审计与管理主讲 段云所 副教授北京大学计算机系
doyes@pku.edu.cn
问题的提出
70%的安全问题起源于管理
几乎所有的安全事件的查处和追踪依赖系统事件记录
系统资源的改善需要历史经验审计
概念 根据一定的策略 通过记录 分析历史操作事件发现和改进系统性能和安全
作用对潜在的攻击者起到震摄或警告对于已经发生的系统破坏行为 提供有效的追纠证据为系统管理员提供有价值的系统使用日志 从而帮助系统管理员及时发现系统入 行为或潜在的系统
用 1-- NT 的安全审计在NT 对 事件进行安全审计
录及
件及对 问
用 的使用 用 及 管理
安全性 改
及系统
进 追踪
NT安全审计?
¢用NT 的用 管理£?¥
安全审计 要 用安全审计?能
§需在 currency1',?审计通过查fiNT 记录的安全性事件fl 的事件 –踪所“用 的操作
NT 的审计? 审计的操作 · 审计?的操作
录及,录及 或到?”
件及对 问 问?¥用于 件或
录审计的?录或 件的用 …?¥用于‰ 审计的‰ 发?‰ 作 用
用 及 管理 `′ 改或用
ˉ?或 ˙¨?或 用用?
或者?¥和 改?
安全性 改 对用 ¢ 审计或
系 的改
及系统 用
或 ˇ计— 或者发生 一 系统安全性或安全日志的事件
进 追踪 事件提供 于事件的
–踪
的 a?对 的 问和 出进
对于,件及对 问” 的 件和?
录的审计 需要在资源管理£ 对要审计的?录或 件?进行?¥
件和?录审计o–踪?录和 件的用? 对于一?的 件或?录
定要审计的 用 或操作?
审计的操作 · 审计?
的操作
审计?录,? 事件
行 改? 所有
NT 日志 件
¨
/WINNT/SYSTEM32/CONFIG/
SysEvent.evt
SecEvent.evt
AppEvent.evt
‰?
/管理 /事件查fi£
系统日志
日? 时?源 分fl 事件 用 计—
01-3-31 Am02:05:04 Srv? 2013 N/A Imok
01-3-31 Am01:51:23 EventLog? 6005 N/A Imok
01-3-31 Am01:32:14 Browser? 8033 N/A Imok
用 2--UNIX 的安全审计
Unix的日志 件
要?录
/etc
/etc/security
/usr/adm?
/var/adm?
/var/log
UNIX安全审计
Unix的日志 件
要 件
acct pacct ;记录所有用 使用过的 件
lastlog ;记录最 录时?/?
message ;记录syslog产生的输出到控a台的
sulog ;使用su˙令的记录
utmp ;记录当前 录进系统的用
wtmp ;提供一份 每次用 录和 出的历史 件
HOME/.sh history ;用 录进系统? 行的所有˙令
UNIX安全审计

Authd
Dump_lastlog
logdaemom
loginlog.c.Z
netlog
NOCOL/NetConsole
Spar
sunrogate-syslog
chklastlog
chkwtmp
trimlog
UNIX安全审计

L5
tracerout
startUplog
supersave
bootlogger
inftp.pl
审计 3-防火墙日志审计
1,选择日志文件点击日志按钮后 程序将从日志文件中读出日志列表 用户可以根据日志列表中的起始和终止时间选择要查询的文件 界面如下日志审计
2,设置日志审计条件选择要查询的日志文件后会出现如后一页所示界面 用户可以根据查询时间(起始 结束) 访问方向 any in out
过滤动作 any pass deny 网络协议 IP TCP UDP
ICMP ESP 出访IP地址 出访端口 受访IP地址 受访端口等限定条件 迅速 准确的找到想察看的日志信息日志审计日志审计
3,查看日志审计内容用户可以根据需要设置好查询条件后 点击确定按钮 如下一页图所示 系统将列出详细的日志记 信息 下面列 中一
开始时间 3-22|10:04 结束时间 3-22|10:09
过滤动作 pass 网络协议 TCP
出访地址:端口,192.168.100.156:1357
受访地址:端口,162.105.100.166:80
连接报文数,65 访问方向:out
经过网卡,外卡以 信息 3 22日 10 04 10 09 间 内网一
IP地址 192.168.100.156的 向 网IP地址 162.105.100.166
的 起 访问( 受访端口 80 Web
) 间 65 TCP 文? 网¢£?¥?§
日志审计日志审计安全管理技术
什么是安全管理
安全管理是 在安全?律? 政策的支持与 导 通过采用合适的安全技术与安全措施?保障系统和 的安全性安全管理?标
使用 问控a a 阻?非授 用 进入?” 从而保证?”系统的 用性
使用授 a 现对用 的?控a
用 不能 到不属于用?范围的
或操作 同时结合内容审计 a
现对?”资源及 的 控性
使用加? a 确保 不暴 给未授
的?或进 从而 现 的保?

使用数据完整性鉴别 a 保证§有
到的人才能修改数据 而未授 用
修改 从而确保 的完整性
使用审计 监控 防抵赖 安全 a
使 攻击者 破坏者 抵赖者否认并进一步对?”出现的安全问题提供调查依据和手段 现 安全的 审查性安全管理原
有?授 原
防问控a原
使用日志原
审计原
分离与a约原
有?授 原
定?” 每所必须的最小特
确保 能的事故 错误?”部件的篡改 原因造?的损 最小
问控a原
对 问客?的?或能 的?a
及?a进入物理区域 出入控a 和
a使用计— 系统和计— 存储数据的过 存取控a
使用日志原
将使用系统的有 操作记录在 件
日志内容 包括
!软件及磁盘错误记录
! 录系统及 出系统的时
!用 标识
!用?
及属于系统管理员?范围的操作审计原
计— 系统能`′和 保 客?的
问审计–踪记录 并能阻?非授 的用 对 问或破坏
一 能记录 事件
客? 操作员 系统管理员或和 系统安全管理员 施的 作
及 与系统安全有 的事件分离与a约原
将用 与系统管理人员分离
将系统管理人员与软件?发人员分离将系统的?发与系统 行分离
将? 分离管理
将系统 问?分 管理安全管理
对 安全的 性 必须加?”
的安全管理 因为 的不安全因
在 管理和人员录用
而 ·是计—?”安全所必须 的
问题
安全措施必须 到每 的使用和管理
要 确安全?¢ 人 一 £
”管理员¢?”安全?
¥有 管理员 确?范围安全?人必须?§ 防火墙的currency1¥
使用 安全技术'识对于安全要“?的?合 必须?到
对安全¢ 人进行fifl的 查–,确保
及技术合fl
用的系统管理员不能·?全部安全?
§有在使用才不”?加?
系统对…必须使用防火墙或安全?
保证分‰的?用 通过?入 问的
£必须与内部? 要 记者 £从物理`分离
′安全策略用于currency1¥ ′计— 的安全?¥
¥包括
策略
ˉ?定策略
审?策略
IP 安全策略
用 ¢ ˉ
加?数据的? ˙理 及 安全“¨
在Windows2000 ′安全策略§有在不是域控a£的Windows 2000 计— 时`
才 用 ¥计— 是域的?员?¥
将·从域 到的策略?˙