第七章信息系統(tǒng)安全審計(jì)信息安全管理信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第1頁。本講內(nèi)容信息系統(tǒng)安全審計(jì)概述1235安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)安全審計(jì)的一般流程34安全審計(jì)的數(shù)據(jù)源信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第2頁。信息系統(tǒng)安全審計(jì)概述概念：信息系統(tǒng)安全審計(jì)是評(píng)判一個(gè)信息系統(tǒng)是否真正安全的重要手段之一。我國(guó)的國(guó)家標(biāo)準(zhǔn)《GB/T20945-2007，信息安全技術(shù)信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法》給出了安全審計(jì)的定義。安全審計(jì)是對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測(cè)、信息采集、分析并針對(duì)特定事件及行為采取相應(yīng)響應(yīng)動(dòng)作。信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第3頁。信息系統(tǒng)安全審計(jì)概述主要目標(biāo)：檢查是否符合現(xiàn)行的安全策略，標(biāo)準(zhǔn)，指南和程序找出不足之處，并檢查現(xiàn)有策略，標(biāo)準(zhǔn)、指南和程序的實(shí)施效果識(shí)別和審查是否符合相關(guān)的法律、法規(guī)和合同的要求識(shí)別和理解存在的漏洞檢討現(xiàn)有的操作、行政和管理方面的安全控制問題，確保實(shí)現(xiàn)的安全措施和符合最低安全標(biāo)準(zhǔn)的要求提供改進(jìn)建議和糾正措施信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第4頁。信息系統(tǒng)安全審計(jì)概述功能：取證威懾發(fā)現(xiàn)系統(tǒng)漏洞發(fā)現(xiàn)系統(tǒng)運(yùn)行異常評(píng)價(jià)標(biāo)準(zhǔn)符合程度信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第5頁。信息系統(tǒng)安全審計(jì)概述分類：按照審計(jì)分析的對(duì)象，分為針對(duì)主機(jī)的審計(jì)針對(duì)網(wǎng)絡(luò)的審計(jì)按照審計(jì)的工作方式，分為集中式安全審計(jì)分布式安全審計(jì)信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第6頁。安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)信息安全審計(jì)系統(tǒng)的一般組成：一般而言，一個(gè)完整的安全審計(jì)系統(tǒng)如圖所示信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第7頁。安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)集中式安全審計(jì)系統(tǒng)體系結(jié)構(gòu)：集中式安全審計(jì)系統(tǒng)體系結(jié)構(gòu)如圖所示信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第8頁。安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)集中式的審計(jì)體系結(jié)構(gòu)越來越顯示出其缺陷，主要表現(xiàn)在:造成CPU、I/O以及網(wǎng)絡(luò)通信的負(fù)擔(dān)，而且中心計(jì)算機(jī)往往容易發(fā)生單點(diǎn)故障有可能因?yàn)閱蝹€(gè)點(diǎn)的失敗造成整個(gè)審計(jì)數(shù)據(jù)的不可用集中式的體系結(jié)構(gòu)，自適應(yīng)能力差，不能根據(jù)環(huán)境變化自動(dòng)更改配置信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第9頁。分布式安全審計(jì)系統(tǒng)體系結(jié)構(gòu)集中式安全審計(jì)系統(tǒng)體系結(jié)構(gòu)：典型的分布式安全審計(jì)系統(tǒng)結(jié)構(gòu)如圖所示信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第10頁。分布式安全審計(jì)系統(tǒng)體系結(jié)構(gòu)它由三部分組成:主機(jī)代理模塊局域網(wǎng)監(jiān)視器代理模塊中央管理者模塊優(yōu)點(diǎn):擴(kuò)展能力強(qiáng)容錯(cuò)能力強(qiáng)兼容性強(qiáng)適應(yīng)性強(qiáng)信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第11頁。安全審計(jì)的一般流程安全審計(jì)流程如圖所示信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第12頁。安全審計(jì)的一般流程策略定義：安全審計(jì)應(yīng)在一定的審計(jì)策略下進(jìn)行，審計(jì)策略規(guī)定哪些信息需要采集、哪些事件是危險(xiǎn)事件、以及對(duì)這些事件應(yīng)如何處理等。因而審計(jì)前應(yīng)制定一定的審計(jì)策略，并下發(fā)到各審計(jì)單元。信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第13頁。安全審計(jì)的一般流程事件采集：事件采集階段包含以下行為：按照預(yù)定的審計(jì)策略對(duì)客體進(jìn)行相關(guān)審計(jì)事件采集。形成的結(jié)果交由事件后續(xù)的各階段來處理將事件其他各階段提交的審計(jì)策略分發(fā)至各審計(jì)代理，審計(jì)代理依據(jù)策略進(jìn)行客體事件采集信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第14頁。安全審計(jì)的一般流程事件分析：事件分析階段包含以下行為：按照預(yù)定策略，對(duì)采集到事件進(jìn)行事件辨析，決定忽略該事件產(chǎn)生審計(jì)信息產(chǎn)生審計(jì)信息并報(bào)警產(chǎn)生審計(jì)信息且進(jìn)行響應(yīng)聯(lián)動(dòng)按照用戶定義與預(yù)定策略，將事件分析結(jié)果生成審計(jì)記錄，并形成審計(jì)報(bào)告信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第15頁。安全審計(jì)的一般流程事件響應(yīng)：事件響應(yīng)階段是根據(jù)事件分析的結(jié)果采用相應(yīng)的響應(yīng)行動(dòng)，包含以下行為：對(duì)事件分析階段產(chǎn)生的報(bào)警信息、響應(yīng)請(qǐng)求進(jìn)行報(bào)警與響應(yīng)按照預(yù)定策略，生成審計(jì)記錄，寫入審計(jì)數(shù)據(jù)庫，并將各類審計(jì)分析報(bào)告發(fā)送到指定的對(duì)象按照預(yù)定策略對(duì)審計(jì)記錄進(jìn)行備份信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第16頁。安全審計(jì)的一般流程結(jié)果匯總：結(jié)果匯總階段負(fù)責(zé)對(duì)事件分析及響應(yīng)的結(jié)果進(jìn)行匯總，主要包含以下行為：將各類審計(jì)報(bào)告進(jìn)行分類匯總對(duì)審計(jì)結(jié)果進(jìn)行適當(dāng)?shù)慕y(tǒng)計(jì)分析，形成分析報(bào)告根據(jù)用戶需求和事件分析處理結(jié)果形成審計(jì)策略修改意見信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第17頁。安全審計(jì)的數(shù)據(jù)源

基于主機(jī)的數(shù)據(jù)源操作系統(tǒng)的審計(jì)記錄系統(tǒng)日志應(yīng)用程序日志信息基于網(wǎng)絡(luò)的數(shù)據(jù)源其它數(shù)據(jù)源來自其它安全產(chǎn)品的數(shù)據(jù)源來自網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)源帶外數(shù)據(jù)源信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第18頁。安全審計(jì)的分析方法

基于規(guī)則庫的安全審計(jì)方法基于數(shù)理統(tǒng)計(jì)的安全審計(jì)方法基于日志數(shù)據(jù)挖掘的安全審計(jì)方法其它安全審計(jì)方法神經(jīng)網(wǎng)絡(luò)遺傳算法信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第19頁。信息安全審計(jì)與標(biāo)準(zhǔn)TCSES中的安全審計(jì)功能需求：TCSEC將系統(tǒng)定義為從高到低的A、B、C、D四類安全等級(jí)。A類安全等級(jí)只包含A1一個(gè)安全類別B類安全等級(jí)包括B1、B2、B3三個(gè)安全類別（其中安全等級(jí)要求強(qiáng)度的順序是B1<B2<B3）C類安全等級(jí)可劃分為C1和C2兩類（C1<C2）信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第20頁。信息安全審計(jì)與標(biāo)準(zhǔn)CC中的安全審計(jì)功能需求：CC標(biāo)準(zhǔn)基于安全功能與安全保證措施相獨(dú)立的觀念，在組織上分為基本概念、安全功能需求和安全保證需求三大部分。CC中，安全需求都以類、族、組件的層次結(jié)構(gòu)形式進(jìn)行定義。安全審計(jì)類有六個(gè)族（如圖所示），分別對(duì)審計(jì)記錄的選擇、生成、存儲(chǔ)、保護(hù)、分析以及相應(yīng)的入侵響應(yīng)等功能做出了不同程度的要求。信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第21頁。信息安全審計(jì)與標(biāo)準(zhǔn)信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第22頁。信息安全審計(jì)與標(biāo)準(zhǔn)GB17859對(duì)安全審計(jì)的要求：我國(guó)的信息安全國(guó)家標(biāo)準(zhǔn)GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》定義了五個(gè)安全等級(jí)，其中較高的四個(gè)級(jí)別都對(duì)審計(jì)提出了明確的要求。信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第23頁。信息安全審計(jì)與標(biāo)準(zhǔn)信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求：我國(guó)的國(guó)標(biāo)《GB/T20945-2007信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法》對(duì)信息安全審計(jì)產(chǎn)品提出了以下幾個(gè)方面的技術(shù)要求。安全審計(jì)產(chǎn)品分類安全功能要求自身安全要求性能要求保證要求信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第24頁。計(jì)算機(jī)取證計(jì)算機(jī)取證的發(fā)展歷程：美國(guó)是開展電子證據(jù)檢驗(yàn)和研究工作最早的國(guó)家之一。為了適應(yīng)當(dāng)前形勢(shì)，我國(guó)從1999年開始對(duì)電子證據(jù)檢驗(yàn)技術(shù)進(jìn)行研究，2001年開始開展電子證據(jù)檢驗(yàn)鑒定工作，目前已成功受理此類案件近30起。對(duì)計(jì)算機(jī)取證的技術(shù)研究、專門的工具軟件的開發(fā)以及相關(guān)商業(yè)服務(wù)出現(xiàn)的始自于90年代中后期。從近兩年的計(jì)算機(jī)安全技術(shù)論壇上看，計(jì)算機(jī)取證分析已成為當(dāng)前大家普遍關(guān)注的熱點(diǎn)問題。信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第25頁。計(jì)算機(jī)取證計(jì)算機(jī)取證的概念：計(jì)算機(jī)取證是對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計(jì)算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式，進(jìn)行識(shí)別、保存、分析和提交數(shù)字證據(jù)的過程。計(jì)算機(jī)取證遵循如下原則：盡早搜集證據(jù)，并保證其沒有受到任何破壞必須保證“證據(jù)連續(xù)性”整個(gè)檢查、取證過程必須是受到監(jiān)督的信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第26頁。計(jì)算機(jī)取證計(jì)算機(jī)取證流程：計(jì)算機(jī)取證的一般步驟由以下幾個(gè)部分組成，如圖所示信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第27頁。計(jì)算機(jī)取證計(jì)算機(jī)取證相關(guān)技術(shù)：依據(jù)計(jì)算機(jī)取證的過程，涉及到的相關(guān)技術(shù)大體如下：電子證據(jù)監(jiān)測(cè)技術(shù)物理證據(jù)獲取技術(shù)電子證據(jù)收集技術(shù)電子證據(jù)保全技術(shù)電子證據(jù)處理及鑒定技術(shù)電子證據(jù)提交技術(shù)信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第28頁。計(jì)算機(jī)取證計(jì)算機(jī)取證工具：計(jì)算機(jī)取證工具分類證據(jù)獲取工具證據(jù)保全工具證據(jù)分析工具證據(jù)歸檔工具信息系統(tǒng)安全審計(jì)全文共31頁，當(dāng)前為第29頁。本章小結(jié)：安全審計(jì)就是對(duì)系統(tǒng)安全的審核