| 3. 审计跟踪和日志的类型
系统可以同时维护多个审计跟踪。有两种典型的审计记录(1)所有键盘敲击的记录,通常称为击键监控,和(2)面向事件的审计日志。这些日志通常包括描述系统事件、应用事件或用户事件的记录。
审计跟踪应该包括足够的信息,以确定事件的内容和引起事件的因素。通常,事件记录应该列有事件发生的时间、和事件有关的用户识别码、启动事件的程序或命令以及事件的结果。日期和时间戳可以帮助确定用户到底是假冒的还是真实的。
击键监控(keystroke monitoring)
击键监控用于对计算机交互过程中的用户键盘输入和计算机的反应数据进行检查或记录。击键监控通常被认为是审计跟踪的一种特殊应用。击键监控的例子包括检查用户敲入的字符,阅读用户的电子邮件以及检查用户敲入的其它信息。
有些系统维护功能会记录用户的击键。如果这些记录保存与之相关的用户鉴别码就可以协助管理员确定击键人从而达到击键监控的目的。击键监控致力于保护系统和数据免遭非法入侵和合法用户的滥用。入侵者的击键记录可以协助管理员评估和修复入侵造成的损失。
面向事件的审计日志(event-oriented audit logs)
系统审计日志一般用于监控和微调系统性能。应用审计跟踪可以用于辨别应用程序中的错误和对安全策略的违背。用户审计记录通常用于将用户的行为和职能联系起来。分析用户审计记录可以发现各种不安全的事件,如安装木马或获取非法权限。
系统本身都会有诸如文件和系统访问的约束性的策略。对用于实施这些策略的系统配置文件更改的监控非常重要。如果特定的访问(如安全管理员的访问)用于修改配置文件,那么系统应该在这种访问发生时产生相应的审计记录。
有时比系统审计跟踪更详细的记录也是需要的。应用审计跟踪就可以提供更详细的记录。如果应用是很关键的,那么就不但要记录应用的发起者,还要记录每一个用户的具体细节。例如电子邮件应用,可能要记录发件人、收件人和信息长度。再比如数据库应用,应该记录数据库的访问者以及其具体读取(或更改、删除)哪个表的哪个行或列,而不是仅仅记录数据库程序的执行。
用户审计跟踪通过记录用户启动的事件(如访问文件、记录和字段;使用调制解调器)来监控和记录系统或应用中该用户的活动。
适应性是审计跟踪的关键特性。理想(从安全角度看)的情况是系统管理员能够监控所有的系统和用户活动,又能有选择地记录系统和应用的特定功能。至于日志记录的数量和需要审查的数量取决于相关应用或数据敏感性,应该由职能部门经理或应用所有者在系统管理员和计算机安全管理人的指导下根据日志的性价比确定。通常审计日志包含隐私内容。用户应该熟悉使用环境下和隐私相关的现行法律、法规和政策。
(A)系统级审计跟踪
系统级审计要求审计跟踪至少要能够记录登录(成功和失败)、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容(如用户启动应用的尝试,无论成功或失败)。典型的系统级日志还包括和安全无关的信息,如系统操作、费用记帐和网络性能。
系统级审计跟踪应该能够鉴别登录的成功和失败,在系统不能限制失败登录的尝试次数时尤其需要这样。遗憾的是,有些系统级审计跟踪无法探测登录尝试,所以无法进行记录以便日后检查。这样的审计跟踪只能监控和记录成功的登录及其登录后的活动。记录失败的登录尝试对于有效的入侵探测是必须的。
(B)应用级审计跟踪
系统级审计跟踪可能无法跟踪和记录应用中的事件,也可能无法提供应用和数据拥有者需要的足够的细节信息。通常,应用级审计跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。有些应用会对数据的可用性、机密性和完整性比较敏感,这些应用的审计跟踪应该记录数据修改前后的数据快照。
(C)用户审计跟踪
用户审计跟踪通常记录(1)用户直接启动的所有命令,(2)所有的鉴别和认证尝试,和(3)所访问的文件和资源。
如果连同命令的选项和参数一同记录将会更有用。因为知道用户想要删除日志文件(以掩盖非法访问)比仅仅知道用户使用了删除命令更有价值。
|
