The importance of protecting audit logs generated by computers and network devices is highlighted by the fact that it is require

admin2013-12-19  40

问题 The importance of protecting audit logs generated by computers and network devices is highlighted by the fact that it is required by many of today’s regulations. Which of the following does not explain why audit logs should be protected?

选项 A、If not properly protected, these logs may not be admissible during a prosecution.
B、Audit logs contain sensitive data and should only be accessible to a certain subset of people.
C、Intruders may attempt to scrub the logs to hide their activities.
D、The format of the logs should be unknown and unavailable to the intruder.

答案D

解析 D正确。审计工具是跟踪网络内某个网络设备或者某一台计算机上的活动的技术控制。尽管审计不是一个可以拒绝某个实体访问网络或计算机的活动,但它会跟踪活动,使得安全管理员能够了解所发生访问的类型、识别安全漏洞,或者向管理员警告有可疑活动发生。这些信息可以用来指出其他技术控制的疏忽之处,帮助管理员了解什么地方必须做出调整以保证环境内所需的安全级别。入侵者也可以利用该信息来发现这些漏洞,所以审计日志应该通过许可、权利和完整性控制等方法进行保护,正如散列算法中的一样。不过,所有相似系统的系统日志格式通常都是标准化的。隐藏日志格式不是一个常用的对策,也并非保护审计日志文件的原因。
A不正确。因为审计日志必须小心保护,以便它们可以在法庭.上作为呈堂证供。审计跟踪可以用来警报任何可稍后研究的可疑活动。除此之外,审计日志在准确确定攻击已持续的时间和破坏的程度方面也很有价值。确保维护一个合适的监管链至关重要,因为这样可以保证任何被收集的数据在以后需要时——比如刑事诉讼或调查等——能够及时准确地呈现。
B不正确。因为只有管理员和安全人员才能够查看、修改或删除审计跟踪信息。其他任何人都应该无权查看该数据,更别说修改或删除它。数据的完整性可以通过数字签名、信息摘要工具和强大的访问控制工具实现。在需要的情况下,数据的保密性可以通过加密和访问控制进行保护,并可以把数据存储在一次性写入的介质,以防止丢失或者被修改。对审计日志未经授权的访问尝试也应该捕获并报告。
C不正确。因为这个陈述是正确的。如果一个入侵者闯进了你的房子,他会尽可能地不留下指纹或者其他将他与犯罪活动相关联的线索以掩藏踪迹。计算机诈骗和非法活动也是如此。入侵者会尽力掩藏他的踪迹。通常,入侵者会删除记录他的犯罪信息的审计日志。删除审计日志中特定犯罪数据的行为称为Scrubbing(擦除)。删除这些信息不仅使得管理员未警觉或不知道安全违规行为,而且还可能破坏有价值的数据。因此,审计日志应该受到严格访问控制的保护。
转载请注明原文地址:https://kaotiyun.com/show/kAhZ777K
0

最新回复(0)