跟踪审计有什么好方法

如题所述

‍
　　审计跟踪提供了实现多种安全相关目标的一种方法，这些目标包括个人职能、事件重建、入侵探测和故障分析。
　　个人职能
　　审计跟踪架构个人职能（individual accountability）
　　审计跟踪是管理人员用来维护个人职能的技术手段。通过告知用户应该为自己的行为负责，通过审计跟踪记录用户的活动，管理人员可以改善用户的行为方式。如果用户知道他们的行为被记录在审计日志中，他们就不太会违反安全策略和绕过安全控制措施。
　　逻辑访问控制是用于限制对系统资源的访问，允许用户访问特定资源意味着用户通常要通过这种访问完成他们的工作。当然，被授权的访问也会被滥用，这种情况下审计跟踪就能发挥作用。当无法阻止用户通过其合法身份访问资源时，审计跟踪就可以用于检查他们的活动。比方说人事部的某员工需要访问他们所负责的员工的人事记录，通过审计跟踪发现该员工对人事记录的超常打印，这也许意味着盗卖人事数据。再比方说某工程师需要通过使用计算机来设计新产品，通过审计跟踪发现在该工程师在设计结束前通过调制解调器进行了可疑的对外通信，这可以用来协助调查公司的专利数据被非法泄漏给其它公司的事件。
　　事件重建
　　事件重建（reconstruction of events）
　　在故障发生后，审计跟踪可以用于重建事件。通过审查系统活动的审计跟踪可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。通过对审计跟踪的分析通常可以辨别故障是操作引起的还是系统引起的。例如，当系统失败或文件的完整性受到质疑时，通过对审计跟踪的分析就可以重建系统、用户或应用程序的完整的操作步骤。在对诸如系统崩溃这样的故障的发生条件有清晰认识的前提下，就能够避免未来发生此类系统中断的情况。而且，在发生技术故障（如数据文件损坏）时，审计跟踪可以协助进行恢复（通过更改记录可以重建文件）。
　　入侵探测
　　入侵探测（intrusion detection）
　　如果用审计跟踪记录适当的信息，也可以用来协助入侵探测工作。如果在审计记录产生时就进行检查（通过使用某种警告标志或提示），就可以进行实时的入侵探测，不过事后检查（定时检查审计记录）也是可行的。
　　实时入侵探测主要用于探测外部对系统的非法访问。也可以用于探测系统性能指标的变化以发现病毒或蠕虫攻击。但是实时审计可能会降低系统性能。
　　事后鉴别可以标示出非法访问的企图（或事实）。这样就可以提醒人们对损失进行评估或重新检查受攻击的控制方式。
　　故障分析
　　故障分析（problem analysis）
　　在线的审计跟踪还可以用于鉴别入侵以外的故障。这常被称为实时审计或监控。如果操作系统或应用系统对公司的业务非常重要，可以使用实时审计对这些进程进行监控。
　　系统可以同时维护多个审计跟踪。有两种典型的审计记录（1）所有键盘敲击的记录，通常称为击键监控，和（2）面向事件的审计日志。这些日志通常包括描述系统事件、应用事件或用户事件的记录。
　　审计跟踪应该包括足够的信息，以确定事件的内容和引起事件的因素。通常，事件记录应该列有事件发生的时间、和事件有关的用户识别码、启动事件的程序或命令以及事件的结果。日期和时间戳可以帮助确定用户到底是假冒的还是真实的。
　　击键监控
　　击键监控（keystroke monitoring）
　　击键监控用于对计算机交互过程中的用户键盘输入和计算机的反应数据进行检查或记录。击键监控通常被认为是审计跟踪的一种特殊应用。击键监控的例子包括检查用户敲入的字符，阅读用户的电子邮件以及检查用户敲入的其它信息。
　　有些系统维护功能会记录用户的击键。如果这些记录保存与之相关的用户鉴别码就可以协助管理员确定击键人从而达到击键监控的目的。击键监控致力于保护系统和数据免遭非法入侵和合法用户的滥用。入侵者的击键记录可以协助管理员评估和修复入侵造成的损失。
　　审计日志
　　面向事件的审计日志（event-oriented audit logs）
　　系统审计日志一般用于监控和微调系统性能。应用审计跟踪可以用于辨别应用程序中的错误和对安全策略的违背。用户审计记录通常用于将用户的行为和职能联系起来。分析用户审计记录可以发现各种不安全的事件，如安装木马或获取非法权限。
　　系统本身都会有诸如文件和系统访问的约束性的策略。对用于实施这些策略的系统配置文件更改的监控非常重要。如果特定的访问（如安全管理员的访问）用于修改配置文件，那么系统应该在这种访问发生时产生相应的审计记录。
　　有时比系统审计跟踪更详细的记录也是需要的。应用审计跟踪就可以提供更详细的记录。如果应用是很关键的，那么就不但要记录应用的发起者，还要记录每一个用户的具体细节。例如电子邮件应用，可能要记录发件人、收件人和信息长度。再比如数据库应用，应该记录数据库的访问者以及其具体读取（或更改、删除）哪个表的哪个行或列，而不是仅仅记录数据库程序的执行。
　　用户审计跟踪通过记录用户启动的事件（如访问文件、记录和字段；使用调制解调器）来监控和记录系统或应用中该用户的活动。
　　适应性是审计跟踪的关键特性。理想（从安全角度看）的情况是系统管理员能够监控所有的系统和用户活动，又能有选择地记录系统和应用的特定功能。至于日志记录的数量和需要审查的数量取决于相关应用或数据敏感性，应该由职能部门经理或应用所有者在系统管理员和计算机安全管理人的指导下根据日志的性价比确定。通常审计日志包含隐私内容。用户应该熟悉使用环境下和隐私相关的现行法律、法规和政策。
　　（A）系统级审计跟踪
　　系统级审计要求审计跟踪至少要能够记录登录（成功和失败）、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用的设备、登录后运行的内容（如用户启动应用的尝试，无论成功或失败）。典型的系统级日志还包括和安全无关的信息，如系统操作、费用记帐和网络性能。
　　系统级审计跟踪应该能够鉴别登录的成功和失败，在系统不能限制失败登录的尝试次数时尤其需要这样。遗憾的是，有些系统级审计跟踪无法探测登录尝试，所以无法进行记录以便日后检查。这样的审计跟踪只能监控和记录成功的登录及其登录后的活动。记录失败的登录尝试对于有效的入侵探测是必须的。
　　（B）应用级审计跟踪
　　系统级审计跟踪可能无法跟踪和记录应用中的事件，也可能无法提供应用和数据拥有者需要的足够的细节信息。通常，应用级审计跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。有些应用会对数据的可用性、机密性和完整性比较敏感，这些应用的审计跟踪应该记录数据修改前后的数据快照。
　　（C）用户审计跟踪
　　用户审计跟踪通常记录（1）用户直接启动的所有命令，（2）所有的鉴别和认证尝试，和（3）所访问的文件和资源。
　　如果连同命令的选项和参数一同记录将会更有用。因为知道用户想要删除日志文件（以掩盖非法访问）比仅仅知道用户使用了删除命令更有价值。

温馨提示：答案为网友推荐，仅供参考

当前网址：http://77.wendadaohang.com/zd/3pN3INvv8G88WvWpvW.html