(2019春季 课程编号:011184) 曾凡亚 2019信安导沦 信息安全导论 第9章姿全审计与责任认定枝术 中国科学技术大学曾凡平 billzeng@ustc.edu.cn
信息安全导论 第9章 安全审计与责任认定技术 中国科学技术大学 曾凡平 billzeng@ustc.edu.cn (2019春季 课程编号:011184)
第9章安全审计与责任认定技术 ·9.1安全审计 ·9.1.1安全审计概念 ·9.1.2审计系统的结构 ·9.1.3审计的数据来源 ·9.2数字取证 ·9.2.1数字取证概述 ·9.2.2电子证据的特点和取证基本原则 ·9.2.3数字取证的过程 ·9.3数字取证关键技术和工具 ·9.3.1证据信息类别 ·9.3.2来自文件的数据 ·9.3.3来自操作系统的数据 ·9.3.4来自网络的数据 9.3.5来自应用软件的数据 信息安全导论09 3
第9章 安全审计与责任认定技术 • 9.1 安全审计 • 9.1.1 安全审计概念 • 9.1.2 审计系统的结构 • 9.1.3 审计的数据来源 • 9.2 数字取证 • 9.2.1 数字取证概述 • 9.2.2 电子证据的特点和取证基本原则 • 9.2.3 数字取证的过程 • 9.3 数字取证关键技术和工具 • 9.3.1 证据信息类别 • 9.3.2 来自文件的数据 • 9.3.3 来自操作系统的数据 • 9.3.4 来自网络的数据 • 9.3.5 来自应用软件的数据 信息安全导论09 3
9.1安全审计 9.1.1安全审计概念 所谓审计,简单地说就是记录和分析用户使用信息 系统过程中的相关事件,不仅记录谁访问了系统 而且记录系统以何种方式被使用。基于对记录的系 统事件的分析,能够快速地识别问题,确定是否有 攻击、攻击源自何处。因此,审计本质上是一种为 事后观察、分析提供支持的机制,广泛存在于信息 系统中,记录、分析、报告系统中的事件。 安全审计则是对系统安全的审核、稽查与计算,即 在记录一切或部分与系统安全有关活动的基础上, 对其进行分析处理、评价审查,发现系统中的安全 隐患,或追查出造成安全事故的原因,并做出进 步的处理 。 信息安全导论09 4
9.1 安全审计 9.1.1 安全审计概念 • 所谓审计,简单地说就是记录和分析用户使用信息 系统过程中的相关事件,不仅记录谁访问了系统, 而且记录系统以何种方式被使用。基于对记录的系 统事件的分析,能够快速地识别问题,确定是否有 攻击、攻击源自何处。因此,审计本质上是一种为 事后观察、分析提供支持的机制,广泛存在于信息 系统中,记录、分析、报告系统中的事件。 • 安全审计则是对系统安全的审核、稽查与计算,即 在记录一切或部分与系统安全有关活动的基础上, 对其进行分析处理、评价审查,发现系统中的安全 隐患,或追查出造成安全事故的原因,并做出进一 步的处理。 信息安全导论09 4
安全审计及主要功能 安全审计除了能够监控来自信息系统内部和外部 的用户活动,对与安全有关的活动的相关信息进 行识别、记录、存储和分析,对突发事件进行报 警和响应,还能通过对系统事件的记录,为事后 处理提供重要依据,为网络犯罪行为及泄密行为 提供取证基础。同时,通过对安全事件的不断积 累并且加以分析,能有选择性和针对性地对其中 的对象进行审计跟踪,即事后分析及追查取证, 以保证系统的安全。 安全审计的主要功能包括:安全审计自动响应、 安全审计数据生成、安全审计分析、安全审计浏 览、安全审计事件存储、安全审计事件选择等 信息安全导论09
安全审计及主要功能 • 安全审计除了能够监控来自信息系统内部和外部 的用户活动,对与安全有关的活动的相关信息进 行识别、记录、存储和分析,对突发事件进行报 警和响应,还能通过对系统事件的记录,为事后 处理提供重要依据,为网络犯罪行为及泄密行为 提供取证基础。同时,通过对安全事件的不断积 累并且加以分析,能有选择性和针对性地对其中 的对象进行审计跟踪,即事后分析及追查取证, 以保证系统的安全。 • 安全审计的主要功能包括:安全审计自动响应、 安全审计数据生成、安全审计分析、安全审计浏 览、安全审计事件存储、安全审计事件选择等。 信息安全导论09 5
1)安全审计自动响应 0 安全审计自动响应是指当审计系统检测出一个安全违规 事件(或者是潜在的安全攻击)时做出的响应。它是管 理审计事件的需要,这些需要包括报警甚至阻断。根据 审计事件的不同系统将做出不同的响应。 2)安全审计数据生成 。 该功能规定了对与安全相关的事件进行记录,包括鉴别 审计层次、列举可被审计的事件类型,以及鉴别由各种 审计记录类型提供的相关审计信息的最小集合。系统可 定义可审计事件清单,每个可审计事件对应于某个事件 级别。 每条审计记录至少应包含以下信息:事件发生的时间、 事件类型、主题标识、执行结果、引起事件的用户标识 以及对每一个审计事件与该事件有关的审计信息。 信息安全导论09 6
1)安全审计自动响应 • 安全审计自动响应是指当审计系统检测出一个安全违规 事件(或者是潜在的安全攻击)时做出的响应。它是管 理审计事件的需要,这些需要包括报警甚至阻断。根据 审计事件的不同系统将做出不同的响应。 2)安全审计数据生成 • 该功能规定了对与安全相关的事件进行记录,包括鉴别 审计层次、列举可被审计的事件类型,以及鉴别由各种 审计记录类型提供的相关审计信息的最小集合。系统可 定义可审计事件清单,每个可审计事件对应于某个事件 级别。 • 每条审计记录至少应包含以下信息:事件发生的时间、 事件类型、主题标识、执行结果、引起事件的用户标识 以及对每一个审计事件与该事件有关的审计信息。 信息安全导论09 6
3)安全审计分析 该功能定义了分析系统活动和审计数据,来寻找 可能的或真正的安全违规操作。它可以用于入侵 检测或对安全违规的自动响应。当一个审计事件 集出现或累计出现一定次数时,可以确定一个违 规的发生,并执行审计分析。事件的集合能够由 经授权的用户进行增加、修改或删除操作。 4)安全审计浏览 该功能主要是指经过授权的管理人员对于审计记 录的访问和浏览。审计系统需要提供审计浏览的 工具。通常,审计系统对审计数据的浏览有授权 控制,审计记录只能被授权的用户浏览,并且对 于审计数据也是有选择地浏览。有些审计系统提 供数据解释和条件搜寻等功能,帮助管理员方便 地浏览审计记录。 信息安全导论09 7
3)安全审计分析 • 该功能定义了分析系统活动和审计数据,来寻找 可能的或真正的安全违规操作。它可以用于入侵 检测或对安全违规的自动响应。当一个审计事件 集出现或累计出现一定次数时,可以确定一个违 规的发生,并执行审计分析。事件的集合能够由 经授权的用户进行增加、修改或删除操作。 4)安全审计浏览 • 该功能主要是指经过授权的管理人员对于审计记 录的访问和浏览。审计系统需要提供审计浏览的 工具。通常,审计系统对审计数据的浏览有授权 控制,审计记录只能被授权的用户浏览,并且对 于审计数据也是有选择地浏览。有些审计系统提 供数据解释和条件搜寻等功能,帮助管理员方便 地浏览审计记录。 信息安全导论09 7
5)安全审计事件存储 该功能主要是指对审计记录的维护,如何保护审计、如何保 证审计记录的有效性,以及如何防止审计数据的丢失。审计 系统需要对审计记录、审计数据进行严密保护,防止未授权 的修改,还需要考虑在极端情况下保证审计数据的有效性, 如:存储介质失效、审计系统受到攻击等。审计系统在审计 事件存储方面遇到的问题通常是磁盘空间用尽。单纯采用覆 盖旧记录的方法是不够的,审计系统应当能够在审计存储发 生故障或者在审计存储即将用尽时采取相应的动作。 6)安全审计事件选择 该功能是指管理员可以选择接受审计的事件。一个系统通常 不可能记录和分析所有的事件,因为选择过多的事件将无法 实时处理和存储,所以安全审计事件选择的功能可以减少系 统开销,提高审计的效率。此外,因为不同场合的需求不同, 所以需要为特定场合配置特定的审计事件选择。审计系统应 能够维护、检查或修改审计事件的集合,能够选择对哪些安 全属性进行审计,例如,与目标标识、用户标识、主体标识 或事件类型有关的属性。 信息安全导论09 8
5)安全审计事件存储 • 该功能主要是指对审计记录的维护,如何保护审计、如何保 证审计记录的有效性,以及如何防止审计数据的丢失。审计 系统需要对审计记录、审计数据进行严密保护,防止未授权 的修改,还需要考虑在极端情况下保证审计数据的有效性, 如:存储介质失效、审计系统受到攻击等。审计系统在审计 事件存储方面遇到的问题通常是磁盘空间用尽。单纯采用覆 盖旧记录的方法是不够的,审计系统应当能够在审计存储发 生故障或者在审计存储即将用尽时采取相应的动作。 6)安全审计事件选择 • 该功能是指管理员可以选择接受审计的事件。一个系统通常 不可能记录和分析所有的事件,因为选择过多的事件将无法 实时处理和存储,所以安全审计事件选择的功能可以减少系 统开销,提高审计的效率。此外,因为不同场合的需求不同, 所以需要为特定场合配置特定的审计事件选择。审计系统应 能够维护、检查或修改审计事件的集合,能够选择对哪些安 全属性进行审计,例如,与目标标识、用户标识、主体标识 或事件类型有关的属性。 信息安全导论09 8
9.1.2审计系统的结构 1.集中式结构 。 集中式的审计系统集中地收集和分析来自于多台 主机的源审计记录,所有事件信息均要传送到中 央处理机上,分析并做出响应。 中央处理机 (数据收集和分析) 444444440444 数据采集点1 数据采集点2 数据采集点3 数据采集点n 图9-1集中式检测结构 信息安全导论09 9
9.1.2 审计系统的结构 信息安全导论09 9 1. 集中式结构 • 集中式的审计系统集中地收集和分析来自于多台 主机的源审计记录,所有事件信息均要传送到中 央处理机上,分析并做出响应。 图9-1 集中式检测结构
集中式安全审计结构面临诸多挑战 (1)集中式的审计机制中,所有的事件信息分析工作 都由中央处理机完成,其CPU、I/O和网络通信的负 担非常重,并且不能很好地适应大量用户的增容 (2)集中式的审计机制不能容括各种空间上分布的组 件(如路由器、过滤器、DS、防火墙等)及公共 服务。 ·(3)集中式结构存在单点失效、可扩展性有限、难以 重新配置、增加功能困难等问题。 (4)系统自适应能力差,不能根据环境变化而进行自 动配置。通常配置的改变和增加是通过编辑配置文 件来实现的,往往需要重新启动系统以使配置生效。 信息安全导论09 10
集中式安全审计结构面临诸多挑战 • (1)集中式的审计机制中,所有的事件信息分析工作 都由中央处理机完成,其CPU、I/O和网络通信的负 担非常重,并且不能很好地适应大量用户的增容。 • (2)集中式的审计机制不能容括各种空间上分布的组 件(如路由器、过滤器、DNS、防火墙等)及公共 服务。 • (3)集中式结构存在单点失效、可扩展性有限、难以 重新配置、增加功能困难等问题。 • (4)系统自适应能力差,不能根据环境变化而进行自 动配置。通常配置的改变和增加是通过编辑配置文 件来实现的,往往需要重新启动系统以使配置生效。 信息安全导论09 10
2.分布式结构 分布式系统结构的安全审计任务由分布于网络各处的审 计单元协作完成,这些单元还能在更高层次结构上进一 步扩展,从而能够适应网络规模的扩大。 LAN监视器 主机 主机 代理模块 中央管理者 LAN监视器 LAN/局域网 主机 主机 信息安全导论09 图92典型分布式安全审计系统结构 11
2. 分布式结构 信息安全导论09 11 • 分布式系统结构的安全审计任务由分布于网络各处的审 计单元协作完成,这些单元还能在更高层次结构上进一 步扩展,从而能够适应网络规模的扩大。 图9-2 典型分布式安全审计系统结构