中国科学技术大学：《信息安全导论》课程教学资源（课件讲稿）第9章 安全审计与责任认定技术

(2019春季 课程编号：011184) 曾凡亚 2019信安导沦 信息安全导论 第9章姿全审计与责任认定枝术 中国科学技术大学曾凡平 billzeng@ustc.edu.cn

信息安全导论 第9章 安全审计与责任认定技术 中国科学技术大学 曾凡平 billzeng@ustc.edu.cn (2019春季 课程编号：011184)

第9章安全审计与责任认定技术 ·9.1安全审计 ·9.1.1安全审计概念 ·9.1.2审计系统的结构 ·9.1.3审计的数据来源 ·9.2数字取证 ·9.2.1数字取证概述 ·9.2.2电子证据的特点和取证基本原则 ·9.2.3数字取证的过程 ·9.3数字取证关键技术和工具 ·9.3.1证据信息类别 ·9.3.2来自文件的数据 ·9.3.3来自操作系统的数据 ·9.3.4来自网络的数据 9.3.5来自应用软件的数据 信息安全导论09 3

第9章 安全审计与责任认定技术 • 9.1 安全审计 • 9.1.1 安全审计概念 • 9.1.2 审计系统的结构 • 9.1.3 审计的数据来源 • 9.2 数字取证 • 9.2.1 数字取证概述 • 9.2.2 电子证据的特点和取证基本原则 • 9.2.3 数字取证的过程 • 9.3 数字取证关键技术和工具 • 9.3.1 证据信息类别 • 9.3.2 来自文件的数据 • 9.3.3 来自操作系统的数据 • 9.3.4 来自网络的数据 • 9.3.5 来自应用软件的数据 信息安全导论09 3

9.1安全审计 9.1.1安全审计概念 所谓审计，简单地说就是记录和分析用户使用信息 系统过程中的相关事件，不仅记录谁访问了系统 而且记录系统以何种方式被使用。基于对记录的系 统事件的分析，能够快速地识别问题，确定是否有 攻击、攻击源自何处。因此，审计本质上是一种为 事后观察、分析提供支持的机制，广泛存在于信息 系统中，记录、分析、报告系统中的事件。 安全审计则是对系统安全的审核、稽查与计算，即 在记录一切或部分与系统安全有关活动的基础上， 对其进行分析处理、评价审查，发现系统中的安全 隐患，或追查出造成安全事故的原因，并做出进 步的处理 。 信息安全导论09 4

9.1 安全审计 9.1.1 安全审计概念 • 所谓审计，简单地说就是记录和分析用户使用信息 系统过程中的相关事件，不仅记录谁访问了系统， 而且记录系统以何种方式被使用。基于对记录的系 统事件的分析，能够快速地识别问题，确定是否有 攻击、攻击源自何处。因此，审计本质上是一种为 事后观察、分析提供支持的机制，广泛存在于信息 系统中，记录、分析、报告系统中的事件。 • 安全审计则是对系统安全的审核、稽查与计算，即 在记录一切或部分与系统安全有关活动的基础上， 对其进行分析处理、评价审查，发现系统中的安全 隐患，或追查出造成安全事故的原因，并做出进一 步的处理。 信息安全导论09 4

安全审计及主要功能 安全审计除了能够监控来自信息系统内部和外部 的用户活动，对与安全有关的活动的相关信息进 行识别、记录、存储和分析，对突发事件进行报 警和响应，还能通过对系统事件的记录，为事后 处理提供重要依据，为网络犯罪行为及泄密行为 提供取证基础。同时，通过对安全事件的不断积 累并且加以分析，能有选择性和针对性地对其中 的对象进行审计跟踪，即事后分析及追查取证， 以保证系统的安全。 安全审计的主要功能包括：安全审计自动响应、 安全审计数据生成、安全审计分析、安全审计浏 览、安全审计事件存储、安全审计事件选择等 信息安全导论09

安全审计及主要功能 • 安全审计除了能够监控来自信息系统内部和外部 的用户活动，对与安全有关的活动的相关信息进 行识别、记录、存储和分析，对突发事件进行报 警和响应，还能通过对系统事件的记录，为事后 处理提供重要依据，为网络犯罪行为及泄密行为 提供取证基础。同时，通过对安全事件的不断积 累并且加以分析，能有选择性和针对性地对其中 的对象进行审计跟踪，即事后分析及追查取证， 以保证系统的安全。 • 安全审计的主要功能包括：安全审计自动响应、 安全审计数据生成、安全审计分析、安全审计浏 览、安全审计事件存储、安全审计事件选择等。 信息安全导论09 5

1)安全审计自动响应 0 安全审计自动响应是指当审计系统检测出一个安全违规 事件（或者是潜在的安全攻击）时做出的响应。它是管 理审计事件的需要，这些需要包括报警甚至阻断。根据 审计事件的不同系统将做出不同的响应。 2)安全审计数据生成 。 该功能规定了对与安全相关的事件进行记录，包括鉴别 审计层次、列举可被审计的事件类型，以及鉴别由各种 审计记录类型提供的相关审计信息的最小集合。系统可 定义可审计事件清单，每个可审计事件对应于某个事件 级别。 每条审计记录至少应包含以下信息：事件发生的时间、 事件类型、主题标识、执行结果、引起事件的用户标识 以及对每一个审计事件与该事件有关的审计信息。 信息安全导论09 6

1)安全审计自动响应 • 安全审计自动响应是指当审计系统检测出一个安全违规 事件（或者是潜在的安全攻击）时做出的响应。它是管 理审计事件的需要，这些需要包括报警甚至阻断。根据 审计事件的不同系统将做出不同的响应。 2)安全审计数据生成 • 该功能规定了对与安全相关的事件进行记录，包括鉴别 审计层次、列举可被审计的事件类型，以及鉴别由各种 审计记录类型提供的相关审计信息的最小集合。系统可 定义可审计事件清单，每个可审计事件对应于某个事件 级别。 • 每条审计记录至少应包含以下信息：事件发生的时间、 事件类型、主题标识、执行结果、引起事件的用户标识 以及对每一个审计事件与该事件有关的审计信息。 信息安全导论09 6