1. 安全审计

安全审计 (Security Audit)是记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,并帮助分析安全事故产生的原因。

安全审计是信息安全保障系统中的一个重要组成部分,是落实系统安全策略的重要机制和手段,通过安全审计,识别与防止计算机网络系统内的攻击行为,追查计算机网络系统内的泄密行为。安全审计具体包括两方面的内容。

(1)采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应 (如报警)并进行阻断。

(2)对信息内容和业务流程进行审计,可以防止内部机密或敏感信息的非法泄漏和 单位资产的流失。

安全审计系统采用数据挖掘和数据仓库技术,对历史数据进行分析、处理和追踪, 实现在不同网络环境中终端对终端的监控和管理,必要时通过多种途径向管理员发出警告或自动采取排错措施。因此信息安全审计系统被形象地比喻为“黑匣子”和“监护神”。

(1)信息安全审计系统就是业务应用信息系统的“黑匣子”。即使在整个系统遭到 灭顶之灾的破坏后, “黑匣子”也能安然无恙,并确切记录破坏系统的各种痕迹和“现 场记录”。

(2)信息安全审计系统就是业务应用信息系统的“监护神”,随时对一切现行的犯 罪行为、违法行为进行监视、追踪、抓捕,同时对暗藏的、隐患的犯罪倾向、违法迹象 进行“堵漏”、铲除。

安全审计系统属于安全管理类产品。安全审计产品主要包括主机类、网络类及数据库类和业务应用系统级的审计产品。各类安全审计系统可在日常运行、维护中,对整个计算机网络应用系统的安全进行主动分析及综合审计。

2. 安全审计的作用

一个安全审计系统,主要有以下作用。

(1)对潜在的攻击者起到震慑或警告作用。

(2)对于已经发生的系统破坏行为提供有效的追究证据。

(3)为系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时 发现系统入侵行为或潜在的系统漏洞。

(4)为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统 性能上的不足或需要改进与加强的地方。

网络安全审计的具体内容如下。

(1)监控网络内部的用户活动。

(2)侦察系统中存在的潜在威胁。

(3)对日常运行状况的统计和分析。

(4)对突发案件和异常事件的事后分析。

(5)辅助侦破和取证。3. 安全审计功能

CC (Common Criteria ISO/IEC 17859)标准将安全审计功能分为6个部分:安全 审计自动响应功能;安全审计自动生成功能;安全审计分析功能;安全审计浏览功能;

安全审计事件选择功能;安全审计事件存储功能。

1)安全审计自动响应功能

安全审计自动响应 (AU APR) 定义在被测事件指示出一个潜在的安全攻击时做出 的响应,它是管理审计事件的需要,这些需要包括报警或行动。例如包括实时报警的生 成、违例进程的终止、中断服务、用户账号的失效等。根据审计事件的不同,系统将做 出不同的响应,其响应的行动可做增加、删除、修改等操作。

2)安全审计数据生成功能

安全审计数据生成 (AU GEN) 功能要求记录与安全相关的事件的出现,包括鉴别 审计层次、列举可被审计的事件类型,以及鉴别由各种审计记录类型提供的相关审计信 息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如 低级、中级、高级。产生的审计数据有以下几方面。

(1)对于敏感数据项(如口令等)的访问。

(2)目标对象的删除。

(3)访问权限或能力的授予和废除。

(4)改变主体或目标的安全属性。

(5)标识定义和用户授权认证功能的使用。

(6)审计动能的启动和关闭。

每一条审计记录中至少应所含的信息有:事件发生的日期、时间、事件类型、主题标识、执行结果(成功、失败)、引起此事件的用户的标识以及对每一个审计事件与该 事件有关的审计信息。

3)安全审计分析功能

安全审计分析 (AU SAA) 功能定义了分析系统活动和审计数据来寻找可能的或真 正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集 出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能 够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模 板的异常检测、简单攻击试探和复杂攻击试探等几种类型。

(1)潜在攻击分析。系统能用一系列的规则监控审计事件,并根据规则指示系统的 潜在攻击。

(2)基于模板的异常检测。检测系统不同等级用户的行动记录,当用户的活动等级 超过其限定的登记时,应指示出此为一个潜在的攻击。

(3)简单攻击试探。当发现一个系统事件与一个表示对系统潜在攻击的特征事件匹 配时,应指示出此为一个潜在的攻击。

(4)复杂攻击试探。当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的特征事件匹配时,应指示出此为一个潜在的攻击。

4)安全审计浏览功能

安全审计浏览 (AU SAR) 功能要求审计系统能够使授权的用户有效地浏览审计数 据,它包括审计浏览、有限审计浏览、可选审计浏览。

(1)审计浏览。提供从审计记录中读取信息的服务。

(2)有限审计浏览。要求除注册用户外,其他用户不能读取信息。

(3)可选审计信息。要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。

5)安全审计事件选择功能

安全审计事件选择 (AU SEL) 功能要求系统管理员能够维护、检查或修改审计事 件的集合,能够选择对哪些安全属性进行审计。例如,与目标标识、用户标识、主体标 识、主机标识或事件类型有关的属性,系统管理员将能够有选择地在个人识别的基础上 审计任何一个用户或多个用户的动作。

6)安全审计事件存储功能

安全审计事件存储 (AU STG) 功能要求审计系统将提供控制措施;以防止由于资 源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护 其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行的访问。 它可保证某个指定量度的审计记录被维护,并不受以下事件的影响。

(1)审计存储空间用尽。

(2)审计存储故障。

(3)非法攻击。

(4)其他任何非预期事件。

审计系统能够在审计存储发生故障时采取相应的动作,能够在审计存储即将用尽时采取相应的动作。