信息系統(tǒng)安全技術(shù)

--安全審計與日志分析何長龍高級工程師?目錄專業(yè)安全審計系統(tǒng)體系結(jié)構(gòu)分析網(wǎng)絡信息系統(tǒng)安全審計綜述審計與日志分析審計結(jié)果分析?安全審計系統(tǒng)的必要性一旦我們采用的防御體系被突破怎么辦？至少我們必須知道系統(tǒng)是怎樣遭到攻擊的，這樣才能恢復系統(tǒng)，此外我們還要知道系統(tǒng)存在什么漏洞，如何能使系統(tǒng)在受到攻擊時有所察覺，如何獲取攻擊者留下的證據(jù)。網(wǎng)絡安全審計的概念就是在這樣的需求下被提出的，它相當于飛機上使用的“黑匣子”。

?安全審計系統(tǒng)的必要性（續(xù)）在TCSEC和CC等安全認證體系中，網(wǎng)絡安全審計的功能都是方在首要位置的，它是評判一個系統(tǒng)是否真正安全的重要尺碼。因此在一個安全網(wǎng)絡系統(tǒng)中的安全審計功能是必不可少的一部分。網(wǎng)絡安全審計系統(tǒng)能幫助我們對網(wǎng)絡安全進行實時監(jiān)控，及時發(fā)現(xiàn)整個網(wǎng)絡上的動態(tài)，發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為，忠實記錄網(wǎng)絡上發(fā)生的一切，提供取證手段。它是保證網(wǎng)絡安全十分重要的一種手段。

?CC標準中的網(wǎng)絡安全審計功能定義

網(wǎng)絡安全審計包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。國際標準化組織(ISO)和國際電工委員會(IEC)發(fā)表了【信息技術(shù)安全性評估通用準則2.0版】(ISO/IEC15408)，俗稱CC準則，目前它已被廣泛地用于評估一個系統(tǒng)的安全性。在這個標準中對網(wǎng)絡審計定義了一套完整的功能，有：安全審計自動響應、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。

?安全審計自動響應

安全審計自動響應定義在被測事件指示出一個潛在的安全攻擊時作出的響應，它是管理審計事件的需要，這些需要包括報警或行動，例如包括實時報警的生成、違例進程的終止、中斷服務、用戶帳號的失效等。根據(jù)審計事件的不同系統(tǒng)將作出不同的響應。其響應方式可作增加、刪除、修改等操作。

?安全審計數(shù)據(jù)生成

該功能要求記錄與安全相關(guān)事件的出現(xiàn)，包括鑒別審計層次、列舉可被審計的事件類型、以及鑒別由各種審計記錄類型提供的相關(guān)審計信息的最小集合。系統(tǒng)可定義可審計事件清單，每個可審計事件對應于某個事件級別，如低級、中級、高級。

?產(chǎn)生的審計數(shù)據(jù)有以下幾方面

對于敏感數(shù)據(jù)項（例如，口令通行字等）的訪問目標對象的刪除訪問權(quán)限或能力的授予和廢除改變主體或目標的安全屬性標識定義和用戶授權(quán)認證功能的使用審計功能的啟動和關(guān)閉?

每一條審計記錄中至少應所含以下信息：事件發(fā)生的日期、時間、事件類型、主題標識、執(zhí)行結(jié)果（成功、失敗）、引起此事件的用戶的標識以及對每一個審計事件與該事件有關(guān)的審計信息。

?安全審計分析

此部分功能定義了分析系統(tǒng)活動和審計數(shù)據(jù)來尋找可能的或真正的安全違規(guī)操作。它可以用于入侵檢測或?qū)Π踩`規(guī)的自動響應。當一個審計事件集出現(xiàn)或累計出現(xiàn)一定次數(shù)時可以確定一個違規(guī)的發(fā)生，并執(zhí)行審計分析。事件的集合能夠由經(jīng)授權(quán)的用戶進行增加、修改或刪除等操作。

?安全審計分析類型潛在攻擊分析基于模板的異常檢測簡單攻擊試探復雜攻擊試探等幾種類型。

?安全審計分析類型（續(xù)）潛在攻擊分析：系統(tǒng)能用一系列的規(guī)則監(jiān)控審計事件，并根據(jù)這些規(guī)則指示系統(tǒng)的潛在攻擊；基于模板的異常檢測：檢測系統(tǒng)不同等級用戶的行動記錄，當用戶的活動等級超過其限定的登記時，應指示出此為一個潛在的攻擊；簡單攻擊試探：當發(fā)現(xiàn)一個系統(tǒng)事件與一個表示對系統(tǒng)潛在攻擊的簽名事件匹配時，應指示出此為一個潛在的攻擊；復雜攻擊試探：當發(fā)現(xiàn)一個系統(tǒng)事件或事跡序列與一個表示對系統(tǒng)潛在攻擊的簽名事件匹配時，應指示出此為一個潛在的攻擊。?安全審計瀏覽

該功能要求審計系統(tǒng)能夠使授權(quán)的用戶有效地瀏覽審計數(shù)據(jù)。包括：審計瀏覽、有限審計瀏覽、可選審計瀏覽。審計瀏覽提供從審計記錄中讀取信息的服務；有限審計瀏覽要求除注冊用戶外，其他用戶不能讀取信息；可選審計信息要求審計瀏覽工具根據(jù)相應的判斷標準選擇需瀏覽的審計數(shù)據(jù)。?安全審計事件選擇

系統(tǒng)能夠維護、檢查或修改審計事件的集合，能夠選擇對哪些安全屬性進行審計，例如：與目標標識、用戶標識、主體標識、主機標識或事件類型有關(guān)的屬性。系統(tǒng)管理員將能夠有選擇地在個人識別的基礎上審計任何一個用戶或多個用的動作。

?安全審計事件存儲

系統(tǒng)將提供控制措施以防止由于資源的不可用丟失審計數(shù)據(jù)。能夠創(chuàng)造、維護、訪問它所保護的對象的審計蹤跡，并保護其不被修改、非授權(quán)訪問或破壞。審計數(shù)據(jù)將受到保護直至授權(quán)用戶對它進行的訪問。

?安全審計事件存儲（續(xù)）它可保證某個指定量度的審計記錄被維護，并不受以下事件的影響：審計存儲用盡；審計存儲故障；非法攻擊；其他任何非預期事件。系統(tǒng)能夠在審計存儲發(fā)生故障時采取相應的動作，能夠在審計存儲即將用盡時采取相應的動作。

?網(wǎng)絡安全審計層次結(jié)構(gòu)圖

網(wǎng)絡層審計系統(tǒng)層審計應用層審計TCP/IP、ATM…UNIX、Windows9x/NT、ODBC審計總控CA發(fā)證操作主頁更新監(jiān)視…?安全審計系統(tǒng)體系結(jié)構(gòu)示意圖

?安全審計系統(tǒng)的典型配置示意圖

MailServer

DNSServer

DBServer

ApplicationServer

Workstation

路由器

防火墻

審計設備1

審計設備2

審計軟件Agent

服務網(wǎng)

內(nèi)部網(wǎng)

ApplicationServer

WebServer

SearchServer

審計中心

?審計與日志分析審計與日志分析的參考標準防火墻和路由器等網(wǎng)絡和網(wǎng)絡安全設備日志通用操作系統(tǒng)日志日志過濾可疑的活動分析?審計結(jié)果參考審計執(zhí)行過程建立設計報告庫安全審計和安全標準建議性審計解決方案?建議審計執(zhí)行過程為了能夠確定安全策略和實施情況的差距，建議采用特定方法繼續(xù)進行有效的審計；抵御和清除病毒，蠕蟲和木馬，修補系統(tǒng)漏洞；?建議改善和增強如下內(nèi)容：重新配置路由器；添加和重新配置防火墻規(guī)則；升級操作系統(tǒng)補丁類型；升級已有的和不安全的服務；加強網(wǎng)絡審核；自動實施和集中管理網(wǎng)絡內(nèi)部和邊界安全；?建議改善和增強如下內(nèi)容（續(xù)）增加入侵檢測和網(wǎng)絡監(jiān)控產(chǎn)品；增強物理安全；加強反病毒掃描；加強用戶級別的加密；刪除不必要的用戶賬號，程序和服務；等等?具體改善建議分類改善防火墻保證訪問控制規(guī)則為最小、正確和有效的設置；保證NAT、沖定向等為最小、正確和有效設置；掃描DMZ區(qū)域內(nèi)有問題的主機和服務器。入侵檢測隨時升級和更新入侵檢測系統(tǒng)的規(guī)則；識別需要檢測的內(nèi)容。主機和個人安全實施用戶級別的加密；在單個客戶端上安裝“個人防火墻”來鎖定端口和減小風險。強制實施安全策略安裝監(jiān)視軟件，如Axrent的企業(yè)級安全管理器；對物理安全進行有規(guī)律的審計。?建議設計審計報告庫?在安全審計報告中應該包括：總體評價現(xiàn)在的安全級別：你應該給出低、中、高的結(jié)論，包括你監(jiān)視的網(wǎng)絡設備的簡要評價（例如：大型機、路由器、NT系統(tǒng)、UNIX系統(tǒng)等等）；對偶然的、有經(jīng)驗的和專家級的黑客入侵系統(tǒng)作出時間上的估計；簡要總結(jié)出你的最重要的建議；?在安全審計報告中應該包括（續(xù)）詳細列舉你在審計過程中的步驟：此時可以提及一些在偵查、滲透和控制階段你發(fā)現(xiàn)的有趣問題；對各種網(wǎng)絡元素提出建議，包括路由器、端口、服務、登陸賬戶、物理安全等等；討論物理安全：許多網(wǎng)絡對重要設備的擺放都不注意。例如，有的公司把文件服務器置于接待臺的桌子后，一旦接待人員離開，則服務器便暴露在網(wǎng)絡攻擊下。有一次，安全設計人員抱著機器離開，安全守衛(wèi)還幫了忙；安全審計領(lǐng)域內(nèi)使用的術(shù)語。?在安全審計報告中應該包括（續(xù)）最后，記著遞交你的審計報告。因為安全審計涉及了商業(yè)和技術(shù)行為，所以應該把你的報告遞交給兩方面的負責人。如果你采用電子郵件的方式遞交報告，最好對報告進行數(shù)字簽名和加密。?持續(xù)審計的可以采取的有效步驟定義安全策略建立對特定任務負責的內(nèi)部組織對網(wǎng)絡資源進行分類為雇員建立安全指導確保個人和網(wǎng)絡系統(tǒng)的物理安全保障網(wǎng)絡主機的服務和操作系統(tǒng)安全?持續(xù)審計的可以采取的有效步驟加強訪問控制機制建立和維護系統(tǒng)確保網(wǎng)絡滿足商業(yè)目標保持安全策略的一致性重復的過程?安全審計和安全標準?安全審計可參考的標準ISO7498-2英國標準7799（BS7799）ISO15408（CommonCriteria，CC）?ISO7498?英國標準7799（BS7799）BS7799文檔的標題是《ACodeofPracticeForInformationSecurityManagement》，論述了如何確保網(wǎng)絡系統(tǒng)安全。1999年的版本有兩個部分，BS7799-1論述了確保網(wǎng)絡安全所采取的步驟；BS7799-2討論了在實施信息安全管理系統(tǒng)（ISMS）是應采取的步驟。?ISO17799雖然BS7799是英國標準，但由于它可以幫助網(wǎng)絡專家設計實施計劃并提交結(jié)果，所以很多非英國的安全人士也接受這一標準。ISO17799于2000年12月出版，它是適用于所有的組織，建議成為強制性的安全標準。它是基于BS7799之上的，BS77991995年2月首版，最后一次修訂和改進是在1999年5月?ISO17799概述ISO17799在安全問題的范圍上是全面的。它包含大量實質(zhì)性的控制要求,有些是極其復雜的。要符合ISO17799，或其他真正的任何詳細安全標準，都不是一項簡單的事情。甚至對于最有安全意識的組織來說，認證就更令人頭痛了。?什么是ISO17799？ISO17799是一個詳細的安全標準。包括安全內(nèi)容的所有準則，由十個獨立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。?1、商業(yè)持續(xù)規(guī)劃這節(jié)的主要內(nèi)容包括：1）防止商業(yè)活動的中斷；2）防止關(guān)鍵商業(yè)過程免受重大失誤或災難的影響。?2、系統(tǒng)訪問控制——這節(jié)的主要內(nèi)容有：1）控制訪問信息；2）阻止非法訪問信息系統(tǒng)；3）確保網(wǎng)絡服務得到保護；4）阻止非法訪問計算機；5）檢測非法行為；6）保證在使用移動計算機和遠程網(wǎng)絡設備時信息的安全?3、系統(tǒng)開發(fā)和維護這節(jié)的主要內(nèi)容有：1)確保信息安全保護深入到操作系統(tǒng)中；2)阻止應用系統(tǒng)中的用戶數(shù)據(jù)的丟失，修改或誤用；3)確保信息的保密性，可靠性和完整性；4)確保IT項目工程及其支持活動是在安全的方式下進行的；5)維護應用程序軟件和數(shù)據(jù)的安全。?4、物理和環(huán)境安全這部分的主要內(nèi)容有：阻止對業(yè)務機密和信息非法的訪問，損壞干擾；阻止資產(chǎn)的丟失，損壞或遭受危險，使業(yè)務活動免受干擾；阻止信息和信息處理設備的免受損壞或盜竊。?5、符合性這部分的主要內(nèi)容有：避免違背刑法、民法、條例或契約責任、以及各種安全要求；確保組織系統(tǒng)符合安全方針和標準；使系統(tǒng)審查過程的績效最大化，并將干擾因素降到最小。?6、人員安全這部分的主要內(nèi)容包括：減少錯誤，偷竊，欺騙或資源誤用等人為風險；確保使用者了解信息安全的威脅和，在他們的正常的工作中有相應的訓練，以便利于信息安全政策的貫徹和實施；通過從以前事件和故障中汲取教訓，最大限度降低安全的損失。?7、安全組織這節(jié)的主要內(nèi)容包括：在公司內(nèi)部管理信息安全；保持組織的信息采集設施和可被第三方利用的信息資產(chǎn)的安全性；當信息處理的責任需借助于外力是時，維持信息的安全。?8、計算機與網(wǎng)絡管理這節(jié)的目的是：確保信息處理設備的正確和安全的操作；降低系統(tǒng)失效的風險到最小；保護軟件和信息的完整性；維護信息處理和通訊的完整性和可用性；確保網(wǎng)絡信息的安全措施和支持基礎結(jié)構(gòu)的保護；防止資產(chǎn)被損壞和業(yè)務活動被干擾中斷；防止組織間的交易信息遭受損壞，修改或誤用。?9、資產(chǎn)分類和控制這節(jié)的主要闡述了：對于共同的資產(chǎn)給予適當?shù)谋Ｗo并且確保那些信息資產(chǎn)得到適當水平的保護。?10.安全政策這節(jié)的目的是：為信息安全提供管理方向和支持。?在完善ISMS時，應遵循以下步驟定義安全策略為你的信息安全管理系統(tǒng)（ISMS）定義范圍風險評估對已知的風險進行排序和管理?BS7799和ISO7498-2建議的步驟發(fā)布安全策略公布負責人名單培訓公司人員的信息安全意識定義匯報事件的程序建立有效的反病毒保護措施確保實施的策略與公司商業(yè)目標的一致性?BS7799和ISO7498-2建議的步驟制定規(guī)范以確保雇員不會為了完成任務而破壞軟件許可規(guī)則物理上確保對網(wǎng)絡操作記錄的安全建立系統(tǒng)來保護公司數(shù)據(jù)的安全實施能夠衡量規(guī)定的安全策略與實際遵守情況的等級的機制和過程?ISO15408（CC）CC提供了有助于你選擇和發(fā)展網(wǎng)絡安全解決方案的全球統(tǒng)一標準CC出現(xiàn)實際上是為了統(tǒng)一ITSEC和TCSEC，并取代“OrangeBook”。?ISO15408由三個部分組成第一部分：定義了如何創(chuàng)建安全目標和需求，還提供了一個術(shù)語的概述第二部分：定義了如何建立能夠使商業(yè)通信更安全的需求列表第三部分：提出了如何建立能夠達到公司安全需求的“保險內(nèi)容”的過程。?ISO15408的第三部分第三部分的內(nèi)容描述很仔細和復雜，作為審計人員只需要理解這些條款的基本內(nèi)容即可。許多專家用它們來：作為廠商需要的特殊設置提供了審計人員和IT專家在商業(yè)和技術(shù)交流中常用的術(shù)語定義了為更新網(wǎng)絡或特殊產(chǎn)品而建立特殊過程的需求需要由軟件和硬件廠商聲明的證明能力?與安全審計員有關(guān)的概念和術(shù)語術(shù)語描述ProtectionProfile（PP）需要的網(wǎng)絡服務和元素的項系列表，包括安全目標SecurityObjectives列出如何提出特別的弱點的書面描述。這是一種總體的陳述。安全需求比目標陳述更具體SecurityTarget（ST）由生產(chǎn)廠商提供的描述安全工具的用處的一組聲明。與安全目標和安全需求不同。安全需求是由廠商實施在軟硬件上的，而安全目標只是由IT部門和網(wǎng)絡審計人員定義的目標?與安全審計員有關(guān)的概念和術(shù)語術(shù)語描述TargetofEvaluation（TOE）你將要審計的某個操作系統(tǒng)，網(wǎng)絡，分布式的程序或軟件。使用安全目標和安全對象，你可以確定系統(tǒng)是否滿足了目標以及對象是否達到了聲明的功能Packages任何允許IT專家達到安全目標和要求的可以重復使用的內(nèi)容。例如七個EAL。你可以合并這些Package來確保額外的安全EvaluationAssuranceLevel（EAL）七個事先定義好的Packages，用來幫助IT專家評件規(guī)劃的和已經(jīng)存在的網(wǎng)絡和系統(tǒng)?EvaluationAssuranceLevelEAL提供了描述和預測特別的操作系統(tǒng)和網(wǎng)絡的安全行為的通用的方法。等級數(shù)越高，則要求得越嚴格。EAL1需要由TOE廠商做出聲明的證明，EAL7需要你核實和記錄下實施過程的每一個步驟。?EvaluationAssuranceLevel設計的證明：EAL1只要求檢查產(chǎn)品的文件，而EAL7要求對系統(tǒng)進行完全的記錄完整的獨立的分析抵御攻擊的能力：EAL1需要產(chǎn)品至少聲明能夠提供對攻擊的有效防范；而EAL7需要操作系統(tǒng)能夠抵御復雜的破壞數(shù)據(jù)機密性和拒絕服務是的攻擊?七個EAL類別EAL類別描述EAL1功能上的測試：分析產(chǎn)品的聲明，和實施TOE的基本測試EAL2結(jié)構(gòu)上的測試：需要選擇TOE的重要元素來經(jīng)受具有權(quán)威資格的測試，例如程序開發(fā)者EAL3系統(tǒng)的測試和檢查：進行測試的要求非常嚴格，在有限的基礎上，操作系統(tǒng)的所有元素都必須獨立的檢驗?七個EAL類別（續(xù)）EAL類別描述EAL4系統(tǒng)的設計，測試和回顧：這一級別的保證是允許已經(jīng)完成的程序和以前實施的系統(tǒng)進行更改的最高保證。這一級別還需要操作系統(tǒng)通過抵御低級別的攻擊的測試EAL5半正式的設計和測試：操作系統(tǒng)必須可以經(jīng)受適度的，比較復雜的攻擊EAL6半正式的驗證設計和測試：與EAL5相同，但是需要第三方的TOE設計核實EAL7操作系統(tǒng)必須完整地回顧和被證明能夠抵御靈活的攻擊。正式的設計和測試：確保發(fā)展的過程有組織，由第三方記錄所有的過程。例如，所有通行都必須被記錄下來?謝謝！?演講完畢，謝謝觀看！附錄資料：不需要的可以自行刪除

信息技術(shù)的戰(zhàn)略管理應用信息技術(shù)創(chuàng)造組織馬力本章的重點本章考察七種由IT技術(shù)激活的策略,提高組織的競爭能力IT促成完美的服務組織馬力的開發(fā)質(zhì)量是組織競爭的基礎OHP策略創(chuàng)造競爭優(yōu)勢OHP策略應用激進還是持續(xù)?競爭優(yōu)勢什么是競爭優(yōu)勢?如何獲得競爭優(yōu)勢?

如何保持競爭優(yōu)勢?

客戶對產(chǎn)品或服務的認同。通過對競爭環(huán)境及自己企業(yè)內(nèi)的了解，開發(fā)新的產(chǎn)品或創(chuàng)建良好的服務。不斷創(chuàng)新，保持優(yōu)勢。組織馬力組織馬力是組織力量與速度的結(jié)合。組織力量盡可能地滿足顧客的期望體現(xiàn)在更多的適合客戶需要的產(chǎn)品或服務組織速度能夠迅速地滿足客戶的期望體現(xiàn)了對客戶需求的響應速度利用IT提高OHP的策略準時生產(chǎn)方式Just-in-Time組織團隊信息伙伴靈活的運營跨國公司虛擬組織學習型組織質(zhì)量：競爭的基礎什麼是質(zhì)量？質(zhì)量不是優(yōu)良、漂亮、豪華。質(zhì)量是指滿足顧客的期望。質(zhì)量是OHP的基礎。全面質(zhì)量管理（TQM）滿足客戶的期望持續(xù)不斷的改進組織范圍的質(zhì)量觀念JIT方法Just-in-Time-----將產(chǎn)品或服務在客戶需要時，能及時的生產(chǎn)并送達。JIT的方法將以生產(chǎn)為中心的方式轉(zhuǎn)化為以客戶為中心（訂單到達之前沒有產(chǎn)品），以避免生產(chǎn)的過剩。JIT增強了企業(yè)的柔性，減少庫存水平。目的：提高組織的速度關(guān)鍵：外部的信息溝通（利用通信技術(shù)） 生產(chǎn)過程的管理（內(nèi)部生產(chǎn)過程的控制）--過程預測--材料需求計劃MATERIALREQUIREMENTSPLANNING(MRP)）--制造資源計劃MANUFACTURINGRESOURCEPLANNING(MRPII)

組織中的團隊團隊：項目團隊、長期團隊-----一組擁有共同的目標、協(xié)同工作的人。目的：團隊的創(chuàng)造力增強組織的力量關(guān)鍵：網(wǎng)絡平臺，群件的支持信息伙伴----與客戶間加強信息的溝通，實現(xiàn)信息的共享，促進信息的流動。即，通過共享信息增強每個合作組織的實力。目的與戰(zhàn)略：提高組織的速度：通過EDI的應用、信息流動的自動化、信息傳遞的標準化（減少錯誤）提高組織的力量：通過對信息的共享，擴大市場。同時提高力量與速度：信息共享促進創(chuàng)新、信息共享擴大了與顧客的交流。關(guān)鍵：網(wǎng)絡的應用，如EDI。靈活的運營----任何地點（無鋪面）的不限時的運營，是組織職能的延伸。通過對客戶服務的內(nèi)容的增加、時間的延長，提高組織的OHP。目的：