3)安全审计分析 该功能定义了分析系统活动和审计数据,来寻找 可能的或真正的安全违规操作。它可以用于入侵 检测或对安全违规的自动响应。当一个审计事件 集出现或累计出现一定次数时,可以确定一个违 规的发生,并执行审计分析。事件的集合能够由 经授权的用户进行增加、修改或删除操作。 4)安全审计浏览 该功能主要是指经过授权的管理人员对于审计记 录的访问和浏览。审计系统需要提供审计浏览的 工具。通常,审计系统对审计数据的浏览有授权 控制,审计记录只能被授权的用户浏览,并且对 于审计数据也是有选择地浏览。有些审计系统提 供数据解释和条件搜寻等功能,帮助管理员方便 地浏览审计记录。 信息安全导论09 7
3)安全审计分析 • 该功能定义了分析系统活动和审计数据,来寻找 可能的或真正的安全违规操作。它可以用于入侵 检测或对安全违规的自动响应。当一个审计事件 集出现或累计出现一定次数时,可以确定一个违 规的发生,并执行审计分析。事件的集合能够由 经授权的用户进行增加、修改或删除操作。 4)安全审计浏览 • 该功能主要是指经过授权的管理人员对于审计记 录的访问和浏览。审计系统需要提供审计浏览的 工具。通常,审计系统对审计数据的浏览有授权 控制,审计记录只能被授权的用户浏览,并且对 于审计数据也是有选择地浏览。有些审计系统提 供数据解释和条件搜寻等功能,帮助管理员方便 地浏览审计记录。 信息安全导论09 7
5)安全审计事件存储 该功能主要是指对审计记录的维护,如何保护审计、如何保 证审计记录的有效性,以及如何防止审计数据的丢失。审计 系统需要对审计记录、审计数据进行严密保护,防止未授权 的修改,还需要考虑在极端情况下保证审计数据的有效性, 如:存储介质失效、审计系统受到攻击等。审计系统在审计 事件存储方面遇到的问题通常是磁盘空间用尽。单纯采用覆 盖旧记录的方法是不够的,审计系统应当能够在审计存储发 生故障或者在审计存储即将用尽时采取相应的动作。 6)安全审计事件选择 该功能是指管理员可以选择接受审计的事件。一个系统通常 不可能记录和分析所有的事件,因为选择过多的事件将无法 实时处理和存储,所以安全审计事件选择的功能可以减少系 统开销,提高审计的效率。此外,因为不同场合的需求不同, 所以需要为特定场合配置特定的审计事件选择。审计系统应 能够维护、检查或修改审计事件的集合,能够选择对哪些安 全属性进行审计,例如,与目标标识、用户标识、主体标识 或事件类型有关的属性。 信息安全导论09 8
5)安全审计事件存储 • 该功能主要是指对审计记录的维护,如何保护审计、如何保 证审计记录的有效性,以及如何防止审计数据的丢失。审计 系统需要对审计记录、审计数据进行严密保护,防止未授权 的修改,还需要考虑在极端情况下保证审计数据的有效性, 如:存储介质失效、审计系统受到攻击等。审计系统在审计 事件存储方面遇到的问题通常是磁盘空间用尽。单纯采用覆 盖旧记录的方法是不够的,审计系统应当能够在审计存储发 生故障或者在审计存储即将用尽时采取相应的动作。 6)安全审计事件选择 • 该功能是指管理员可以选择接受审计的事件。一个系统通常 不可能记录和分析所有的事件,因为选择过多的事件将无法 实时处理和存储,所以安全审计事件选择的功能可以减少系 统开销,提高审计的效率。此外,因为不同场合的需求不同, 所以需要为特定场合配置特定的审计事件选择。审计系统应 能够维护、检查或修改审计事件的集合,能够选择对哪些安 全属性进行审计,例如,与目标标识、用户标识、主体标识 或事件类型有关的属性。 信息安全导论09 8
9.1.2审计系统的结构 1.集中式结构 。 集中式的审计系统集中地收集和分析来自于多台 主机的源审计记录,所有事件信息均要传送到中 央处理机上,分析并做出响应。 中央处理机 (数据收集和分析) 444444440444 数据采集点1 数据采集点2 数据采集点3 数据采集点n 图9-1集中式检测结构 信息安全导论09 9
9.1.2 审计系统的结构 信息安全导论09 9 1. 集中式结构 • 集中式的审计系统集中地收集和分析来自于多台 主机的源审计记录,所有事件信息均要传送到中 央处理机上,分析并做出响应。 图9-1 集中式检测结构
集中式安全审计结构面临诸多挑战 (1)集中式的审计机制中,所有的事件信息分析工作 都由中央处理机完成,其CPU、I/O和网络通信的负 担非常重,并且不能很好地适应大量用户的增容 (2)集中式的审计机制不能容括各种空间上分布的组 件(如路由器、过滤器、DS、防火墙等)及公共 服务。 ·(3)集中式结构存在单点失效、可扩展性有限、难以 重新配置、增加功能困难等问题。 (4)系统自适应能力差,不能根据环境变化而进行自 动配置。通常配置的改变和增加是通过编辑配置文 件来实现的,往往需要重新启动系统以使配置生效。 信息安全导论09 10
集中式安全审计结构面临诸多挑战 • (1)集中式的审计机制中,所有的事件信息分析工作 都由中央处理机完成,其CPU、I/O和网络通信的负 担非常重,并且不能很好地适应大量用户的增容。 • (2)集中式的审计机制不能容括各种空间上分布的组 件(如路由器、过滤器、DNS、防火墙等)及公共 服务。 • (3)集中式结构存在单点失效、可扩展性有限、难以 重新配置、增加功能困难等问题。 • (4)系统自适应能力差,不能根据环境变化而进行自 动配置。通常配置的改变和增加是通过编辑配置文 件来实现的,往往需要重新启动系统以使配置生效。 信息安全导论09 10
2.分布式结构 分布式系统结构的安全审计任务由分布于网络各处的审 计单元协作完成,这些单元还能在更高层次结构上进一 步扩展,从而能够适应网络规模的扩大。 LAN监视器 主机 主机 代理模块 中央管理者 LAN监视器 LAN/局域网 主机 主机 信息安全导论09 图92典型分布式安全审计系统结构 11
2. 分布式结构 信息安全导论09 11 • 分布式系统结构的安全审计任务由分布于网络各处的审 计单元协作完成,这些单元还能在更高层次结构上进一 步扩展,从而能够适应网络规模的扩大。 图9-2 典型分布式安全审计系统结构