《信息系統(tǒng)安全理論與技術(shù)》

第6章安全審計(jì)

本章內(nèi)容6.2Linux審計(jì)技術(shù)6.34A的綜合技術(shù)6.1審計(jì)系統(tǒng)大自然給我們的啟示從這個(gè)場景看，這里曾發(fā)生了什么？——審計(jì)分析系統(tǒng)運(yùn)行時(shí)留下的足跡來自UNIX系統(tǒng)的/var/log/messages日志文件系統(tǒng)運(yùn)行足跡的基本構(gòu)成6.1審計(jì)系統(tǒng)安全審計(jì)：對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查和審核主要目的：檢測和阻止非法用戶對(duì)計(jì)算機(jī)系統(tǒng)的入侵安全操作系統(tǒng)中必要的一項(xiàng)安全機(jī)制審計(jì)系統(tǒng)的設(shè)計(jì)方案安全操作系統(tǒng)標(biāo)識(shí)與認(rèn)證強(qiáng)制訪問控制安全審計(jì)審計(jì)機(jī)制在整個(gè)系統(tǒng)框架中起著重要作用，對(duì)其他內(nèi)核安全機(jī)制的實(shí)施情況進(jìn)行詳細(xì)記錄自主訪問控制最小權(quán)限管理隱蔽通道6.1審計(jì)系統(tǒng)審計(jì)系統(tǒng)的功能與組成審計(jì)系統(tǒng)需要三大功能模塊審計(jì)事件的收集及過濾功能模塊審計(jì)事件的記錄及日志管理功能模塊審計(jì)事件的分析及響應(yīng)報(bào)警功能模塊審計(jì)事件的收集：

一定安全級(jí)別審計(jì)事件標(biāo)準(zhǔn)下的

最小動(dòng)作單位確立審計(jì)事件收集過濾后得到的審計(jì)內(nèi)容記錄需要到審計(jì)日志中系統(tǒng)為每個(gè)用戶維持一個(gè)正常的規(guī)則庫，任何對(duì)系統(tǒng)的大量偏移都被視為是不正常的保證程序和代碼的安全

將審計(jì)數(shù)據(jù)的處理集成到安全內(nèi)核，使審計(jì)進(jìn)程的執(zhí)行不受外界影響，并嚴(yán)格遵循強(qiáng)制訪問控制和最小特權(quán)控制嚴(yán)格管理系統(tǒng)配置和審計(jì)數(shù)據(jù)的安全

審計(jì)文件在運(yùn)行的過程中生成，其安全級(jí)由審計(jì)進(jìn)程在創(chuàng)建文件時(shí)指定，并保障審計(jì)員的監(jiān)督機(jī)制可以使系統(tǒng)特權(quán)分離，將風(fēng)險(xiǎn)降到最低審計(jì)系統(tǒng)的安全與保護(hù)審計(jì)是安全操作系統(tǒng)的重要組成部分，它監(jiān)督著系統(tǒng)中各個(gè)安全機(jī)制的實(shí)施。如果審計(jì)系統(tǒng)自身的安全被突破，將會(huì)對(duì)系統(tǒng)安全造成很大影響6.1審計(jì)系統(tǒng)6.2Linux審計(jì)技術(shù)Linux審計(jì)系統(tǒng)的設(shè)計(jì)原理Linux是一個(gè)缺乏安全審計(jì)機(jī)制的操作系統(tǒng)，現(xiàn)有的審計(jì)機(jī)制是通過3個(gè)日志子系統(tǒng)實(shí)現(xiàn)系統(tǒng)日志記賬日志Linux審計(jì)信息的問題：數(shù)據(jù)不全、難以分析Linux系統(tǒng)安全審計(jì)的要求：獨(dú)立于應(yīng)用的方式進(jìn)行設(shè)計(jì)，并能獲取足夠充分的審計(jì)數(shù)據(jù)——只能在內(nèi)核級(jí)實(shí)現(xiàn)審計(jì)系統(tǒng)的實(shí)現(xiàn)涉及到Linux系統(tǒng)開發(fā)的關(guān)鍵技術(shù)LKM(LinuxKernelModule)應(yīng)用程序日志6.2Linux審計(jì)技術(shù)核心模塊實(shí)現(xiàn)：利用具有動(dòng)態(tài)擴(kuò)充內(nèi)核功能的LKM技術(shù)

系統(tǒng)根據(jù)需要對(duì)其動(dòng)態(tài)加載，加載后作為操作系統(tǒng)的一部分運(yùn)行在內(nèi)核空間中，不需

要時(shí)可卸載它。核心模塊的實(shí)現(xiàn)兩個(gè)基本函數(shù)：init_module()：模塊載入內(nèi)核時(shí)執(zhí)行cleanup_module()：模塊從內(nèi)核卸載時(shí)執(zhí)行審計(jì)數(shù)據(jù)的收集：系統(tǒng)調(diào)用截獲后，調(diào)用新處理函數(shù)處理相關(guān)信息并寫到緩沖區(qū)中，等待監(jiān)控程序來讀取6.2Linux審計(jì)技術(shù)守護(hù)進(jìn)程（Daemon）是一直在后臺(tái)運(yùn)行的進(jìn)程，通常在系統(tǒng)啟動(dòng)時(shí)執(zhí)行。利用守護(hù)進(jìn)程技術(shù)實(shí)現(xiàn)的審計(jì)監(jiān)控程序完成了從核心緩沖區(qū)中的proc文件系統(tǒng)中讀取審計(jì)信息，經(jīng)過處理后，寫入磁盤文件中。

審計(jì)監(jiān)控程序的實(shí)現(xiàn)proc文件系統(tǒng)是一個(gè)偽文件系統(tǒng)，只存于內(nèi)核中。它以文件系統(tǒng)的方式為訪問系統(tǒng)內(nèi)核數(shù)據(jù)的操作提供接口。6.2Linux審計(jì)技術(shù)一般情況下，用戶進(jìn)程不能寫入內(nèi)核空間，從內(nèi)核空間也不能訪問用戶空間。內(nèi)核空間：被映射到每個(gè)進(jìn)程的地址空間用戶空間：對(duì)每個(gè)進(jìn)程是局部的審計(jì)監(jiān)控進(jìn)程和審計(jì)核心進(jìn)程通過設(shè)備/proc/audit進(jìn)行通信。下一步方向提高審計(jì)系統(tǒng)的實(shí)時(shí)分析和自動(dòng)反應(yīng)能力將審計(jì)系統(tǒng)納入LSM(LinuxSecrityModule)架構(gòu)核心模塊與監(jiān)控進(jìn)程的通信6.2Linux審計(jì)技術(shù)審計(jì)系統(tǒng)需要三大功能模塊審計(jì)事件的收集及過濾功能模塊審計(jì)事件的記錄及日志管理功能模塊審計(jì)事件的分析及響應(yīng)報(bào)警功能模塊審計(jì)事件收集過濾后得到的審計(jì)內(nèi)容記錄需要到審計(jì)日志中系統(tǒng)為每個(gè)用戶維持一個(gè)正常的規(guī)則庫，任何對(duì)系統(tǒng)的大量偏移都被視為是異常的安全審計(jì)技術(shù)6.2Linux審計(jì)技術(shù)保證程序和代碼的安全

將審計(jì)數(shù)據(jù)的處理集成到安全內(nèi)核，使審計(jì)進(jìn)程的執(zhí)行不受外界影響，并嚴(yán)格遵循強(qiáng)制訪問控制和最小特權(quán)控制嚴(yán)格管理系統(tǒng)配置和審計(jì)數(shù)據(jù)的安全

審計(jì)文件在運(yùn)行的過程中生成，其安全級(jí)由審計(jì)進(jìn)程在創(chuàng)建文件時(shí)指定，并保障審計(jì)員的監(jiān)督機(jī)制可以使系統(tǒng)特權(quán)分離，將風(fēng)險(xiǎn)降到最低審計(jì)是安全操作系統(tǒng)的重要組成部分，它監(jiān)督著系統(tǒng)中各個(gè)安全機(jī)制的實(shí)施。如果審計(jì)系統(tǒng)自身的安全被突破，將會(huì)對(duì)系統(tǒng)安全造成很大影響審計(jì)系統(tǒng)保護(hù)措施：安全審計(jì)技術(shù)6.3常用syslog審計(jì)服務(wù)系統(tǒng)有四個(gè)主要部分構(gòu)成：syslogd日志處理守護(hù)進(jìn)程、配置文件、日志文件和syslog函數(shù)庫審計(jì)配置文件的結(jié)構(gòu)/etc/syslog.conf6.3常用syslog審計(jì)服務(wù)系統(tǒng)/etc/syslog.conf審計(jì)信息源審計(jì)事件緊迫級(jí)別審計(jì)事件產(chǎn)生者審計(jì)信息目的地審計(jì)配置文件的結(jié)構(gòu)6.3常用syslog審計(jì)服務(wù)系統(tǒng)審計(jì)事件的緊迫級(jí)別緊迫級(jí)別解釋emerg緊急：出現(xiàn)了緊急情況，例如系統(tǒng)即將崩潰，此類信息通常向所有用戶廣播。alert警告：發(fā)生了需要立刻改正的事情，例如，系統(tǒng)數(shù)據(jù)庫遭到破壞。crit關(guān)鍵：出現(xiàn)了關(guān)鍵問題，例如硬件出錯(cuò)。err出錯(cuò)：普通錯(cuò)誤信息，表示遇到了不正確的事情。warning提醒：遇到非常規(guī)情況。notice注意：遇到特殊事情，不是錯(cuò)誤，但可能要特殊處理。info通知：一般消息。debug提示：調(diào)試程序時(shí)使用的信息。6.3常用syslog審計(jì)服務(wù)系統(tǒng)審計(jì)事件的產(chǎn)生者主體類別解釋auth認(rèn)證進(jìn)程，即，要求用戶提供用戶名和口令的進(jìn)程，如login等。authpriv設(shè)計(jì)特權(quán)信息的認(rèn)證進(jìn)程。kern操作系統(tǒng)內(nèi)核。corn執(zhí)行周期性任務(wù)的cron守護(hù)進(jìn)程。daemon系統(tǒng)的其他守護(hù)進(jìn)程。mail電子郵件系統(tǒng)。ftpFTP文件傳輸系統(tǒng)。syslogsyslogd審計(jì)服務(wù)守護(hù)進(jìn)程。lpr打印系統(tǒng)。local0...local7留做系統(tǒng)定制用途，如Fedora系統(tǒng)用local7表示系統(tǒng)引導(dǎo)程序。mark每隔一定時(shí)間（如每20秒）發(fā)送一次消息的時(shí)間戳服務(wù)進(jìn)程。news網(wǎng)絡(luò)新聞系統(tǒng)（usenet等）。usr普通用戶進(jìn)程。6.3常用syslog審計(jì)服務(wù)系統(tǒng)審計(jì)配置信息示例6.3常用syslog審計(jì)服務(wù)系統(tǒng)目的地說明遠(yuǎn)程主機(jī)名所有用戶通過管道傳給進(jìn)程允許信息緩沖（不立刻寫日志）遠(yuǎn)程主機(jī)名6.3常用syslog審計(jì)服務(wù)系統(tǒng)信息源說明所有事件產(chǎn)生者有符號(hào)表示僅該級(jí)別，無符號(hào)表示該級(jí)別及以上。所有緊迫級(jí)別6.3常用syslog審計(jì)服務(wù)系統(tǒng)6.44A的綜合技術(shù)3A定義：通過賬戶（Account）、認(rèn)證（Authentication）和授權(quán)（Authorization）集成控制用戶在自己特定角色特點(diǎn)所遵循的原則下，對(duì)多個(gè)網(wǎng)絡(luò)及特定網(wǎng)絡(luò)下的某個(gè)平臺(tái)、某種應(yīng)用服務(wù)的訪問。4A在3A的基礎(chǔ)上增加了審計(jì)（Audit）功能。4A平臺(tái)的管理功能：集中賬號(hào)管理集中認(rèn)證管理集中授權(quán)管理集中審計(jì)管理6.44A的綜合技術(shù)RADIUS：遠(yuǎn)程用戶撥號(hào)認(rèn)證協(xié)議，具有以下屬性：基于客戶端/服務(wù)器的操作模式網(wǎng)絡(luò)安全認(rèn)證具有靈活性實(shí)用協(xié)議TACACS+：由終端訪問控制器訪問控制系統(tǒng)完善而成。與RADIUS有很多相同之處，主要存在以下差異：傳輸層協(xié)議：TACACS+利用傳輸控制協(xié)議（TCP）傳送，而RADIUS基于用戶數(shù)據(jù)報(bào)協(xié)議（UDP）包加密：TACACS+是整個(gè)包加密，而RADIUS只加密用戶口令認(rèn)證和授權(quán)：TACACS+允許認(rèn)證和授權(quán)獨(dú)立，而RADIUS是兩者集成使用6.44A的綜合技術(shù)賬號(hào)密碼維護(hù)的安全性約定：應(yīng)用資源的從賬號(hào)密碼應(yīng)與主賬號(hào)密碼保持同步當(dāng)4A系統(tǒng)正常時(shí)，用戶不應(yīng)在應(yīng)用資源側(cè)自行修改從賬號(hào)密碼對(duì)于多個(gè)主賬號(hào)對(duì)應(yīng)一個(gè)從賬號(hào)的情況，4A系統(tǒng)將不維護(hù)該從賬號(hào)的密碼，而由資源負(fù)責(zé)人自行維護(hù)賬號(hào)為了保證密碼的不可逆性，要求從賬號(hào)密碼統(tǒng)一采用哈希算法加密，之后以Base64編碼存儲(chǔ)。4A系統(tǒng)初始化時(shí)從應(yīng)用資源側(cè)同步從賬號(hào)到4A側(cè)，之后從賬號(hào)的增加、刪除、查詢、基本屬性的修改維護(hù)（不包含對(duì)從賬號(hào)的細(xì)粒度授權(quán)）統(tǒng)一在4A側(cè)操作。6.44A的綜合技術(shù)賬號(hào)：系統(tǒng)使用者的唯一的身份標(biāo)志。4A中賬號(hào)分為主賬號(hào)和從賬號(hào)，一個(gè)用戶只會(huì)有一個(gè)主賬號(hào)，唯一標(biāo)識(shí)了它的身份。根據(jù)應(yīng)用資源與4A系統(tǒng)集成規(guī)范，對(duì)賬戶密碼管理方式說明如下：應(yīng)用資源側(cè)應(yīng)做到一個(gè)自然人對(duì)應(yīng)一個(gè)主賬號(hào)，而不是一個(gè)主賬號(hào)由多個(gè)自然人共享，主賬號(hào)以UID作為自然人身份的唯一標(biāo)識(shí)。一個(gè)主賬號(hào)可對(duì)應(yīng)一個(gè)從賬號(hào)，也可同時(shí)對(duì)應(yīng)多個(gè)從賬號(hào)（每個(gè)從賬號(hào)對(duì)應(yīng)一個(gè)崗位或職務(wù)的權(quán)限）。如果一個(gè)主賬號(hào)在一個(gè)應(yīng)用資源內(nèi)有多個(gè)從賬號(hào)的話，用戶需要在登錄界面中選擇使用某一個(gè)從賬號(hào)進(jìn)行訪問。主賬號(hào)認(rèn)證方式由靜態(tài)口令認(rèn)證方式與動(dòng)態(tài)短信認(rèn)證方式或數(shù)字證書認(rèn)證方式組成。賬號(hào)身份認(rèn)證：證明某人或某對(duì)象身份的過程。通過用戶的識(shí)別屬性來判定它是否擁有進(jìn)入系統(tǒng)的權(quán)限。認(rèn)證技術(shù)的分類：基于實(shí)體間的關(guān)系基于認(rèn)證信息的性質(zhì)常用的認(rèn)證協(xié)議：NTLMKerberos證書授權(quán)（CertificateAuthority，CA）PGP認(rèn)證基于認(rèn)證對(duì)象的分類基于雙方的信任關(guān)系6.44A的綜合技術(shù)Kerberos安全協(xié)議由美國麻省理工學(xué)院研究人員設(shè)計(jì)，是國內(nèi)外應(yīng)用較廣、協(xié)議體系較為成熟的安全認(rèn)證協(xié)議之一。Kerberos系統(tǒng)：Kerberos密鑰分發(fā)中心（KeyDistributionCenter，KDC）客戶端服務(wù)器KDC由3個(gè)組件組成：Kerberos數(shù)據(jù)庫認(rèn)證服務(wù)（AS）票證授予服務(wù)（TGS）認(rèn)證6.44A的綜合技術(shù)4A系統(tǒng)的認(rèn)證中心通常采用一種多層次的分級(jí)結(jié)構(gòu)，各級(jí)的認(rèn)證中心類似于各級(jí)行政機(jī)關(guān)，上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書，最下一級(jí)的認(rèn)證中心直接面向最終用戶。處在最高層的是認(rèn)證根中心（RootCA）。認(rèn)證對(duì)CA的主要威脅：CA私有密鑰的保存攻擊者對(duì)保存CA私有密鑰的設(shè)備使用逆向工程進(jìn)行分析攻擊者試圖從CA公開密鑰中計(jì)算出私有密鑰過期密鑰問題攻擊者冒名申請(qǐng)證書6.44A的綜合技術(shù)授權(quán)：決定該用戶訪問網(wǎng)絡(luò)的權(quán)限范圍及享有何種服務(wù)。授權(quán)訪問控制的實(shí)現(xiàn)機(jī)制主要包括：訪問控制表（ACL）：訪問控制表可以為細(xì)粒度的訪問控制提供較好的支持。利用ACL機(jī)制，針對(duì)給定的一個(gè)文件，可以為任意個(gè)數(shù)的用戶分配相互獨(dú)立的訪問權(quán)限。能力關(guān)系表：能力關(guān)系表是以用戶為中心建立訪問權(quán)限表。與ACL相反，表中規(guī)定了該用戶可訪問的文件名及權(quán)限，利用此表可方便地查詢一個(gè)主體的所有授權(quán)。授權(quán)關(guān)系表：授權(quán)關(guān)系表的每行表示了主體和客體的一個(gè)授權(quán)關(guān)系。對(duì)表按客體進(jìn)行排序，可以得到訪問控制表的優(yōu)勢；對(duì)表按主體進(jìn)行排序，可以得到訪問能力表的優(yōu)勢。6.44A的綜合技術(shù)新型授權(quán)技術(shù)：SAML技術(shù)框架：安全聲明標(biāo)記語言（SecurityAssertionMarkupLanguage，SAML）技術(shù)是基于可擴(kuò)展標(biāo)記語言（EXtensibleMarkupLanguage，XML）的安全訪問控制框架體系和協(xié)議。XACML技術(shù)：可擴(kuò)展訪問控制標(biāo)記語言（eXtensibleAccessControlMarkupLanguage，XACML）是可以描述及適用通過Internet訪問信息的控制策略的標(biāo)記語言。XML/SOAP技術(shù)：簡單對(duì)象訪問協(xié)議（SimpleObjectAccessProtocol，SOAP）用XML來包裝程序的請(qǐng)求和響應(yīng)。PMI/AA：權(quán)限管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施（PrivilegeManagementInfrastructure，PMI）是屬性證書、屬性中心、屬性證書庫等部件的集合體，用來實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)、撤銷等功能。6.44A的綜合技術(shù)授權(quán)審計(jì)：是對(duì)登錄、訪問等所有的動(dòng)作記錄日志，查看是否有不合規(guī)的事件，是提供收集用戶訪問信息資源過程的方法。6.44A的綜合技術(shù)審計(jì)審計(jì)的主要內(nèi)容：網(wǎng)絡(luò)通信系統(tǒng)重要服務(wù)器主機(jī)操作系統(tǒng)重要服務(wù)器主機(jī)應(yīng)用平臺(tái)軟件重要數(shù)據(jù)庫操作的審計(jì)重要網(wǎng)絡(luò)區(qū)域的客戶機(jī)單點(diǎn)登錄技術(shù)：一次登錄（SingleSignOn，SSO）用于在企業(yè)網(wǎng)絡(luò)用戶訪問企業(yè)網(wǎng)站時(shí)作一次身份認(rèn)證，隨后就可以對(duì)所有被授權(quán)的網(wǎng)絡(luò)資源進(jìn)行無縫訪問。6.44A的綜合技術(shù)4A的應(yīng)用以前的用戶登錄模式：用戶使用任何一個(gè)企業(yè)應(yīng)用都需要進(jìn)行身份認(rèn)證，且每次使用的認(rèn)證信息（用戶名和密碼）不能保證一致。系統(tǒng)管理員需要對(duì)每個(gè)系統(tǒng)設(shè)置一種單獨(dú)的安全策略，而且需要為每個(gè)系統(tǒng)中的用戶單