据不充分\r的情况下,令审计员可以实施重点监视,更深入、详细的取证。特定\r的监视对象可以是文件、目录、打印机、磁盘、计算机、用户等。\r③在一定程度上检测和判定对系统的入侵和入侵企图,提供报\r警信息并能实施必要的应急措施。例如,如果发现某个用户连续多次\r不成功进入系统或某个敏感子程序,应立即向安全控制台报警,甚至\r锁住该用户的帐号等待进一步的调查。\r④提供对监视记录的以任何项目为关键字的查询及各种组合查\r询,多方面满足审计员的审查需要。\r⑤报警参数管理。审计员可以通过报警参数管理功能,设置需\r要实时报警的事项。\r⑥监视记录文件的维护。随着时间的推移,监视记录文件会不\r断地膨胀,因此,有必要提供对监视记录文件的各种维护处理,如转\r存、拷贝等。\r(3)检测模块的设计\r检测模块采用动态检测法检测程序的真实性、完整性和可靠性;\r而对于数据文件的检测,则是利用信息验证码。\r实现动态检测的关键,是设计出针对被检软件的完整的模拟数\r据和模拟操作,并确定其正确的处理结果。模拟数据和模拟操作包括\r合法的和非法的两种,这样做的目的是观察那些包含安全保护功能的\r程序是否能够阻止非法行为的发生,从而判断其安全保护是否在发挥\r作用。实施检测时将模拟数据或模拟操作经过软件处理后得到的实际\r结果与正确的结果相比较,确定程序的功能是否可靠、程序是否被修\r改过。当检测到程序的真实性、完整性和可靠性遭到破坏时,及时发\r出报警。\r信息验证码是根据信息的全部内容通过某种算法产生的一种检\r验码,它与信息的全部内容密切相关。即使文件中有一比特的改变,\r都会导致信息验证码的改变。因此,在设计应用软件时,保证在每次\r保存数据文件时计算出当时的信息验证码并同时保存起来,检测模块\r通过计算信息验证码并与保存文件时的信息验证码进行比较,即可发\r现文件中的数据是否被篡改过。
全文预览
