网络安全审计概述

概念:对网络信息系统的安全相关活动信息进行获取、记录、存储、分析利用的工作,作用在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。

常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统,则部署独立的网络安全审计系统。

国家标准GB 17859《计算机信息系统安全保护等级划分准则》第二级开始要求提供审计安全机制。

信息安全审计与计算机取证的区别(软考-信息安全工程师学习笔记-第12章网络安全审计技术原理与应用)(1)

网络安全审计系统组成与类型

网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。

网络安全审计系统类型:

按照审计对象类型分类:操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全设计。

按照审计范围分为:综合审计系统和单个设计系统。

网络安全审计机制与实现技术

网络安全审计机制主要有:基于主机的审计机制、基于网通信的审计机制、基于应用的审计机制

常用的审计技术:

系统日志数据采集技术

网络流量数据获取技术:共享网络监听、交换机端口镜像、网络分流器;网络流量采集设备:Libpcap、winpcap、winpcap、windump、tcpdump、wrieshark

网络审计数据安全分析技术:字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。

网络审计数据存储技术:一种是由审计数据产生的系统自己分散存储,审计数据保存在不同系统中;另一种集中采集各种系统的审计数据,建立审计数据存储服务器,由专用的存储设备保存,便于事后查询分析和电子取证。

网络审计数据保护技术:系统用户分权管理、审计数据强制访问、审计数据加密、审计数据隐私保护、审计数据完整性保护

网络安全审计主要产品与技术指标

主要产品:

日志安全审计产品:主要功能:日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理

主机监控与审计产品:主要功能:系统用户监控、系统配置管理、补丁管理、准入控制、存储介质管理、非法外联管理

数据库审计产品:三种方式:网络监听审计、自带审计、数据库Agent

网络安全审计产品:主要功能:网络流量采集、网络流量数据挖掘分析

工业控制系统网络审计产品:实现方式:一种是一体化集中产品,即将数据采集和分析功能集中在一台硬件中,统一完成分析功能;另一种是由采集端和分析端两部分组成。

运维安全审计产品:是有关网络设备服务器操作的审计系统,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便追查取证。主要功能:字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计

网络安全审计主要指标:支持网络带宽大小、协议识别的种类、原始数据包查询响应时间

网络安全审计应用

安全运维保障、数据访问监测、网络入侵检测、网络电子取证

,