第三单元安全服务与功能配置。
安全审计和报警。
安全审计是信息系统安全管理中极为重要的一项服务措施,它与系统的其他安全措施相辅相成,互为补充。
一、基本概念。
安全审计就是对系统安全的审核、稽查与计算。概括的讲,安全审计就是在记录所有(或部分)与系统安全有关活动的基础上,对其进行分析处理、评价审查,发现系统中的安全隐患;或追查出造成安全事故的原因并落实应对安全事件负责的实体或机构,为信息系统安全策略的调整和修改提供建议。通常,安全审计还与系统实时告警功能相结合,这样,每当有违反系统安全规则的事件发生或危及系统安全的重要操作或事件出现时,可以向安全管理员终端发送相应的告警信息,以便及时采取适当的防范和响应措施。
安全报警是由个人或进程发出的警告,以指示发生了异常情况,可能需要及时的行动。安全报警的目的包括:报告实际的或明显的违背安全的企图;报告各种与安全相关的事件,包括“正常”的事件;报告达到一定门限后触发产生的事件。
安全审计过程主要分为物证收集和物证评价两大部分。包括检测、收集和记录在安全审计跟踪中各种与安全有关的时间,以及分析这些事件。其实现目标包括:
辅助确认和分析未经授权的活动或攻击;辅助有关实体响应行动能处理这些活动;促进开发改进的损伤控制处理程序;确认与已建立的安全策略的一致性;报告那些可能与系统控制不相适应的信息;确认可能对控制、策略和处理程序需要的改变等等。
一)安全审计类型与审计技术。
审计的类型:
资产安全审计:主要对信息系统资源(包括硬件、软件、数据文件等)进行安全审计,也包括对介质访问、事故保险和灾难恢复计划等的审计。
应用程序和数据审计:包括对整个应用系统、控制程序逻辑和数据的安全审计。
系统操作及侵害审计:包括对系统使用操作和欺诈、侵害事件的安全审计。
对每个具体的系统,随着安全需求和安全策略的不同,应用安全审计的类型各有侧重(主要表现在对安全审计事件的选取上),因此应采取相应的安全审计技术,如日志技术、审计数据库控制技术、变异检测技术、专家系统等。从大的方面看,可以分为物证收集技术和物证评价技术。
要保障安全审计的有效实施,仅靠技术方法是不够的,还必须有其他的组织、控制和管理措施。这些措施包括:将管理与审计职责分开、权限分明、系统授权、人员培训、齐全的文档和记录、对资产和记录的实体控制、定期核查等。
二)审计模型和功能。
1、安全审计和报警模型。
这个模型包括几个阶段:在事件检测后,必须作出决定,该事件是否是安全相关事件。事件辨别器对该事件进行评估,确定是否需要产生安全审计消息或安全报警消息。
安全审计消息被转交到审计记录器。安全报警消息被转交到报警处理器进行评估和进一步采取行动。然后安全审计消息被格式化并转换成该安全审计线索里的安全审计记录。
该安全审计线索中的旧消息部分也许被归档,并且安全一定的准则,通过选择特定的安全审计跟踪记录,该安全审计线索及安全审计跟踪档案都可以用来构建审计报告:可以分析处理安全审计线索,并且可以生成安全审计报告和安全报警。
我们来看一这一示例可能是一次对某一个账号使用无效口令以登录系统的尝试(例如:银行账号登录尝试)。审计跟踪分析可以显示出这个事件是使用错误口令登录该账号的一系列未遂事件之一,并且当达到一定门限之后,可能还会产生一个报警。
s1能够按照定义事件辨别准则检测安全相关事件并分析它们,但没有安全审计跟踪能力,因此它的安全报警被送到s2,而它的安全审计消息则被送到s3,以便包含在该安全审计跟踪里。
s3负责更新安全审计跟踪。s3还向s6提供访问安全审计跟踪和安全审计跟踪档案,以便可以按照定义的审计跟踪准则选择安全审计跟踪记录,并汇集成安全报告。
s4负责审计跟踪记录的归档和检索。
s5包含一个应用,该应用按照定义的审计跟踪分析准则分析审计跟踪记录(包括存档记录),并且在超过门限限制或检测到其他报警事件时,向s2发出警报。个实现报警和审计服务的示例。
2、安全审计和报警功能。
事件辨别器:提供对事件的初始分析,并确定是否将该事件**给审计记录其或报警处理器。
审计记录器:将接收到的消息生成审计记录,并把这些记录存入安全审计线索。
报警处理器:产生审计消息,同时产生一个适当的行动以响应安全报警;
审计分析器:检查安全审计线索,并根据要求生成安全报警和安全审计消息;
审计跟踪检验器:从一个或多个安全审计线索中构建出安全审计报告;
审计提供器:按照某些准则提供审计记录;
审计归档器:将部分安全审计线索归档。
另外,还有支持分布式安全审计跟踪和报警的附加功能:
审计线索收集器:将分布式审计跟踪的记录汇集成安全审计线索;
审计调度器:将分布式安全审计跟踪的某些部分或全部传输给该审计线索收集功能。
3、安全审计和报警功能编组。
在模型里描述的功能可以集中在系统的一个组件里,或者分布在系统的几个组件中。这些功能也可以配置在不同的端系统中,并且可以被复制。例如在分布式安全审计跟踪中,可以以层次方式安排一个功能链。
图中,一个组件的审计线索收集器从另一个组件的审计调度器中收集审计消息。当一个部件不再支持审计调度时,这个功能链就结束了。此时该部件必须支持审计归档器能够对它的安全审计线索进行归档。
三)安全审计和报警过程的几个阶段。
1、检测阶段。
在此阶段对安全事件进行检测。检测阶段要确定出已发生的可能与安全相关的事件。如果必要,还要确定应该采取什么行动以响应该事件,这项功能属于事件辨别器的任务,但是在某些情况下,例如根据安全策略的判决,可能会产生一个立即报警。
2、辨别阶段。
在此阶段做出初始判断,是否需要将该事件记录在该安全审计线索中,或是否需要产生报警。当检测到一个安全相关事件后,事件辨别器将确定适当的初始行动过程,有可能:什么也不做;产生一个安全审计消息;既产生一个安全报警,又产生一个安全审计消息。
对每一具体事件决定采取什么行动过程,取决于起作用的安全策略。
3、报警处理阶段。
在此阶段可能发布一个安全审计报警,或安全审计消息。在报警处理过程中,报警处理器分析报警消息,以便确定正确的行动过程,有可能:什么也不做;启动恢复行动;启动恢复行动,并产生一个安全审计消息。
对每一具体事件决定采取什么行动过程,取决于操作中的安全策略。
4、分析阶段。
此阶段将对一个安全相关事件进行处理,以确定采取合适的行动过程。这时,审计分析器将一个安全相关事件与在以前检测到且日志记录在安全线索里的事件,以及确定的行动过程一起进行评估,并且将此评估与事件和行动过程中的上下文一起考虑,有可能:什么也不做;产生一个安全报警;产生一个安全审计记录;既产生一个安全报警,又产生一个安全审计消息。
对每一具体事件决定采取什么行动过程,取决于安全策略。
5、聚集阶段。
此阶段将分布式安全审计跟踪记录汇集成单个的安全审计线索。分布式审计跟踪的各个安全审计记录必须定期的收集到单独的审计线索中。该阶段包括使用审计跟踪收集器(在收集点)和使用审计调度器(在远程系统)功能的过程。
6、报告生成阶段。
此阶段从安全审计线索中产生出审计报告。在需要或安全策略要求时,可以处理安全审计线索。这一过程包括分析部分,也可以包括把安全审计跟踪记录整理成合适的格式。
安全审计跟踪分析的输出是安全报告,它可以指明发生了一个违反系统安全的企图。
安全报告可被安全恢复服务用来确定一个安全问题造成的破坏程度。特别是,可以用安全报告来确定被授权用户利用其权力以不正当方式使用过的那些资源。安全报告还可以用于评估事故,以便实施必要的恢复行动。
7、归档阶段。
安全审计跟踪记录可能需要长时间保存。在归档阶段,安全审计跟踪的一部分将被转移到长期存储介质中。用作归档的这个存储器必须维护该原始记录的完整性。
安全审计跟踪的归档可以在原始审计跟踪源的本地进行,也可以在远离原始源的地方完成,还可以考虑实现远程归档。
二、策略及其他。
一)安全审计和报警的策略。
安全审计策略定义安全相关事件,确定用来收集、记录和分析各种安全事件的规则。在审计策略及其作为规则的表达式中,有还几个值得考虑的问题,这些考虑中的一个或多个问题也许可应用与特定的安全策略。
安全审计策略要为实现各种安全设计级别和类型定义出需求,也要定义出产生安全报警的准则。测试系统控制的充分性,确认与安全策略的符合性,以及确定对策略、控制和过程所指明的修改,这些将要求对安全审计跟踪记录的分析,以及对系统设计、配置和操作等许多其他方面的考虑。
二)保护需求。
在进行安全审计和报警的需求分析时,有两个方面的保护问题也应该考虑:一是安全审计线索和审计信息的保护;一是安全审计服务的保护。
1、审计信息的保护。
安全审计线索里收集的信息可能直接来自审计消息,或者来自其他审计线索。因此,安全审计线索可能汇集了一个或多个源产生的安全审计跟踪记录。在最简单的情况下,安全审计线索包含单个系统产生的全部安全审计记录。
安全审计线索必须受到保护,以免未经授权的修改。安全审计消息、安全报警和安全报告也必须得到保护,防止未授权泄漏和未授权修改。
至少对某些信息要求提供机密性保护,可能有以下几种原因:
涉及个人隐私的法律因素;保密已记录或没有记录的审计事件;保密报警行为承受方的身份。
2、审计和报警服务的保护。
安全审计和报警服务依赖于高等级的可用性。拒绝服务是对审计和报警服务的一种威胁。安全报警管理员或安全审计员所想要的信息可能被延迟到该信息不再有价值的时候。
最重要的是信息应及时抵达预期的对象。
三、服务信息及设施。
一)审计和报警服务信息。
安全审计和报警信息包括安全报警、安全审计消息、安全审计记录和安全报告:
1、安全审计消息。
一个安全审计消息是根据一个可审计的安全相关时间而生成的消息。例如:安全审计消息可以由事件辨别器从一个安全相关事件的初始分析中产生,或者是随后报警处理器或审计分析器评估的结果。
2、安全审计记录。
安全审计记录是指用于描述安全审计线索里的一个记录。在很多情况下,这将对应于单个安全相关时间。但在一些实现中,一个安全审计记录也可能是由多个安全相关事件产生的。
典型的安全审计记录包括关于消息的原发和原因的信息,也可能包含涉及检测和处理消息的实体信息。
3、安全报警。
安全报警是在检测安全相关事件之后产生的消息,该事件被确定为可能遭到安全破坏并构成了一个报警条件。这可能是一个单一事件,也可能是达到一定门限的结果。
安全报警可以由事件辨别器启动,或者在确定报警条件存在的任何时候,由审计分析器启动。
第三单元单元总结
六 年级 数学 学科第 十一 册单元回顾。第三单元 布艺兴趣小组。分数除法。备课人 总第课时。备课日期 2013.10.18 1.比的相关知识,比的化简和求比值,要注意引导学生进行比较,比与除法 分数,有什么联系与区别。可以举例说明,也可以整理成表。2.分数乘除法的应用,要注意分析题目的数量关系,再...
第三单元单元分析
古田县小学活页教案纸。校名 岭里小学年级 六年级科目 语文科任教师姓名 林玉淋备课日期 2011年9月27日。第三单元。一 教材简析 本单元安排了 小草和大树 轮椅上的霍金 和 一本男孩子必读的书 3篇课文,一个习作训练和一个练习。三篇课文围绕生命与奋斗这样一个主题,从不同的侧面叙写了一个个荡气回肠...
第三单元单元备课
第三单元小制作。角的初步认识。主持人 王娜主讲人 杨金英。各位老师观点 杨金英 给学生提供了自主 和小组交流的时间和空间,同时拓宽了学生的思路,体现了数学学习的个性,学生通过操作 观察,经历了认识角的过程。正是因为有了教师的放手,才有了学生动口 动手 动脑的机会,学生真正会成为了学习的主人。王娜 没...