审计是计算机系统安全的重要组成部分,用于检测和追查恶意攻击与误操作。审计子系统具备事件收集、过滤、分析和控制等功能,以确保系统安全。它收集与安全相关的事件,过滤并记录严重事件,对潜在威胁进行控制,同时维护和保护审计日志的完整性和安全性。审计粒度的选择、多级安全系统的审计以及冲突解决是审计中需要考虑的关键问题。
第四章 审计
4.1 审计概述
审计是现代安全计算机系统必不可少的组成部分。它在身份鉴别、访问控制、信息流控制和加密技术等多种安全措施的基础上,进一步提高系统的可信度。计算机系统的审计跟踪技术与电子数据处理系统(EDP)的安全审计是两个不同的概念。后者是一种计算机系统安全评估方法,通过对被调查系统及其环境连续性和完整性管理方法进行评估,对已获得的数据进行评估,从而评估计算机系统的安全性。在这里,审计是模拟社会监察机构在计算机系统中监视、记录和控制用户活动的一种机制。其目标是检测和判定对系统的恶意攻击和误操作,作为一种事后分析和追查的有效手段来保护系统的安全。它对用户的非法活动起到威慑作用,为系统提供进一步的安全可靠性。
早在70年代,伴随着多用户、分时计算机系统的普及,审计作为一种保障计算机系统安全的技术也逐渐发展起来。早期的Burrough’s MCP,Honeywell’s GCOS,IBM’s MVS,ICL’s VME 2900等计算机均带有审计功能,随着计算机技术的广泛应用,传统的审计技术不断发展和强化,现代的许多计算机系统,如VAX/VMS,UNIX,ORACLE等都带有审计功能。
审计作为一种有效的安全措施,是基于用户行为层次而不仅仅根据各个独立的用户操作。所谓用户行为是指在一段时间内用户的一系列操作以及这些操作之间的逻辑关系。许多危及系统安全的行为,在操作时并不表现出危害性,而在整个行为级上则隐含着攻击性和破坏(比如滥用特权或推断行为),在安全计算机系统中,审计通常设计成一个相对独立的子系统。另外,在系统中,设置有系统审计员(System auditor)这一特权用户,专门负责管理与系统审计有关的事务。
4.2审计子系统的功能
要完成审计的功能,即对用户行为进行有效的监视、记录和控制,审计子系统应包含以下功能:
1. 事件收集功能
在频繁的用户活动中,并不是所有的事件都对系统的安全构成危害,审计子系统应根据系统审计员或用户的要求,将与系统安全有关的事件收集起来进行分析。实现的方法往往是采用对事件设置审计开关。开关的开或关状态决定该事件是否属于收集范围,亦即是否属于监规范围。
2. 事件过滤功能
由于事件的结果不同,对系统安全影响的严重程度也不相同。审计子系统应根据系统审计员或用户的要求,对收集来的事件进行过滤,将需要记录下来的事件的内容写入审计日志。实现的方法往往是通过对事件设置审计阈值。审计阈值是事件结果严重度的某一取值,当事件的结果比审计阈值的取值更为严重时,则认为事件符合事件过滤的标准,必须记录下来。这样的事件称为审计事件,否则称为非审计事件。审计事件是同时满足设定的审计开关和审计阈值的事件。
3. 对事件的分析和控制功能
审计子系统要能对严重危及系统安全的事件具有控制功能,在违法事件的发生频率超过设定的值的时候,能够及时对用户提出警告;在事件发生得极其恶劣的时候,把该用户逐出系统并不再允许他登录,除非有系统管理员的干预,再次授予他登录权。这一部分功能往往通过在系统中设置报警阈值和惩罚阈值来实现。
报警阈值定义为用户在一定的时间内(如1小时内)出现的系统可容忍的违法事件发生的最多次数(如10次)。惩罚阈值定义为用户在一定的时间内,出现的系统可容忍的报警事件发生的最多次数。
4. 日志维护和查询功能
危及系统安全的行为可能持续时间很长,而且往往不能即时发现,同时也为了日后分析、追查的需要,经过收集、过滤而得到的有关事件的信息不能轻易丢掉,必须长期保存,并随时提供查询。用来记录审计信息的载体称为是审计日志。另一方面,经过收集、过滤后的审计事件,其信息量是非常大的,因此在审计日志的维护中,还必须进行事件的再过滤和数据压缩。
5. 审计信息安全性保护功能
审计信息是关于用户行为的,往往含有许多机密信息,审计子系统要确保它们不会被窃取。在系统中,允许用户具有对审计日志的查询权力,但在提供用户查询时,应该使得用户只能查询到他有权看到的信息。另外,为了给日后的追查提供可靠的依据,审计信息必须是不可更改的,这就要求审计子系统具有保护审计信息机密性和完整性的功能。
审计子系统的工作流程如图4.1所示。
最低0.47元/天 解锁文章
扫一扫
2857
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
