基于Windows日志的安全审计技术研究
收稿日期:2008208220
基金项目:山东省自然科学基金(Y 2006G 20)
作者简介:宁兴旺(1984-),男,硕士研究生,主要研究方向为网络信息安全。
文章编号:100224026(2009)0120040206基于Windows 日志的安全审计技术研究
宁兴旺,刘培玉,孔祥霞
(山东师范大学信息科学与工程学院,山东济南250014)
摘要:事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律
是安全审计的根本目的。文章讨论了对Windows 系统日志文件进行集中式统一管理,采用API 钩子技术实现
Windows 下的审计数据的获取,并通过对Windows 日志的分析给出了一种基于主机日志分析的安全审计通用
模型。
关键词:主机日志;安全审计;计算机安全
中图分类号:TP393 文献标识码:A
R esearch on Windows Log B ased Security Audit Technology
Ning X ing 2wang ,LI U Pei 2yu ,K ONG X iang 2xia
(School o f Information Science and Engineering ,Shandong Normal Univer sity ,Jinan 250014,China )
Abstract :An event log records s ome im portant events of an operating system or an application procedure.
It is the primary purpose of a security audit to discover the required information and rules of an event by
the analysis of a log.This paper discusses the central and global managment of windows system log files ,
em ploys such a techanology as API hook to acquire the audit data of windows system ,and presents a
host log analysis based security audit universal m odel by the analysis of a windows log.
K ey w ords :host log ;security audit ;com puter security
近几年来,随着开放系统Internet 的飞速发展和电子商务的日益普及,网络信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及I DS (入侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。在这种情况下,安全审计系统应运而生。安全审计系统作为一个完整安全框架中的一个必要环节,一般处在入侵检测系统之后,作为对防火墙系统和入侵检测系统的一个补充。
根据安全审计系统的一般要求[1],参照美国国家标准《可信计算机系统评估标准》
(T rusted C om puter System Evaluation Criteria ),安全审计可以理解为:
定义1:一个安全的系统中的安全审计系统,是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。
衡量一个安全审计系统好坏的标准主要有以下几个方面:
(1)采集信息是否全面、安全和有效:一个好的安全审计系统能够审计出问题来,它必定要有足够多的信息去审计才可以保证系统能审计出问题来。采集到的信息是否足够全面,并且原始(没有被破坏或篡改)、第22卷 第1期
2009年2月
山东科学SH ANDONG SCIE NCE V ol.22 N o.1Feb.2009
安全和有效,是一个安全审计系统的基本标准。
(2)规则库匹配算法的效率:安全审计系统的主要核心在于审计规则库。规则库的完善与合理是一个重要指标,但规则匹配算法的效率同样重要。一个好的系统应该使规则库具备自学习和自适应能力。所谓自学习是指规则库可以根据管理员对记录的处理方法以及实际数据模式自动产生新的规则,更好地适应实际需要;所谓自适应能力主要是指规则库根据安全管理员对实际审计报告的评价,动态调整每条规则的可信度和某些其它参数。规则匹配速度是否够快,规则本身是否具有自学习和自适应能力是一个优秀的安全审计系统的所应具备的。
(3)进一步提高系统的趋势分析能力:所谓趋势分析是指系统根据日志中的历史数据以及某些统计学原理,来判断当前的运行状态是否安全。这对于系统检测某些新出现的或特征比较模糊的入侵行为是很有好处的。
1 事件日志
Windows 的事件日志记录着操作系统或应用程序重要的事件,审计主要是通过对所关心的事件日志进行记录和分析来实现的。事件日志分为:应用程序日志、系统日志和安全日志。应用程序日志包含由应用程序或一般程序记录的事件。系统日志包含由系统组件记录的事件。安全日志可以记录诸如有效和无效的登录尝试等安全事件,以及与资源使用有关的事件。例如,如果您启动了登录审核,那么系统登录尝试就记录在安全日志中。我们只监控有关系统安全审核的事件,监控这种事件记录,我们就可以知道系统发生了哪些重要的安全审核事件。
一般来说,日志文件中的记录可提供以下用途:①监控系统资源;②审计用户行为;③对可疑行为进行告警;④确定入侵行为的范围;⑤为恢复系统提供帮助;⑥生成调查报告,⑦为打击计算机犯罪提供证据来源。在理想的情况下,日志应该记录每一个可能的事件,以便分析发生的所有事件,并恢复任何时刻进行的历史情况。
然而,这样做显然是不现实的,因为要记录每一个数据包、每一条命令和每一次存取操作,需要的存储量将远远大于业务系统,并且将严重影响系统的性能。因此,日志的内容应该是有选择的。一般情况下,日志记录的内容应该满足以下原则:
(1)日志应该记录任何必要的事件,以检测已知的攻击模式。
(2)日志应该记录任何必要的事件,以检测异常的攻击模式。
(3)日志应该记录关于记录系统连续可靠工作的信息。
在这些原则的指导下,日志系统可根据安全要求的强度选择记录下列事件的部分或全部:
(1)审计功能的启动和关闭。
(2)使用身份鉴别机制。
(3)将客体引入主体的地址空间。
(4)删除客体。
(5)管理员、安全员、审计员和一般操作人员的操作。
(6)其他专门定义的可审计事件。
通常,对于一个事件,日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件的源和目的的位置、事件类型、事件成败等。
2 基于日志的安全审计系统设计与实现
基于日志的安全审计系统的基本设计目标是对指定范围的主机内容进行审计,发现可能存在的有害信息,并保存相关现场,以便采取进一步的行动,从根本上杜绝信息污染。在这里我们提出了一个实用的基于
14第1期宁兴旺,等:基于Windows 日志的安全审计技术研究
Windows 日志的安全信息审计系统的具体设计和实现。详细讨论了该模型的运行机制和主要特点,对模型各个组成部分的功能和设计要点进行了介绍。
2.1 系统总体设计
根据对现有信息审计系统实现的研究,我们对基于日志的安全信息审计系统的组成进行了设计。这个模型最大的特点就在于,在基于日志的审计基础上加入了取证模块,使得我们对于审计出来的问题同时还可以进行取证,做到了基于日志下的审计与取证的联动机制。系统运行在Windows 操作系统下,系统框架图如图1所示
。
图1 基于日志的安全审计系统框架图
审计是通过对所关心的事件进行记录和分析来实现的,因此审计过程包括日志、审计和取证等三大部分。
(1)日志模块主要功能
①对操作系统系统日志、防火墙日志、网络数据等进行采集,支持各种日志从外部导入,并将采集出的数据进行预处理和统一格式处理,存入日志库。
②对采集到审计系统中的日志进行定时或定量备份存储。
③对审计与取证模块提供多种方式的查询接口。为用户提供管理界面,由于审计系统采用B ΠS 架构,因此用户可以直接通过浏览器来管理配置系统,并支持高效的组合条件查询库存日志。
④系统本身的安全性:安全审计系统本身的安全性必须保证,其中,一方面包括操作系统和软件的安全性;另一方面包括审计数据的安全性。一般来说,要保证审计系统本身的安全,必须与系统中其他安全措施
(例如认证、授权、加密措施等)相配合[2]。
(2)审计模块主要功能
①对采集到审计系统中的日志进行实时处理分析,随后根据规则库产生相应等级告警。
②系统本身可以根据审计结果进行自学习和自适应处理,丰富自己的规则库。同时用户可以根据自己发现的规则,进行规则的自定义添加。
③将审计结果产生报表,并可以通过电子邮件或其他方式发给管理员[3]。
24山 东 科 学 2009年
④能够检查出大多数常见的系统入侵的企图。同时,如果有必要,可以再现产生某一系统状态的主要行为[4]。
(3)取证模块主要功能
①审计结果可以对入侵行为和违法行为进行记录并可以在任何时间对其进行再现以达到取证的目的,同时对于责任追查和数据恢复非常有必要,最后它可以用来提取一些未知的或者未被发现的入侵行为模式。
②对于审计出的问题进行相关的日志跟踪和取证,将结果保存在证据库以供日后提交。并可以对企图入侵者起到威慑作用,又可以减少合法用户在无意中违反系统的安全策略。
③将取证结果反馈给审计模块,可进行规则的自学习添加,当日后再出现此类问题时,可快速反应并作出相应处理。做到了审计与取证的联动。
2.2 系统实现相关技术
2.2.1 日志格式统一化
日志格式统一化是系统的核心模块之一,它负责日志的多层解析和对解析结果作合并与初步统计,因为各个设备的日志格式不一致,每种日志有着不同的字段和格式,所以需要进行日志的统一格式转化,将其存储为日志审计系统定义的格式。目前为了现实日志格式的标准化,对采集层收集的日志信息进行预处理过滤、规整化、合并,形成统一的日志事件数据源。同时,为了降低日志的量和复杂度,主要采用词法分析和语法分析对日志信息进行预处理,它们由代理和转换器(adapter )完成,根据可预先定义的配置,把各种类型的安全数据化成统一的格式。同时,根据预先定义的分类规则对事件进行归纳分类、冗余处理,并根据需要把事件转发到相应的事件处理服务器上或者直接转存到事件数据库中进行数据存储。具体格式如下
[5]:
typedef struct{time t log time[32];
unsigned char log char[32];unsigned short log
short[32];unsigned int log int[32];
unsigned long log long[32];
address log addr[32];
nchar log nchar[32];
nshort log
nshort[32];nint log nint[32];}LOG;将每一条日志的字段,填入LOG 结构体中,这样就可以做到对不同日志的统一管理。
2.2.2 日志数据采集
由于系统的日志文件有可能被人恶意删除,因此日志数据不应从日志文件中采集,本系统中采用了Windows API 函数来搜集需要的日志数据。众所周知Windows 应用程序的各种系统功能是通过调用API 函数来实现。API H ook 就是给系统的API 附加上一段小程序,它能监视甚至控制应用程序对API 函数的调用。通过对Win32PE 文件的分析,我们知道在PE 文件中的I MPORT T ABLE 内存储着API 函数的很多信息。其中包括API 的函数名、调用地址等等。而操作系统在执行PE 文件时会先将其映射到内存中。在映射的同时还会把当前版本操作系统中API 函数的入口地址写入I MPORT T ABLE 中一组与API 调用相关的结构体内,用于该应用程序的API 调用。当应用程序调用API 时,他会在自己内存映像里寻找API 的入口地址,然后执行C A LL 指令。如此一来,通过修改应用程序内存映像的I MPORT T ABLE 中API 函数的入口地址,就可以达到重定向API 的目的。将API 地址改为我们自己函数的地址,这样我们的函数就可以完成对API 的监视和控制了。其中几个关键的技术:寻觅I MPORT T A LBE ,替换API 函数入口地址,恢复函数的API 入口地址。
同时为了后续可以方便采集各种不同的日志信息,比如前面提到的还有防火墙日志、网络数据等,我们34第1期宁兴旺,等:基于Windows 日志的安全审计技术研究
44山 东 科 学 2009年
采用了提供者(provider)模式。具体实现是:针对不同的日志采集的对象,我们所要实现的主要功能是日志的读取与插入Insert()和G et()方法。使用一个抽象类LogProvider声明不同的提供者必须要实现的两个方法Insert()和G et()方法,分别写多个提供者类以实现抽象类的两个方法。多个提供者放在一个集合LogProviderC ollection里,用来处理我们所需要的多个提供者的情况。然后使用一个配置类LogProviderC on figurationSection声明存在那几个提供者以及默认情况下的提供者,并封装这些提供者以便我们调用Insert()和G et()方法。
2.2.3 分析引擎的设计
分析引擎的主要功能是按照规则语言对规则库中的规则进行解释,对原始数据进行匹配。包括规则分析和规则匹配两个步骤,在规则分析过程中,需要删除重复规则,归并相似规则,并把规则表示成适于进行匹配的二叉树形式。对于简单规则无法判断的可疑行为,例如水平端口扫描、D oS攻击等,则首先对可疑数据进行一定的规约或统计,得到一个可以由简单规则描述的“事件”,然后再进行判断,从而检测出可能存在的一些入侵,如果有则报警,并记录分析结果。
2.3 具体性能及分析
系统分为了三个主要的模块:日志,审计与取证。日志的采集全面、有效且合理。然后将采集到的日志提交给审计模块,由规则库来进行分析,将结果报警给管理员,并生成报表以供日后管理员查看,同时规则库还可以进行自动智能增添和人工增添。审计出来的问题提交给取证模块,进行日志跟踪取证,将结果存入证据库。
与传统的网络安全审计系统相比,基于Windows系统日志的网络安全审计系统有如下几个优点:
(1)收集信息全面、及时且便于处理
单一的数据源容易造成审计分析的不准确,这里系统由于采集的数据源的多样化,并通过规则分析进行数据挖掘中的数据集成技术,将主机数据源和网络数据源有机地结合起来,可以在很大程度上提高审计分析的准确率。同时我们可以配置磁盘阵列以便支持日志的海量快速处理,并选择两种备份方式:按时间频率备份或者按日志大小备份,以便保证日志的安全性和可靠性。
(2)大数据量下检测速度较快
通过综合运用多种数据挖掘技术对审计数据进行预处理[6],并转为统一格式进行存储,大大精简了审计数据,从而提高了分析的速度。通过对数据进行预处理,抽取数据中的有用部分,可以有效地减少数据处理量,提高检测效率。对于网络上庞大数据流量来说,这一点是至关重要的。
(3)自适应能力强
首先在知识库中定义正常行为模式和异常行为模式,然后以此为据对当前网络安全审计数据进行分析,当某用户行为与异常规则的相似性超过某一阈值,或不在正常行为之列时,我们就认定该行为具有威胁。将这些数据加以储存,并利用聚类挖掘技术[7]将这些收据抽象成为由类似的模式组成的多个类,再利用技术将数据转变为规则添加到知识库中。这样可以通过不断修改知识库来发现各种待审计信息。
大多数规则库总是只能在漏洞被发现或者入侵事件[8]发生后才能得已更新,此时不可避免地损失已经发生,对入侵的检测总是具有滞后性;此外,大多数系统的工作性能、状态严重依赖于安全管理员对其的正确配置情况,而且所有的专家知识实际上是从入侵活动中提取出来并经过编码形成规则的,因此不仅要求安全管理人员拥有丰富的专业知识与经验,同时还需要耗费大量的时间。但是这里使用的规则库的最大的优点是,检测速度非常快,同时对于已知的攻击行为,只要规则定义、配置合适,可以达到百分之百的检测率。
(4)审计与取证的联动机制
传统的安全审计产品仅仅是进行安全审计,这里采用了基于Windows日志的系统之后,不仅仅可以对系统的各种安全问题进行审计,同时对于我们审计出来的问题,还能够由日志跟踪来进行取证,这里的证据由于其完整性和真实性,可以待日后将日志文件作为有效的证据出示给法庭。成为整个安全审计系统的一个
亮点和创新点。
3 结束语
由于防火墙技术以及I DS (入侵检测技术)各自的局限性,安全审计技术得到了飞速发展,并成为安全框架中的一个必要环节,本文研究了基于Windows 日志的安全审计技术,将模型分为了三个主要的模块,并讨论了实现过程中的关键技术,提出了审计与取证的联动机制。但还有许多地方可以进一步改善和提高。概括来讲,这些方面包括如下几点:
(1)Linux 系统的日志获取与Windows 系统有所差异,随着Linux 系统的广泛应用,在未来的工作中,我们将研究如何实时获取Linux 系统的主机日志;
(2)证据的保存在计算机取证过程中固然重要,但是对保存下来的电子证据进行分析,获得有助于案件侦破的信息也具有重要意义,下一步,我们将对日志证据的分析技术和分析取证模块的组成作相关研究与开发。
参考文献:
[1]李承,王伟钊,程立,汪为农,李家滨.基于防火墙日志的网络安全审计系统研究与实现[J ].计算机工程,2002,6(28):17
-19.
[2]俞承杭.信息安全技术[M].北京:科学出版社,2005.
[3]H A I NES J ,RY DER DK.Validation of sens or alert correlators[J ].IEEE Security &Privacy ,2003,1(1):46-56.
[4]SCH NEIER B.Attack T rees :M odeling Security Threats[J ].Dr.D obb ’s Journal ,1999,12(24):21-29.
[5]黄艺海,胡君.日志审计系统设计与实现[J ].计算机工程,2006,22(32):67-68.
[6]史海峰,徐涛.基于安全审计的监控系统模型的设计[J ].计算机技术与发展,2006,16(4):221-227.
[7]高雷,肖政,韦卫,孙育宁.安全关联分析相关技术的研究[J ].计算机应用,2005,25(7):1526-1529.
[8]王晓程,刘恩德,谢小权.攻击分类研究与分布式网络入侵检测系统[J ].计算机研究与发展,2001,38(6):727-734.(上接第30页)
的自适应变化。所以在图像处理分割中得到越来越广泛的应用。而且C 2V 较好地适合人体表面及其损伤的形态极不规则的特点,取得了不错的分割效果,为获得法医鉴定中的鉴定参数提供了准备工作。参考文献:
[1]CH AN F T ,VESE L.Active C ontours without Edges[J ].IEEE T rans Image Processing ,2001,10(2):266-277.
[2]K ASS M.S NAKE .Active C ontour M odels [J ].International Journal of C om puter Vision ,1988(1):321-331.
[3]OSHER S ,SETHI AN J.Fronts Propagating with Curvature 2Dependent S peed :Alg orithms Based on Hamilton 2Jacobi F ormulation[J ].J.
C om put.Phys ,1998,79:12-49.
[4]李俊,杨新,施鹏飞.基于Mum ford Shah 模型的快速水平集图像分割方法[J ].计算机学报,2002,25(11):1176-1182.
[5]常先堂.基于PDE 的变分水平集图像分割方法[D].大连:大连理工大学,2006.
[6]吴家文.法医学[M].北京:北京医科大学和中国协和医科大学联合出版社,1995.
54第1期宁兴旺,等:基于Windows 日志的安全审计技术研究
施工日志记录
施工日志记录 Document serial number【KKGB-LBS98YT-BS8CB-BSUT-BST108】
施工日志范本 年月日天气:上午:下午:气温:(最低~最高) 注:日期采用阿拉伯数字填写,天气情况为晴、多云、阴、暴雨、大雨、中雨、小雨、小雪、中雪、大雪,分上午和下午记录,有天气变化时写明什么天气转什么天气,最低气温为凌晨两点室外温度,最高气温为下午两点室外温度。 一、桩基 1、施工地点、里程、施工内容、时间、气候 ,43号墩1号桩基钻进(钢筋安装、混凝土灌注),钻进时间(钢筋安装时间、混凝土灌注时间)点分~点分(采用24小时制),施工时气候(与天气情况对应)。 2、施工进展情况 本日完成桩基冲孔(钢筋笼安装、混凝土灌注) m(多根桩时单独写明)。 施工机械:钻进冲击钻(旋挖钻)1台,泥浆泵1台,泥浆运输车1台,25T吊车1台,混凝土运输车5台,电焊机3台,混凝土灌注导管30米; 施工人员:现场作业人员10人;
进场材料:制备泥浆30方,回填片石5方(塌孔处理时记录),制作安装钢筋1500㎏,C30混凝土35方; 构配件使用数量:φ120cm钢护筒4米,φ82cm桩基钢筋笼2节共26米,C30混凝土垫块72个; 施工方法、措施及工艺规程:十字形实心锤冲击成孔(旋挖钻挖孔),泥浆护壁,护筒埋设顶部高于原地面30cm,开始钻进时冲程1~2m,正常钻进时冲程4~6m,开始钻进时泥浆比重1.25,采用粘土(造浆剂)造浆,泥浆泵循环换浆清孔,水下混凝土导管灌注; 3、施工质量及试验检测情况: 钻孔前实测孔位偏差3cm,护筒标高米,设计孔深 米,钻头直径 m,钻孔过程中钻孔地质情况标高 m~ m 为粉质黏土(设计 m~ m),标高 m~ m为全风化安山岩(设计 m~ m),标高 m~ m为强风化安山岩(设计 m~ m),标高 m~ m为弱风化安山岩(设计m~ m),入岩深度米(柱桩),钻孔中泥浆比重,孔深 m塌孔,采用片石回填至标高 m后重新冲孔;钻孔完成后采用探孔器进行探孔,桩身倾斜度 %、是否缩孔,缩孔时采用钻头重新扫孔后符合要求孔径,实测孔深m; 钢筋原材料试验编号,焊接长度 cm(不同钢筋直径分开注明),焊缝饱满度好、无咬渣、焊接头错开的距
安全施工日志规范
施工日志和安全日志该如何填写 施工日志 主要内容为:日期、天气、气温、工程名称、施工部位、施工内容、应用的主要工艺;人员、材料、机械到场及运行情况;材料消耗记录、施工进展情况记录;施工是否正常;外界环境、地质变化情况;有无意外停工;有无质量问题存在;施工安全情况;监理到场及对工程认证和签字情况;有无上级或监理指令及整改情况等。记录人员要签字,主管领导定期也要阅签。如何记好施工日志 第一、要弄懂填写施工日志的要求。 1、施工日志应按单位工程填写。 2、记录时间:从开工到竣工验收时止。 3、逐日记载不许中断。 4、按时、真实、详细记录,中途发生人员变动,应当办理交接手续,保持施工日记的连续性、完整性。施工日记应由栋号工长记录。 第二、要清楚施工日志应记录的内容。 施工日志的内容可分为五类:基本内容、工作内容、检验内容、检查内容、其他内容。 (一)基本内容 1、日期、星期、气象、平均温度。平均温度可记为XX℃—XX℃,气象按上午和下午分别记录。 2、施工部位。施工部位应将分部、分项工程名称和轴线、楼层等写清楚。 3、出勤人数、操作负责人。出勤人数一定要分工种记录,并记录工人的总人数。(二)工作内容 1、当日施工内容及实际完成情况。 2、施工现场有关会议的主要内容。 3、有关领导、主管部门或各种检查组对工程施工技术、质量、安全方面的检查意见和决定。 4、建设单位、监理单位对工程施工提出的技术、质量要求、意见及采纳实施情况。 (三)检验内容 1、隐蔽工程验收情况。应写明隐蔽的内容、楼层、轴线、分项工程、验收人员、验收结论等。 2、试块制作情况。应写明试块名称、楼层、轴线、试块组数。 3、材料进场、送检情况。应写明批号、数量、生产厂家以及进场材料的验收情况,以后补
基于Windows日志的安全审计技术研究
收稿日期:2008208220 基金项目:山东省自然科学基金(Y 2006G 20) 作者简介:宁兴旺(1984-),男,硕士研究生,主要研究方向为网络信息安全。 文章编号:100224026(2009)0120040206基于Windows 日志的安全审计技术研究 宁兴旺,刘培玉,孔祥霞 (山东师范大学信息科学与工程学院,山东济南250014) 摘要:事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律 是安全审计的根本目的。文章讨论了对Windows 系统日志文件进行集中式统一管理,采用API 钩子技术实现 Windows 下的审计数据的获取,并通过对Windows 日志的分析给出了一种基于主机日志分析的安全审计通用 模型。 关键词:主机日志;安全审计;计算机安全 中图分类号:TP393 文献标识码:A R esearch on Windows Log B ased Security Audit Technology Ning X ing 2wang ,LI U Pei 2yu ,K ONG X iang 2xia (School o f Information Science and Engineering ,Shandong Normal Univer sity ,Jinan 250014,China ) Abstract :An event log records s ome im portant events of an operating system or an application procedure. It is the primary purpose of a security audit to discover the required information and rules of an event by the analysis of a log.This paper discusses the central and global managment of windows system log files , em ploys such a techanology as API hook to acquire the audit data of windows system ,and presents a host log analysis based security audit universal m odel by the analysis of a windows log. K ey w ords :host log ;security audit ;com puter security 近几年来,随着开放系统Internet 的飞速发展和电子商务的日益普及,网络信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及I DS (入侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。在这种情况下,安全审计系统应运而生。安全审计系统作为一个完整安全框架中的一个必要环节,一般处在入侵检测系统之后,作为对防火墙系统和入侵检测系统的一个补充。 根据安全审计系统的一般要求[1],参照美国国家标准《可信计算机系统评估标准》 (T rusted C om puter System Evaluation Criteria ),安全审计可以理解为: 定义1:一个安全的系统中的安全审计系统,是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。 衡量一个安全审计系统好坏的标准主要有以下几个方面: (1)采集信息是否全面、安全和有效:一个好的安全审计系统能够审计出问题来,它必定要有足够多的信息去审计才可以保证系统能审计出问题来。采集到的信息是否足够全面,并且原始(没有被破坏或篡改)、第22卷 第1期 2009年2月 山东科学SH ANDONG SCIE NCE V ol.22 N o.1Feb.2009
ISO27001检查表Windows_ChecklistISO27001,信息审计
ISO27001检查表Windows_ChecklistISO27001, 信息审计 信息安全加固手册 WINDOWS系统 二零零五年四月
文档修改记录
1 补丁类5 1.1 最新的Service Pack 5 1.2 最新的Hotfixs 5 2 端口服务类6 2.1 禁止Messenger服务 6 3系统参数类 7 3.1禁止自动登录7 3.2禁止在蓝屏后自动启动机器8 3.4删除服务器上的治理员共享8 3.5防止运算机扫瞄器欺诈攻击9 4网络参数类 9 4.1防止碎片包攻击9 4.2 keep-alive时刻10 5用户治理、访咨询操纵、审计功能类11 5.1验证Passwd强度11 5.2密码长度11 5.3密码使用时刻13 5.4账号登录事件审计14 5.5账号治理审计15 5.6名目服务访咨询审计17 5.7登录事件审计18 5.8对象访咨询审计20 5.9策略更换审计21 5.10特权使用审计23 5.11进程跟踪审计24 5.12系统事件审计26 5.13失败登录账号锁定27 5.14失败登录账号锁定时刻28
5.15登录时刻到期时自动退出登录29 5.16不显示上次登录的用户名30 5.17 防止系统保持运算机账号和口令 31 5.18防止用户安装打印机驱动程序32 5.19复原操纵台禁止治理员自动登录33 6防病毒35 6.1安装防病毒软件及其更新35 7 Windows主机上WWW服务的安全增强35 7.1启用日志记录35 7.2删除未使用的脚本映射36 7.3删除IIS默认文件和名目37 8修改系统默认日志储存路径38 9 SQLSERVER加固38 9.1 SP补丁38 9.2删除不用的外部储备过程38 10替换CMD命令39 11 tunnel封装terminal服务39
面向业务的信息系统的安全审计系统
面向业务的信息系统的安全审计系统 近些年来,IT系统发展很快,企业对IT系统的依赖程度也越来越高,就一个网络信息系统而言,我们不仅需要考虑一些传统的安全问题,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫 等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。 一、为什么需要面向业务的信息安全审计? 面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。 我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。 程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A
地运营商系统进入B地运营商的业务系统--充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。 通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。 二、如何理解面向业务的信息安全审计? 信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。因此,面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。 根据国外的经验,如在美国的《萨班斯-奥克斯利法案
网络安全审计系统的实现方法
网络安全审计系统的实现方法 司法信息安全方向王立鹏1 传统安全审计系统的历史 传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中,其审计的重点也是本主机的用户行为和系统调用。在随后的20年间,其他的各个操作系统也有了自己的安全审计工具,如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。 2 常用安全措施的不足和基于网络的安全审计系统的出现 近几年来,随着开放系统Internet的飞速发展和电子商务的口益普及,网络安全和信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。 2.1防火墙技术的不足 防火墙技术是发展时间最长,也是当今防止网络人侵行为的最主要手段之一,主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术,但是由于防火墙技术自身存在的一些缺陷,使其越来越难以完全满足当前网络安全防护的要求。 包过滤型防火墙如只实现了粗粒度的访问控制,一般只是基于IP地址和服务端口,对网络数据包中其他内容的检查极少,再加上其规则的配置和管理极其复杂,要求管理员对网络安全攻击有较深人的了解,因此在黑客猖撅的开放Internet系统中显得越来越难以使用。 而代理网关防火墙虽然可以将内部用户和外界隔离开来,从外部只能看到代理服务器而看不到内部任何资源,但它没有从根本上改变包过滤技术的缺陷,而且在对应用的支持和速度方面也不能令人满意 2.2入侵检测技术的不足 人侵检测技术是防火墙技术的合理补充,能够对各种黑客人侵行为进行识别,扩展了网络管理员的安全管理能力。一般来说,人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。 目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。 基于主机的IDS来源于系统的审计日志,它和传统基于主机的审计系统一样一般只能检测发生在本主机上面的人侵行为。 基于网络的IDS系统对网络中的数据包进行监测,对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性…准实时性),它能在出现攻击的时候发出警告,让管理人员在在第一时间了解到攻击行为的发生,并作出相应措施,以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要,因此决定了其采用的数据分析算法不能过于复杂,也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析,所以现在大
浅谈安全审计与安全检查的区别
浅谈安全审计与安全检查的区别 随着中国民航的高速发展安全管理正在向科学化、规范化、系统化转变,行业安全水平有了很大提高,但安全保障能力与行业快速发展还不相适应,安全基础相对薄弱,安全管理体系处在完善之中。为此,从2006 年起民航总局决定,对民航企事业单位实施安全审计,目的是全面掌握民航企事业单位安全运行状况,督促并指导其建立和完善安全管理体系和长效机制,提升行业安全运行整体水平。与此同时各大航空公司、机场根据要求在做好安全检查的同时积极开展安全审计,并将安全审计编入SMS手册中。 本人有幸参加过几次审计工作及相关的培训,通过几次的培训发现被审计单位和员工往往将安全审计与安全检查混在一起,分不清两者的差别,在此有必要对安全审计与安全检查的区别进行阐述,以便对今后的安全管理工作及接受外部的审计提供帮助。安全审计与安全检查两者之间大致有7个方面的不同。 一、性质上不同 安全审计是一种安全监督,企业内部的安全审计它是根据企业的利益(具体为有关法律、法规、方针、政策及审计标准等),由独立于企业下属各部门之外的企业指定公认的审计人员,对各部门的安全管理,进行审核与稽察,作出评价,肯定成绩,揭发弊端,挖掘潜力,达到改善安全管理水平,提高企业效益的目的。 安全检查是安全审计过程中的所采用的一种手段,是实现各监督职能
的工作过程或程序的一部分,是进行监督方式的具体体现;是根据企业制定的各项制度及公认原则对被检查单位的操作、运行情况进行正确性、合理性和合法性的检查。 二、职能上的区别 审计的职能可概括为监督、评价及见证,具体为:(1)监督职能。是审计的主要职能,它具有相对的独立性和权威性,可以依据国家标准对审计对象进行各种形式的监督检查。(2)评价职能。评价就是在监督检查的基础上,经充分调查研究和分析,以确证事实,依据审计评价标准作出客观、公正、符合社会意志的“两点论”的评价,既肯定成绩,又实事求是地提出问题,且作出恰当的建议。(3)见证职能。不论国家审计、内部审计,还是社会审计,都要进行见证,以使被审单位以见证的形式获得其它部门公认。检查的职能是通过安全管理本身对安全工作进行监督、评价具体为:(1)检查安全生产的规范性,(2)检查安全资料的真实性(工作记录、安全教育纪录、培训档案等),(3)评价安全工作的质量及人员的水准。 三、目的上的区别 安全审计的目的具有安全检查目的所没有的有效性,是防错查弊,加强控制和管理,提高安全管理水平,正如民航总局副局长王昌顺曾经所说的航空安全审计的目的:“一是全面掌握被审计方安全运行状况;二是查找被审计方安全管理上存在的问题,督促并指导其进行安全整改;三是督促并指导被审计方建立和完善安全管理体系和长效机制;
建筑工程施工日志和安全日志填写方法
施工日志和安全日志填写要求 一、施工日志用途: 1、竣工验收资料文件 2、竣工结算审计文件 二、施工日志主要内容 主要内容为:日期、天气、气温、工程名称、施工部位、施工内容、应用的主要工艺(直螺纹、电渣压力焊等);人员、材料、机械到场及运行情况;材料消耗记录、施工进展情况记录;施工是否正常;外界环境、地质变化情况;有无意外停工;有无质量问题存在;施工安全情况;监理到场及对工程认证和签字情况;有无上级或监理指令及整改情况等,记录人员要签字。 三、如何记好施工日志 第一、要弄懂填写施工日志的要求: 1、施工日志应按单位工程填写。 2、记录时间:从开工到竣工验收时止。 3、逐日记载不许中断。 4、按时、真实、详细记录,中途发生人员变动,应当办理交接手续,保持施工日记的连续性、完整性。施工日记应由栋号工长记录。 第二、要清楚施工日志应记录的内容。 施工日志的内容可分为五类:基本内容、工作内容、检验内容、检查内容、其他内容。 一、基本内容:
1、日期、星期、气象、温度。温度可记为XX℃—XX℃,气象按上午和下午分别记录。 2、施工部位。施工部位应将分部、分项工程名称和轴线、楼层等写清楚。(地下车库应该与施工资料轴线划分保持一致); 3、出勤人数,出勤人数一定要分工种记录。 二、工作内容: 1、当日施工内容及实际完成情况。 2、施工现场有关会议的主要内容。 3、有关领导、主管部门或各种检查组对工程施工技术、质量、安全方面的检查意见和决定。(慎填) 4、建设单位、监理单位对工程施工提出的技术、质量要求、意见及采纳实施情况。 三、检验内容: 1、隐蔽工程验收情况。应写明隐蔽的内容、楼层、轴线、分项工程、验收人员、验收结论等。 2、试块制作情况。应写明试块名称、楼层、轴线、试块组数。 3、材料进场、送检情况。应写明批号、数量、生产厂家以及进场材料的验收情况,以后补上送检后的检验结果。(根据材料进场资料进行补充); 四、检查内容: 1、质量检查情况:当日砼浇注及成型、钢筋安装及焊接、砖砌体、模板安拆、抹灰、屋面工程、楼地面工程、装饰工程等的质量检查和处理
日志审计与分析系统
点击文章中飘蓝词可直接进入官网查看 日志审计与分析系统 日志审计与分析系统可以了解系统的运行状况,安全状况,甚至是运营的状况。如何选择一款合适的日志审计与分析系统呢?评价一款日志审计与分析系统需要关注哪些方面呢?小编今天给大家介绍一下选择日志审计与分析系统应该从几个方面来考虑。 南京风城云码软件公司(简称:风城云码)南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终保持在领域上向前发展。 由于一款综合性的日志审计与分析系统要能够收集网络中异构设备的日志,因此日志收集的手段应要丰富,建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志,支持从Log文件或者数据库中获取日志。 日志收集的性能也是要考虑的。一般来说,如果网络中的日志量非常大,对日志系统的性能要求也就比较高,如果因为性能的问题造成日志大量丢失的话,就完全起不到审计的作用的了。目前,国际上评价一款日志审计产品的重要指标叫做“事件数每秒”,英文是Event per Second,即EPS,表明系统每秒种能够收集的日志条数,通常以每条日志0.5K~1K字节数为基准。一般而言,EPS数值越高,表明系统性能越好。 日志审计与分析系统应提供准确的查询手段,不同类型日志信息的格式差异非常大,日志审计系统对日志进行收集后,应进行一定的处理,例如对日志的格式进行统一,这样不同厂家的日志可以放在一起做统计分析和审计,要注意的是,统一格式不能把原始日志破坏,否则日志的法律效力就大大折扣了。 日志审计与分析系统要让收集的日志发挥更强的安全审计的作用,有一定技术水平的管理员会希望获得对日志进行关联分析的工具,能主动挖掘隐藏在大量日志中的安全问题。因此,有这方面需求的用户可以考查产品的实时关联分析能力。
浅谈安全审计与安全检查的区别(标准版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 浅谈安全审计与安全检查的区 别(标准版) Safety management is an important part of production management. Safety and production are in the implementation process
浅谈安全审计与安全检查的区别(标准版) 随着中国民航的高速发展安全管理正在向科学化、规范化、系统化转变,行业安全水平有了很大提高,但安全保障能力与行业快速发展还不相适应,安全基础相对薄弱,安全管理体系处在完善之中。为此,从2006年起民航总局决定,对民航企事业单位实施安全审计,目的是全面掌握民航企事业单位安全运行状况,督促并指导其建立和完善安全管理体系和长效机制,提升行业安全运行整体水平。与此同时各大航空公司、机场根据要求在做好安全检查的同时积极开展安全审计,并将安全审计编入SMS手册中。 本人有幸参加过几次审计工作及相关的培训,通过几次的培训发现被审计单位和员工往往将安全审计与安全检查混在一起,分不清两者的差别,在此有必要对安全审计与安全检查的区别进行阐述,以便对今后的安全管理工作及接受外部的审计提供帮助。安全审计与安全检查两者之间大致有7个方面的不同。
一、性质上不同 安全审计是一种安全监督,企业内部的安全审计它是根据企业的利益(具体为有关法律、法规、方针、政策及审计标准等),由独立于企业下属各部门之外的企业指定公认的审计人员,对各部门的安全管理,进行审核与稽察,作出评价,肯定成绩,揭发弊端,挖掘潜力,达到改善安全管理水平,提高企业效益的目的。 安全检查是安全审计过程中的所采用的一种手段,是实现各监督职能的工作过程或程序的一部分,是进行监督方式的具体体现;是根据企业制定的各项制度及公认原则对被检查单位的操作、运行情况进行正确性、合理性和合法性的检查。 二、职能上的区别 审计的职能可概括为监督、评价及见证,具体为:(1)监督职能。是审计的主要职能,它具有相对的独立性和权威性,可以依据国家标准对审计对象进行各种形式的监督检查。(2)评价职能。评价就是在监督检查的基础上,经充分调查研究和分析,以确证事实,依据审计评价标准作出客观、公正、符合社会意志的“两点论”的
安全施工日志规范
施工日志和安全日志该如何填写? ? 施工日志? 主要内容为:日期、天气、气温、工程名称、施工部位、施工内容、应用的主要工艺;人员、材料、机械到场及运行情况;材料消耗记录、施工进展情况记录;施工是否正常;外界环境、地质变化情况;有无意外停工;有无质量问题存在;施工安全情况;监理到场及对工程认证和签字情况;有无上级或监理指令及整改情况等。记录人员要签字,主管领导定期也要阅签。?如何记好施工日志?? 第一、要弄懂填写施工日志的要求。?1、施工日志应按单位工程填写。?2、记录时间:从开工到竣工验收时止。? 3、逐日记载不许中断。 4、按时、真实、详细记录,中途发生人员变动,应当办理交接手续,保持施工日记的连续性、完整性。施工日记应由栋号工长记录。?? 第二、要清楚施工日志应记录的内容。?? 施工日志的内容可分为五类:基本内容、工作内容、检验内容、检查内容、其他内容。? (一)基本内容? 1、日期、星期、气象、平均温度。平均温度可记为XX℃—XX℃,气象按上午和下午分别记录。? 2、施工部位。施工部位应将分部、分项工程名称和轴线、楼层等写清楚。? 3、出勤人数、操作负责人。出勤人数一定要分工种记录,并记录工人的总人数。?(二)工作内容? 1、当日施工内容及实际完成情况。? 2、施工现场有关会议的主要内容。? 3、有关领导、主管部门或各种检查组对工程施工技术、质量、安全方面的检查意见和决定。? 4、建设单位、监理单位对工程施工提出的技术、质量要求、意见及采纳实施情况。? (三)检验内容? 1、隐蔽工程验收情况。应写明隐蔽的内容、楼层、轴线、分项工程、验收人员、验收结论等。? 2、试块制作情况。应写明试块名称、楼层、轴线、试块组数。? 3、材料进场、送检情况。应写明批号、数量、生产厂家以及进场材料的验收情况,以后补
安全审计概述
安全审计概述 分类:学术文章2009-11-24 15:45 201人阅读评论(0) 收藏举报文/陈尚义 一、什么是安全审计 安全审计,一般地,是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价。按照这个说法,审计可以是来自内部的,也可以是来自外部的。 GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》对“安全审计”的定义是:对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应的比较动作。安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行的目的。同时,信息系统安全审计产品对信息系统各组成要素进行事件采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管理的效率。 传统的商业与管理审计,与计算机安全审计的过程是完全相同的,但它们各自关注的问题有很大不同。计算机安全审计是通过一定的策略,利用记录和分析历史操作事件发现系统漏洞并改进系统的性能和安全。计算机安全审计需要达到的目的包括:对潜在的攻击者起到震慑和警告的作用;对于已经发生的系统破坏行为提供有效的追究责任的证据;为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。 具体到内网安全管理,安全审计是对计算机终端及其应用进行量化检查与评估的技术和过程。内网审计是通过对计算机终端中相关信息的收集、分析和报告,来判定现有终端安全控制的有效性,检查计算机终端的误用、滥用和泄密行为,验证当前安全策略的合规性,获取犯罪和违规的证据。 二、安全审计四要素 一般认为,安全审计涉及四个基本要素:目标、漏洞、措施和检查。 目标是企业的安全控制要求;漏洞是指系统的薄弱环节;措施是为实现目标所制定的技术、配置方法及各种规章制度;检查是将各种措施与安全标准进行一致性比较,确定各项措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。 管理部门相继出台了各层面的管理要求,就是对安全审计提出的目标。如分级保护要求、等级保护要求、以及将出台的国内《企业内部控制基本规范》等;同时,跨国、合资企业在符合我国安全要求的同时,也受到本国安全标准的管理。
LOSA论文:基于LOSA方法的航空安全审计系统的设计与实现
LOSA论文:基于LOSA方法的航空安全审计系统的设计与实现 【中文摘要】近几年,中国民航以平均每年百分之十五以上的速度发展,可以说是朝阳产业。民航的发展可以带拉动经济增长,无论在政治、经济、外交还是在方便出行,解决问题方面都有不可替代的作用。而民航要健康发展首要前提就是安全,做好安全工作具有十分重要的意义。目前中国民航业尚存在许多不足。一是科技落后,基础薄弱;二是起步较晚,经验不足。因此,中国民航要看到自己的不足,时时刻刻保持十分谨慎的态度。针对航空安全的目前情况和突出问题,总局和地区管理局也在积极的实施各种办法保障航空安全,并将航空安全作为第一要务。中国民航已认识到:有了安全不等于有了一切,但没有安全就没有一切。因此,为了提高航空安全,本文首先引入航空安全概念,然后再列出航空安全审计的量化标准。针对当前的航空安全状况进行分析,探索当前航空安全形势,从当前法规和现代航空安全管理方法等方面解读航空安全。在文中较为详细的阐述了航空安全法规。飞行活动是一项严谨的活动,这由它巨大的社会影响力,高效的运输能力和可靠的安全性决定的。所以进行航空活动的时候需要健全的法律法规进行保障。文中对航空安全的研究方法进行分析和阐述。航空安全管理方法包括:事故、事故调查,不安全事故报告系统,飞行品质监控等。这些航空安全的研究方法都有各自的缺点,在文中作者将LOSA和其他各种安全管理方法的结合使用,以期获得更为全面的安全
信息。本文着重讨论了航空安全审计的一种新的分析方式——LOSA 方法,该方法要引入威胁和差错等概念,把航线运行中可能发生的威 胁和差错进行归类,一一列出。最后以Access 2003数据库结合Visual Basic 6.0开发平台开发了航线安全审计数据库系统原型,实现了LOSA信息管理,运用到航空公司航线飞行,通过软件的试运行得出数据,进行分析,为开发一个完善的航空安全信息系统做准备。最后列举出我国民航航空安全中存在的普遍问题,给出相应的建议措施。作者希望,通过对航空安全的初步研究和讨论,能够对提高航空安全的发 展有一定的积极作用。航空安全需要我们脚踏实地不懈努力,并提出建设性的意见和措施。只有这样民航业才会在一个更好的基础上加快发展。 【英文摘要】In recent years, China’s civil aviation to 15 percent above the average annual rate of growth, can saying is a sunrise industry. With the development of civil aviation can stimulate economic growth, regardless of in the political, economic and diplomatic or in a convenient travel, solve problems are irreplaceable role. And the healthy development of civil aviation safety, completes the first premise is safety work has the extremely vital significance. At present Chinese civil aviation still have many shortcomings. A technology is a weak basis; backward, 2 it is late start, lack of experience. Therefore, China’s civil aviation to see my own shortcomings,
网络安全审计系统需求分析
安全审计系统需求分析 关键字:行为监控,内容审计 摘要:系统集内容审计与行为监控为一体,以旁路的方式部署在网络中,实时采集网络数据,并按照指定策略对数据进行过滤,然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能,以及后期取证功能。 需求背景 按等级进行计算机信息系统安全保护的相关单位或部门,往往需要对流经部门与外界接点的数据实施内容审计与行为监控的,以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况,提高单位或部门的工作效率。 所涉及的单位类型有政府、军队机关的网络管理部门,公安、保密、司法等国家授权的网络安全监察部门,金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心,大中型企业网络管理中心等。 一、实现的效果和目的 a. 对用户的网络行为监控、网络传输内容审计(如员工是否在工作时间上网冲浪、聊天,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,是否通过网络传播了反动言论等)。 b. 掌握网络使用情况(用途、流量),提高工作效率。 c. 网络传输信息的实时采集、海量存储。 d. 网络传输信息的统计分析。 e. 网络行为后期取证。 f. 对网络潜在威胁者予以威慑。 二、典型的系统组成
安全审计系统由三部分组成:审计引擎、数据中心、管理中心。 图1 :典型的单点部署 审计引擎(硬件):审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析,并把分析后的数据流发送给数据中心。 数据中心(软件):对审计引擎传送过来的数据流进行存储;按照用户的指令对数据进行还原、解码、解压缩,并可进行关键字查询审计、统计分析。 管理中心(软件):提供WEB形式的管理界面,可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用。 图2:适合多级管理的分布式部署
免费日志审计系统
我们都知道,日志审计系统在企业常规运营中起到不可或缺的作用,但是企业为了节约运营成本,往往会忽视这个环节。其实,是有免费日志审计系统的,如铱迅日志审计系统。该日志审计系统并不会因为是免费的就草草了事,反而功能齐全,使用便捷且有效。 铱迅日志审计系统是专业日志审计产品。系统能够实时不间断地采集汇聚企业中不同厂商不同种类的网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行分析及合规审计,及时、有效的发现异常事件及审计违规。 日志审计系统提供了众多基于日志分析的强大功能,如日志的集中采集、分析挖掘、合规审计、实时监控及告警等,系统配备了全球IP归属及地理位置信息数据,为事件的分析、溯源提供了有力支撑,日志审计系统能够同时满足企业实际运维分析需求及审计合规需求,是企业日常信息工作的重要支撑平台。 特色与优势 系统部署 支持All-in-One的单结点部署,同时支持企业级分布部署。
采集对象 可采集各类主流设备/系统的安全日志采集;包括syslog、文件、DB、WMI、SMB、SNMP-trap、Socket等多种采集方式。 日志解析采用脚本化定义,除内置主流设备/系统日志解析脚本外,用户可以自定义脚本。 关联响应 支持多种数据来源的关联;满足多种响应需求,如邮件、执行外部程序、Syslog等。 存储管理 支持高性能、大规模的分布式存储。 报表方式 内置多种报表模板,用户可以灵活定义。 实时分析和审计 采用高性能应用架构设计,满足事件的实时分析、审计要求;提供针对各类日志审计场景的策略模板,如等级保护、萨班斯等,支持策略的用户定制和升级; 实时告警 支持用户对所关注事件的实时告警,如异常日志事件和审计违规事件,可有效降低安全相关工作成本,提升工作效率。 实时监控 支持对系统当前接入安全日志的实时监控及大屏展示,用户可在滚动显示的安全事件中感知异常的安全态势,从而进一步深入分析潜在的安全威胁。 自身安全性和保障能力 系统内置安全防火墙;支持内部通讯检查及传输加密;支持关键系统模块的分离保护;支持完善、易用的权限管理。 产品功能
航空安全护卫部安全评估报告(201508).doc
迪庆香格里拉机场航空安全护卫部 近期安全状况评估报告 “7.26”紧急电视电话会议精神传达后,航空安全护卫部于7月27日晚19:00立即依照会议要求对航空安全护卫部实际安全保障工作情况进行了认真仔细的排查,就航空安全护卫部目前的安保形势进行了讨论、总结,现将近期安全状况做详细评估。 一、人力资源评估 1、航空安全护卫部目前共有35人。具体情况:管理人员3名、二级管理职员1人、航空安全护卫部有民航消防四级战斗员9人,民航消防五级战斗员7人,民航安全检查员三级4人,民航安全检查员四级4人,民航安全检查员五级5人,民航保安员五级9人,民航保安员四级4人,建构(筑)消防员1人,监控系统操作员3人,灭火救援岗位证书4人。中高级持证率为60%,初级持证人员比例40%。基本能满员航空安全护卫部目前的工作需求。 2、为全面掌握和综合分析目前迪庆香格里拉机场航空安全护卫部各项安全工作状况,进一步把握安全管理的规律,加强消防、护卫安全管理,提高护卫部安全管理工作的针对性,认真履行职责,特别是应对冬雷雨天气和多变性天气的复杂工作,及时分析安全形势,制定措施,加强对重点工作岗位、重点设施设备、重点部位等进行了有效的监管,
落实责任到人,消除各类安全隐患,有效杜绝了各类突发事件的发生,通过全体护卫部人员的共同努力,确保了航空安全护卫部一二季度各项工作的安全,实现了航空安全护卫部安全形势的稳定。 二、设施设备评估 1、到目前为止航空安全护卫部共有消防车9辆,其中快速调动车1辆,重型泡沫车1辆,中型泡沫车2辆,干粉车一辆,照明车2辆,库存泡沫4吨左右,库存干粉2吨,备品备件充足,按照目前机场6级消防配备标准,已完全达到要求,能满足现行工作需求;飞行区巡逻车1辆,应急救援指挥车1辆,使用情况正常。 2、目前迪庆香格里拉机场安保监控共有137个摄像头,已全面覆盖机场各个区域,7月分航空安全护卫部对部分有问题的摄像头进行了维修保养,现已全面恢复正常工作状态,现在能完全达到安全工作的需求; 3、机坪道口的安全防护栏、防撞设施工作正常,机场大门口的自动门、停车辆收费系统工作正常,机坪道口安检设备不足,容易造成违禁物品带入机坪控制区。 4、护卫人员的安保防护设备充足,能满足应急防护需求; 二、安全总体情况 事故与险情概况
信息安全审计报告
涉密计算机安全保密审计报告 审计对象:xx计算机审计日期:xxxx年xx月xx日审计小组人员组成:姓名:xx 部门:xxx 姓名:xxx 部门:xxx 审计主要内容清单: 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 篇二:审计报告格式 审计报告格式 一、引言 随着网络的发展,网络信息的安全越来越引起世界各国的重视,防病毒产品、防火墙、 入侵检测、漏洞扫描等安全产品都得到了广泛的应用,但是这些信息安全产品都是为了防御 外部的入侵和窃取。随着对网络安全的认识和技术的发展,发现由于内部人员造成的泄密或 入侵事件占了很大的比例,所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到 重视,要做到这点就需要在网络中实现对网络资源的使用进行审计。 在当今的网络中各种审计系统已经有了初步的应用,例如:数据库审计、应用程序审计 以及网络信息审计等,但是,随着网络规模的不断扩大,功能相对单一的审计产品有一定的 局限性,并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一,跨地 区、跨网段、集中管理才是综合审计系统最终的发展目标。 本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后 的发展方向做出了讨论。 二、什么是安全审计 国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、 可控性、可用性和不可否认性(抗抵赖),简称“五性”。安全审计是这“五性”的重要保障之 一,它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进 行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。 安全审计如同银行的监控系统,不论是什么人进出银行,都进行如实登记,并且每个人在银 行中的行动,乃至一个茶杯的挪动都被如实的记录,一旦有突发事件可以快速的查阅进出记 录和行为记录,确定问题所在,以便采取相应的处理措施。 近几年,涉密系统规模不断扩大,系统中使用的设备也逐渐增多,每种设备都带有自己 的审计模块,另外还有专门针对某一种网络应用设计的审计系统,如:操作系统的审计、数 据库审计系统、网络安全审计系统、应用程序审计系统等,但是都无法做到对计算机信息系 统全面的安全审计,另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面 综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况, 就需要对每种设备的审计模块熟练操作,并且结合多种专用审计产品才能够做到。 为了能够方便地对整个计算机信息系统进行审计,就需要设计综合的安全审计系统。它 的目标是通过数据挖掘和数据仓库等技术,实现在不同网络环境中对网络设备、终端、数据 资源等进行监控和管理,在必要时通过多种途径向管理员发 出警告或自动采取排错措施,并且能够对历史审计数据进行分析、处理和追踪。主要作 用有以下几个方面: 1. 对潜在的攻击者起到震慑和警告的作用; 2. 对于已经发生的系统破坏行为提供有效的追究证据; 3. 为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行 为或潜在的系统漏洞; 4. 为系统管理员提供系统的统计日志,使系统管理员能够发现系统性能上的不足或需要 改进和加强的地方。