安全审计概述
安全审计技术对系统的安全操作和访问进行审计和记录
安全审计技术对系统的安全操作和访问进行审计和记录安全审计技术对系统的安全操作和访问进行审计和记录随着互联网的快速发展和普及,人们越来越多地依赖于计算机系统来存储和处理重要的信息和数据。
然而,计算机系统的安全问题也日益严峻,黑客攻击、数据泄露和恶意软件成为了常见的威胁。
为了保护计算机系统的安全,安全审计技术成为必不可少的一部分。
安全审计技术是指利用专业的工具和方法,对系统的操作和访问进行审计和记录。
通过安全审计,可以发现安全漏洞和异常行为,并及时采取相应的措施。
安全审计技术包括日志记录、行为分析、异常检测等多个方面。
首先,日志记录是安全审计技术的基础。
系统可以通过记录用户的登录、操作和访问行为,提供关键的信息用于安全审计。
这些日志信息可以包括用户登录的时间、IP地址、访问的文件或目录、所做的操作等。
通过对这些日志信息的分析,可以了解用户的行为和操作习惯,发现潜在的安全隐患。
其次,行为分析是安全审计技术的重要组成部分。
通过对用户行为的分析,可以识别出不正常的行为模式。
例如,如果一个用户在短时间内多次登录不同的账号,并且频繁地访问系统中敏感数据,很可能是恶意攻击行为。
通过行为分析,可以及时发现并阻止这样的攻击。
另外,异常检测也是安全审计技术的关键环节。
通过监控系统的运行状态和网络流量,可以及时发现系统中的异常情况。
例如,如果系统的网络流量突然剧增,或者有大量的异常访问请求,可能是系统遭受到了DDoS攻击。
通过异常检测,可以及时采取相应的措施来保护系统的安全。
除了上述基本的安全审计技术,还有一些高级的技术可以进一步提升系统的安全性。
例如,基于机器学习的安全审计技术可以通过分析历史的审计日志数据,建立起用户行为模型,从而能够更准确地检测出异常行为。
同时,还可以使用强化学习算法,不断优化安全策略,提高系统的自适应能力。
安全审计技术对系统的安全操作和访问进行审计和记录,能够帮助企业和个人发现潜在的安全隐患,及时采取相应的措施,保护系统的安全。
安全审计 日志审计
安全审计日志审计
安全审计是指对系统、网络、应用程序等安全防护措施的有效性进行检查与评估的过程。
而日志审计则是通过对系统、网络、应用程序等产生的日志数据进行分析和监视,以便发现异常行为和安全事件。
安全审计和日志审计都是保障信息系统安全的重要手段。
安全审计主要通过对安全策略、安全措施、安全规程等进行检查,以保证信息系统的安全性、完整性和可用性。
而日志审计则能够发现系统中的非法操作、异常行为等安全事件,从而及时采取相应的措施进行处理和防范。
在安全审计中,对于涉及到的关键系统和重要数据,需要进行全面的安全漏洞扫描,以发现潜在的安全隐患。
同时,还需对安全策略的合理性、适用性进行评估,以制定有效的安全措施。
此外,还需对安全事件的应急响应方案进行评估和完善,以确保在安全事件发生时能够快速、有效地应对。
在日志审计中,需要采集和存储各个系统、应用程序和网络设备产生的日志数据,并对这些日志数据进行分析和监视。
通过对日志数据的分析,可以发现异常行为和安全事件,及时采取措施进行防范和处理。
同时,还需建立完善的日志管理制度和技术实施方案,以保证日志数据的完整性和可信度。
总之,安全审计和日志审计是信息系统安全保障的重要手段,对于确保信息系统的安全性、完整性和可用性具有重要意义。
因此,应该积极采取措施加强安全审计和日志审计工作,提高信息系统的安全
水平。
安全审计
指定一个存放数据库文件和日志文件的目录路径,需要事先创建这个目录文件定义审核收集每天执行数据库维护的时间ACS 存储时间戳格式,可采用默认可以使用UTC点击“下一步”,在弹出的窗口中输入安装SQLServer 的服务器主机名称,点击“确定”提示已完成审核收集服务创建此时,审核收集服务模块已经成功安装,但是还需手动导入ACS报表,否则我们依旧是什么也看不到。
浏览到SCOM 安装光盘X:\ReportModels目录下,可将ACS整个文件夹暂时拷贝到SCOM服务器C盘根目录下,具体如下图所示:此时,以管理员身份打开命令行窗口,运行以下命令:cd\acsUploadAuditReports “<AuditDBServer\Instance>”“<报表服务器URL>” “<复制的 acs文件夹路径>”,具体如下图所示,即可创建一个称为DB Audit的新数据源,上传报表类型:Audit.smdl和Audit5.smdl,并上传acs\reports目录中的所有报表打开IE,输入:http://SCOM2012/Reports,点击“AuditReports”进入“AuditReports”后,点击“详细信息视图”点击“AuditReports”浏览到“DBAudit”並点击进入此时,我们需要勾选“Windows集成安全性”,然后点击“测试连接”,最后点击“应用”进入报表区,定位到“Audit Reports”即可查看该报表文件下有许多报表,说明已成功导入ACS报表信息接下来,我们还需要开启代理的审核收集功能。
进入监视区,展开“代理详细信息”文件夹,定位到“代理运行状况状态”,选中要开启审核收集功能的代理,点击右侧的“启用审核收集”,说明,需先启用,然后再启动输入执行任务凭据账户,然后点击“运行”提示执行任务成功待执行启用审核收集任务完成,然后点击右侧“启动审核收集”同理输入运行任务凭证,然后点击“运行”提示,执行“启动审核收集”任务成功登陆到AD上,以管理员身份打开运行窗口,输入gpedit.msc,打开本地组策略编辑器,找到如下图“审核策略”,更改“审核账户管理”安全性设定(说明:此示例仅仅展示审核创建和删除账户,如果想进行其它测试,可进行其它相关项设定)双击“审核账户管理”,勾选“成功”和“失败”打开“AD用户和计算机”,先创建一个用户,我这里创建用户“SCOMAcs”稍等片刻,登陆SCOM服务器,进入报表区,定位到“Audit Reports”,选中“Account_Management_- _User_Accounts_Created”,点击右侧“打开”即可查看审核用户账户添加信息当进行账户删除后,依旧会在“Account_Management_-_User_Accounts_Deleted”报表文件中查看到审核账户删除信息接下来,我们测试审核有关USB存储设备插入信息。
网络安全审计
网络安全审计网络安全审计概述网络安全审计是指对计算机网络中存在的安全风险和漏洞进行系统性的检测和评估,以便及时发现并解决潜在的安全问题。
网络安全审计是企业信息安全管理的重要组成部分,通过对网络设备、系统配置、网络流量等方面进行审计,可以帮助企业发现安全隐患,加强网络安全防范。
审计目标网络安全审计的目标是发现潜在的安全漏洞和威胁,并及时采取相应的措施加以修复和阻止。
具体的审计目标包括:1. 发现未经授权的设备和用户。
2. 检测并修复配置错误。
3. 分析网络流量,发现异常流量。
4. 检查系统和应用程序的漏洞。
5. 评估密码策略的安全性。
6. 检测并处理异常登录行为。
7. 发现并解决网络攻击行为。
审计方法网络安全审计可以采用多种方法和工具进行,常见的审计方法包括:1. 漏洞扫描:通过扫描目标网络中的主机和服务,发现系统、应用程序等方面的漏洞,并提供修复建议。
2. 端口扫描:检测目标主机上开放的端口,发现可能存在的安全风险。
3. 流量分析:通过分析网络流量,识别异常流量并排查安全事件。
4. 登录审计:记录和分析用户的登录行为,发现潜在的安全威胁。
5. 密码:对系统密码进行尝试,评估密码策略的安全性。
6. 安全配置审计:检查网络设备和系统的配置是否符合安全要求。
7. 日志分析:分析系统日志,发现潜在的安全事件和异常行为。
审计步骤进行网络安全审计时,通常需要按照以下步骤进行:1. 制定审计计划:明确审计的目标、范围和方法,并确定审计的时间和资源。
2. 收集信息:收集网络拓扑图、配置文件、系统日志等相关信息,为审计做好准备。
3. 进行审计:根据审计计划,逐一进行审计工作,包括漏洞扫描、端口扫描、流量分析等。
4. 分析结果:对审计得到的信息进行分析,并识别出潜在的安全漏洞和威胁。
5. 提出建议:根据分析结果,提出相应的修复和加固建议,并制定改进方案。
6. 实施改进:根据建议和方案,对网络进行相应的修复和加固措施。
安全审计知识手册
度大的特点,安全诊断的目的不仅仅局限于满足法律法规及标准
的要求,更在于根据企业的特点提出安全经济合理的防范措施, 为企业职业健康安全管理的持续改进提供支持,帮助企业实现最
大的安全经济效益。
安全审计是针对企业的内部活动,安全审计报告的特点是系 统、全面、真实、客观,甲乙双方应恪守安全审计成果的保密性 承诺,不以仅仅满足法律法规要求为目的。
审计组对对被审计企业整改项目完成的认可。 (7)中止审计
安全审计工作因特殊情况无法正常实施时,审计组决定停止审计的行
为。
3、定义和术语足安全审计检查单的要求。
(9)不符合 被审计方的安全管理文件或实施情况未满足安全审计检查单的要求。
(10)不适用
安全审计检查单的某些审计项目或条款不适合用于被审计方。
5、安全审计依据
5.1 法律法规及政策要求(部分) 1、《中华人民共和国安全生产法》(主席令第70号) 2、《中华人民共和国消防法》(主席令第4号,2008年修订) 3、《中华人民共和国职业病防治法》(主席令第60号) 4、《危险化学品安全管理条例》(国务院令第344号) 5、《使用有毒物品作业场所劳动保护条例》(国务院令第352号) 6、《工伤保险条例》(国务院令第586号) 7、《生产经营单位安全培训规定》(国家安监总局令第3号) 8、《劳动防护用品监督管理规定》(国家安全生产监督管理局令第1号) 9、《注册安全工程师管理规定》(国家安监总局令第11号) 10、《生产安全事故应急预案管理办法》(国家安监总局令第17号) 11、《山东省安全生产条例》(山东省人大常委会公告第80号) 12、《落实生产经营单位安全生产主体责任暂行规定》(鲁政办发[2007]54 号)
5、安全审计依据
5.2.2 建筑设计类安全标准 1、《工业企业设计卫生标准》(GBZ1-2010) 2、《生产过程安全卫生要求总则》(GBT12801-2008) 3、《建筑设计防火规范》(GB50016-2006) 4、《工业企业总平面设计规范》(GB50187-93) 5、《建筑物防雷设计规范》(GB50057-94)2000年版 6、《建筑抗震设计规范》(GB50011-2001) 7、《建筑灭火器配置设计规范》(GB50140-2005) 8、《工业管路基本识别色和识别符号》(GB7231-2003) 9、《建筑照明设计标准》(GB50034-2004) 10、《易燃易爆性商品储藏养护技术条件》(GB17914-1999) 11、《火灾自动报警系统设计规范》(GB50116-1998) 12、《固定式钢梯及平台安全要求 第1部分:钢直梯》(GB 4053.1-2009) 13、《固定式钢梯及平台安全要求 第2部分:钢斜梯》(GB 4053.2-2009) 14、《固定式钢梯及平台安全要求 第3部分:工业防护栏杆及钢平台》(GB 4053.3-2009)
安全审计系统
安全审计系统
安全审计系统是指通过对网络、系统和应用进行全面审计和监控,发现和防范
安全威胁,保障信息系统的安全运行。
安全审计系统是企业信息安全管理的重要组成部分,它能够帮助企业发现潜在的安全隐患,及时采取措施加以解决,提高信息系统的安全性和稳定性。
首先,安全审计系统需要具备全面的监控功能。
它可以对网络流量、系统日志、用户操作行为等进行实时监控和记录,及时发现异常情况。
通过对监控数据的分析,可以发现潜在的安全威胁,提前做好防范措施,保障信息系统的安全运行。
其次,安全审计系统需要具备实时响应能力。
一旦发现安全威胁,安全审计系
统应该能够及时响应,采取相应的措施进行处理。
比如,对异常用户行为进行实时阻断,及时更新安全策略,保障信息系统的安全性。
另外,安全审计系统需要具备全面的报表和分析功能。
它可以生成各种安全审
计报表,对安全事件进行分析和统计,帮助企业了解安全事件的发生情况和趋势,为企业的安全决策提供依据。
最后,安全审计系统需要具备可扩展性和灵活性。
随着信息系统的不断发展和
变化,安全审计系统也需要不断升级和完善。
它应该能够灵活适应不同的信息系统环境,满足企业不同的安全审计需求。
总之,安全审计系统对于企业的信息安全至关重要。
它能够帮助企业发现潜在
的安全威胁,及时采取措施加以解决,提高信息系统的安全性和稳定性。
因此,企业应该重视安全审计系统的建设和运行,不断完善和提升安全审计系统的能力,确保信息系统的安全运行。
安全审计企业必备知识
安全审计企业必备知识随着信息技术的不断发展,网络安全问题日益突出,安全审计作为保障企业信息系统安全的重要手段,扮演着至关重要的角色。
安全审计旨在评估和监控信息系统的安全性,发现潜在的风险和漏洞,为企业提供有效的安全保障。
在进行安全审计时,企业需要掌握一些必备知识,以确保审计工作的顺利进行和有效实施。
本文将介绍安全审计企业必备的知识,帮助企业更好地进行安全审计工作。
一、安全审计概述安全审计是指对企业信息系统进行全面、系统的检查和评估,以发现潜在的安全风险和漏洞,并提出改进建议,保障信息系统的安全性和稳定性。
安全审计主要包括网络安全审计、系统安全审计、数据库安全审计等内容,通过对系统的配置、日志、权限、访问控制等方面进行审查,确保信息系统的安全运行。
二、安全审计的重要性1. 保障信息系统安全:安全审计可以帮助企业及时发现系统存在的安全隐患,及时采取措施加以修复,保障信息系统的安全性,防止信息泄露和数据丢失。
2. 遵守法律法规:随着信息安全法律法规的不断完善,企业需要进行安全审计以确保企业信息系统的合规性,避免因违规操作而受到处罚。
3. 提升企业形象:通过安全审计,企业可以及时发现并解决安全问题,提升企业的安全形象和信誉,增强客户和合作伙伴的信任度。
三、安全审计企业必备知识1. 网络安全知识:了解网络安全的基本原理和常见攻击手段,掌握网络安全设备的配置和使用方法,能够有效防范网络攻击和入侵。
2. 系统安全知识:熟悉各类操作系统的安全设置和加固方法,了解系统漏洞的利用方式和防范措施,确保系统的安全性和稳定性。
3. 数据库安全知识:掌握数据库安全的基本概念和原理,了解数据库的安全配置和权限管理,保护数据库中重要数据的安全性和完整性。
4. 安全审计工具:熟练掌握各类安全审计工具的使用方法,如漏洞扫描工具、入侵检测系统、日志分析工具等,能够有效地进行安全审计工作。
5. 安全审计流程:了解安全审计的整体流程和方法,包括准备工作、信息收集、安全扫描、风险评估、报告编写等环节,确保审计工作的有序进行。
计算机年度安全审计报告
计算机年度安全审计报告
1. 概述
本报告对公司计算机系统在过去一年中的安全状况进行了全面审计和评估。
审计重点包括网络安全、数据安全、系统完整性和员工隐私保护等方面。
2. 网络安全审计
2.1 防火墙和入侵检测系统
公司采用了业内领先的防火墙和入侵检测系统,对进出网络流量进行严格监控和过滤。
全年未发现重大网络攻击事件。
2.2 漏洞扫描和修复
按计划对系统进行了季度漏洞扫描,发现的中高风险漏洞均及时修复,确保系统无已知漏洞存在。
3. 数据安全审计
3.1 数据加密
关键业务数据和个人识别信息均使用行业标准的加密算法进行加密存储和传输。
3.2 数据备份与灾备
建立了完善的数据备份机制,对核心数据实施异地双活备份,满足数据恢复和业务连续性要求。
4. 系统完整性审计
4.1 系统访问控制
实施了严格的身份认证和授权机制,员工仅能访问工作所需的最小权限系统和数据。
4.2 系统变更管理
所有系统变更均按规范流程执行,测试、审批、备份等环节有效控制了变更风险。
5. 员工隐私保护审计
5.1 个人信息收集
仅收集必要的员工个人信息,并获得员工明确授权。
5.2 个人信息使用
员工个人信息仅用于合理、合法的内部管理目的,不作其他用途。
6. 总结
公司计算机系统在网络安全、数据安全、系统完整性和隐私保护等方面均达到了行业较高水准,但仍有进一步改进空间。
我们将持续加强安全管理,确保系统和数据的安全可靠。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全审计概述分类:学术文章2009-11-24 15:45 201人阅读评论(0) 收藏举报文/陈尚义一、什么是安全审计安全审计,一般地,是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价。
按照这个说法,审计可以是来自内部的,也可以是来自外部的。
GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》对“安全审计”的定义是:对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应的比较动作。
安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行的目的。
同时,信息系统安全审计产品对信息系统各组成要素进行事件采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管理的效率。
传统的商业与管理审计,与计算机安全审计的过程是完全相同的,但它们各自关注的问题有很大不同。
计算机安全审计是通过一定的策略,利用记录和分析历史操作事件发现系统漏洞并改进系统的性能和安全。
计算机安全审计需要达到的目的包括:对潜在的攻击者起到震慑和警告的作用;对于已经发生的系统破坏行为提供有效的追究责任的证据;为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
具体到内网安全管理,安全审计是对计算机终端及其应用进行量化检查与评估的技术和过程。
内网审计是通过对计算机终端中相关信息的收集、分析和报告,来判定现有终端安全控制的有效性,检查计算机终端的误用、滥用和泄密行为,验证当前安全策略的合规性,获取犯罪和违规的证据。
二、安全审计四要素一般认为,安全审计涉及四个基本要素:目标、漏洞、措施和检查。
目标是企业的安全控制要求;漏洞是指系统的薄弱环节;措施是为实现目标所制定的技术、配置方法及各种规章制度;检查是将各种措施与安全标准进行一致性比较,确定各项措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。
管理部门相继出台了各层面的管理要求,就是对安全审计提出的目标。
如分级保护要求、等级保护要求、以及将出台的国内《企业内部控制基本规范》等;同时,跨国、合资企业在符合我国安全要求的同时,也受到本国安全标准的管理。
这些法规和要求成为审计系统的检查基线,使审计成为必要和可能。
根据这些目标要求,企业要进行风险评估,找出漏洞所在,并针对这些风险和漏洞,采取必要的措施,如部署内网安全管理系统,对计算机端口、外部设备、网络接入、移动存储介质进行控制和管理,监控电子文件的操作等,收集使用日志,记录操作内容和操作行为,作为今后等级评估、保密检查和合规性检查的重要依据。
例如根据等级保护、分级保护要求,对这些日志数据进行统计分析,产生分级保护分析结果,形成用户操作场景,找出用户违规行为,通过合规性分析,加强企业在分级保护方面的管理力度,追究泄密责任。
“内网安全管理系统”是内网审计系统的基础。
内网审计是在内网安全管理系统日志功能基础上的,对日志数据进行分析、报告与判断(与目标的符合度)的过程。
三、安全审计、安全监控与审计跟踪•审计和监控安全审计和访问控制互为补充。
安全审计对用户使用何种信息资源、使用时间,以及如何使用(执行何种操作)进行记录并检查。
审计和监控的联合,能够再现原有的使用场景、发现操作时的问题,对于追查责任和恢复数据非常必要。
•审计和审计跟踪审计跟踪,是按事件发生的时间顺序,记录每个事件的环境及活动,使之能够提供事件从始至终的整个变化轨迹,进一步提高了审计效果。
审计跟踪记录的活动包括系统活动和用户活动,系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动。
审计跟踪通过书面(或其它具有法律效力的)方式,提供责任人的活动证据,使之之具备记录系统活动、并跟踪到对这些活动应负责任的人员的能力。
通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。
审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能提供对数据恢复的帮助。
审计跟踪是高级的审计,它依赖于审计系统完整、连续的活动记录能力,和系统对复杂记录的深度挖掘和智能分析能力。
四、安全审计系统下面简单介绍一下安全审计系统的功能。
1.日志收集子系统不同的系统可采用不同的机制记录日志。
日志的记录可能由操作系统完成,也可以由应用系统或其他专用记录系统完成。
一些系统调用Syslog或SNMP记录日志,而另一些系统采用自己定义的非标准协议来收集日志。
理想情况下,日志应该记录每一个可能的事件,以便分析发生的所有事件,并恢复任何时刻进行的历史情况。
然而,这样做显然是不现实的,因为要记录每一个数据包、每一条命令和每一次存取操作,需要的存储量将远远超出系统承受能力,这将严重影响系统性能。
因此,日志内容是有选择的。
一般情况下,日志记录的内容应该满足以下原则:•日志应该记录任何必要的事件,以检测已知的攻击模式。
•日志应该记录任何必要的事件,以检测异常的攻击模式。
•日志应该记录关于记录系统连续可靠工作的信息。
在这些原则的指导下,日志系统可根据安全要求的强度选择记录下列事件的部分或全部:•审计功能的启动和关闭。
•使用身份鉴别机制。
•将客体引入主体的地址空间。
•删除客体。
•管理员、安全员、审计员和一般操作人员的操作。
•其他专门定义的可审计事件。
通常,对于一个事件,日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件和源、目的位置、事件类型、事件成败等。
2.审计分析子系统审计分析是审计系统的重要功能。
通过日志分析,发现所需事件信息和规律。
审计分析的主要内容如下:•潜在侵害分析。
根据规则监控安全事件,并根据规则发现潜在的入侵。
这种规则可以是由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合。
•基于异常检测的轮廓。
确定用户正常行为的轮廓,当日志中的事件违反正常访问行为的轮廓,或超出正常轮廓一定的门限时,能指出将要发生的威胁。
•简单攻击探测。
对重大威胁事件的特征有明确的描述,当这些攻击现象出现时,能及时指出。
•复杂攻击探测。
日志分析系统还应能检测到多步入侵序列,当攻击序列出现时,能预测其发生的步骤。
3.审计跟踪子系统审计跟踪子系统功能包括:个人职责、事件重建、入侵检测和故障分析。
•个人职责(individual accountability)审计跟踪可以用于检查和检测用户个人的活动。
如果用户个人知道自己的行为被记录、需要为自己的行为负责,他们就不太会违反安全策略和绕过安全控制措施。
例如;审计跟踪可以记录改动前和改动后的记录,以确定是哪个操作者在什么时候做了哪些实际的改动,这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其他因素造成的。
允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问,被授权的访问有可能会被滥用,导致敏感信息的扩散,当无法阻止用户通过其合法身份访问资源时,审计跟踪就能发挥作用。
•事件重建(reconstruction of events)当问题发生时,审计跟踪可以用于重建事件和数据恢复。
通过系统活动的审计跟踪可以比较容易地评估故障损失,确定故障发生的时间、原因和过程。
通过对审计跟踪的分析就可以重建系统和协助恢复数据文件;同时,还有可能避免下次发生此类故障的情况。
•入侵检测(intrusion detection)跟踪记录可以用来协助入侵检测工作。
如果将审计的每一笔记录都进行上下文分析,就可以实时发现或过后追查入侵检测活动。
实时入侵检测可以及时发现非法授权者对系统的非法访问,也可以探测到病毒扩散和网络攻击。
•故障分析(problem analysis)审计跟踪可以用于实时审计或监控。
4.自身安全性保障子系统由于审计系统是追踪、恢复的直接依据,甚至是司法依据,因此其自身的安全性十分重要。
审计系统的安全主要是查阅和存储的安全。
1)查询安全审计事件的查阅应该受到严格的限制,不能篡改日志。
通常,通过以下不同的层次的措施,保证审计系统自身的安全。
一是审计查阅,审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能;二是有限审计查阅,审计系统只能提供对内容的读权限,因此应拒绝具有读以外权限的用户访问审计系统;三是可选审计查阅,在有限审计查阅的基础上限制查阅的范围。
2)存储安全审计事件的存储也有安全要求,具体有如下几种情况:一是受保护的审计踪迹存储,即要求存储系统对日志事件具有保护功能,防止未授权的修改和删除,并具有检测修改删除的能力;二是审计数据的可用性保证,在审计存储系统遭受意外时,能防止或检测审计记录的修改,在存储介质存满或存储失败时,能确保记录不被破坏;三是防止审计数据丢失,应采取相应的措施防止数据丢失,例如当存储空间受限时,可采取的措施可以是忽略可审计事件、只记录特殊事件、覆盖以前记录、停止工作等。
五、一个安全审计系统的实例—中软内安全监控和审计系统UEM中软统一终端安全管理系统UEM,在一定程度上,是内网安全审计与监控于一体的综合的内网安全管理系统,对内网里发生的各种行为和内容变化进行监控、管理和审计。
UEM集中统计、显示和分析各种受监控的用户行为日志、违规操作报警日志、主机状态日志、以及UEM系统用户的操作日志等。
集中统计、显示和分析客户端程序安装情况以及客户端主机应用的在线和离线策略。
在多级服务器部署下,支持下级服务器警报、软硬件资产的统计数据报表的定时上传和集中显示,统计数据报表上传的频率可通过上级服务器定义。
支持数据表、直方图、饼图等多种形式的用户自定义报表,以及级联警报的趋势分析等。
UEM的审计功能是通过三个组件协同工作来实现的:客户端、服务器和控制台。
系统采用分布式监控,集中式管理的工作模式。
组件之间采用C/S工作模式,组件的通信是采用HTTP/HTTPS加密传输方式。
支持任意层级的服务器级联,上下级服务器之间采用HTTPS协议进行数据交换。
体系结构如图 1 所示。
图 1 UEM在一定意义上是内网安全审计和监控系统•客户端:按照安全策略,负责日志收集。
它是安装在受保护的终端计算机上的软件,实时监测客户端的用户行为和安全状态。
除了收集日志,客户端程序还实现了终端安全策略管理,一旦发现用户的违规行为或计算机的安全状态异常,及时向服务器发送告警信息,并执行预定义的应急响应策略。
•服务器:实现客户端策略的存储和下发、日志的收集和存储,并保证策略和日志的安全。
它是安装在专业服务器上的软件,需要强大的数据库支持。
通过安全认证建立与多个客户端系统的连接。
上下级服务器间基于HTTPS进行通信,实现组织结构、告警、日志统计信息等数据的搜集。