审计程序包括哪些内容 「浅谈」操作系统的审计
时间:2018-07-19 19:23:12 来源:天一资源网 本文已影响 人 
现代商业操作系统的审计子系统保留了有关如何使用系统的记录。审计当成一种服务,其包括帮助分析审计数据的工具。
什么是系统审计
审计是指收集有关系统资源使用情况的数据。审计数据提供安全相关的系统事件的记录。以后便可以使用此数据来指定系统上执行的操作的职责。成功的审计应包括识别和验证。
监视系统上发生的与安全相关的事件
在网络范围的审计迹中记录事件
检测误用或未经授权的活动
查看访问模式以及个人和对象的访问历史记录
发现绕过保护机制的尝试
发现用户更改身份时对特权的扩展使用
通常审计服务可以实现以下操作:
术语和概念
audit class(审计类)
一组审计事件。审计类提供选择一组要审计的事件的方法。
audit file system(审计文件系统)
二进制格式的审计文件系统信息库。
audit event(审计事件)
可审计的与安全相关的系统操作。为了便于选择,将事件分为多个审计类。
audit flag(审计标志)
作为参数提供给命令或关键字的审计类。审计标志预选将审计进程的哪些审计类。
audit plugin(审计插件)
用于将队列中的审计记录传输到指定位置的模块。创建二进制审计文件。而这些二进制文件组成了审计迹,存储在审计文件系统中。远程插件将二进制审计记录发送到远程系统信息库。日志插件使用syslog (3C) 汇总审计记录并将其写入系统日志中。
audit policy(审计策略)
一组可以在您的站点中启用或禁用的审计选项。可以指定诸如下面的策略:
·是否记录某些种类的审计数据
·审计内容中包括多少信息
·如何处理某些类型的文件
·如何处理整个审计队列
audit record(审计记录)
审计队列中收集的审计数据。一条审计记录描述一个审计事件。每条审计记录由多个审计标记组成。
audit token(审计标记)
审计记录的字段。每个审计标记描述审计记录的一个属性,例如用户、组、程序或其他对象。
audit trail(审计迹)
一个或多个审计文件的集合,用于存储使用缺省插件audit_binfile的所有已审计系统上的审计数据。
local auditing(本地审计)
收集在本地系统上生成的审计记录。这些记录可以是在全局区域或非全局区域(或者两者)中生成的。
post-selection(后选)
有关要在预选的审计迹中检查哪些审计事件的选择。
preselection(预选)
有关要监视哪些审计类的初始选择。将在审计队列中收集预选的审计类的审计事件。由于不会审计未预选的
public object(公共对象)
由root用户拥有且任何人都可读取的文件。例如,/etc目录和/usr/bin目录中的一些文件就是公共对象。不会针对只读事件审计公共对象。例如,即使预选了file_read (fr) 审计类,也不会审计公共对象的读取。您可以通过更改public审计策略选项来覆盖缺省值。
remote auditing(远程审计)
审计远程服务器 (Audit Remote Server, ARS) 接收并存储来自正被审计且配置有活动audit_remote插件的系统的审计记录。为了区分被审计系统与 ARS,可以将被审计系统称为“本地被审计系统”。
操作系统审计与安全
审计通过显示可疑或异常的系统使用模式来帮助检测潜在的安全违规。审计还提供一种根据可疑操作追溯到特定用户的方法,因此可以起到一种威慑的作用。知道自己的活动正在被审计的用户很少会尝试执行恶意操作。
要保护计算机系统,特别是网络中的系统,需要在系统进程或用户进程开始之前具备控制活动的机制。安全性要求系统上安装有在活动发生时用于监视活动的工具,同时还要求在活动发生后报告活动。
在用户登录或开始系统进程之前设置审计参数,因为大部分审计活动都涉及监视当前事件和报告符合指定参数的事件。
审计不能防止黑客未经授权的侵入。但是,审计服务可以报告特定用户在特定日期和时间执行了特定操作之类的信息。审计报告可以按登录路径和用户名来标识用户。此类信息可立即报告给终端和文件,以供以后分析。因此,审计服务提供的数据有助于确定以下内容:
系统安全如何受到威胁
需要关闭哪些漏洞来确保期望的安全级别
工作原理
审计在发生指定的事件时生成审计记录。通常情况下,生成审计记录的事件包括:
•系统启动和系统关闭
•登录和注销
•进程创建或进程销毁,或线程创建或线程销毁
•打开、关闭、创建、销毁或重命名对象
•使用权限
•识别操作和验证操作
•由进程或用户执行的权限更改
•管理操作,例如安装软件包
•特定于站点的应用程序
审计记录从以下三个源生成:
•应用程序
•异步审计事件的结果
•进程系统调用的结果
捕获相关的事件信息后,会将这些信息格式化为审计记录。每条审计记录都包含识别事件的信息、导致事件的原因、事件发生的时间,以及其他相关信息。该记录随后会被放置在审计队列中并发送到活动插件进行存储。尽管所有插件都可以处于活动状态,但至少有一个插件必须处于活动状态或者必须配置远程审计服务器。
审计模型
代理可以安装在受保护目标(而不是单独的系统)上。还可以配置带有代理的多个系统,以连接到 Audit Vault 服务器。然而,注册受保护目标时,请指定 AV 服务器与之通信以获取审计数据的特定系统。
一个标准的系统审计模型
(纯理论性文章比较枯燥,感谢读者阅文至此)
