商学院屈维意博士讲师信息安全审计第九讲信息安全管理之信息安全审计1概述2安全审计系统的体系结构3安全审计的一般流程4安全审计的分析方法5安全审计的数据源6信息安全审计与标准7计算机取证信息安全审计1概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述信息安全审计概述天融信TA为用户提供的价值信息安全审计概述信息安全审计概述信息安全审计的一般步骤信息安全审计概述确定和保持系统活动中每个人的责任确认重建事件的发生评估损失监测系统问题区提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供案件侦破证据安全审计系统的目标至少要包括以下几个方面:信息安全审计概述安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。网络安全审计是指对与网络安全有关的活动的相关信息进行识别、记录、存储和分析,并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。信息系统安全审计的概念信息安全审计概述信息安全审计的有多方面的作用与功能,包括取证、威慑、发现系统漏洞、发现系统运行异常等。(1)取证:利用审计工具,监视和记录系统的活动情况。(2)威慑:通过审计跟踪,并配合相应的责任追究机制,对外部的入侵者以及内部人员的恶意行为具有威慑和警告作用。(3)发现系统漏洞:安全审计为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。(4)发现系统运行异常:通过安全审计,为系统管理员提供系统运行的统计日志,管理员可根据日志数据库记录的日志数据,分析网络或系统的安全性,输出安全性分析报告,因而能够及时发现系统的异常行为,并采取相应的处理措施。信息系统安全审计的功能信息安全审计概述安全审计,按照不同的分类标准,具有不同的分类特性。按照审计分析的对象,安全审计可分为针对主机的审计和针对网络的审计。前者对系统资源如系统文件、注册表等文件的操作进行事前控制和事后取证,并形成日志文件;后者主要是针对网络的信息内容和协议分析。按照审计的工作方式,安全审计可分为集中式安全审计和分布式安全审计。集中式体系结构采用集中的方法,收集并分析数据源(网络各主机的原始审计记录),所有的数据都要交给中央处理机进行审计处理。分布式安全审计包含两层涵义,一是对分布式网络的安全审计,其二是采用分布式计算的方法,对数据源进行安全审计。信息系统安全审计的分类信息安全审计2安全审计系统的体系结构信息安全审计体系结构信息安全审计体系结构信息安全审计体系结构一般而言,一个完整的安全审计系统图5-1所示,包括事件探测及数据采集引擎、数据管理引擎和审计引擎等重要组成部分,每一部分实现不同的功能。(1)事件探测及数据采集引擎事件探测及数据采集引擎主要全面侦听主机及网络上的信息流,动态监视主机的运行情况以及及网络上流过的数据包,对数据包进行检测和实时分析,并将分析结果发送给相应的数据管理中心进行保存。(2)数据管理引擎数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及安全审计的输出数据进行管理,另一方面,数据管理引擎还负责对事件探测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息的管理。它一般包括三个模块:数据库管理、引擎管理、配置管理。(3)审计引擎审计引擎包括两个应用程序:审计控制台和用户管理。审计控制台可以实时显示网络审计信息,流量统计信息,并可以查询审计信息历史数据,并且对审计事件进行回放。用户管理程序可以对用户进行权限设定,限制不同级别的用户查看不同的审计内容。信息安全审计系统的一般组成信息安全审计体系结构集中式体系结构采用集中的方法,收集并分析数据源,所有的数据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎及安全审计引擎的工作,而部署在各受监视系统上的外围设备只是简单的数据采集设备,承担事件检测及数据采集引擎的作用。随着分布式网络技术的广泛应用,集中式的审计体系结构越来越显示出其缺陷,主要表现在:(1)由于事件信息的分析全部由中央处理机承担,势必造成CPU、I/O以及网络通信的负担,而且中心计算机往往容易发生单点故障(如针对中心分析系统的攻击)。另外,对现有的系统进行用户的增容(如网络的扩展,通信数据量的加大)是很困难的。(2)由于数据的集中存储,在大规模的分布式网络中,有可能因为单个点的失败造成整个审计数据的不可用。(3)集中式的体系结构,自适应能力差,不能根据环境变化自动更改配置。通常,配置的改变和增加是通过编辑配置文件来实现的,往往需要重新启动系统以使配置生效。因此,集中式的体系结构已不能适应高度分布的网络环境。集中式安全审计系统体系结构信息安全审计体系结构分布式安全审计系统体系结构分布式安全审计系统实际上包含两层涵义:一是对分布式网络的安全审计,其二是采用分布式计算的方法,对数据源进行安全审计。的通信信息,并根据需要将结果报告给中央管理者。(3)中央管理者模块。接收包括来自局域网监视器和主机代理的数据和报告,控制整个系统的通信信息,对接收到的数据进行分析。相对于集中式结构,它有以下优点:(1)扩展能力强;(2)容错能力强(3)兼容性强(4)适应性强。它由三部分组成:(1)主机代理模块。主机代理模块是部署在受监视主机上,并作为后台进程运行的审计信息收集模块。2)局域网监视器代理模块局域网监视器代理模块是部署在受监视的局域网上,用以收集并对局域网上的行为进行审计的模块,主要分析局域网网上的信息安全审计3安全审计的一般流程信息安全审计流程事件采集设备通过硬件或软件代理对客体进行事件采集,并将采集到的事件发送至事件辨别与分析器进行事件辨别与分析,策略定义的危险事件,发送至报警处理部件,进行报警或响应。对所有需产生审计信息的事件,产生审计信息,并发送至结果汇总,进行数据备份或报告生成。信息安全审计流程1策略定义安全审计应在一定的审计策略下进行,审计策略规定哪些信息需要采集、哪些事件是危险事件、以及对这些事件应如何处理等。因而审计前应制定一定的审计策略,并下发到各审计单元。在事件处理结束后,应根据对事件的分析处理结果来检查策略的合理性,必要时应调整审计策略。2事件采集包含以下行为:a)按照预定的审计策略对客体进行相关审计事件采集。形成的结果交由事件后续的各阶段来处理;b)将事件其他各阶段提交的审计策略分发至各审计代理,审计代理依据策略进行客体事件采集。信息安全审计流程3事件分析包含以下行为:a)按照预定策略,对采集到事件进行事件辨析,决定:1)忽略该事件;2)产生审计信息;3)产生审计信息并报警;4)产生审计信息且进行响应联动。b)按照用户定义与预定策略,将事件分析结果生成审计记录,并形成审计报告;4事件响应包含以下行为:a)对事件分析阶段产生的报警信息、响应请求进行报警与响应;b)按照预定策略,生成审计记录,写入审计数据库,并将各类审计分析报告发送到指定的对象;c)照预定策略对审计记录进行备份;5结果汇总主要包含以下行为:a)将各类审计报告进行分类汇总;b)对审计结果进行适当的统计分析,形成分析报告;c)根据用户需求和事件分析处理结果形成审计策略修改意见。信息安全审计4安全审计的分析方法信息安全审计分析方法1.基于规则库的安全审计方法基于规则库的安全审计方法就是将已知的攻击行为进行特征提取,把这些特征用脚本语言等方法进行描述后放入规则库中,当进行安全审计时,将收集到的审核数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等),从而发现可能的网络攻击行为。基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击行为,该技术的效果非常之好;但是对于其他一些非常容易产生变种的网络攻击行为,规则库就很难用完全满足要求了。信息安全审计分析方法2.基于数理统计的安全审计方法数理统计方法就是首先给对象创建一个统计量的描述,比如一个网络流量的平均值、方差等等,统计出正常情况下这些特征量的数值,然后用来对实际网络数据包的情况进行比较,当发现实际值远离正常数值时,就可以认为是潜在的攻击发生。但是,数理统计的最大问题在于如何设定统计量的“阀值”,也就是正常数值和非正常数值的分界点,这往往取决于管理员的经验,不可避免产生误报和漏报。信息安全审计分析方法3基于日志数据挖掘的安全审计方法与传统的网络安全审计系统相比,基于数据挖掘的网络安全审计系统有检测准确率高、速度快、自适应能力强等优点。带有学习能力的数据挖掘方法己经在一些安全审计系统中得到了应用,它的主要思想是从系统使用或网络通信的“正常”数据中发现系统的“正常”运行模式,并和常规的一些攻击规则库进行关联分析,并用以检测系统攻击行为。信息安全审计分析方法4其它安全审计方法安全审计是根据收集到的关于己发生事件的各种数据来发现系统漏洞和入侵行为,能为追究造成系统危害的人员责任提供证据,是一种事后监督行为。入侵检测是在事件发生前或攻击事件正在发生过程中,利用观测到的数据,发现攻击行为。两者的目的都是发现系统入侵行为,只是入侵检测要求有更高的实时性,因而安全审计与入侵检测两者在分析方法上有很大的相似之处,入侵检测分析方法多能应用与安全审计。信息安全审计5安全审计的数据源信息安全审计数据源对于安全审计系统而言,输入数据的选择是首先需要解决的问题,而安全审计的数据源,可以分为三类:基于主机、基于网络和其他途径。信息安全审计数据源1基于主机的数据源(1)操作系统的审计记录操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的,其目的是记录当前系统的活动信息,如用户进程所调用的系统调用类型以及执行的命令行等,并将这些信息按照时间顺序组织为一个或多个审计文件。(2)系统日志日志分为操作系统日志和应用程序日志两部分。操作系统日志与主机的信息源相关,是使用操作系统日志机制生成的日志文件的总称;应用程序日志是有应用程序自己生成并维护的日志文件的总称。(3)应用程序日志信息操作系统审计记录和系统日志都属于系统级别的数据源信息,通常由操作系统及其标准部件统一维护,是安全审计优先选用的输入数据源。随着计算机网络的分布式计算架构的发展,对传统的安全观念提出了挑战。一方面,系统设计的日益复杂,使管理者无法单纯从内核底层级别的数据源来分析判断系统活动的情况。另一方面,网络化计算环境的普及,导致入侵攻击行为的目标日益集中于提供网络服务的特定应用程序,信息安全审计数据源2基于网络的数据源随着基于网络入侵检测的日益流行,基于网络的安全审计也成为安全审计发展的流行趋势,而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。采用网络数据具有以下优势:(1)通过网络被动监听的方式获取网络数据包,作为安全审计系统的输入数据,不会对目标监控系统的运行性能产生任何影响,而且通常无需改变原有的结构和工作方式。(2)嗅探模块在工作时,可以采用对网络用户透明的模式,降低了其本身受到攻击的概率。(3)基于网络数据的输入信息源,可以发现许多基于主机数据源所无法发现的攻击手段,例如基于网络协议的漏洞发掘过程,或是发送畸形网络数据包和大量误用数据包的DOS攻击等。(4)网络数据包的标准化程度,比主机数据源来说要高得多,信息安全审计数据源5.5.2基于网络的数据源随着基于网络入侵检测的日益流行,基于网络的安全审计也成为安全审计发展的流行趋势,而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。采用网络数据具有以下优势:(1)通过网络被动监听的方式获取网络数据包,作为安全审计系统的输入数据,不会对目标监控系统的运行性能产生任何影响,而且通常无需改变原有的结构和工作方式。(2)嗅探模块在工作时,可以采用对网络用户透明的模式,降低了其本身受到攻击的概率。(3)基于网络数据的输入信息源,可以发现许多基于主机数据源所无法发现的攻击手段,例如基于网络协议的漏洞发掘过程,或是发送畸形网络数据包和大量误用数据包的DOS攻击等。(4)网络数据包的标准化程度,比主机数据源来说要高得多,5.5.3其它数据源(1)来自其它安全产品的数据