第5章 身份认证与访问控制技术
准入控制技术出现方案整合的趋势。TNC组织促进标准化的快速发展,希望通过构建框架和规范保证互操作性,准入控制正在向标准化、软硬件相结合的方向发展。
课堂讨论
1.访问控制的模式有哪些种?其中的区别和联系如何? 2.准入技术的几种技术方案有何区别和联系?
5.4 安全审计概述
5.4.1 安全审计概述
1. 安全审计的概念及目的
计算机安全审计(Audit)是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。主要作用和目的包括5个方面:
(1)对潜在攻击者起到威慑和警示作用。 (2)测试系统的控制情况,及时调整。
(3)对已出现的破坏事件,做出评估并提供依据。 (4)对系统控制、安全策略与规程中的变更进行评价和反馈,以便修订决策和部署。 (5)协助发现入侵或潜在的系统漏洞及隐患。
2. 安全审计的类型
从审计级别上可分为3种类型:
(1)系统级审计。主要针对系统的登入情况、用户识别号、登入尝试的日期和具体 时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。 (2)应用级审计。主要针对的是应用程序的活动信息。 (3)用户级审计。主要是审计用户的操作活动信息。
5.4.2 系统日记审计
1. 系统日志的内容
系统日志主要根据网络安全级别及强度要求,选择记录部分或全部的系统操作。 对于单个事件行为,通常系统日志主要包括:事件发生的日期及时间、引发事件的用户IP地址、事件源及目的地位置、事件类型等。
2. 安全审计的记录机制
对各种网络系统应采用不同记录日志机制。记录方式有3种:由操作系统完成,也可以由应用系统或其他专用记录系统完成。
11
网络安全实用技术
3. 日志分析
日志分析的主要目的是在大量的记录日志信息中找到与系统安全相关的数据,并分析系统运行情况。主要任务包括: (1)潜在威胁分析。 (2)异常行为检测。 (3)简单攻击探测。 (4)复杂攻击探测。
4. 审计事件查阅与存储
审计系统可成为追踪入侵、恢复系统的直接证据,其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。保护查阅安全措施: (1)审计查阅。 (2)有限审计查阅。 (3)可选审计查阅。 审计事件的存储安全要求: (1)保护审计记录的存储。
(2)保证审计数据的可用性。 (3)防止审计数据丢失。
5.4.3 审计跟踪
1. 审计跟踪的概念及意义
审计跟踪(Audit Trail)指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。审计跟踪主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不当等方面。 审计跟踪作为一种安全机制,主要审计目标: (1)审计系统记录有利于迅速发现系统问题,及时处理事故,保障系统运行。 (2)可发现试图绕过保护机制的入侵行为或其他操作。 (3)能够发现用户的访问权限转移行为。 (4)制止用户企图绕过系统保护机制的操作事件。 审计跟踪是提高系统安全性的重要工具。安全审计跟踪的意义: (1)利用系统的保护机制和策略,及时发现并解决系统问题,审计客户行为。 (2)审计信息可以确定事件和攻击源,用于检查计算机犯罪。 (3)通过对安全事件的收集、积累和分析,可对其中的某些站点或用户进行审计跟踪,以提供发现可能产生破坏性行为的证据。 (4)既能识别访问系统的来源,又能指出系统状态转移过程。
2. 审计跟踪的主要问题
安全审计跟踪重点考虑: (1)选择记录信息。
(2)确定审计跟踪信息所采用的语法和语义定义。
审计是系统安全策略的一个重要组成部分,它贯穿整个系统运行过程中,覆盖不同
12
第5章 身份认证与访问控制技术
的安全机制,为其他安全策略的改进和完善提供了必要的信息。
5.4.4 安全审计的实施
为了确保审计实施的可用性和正确性,需要在保护和审查审计数据的同时,做好计划分步实施。具体实施主要包括:保护审查审计数据及审计步骤。
1. 保护审查审计数据
1)保护审计数据
应当严格限制在线访问审计日志。
审计数据保护的常用方法是使用数据签名和只读设备存储数据。 审计跟踪信息的保密性也应进行严格保护。 2)审查审计数据
审计跟踪的审查与分析可分为事后检查、定期检查和实时检查3种。 2.安全审计实施主要步骤
审计是一个连续不断改进提高的过程。审计的重点是评估企业现行的安全政策、策略、机制和系统监控情况。审计实施主要步骤: (1)确定安全审计。 (2)做好审计计划。 (3)查阅审计历史。
(4)实施安全风险评估。
(5)划定审计范畴。
(6)确定审计重点和步骤。 (7)提出改进意见。 课堂讨论
1.安全审计的类型有哪些种类? 2.系统日志分析都有哪些方法? 3.审计跟踪的概念及意义是什么?
5.5 本章小结
身份认证和访问控制是网络安全的重要技术,是网络安全登入的首要保障。本章概述了身份认证概念、种类,以及常用的身份认证的方式方法。主要简单介绍了双因素安全令牌及认证系统、用户登入认证、认证授权管理案例。并简要介绍了数字签名的概念、功能、种类、原理、应用、技术实现方法和过程。另外,介绍了访问控制的概念、原理、类型、安全机制、安全模式、安全策略、认证服务与访问控制系统、准入控制与身份认证管理案例等。其次,介绍了安全审计概念、系统日志审计、审计跟踪、安全审计的实施等,审计核心是风险评估。最后,通过概述访问列表与Telnet访问控制同步实验,可
13
网络安全实用技术
使理论与实践结合并达到学以致用、融会贯通的目的。
14