安全审计的概念
中华人民共和国国家标准-计算机信息系统安全保持等级划分准则,规定了计算机系统安全保护能力的五个等级
1、第一级:用户自主保护级
2、第二级:系统审计保护级
3、第三级:安全标记保护级
4、第四级:结构化保护级
5、第五级:访问验证保护级
安全审计是指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。安全审计机制应作为C2及以上安全级别的计算机系统必须具备的安全机制,其功能包括:
1、能够记录系统被访问的过程以及系统保护机制的运行情况
2、能够发现试图绕过保护机制的行为
3、能够及时发现用户身份的跃迁
4、能够报告并阻碍绕过保护机制的行为并记录相关过程
5、为灾难恢复提供信息等
安全审计是落实系统安全策略的重要机制和手段,通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。
安全审计主要由两部分组成:
1、采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(报警)并进行阻断
2、对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,在必要进通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。
安全审计属于安全管理类产品,主要包括主机类、网络类、数据库类和应用系统级的审计产品。
入侵检测是从信息安全审计派生出来的,彼此涉及的内容、要达到的目的以及采用的方式、方法都非常接近,信息安全审计更偏向业务应用系统的范畴,入侵检测更偏向入侵的、业务应用系统之外的范畴
安全审计的作用
1、对潜在的攻击者起到震慑或警告作用
2、对已经发生的系统破坏行为提供有效的追究证据
3、对系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现入侵行为或潜在的系统漏洞
4、为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。
网络安全审计的具体内容包括:
1、监控网络内部的用户活动
2、侦察系统中存在的潜在威胁
3、对日常运行状况的统计和分析
4、对突发案件和异常事件的事后分析
5、辅助侦破和取证
CC标准与安全审计功能
CC标准将安全审计功能分为6个部分
1、安全审计自动响应:在检测到一个潜在的安全攻击时作出响应,如报警、中断服务、终止进程,帐号失效等。
2、安全审计自动生成:记录与安全相关的事件的出现,如对敏感数据项的访问,目标对象的删除,改变主体的安全属性
3、安全审计分析:分析系统活动和审计数据来寻找可能的安全违规操作,可以用于入侵检测或对安全违规的自动响应。
4、安全审计浏览:使授权的用户有效地浏览审计数据
5、安全审计事件选择:要求系统管理员能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计,如目标标识、用户标识、主体标识
6、安全审计事件存储:防止由于资源的不可用丢失审计数据,能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。
网络与主机信息监测审计,应用系统信息监测审计,网络安全系统设备信息审计和系统安全评估报告作为安全审计系统的主体,物理安全日志记录作为安全审计系统的辅助系统。
导航
