FreeBSD中内核级安全审计系统的构建

审计子系统是安全操作系统的重要组成部分,系统中与安全相关的活动均应进行审计.实现了一个基于FreeBSD内核,遵循(高于)国家标准GB17859-1999第三级要求的安全审计系统,使之成为该平台上已知的、安全等级最高的审计系统,并且和主流发行版兼容,遵循BSM规范;在实现中,还注意到了和其它安全模块的有机结合,包括对其它安全模块提供监控接口,以及利用其它模块对审计子系统进行保护.同时,该审计子系统在实现时还注意到了安全性和效率之间的平衡,尽可能地降低对系统性能的影响.     

操作系统内核级安全审计系统的设计与实现

随着人们对操作系统的安全要求越来越高，建立安全、完备的审计子系统成为操作系统安全领域的一个重要课题。本文提出一个通过在内核安插钩子函数来实现模块化审计系统的方法，用这种方法设计并实现一个基于Linux操作系统的、遵循国家标准Gg17859—1999第四级要求的安全审计子系统。这个审计系统以模块形式连入内核，通过往内核中安插审计钩子来收集审计信息，对内核影响较小，并能适应内核的升级；通过用内核线程代替后台进程将审计记录存入磁盘，实现了审计的完全内核化，增强了系统安全；通过对所有系统调用进行审计，实现了对利用隐蔽存储信道时可能被使用的事件的审计。     

B1级安全数据库审计的设计与实现

审计子系统作为安全数据库的一个重要组成部分，它可以对外界的行为追踪、记录，监督系统正常运行，保障系统安全策略的实行，构造入侵监测系统。该文主要介绍了一个基于开放源代码Postgres实现的安全数据库SoftBase的审计子系统。并给出了审计开关、审计记录、审计文件、审计查询的具体实现。     

一种基于入侵检测的数据库安全审计

数据库审计是数据库安全的重要组成部分.它包括了日志记录和日志分析两个部分.然而传统的数据库审计系统往往只是一个简单的日志系统,而并不具备对日志进行分析的能力.即使存在审计分析能力,也往往具有语义不足,不易定义的特点.DBIDAUD模型使用入侵检测方法来实现数据库的审计分析能力,在DBIDAUD模型中存在一个规则库,其中定义了入侵检测知识,审计员通过定制规则库来定制系统的安全策略.模型具有丰富的语义和较高的效率,能够用来实现高安全数据库的审计系统.国产OSCARSEC安全数据库使用DBIDAUD实现了审计中心子系统.满足了国家安全标准四级的要求,在航天内部得到了充分的应用.     

入侵检测中的审计追踪技术

审计追踪技术是计算机网络安全领域中一个十分重要的研究课题，它是对有关操作系统、系统应用或用户活动所产生的一系列的计算机安全事件进行记录和分析的过程。该文从审计追踪的基本概念入手，对所涉及的一些关键技术和标准进行了总结和归纳。通过分析和研究，最后提出了详细的安全审计方法和具体实施步骤。实践证明，该方法是一种有效而易于实现的安全审计方法。     

移动Agent系统审计的设计与实现

移动Agent系统是当前研究的热点之一,然而其安全性问题却影响了它的广泛应用。审计是移动Agent系统安全的一个重要组成部分,对于监督系统的正常运行有着重要的作用,然而目前的移动Agent系统很少涉及该问题。本文针对Aglet系统设计并实现了一个审计子系统。该子系统支持3种审计策略,采用XML语言作为审计日志格式,能够灵活方便地完成审计功能。     

基于Web应用的安全日志审计系统研究与设计

近年来随着Web应用技术的不断进步和发展,针对Web应用业务的需求越来越多,随之而来的Web应用安全攻击也呈上升趋势.目前针对网络攻击的防护技术手段也是层出不穷,但一般都是事前检测和事中防护,事后检测维护的则相应比较少.在网络中心有大量的服务器设备,Web日志文件作为服务器的一部分,详细记录设备系统每天发生的各种各样的事件,如客户端对服务器的访问请求记录、黑客对网站的入侵行为记录等,因此要想有效的管理维护设备和在攻击事件发生后及时的降低风险,分析审计日志对于事后检测和维护设备的安全是非常必要的.基于此,文章主要对基于Web应用安全日志审计系统进行研究和设计,日志审计系统主要分为三个子系统：日志采集子系统、分析引擎子系统和日志告警子系统.日志采集子系统采用多协议分析对日志进行收集,并进行相应的日志规范化和去重等处理.分析引擎子系统采用规则库和数理统计的方法,对日志特征进行提取和设置相应的统计量参数,进行比较分析.日志告警子系统则是主要配置相应策略并下发任务,对于审计结果进行界面展示或生成报告并以邮件的方式发送给用户等.     

安全审计需增三性能

安全审计一直是网络安全系统中一个重要的环节,用户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效、及时的评估系统的安全性,不能及时发现安全隐患。所以安全系统需要集中的审计系统。目前,国内市场有6、7家厂商涉足安全审计领域,但普遍缺乏联动性,不支     

基于内容的实时网络信息审计系统*

指出常见基于单一主机结构的网络信息审计系统的不足,提出了一种具有全局信息共享接口的两级信息流处理的审计系统结构;系统的总框架由区域审计子系统和全局通信认证代理组成;在区域系统内,通过把慢速模块和高速模块分布实现,达到提高系统整体效率和灵活性的目的;简要介绍了全局通信认证代理和区域审计子系统间的交互规程。     

LINUX内核级安全审计系统的设计与实现

审计系统作为安全操作系统的重要组成部分,在系统监测中起着重要作用,它确保安全策略的正确实现和入侵检测系统的建立。原始的基于应用的Linux审计体系存在固有的缺点,应该对此进行改善。该篇介绍了在Linux内核中安全审计系统的设计与实现。在Linux内核中实现了基于可加载内核模块的安全审计模型并运用了一种新的基于复制中断描述表的系统调用拦截的方法。此外,该系统能在内核中全面采集信息,并且采取了有效的方法保护审计系统自身的安全。     

安全操作系统核心审计模块设计

提高操作系统自身的安全性是增强系统安全的关键因素，审计子系统又是安全操作系统的重要组成部分。基于NSA的SELinux的审计子系统，提出了一种集中审计的框架结构，然后阐述了内核部分设计的主要构思，最后对于在实现上的关键点进行了说明。     

一种主动防御的数据库审计子系统

针对数据库审计技术存在的缺陷, 提出利用数据库会话技术, 设计具有实时提醒和处理安全风险能力的数据库审计子系统. 系统详细记录用户的操作行为, 对非法入侵行为进行主动处理, 增加了审计系统的主动防预能力, 将“事后审计分析”提前到“事后及时处理”. 该系统应用证实有效提高了数据库的安全性, 保护了企业和用户的信息.     

基于Lotus Notes复制的信息发布系统的设计与实现

该文在对LotusNotes复制技术进行研究的基础之上,针对目前Internet／Intranet上的信息发布问题提出了一种新颖而系统的解决方案。文章详细阐述这种信息发布解决方案的原理以及整个方案的设计框架,并在总体框架的基础之上,进一步对整个系统中的审计子系统、agent子系统以及系统的安全性进行了深入地讨论。最后该文给出了一种系统实现方案。     

异构数据集成采集交换平台中安全审计技术的设计与实现

以自行开发的基于异构数据源通用ETLA工具为背景,讨论了其审计监控子系统的设计方法和实现.该子系统具有完整的审计安全保护、监控整个数据的ETLA过程和日志分析功能.     

信息安全审计的应用研究

重点研究IT审计中的信息安全审计,对信息安全审计技术按照不同的审计角度和实现技术进行分类,并在不同的实现方式间进行比较。最后提出一种实现全面审计系统的方式,为实际使用中综合应用不同产品实现企业内部信息安全审计提供了一种实用的方法。     

一个基于误用检测的数据库安全审计系统

数据库审计是数据库安全的重要组成部分,包括日志记录和日志分析两部分。在SQL Server数据库中,使用审计功能只能获取审计跟踪的信息,并不具备日志分析的能力。针对SQL Server数据库审计功能的不足,给出了一个数据库安全审计系统MyAudit的设计和实现。MyAudit系统使用误用检测方法进行审计分析,能够检测出攻击企图、伪装攻击两种类型的数据库攻击。     

基于连续多版本的可审计文件系统

随着越来越多的法律法规要求将电子数据纳入审计监督范围,电子数据安全审计变得愈来愈重要.电子数据审计要求为数据的更改生成可验证的审计跟踪记录.现有的针对电子数据审计的系统因为不能防止内部人员的攻击以保证审计跟踪记录的安全可信,无法很好地满足用户需求.设计并实现了一个基于连续多版本的可审计文件系统CV-AFS,通过连续多版本技术连续捕获和保存文件系统数据变化,引入了一个可信的审计代理负责生成相应的审计跟踪记录,事后审计机构可根据审计跟踪记录来对数据进行审计,从而防止了内部人员的攻击.通过使用增量Hash算法,降低了生成审计跟踪记录的开销.作者在Linux上基于多版本文件系统ext3cow实现了CV-AFS的原型系统并进行了性能测试.Postmark的测试结果表明,CV-AFS的总时间开销要比使用传统完全Hash算法的开销降低43.5%.