信息安全管理第五信息系统安全审计PPT资料.pptx

信息安全管理第五信息系统安全审计PPT资料.pptx

《信息安全管理第五信息系统安全审计PPT资料.pptx》由会员分享，可在线阅读，更多相关《信息安全管理第五信息系统安全审计PPT资料.pptx（142页珍藏版）》请在冰豆网上搜索。

其审计目的是确定信息系统是否设置了相应的安全控制措施以识别、防范各种安全威胁，从而帮助被审单位的信息系统在一个更加安全的环境下运行。

5.1概述对信息系统安全审计的含义可以从两方面理解1.信息系统安全审计的目的是测评系统的安全控制措施，确定其是否足以识别、防范各种“威胁”2.信息系统安全审计是针对提高系统安全性的审计五险一金五险一金审计人员在被审计单位计算机机房对其信息系统建设和运行情况进行检查5.1概述网络安全审计（NetworkSecurityAudit）网络安全审计是指对与网络安全有关的活动的相关信息进行识别、记录、存储和分析，并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。

网络安全审计相当于飞机上的“黑匣子”。

国际标准ISOIEC15408（俗称为CC准则）：

广泛应用于评估系统的安全性5.1概述审计对象：

网络设备、服务器、用户电脑、数据库、应用系统、网络安全设备等。

安全审计的必要性随着日益增长的互联网安全风险，安全问题的复杂性日益加大，大约76%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的损失，而这些威胁绝大部分与内部各种网络访问行为有关，如何对业务系统访问和网络行为进行有效的监控，已经成为政府、企业重点关注的问题。

安全审计的必要性防火墙、入侵检测等传统网络安全手段，可实现对网络异常行为的管理和监测，如网络连接和访问的合法性进行控制、监测网络攻击事件等，但是不能监控网络内容和已经授权的正常内部网络访问行为，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为（即时通讯、论坛、在线视频、P2P下载、网络游戏等）也无能为力，也难以实现针对内容、行为的监控管理及安全事件的追查取证。

安全审计的必要性如何有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是企业迫切需要解决的问题。

安全审计的必要性网络信息系统在综合运用防护工具（如防火墙、操作系统身份认证、加密等手段）、检测工具（如漏洞评估、入侵检测等系统）的同时，必须通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。

安全审计的必要性信息安全体系结构模型安全审计也是一项重要内容利用信息系统审计建立我国网络安全的第三道防线利用信息系统审计建立我国网络安全的第三道防线“一道防线”：

组织业务及操作层面的网络安全管理，由组织的一线业务部门负责。

职责是识别和管理网络安全固有风险，并对风险实施有效的控制措施，是整个网络安全保障工作的基础。

利用信息系统审计建立我国网络安全的第三道防线“二道防线”：

网络安全风险的专职管理，由组织的风险管理部门和IT部门负责。

职责是建立网络安全风险管理框架，实施独立的风险评估、计量、监测和报告，确保网络安全风险管理政策及措施有效执行，将风险控制在可接受水平。

利用信息系统审计建立我国网络安全的第三道防线“三道防线”：

对网络安全独立的监督评价，即审计，由审计监督部门负责。

职责是对网络安全风险管理的相关控制、流程和系统进行独立审阅和检查，促进一、二道防线积极履职，进一步揭示网络安全风险，为一、二道防线提供改进建议。

信息系统安全审计的功能

（1）取证利用审计工具，监视和记录系统的活动情况，如记录用户登录账户、登录时间、终端以及所访问的文件、存取操作等，并放入系统日志中，必要时可打印输出，提供审计报告，对于已经发生的系统破坏行为提供有效的追究证据。

（2）威慑通过审计跟踪，并配合相应的责任追究机制，对外部的入侵者以及内部人员的恶意行为具有威慑和警告作用。

信息系统安全审计的功能（3）发现系统漏洞安全审计为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。

（4）发现系统运行异常通过安全审计，为系统管理员提供系统运行的统计日志，管理员可根据日志数据库记录的日志数据，分析网络或系统的安全性，输出安全性分析报告，因而能够及时发现系统的异常行为，并采取相应的处理措施。

信息系统安全审计的分类按照审计分析的对象，安全审计可分为针对主机的审计和针对网络的审计。

针对主机的审计针对主机的审计是指通过收集主机系统上面的各种形式的日志文件实现审计的方式。

针对主机的审计的特点是收集的信息比较深入，比较完整，不受加密协议的影响，其缺点是部署过程较为复杂，通常需要在主机系统上安装代理，这样不容易保持审计策略的一致，不容易保证审计代理工作的正常和健壮，安装在审计对象主机上面的代理可能会被卸载或者停止运行，这样审计代理产生的审计信息的可信性也会大打折扣。

针对网络的审计针对网络的审计是指直接从网络中收集各种会话信息，从网络传输的数据和行为中提取审计信息。

针对网络的审计的特点是部署快速，对应用系统影响小，覆盖面大，不容易被绕过，不容易被窜改等。

普通的基于网络的审计系统主要通过收集包括路由器、交换机、防火墙、入侵检测等网络和安全设备记录的日志来实现。

这样实现的审计系统丢失了网络会话的绝大部分内容，缺陷是它们不能有效地审计那些使用了加密协议的会话。

信息系统安全审计的分类按照审计的工作方式，安全审计可分为集中式安全审计和分布式安全审计。

集中式体系结构采用集中的方法，收集并分析数据源（网络各主机的原始审计记录），所有的数据都要交给中央处理机进行审计处理。

分布式安全审计包含两层含义，一是对分布式网络的安全审计，二是采用分布式计算的方法，对数据源进行安全审计。

5.25.2安全审计系统的体系结构安全审计系统的体系结构5.25.2安全审计系统的体系结构安全审计系统的体系结构安全审计系统安全审计系统（SecurityAuditSystem，SAS）是在一个特定的企事业单位的网络环境下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄露、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。

安全审计系统是对信息系统进行安全审计的系统安全审计系统的特点细粒度的网络内容审计细粒度的网络内容审计安全审计系统可对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原；

全面的网络行为审计全面的网络行为审计安全审计系统可对网络行为，如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等，提供全面的行为监控，方便事后追查取证；

综合流量分析综合流量分析安全审计系统可对网络流量进行综合分析，为网络带宽资源的管理提供可靠策略支持；

因此，通过传统安全手段与安全审计技术相结合，在功能上互相协调、补充，构建一个立体的、全方位的安全保障管理体系信息安全审计系统的一般组成一般而言，一个完整的安全审计系统包括事件探测及数据采集引擎、数据管理引擎和审计引擎等重要组成部分。

（1）事件探测及数据采集引擎事件探测及数据采集引擎主要全面侦听主机及网络上的信息流，动态监视主机的运行情况以及网络上流过的数据包，对数据包进行检测和实时分析，并将分析结果发送给相应的数据管理中心进行保存。

信息安全审计系统的一般组成

（2）数据管理引擎数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及安全审计的输出数据进行管理，另一方面，数据管理引擎还负责对事件探测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息的管理。

它一般包括三个模块：

数据库管理、引擎管理、配置管理。

信息安全审计系统的一般组成（3）审计引擎审计引擎包括两个应用程序：

审计控制台和用户管理。

审计控制台可以实时显示网络审计信息、流量统计信息，可以查询审计信息历史数据，并且对审计事件进行回放。

用户管理程序可以对用户进行权限设定，限制不同级别的用户查看不同的审计内容。

同时还可以对每一种权限的使用人员的操作进行审计记录，可以由用户管理员进行查看，具有一定的自身安全审计功能。

绿盟安全审计系统绿盟安全审计系统绿盟安全审计系统（NSFOCUSSecurityAuditSystem，简称：

NSFOCUSSAS）通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。

绿盟安全审计系统的功能内容审计内容审计NSFOCUSSAS系统提供深入的内容审计功能，可对网站访问、邮件收发、远程终端访问、数据库访问、数据传输、文件共享等提供完整的内容检测、信息还原功能；

并可自定义关键字库，进行细粒度的审计追踪。

行为审计行为审计NSFOCUSSAS系统提供全面的网络行为审计功能，根据设定行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、数据传输、文件共享、网络资源滥用（即时通讯、论坛、在线视频、P2P下载、网络游戏等）等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。

流量审计流量审计NSFOCUSSAS系统提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。

堡垒机在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。

堡垒机的产生原因随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险，主要表现在：

1.多个用户使用同一个账号。

这种情况主要出现在同一工作组中，由于工作需要，同时系统管理账号唯一，因此只能多用户共享同一账号。

如果发生安全事故，不仅难以定位账号的实际使用者和责任人，而且无法对账号的使用范围进行有效控制，存在较大安全风险和隐患。

堡垒机的产生原因2.一个用户使用多个账号。

目前，一个维护人员使用多个账号是较为普遍的情况，用户需要记忆多套口令同时在多套主机系统、网络设备之间切换，降低工作效率，增加工作复杂度。

堡垒机的产生原因3.缺少统一的权限管理平台，权限管理日趋繁重和无序