成的日志文件的總稱；運(yùn)用程序日志是有運(yùn)用程序本人生成并維護(hù)的日志文件的總稱。(3)運(yùn)用程序

15、日志信息操作系統(tǒng)審計(jì)記錄和系統(tǒng)日志都屬于系統(tǒng)級別的數(shù)據(jù)源信息，通常由操作系統(tǒng)及其規(guī)范部件一致維護(hù)，是平安審計(jì)優(yōu)先選用的輸入數(shù)據(jù)源。隨著計(jì)算機(jī)網(wǎng)絡(luò)的分布式計(jì)算架構(gòu)的開展，對傳統(tǒng)的平安觀念提出了挑戰(zhàn)。一方面，系統(tǒng)設(shè)計(jì)的日益復(fù)雜，使管理者無法單純從內(nèi)核底層級別的數(shù)據(jù)源來分析判別系統(tǒng)活動(dòng)的情況。另一方面，網(wǎng)絡(luò)化計(jì)算環(huán)境的普及，導(dǎo)致入侵攻擊行為的目的日益集中于提供網(wǎng)絡(luò)效力的特定運(yùn)用程序，.信息平安審計(jì)數(shù)據(jù)源2 基于網(wǎng)絡(luò)的數(shù)據(jù)源隨著基于網(wǎng)絡(luò)入侵檢測的日益流行，基于網(wǎng)絡(luò)的平安審計(jì)也成為平安審計(jì)開展的流行趨勢，而基于網(wǎng)絡(luò)的平安審計(jì)系統(tǒng)所采用的輸入數(shù)據(jù)即網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。采用網(wǎng)絡(luò)數(shù)據(jù)具有以下優(yōu)勢：(1)經(jīng)過網(wǎng)絡(luò)

16、被動(dòng)監(jiān)聽的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，作為平安審計(jì)系統(tǒng)的輸入數(shù)據(jù)，不會(huì)對目的監(jiān)控系統(tǒng)的運(yùn)轉(zhuǎn)性能產(chǎn)生任何影響，而且通常無需改動(dòng)原有的構(gòu)造和任務(wù)方式。(2)嗅探模塊在任務(wù)時(shí)，可以采用對網(wǎng)絡(luò)用戶透明的方式，降低了其本身遭到攻擊的概率。(3)基于網(wǎng)絡(luò)數(shù)據(jù)的輸入信息源，可以發(fā)現(xiàn)許多基于主機(jī)數(shù)據(jù)源所無法發(fā)現(xiàn)的攻擊手段，例如基于網(wǎng)絡(luò)協(xié)議的破綻放掘過程，或是發(fā)送畸形網(wǎng)絡(luò)數(shù)據(jù)包和大量誤用數(shù)據(jù)包的DOS攻擊等。(4)網(wǎng)絡(luò)數(shù)據(jù)包的規(guī)范化程度，比主機(jī)數(shù)據(jù)源來說要高得多，.信息平安審計(jì)數(shù)據(jù)源5.5.2 基于網(wǎng)絡(luò)的數(shù)據(jù)源隨著基于網(wǎng)絡(luò)入侵檢測的日益流行，基于網(wǎng)絡(luò)的平安審計(jì)也成為平安審計(jì)開展的流行趨勢，而基于網(wǎng)絡(luò)的平安審計(jì)系統(tǒng)所采用

17、的輸入數(shù)據(jù)即網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)。采用網(wǎng)絡(luò)數(shù)據(jù)具有以下優(yōu)勢：(1)經(jīng)過網(wǎng)絡(luò)被動(dòng)監(jiān)聽的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，作為平安審計(jì)系統(tǒng)的輸入數(shù)據(jù)，不會(huì)對目的監(jiān)控系統(tǒng)的運(yùn)轉(zhuǎn)性能產(chǎn)生任何影響，而且通常無需改動(dòng)原有的構(gòu)造和任務(wù)方式。(2)嗅探模塊在任務(wù)時(shí)，可以采用對網(wǎng)絡(luò)用戶透明的方式，降低了其本身遭到攻擊的概率。(3)基于網(wǎng)絡(luò)數(shù)據(jù)的輸入信息源，可以發(fā)現(xiàn)許多基于主機(jī)數(shù)據(jù)源所無法發(fā)現(xiàn)的攻擊手段，例如基于網(wǎng)絡(luò)協(xié)議的破綻放掘過程，或是發(fā)送畸形網(wǎng)絡(luò)數(shù)據(jù)包和大量誤用數(shù)據(jù)包的DOS攻擊等。(4)網(wǎng)絡(luò)數(shù)據(jù)包的規(guī)范化程度，比主機(jī)數(shù)據(jù)源來說要高得多，5.5.3 其它數(shù)據(jù)源(1)來自其它平安產(chǎn)品的數(shù)據(jù)源(2)來自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源(3)帶外

18、數(shù)據(jù)源.信息平安審計(jì)數(shù)據(jù)源3 其它數(shù)據(jù)源(1)來自其它平安產(chǎn)品的數(shù)據(jù)源(2)來自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源(3)帶外數(shù)據(jù)源.信息平安審計(jì)6 信息平安審計(jì)與規(guī)范.信息平安規(guī)范1 TCSES對于審計(jì)子系統(tǒng)的要求 TCSEC 的A1和A1+兩個(gè)級別較B3級沒有添加任何平安審計(jì)特征，從C2級的各級別都要求具有審計(jì)功能，而B3級提出了關(guān)于審計(jì)的全部功能要求。因此，TCSEC共定義了四個(gè)級別的審計(jì)要求:C2、B1、B2、B3。 C2級要求審計(jì)以下事件:用戶的身份標(biāo)識和鑒別、用戶地址空間中客體的引入和刪除、計(jì)算機(jī)操作員/系統(tǒng)管理員/平安管理員的行為、其它與平安有關(guān)的事件。 B1級相對于C2級添加了以下需求審計(jì)的事件:

19、對于可以輸出到硬拷貝設(shè)備上的人工可讀標(biāo)志的修正包括敏感標(biāo)志的覆寫和標(biāo)志功能的封鎖、對任何具有單一平安標(biāo)志的通訊通道或I/O設(shè)備的標(biāo)志指定、對具有多個(gè)平安標(biāo)志的通訊通道或I/O設(shè)備的平安標(biāo)志范圍的修正。 B3級在B2級的功能根底上，添加了對能夠?qū)⒁`背系統(tǒng)平安政策這類事件的審計(jì)，比如對于時(shí)間型隱蔽通道的利用。 B2級的平安功能要求較之B1級添加了可信途徑和隱蔽通道分析等，因此，除了B1級的審計(jì)要求外，對于能夠被用于存儲型隱蔽通道的活動(dòng)，在B2級也要求被審計(jì)。.信息平安規(guī)范2 CC中的平安審計(jì)功能需求 CC是美國、加拿大、英國、法國、德國、荷蘭等國家結(jié)合提出的信息平安評價(jià)規(guī)范，在1999年經(jīng)過國際

20、規(guī)范化組織認(rèn)可，成為信息平安評價(jià)國際規(guī)范。CC規(guī)范基于平安功能與平安保證措施相獨(dú)立的觀念，在組織上分為根本概念、平安功能需求和平安保證需求三大部分。CC中，平安需求都以類、族、組件的層次構(gòu)造方式進(jìn)展定義.信息平安規(guī)范3 17859對平安審計(jì)的要求 我國的信息平安國家規(guī)范GB 17859-1999定義了五個(gè)平安等級，從第二級“系統(tǒng)審計(jì)維護(hù)級開場有了對審計(jì)的要求，它規(guī)定計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基TCB可以記錄以下事件：運(yùn)用身份鑒別機(jī)制；將客體引入用戶地址空間例如：翻開文件、程序初始化；刪除客體；由操作員、系統(tǒng)管理員或和系統(tǒng)平安管理員實(shí)施的動(dòng)作，以及其它與系統(tǒng)平安相關(guān)的事件。第三級“平安標(biāo)志維護(hù)級在第

21、二級的根底上，要求對于客體的添加和刪除這類事件要在審計(jì)記錄中添加對客體平安標(biāo)志的記錄。另外，TCB也要審計(jì)對可讀輸出記號如輸出文件的平安標(biāo)志的更改這類事件。第四級“構(gòu)造化維護(hù)級的審計(jì)功能要求與第三級相比，添加了對能夠利用存儲型隱蔽通道的事件進(jìn)展審計(jì)的要求。 第五級“訪問驗(yàn)證維護(hù)級在第四級的根底上，要求TCB可以監(jiān)控可審計(jì)平安事件的發(fā)生與積累，當(dāng)這類事件的發(fā)生或積累超越預(yù)定閾值時(shí)，TCB可以立刻向平安管理員發(fā)出警報(bào)。并且，假設(shè)這些事件繼續(xù)發(fā)生，系統(tǒng)應(yīng)以最小的代價(jià)終止它們。.信息平安規(guī)范4 信息系統(tǒng)平安審計(jì)產(chǎn)品技術(shù)要求1. 平安審計(jì)產(chǎn)品分類技術(shù)規(guī)范將平安審計(jì)產(chǎn)品分為公用型和綜合型兩類。公用型是指對

22、主機(jī)、效力器、網(wǎng)絡(luò)、數(shù)據(jù)庫管理系統(tǒng)、其它運(yùn)用系統(tǒng)等客體采集對象其中一類進(jìn)展審計(jì)，并對審計(jì)事件進(jìn)展分析和呼應(yīng)的平安審計(jì)產(chǎn)品。2.平安功能要求技術(shù)規(guī)范分為審計(jì)蹤跡、審計(jì)數(shù)據(jù)維護(hù)、平安管理、標(biāo)識和鑒別、產(chǎn)品晉級、監(jiān)管要求等六個(gè)方面給出了詳細(xì)的平安功能要求，其中每個(gè)功能還有更細(xì)致、可測試的平安子功能描畫。3.本身平安要求 技術(shù)規(guī)范對平安審計(jì)產(chǎn)品本身平安也作出了明確的要求，分別包括：本身審計(jì)數(shù)據(jù)生成、本身平安審計(jì)記錄獨(dú)立存放、審計(jì)代理平安、產(chǎn)品卸載平安、系統(tǒng)時(shí)間同步、管理信息傳輸平安、系統(tǒng)部署平安、審計(jì)數(shù)據(jù)平安等。4.性能要求信息系統(tǒng)平安審計(jì)產(chǎn)品的性能要求是指 (1)穩(wěn)定性;(2)資源占用：軟件代理的運(yùn)

23、轉(zhuǎn)對宿主機(jī)資源如CPU、內(nèi)存空間和存儲空間，不應(yīng)長時(shí)間固定或無限制占用 (4)產(chǎn)品應(yīng)有足夠的吞吐量.5.保證要求技術(shù)規(guī)范還對產(chǎn)品及開發(fā)者提出了假設(shè)干產(chǎn)品保證方面的要求.信息平安審計(jì)7 計(jì)算機(jī)取證.計(jì)算機(jī)取證 計(jì)算機(jī)取證的開展歷程 美國是開展電子證據(jù)檢驗(yàn)和研討任務(wù)最早的國家之一。1989年FBI實(shí)驗(yàn)室開場了電子證據(jù)檢驗(yàn)研討，并成立了專門從事電子證據(jù)檢驗(yàn)的部門CART。每名檢驗(yàn)人員除了具有專業(yè)根底外，還必需經(jīng)過FBI 組織的七周以上的專門培訓(xùn)，包括刑事技術(shù)檢驗(yàn)根底、電子技術(shù)檢驗(yàn)技術(shù)和有關(guān)法律知識，每年還要對檢驗(yàn)人員進(jìn)展一定的新技術(shù)培訓(xùn)。美國的這種做法后來被許多其他國家的執(zhí)法機(jī)構(gòu)效仿。 為了順該當(dāng)前

24、情勢，推進(jìn)電子證據(jù)鑒定任務(wù)的開展，我國有關(guān)機(jī)構(gòu)在充實(shí)計(jì)算機(jī)技術(shù)力量和設(shè)備的根底上，順應(yīng)新時(shí)期公安任務(wù)的實(shí)踐需求，從1999 年開場對電子證據(jù)檢驗(yàn)技術(shù)進(jìn)展研討，2001 年開場開展電子證據(jù)檢驗(yàn)鑒定任務(wù)。.計(jì)算機(jī)取證2 什么是計(jì)算機(jī)取證計(jì)算機(jī)取證是對計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計(jì)算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式，進(jìn)展識別、保管、分析和提交數(shù)字證據(jù)的過程。3 計(jì)算機(jī)取證流程計(jì)算機(jī)取證的普通步驟應(yīng)由以下幾個(gè)部分組成。維護(hù)目的計(jì)算機(jī)系統(tǒng)電子證據(jù)確實(shí)定電子證據(jù)的搜集電子證據(jù)的維護(hù)電子證據(jù)的分析歸檔 在處置電子證據(jù)的過程中，為保證數(shù)據(jù)的可信度，必需確?！白C據(jù)鏈的完好性即證據(jù)保全，對各個(gè)

25、步驟的情況進(jìn)展歸檔，包括搜集證據(jù)的地點(diǎn)、日期、時(shí)間和人員、方法及理由等，以使證據(jù)經(jīng)得起法庭的質(zhì)詢。.計(jì)算機(jī)取證4 計(jì)算機(jī)取證相關(guān)技術(shù)1電子證據(jù)監(jiān)測技術(shù)電于數(shù)據(jù)的監(jiān)測技術(shù)就是要監(jiān)測各類系統(tǒng)設(shè)備以及存儲介質(zhì)中的電子數(shù)據(jù)，分析能否存在可作為證據(jù)的電子數(shù)據(jù)，涉及到的技術(shù)大體有事件犯罪監(jiān)測、異常監(jiān)測Anomalous Detection、審計(jì)日志分析等。2物理證據(jù)獲取技術(shù)根據(jù)電子證據(jù)監(jiān)測技術(shù)，當(dāng)計(jì)算機(jī)取證系統(tǒng)監(jiān)測到有入侵時(shí)，該當(dāng)立刻獲取物理證據(jù)，它是全部取證任務(wù)的根底，在獲取物理證據(jù)時(shí)最重要的任務(wù)是保證所保管的原始證據(jù)不受任何破壞。3電子證據(jù)搜集技術(shù)電子數(shù)據(jù)搜集技術(shù)是指遵照授權(quán)的方法，運(yùn)用授權(quán)的軟硬件設(shè)備，將己搜集的數(shù)據(jù)進(jìn)展保全，并對數(shù)據(jù)進(jìn)展一些預(yù)處置，然后完好平安的將數(shù)據(jù)從目的機(jī)器轉(zhuǎn)移到取證設(shè)備上。.計(jì)算機(jī)取證4電子證據(jù)保全技術(shù)。在取證過程中，應(yīng)對電子證據(jù)及整套的取證機(jī)制進(jìn)展維護(hù)。5電子證據(jù)處置及鑒定技術(shù) 指對己搜集的電子數(shù)據(jù)證據(jù)進(jìn)展過濾、方式匹配、隱藏?cái)?shù)據(jù)發(fā)掘等的預(yù)處置任務(wù)，并在預(yù)處置的根底上，對處置過的數(shù)據(jù)進(jìn)展數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)發(fā)掘等分析任務(wù)，試圖對攻擊