網(wǎng)絡安全審計

審計工作網(wǎng)絡安全審計01概念審計跟蹤現(xiàn)實需求系統(tǒng)日志實施目錄03050204基本信息國際互聯(lián)絡安全審計（絡備案），是為了加強和規(guī)范互聯(lián)安全技術防范工作，保障互聯(lián)絡安全和信息安全，促進互聯(lián)健康、有序發(fā)展，維護國家安全、社會秩序和公共利益。我國于2005年制定了《互聯(lián)安全保護技術措施規(guī)定》，2006年3月1日起施行。概念概念安全審計的概念及目的計算機絡安全審計（Audit）是指按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗操作事件的環(huán)境及活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能的過程。也是審查評估系統(tǒng)安全風險并采取相應措施的一個過程。在不至于混淆情況下，簡稱為安全審計，實際是記錄與審查用戶操作計算機及絡系統(tǒng)活動的過程，是提高系統(tǒng)安全性的重要舉措。系統(tǒng)活動包括操作系統(tǒng)活動和應用程序進程的活動。用戶活動包括用戶在操作系統(tǒng)和應用程序中的活動，如用戶所使用的資源、使用時間、執(zhí)行的操作等。安全審計對系統(tǒng)記錄和行為進行獨立的審查和估計，其主要作用和目的包括5個方面：（1）對可能存在的潛在攻擊者起到威懾和警示作用，核心是風險評估。（2）測試系統(tǒng)的控制情況，及時進行調整，保證與安全策略和操作規(guī)程協(xié)調一致。（3）對已出現(xiàn)的破壞事件，做出評估并提供有效的災難恢復和追究責任的依據(jù)。（4）對系統(tǒng)控制、安全策略與規(guī)程中的變更進行評價和反饋，以便修訂決策和部署。（5）協(xié)助系統(tǒng)管理員及時發(fā)現(xiàn)絡系統(tǒng)入侵或潛在的系統(tǒng)漏洞及隱患。系統(tǒng)日志系統(tǒng)日志系統(tǒng)日志的內容系統(tǒng)日志主要根據(jù)絡安全級別及強度要求，選擇記錄部分或全部的系統(tǒng)操作。如審計功能的啟動和關閉，使用身份驗證機制，將客體引入主體的空間，刪除客體、管理員、安全員、審計員和一般操作人員的操作，以及其他專門定義的可審計事件。對于單個事件行為，通常系統(tǒng)日志主要包括：事件發(fā)生的日期及時間、引發(fā)事件的用戶IP、事件源及目的地位置、事件類型等。安全審計的記錄機制對于各種絡系統(tǒng)應采用不同的記錄日志機制。日志的記錄方式有3種：由操作系統(tǒng)完成，也可以由應用系統(tǒng)或其他專用記錄系統(tǒng)完成。大部分情況都采用系統(tǒng)調用Syslog方式記錄日志，少部分采用SNMP記錄。其中，Syslog記錄機制主要由守護程序、規(guī)則集及系統(tǒng)調用3部分組成。日志分析日志分析的主要目的是在大量的記錄日志信息中找到與系統(tǒng)安全相關的數(shù)據(jù)，并分析系統(tǒng)運行情況。主要任務包括：（1）潛在威脅分析。日志分析系統(tǒng)可以根據(jù)安全策略規(guī)則監(jiān)控審計事件，檢測并發(fā)現(xiàn)潛在的入侵行為。審計跟蹤審計跟蹤審計跟蹤的概念及意義審計跟蹤（AuditTrail）指按事件順序檢查、審查、檢驗其運行環(huán)境及相關事件活動的過程。審計跟蹤主要用于實現(xiàn)重現(xiàn)事件、評估損失、檢測系統(tǒng)產(chǎn)生的問題區(qū)域、提供有效的應急災難恢復、防止系統(tǒng)故障或使用不當?shù)确矫妗徲嫺欁鳛橐环N安全機制，主要審計目標是：（1）審計系統(tǒng)記錄有利于迅速發(fā)現(xiàn)系統(tǒng)問題，及時處理事故，保障系統(tǒng)運行。（2）可發(fā)現(xiàn)試圖繞過保護機制的入侵行為或其他操作。（3）能夠發(fā)現(xiàn)用戶的訪問權限轉移行為。（4）制止用戶企圖繞過系統(tǒng)保護機制的操作事件。審計跟蹤是提高系統(tǒng)安全性的重要工具。安全審計跟蹤的意義在于：（1）利用系統(tǒng)的保護機制和策略，及時發(fā)現(xiàn)并解決系統(tǒng)問題，審計客戶行為。在電子商務中，利用審計跟蹤記錄客戶活動。包括登入、購物、付賬、送貨和售后服務等。可用于可能產(chǎn)生的商業(yè)糾紛。實施實施為了確保審計實施的可用性和正確性，需要在保護和審查審計數(shù)據(jù)的同時，做好計劃分步實施。審計應該根據(jù)具體安全事件情況的需要進行定期審查或自動實時審查。系統(tǒng)管理員應該根據(jù)計算機安全管理的要求確定需要維護審計數(shù)據(jù)的內容、類型、范圍和時間等，其中包括系統(tǒng)內保存的和歸檔保存的數(shù)據(jù)。具體實施主要包括：保護審查審計數(shù)據(jù)及審計步驟。保護審查審計數(shù)據(jù)1）保護審計數(shù)據(jù)應當嚴格限制在線訪問審計日志。除了系統(tǒng)管理員用于檢查訪問之外，其他任何人員都無權訪問審計日志，更應嚴禁非法修改審計日志以確保審計跟蹤數(shù)據(jù)的完整性。審計數(shù)據(jù)保護的常用方法是使用數(shù)據(jù)簽名和只讀設備存儲數(shù)據(jù)。采用強訪問控制是保護審計跟蹤記錄免受非法訪問的有效舉措。黑客為掩人耳目清楚痕跡，常設法修改審計跟蹤記錄，因此，必須設法嚴格保護審計跟蹤文件。審計跟蹤信息的保密性也應進行嚴格保護，利用強訪問控制和加密技術十分有效，審計跟蹤所記錄的用戶信息非常重要，通常包含用戶及交易記錄等機密信息。現(xiàn)實需求現(xiàn)實需求隨著絡的日益普及，利用絡實施犯罪的新型絡違法與犯罪行為也隨之日漸增多。絡的虛擬性與不確定性，造成傳統(tǒng)的辦案手段對此已力不從心，公安監(jiān)部門迫切需要新的技術手段來幫助其應對這一新挑戰(zhàn)?！痘ヂ?lián)安全保護技術措施規(guī)定》（公安部令第82號）已經(jīng)2005年11月23日公安部部長辦公會議通過，2005年12月1號發(fā)布，自2006年3月1日起施行

。82號令推出之后，絡安全審計系統(tǒng)成為各互聯(lián)提供者必須配備的設施，規(guī)定中所稱互聯(lián)服務提供者，是指向用戶提供互聯(lián)接入服務、互聯(lián)數(shù)據(jù)中心服務、互聯(lián)信息服務和互聯(lián)上服務的單位。規(guī)定所稱聯(lián)使用單位，是指為本單位應用需要連接并使用互聯(lián)