信息系统安全技术之安全审计与日志分析课件.ppt

信息系统安全技术之安全审计与日志分析
目 录
专业安全审计系统体系结构分析
网络信息系统安全审计综述
审计与日志分析
审计结果分析
*
信息系统安全技术之安全审计与日志分析
安全审计系统 必需性
一旦我们采取 防御体系被突破怎么办？最少我们必需知道系统是怎样遭到攻击 , 这么才能恢复系统, 另外我们还要知道系统存在什么漏洞, 怎样能使系统在受到攻击时有所觉察, 怎样获取攻击者留下 证据。网络安全审计 概念就是在这么 需求下被提出 , 它相当于飞机上使用 “黑匣子”。
*
信息系统安全技术之安全审计与日志分析
安全审计系统 必需性（续）
在TCSEC和CC等安全认证体系中, 网络安全审计 功效都是方在首要位置 , 它是评判一个系统是否真正安全 关键尺码。所以在一个安全网络系统中 安全审计功效是必不可少 一部分。网络安全审计系统能帮助我们对网络安全进行实时监控, 立刻发觉整个网络上 动态, 发觉网络入侵和违规行为, 忠实统计网络上发生 一切, 提供取证手段。它是确保网络安全十分关键 一个手段。
*
信息系统安全技术之安全审计与日志分析
CC标准中 网络安全审计功效定义
网络安全审计包含识别、统计、存放、分析与安全相关行为相关 信息。国际标准化组织(ISO)和国际电工委员会(IEC)发表了【】(ISO/IEC15408), 俗称CC准则, 现在它已被广泛地用于评定一个系统 安全性。在这个标准中对网络审计定义了一套完整 功效, 有: 安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存放、安全审计事件选择等。
*
信息系统安全技术之安全审计与日志分析
安全审计自动响应
安全审计自动响应定义在被测事件指示出一个潜在 安全攻击时作出 响应, 它是管理审计事件 需要, 这些需要包含报警或行动, 比如包含实时报警 生成、违例进程 终止、中止服务、用户帐号 失效等。依据审计事件 不一样系统将作出不一样 响应。其响应方法可作增加、删除、修改等操作。
*
信息系统安全技术之安全审计与日志分析
安全审计数据生成
该功效要求统计与安全相关事件 出现, 包含判别审计层次、列举可被审计 事件类型、以及判别由多种审计统计类型提供 相关审计信息 最小集合。系统可定义可审计事件清单, 每个可审计事件对应于某个事件等级, 如低级、中级、高级。
*
信息系统安全技术之安全审计与日志分析
产生 审计数据有以下几方面
对于敏感数据项（比如, 口令通行字等） 访问
目标对象 删除
访问权限或能力 授予和废除
改变主体或目标 安全属性
标识定义和用户授权认证功效 使用
审计功效 开启和关闭
*
信息系统安全技术之安全审计与日志分析
每一条审计统计中最少应所含以下信息:
事件发生 日期、时间、事件类型、专题标识、实施结果（成功、失败） 、引发此事件 用户 标识以及对每一个审计事件与该事件相关 审计信息。
*
信息系统安全技术之安全审计与日志分析
安全审计分析
此部分功效定义了分析系统活动和审计数据来寻求可能 或真正 安全违规操作。它能够用于入侵检测或对安全违规 自动响应。当一个审计事件集出现或累计出现一定次数时能够确定一个违规 发生, 并实施审计分析。事件 集合能够由经授权 用户进行增加、修改或删除等操作。
*
信息系统安全技术之安全审计与日志分析