审计服务集成安全性基础结构

安全性审计是安全性基础结构的重要组成部分。安全性审计机制可以对可审计事件进行跟踪和归档,同时还可以确保记录的完整性。

开始之前

对服务集成启用安全性审计子系统之前,必须先在环境中启用全局安全性。

关于此任务

安全性基础结构的主要职责是防止未经授权就使用资源。安全性审计有以下两个主要目标:
  • 确认现有安全性配置的有效性和完整性。
  • 确定安全性配置的可能需要改进的领域。
安全性审计通过提供一种基础结构来实现这些目标,此基础结构可用来实现用于捕获和存储受支持的可审计安全性事件的代码。Java™ 企业应用程序代码以外的所有代码都被认为可信。每次企业应用程序访问资源时,在其代码中添加了审计点的任何内部应用程序服务器进程都可记录为可审计事件。安全性审计子系统将捕获下列类型的可审计事件:
  • 认证
  • 授权
  • 主体和凭证映射
  • 密钥管理
  • 系统管理
  • 安全策略管理
  • 审计策略管理
  • 管理配置管理
  • 管理运行时管理
  • 用户注册中心和标识管理
  • 更改密码
  • 委派

您可以将这些类型的事件记录到审计日志文件中。可签署和加密这些审计日志文件以确保数据完整性。您可以对这些审计日志文件进行分析,以发现何处违反了现有的安全性机制以及当前安全性基础结构中可能存在的薄弱环节。安全性事件审计记录对于提供证据可追究性和弱点分析也很有用。安全性审计配置提供了四个缺省过滤器、一个缺省审计服务提供程序和一个缺省事件工厂。下列步骤描述如何定制安全性审计子系统。特定于消息传递的其他信息包括在步骤描述的适当位置中。

过程

  1. 启用安全性审计子系统

    除非启用了审计安全性子系统,否则不会执行安全性审计。由于在还没有启用全局安全性的情况下不会发生安全性事件,因此必须启用全局安全性,安全性审计子系统才能起作用。

    为允许审计消息传递安全性事件,必须启用审计安全性:

    1. 对于要审计的每个总线,请单击服务集成 -> 总线 -> security_value,并选择对此总线启用审计服务复选框。
    2. 对于发布/预订消息传递,还应对要审计的每个总线上的每个主题空间单击服务集成 -> 总线 -> bus_name -> [目标资源] 目标 -> topic_space_name,并选择对此主题空间启用审计服务复选框。
  2. 审计员角色

    用户必须具有审计员角色才能启用和配置安全性审计子系统。对于安全策略管理,要求进行严格的访问控制很重要。审计员角色提供详细程度以支持将审计角色与管理员的权限分离。

  3. 创建安全性审计事件类型过滤器

    您可以配置事件类型过滤器,以便只将特定的可审计事件类型记录到审计日志中。通过对所记录的事件类型进行过滤,可以确保只显示您选择的对于您所在环境比较重要的记录,从而更简单地分析审计记录。

    可为消息传递配置的审计事件包括:

    SECURITY_AUTHN
    认证连接至消息传递总线的消息传递客户机或消息传递引擎的标识时产生此事件。
    SECURITY_AUTHZ
    直接(或通过发布)发送消息或者直接(或通过预订)接收消息期间,检查消息传递客户机标识对总线或消息队列的访问权限时,会产生此事件。
    SECURITY_AUTHN_TERMINATE
    消息传递客户机或消息传递引擎与消息传递总线之间的连接终止时产生此事件。
    SECURITY_MGMT_CONFIG
    消息传递客户机在导入或移除操作中更改服务数据对象 (SDO) 存储库内容时产生此事件。

    可为事件的每次置换及其可能结果(如 SUCCESS、DENIED 或不同级别严重性的错误条件)创建事件过滤器。

    请参阅消息传递安全性事件以了解有关产生了哪些消息传递安全性审计事件以及何时产生这些事件的更多信息。

  4. 配置审计服务提供程序以进行安全性审计

    审计服务提供程序可用来对传递给它的审计数据对象调整格式,然后再将这些数据输出到存储库中。

  5. 为安全性审计配置审计事件工厂

    审计事件工厂收集与可审计事件相关联的数据并创建审计数据对象。然后将此审计数据对象发送至审计服务提供程序以进行格式化并记录至存储库。

  6. 保护安全性审计数据 确保所记录的审计数据的安全和数据完整性非常重要。为了确保限制对数据的访问及安全,可以对审计数据进行加密和签名。
  7. 配置安全性审计子系统故障通知

    可以启用通知,以便在安全性审计子系统发生故障时生成警报。可以将通知配置为将警报记录在审计日志中,也可以将通知配置为通过电子邮件将警报发送给指定的接收方列表。

结果

成功完成此任务后,将针对在配置中指定的所选可审计事件记录审计数据。

下一步做什么

在配置安全性审计之后,可以分析审计数据以查找当前安全性基础结构中可能存在的薄弱环节以及可能违背现有安全性机制的位置。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjrsec_sa_secauditing
文件名:tjrsec_sa_secauditing.html