6.1身份认证技术基础

身份认证是网络安全系统中的第一道关卡，是实施访问控制，审计等一系列信息安全措施的前提

6.1.1身份认证的概念和作用

认证技术的基本概念：

1. 认证是指对主客体进行确认及验证的过程
2. 认证可以解决主体本身的信用问题和客体对主体访问的信任问题，认证可以为下一步授权奠定基础，是对用户身份和认证信息的生成，存储，同步，维护和验证等声明周期的管理

认证技术从鉴别对象上可以分为两种：

1. 身份认证：用于鉴别用户身份。包括识别和验证两个部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。
2. 消息认证：用于保证信息的完整性和不可否认性。通常用来检测主机收到的信息是否完整，以及检测信息在传递过程中是否被修改或伪造

身份认证的基本概念：

• 身份认证是网络系统的用户在进入系统或访问拨不同保护级别的系统资源时，系统确认验证用户身份真实，合法和唯一的过程，即系统对用户身份的识别和验证过程
• 通常，身份认证基本有三种方法：通俗的将就是你有什么？你知道什么？你是谁？
  • （1）用户所知道的事物，如口令，密码
  • （2）用户拥有的物品，如身份证，智能卡（如信用卡）
  • （3）用户所具有的生物特征，如指纹，虹膜，视网膜，声音，笔迹等

身份认证的作用：

• 身份认证和鉴别是信息安全中的第一道防线，对信息系统的安全有着重要的意义。可以确保用户身份的真实，合法和唯一性，可以防止非法的人员进入系统，防止通过各种违法操作获取不正当的利益，非法访问受控信息
• 访问控制和审计系统都依赖于身份认证系统提供的“认证信息”鉴别和审计
• 

6.1.2常用网络身份认证方式

下面是五种常用的身份认证方式（你有什么？你知道什么？你是谁？）

1. 静态密码方式：是指以用户名及密码认证的方式，基于：你知道什么的验证手段
2. 动态口令认证：是应用最广的一种身份识别方式，主要有动态短信密码和动态口令牌（卡）两种方式，口令一次一密。前者是将系统发送给用户注册手机的动态短信密码进行身份认证。后者则以发给（机构）用户动态口令牌进行认证
3. USB Key 认证：
   1. 采取软硬件结合，一次一密的强双因素认证模式
   2. 其身份认证系统有两种认证模式
      1. 基于PKI体系的认证模式
      2. 基于冲击 / 响应模式
4. 生物识别技术：
   1. 是指通过可测量的身体或行为等生物特征信息进行身份认证的技术
   2. 生物特征包括身体特征和行为特征：
      1. 身体特征包括：指纹，掌纹，虹膜，视网膜，人脸等
      2. 行为特征包括：签名，语音，行走步态等 
5. CA认证系统：
   1. 是国际认证机构的统称，是对数字证书的申请用户进行发放，管理，检验或取消的机构。CA认证是对网络用户身份证的发放，管理和确认的过程
   2. CA的主要职能体现在三个方面
      1. 管理和维护客户的证书和证书作废表
      2. 维护整个认证过程的安全
      3. 提供安全审计的一句

问答

1. 身份认证技术的类型
   按教材 6.1.1 划分：

   • 身份认证（鉴别用户身份）

   • 消息认证（保证信息完整性和不可否认性）

1. 基于生物特征的身份识别方法种类
   教材 6.1.2 列了两类：

   • 身体特征：指纹、掌纹、虹膜、视网膜、人脸等

   • 行为特征：签名、语音、行走步态等

6.1.4 身份认证机制

认证机制常与授权机制结合在一起，通过认证的用户才能获得使用权限。

常用的认证机制有：

1. 静态密码认证系统
   1. 固定口令认证是一种以检验用户设定的固定字符串进行系统认证的方式。当通过网络访问资源网站时，系统要求输入用户名和密码。在账号和密码被确认后，用户便可访问授权的资源。 
   2. 固定口令认证方式简单，易受攻击：
      1. 网络数据流窃听
      2. 认证信息截取，重放
      3. 字典攻击
      4. 穷举尝试
      5. 窥探密码
      6. 社会工程攻击
2. 一次性口令方式（动态口令认证系统）
   1. 在登录过程中加入不确定因素，使登录过程中传送的密码信息都不相同，从而可以增强认证性系统的安全性。
   2. 组成包括：
      1. 生成不确定性因子
      2. 生成一次性口令
3. 双因素安全令牌
   1. E-Scurer的组成
      1. 安全身份认证服务器
      2. 双因子安全令牌
4. 单点登录：
   1. 在大型网络系统中，面对各种服务器系统的认证方式与手段。在查看邮件，访问工资，查询系统或登入公司分支机构时，总要记住不同的用户名和口令。不仅不易管理，也为网络安全留下隐患，因此产生了单点登入系统。
   2. 单点登入也称单次登入，实在多个应用系统中，用户只需要登入一次就可以访问所有相互信任的应用系统。我校的信息网站系统就是一个典型的单点登入系统
   3. 优点：管理简单，管理控制便捷，用户使用便捷，安全性更高，合并异构网络
   4. 能够为用户提供安全的单点登入服务最有代表性的协议是Kerberos协议。是一种基于对称密码算法的网络认证协议
      1. 这个模型中主要包括以下几个方面：客户机，服务器，认证服务器，票据授予服务器。

6.2认证系统和数字签名

6.2.1 身份认证系统

身份认证系统的组成一般包括三个部分：

1. 认证服务器
2. 认证系统客户端
3. 认证设备

认证性系统实现：身份认证性协议和认证系统软硬件

1. 身份认证协议分为：单向认证协议和双向认证协议
   1. 如果通信双方只需一方鉴别另一方的身份，则称为单向认证协议
      1. 双方在网上通信时，甲只需要认证乙的身份，这时甲需要获取乙的证书，获取的方式是两种：一种是在通信时乙直接将证书传给甲，另一种是甲向CA的目录服务器查询获取。甲获得乙的证书后，先用CA的根证书公钥验证该证书的签名，验证通过说明该证书是第三方CA签发的有效证书，然后检查证书的有效期及时效性及黑名单
   2. 如果双方都需要验证身份，则成为双向认证协议：
      1. 双方在网上通信时，双方互相确认身份。其认证过程各方面都和上述单向认证过程相同。双方采用LDAP协议在网上查询对方证书的有效性和黑名单。

6.2.2 身份认证常用机制

6.2.3数字签名

数字签名又称公钥数字签名，用于辨别签署人的真实身份，并表明签署人对数据中包含信息的认可，也用于保证信息来源的真实性，数据传输的完整性和防抵赖性。

用户以电子邮件等方式，使用个人私有秘钥加密数据或选项后发送给接受者，接受者用发送者的公钥解开数据后，就可以确定数据源

数字签名的概念：

• 通过某种密码运算生成一系列符号及代码组成的电子密码进行签名，来代替书写签名或印章，对于这种带电子式的签名还可进行技术验证

数字签名的方法和功能，主要的方法有：

1. 基于PKI的公钥密码技术的数字签名
2. 用一个以生物特征统计学为基础的识别标识，如手写签名和图章的电子图像的识别模式
3. 收银，声音印记或视网膜扫描的识别
4. 一个让收件人能识别发件人身份的密码代号，密码或个人识别码
   1. 目前应用比较成熟的，使用方便的具有可操作性的，在世界先进国家普遍使用的电子数字签名技术还是基于PKI的数字签名技术。

数字签名的功能：

• 保证信息传输的完整性，发送者的身份认证，防止交易中的抵赖行为发生。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起发送给接受者。最终目的是实现四种安全保证功能：
• 必须可信 无法抵赖 不可伪造 不能重用 不许变更 处理快，应用广

数字签名算法组成：

1. 签名算法：
   1. 签名者可使用一个秘密的签名算法签一个消息，所得的签名呢，可以通过一个公开的验证算法来验证。当给定一个签名后，验证算法可根据签名的真实性进行判断。
   2. 最终目的是实现六种安全保障功能：
      1. 必须可信
      2. 无法抵赖
      3. 不可伪造
      4. 不可重用
      5. 不可变更
      6. 数字签名有一定的处理速度，能够满足所有的应用需求
2. 验证算法

数字签名的过程及实现：

• 网上通信的双方，在相互认证身份之后，即可发送签名的数据电文
• 数字签名的全过程分为两步，第一步是签名，第二步是验证  
• 发送方将原文用哈希算法求得数字摘要，用签名私钥对数字摘要加密求得数字签名，然后将原文与数字签名一起发送给接收方； 接收方验证签名，即用发送方的公钥解密数字签名，得出数字摘要 ； 接收方将原文采用同样的哈希算法又得到一个新的数字只要爱，将两个数字摘要进行比较，如果两者匹配，说明经数字签名的电子文件传输成功

数字签名的操作过程

1. 数字签名的操作过程，需要有发送签名证书的私钥及其验证公钥。具体的操作过程分成四步：如图所示
2. 
3. 第一步：生成被签名的电子文件
4. 第二步：对电子文件用哈希算法做数字摘要
5. 第三步：对数字摘要用签名私钥做非对称加密
6. 第四步：将以上的签名和电子文件原文以及签名证书的公钥加载一起进行封装，形成签名结果发送给接收方，等待接收方验证

数字签名的验证过程如下：

1. 接收方收到发送方的签名后进行签名验证的具体操作过程如图所示：
2. 接收方收到数字签名的结果包括数字签名，电子原文和发送方公钥，即待验证的数据
3. 
4. 接收方首先用发送方的公钥解密数字签名，导出数字摘要，并对电子文件原文做同样的哈希算法得到一个新的数字摘要，将两个摘要的哈希值进行比较，结果相同的签名得到验证，否则签名无效。《电子签名法》中要求对签名不可改动，对签署的内容和形式也不可改动、

回答问题：

基于口令认证的主要安全隐患

• 网络窃听：明文口令可被嗅探
• 重放攻击：截获口令再次提交
• 字典/暴力破解：离线猜测弱口令
• 密码窥探：肩窥、摄像头、社会工程
• 固定口令长期有效，失泄后影响持续

（2）数字签名与现实签名的区别与联系
联系：同样用于确认身份、表明认可、防止抵赖。

区别：

• 载体：现实签名是手写/印章图形；数字签名是电子密码串
• 验证方式：现实凭肉眼比对笔迹或印章；数字签名用公钥数学验证
• 完整性：现实签名易被涂改；数字签名只要哈希对不上即失效
• 法律效力：数字签名受《电子签名法》保障，与手写签名同效，但需可信 PKI 支撑
• 复用性：现实签名可被复印重用；数字签名绑定原文件，任何改动均导致验证失败，不可重用

6.3访问控制技术

6.3.1 访问控制的概念

1. 访问控制是指针对非授权使用资源的防御措施，即判断使用者是否有权限使用或更改某一项资源，并防止非授权使用者滥用资源。目的是限制访问主体对访问客体的访问权限。---从而保障数据资源在合法范围内得到有效管理和使用

2. 访问控制包含三方面含义：

   1. 一是机密性控制
   2. 二是完整性控制
   3. 三是有效性控制
3. 访问控制是系法使用性的基统保密性，完整性，可用性和合础，是网络安全防范和保护的主要策略。
4. 访问控制可以分为两个层次：物理访问控制和逻辑访问控制

5. 访问控制的三个要素是：

   1. 主体S（subject）：指提出资源的具体请求方
   2. 客体O（object）：指访问资源的实体
   3. 控制策略A（attribution）：指主体对客体的访问控制规则

6. 访问控制的目的：

   1. 是为了限制访问主体对客体的访问权限，从而使计算机网络系统在合法范围内使用；它能决定用户能够做什么，也决定代表一定用户身份的进程能做什么。

7. 访问控制两个主要任务：

   1. 识别和确认访问系统的用户
   2. 决定该用户可以对某一系统资源进行何种类型的访问

8. 访问控制的功能和内容：

   1. 保证合法用户访问受保护的网络资源，防止非法的主题进入受保护的网络资源或防止合法用户对受保护的网络资源进行非授权的访问

9. 访问控制的内容包括三个方面:1111111110000

   1. 认证：包括主主体对客体的识别认证和客体对主题检验认证
   2. 控制策略具体实现：设定规则集合以确保正常用户对信息资源的合法使用，防止非法用户及敏感资源泄露，对于合法用户，不能越权使用控制策略赋予权利意外的功能。
   3. 安全审计：系统自动记录网络中的正常时间，非正常操作以及使用时间，敏感信息等

6.3.2 访问控制模型和分类

1. 访问控制实现【方法】

   1. 访问控制矩阵：访问控制矩阵模型的基本思想是将所有的访问控制信息存储在一个矩阵中进行集中管理。当前的访问控制模型都是再次基础上建立起来的
      1. 
      2. 访问矩阵每行对应一个主体，是访问操作中的主动实体，每一列对应一个客体，是访问操作中的被动实体，每个单元格描述的是主体可以对客体执行的访问操作
      3. 访问控制矩阵，只规定了系统状态的迁移必须有规则，而没有规定是什么规则。因此灵活性大，但是也有潜在安全隐患
   2. 访问控制列表：是按访问控制矩阵的列实施对系统中客体的访问控制。
      1. ，没一个客体都有一张ACL，用于说明可以访问该客体的主体及访问资源。对于共享客体，系统只维护一张ACL即可。访问列表通常设置在路由器中，用来钙素路由器哪些数据包可以接受，哪些数据包需要拒绝。
      2. 访问控制列表具有许多作用，例如限制网络流量，提高网络性能等作用。
      3. 但是ACL是随着客体在系统中分布式存储的，如果要从主体的角度实施权限管理，确定一个主体的所有的访问权限就需要遍历分布式系统中所有的ACL，通常这样做事十分困难的。因此，在分布式系统中试试访问控制通常是采用能力表的方法。
   3. 能力表：能力表的访问控制方法借用了系统对文件的目录管理机制，为每一个欲实施访问操作的主体，建立一个能被其访问的“客体目录表”，如某个主题的客体目录表可能如图中所示
      1. 
      2. 目录中的每一项称为能力，它有特定的客体和响应的访问权限组成，表示主体对该客体所拥有的访问能力。把主体所拥有的所有能力组合起来就得到了该主体的能力表。这种方法相当于把访问控制矩阵按行进行存储

2. 访问控制模式主要有五种：

   1. 自主访问控制（DAC）
      1. 是在确认主体身份及所属组的基础上，根据访问者的身份和授权决定访问模式，。对访问进行限定的一种控制策略
      2. 优先级高的主体可将客体的访问控制权限授予其他主体
      3. 存在两个主要缺陷：
         1. 权限传播可控性差
         2. 不能抵抗木马攻击
   2. 强制访问控制（MAC）
      1. 强制访问控制是根据客体中信息的敏感标签和访问敏感信息的主体访问等级，对客体访问实行限制的一种方法
      2. 在强制访问控制中，用户的权限和客体的安全属性都是固定的，由系统来决定一个用户对某个客体能否进行访问、
      3. 所谓“强制”就是安全属性由系统管理员认为设定，或由操作系统 自动按照严格的安全策略与规则进行设置，用户和他们的进程不能修改这些属性
      4. 强制访问的实质是对系统中所有的客体和主体分配敏感标签。用户的敏感标签指定了该用户的敏感等级或信任等级，也称为安全许可
      5. 文件的敏感标签说明要访问该文件的用户所必须具备的信任等级
         1. 它由两个部分组成类和类集合
      6. 类别也称安全级，是单一的，层次结构。从高到低分为绝密级，机密级，秘密级和公开级四个级别。累计和也称为范畴集，是飞层次的，代表系统中的信息的不同区域，类集合之间是包含，别包含或者无关的关系。安全级中包含一个保密级别，范畴集中包含任意多个范畴、
         1. 如{机密：人事处，财务处，科技处}
      7. 现实当中的安全管理员，很难在安全目标的保密性，完整性和可用性之间做出精准的平衡。因此MAC模型分为加强数据保密性和加强数据完整性为目的两种类型
   3. 基于角色的访问精致（RBAC）
      1. 自主访问控制模型和强制访问控制模型都属于传统的额访问控制模型，随着系统内客体和用户数量多的增多，用户管理和权限管理的复杂性也增加了，同时人员的流动性也增加了，随着对在线的多用户，多系统研究的不断深入，角色的概念也逐渐形成了，并且逐步产生了基于角色的访问控制模型，简称RBAC。
      2. 其核心思想是将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。
      3. 基于角色的访问控制模型中，角色充当着主体和客体之间关系的桥梁，角色不仅是用户的集合，也是一系列权限的集合。当用户或权限发生变化时，系统可以很灵活的将该用户从一个角色转移到另一个角色来实现权限的转换，降低了管理的复杂度。
      4. 另外在组织机构发生改变时，应用系统只需对角色重新授权或取消某些权限，就可以使系统重新适应需要。与用户相比，角色是相对稳定的。
      5. 角色是由系统管理员定义的，角色成员的增减也只能由系统管理员来执行，即只有系统管理员有权利定义和分配角色。用户和客体无直接联系，只有通过角色才享有该角色对应的权限，从而访问响应客体
   4. 基于任务的访问控制（TBAC）
      1. 它是一种以任务为中心的，并采用动态授权的主动的安全模型，该模型的基本思想史，授予给用户的访问权限，不仅仅依赖于主体，客体，还依赖于主体当前执行的任务，任务的状态
      2. 当任务处于活动状态时候，主体拥有访问权限。一旦任务被挂起，主体拥有的访问权限就被冻结。如果任务回复执行，主体将重新拥有访问权限
      3. 任务处于终止状态时，主体拥有的权限马上被撤销
      4. TBAC适用于工作流，分布式处理，多点访问控制的信息处理以及事物管理系统中的决策制定，但最显著的应用还是在安全工作流管理中。
   5. 基于属性的访问控制（ABAC）
      1. 基于用户，资源，操作和运行上下文属性所提出的基于属性的访问控制模型（ABAC）。
      2. 主体和客体的属性作为基本的决策要素，灵活利用请求者所具有的属性集合来决定是否授予其访问权限，能够很好的将策略管理和权限判定相分离
      3. 由于属性是主体和客体内在固有的，不需要手工分配，同时访问是多对多的方式，使得ABAC管理上相对简单。并且属性可以从多个角度对实体进行描述，因此可根据实际情况改变策略
      4. 除此之外，ABAC的强扩展性使其可以通加密机制等数据隐私保护机制相结合，在实现细微粒度访问控制的基础上，保护用户数据不会被分析及泄露

6.3.3访问控制的安全策略

访问控制实现是以访问控制策略的表达，分析和实施为主其中，访问控制的策略定义了系统安全保护的目标。其中，访问控制的策略定义了系统安全保护的目标，访问控制的模型，对访问控制的策略的应用和实施进行了抽象的描述，访问控制的框架描述了访问控制系统的具体的实现，组成的架构和部件之间的相互交流。

访问控制安全策略是指在某个自治区域内（属于某个组织机构的一系列处理和通信资源范畴内）用于所有与安全活动的一套访问控制规则

访问控制安全策略主要有如下七种：

1. 入网访问控制策略
2. 网络权限控制策略
3. 目录级安全控制策略
4. 属性安全控制策略
5. 网络服务器安全控制策略
6. 网络监控和锁定控制策略
7. 网络端口和结点的安全控制策略

安全策略实施原则

1. 访问控制的安全策略原则集中在主体，客体和安全规则集三者之间的关系：
   1. 最小特权原则
   2. 最小泄露原则
   3. 多级安全策略

（1）基于身份的安全策略

• 是过滤对数据或资源的访问，只有通过认证的主体才能正常使用客体的资源。基于身份的安全策略包括基于个人的策略和基于组的策略，主要有两种基本实现方式

（2）基于规则的安全策略

• 策略中的授权通常依赖于敏感性。在安全策略系统中，所有数据和资源都标注了安全标记，用户的活动进程与其原发者具有相同的安全标记。
• 由系统通过 比较用户的安全级别和客体资源的安全级别，来判断是否允许用户进行访问。

6.3.4 认证服务和访问控制系统

目前常用的认证服务有三种，分别是AA认证授权机制，远程登入认证和终端访问控制器访问控制系统。

1. AAA技术概述：是英文验证，授权和记账的简写。

   1. 主要包括三个部分：
      1. 认证。是 验证用户身份 与 可使用网络服务 的过程
      2. 鉴权。是 依据认证结果 开放网络服务给用户的过程
      3. 审计，是 记录对各种网络服务的操作及用量，审查并计费的过程。

2. 远程登入认证：主要用于管理远程用户网络登入，是目前应用最广泛的AAA协议。

   1. 主要是基于C/S模式，其客户端最初是Net Access Server，简称NAS服务器，现在任何运行远程登入认证客户端的计算机都可以成为其客户端。远程登入的认证机制灵活，可采用PAP,CHAO或UNIX登入认证等多种方式。
   2. 远程登入认证是一种完全开放的协议，采用分布源码格式，这样，任何安全系统和厂商都可以用，并且远程登入认证可以和其他的安全协议共用。此协议规定了网络接入服务器与远程登入认证服务器之间的消息格式
   3. 此服务器接受用户的连接请求，根据其账号和密码完成验证后，将用户所需的配置信息返回给网络接入服务器，该服务器同时审计并记录有关信息，模型如图：
   4. 

   5. 远程登入认证协议恶毒主要工作过程

      1. 第一步：远程用户通过网络连接到服务器，并将登入信息发送到其服务器
      2. 第二步：远程登入服务器根据用户输入的密码和账号对用户进行身份认证，并判断是否允许用户接入。请求批准后，服务器还需要对用户进行相应的鉴权。
      3. 第三步：鉴权完成后，服务器将相应信息传递给网络接入服务器和计费服务器，网络接入服务器根据当前配置决定针对用户的响应策略。

   6. 远程登入认证的加密方法

      1. 对于重要的数据包和用户口令。远程登入认证协议可使用MD5算法对其进行加密，在其客户端（NAS）和服务器端（远程登入认证服务器）分别存储一个秘钥，利用次秘钥对数据进行算法加密处理，秘钥不宜在网络上传输

   7. 远程登入认证的重传机制

      1. 远程登入认证协议规定了重传机制。如果NAS向某个远程登入认证服务器提交请求后，没有收到返回信息，则可要求备份服务器重传。由于有多个备份服务器，因此NAS要求重传可采用轮询方法、如果备份服务器的密钥和以前的秘钥不同，则需要重新进行认证。

3. 远程登入认证的加密方法

   1. 终端访问控制器访问控制系统由RFC1492，其功能室通过一个或多个中心服务器为网络设备提供控制服务，也是AAA协议。标准的TACACS协议只认证用户是否可以登录系统，目前应用很少。

6.3.5准入控制技术

网络准入技术概述：

1. 网络准入控制是一种网络安全管理技术，是主动式的对网用户进行身份识别和安全评估，只有符合安全标准的终端才能够准许访问企事业机构的网络，仅允许审批后的终端用户使用网络资源，从而达到保障整个网络安全的目的。

网络准入技术架构主要有三种：

1. 基于端点系统的架构
2. 基于基础网络设备联动的架构
3. 基于应用设备的架构

网络准入控制技术中，目前有几个主要的技术：

1. 思科的网络准入控制
2. 微软的网络接入保护
3. 可信计算组织TCG的可信网络连接
4. H3C的端点准入防御
5. 常用的集中网络准入控制技术有：
   1. 802.1x准入技术  
   2. DHCP准入技术
   3. 网关型准入控制

准入控制技术中的身份认证：

• 身份认证技术是网络准入控制的基础，目前身份认证管理技术和准入控制进一步融合，向综合管理和集中控件自方向发展。在各种准入方案中所采用的身份认证技术，其发展过程经历了从软件到硬件结合，从单一因子认证到双因认证，从静态认证到动态认证。
• 目前常用的身份认证方式包括：用户密码方式，公钥证书方式，动态口令方式

6.4 安全审计与电子证据

6.4.1 安全审计概述

安全审计的基本概念：

• 安全审计是按照一定安全策略，利用记录，系统活动和用户活动等信息，检查，审查和检验操作事件的环境及活动，发现系统的漏洞，入侵行为或改善系统性能的过程。
• 也是审查评估系统安全风险并采取相应措施的一个过程，它使所有用户对自身行为的合法性负责。

网络安全审计的主要作用和目的包括五个方面：

1. 对潜在攻击者起到威慑和警示作用。
2. 测试系统的控制情况，及时调整
3. 对已出现的破坏事件，做出评估并提供依据。
4. 对系统控制，安全策略与规则中的变更进行评价和反馈，以便修改决策和部署
5. 协助发现入侵或潜在的系统漏洞及隐患

安全审计系统的基本结构：

• 安全审计是通过对所关心的时间进行记录和分析实现的，因此审计过程包括审计发生器，日志记录器，日志分析器和报告机制四个部分，审计系统的基本结构如图所示：
• 

• 系统日志的内容

  • 日志数据是故障排除，除错，监控，安全，反诈骗，合规以及电子取证等许多应用的基础
  • 系统的日志主要根据网络阿暖级别及强度要求，选择记录部分或全部的系统操作
  • 通常一个时间的行为，系统的日志主要包括：事件发生的日期和事件，引发事件的用户IP地址，事件源及目的地址，事件类型等。

从审计级别上可分为五三种类型：

1. 系统级审计
2. 应用级审计
3. 用户级审计

安全审计的记录机制：

• 不同的系统可以采取不同的机制记录日志。日志的记录可以由操作系统完成，也可以由应用系统或其他专用记录系统完成

3.日志分析

• 日志分析的主要目的在于大量的记录日志信息中找到与系统安全相关的数据，并分析系统运行情况。
• 主要任务包括以下四种：
  • 潜在威胁分析
  • 异常行为检测
  • 简单攻击探测
  • 复杂攻击探测

4.审计事件查询

• 由于审计系统时追踪，恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全性主要包括审计事件查阅安全和存储安全。应严格限制审计事件查阅，不能篡改日志。、

• 通常通过以下措来保证查阅安全：

  • （1）审计查阅。审计系统 以可理解的方式 为授权用户提供查阅日志和分析结果的功能
  • （2）有限审计查阅。审计系统只提供对内容的读权限，应拒绝其他的用户访问审计系统。
  • （3）可选审计查阅。在有限审计查阅的基础上限制查阅的范围。

5.审计事件存储

1. 审计事件的存储要求具体包括以下三点：
   1. 保护审计记录的存储
   2. 保证审计数据的可用性
   3. 防止审计数据丢失

6.4.2系统日志审计

6.4.3审计跟踪与实施

• 审计跟踪指按时间顺序检查，审查，检验其运行环境及相关事件活动的过程。主要用于实现重现时间，评估损失，检测系统产生的问题区域，提供有效的应急灾难恢复，防止系统故障或使用不当等方面。

审计跟踪作为一种安全机制其目标有五个：

1. 审计系统记录有利于迅速发现系统问题，及时处理事故，保障系统运行。
2. 可发现试图绕过保护机制的入侵行为或其他操作
3. 能够发现用户的访问权限转移行为
4. 制止用户企图绕过系统保护机制的操作事件
5. 作为另一种机制确保记录并发现用户企图绕过保护的尝试，为损失控制提供足够的信息。

审计跟踪的意义有以下四点：

1. 利用系统的保护机制和策略，及时发现并解决系统问题，审计客户行为。
2. 审计信息可以确定事件和攻击源，用于检查网络犯罪
3. 通过对安全事件的手机，积累和分析，可对其中的某些站点或用户审计跟踪，以提供发现可能产生破坏性行为的证据
4. 即能识别访问系统来源，又能指出系统状态转移的过程

审计跟踪重点考虑的问题有以下三个方面：

1. 选择记录的信息内容
2. 记录具体相关信息的条件和情况
3. 为了交换安全审计跟踪信息所采用的语法和语义定义

审计是系统安全策略的一个重要组成部分贯穿于整个系统运行过程中，覆盖不同的安全机制，为其他安全策略的改进和完善提供必要的信息。

3.审计跟踪的实施：

为了确保焊机实施的可用性和正确性，需要在保护和审查审计数据的同时，做好计划分步实施。具体的实施包括：保护审计数据，审查审计数据和审计工具的选择。

1. 保护审计数据：
   1. 首先应当严格限制在线访问审计日志
   2. 其次防止非法修改以确保审计跟踪数据的完整性尤其重要，审计数据保护常用方法：用数字签名和只读设备存储数据
   3. 另外审计跟踪信息的保密性
2. 审查审计数据
   1. 审计跟踪的审查和分析可分为事后检查，定期检查和实时检查三种。审查人员应该知道如何发现异常活动。
3. 审计工具的选择
   1. 审计精选工具。用于从大量的数据中精选出有用的信息以协助人工协查
   2. 趋势差别探测工具。此类工具用于发现系统或用户的异常活动
   3. 攻击特征探测工具。此类工具主要用于查找攻击特征，通常一系列特定的时间表名有可能发生了非法访问尝试。

6.4.4 电子证据概述

1.电子证据的概念

电子数据是指基于计算机应用，通信和现代管理技术等电子化技术手段而形成的包括文字，图形，数字，字母等客观资料。电子数据必须经过查证属实才能成为电子数据证据，对电子数据证据的其他表达方式类似的有“计算机证据”，“网络证据”，“数字证据”等。

电子证据即用于证明案件事实的电子数据。对于电子证据的定义，有两种分别是广义和狭义

1. 广义的电子证据是指以电子形式存在的，用作证据使用的一切材料及其派生物，或者说借助电子技术或电子设备而形成的一些证据。在概念中突出了“电子形式”，即由介质，磁性物，光学设备，计算机内存或类似设备生成，发送，接收，存储的任一信息的存在形式
2. 狭义的电子证据是数字化信息设别中存储，处理，传输，输出的数字形式的证据。在概念中突出了“数字化”，这是由于数字化信息技术已经涉及到广泛的应用领域，而模拟信息技术使用范围越来越小，局限于原始信息等有限的应用领域

2，电子证据的特点

与传统的证据一样，电子证据必须是可信的，准确，完整，符合法律规定的，是法庭所能接受的同时，电子证据和传统证据不同，又具有以下特点。

1. 依赖性：电子证据的产生，存储和传输都依赖于计算机技术，存储技术和网络技术
2. 多样性：电子证据综合了文本，图形，图像，动画，音频和视频等多种媒体信息。
3. 无形性：电子证据是以二进制存在的，大多数以电磁或光等形式存在于媒体介质之上
4. 易破坏性和相对稳定性：电子证据很容易被修改，篡改或删除，体现了电子证据的易破坏性。而在通常情况下，不管是删除，还是格式化，这些操作都是针对其文件名，保存在扇区上的文件本身的数据并没有被修改，通过专业的软件可以被修复

3.电子证据的分类

对于电子证据的分类，主要以电子数据为主体，按照不同的分类方法进行划分

1. 按照收集措施: 可分为静态电子数据与动态电子数据
2. 按照电子数据生成的方式: 可分为电子生成数据、 电子存储数据与电子交互数据
3. 按照电子数据的来源: 可分为存储介质数据、电磁辐射数据与线路电子数据
4. 按照电子数据是否加密:可分为加密电子数据与非加密数据
5. 按照电子数据形成的环境: 可分为封闭电子数据与网络电子数据
6. 按照数据是否被删除、隐藏或隐写:可分为显性数据与隐性数据
7. 按照电子数据存在时间:可分为易失性数据和非易失性数据等

6.4.5电子数据取证技术

问答：

一、安全审计的类型有哪些种类？

根据 6.4.1 安全审计概述 中的内容，安全审计从审计级别上可分为以下三种类型：

（1）系统级审计
（2）应用级审计
（3）用户级审计

—— 出自 6.4.1 安全审计概述 中“从审计级别上可分为三种类型”部分。

二、系统日志分析都有哪些方法？

根据 6.4.1 安全审计概述 中的“日志分析”部分，系统日志分析的主要方法（目的）包括以下四种：

（1）潜在威胁分析
（2）异常行为检测
（3）简单攻击探测
（4）复杂攻击探测

---