信息系统安全技术--安全审计与分析.pptx

《信息系统安全技术--安全审计与分析.pptx》由会员分享，可在线阅读，更多相关《信息系统安全技术--安全审计与分析.pptx（83页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统安全技术信息系统安全技术 -安全审计与日志分析安全审计与日志分析何长龙何长龙 高级工程师高级工程师目 录专业安全审计系统体系结构分析网络信息系统安全审计综述审计与日志分析审计结果分析安全审计系统的必要性一旦我们采用的防御体系被突破怎么办？至少我们必须知道系统是怎样遭到攻击的，这样才能恢复系统，此外我们还要知道系统存在什么漏洞，如何能使系统在受到攻击时有所察觉，如何获取攻击者留下的证据。网络安全审计的概念就是在这样的需求下被提出的，它相当于飞机上使用的“黑匣子”。安全审计系统的必要性（续）在TCSEC和CC等安全认证体系中，网络安全审计的功能都是方在首要位置的，它是评判一个系统是否真正安

2、全的重要尺码。因此在一个安全网络系统中的安全审计功能是必不可少的一部分。网络安全审计系统能帮助我们对网络安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。它是保证网络安全十分重要的一种手段。CC标准中的网络安全审计功能定义 网络安全审计包括识别、记录、存储、分析与安全相关行为有关的信息。国际标准化组织(ISO)和国际电工委员会(IEC)发表了【信息技术安全性评估通用准则2.0版】(ISO/IEC15408)，俗称CC准则，目前它已被广泛地用于评估一个系统的安全性。在这个标准中对网络审计定义了一套完整的功能，有：安全审计自动响应、安全审计

3、数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。安全审计自动响应安全审计自动响应 安全审计自动响应定义在被测事件指示出一个潜在的安全攻击时作出的响应，它是管理审计事件的需要，这些需要包括报警或行动，例如包括实时报警的生成、违例进程的终止、中断服务、用户帐号的失效等。根据审计事件的不同系统将作出不同的响应。其响应方式可作增加、删除、修改等操作。安全审计数据生成安全审计数据生成 该功能要求记录与安全相关事件的出现，包括鉴别审计层次、列举可被审计的事件类型、以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单，每个可审计事件对应于某个事件级别，

4、如低级、中级、高级。产生的审计数据有以下几方面 对于敏感数据项（例如，口令通行字等）的访问目标对象的删除访问权限或能力的授予和废除改变主体或目标的安全属性标识定义和用户授权认证功能的使用审计功能的启动和关闭 每一条审计记录中至少应所含以下信息：事件发生的日期、时间、事件类型、主题标识、执行结果（成功、失败）、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。安全审计分析安全审计分析 此部分功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生，并执行审计分析。事件

5、的集合能够由经授权的用户进行增加、修改或删除等操作。安全审计分析类型安全审计分析类型潜在攻击分析基于模板的异常检测简单攻击试探复杂攻击试探 等几种类型。安全审计分析类型（续）安全审计分析类型（续）潜在攻击分析：系统能用一系列的规则监控审计事件，并根据这些规则指示系统的潜在攻击；基于模板的异常检测：检测系统不同等级用户的行动记录，当用户的活动等级超过其限定的登记时，应指示出此为一个潜在的攻击；简单攻击试探：当发现一个系统事件与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在的攻击；复杂攻击试探：当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的签名事件匹配时，应指示出此为一个潜在

6、的攻击。安全审计浏览安全审计浏览 该功能要求审计系统能够使授权的用户有效地浏览审计数据。包括：审计浏览、有限审计浏览、可选审计浏览。审计浏览 提供从审计记录中读取信息的服务；有限审计浏览 要求除注册用户外，其他用户不能读取信息；可选审计信息 要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。安全审计事件选择安全审计事件选择 系统能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审计，例如：与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性。系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用的动作。安全审计事件存储安全审计事件存储 系统将提供控制措施以

7、防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。安全审计事件存储（续）安全审计事件存储（续）它可保证某个指定量度的审计记录被维护，并不受以下事件的影响：审计存储用尽；审计存储故障；非法攻击；其他任何非预期事件。系统能够在审计存储发生故障时采取相应的动作，能够在审计存储即将用尽时采取相应的动作。网络安全审计层次结构图网络安全审计层次结构图 网络层审计网络层审计系统层审计系统层审计应用层审计应用层审计审计总控审计总控安全审计系统体系结构示意图安全审计系统体系结构示意图 安全安全审计系统

8、的典型配置示意图审计系统的典型配置示意图 Mail Server DNS Server DB Server Application Server Work station 路由器路由器 防火墙防火墙 审计设备审计设备1 审计设备审计设备2 审计软件审计软件Agent 服务网服务网 内部网内部网 Application Server Web Server Search Server 审计中心审计中心 审计与日志分析审计与日志分析的参考标准防火墙和路由器等网络和网络安全设备日志通用操作系统日志日志过滤可疑的活动分析审计结果参考审计执行过程建立设计报告库安全审计和安全标准建议性审计解决方案建议审计执

9、行过程为了能够确定安全策略和实施情况的差距，建议采用特定方法继续进行有效的审计；抵御和清除病毒，蠕虫和木马，修补系统漏洞；建议改善和增强如下内容：重新配置路由器；添加和重新配置防火墙规则；升级操作系统补丁类型；升级已有的和不安全的服务；加强网络审核；自动实施和集中管理网络内部和边界安全；建议改善和增强如下内容（续）增加入侵检测和网络监控产品；增强物理安全；加强反病毒扫描；加强用户级别的加密；删除不必要的用户账号，程序和服务；等等具体改善建议分类分类分类分类改善改善改善改善防火墙保证访问控制规则为最小、正确和有效的设置；保证NAT、冲定向等为最小、正确和有效设置；扫描DMZ区域内有问题的主机和服

10、务器。入侵检测随时升级和更新入侵检测系统的规则；识别需要检测的内容。主机和个人安全实施用户级别的加密；在单个客户端上安装“个人防火墙”来锁定端口和减小风险。强制实施安全策略安装监视软件，如Axrent的企业级安全管理器；对物理安全进行有规律的审计。建议设计审计报告库在安全审计报告中应该包括：总体评价现在的安全级别：你应该给出低、中、高的结论，包括你监视的网络设备的简要评价（例如：大型机、路由器、NT系统、UNIX系统等等）；对偶然的、有经验的和专家级的黑客入侵系统作出时间上的估计；简要总结出你的最重要的建议；在安全审计报告中应该包括（续）详细列举你在审计过程中的步骤：此时可以提及一些在侦查、渗

11、透和控制阶段你发现的有趣问题；对各种网络元素提出建议，包括路由器、端口、服务、登陆账户、物理安全等等；讨论物理安全：许多网络对重要设备的摆放都不注意。例如，有的公司把文件服务器置于接待台的桌子后，一旦接待人员离开，则服务器便暴露在网络攻击下。有一次，安全设计人员抱着机器离开，安全守卫还帮了忙；安全审计领域内使用的术语。在安全审计报告中应该包括（续）最后，记着递交你的审计报告。因为安全审计涉及了商业和技术行为，所以应该把你的报告递交给两方面的负责人。如果你采用电子邮件的方式递交报告，最好对报告进行数字签名和加密。持续审计的可以采取的有效步骤定义安全策略建立对特定任务负责的内部组织对网络资源进行分

12、类为雇员建立安全指导确保个人和网络系统的物理安全保障网络主机的服务和操作系统安全持续审计的可以采取的有效步骤加强访问控制机制建立和维护系统确保网络满足商业目标保持安全策略的一致性重复的过程安全审计和安全标准安全审计可参考的标准ISO 7498-2英国标准7799（BS 7799）ISO 15408（Common Criteria，CC）ISO 7498英国标准7799（BS 7799）BS 7799文档的标题是A Code of Practice For Information Security Management，论述了如何确保网络系统安全。1999年的版本有两个部分，BS 7799-1论

13、述了确保网络安全所采取的步骤；BS 7799-2讨论了在实施信息安全管理系统（ISMS）是应采取的步骤。ISO 17799虽然BS 7799是英国标准，但由于它可以帮助网络专家设计实施计划并提交结果，所以很多非英国的安全人士也接受这一标准。ISO 17799 于2000年12月出版，它是适用于所有的组织，建议成为强制性的安全标准。它是基于 BS7799 之上的，BS7799 1995年2月首版，最后一次修订和改进是在1999年5月 ISO 17799概述ISO 17799 在安全问题的范围上是全面的。它包含大量实质性的控制要求,有些是极其复杂的。要符合ISO 17799，或其他真正的任何详细安

14、全标准，都不是一项简单的事情。甚至对于最有安全意识的组织来说，认证就更令人头痛了。什么是什么是ISO 17799？ISO17799 是一个详细的安全标准。包是一个详细的安全标准。包括安全内容的所有准则，由十个独立的括安全内容的所有准则，由十个独立的部分组成，部分组成，每一节都覆盖了不同的主题每一节都覆盖了不同的主题和区域。和区域。1、商业持续规划、商业持续规划这节的主要内容包括：这节的主要内容包括：1）防止商业活动的中断；）防止商业活动的中断；2）防止关键商业过程免受重大失误或灾难）防止关键商业过程免受重大失误或灾难的影响。的影响。2、系统访问控制、系统访问控制这节的主要内容有：1）控制访问信

15、息；2）阻止非法访问信息系统；3）确保网络服务得到保护；4）阻止非法访问计算机；5）检测非法行为；6）保证在使用移动计算机和远程网络设备时信息的安全3、系统开发和维护、系统开发和维护这节的主要内容有：这节的主要内容有：1)确保信息安全保护深入到操作系统中；确保信息安全保护深入到操作系统中；2)阻止应用系统中的用户数据的丢失，修阻止应用系统中的用户数据的丢失，修改或误用；改或误用；3)确保信息的保密性，可靠性和完整性；确保信息的保密性，可靠性和完整性；4)确保确保IT项目工程及其支持活动是在安项目工程及其支持活动是在安全的方式下进行的；全的方式下进行的；5)维护应用程序软件和数据的安全。维护应用

16、程序软件和数据的安全。4、物理和环境安全、物理和环境安全这部分的主要内容有：阻止对业务机密和信息非法的访问，损坏干扰；阻止资产的丢失，损坏或遭受危险，使业务活动免受干扰；阻止信息和信息处理设备的免受损坏或盗窃。5、符合性、符合性这部分的主要内容有：这部分的主要内容有：避免违背刑法、民法、条例或契约责任、避免违背刑法、民法、条例或契约责任、以及各种安全要求；以及各种安全要求；确保组织系统符合安全方针和标准；确保组织系统符合安全方针和标准；使系统审查过程的绩效最大化，并将干使系统审查过程的绩效最大化，并将干扰因素降到最小。扰因素降到最小。6、人员安全、人员安全这部分的主要内容包括：这部分的主要内容

17、包括：减少错误，偷窃，欺骗或资源误用等人减少错误，偷窃，欺骗或资源误用等人为风险；为风险；确保使用者了解信息安全的威胁和，在确保使用者了解信息安全的威胁和，在他们的正常的工作中有相应的训练，以他们的正常的工作中有相应的训练，以便利于信息安全政策的贯彻和实施；便利于信息安全政策的贯彻和实施；通过从以前事件和故障中汲取教训，最通过从以前事件和故障中汲取教训，最大限度降低安全的损失。大限度降低安全的损失。7、安全组织、安全组织这节的主要内容包括：在公司内部管理信息安全；保持组织的信息采集设施和可被第三方利用的信息资产的安全性；当信息处理的责任需借助于外力是时，维持信息的安全。8、计算机与网络管理、计

18、算机与网络管理这节的目的是：这节的目的是：确保信息处理设备的正确和安全的操作；确保信息处理设备的正确和安全的操作；降低系统失效的风险到最小；降低系统失效的风险到最小；保护软件和信息的完整性；保护软件和信息的完整性；维护信息处理和通讯的完整性和可用性；维护信息处理和通讯的完整性和可用性；确保网络信息的安全措施和支持基础结构的保确保网络信息的安全措施和支持基础结构的保护；护；防止资产被损坏和业务活动被干扰中断；防止资产被损坏和业务活动被干扰中断；防止组织间的交易信息遭受损坏，修改或误用。防止组织间的交易信息遭受损坏，修改或误用。9、资产分类和控制、资产分类和控制这节的主要阐述了：这节的主要阐述了：

19、对于共同的资产给予适当的保护并且确对于共同的资产给予适当的保护并且确保那些信息资产得到适当水平的保护。保那些信息资产得到适当水平的保护。10.安全政策安全政策这节的目的是：这节的目的是：为信息安全提供管理方向和支持。为信息安全提供管理方向和支持。在完善ISMS时，应遵循以下步骤定义安全策略为你的信息安全管理系统（ISMS）定义范围风险评估对已知的风险进行排序和管理BS 7799和ISO 7498-2建议的步骤发布安全策略公布负责人名单培训公司人员的信息安全意识定义汇报事件的程序建立有效的反病毒保护措施确保实施的策略与公司商业目标的一致性BS 7799和ISO 7498-2建议的步骤制定规范以确

20、保雇员不会为了完成任务而破坏软件许可规则物理上确保对网络操作记录的安全建立系统来保护公司数据的安全实施能够衡量规定的安全策略与实际遵守情况的等级的机制和过程ISO 15408（CC）CC提供了有助于你选择和发展网络安全解决方案的全球统一标准CC出现实际上是为了统一ITSEC和TCSEC，并取代“Orange Book”。ISO 15408由三个部分组成第一部分：定义了如何创建安全目标和需求，还提供了一个术语的概述第二部分：定义了如何建立能够使商业通信更安全的需求列表第三部分：提出了如何建立能够达到公司安全需求的“保险内容”的过程。ISO 15408的第三部分 第三部分的内容描述很仔细和复杂，作

21、为审计人员只需要理解这些条款的基本内容即可。许多专家用它们来：作为厂商需要的特殊设置提供了审计人员和IT专家在商业和技术交流中常用的术语定义了为更新网络或特殊产品而建立特殊过程的需求需要由软件和硬件厂商声明的证明能力与安全审计员有关的概念和术语术语描述Protection Profile（PP）需要的网络服务和元素的项系列表，包括安全目标Security Objectives列出如何提出特别的弱点的书面描述。这是一种总体的陈述。安全需求比目标陈述更具体Security Target（ST）由生产厂商提供的描述安全工具的用处的一组声明。与安全目标和安全需求不同。安全需求是由厂商实施在软硬件上的，

22、而安全目标只是由IT部门和网络审计人员定义的目标与安全审计员有关的概念和术语术语术语术语术语描述描述描述描述Target of Evaluation（TOE）你将要审计的某个操作系统，网络，分布式的程序或软件。使用安全目标和安全对象，你可以确定系统是否满足了目标以及对象是否达到了声明的功能Packages任何允许IT专家达到安全目标和要求的可以重复使用的内容。例如七个EAL。你可以合并这些Package来确保额外的安全Evaluation Assurance Level（EAL）七个事先定义好的Packages，用来帮助IT专家评件规划的和已经存在的网络和系统Evaluation Assura

23、nce LevelEAL提供了描述和预测特别的操作系统和网络的安全行为的通用的方法。等级数越高，则要求得越严格。EAL1需要由TOE厂商做出声明的证明，EAL7需要你核实和记录下实施过程的每一个步骤。Evaluation Assurance Level设计的证明：EAL1只要求检查产品的文件，而EAL7要求对系统进行完全的记录完整的独立的分析抵御攻击的能力：EAL1需要产品至少声明能够提供对攻击的有效防范；而EAL 7需要操作系统能够抵御复杂的破坏数据机密性和拒绝服务是的攻击七个EAL类别EALEAL类别类别类别类别描述描述描述描述EAL1功能上的测试：分析产品的声明，和实施TOE的基本测试E

24、AL2结构上的测试：需要选择TOE的重要元素来经受具有权威资格的测试，例如程序开发者EAL3系统的测试和检查：进行测试的要求非常严格，在有限的基础上，操作系统的所有元素都必须独立的检验七个EAL类别（续）EALEAL类别类别类别类别描述描述描述描述EAL4系统的设计，测试和回顾：这一级别的保证是允许已经完成的程序和以前实施的系统进行更改的最高保证。这一级别还需要操作系统通过抵御低级别的攻击的测试EAL5半正式的设计和测试：操作系统必须可以经受适度的，比较复杂的攻击EAL6半正式的验证设计和测试：与EAL5相同，但是需要第三方的TOE设计核实EAL7操作系统必须完整地回顾和被证明能够抵御灵活的攻

25、击。正式的设计和测试：确保发展的过程有组织，由第三方记录所有的过程。例如，所有通行都必须被记录下来谢谢！谢谢！演讲完毕，谢谢观看！附录资料：不需要的可以自行删除 信息技术的战略管理应用信息技术创造组织马力本章的重点本章考察七种由IT技术激活的策略,提高组织的竞争能力IT促成完美的服务组织马力的开发 质量是组织竞争的基础OHP策略创造竞争优势OHP策略应用激进还是持续?竞争优势什么是竞争优势?如何获得竞争优势?如何保持竞争优势?客户对产品或服务的认同。通过对竞争环境及自己企业内的了解，开发新的产品或创建良好的服务。不断创新，保持优势。组织马力组织马力是组织力量与速度的结合。组织力量 尽可能 地满

26、足顾客的期望 体现在更多的适合客户需要的产品或服务组织速度 能够迅速地满足客户的期望 体现了对客户需求的响应速度利用IT提高OHP的策略准时生产方式 Just-in-Time 组织团队 信息伙伴灵活的运营 跨国公司虚拟组织学习型组织质量：竞争的基础什麽是质量？质量不是优良、漂亮、豪华。质量是指满足顾客的期望。质量是OHP的基础。全面质量管理（TQM）满足客户的期望持续不断的改进组织范围的质量观念JIT方法 Just-in-Time-将产品或服务在客户需要时，能及时的生产并送达。JIT 的方法将以生产为中心的方式转化为以客户为中心（订单到达之前没有产品），以避免生产的过剩。JITJIT增强了企业

27、的柔性，减少库存水平。增强了企业的柔性，减少库存水平。目的：提高组织的目的：提高组织的速度速度关键：外部的信息沟通（利用通信技术）生产过程的管理（内部生产过程的控制）-过程预测-材料需求计划 MATERIAL REQUIREMENTS PLANNING(MRP)）-制造资源计划MANUFACTURING RESOURCE PLANNING(MRP II)组织中的团队 团队：项目团队、长期团队-一组拥有共同的目标、协同工作的人。目的：团队的创造力增强组织的力量关键：网络平台，群件的支持信息伙伴-与客户间加强信息的沟通，实现信息的共享，促进信息的流动。即，通过共享信息增强每个合作组织的实力。目的与

28、战略：目的与战略：提高组织的速度提高组织的速度提高组织的速度提高组织的速度：通过通过EDI的应用、信息流动的自动化、信息传递的标准化（减少错误）提高组织的力量：提高组织的力量：提高组织的力量：提高组织的力量：通过对信息的共享，扩大市场。通过对信息的共享，扩大市场。通过对信息的共享，扩大市场。通过对信息的共享，扩大市场。同时提高力量与速度：同时提高力量与速度：信息共享促进创新、信息共享扩大了与顾客的交流。关键：网络的应用，如EDI。灵活的运营-任何地点（无铺面）的不限时的运营，是组织职能的延伸。通过对客户服务的内容的增加、时间的延长，提高组织的OHP。目的：提高组织的力量和速度关键：业务的IT化

29、如：网上销售、ATM机跨国公司-通过一种协作的方式在全球多个国家生产或销售产品或服务使组织的业务在经营范围上扩展。目的：提高组织的力量，实际运作中对组织的速度可能产生正面或负面的影响。关键：关键：网络的支持，必须创建全球范围的IT基础设施；管理的规范，在 地区独特性与公司一致 性间平衡；虚拟组织-通过IT将独立的组织连接在一起，以共同分享技术、分摊成本，开拓市场。目的：提高组织的速度，但有可能因协调原因降低组织的力量。关键：通讯技术的应用学习型组织-向组织成员提供学习的保证，不断吸收新的知识，提高对市场的敏感程度。目的：提高组织的速度关键：完善培训的方法及机制选择和实施OHP战略如何选择OHP

30、策略定义客户的需求 确定如何将组织的目标分解为力量与速度，利用IT技术实现。确定一种或多种策略的集合考察资源可利用情况、IT能否实现实施OHP战略1.确定实施的范围2.确定所需的IT的支持3.改进的方式不断改善，温和的方式彻底改变，激进方式企业过程重组BPR组织的BPRBPR企业过程重组Bussiness Process ReengineeringIT是BPR的推动力：早期 IT着眼于业务处理的自动化BPR 追求经营效率的提高BPR 应用案例XX公司的美国总部有500多名财务人员，其单据往来十分繁杂。通常的程序是：采购部与供应商制订购货合同，同时送一份副本给会计部门；供应商交货时开发票；仓库管理员验收货物后出具验收单，会计部门核对合同、发票、验收单，二者一致办理付款，否则需派人调查原因。开收据收到货更新计划找错做订单改错收集3单核查3单开发票兑支票开发票运货物会计部供应商仓储控制采购车间控制无误有误已有的采购-收购-付款过程收到货找错做订单改错兑支票运货物会计部供应商仓储控制采购再造后的采购-收购-付款过程计算机核对项目将错误通知会计更新生产关系更新存储开出支票