审计是模拟社会监察机构在加算机系统中监视、记录和控制用户活动的一种机制。其目标是检测和判定对系统的恶意攻击和误操作,并将其作为一种事后分析和追查的有效手段来保护系统安全。在系统中设置系统审计员,负责管理与系统审计有关的事务。
审计系统应该有什么功能? 事件收集功能 并非所有的事件都对系统安全构成威胁。所以对事件设置审计开关,审计的开关状态,决定了事件的监视范围。事件过滤功能 不同的事件对系统的威胁程度也会不同,需要对收集来的事件进行过滤。采用的方法是设置审计阈值,即,当一个事件超过了阈值的严重程度,则必须记录在系统中。 审 计 事 件 是 同 时 满 足 设 定 的 审 计 开 关 和 审 计 阈 值 的 事 件 。 color{blue}审计事件是同时满足设定的审计开关和审计阈值的事件。 审计事件是同时满足设定的审计开关和审计阈值的事件。对事件的分析和控制功能 当违法事件发生频率超出了设定的值的时候,及时对用户提出警告;当事件频率到达极其恶劣的时候,用户将会被逐出系统;要实现这样的机制,需要在系统中设置报警阈值和惩罚阈值。日志维护和查询功能 用来记录审计的信息,提供了一种载体,叫做审计日志。审计信息安全保护功能 审计日志中的信息包含着许多的保密信息,所以要对审计信息进行加密处理。审计系统的工作流程:
审计系统如何实现? 初始化 审计子系统需要很多的参照信息,而这些参照信息的生成由审计模块完成。审计功能的开启与关闭 系统中一般用户也可以进行开启审计,但是只有 系 统 审 计 员 color{blue}系统审计员 系统审计员才有权力关闭审计功能。开关和阈值设置 计算机系统中设计系统安全的事件可分为两大类:用户级事件和系统级事件,与之对应的是两种开关,用户级开关和系统级开关。 系统中数据的增删改查可以定义用户级开关。 用户的登录和退出,系统审计员、系统安全员和系统审计员的活动,和创建客体,这五类操作可以定义系统级开关。 事件的可能的结果分为成功、失败、出错、违法。 审计阈值可定义为4种关系中的一种,当审计结果大于或者等于审计阈值的时候将会被记录下来。 只 有 当 审 计 开 关 打 开 情 况 下 , 审 计 阈 值 、 报 警 阈 值 、 惩 罚 阈 值 才 有 意 义 。 color{blue}只有当审计开关打开情况下,审计阈值、报警阈值、惩罚阈值才有意义。 只有当审计开关打开情况下,审计阈值、报警阈值、惩罚阈值才有意义。事件收集、过滤和控制 事件收集和过滤是为了判别当前事件是否为一审计事件,是否将其记录下来。提统计·系统级事件和用户级事件确定一个事件是否审计事件是由差别的。但是两者都是要求审计结果大于或者等于审计阈值。对于结果为违法的事件,无论审计开关或者阈值是否设置,均确定该事件为审计事件。审计日志的维护 审计信息中包含的内容:发生的时间、涉及的主体和客体、事件的操作类型、事件的结果以及与系统安全有关的一些内容。 审计日志作为审计内容的载体,分为临时日志和归档日志。 在临时日志膨胀到一定限度时,系统将会停止工作,并提示导出临时日志,只有审计员才有权将其上内容存放到归档日志中。可采用动态密钥生成方法对其上敏感的信息进行保存。审计日志的查询 用户可以查询它本人进行设置而产生的临时日志中的审计内容。 系统审计员可以查询所有的临时日志和归档日志。安全自维护 1、系统中任意用户都可以执行审计功能开启命令,但只有系统审计员才可以使用审计功能关闭命令。 2、 用户只可以对自己所拥有的客体进行设计审计,而系统审计员可以对系统中所有的客体设置审计。仅系统审计员才可以对系统级事件设置审计。 3、 一般用户只能查看自己设置审计而获得的审计内容,而系统审计员可以查询所有的审计消息。 4、 审计日志的维护和归档,只能由系统审计员来完成。 审计的粒度 以客体(文件)为审计粒度 实现对某些客体的重点监护。以用户为审计粒度 实现对某些用户的重点监视。以用户和客体为审计粒度 监视不可信主体可能出现的有目标的恶意攻击。 其他问题多级安全系统的审计 将审计阈值定义为安全级阈值和严重度阈值两部分。 安全级阈值的取值范围是系统中主体和客体的安全级,严重度阈值就是审计阈值。 冲突问题 用户对自己拥有的客体进行了审计,系统审计员也对该客体进行了审计,但是两者设置的阈值不相同,而产生的冲突。对于这种冲突,审计系统应该选择采用系统审计优先还是审计阈值大的优先。综合实际系统的效率问题,给予合理的抉择。