第9章 安全審計

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,安全審計,安全審計,審計技術(shù)出現(xiàn)在計算機技術(shù)之前，是產(chǎn)生和記錄并檢查按時間順序排列的系統(tǒng)事件記錄過程。安全審計是計算機和網(wǎng)絡(luò)安全的重要組成部分。,安全審計提供的功能服務(wù)于直接和間接兩方面的安全目標(biāo)：,1.,直接的安全目標(biāo)包括跟蹤和監(jiān)測系統(tǒng)中的異常事件,2.,間接的安全目標(biāo)是檢測系統(tǒng)中其他安全機制的運行,情況和可信度,審計的目標(biāo),確定和保持系統(tǒng)活動中每個人的責(zé)任,確認(rèn)重建事件的發(fā)生,評估損失,監(jiān)測系統(tǒng)問題區(qū),提供有效的災(zāi)難恢復(fù)依據(jù),提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù),提供案件偵破證據(jù),安全審計系統(tǒng)的目標(biāo)至少要包括以下幾個方面：,審計系統(tǒng)的組成,日志記錄的原則,在理想情況下，日志應(yīng)該記錄每個可能的事件，以便分析發(fā)生的所有事件，并恢復(fù)任何時刻進行的歷史情況。但這樣存儲量過大，并且將嚴(yán)重影響系統(tǒng)的性能。因此。日志的內(nèi)容應(yīng)該是有選擇的。一般情況下日志的記錄應(yīng)該滿足如下的原則：,（,1,）日志應(yīng)該記錄任何必要的事件，以檢測已知的攻擊模式。,（,2,）日志應(yīng)該記錄任何必要的事件，以檢測異常的攻擊模式。,（,3,）日志應(yīng)該記錄關(guān)于記錄系統(tǒng)連續(xù)可靠工作的信息。,日志的內(nèi)容,審計功能的啟動和關(guān)閉,使用身份鑒別機制,將客體引入主體的地址空間,刪除客體,管理員、安全員、審計員和一般操作人員的操作,其他專門定義的可審計事件,日志系統(tǒng)根據(jù)安全要求記錄上面事件的部分或全部。,通常，對于一個事件，日志應(yīng)包括事件發(fā)生的日期和時間、引發(fā)事件的用戶（地址）事件、和源目的的位置、事件類型、事件成敗等。,記錄機制,不同的系統(tǒng)可采用不同的機制記錄日志。但大多情況可用系統(tǒng)調(diào)用,Syslog,來記錄日志，也可用,SNMP,記錄。下面簡單介紹下,Syslog,：,Syslog,由,Syslog,守護程序、,Syslog,規(guī)則集及,Syslog,系統(tǒng)調(diào)用三部分組成，如下圖：,安全審計分析,（,1,）潛在侵害分析：,日志分析應(yīng)能用一些規(guī)則去監(jiān)控審計事件，并根據(jù)規(guī)則發(fā)現(xiàn)潛在的入侵,。,（,2,）基于異常檢測的輪廓：,確定正常行為輪廓，當(dāng)日志中的事件違反它或超出他的一定門限，能指出將要發(fā)生的威脅。,（,3,）簡單攻擊探測：,對重大威脅特征有明確描述，當(dāng)攻擊現(xiàn)象出現(xiàn)，能及時指出,。,（,4,）復(fù)雜攻擊檢測：,要求高的日志分析系統(tǒng)還應(yīng)能檢測到多部入侵序列，當(dāng)攻擊序列出現(xiàn)，能預(yù)測其發(fā)生的步驟。,日志分析就是在日志中尋找模式，其主要內(nèi)容：,審計事件查閱,由于審計系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。審計系統(tǒng)的安全性主要是查閱和存儲的安全。,審計事件的查閱應(yīng)該受到嚴(yán)格的限制，不能篡改日志。通常通過以下不同的層次來保證查閱的安全。,（,1,）審計查閱：審計系統(tǒng)以可理解的方式為授權(quán)用戶提供查閱日志和分析結(jié)果的功能。,（,2,）有限審計查閱：審計系統(tǒng)只能提供對內(nèi)容的讀權(quán)限，因此應(yīng)拒絕具有讀以外權(quán)限的用戶訪問審計系統(tǒng)。,（,3,）可選審計查閱：在有限審計查閱的基礎(chǔ)上限制查閱的范圍。,審計事件存儲,審計事件的存儲也有安全性的要求，具體有如下幾種情況。,（,1,）受保護的審計蹤跡存儲：,即要求存儲系統(tǒng)對日志事件具有防護功能，防止未授權(quán)的修改和刪除，并具有檢測修改和刪除的能力。,（,2,）審計數(shù)據(jù)的可用性保證：,在審計存儲系統(tǒng)遭受意外時，能防止或檢測審計記錄的修改，在存儲介質(zhì)存滿或存儲失敗時，能確保記錄不被破壞。,（,3,）防止審計數(shù)據(jù)丟失：,在審計蹤跡超過預(yù)定的門限或記滿時，應(yīng)采取相應(yīng)的措施防止數(shù)據(jù)丟失。這種措施可以是忽略可審計事件、只允許記錄有特殊權(quán)限的事件、覆蓋以前記錄、停止工作等等。,安全審計應(yīng)用實例,1.NT,審計子系統(tǒng)結(jié)構(gòu),幾乎,Windows NT,系統(tǒng)中的每一項事務(wù)都可以在一定程度上被審計，可以在,Explorer,和,User manager,兩個地方打開審計。在,Explorer,中，選擇,Security,，再選擇,Auditing,以激活,Directory Auditing,對話框，系統(tǒng)管理員可以在這個窗口選擇跟蹤有效和無效的文件訪問。在,User manager,中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計策略，如登陸和退出、文件訪問、權(quán)限非法和關(guān)閉系統(tǒng)等。,Windows NT,使用一種特殊的格式存放它的日志文件，這種各式的文件可以被事件查看器,Event viewer,讀取。事件,應(yīng)用實例,Windows NT,中的安全審計,Windows NT,的日志文件很多，但主要是系統(tǒng)日志、安全日志和應(yīng)用日志三個。這三個審計日志是審計一,Windows NT,系統(tǒng)的核心。默認(rèn)安裝時安全日志不打開。,Windows NT,中所有可被審計的事件都存入了其中的一個日志。,（,1,）,Application Log,：包括用,NT Security authority,注冊的應(yīng)用程序產(chǎn)生的信息。,（,2,）,Security Log,：包括有關(guān)通過,NT,可識別安全提供者和客戶的系統(tǒng)訪問信息。,（,3,）,System Log:,包含所有系統(tǒng)相關(guān)事件的信息。,察看器可以在,Administrative tool,程序組中找到。系統(tǒng)管理員可以使用事件察看器的,Filter,選項根據(jù)一定條件選擇要查看的日志條目。查看條件條件包括類別、擁護和消息類型。,1.NT,審計子系統(tǒng)結(jié)構(gòu),應(yīng)用實例,Windows NT,中的安全審計,2.,審計日志和記錄格式,Windows NT,的審計日志由一系列的事件記錄組成，每一個事件記錄分為三個功能部分：頭、事件描述和可選的附加數(shù)據(jù)項。如下表顯示了一個事件記錄的結(jié)構(gòu)。安全日志的入口通常由頭和事件描述組成。,數(shù)據(jù),時間,用戶名,計算機名,事件,ID,源,類型,種類,可變內(nèi)容,依賴于事件?？梢允箚栴}的文本解釋和糾正措施的建議,附加域。如果采用的話，包含可以字節(jié)或字顯示的二進制數(shù)據(jù)及事件記錄的源應(yīng)用產(chǎn)生的信息,記錄頭,事件描述,附加數(shù)據(jù),時間記錄頭有下列域組成：,（,1,）日期：事件的日期,標(biāo)識。,（,2,）時間：事件的時間標(biāo)識。,（,3,）用戶名：表識事件是有誰觸發(fā)的。,（,4,）計算機名：事件所在的計算機名。當(dāng)用戶在整個企業(yè)范圍內(nèi)集中,安全管理時，該信息大大簡化了審計信息的回顧。,（,5,）事件,ID,：事件類型的數(shù)字標(biāo)識。在事件記錄描述中，這個域通常被映射 成一個文本表識（事件名）。,(6),源：用來響應(yīng)事件紀(jì)錄的軟件。源可以是一個應(yīng)用程序、一個系統(tǒng)服務(wù)或一個設(shè)備驅(qū)動器。,（,7,）類型：事件嚴(yán)重性指示器。在系統(tǒng)和應(yīng)用日志中，類型可以是錯誤、警告或信息，按重要性降序排列。,（,8,）種類：觸發(fā)事件類型，主要用在安全日志中指示該類事件的成功,或失敗審計已經(jīng)被許可。,3.NT,事件日志管理特征,Windows NT,提供了大量特征給系統(tǒng)管理員區(qū)管理操作系統(tǒng)事件日志機制。例如：管理員能限制日志的大小并規(guī)定當(dāng)文檔達到容量上限時，如何去處理這些,文件,。選項包括：用新紀(jì)錄去沖掉最老的紀(jì)錄，停止系統(tǒng)直到事件日志備受共清除。,當(dāng)系統(tǒng)開始運行時，系統(tǒng)和應(yīng)用事件日志也自動開始。當(dāng)日志文件滿并且系統(tǒng)配置規(guī)定它們必須備受共清除時，日志停止。另一方面，安全事件日志必須由具有管理者權(quán)限的人啟動。利用,NT,得用戶管理器，可以設(shè)置安全審計規(guī)則。要啟動安全審計的功能，只需在規(guī)則菜單下選擇審計，然后通過察看,NT,記錄的安全事件日志中的安全性事件，既可以跟蹤所選用戶的操作。,應(yīng)用實例,Windows NT,中的安全審計,4.NT,安全日志的審計策略,NT,安全日志由審計策略支配，審計策略可以通過配置審計策略對話框中的選項來建立。,NT,的審計規(guī)則如下（既可以審計成功的操作，又可以審計失敗的操作）：,（,1,）登陸及注銷（,2,）用戶及組管理（,3,）文件及對象訪問,（,4,）安全性規(guī)則更改（,5,）重新啟動、關(guān)機及系統(tǒng)級事件,（,6,）進程追蹤（,7,）文件和目錄審計,5.,管理和維護,NT,審計,通常情況下，,Windows NT,不是將所有的事件都記錄日志，而需要手動啟動審計的功能。這是首先需要從開始菜單中選擇程序，然后再選擇管理工具。從管理工具紫菜單選擇用戶管理器，顯示出用戶管理起窗口。然后從用戶管理器的菜單中單擊,policies(,策略,),，再單擊,audit(,審計,),，審計策略窗口就出現(xiàn)了。接著選擇單選框,”,audit,thest,events”(,審計這些事件,),。最后選擇需要啟動事件的按,OK,，然后關(guān)閉用戶管理器。值得注意的是在啟動,Windows NT,的審計功能時，需要仔細選擇審計的內(nèi)容。,審計日志將產(chǎn)生大量的數(shù)據(jù)，因此較為合理的方法是首先設(shè)置進行簡單審計，然后在監(jiān)視系統(tǒng)的情況下逐步增加復(fù)雜的審計要求。當(dāng)需要審查審計日志以跟蹤網(wǎng)絡(luò)或機器上的異常事件時，采用一些第三方提供的工具是一個叫有效率的選擇。,最后介紹一下,Windows NT,的三個日志文件的物理位置。,系統(tǒng)日志：,%systemroot%system32configsysevent.evt,安全日志：,%systemroot%system32configsecevent.evt,應(yīng)用程序日志：,%systemroot%system32configappevent.evt,5.,管理和維護,NT,審計,Unix/Linux,中的安全審計,Unix,存放日志文件最常用的目錄,/,usr/adm,早期版本的,unix,/,var/adm,較新版本的,unix,/,var,/log,用于,Solaris,Linix,BSD,/etc Unix system V,早期版本,常的日志文件,lastlog,用戶最后一次成功登錄時間,loginlog,不良的登錄嘗試記錄,messages,輸出到系統(tǒng)主控臺的消息,utmp,當(dāng)前登錄的每個用戶,wtmp,每一次用戶登錄和注銷的歷史信息,vold.log,使用外部介質(zhì)出現(xiàn)的錯誤,xferkig,Ftp,的存取情況,acct,每個用戶使用過的命令,aculog,撥出自動呼叫記錄,應(yīng)用實例,Unix/Linux,中的安全審計,連接時間日志,連接時間日志由多個程序程序執(zhí)行，把記錄寫入到,/,var/log/wtm,和,/,var/run/utmp,中并通過,login,等程序更新,wtmp,和,utmp,文件，使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。,lastlog,文件，,Unix,在,lastlog,日志文件中記錄每一個用戶注冊進入系統(tǒng)的最后時間，在每一次進入系統(tǒng)是，系統(tǒng)會顯示這個信息。告訴用戶和對一下最后注冊進入系統(tǒng)的時間是否正確，若系統(tǒng)顯示的時間與上次 進入系統(tǒng)的時間不服，說明發(fā)生了非授權(quán)用戶注冊。,連接時間日志：,loginlog,文件，,Unix system V,版本中可以把不成功的登陸行為記錄在,/,var/adm/loginlog,中。如果某個入侵者直到一個系統(tǒng)的用戶名，同時又想猜出密碼，,/,var/adm/loginlog,就會記錄他的失敗的登陸嘗試。,utmp,、,wtmp,和,lastlog,日志文件是多數(shù),Unix,日志系統(tǒng)的關(guān)鍵,-,記錄用戶的登陸和推出信息。有關(guān)當(dāng)前登陸用戶的信息記錄在,utmp,中。等和推出記錄在文件,wtmp,中。最后一次登陸文件可以用,lastlog,命令察看。數(shù)據(jù)交換和重啟也記錄在,wtmp,文件中。所有的記錄都包括時間戳。這些文件（,lastlog,通常不大）在具有大量用戶的系統(tǒng)中增長十分迅速,.,wtmp,和,utmp,都是為二進制文件，不能被諸如,tail,命令剪貼或合并（使用,cat,命令）。用戶可以通過,who,w,users,last,和,ac,來使用這兩個文件包含的信息。,連接時間日志：,應(yīng)用實例,Unix/Linux,中的安