九游会j9登录入口首页

1.记录和跟踪各种系统状态的变化

该功能提供对系统故意入侵行为的记录和对违反系统安全功能的记录。按审计跟踪功能分为：个人职责、事件重建、入侵检测和故障分析。

（1）个人职责（Individual Accountability）。审计跟踪可以用于检查和检测用户个人的活动。如果用户个人知道自己的行为被记录、需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。例如，审计跟踪可以记录改动前和改动后的记录，以确定是哪个操作者在什么时候做了哪些实际的改动，这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其他因素造成的。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问，被授权的访问有可能会被滥用，导致敏感信息的扩散，当无法阻止用户通过其合法身份访问资源时，审计跟踪就能发挥作用。

（2）事件重建（Reconstruction of Events）。当问题发生时，审计跟踪可以用于重建事件和数据恢复。通过系统活动的审计跟踪可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。通过对审计跟踪的分析就可以重建系统和协助恢复数据文件；同时，还有可能避免下次发生此类故障的情况。

（3）入侵检测（Intrusion Detection）。跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析，就可以实时发现或过后追查入侵检测活动。实时入侵检测可以及时发现非法授权者对系统的非法访问，也可以探测到病毒扩散和网络攻击。

（4）故障分析（Problem Analysis）。审计跟踪可以用于实时审计或监控。

2.实现对各种安全事故的定位

定位是审计系统的重要功能。通过日志分析，发现所需事件信息和规律，从而对安全事故进行全面定位。审计系统监控和捕捉到的主要内容有：

（1）潜在侵害。根据规则监控安全事件，并根据规则发现潜在的入侵。这种规则可以是由已定义的可审计事件子集所指示的潜在安全攻击的积累或组合。

（2）基于异常检测的轮廓。确定用户正常行为的轮廓，当日志中的事件违反正常访问行为的轮廓，或超出正常轮廓一定的门限时，能指出将要发生的威胁。

（3）简单攻击探测。对重大威胁事件的特征有明确的描述，当这些攻击现象出现时，能及时指出。

（4）复杂攻击探测。日志分析系统还应能检测到多步入侵序列，当攻击序列出现时，能预测其发生的步骤。

3.保存、维护和管理审计日志

不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成，也可以由应用系统或其他专用记录系统完成。一些系统调用Syslog或SNMP记录日志，而另一些系统采用自己定义的非标准协议来收集日志。

理想情况下，日志应该记录每一个可能的事件，以便分析发生的所有事件，并恢复任何时刻的历史情况。然而，这样做显然是不现实的，因为要记录每一个数据包、每一条命令和每一次存取操作，需要的存储量将远远超出系统承受能力，这将严重影响系统性能。因此，日志内容是有选择的。

一般情况下，日志记录的内容应该满足以下原则：

（1）日志应该记录任何必要的事件，以检测已知的攻击模式。

（2）日志应该记录任何必要的事件，以检测异常的攻击模式。

（3）日志应该记录关于记录系统连续可靠工作的信息。

在这些原则的指导下，日志系统可根据安全要求的强度选择记录下列事件的部分或全部：

（1）审计功能的启动和关闭。

（2）使用身份鉴别机制。

（3）将客体引入主体的地址空间。

（4）删除客体。

（5）管理员、安全员、审计员和一般操作人员的操作。

（6）其他专门定义的可审计事件。

通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户（地址）、事件和源、目的位置、事件类型、事件成败等。