安全審計的范疇

1)系統(tǒng)日志審計

系統(tǒng)日志主要根據(jù)網(wǎng)絡(luò)安全級別及強度要求，選擇記錄部分或全部的系統(tǒng)操作。如審計功能的啟動和關(guān)閉，使用身份驗證機制，將客體引入主體的地址空間，刪除客體、管理員、 安全員、審計員和一般操作人員的操作，以及其他專門定義的可審計事件。對于單個事件行為，通常系統(tǒng)日志主要包括：事件發(fā)生的日期及時間、引發(fā)事件的用戶IP地址、事件源及目的地位置、事件類型等。

對于各種網(wǎng)絡(luò)系統(tǒng)應(yīng)采用不同的記錄日志機制。日志的記錄方式有3種：由操作系統(tǒng)完成，也可以由應(yīng)用系統(tǒng)或其他專用記錄系統(tǒng)完成。大部分情況都采用系統(tǒng)調(diào)用Syslog方式記錄日志，少部分采用SNMP記錄。其中，Syslog記錄機制主要由守護程序、規(guī)則集及系統(tǒng)調(diào)用3部分組成。

日志分析的主要目的是在大量的記錄日志信息中找到與系統(tǒng)安全相關(guān)的數(shù)據(jù)，并分析系統(tǒng)運行情況。主要任務(wù)包括：

(1)潛在威脅分析。日志分析系統(tǒng)可以根據(jù)安全策略規(guī)則監(jiān)控審計事件，檢測并發(fā)現(xiàn)潛在的入侵行為。其規(guī)則可以是已定義的敏感事件子集的組合。

(2)異常行為檢測。在確定用戶正常操作行為基礎(chǔ)上，當日志中的異常行為事件違反或超出正常訪問行為的限定時，分析系統(tǒng)可指出將要發(fā)生的威脅。

(3)簡單攻擊探測。日志分析系統(tǒng)可對重大威脅事件的特征進行明確的描述，當這些攻擊現(xiàn)象再次出現(xiàn)時，可以及時提出告警。

(4)復(fù)雜攻擊探測。更高級的日志分析系統(tǒng)，還應(yīng)可檢測到多步人侵序列，當攻擊序列出現(xiàn)時，可及時預(yù)測其發(fā)生的步驟及行為，以便于做好預(yù)防。