当前位置:文档之家 › 网络安全理论与技术15-安全审计

网络安全理论与技术15-安全审计

  • 格式:ppt
  • 大小:1002.00 KB
  • 文档页数:63

下载文档原格式

  / 63

合集下载

什么是计算机网络安全审计请介绍几种常见的安全审计技术

什么是计算机网络安全审计请介绍几种常见的安全审计技术

什么是计算机网络安全审计请介绍几种常见的安全审计技术什么是计算机网络安全审计?请介绍几种常见的安全审计技术计算机网络安全审计,是指对计算机网络中的系统、设备、应用程序和数据进行系统性的检查、监测和评估,以确定其安全性和合规性,并提供相应的安全建议和改进措施。

通过网络安全审计,能够及时发现网络安全风险,确定潜在的安全隐患,并加以处理和修复,以保障网络系统的安全和稳定运行。

在计算机网络安全审计过程中,常见的安全审计技术包括以下几种:1. 日志分析技术日志是记录系统和网络活动的重要数据源,通过对日志进行分析可以了解系统的运行状况和异常行为,从而发现可能的安全问题。

日志分析技术能够对日志文件进行收集、过滤、存储和分析,通过识别异常行为、攻击行为、漏洞利用等,及时做出相应的应对措施。

2. 脆弱性扫描技术脆弱性扫描是指对计算机网络中的系统和应用程序进行主动扫描,以发现可能存在的安全漏洞和弱点。

通过扫描技术,能够自动检测系统配置错误、未修补的漏洞、不安全的访问控制等问题,帮助管理员及时发现和修复潜在的安全风险。

3. 漏洞评估技术漏洞评估是指对计算机网络中的系统和应用程序进行全面的安全评估和测试,以发现可能存在的安全漏洞,并提供相应的修复建议。

漏洞评估技术包括主动扫描、渗透测试、代码审计等多种方法,通过模拟攻击和漏洞利用,发现系统中隐藏的漏洞,为安全防护提供有力支持。

4. 流量监测与分析技术流量监测与分析技术是指对网络通信流量进行实时的监控和分析,以发现异常流量、恶意行为和网络攻击。

通过对网络流量进行抓包、解码和分析,可以及时发现网络中的异常情况,并采取相应的防护和响应措施,保障网络的安全性。

5. 安全策略评估技术安全策略评估是指对计算机网络中的安全策略和规则进行全面的评估和审查,以确定其合理性和有效性。

通过对网络安全策略的检查和测试,可以发现潜在的安全隐患和不合规问题,并提供相应的修复建议,加强网络的安全防护能力。

网络安全审计与风险评估

网络安全审计与风险评估

网络安全审计与风险评估网络安全对于现代社会已经变得越来越重要,因为在大多数情况下,我们将银行账户、社交媒体账户、甚至我们的健康数据等个人信息都存储在一些网站或应用程序上。

就如同我们平时保管自己的钱财一样,我们需要确保我们的网络上的数据是安全的。

因此,网络安全审计和风险评估成为了确保网络安全的重要手段。

首先,让我们了解一下什么是网络安全审计。

网络安全审计是一项针对网络和系统的安全性和防范漏洞行为的体系和标准化过程。

这个过程旨在检查网络和系统以及与之相关的流程是否安全并符合相关的安全标准。

网络安全审计主要分为两种:主机安全审计和网络安全审计。

主机安全审计主要是针对某个特定的主机进行安全检查,主要检查主机上安装、配置、管理等方面的安全隐患和漏洞问题。

主机安全审计是通过扫描工具等方式进行进行评估,主要评估主机的安全性、弱点检测、漏洞扫描、入侵检测等方面的安全问题。

网络安全审计是针对整个网络系统进行的安全审计,通常包括网络架构、网络拓扑、数据传输方式、网络通信等多个方面。

网络安全审计在评估网络的安全问题时,会根据具体的情况采用不同的方法,包括行为学检测、静态和动态漏洞扫描等。

此外,风险评估是网络安全中另一个重要的方面。

风险评估是一项针对网络安全风险的识别和评估,是通过对网络安全劣势的分析以及对网络环境等因素的排查来确定系统在网络对抗中的优势和劣势。

这种分析有助于识别对企业有风险的活动,并在事前发现风险并不断地对其进行评估,以防止网络安全问题的发生。

网络安全风险评估有助于确定网络安全措施的优先级和改善方向,以保护公司的资源并降低安全风险。

传统的风险评估包括以下步骤:确定资产、评估威胁、确定监测的安全控件和评估风险的影响和可能性。

其中资产的确定是风险评估中最关键的一步,在这个阶段,企业可以识别并确定网络环境中的所有电子资产,如服务器、工作站、移动设备、数据库、应用程序等。

在确定了企业的资产后,风险评估将执行威胁评估,以识别来自内部和外部的威胁并确定其级别。

网络安全审计技术

网络安全审计技术

网络安全审计技术网络安全审计技术是指对网络系统和资源进行全面、系统的检查、评估和分析的一种手段。

它通过收集网络数据,分析网络行为,发现网络安全威胁和漏洞,从而及时采取有效的措施以确保网络安全。

以下将介绍一些常见的网络安全审计技术。

首先,网络流量分析是一种重要的网络安全审计技术。

通过检查网络流量,可以了解网络中的通信状况,发现是否存在未经授权的访问或异常流量。

常见的网络流量分析技术包括入侵检测系统(IDS)和入侵防御系统(IPS)的日志分析、网络包分析和流量分析工具等。

其次,漏洞扫描是一种常用的网络安全审计技术。

通过扫描网络系统和应用程序的漏洞,可以发现存在的安全风险和漏洞,从而及时修补或采取其他措施加以防范。

常见的漏洞扫描技术包括主机漏洞扫描、应用程序漏洞扫描和Web应用程序漏洞扫描等。

此外,网络日志分析也是一种常见的网络安全审计技术。

通过对网络日志的分析,可以了解网络系统的使用情况,监控系统操作和事件,以及发现潜在风险和异常行为。

常见的网络日志分析技术包括安全信息和事件管理(SIEM)系统、操作系统日志分析和网络设备日志分析等。

最后,安全审计是一种综合的网络安全审计技术。

通过对网络系统、应用程序和操作行为等进行全面的审计和检查,可以发现潜在的安全隐患和违规行为,从而及时采取措施进行修复和监控。

常见的安全审计技术包括登录审计、系统权限审计和操作行为审计等。

综上所述,网络安全审计技术是一种非常重要的保障网络安全的手段。

通过网络流量分析、漏洞扫描、日志分析和安全审计等技术,可以及时发现网络安全威胁和漏洞,并采取相应的措施进行防范和修复,从而确保网络系统和资源的安全。

网络安全审计

网络安全审计
(1)潜在威胁分析。日志分析系统可以根据安全策略规则监控审计事件,检测并发现潜在的入侵行为。
审计跟踪
审计跟踪
审计跟踪的概念及意义 审计跟踪(Audit Trail)指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。审计跟踪主 要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不 当等方面。 审计跟踪作为一种安全机制,主要审计目标是: (1)审计系统记录有利于迅速发现系统问题,及时处理事故,保障系统运行。 (2)可发现试图绕过保护机制的入侵行为或其他操作。 (3)能够发现用户的访问权限转移行为。 (4)制止用户企图绕过系统保护机制的操作事件。 审计跟踪是提高系统安全性的重要工具。安全审计跟踪的意义在于: (1)利用系统的保护机制和策略,及时发现并解决系统问题,审计客户行为。在电子商务中,利用审计跟 踪记录客户活动。包括登入、购物、付账、送货和售后服务等。可用于可能产生的商业纠纷。
安全审计的记录机制
对于各种络系统应采用不同的记录日志机制。日志的记录方式有3种:由操作系统完成,也可以由应用系统 或其他专用记录系统完成。大部分情况都采用系统调用Syslog方式记录日志,少部分采用SNMP记录。其中, Syslog记录机制主要由守护程序、规则集及系统调用3部分组成。
日志分析
日志分析的主要目的是在大量的记录日志信息中找到与系统安全相关的数据,并分析系统运行情况。主要任 务包括:
《互联安全保护技术措施规定》(公安部令第82号)已经2005年11月23日公安部部长办公会议通过,2005 年12月1号发布,自2006年3月1日起施行 。82号令推出之后,络安全审计系统成为各互联提供者必须配备的设 施,规定中所称互联服务提供者,是指向用户提供互联接入服务、互联数据中心服务、互联信息服务和互联上服 务的单位。

信息安全的网络安全审计

信息安全的网络安全审计

信息安全的网络安全审计信息安全是当今社会互联网时代中的重要议题,正如人们越来越依赖互联网进行各种活动,网络安全的保障变得尤为关键。

在保护个人隐私、企业机密以及国家安全方面,网络安全审计扮演着重要的角色。

本文将重点探讨信息安全的网络安全审计。

一、网络安全审计的定义与目的网络安全审计,是指对计算机系统、网络设备和网络应用进行全面评估和监测的过程。

它旨在确保系统和网络操作的合规性、机密性、完整性和可用性。

网络安全审计通过识别潜在的安全风险和漏洞,并提供解决方案和建议,以确保网络安全。

网络安全审计的目的有以下几个方面:1. 发现和预防潜在的安全漏洞和威胁,包括恶意软件、黑客攻击以及数据泄露等。

2. 确保系统和网络操作符合行业标准和法规要求,例如GDPR(通用数据保护条例)。

3. 评估网络安全策略的有效性,并提供改进建议。

4. 监测关键数据的传输和存储,以防止数据丢失和篡改。

以上目的使得网络安全审计在保护个人隐私、商业机密和国家安全等方面具有重要作用。

二、网络安全审计的要点和方法网络安全审计需要涵盖以下几个重要要点:1. 系统与网络配置审计审计网络设备、防火墙、服务器和硬件设施等方面,以确保其配置符合安全要求,并寻找潜在的安全隐患。

2. 用户访问审计审计用户、员工和管理员对系统和网络资源的访问,确保其权限正确分配,并识别潜在的异常操作。

3. 安全策略和控制审计审计网络安全策略的实施和有效性,检查网络访问控制、身份验证和加密等措施是否得当。

4. 数据传输和存储审计审计数据传输过程中的加密和完整性保护,以及数据存储过程中的访问控制和备份等措施。

实施网络安全审计可以采用以下几种常见的方法:1. 安全检查:对系统和网络进行常规检查,识别可能存在的漏洞和风险,并进行修复和加固。

2. 安全漏洞扫描:利用安全工具对系统和网络进行扫描,检查是否存在已知的安全漏洞,并及时采取措施解决。

3. 日志审计:对系统和网络生成的日志进行分析,发现潜在的异常行为和入侵尝试。

网络安全审计

网络安全审计

网络安全审计网络安全审计是指对网络系统、设备和应用进行全面的检查和评估,以发现和修复潜在的安全漏洞和风险。

网络安全审计的目的是确保网络环境的安全性和可靠性,防止潜在的威胁和攻击。

一、网络安全审计的重要性网络安全审计在今天的信息时代非常重要。

随着互联网的快速发展和普及,网络攻击、数据泄露和黑客入侵等安全风险也日益增加。

网络安全审计可以及时发现并修复网络系统的漏洞和隐患,确保网络的安全和可靠性。

二、网络安全审计的基本步骤1. 定义审计目标和范围:确定审计的具体目的和区域,明确需要审计的网络系统、设备和应用。

2. 收集信息:收集相关的网络信息,包括网络拓扑结构、设备配置、应用程序和用户访问信息等。

3. 进行风险评估:对网络系统进行全面的风险评估,评估各种潜在的安全威胁和漏洞。

4. 漏洞扫描和检测:利用专业的安全审计工具对网络系统进行漏洞扫描和检测,发现潜在的安全漏洞和漏洞。

5. 漏洞分析和修复:对发现的安全漏洞进行详细的分析,并制定相应的修复措施和计划。

6. 安全策略和政策制定:根据审计结果,制定和完善网络安全策略和政策,确保网络的安全和稳定。

7. 监控和检查:对网络系统的安全状态进行实时监控和检查,及时发现并处理安全事件和漏洞。

三、网络安全审计的挑战和解决方案网络安全审计面临着诸多挑战,如复杂的网络环境、各种安全攻击手段和技术、以及网络系统的更新和变化等。

为了应对这些挑战,需要采取一系列有效的解决方案。

1. 引入专业的安全审计工具和技术:利用先进的安全审计工具和技术,对网络系统进行全面的检查和评估,提高审计的效率和准确性。

2. 加强网络安全教育和培训:提高网络管理员和用户的网络安全意识,教育和培训他们正确的安全操作和管理方法,减少安全漏洞的发生。

3. 定期进行网络安全审计:定期对网络系统进行安全审计,及时发现并修复潜在的安全隐患和漏洞。

4. 建立完善的网络安全管理体系:建立科学的网络安全管理体系,包括安全策略和政策、安全培训和教育、安全漏洞管理和应急响应等。

计算机网络安全复习题

计算机网络安全复习题2009年网络信息安全复习题一、单项选择题1. 身份认证的主要目标包括:确保交易者是交易者本人、避免与超过权限的交易者进行交易和_______。

(A) 可信性 (B) 访问控制(C) 完整性 (D) 保密性2. 目前最安全的身份认证机制是_______。

(A) 一次口令机制 (B) 双因素法(C) 基于智能卡的用户身份认证 (D) 身份认证的单因素法3. 下列是利用身份认证的双因素法的是_______。

(A) 电话卡 (B) 交通卡 (C) 校园饭卡 (D) 银行卡4. 下列环节中无法实现信息加密的是_______。

(A) 链路加密 (B) 上传加密 (C) 节点加密 (D) 端到端加密5. 基于私有密钥体制的信息认证方法采用的算法是_______。

(A) 素数检测 (B) 非对称算法 (C) RSA算法(D) 对称加密算法6. RSA算法建立的理论基础是_______。

(A) DES (B) 替代相组合 (C) 大数分解和素数检测 (D) 哈希函数7. 防止他人对传输的文件进行破坏需要 _______。

(A) 数字签字及验证 (B) 对文件进行加密(C) 身份认证 (D) 时间戳8. 下面的机构如果都是认证中心,你认为可以作为资信认证的是_______。

(A) 国家工商局 (B) 著名企业 (C) 商务部 (D) 人民银行9. 属于黑客入侵的常用手段_______。

(A) 口令设置 (B) 邮件群发 (C) 窃取情报 (D) IP欺骗10. 我国电子商务立法目前所处的阶段是_______。

(A) 已有《电子商务示范法》 (B) 已有多部独立的电子商务法(C) 成熟的电子商务法体系(D) 还没有独立的电子商务法11、计算机网络的体系结构是指()。

A、网络数据交换的标准B、网络的协议C、网络层次结构与各层协议的集合D、网络的层次结构12、OSI网络安全体系结构参考模型中增设的内容不包括()。

网络安全审计技术

网络安全审计技术
网络安全审计技术是一种对网络系统和设备的安全性进行评估和检测的方法,通过对网络设备、服务器、操作系统、应用软件等进行全面的分析和审查,发现网络系统中存在的潜在风险和漏洞,并提供针对性的改进措施和建议。

网络安全审计技术主要包括以下几个方面:
1. 漏洞扫描:通过自动化的扫描工具对网络设备、服务器以及应用程序等进行全面的扫描,识别出其中存在的漏洞和弱点。

2. 审计日志分析:审计日志是系统和应用程序所产生的各种操作记录,通过对这些记录进行分析,可以发现系统中可能存在的潜在风险和异常行为。

3. 弱口令检测:弱口令是指密码设置过于简单、容易猜测或者常用于多个账户的密码,通过对系统和应用程序的用户账户密码进行检测,找出存在弱口令风险的账户。

4. 流量监测和入侵检测:通过监测网络流量和入侵行为,及时发现和阻止网络攻击,保护系统的安全性。

5. 安全策略评估:对网络安全策略进行评估和审计,确保策略的合理性和有效性。

6. 安全配置审计:对系统和网络设备的安全配置进行审计,排查配置错误和不安全的设置,避免潜在风险的存在。

7. 恶意代码分析:通过对系统和应用程序中发现的恶意代码进行分析,识别出其中的威胁和风险,并提供相应的解决方案。

通过以上网络安全审计技术的应用,可以有效提升网络系统的安全性,及时发现和解决存在的风险和漏洞,保护网络系统的正常运行和用户信息的安全。

网络安全审计

网络安全审计网络安全审计是对企业或组织网络系统进行全面检查的一种工作。

随着信息技术的发展和互联网的普及,网络安全问题越来越受到重视。

网络安全审计可以发现网络系统中的潜在风险和漏洞,为企业提供有效的安全保障。

首先,网络安全审计需要对网络系统的基础设施进行评估。

这包括审查网络拓扑结构、网络设备配置、防火墙设置等,以确保网络系统的安全性。

同时,对网络通信进行分析,检测是否存在非法入侵、内部攻击等网络安全威胁。

其次,网络安全审计还需要从技术角度对网络系统进行评估。

这包括对网络设备的配置、安全策略、漏洞扫描等方面进行检查,以发现潜在的安全风险。

此外,可以利用安全评估工具对网络系统进行渗透测试,模拟攻击行为,以检测系统的防御能力。

另外,网络安全审计还需要对网络管理过程进行评估。

这包括审查企业的网络安全政策和规范、人员岗位分工、安全培训等方面,以确保网络系统的管理与运维能够满足安全要求。

此外,还需要审查企业的备份与恢复机制,以防止数据丢失和系统瘫痪。

最后,网络安全审计需要对审计结果进行整理和分析,并提出改进建议。

根据发现的问题和风险,制定相应的安全措施和控制措施,提升网络系统的安全性。

同时,还需要建立网络安全监控和事件响应机制,及时发现和处置安全事件。

总之,网络安全审计是企业保障网络系统安全的重要环节。

通过对网络基础设施、技术配置和管理流程进行评估,识别潜在的安全风险,并采取相应的措施进行改进,提升网络系统的安全性。

网络安全审计不仅可以保护企业的商业机密和重要数据,还可以避免因网络攻击而造成的经济损失和声誉风险。

因此,企业应该高度重视网络安全审计,并定期进行。

网络安全审计与监控考试

网络安全审计与监控考试(答案见尾页)一、选择题1. 网络安全审计与监控的主要目的是什么?A. 保护网络系统的机密性B. 维护网络系统的完整性C. 预防网络攻击D. 提高网络系统的可用性2. 在进行网络安全审计时,通常会使用哪种工具?A. 漏洞扫描工具B. 入侵检测系统C. 虚拟专用网络(VPN)D. 渗透测试工具3. 以下哪个选项是网络安全审计与监控系统的一部分?A. 入侵检测系统B. 防火墙C. 身份认证系统D. 安全信息和事件管理(SIEM)系统4. 在网络安全审计中,如何识别和分类日志信息?A. 根据日志来源进行分类B. 根据日志内容进行分类C. 根据日志时间戳进行分类D. 根据日志级别进行分类5. 什么是网络流量分析?它在网络安全审计中的作用是什么?A. 网络流量分析是一种技术,用于分析和记录通过网络的网络流量。

B. 它可以帮助识别异常流量和潜在的安全威胁。

C. 它可以用来优化网络性能。

D. 它是网络安全审计的核心组成部分。

6. 在网络安全审计中,如何确保数据的完整性和可靠性?A. 使用加密技术B. 实施严格的访问控制策略C. 进行定期备份和恢复测试D. 使用日志和监控工具7. 什么是入侵检测系统(IDS)?它与入侵防御系统(IPS)有什么不同?A. IDS主要用于检测和报告网络中的异常行为,而IPS用于阻止这些行为。

B. IDS专注于识别和分类网络攻击,而IPS执行实时防护。

C. IDS只能被动地工作,而IPS可以主动防御。

D. IDS和IPS在功能上是完全相同的。

8. 在网络安全审计中,如何处理发现的漏洞?A. 立即修复所有发现的漏洞。

B. 与相关团队合作,制定合适的修复方案。

C. 对漏洞进行优先级排序,先处理高风险漏洞。

D. 通知所有相关的利益相关者。

9. 什么是安全信息和事件管理(SIEM)?它在网络安全审计中的作用是什么?A. SIEM是一种集中式的日志管理和分析系统。

B. 它可以帮助实时监控和分析网络中的安全事件。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

安全审计事件选择
系统能够维护、检查或修改审计事件的 集合,能够选择对哪些安全属性进行审 计,例如:与目标标识、用户标识、主 体标识、主机标识或事件类型有关的属 性。 系统管理员将能够有选择地在个人识别 的基础上审计任何一个用户或多个用的 动作。
安全审计事件存储
系统将提供控制措施以防止由于资源的 不可用丢失审计数据。 能够创造、维护、访问它所保护的对象 的审计踪迹,并保护其不被修改、非授 权访问或破坏。 审计数据将受到保护直至授权用户对它 进行的访问。
每一条审计记录中至少应所含 以下信息:
事件发生的日期、时间、事件类型、主 题标识、执行结果(成功、失败) 、引 起此事件的用户的标识以及对每一个审 计事件与该事件有关的审计信息。
安全审计分析
此部分功能定义了分析系统活动和审计数据来 寻找可能的或真正的安全违规操作。 它可以用于入侵检测或对安全违规的自动响应。 当一个审计事件集出现或累计出现一定次数时 可以确定一个违规的发生,并执行审计分析。 事件的集合能够由经授权的用户进行增加、修 改或删除等操作。
安全审计系统的必要性(续)
因此在一个安全网络系统中的安全审计功能是必不可 少的一部分。 网络安全审计系统能帮助我们
? 对网络安全进行实时监控, ? 及时发现整个网络上的动态, ? 发现网络入侵和违规行为, ? 忠实记录网络上发生的一切, ? 提供取证手段。
它是保证网络安全十分重要的一种手段。
CC标准中的网络安全审计功能定义
网络安全审计的概念就是在这样的需求下被提出 的,它相当于飞机上使用的“黑匣子”。
安全审计系统的必要性(续)
在TCSEC和CC等安全认证体系中,网络安全审计的功能 都是放在首要位置的,它是评判一个系统是否真正安 全的重要尺码。
? TCSEC标准是计算机系统安全评估的第一个正式标准,具有划 时代的意义。该准则于1970年由美国国防科学委员会提出, 并于1985年12月由美国国防部公布。主要关注于保密性,不 关注可用性和完整性。
? 欧洲四国(英、法、德、荷)提出了评价满足保密性、完整 性、可用性要求的信息技术安全评价准则(ITSEC)后,美国 又联合以上诸国和加拿大,并会同国际标准化组织(ISO)共 同提出信息技术安全评价的通用准则(CC for ITSEC),CC已 经被五技术发达的国家承认为代替TCSEC的评价安全信息系统 的标准。目前,CC已经被采纳为国际标准ISO 15408。
在这个标准中对网络审计定义了一套完整的功能,有: 安全审计自动响应、安全审计数据生成、安全审计分 析、安全审计浏览、安全审计事件存储、安全审计事 件选择等。
安全审计自动响应
安全审计自动响应定义在被测事件指示出一个 潜在的安全攻击时作出的响应, 它是管理审计事件的需要,这些需要包括报警 或行动,例如包括实时报警的生成、违例进程 的终止、中断服务、用户帐号的失效等。 根据审计事件的不同系统将作出不同的响应。 其响应方式可作增加、删除、修改等操作。
网络安全审计包括识别、记录、存储、分析与安全相 关行为有关的信息。
? 1996 年六国七方签署了《信息技术安全评估通用准则》即 CC1.0。 1998 年美国、英国、加拿大、法国和德国共同签署 了【信息技术安全性评估通用准则2.0版】(即 CC2.0)。 1999 年成为国际标准 ISO/IEC 15408,我国于 2001 年等同 采用为 GB/T 18336。目前它已被广泛地用于评估一个系统的 安全性。
安全审计数据生成
该功能要求记录与安全相关事件的出现, 包括鉴别审计层次、列举可被审计的事 件类型、以及鉴别由各种审计记录类型 提供的相关审计信息的最小集合。 系统可定义可审计事件清单,每个可审 计事件对应于某个事件级别,如低级、 中级、高级。
产生的审计数据有以下几方面
对于敏感数据项(例如,口令通行字等) 的访问 目标对象的删除 访问权限或能力的授予和废除 改变主体或目标的安全属性 标识定义和用户授权认证功能的使用 审计功能的启动和关闭
安全审计分析类型
潜在攻击分析 基于模板的异常检测 简单攻击试探 复杂攻击试探
安全审计分析类型(续)
潜在攻击分析:系统能用一系列的规则 监控审计事件,并根据这些规则指示系 统的潜在攻击;
基于模板的异常检测:检测系统不同等 级用户的行动记录,当用户的活动等级 超过其限定的登记时,应指示出此为一 个潜在的攻击;
网络层审计
TCP/IP、ATM…
安全审计系统体系结构示意图
FDDI
●●●
控制台 1
控制台 2
广域网 X.25
--安全审计与日志分析
目录
专业安全审计系统体系结构分析 网络信息系统安全审计综述 审计的必要性
一旦我们采用的防御体系被突破怎么办?至少我 们必须知道:
? 系统是怎样遭到攻击的,这样才能恢复系统, ? 此外我们还要知道系统存在什么漏洞 ? 如何能使系统在受到攻击时有所察觉 ? 如何获取攻击者留下的证据。
安全审计事件存储(续)
它可保证某个指定量度的审计记录被维护,并不 受以下事件的影响: 审计存储用尽; 审计存储故障; 非法攻击; 其他任何非预期事件。 系统能够在审计存储发生故障时采取相应的动 作,能够在审计存储即将用尽时采取相应的动 作。
网络安全审计层次结构图
应用层审计



系统层审计

CA发证操作 主页更新监视 … UNIX、Windows 9x/NT、ODBC
安全审计分析类型(续)
简单攻击试探:当发现一个系统事件与 一个表示对系统潜在攻击的签名事件匹 配时,应指示出此为一个潜在的攻击;
复杂攻击试探:当发现一个系统事件或 事迹序列与一个表示对系统潜在攻击的 签名事件匹配时,应指示出此为一个潜 在的攻击。
安全审计浏览
该功能要求审计系统能够使授权的用户有 效地浏览审计数据。包括:审计浏览、有限审 计浏览、可选审计浏览。 审计浏览 提供从审计记录中读取信息的服务; 有限审计浏览 要求除注册用户外,其他用户 不能读取信息; 可选审计信息 要求审计浏览工具根据相应的 判断标准选择需浏览的审计数据。