2020软考 信息安全工程师(第二版)学习总结【八】
第十二章 网络安全审计技术原理与应用
网络安全审计概述
- 网络安全审计概念
- 对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作
- 网络安全审计用途
- 建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理
- 网络安全升级相关法规政策
- 《*网络安全法》:采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月
网络安全审计系统组成与类型
-
网络安全审计系统组成
-
网络安全审计系统类型
-
操作系统安全审计
- 对操作系统用户和系统服务进行记录,包括用户登录和注销、系统服务启动和关闭、安全事件
- Windows、Linux操作系统都自带审计功能
-
数据库安全审计
- 监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并且可以对数据库操作命令进行回放
- 大部分数据库也都自带审计功能
-
网络通信安全审计
- 采用专用的审计系统,通过专用设备获取网络流量,进行存储和分析
-
应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计
-
按照审计范围,安全审计可分为综合审计系统和单个审计系统
-
综合审计系统架构
-
-
网络安全审计机制与实现技术
-
网络安全审计数据采集
-
系统日志数据采集技术
-
把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,便于查询分析与管理
-
常见的采集方式:SysLog、SNMP Trap
-
-
网络流量数据采集技术
-
常见的技术方法:共享网络监听、交换机端口镜像、网络分流器
-
共享网络监听原理:网络流量采集设备接入到Hub集线器来获取与集线器相连接设备的网络流量数据
-
基于端口镜像的网络流量采集示意图
-
对于不支持端口镜像功能的交换机,采用网络分流器(TAP)方式,示意图
-
-
-
网络流量数据采集开源工具
-
Libpcap:常见的开源数据采集软件包
- Tcpdump:基于Libpcap的网络流量数据采集工具
-
Winpcap:支持在Windows平台捕获网络数据包
- Windump:基于Winpcap的网络协议分析工具
- Wireshark:图形化网络流量数据采集工具
-
Libpcap:常见的开源数据采集软件包
-
网络审计数据分析技术
-
字符串匹配:正则匹配
-
全文搜索:开源搜索引擎Elasticsearch
-
数据关联
-
统计报表
-
可视化分析:图表成饼图、柱状图等
-
-
网络审计数据保护技术
- 系统用户分权管理:设置操作员、安全员、审计员三种类型用户
- 审计数据强制访问:采取强制访问控制措施
- 审计数据加密
- 审计数据隐私保护
- 审计数据完整性保护:对审计数据进行数字签名和来源认证
网络安全审计主要技术指标与产品
-
日志安全审计产品
- 主要功能:日志采集、存储、分析、查询,事件告警,统计报表,系统管理等
-
主机监控与审计产品
-
通过代理程序
-
主要功能:系统用户监控、系统配置管理、补丁管理、准人控制、存储介质(U盘)管理、非法外联管理等
-
-
数据库审计产品
- 实现数据库审计三种方式:
- 网络监听审计
- 优点:不影响数据库服务器
- 不足:加密数据库网络流量难以审计、无法对本地数据库服务器审计
- 自带审计
- 优点:实现数据库网络操作和本地操作审计
- 缺点:对性能有影响,审计策略配置、记录粒度、日志统一分析不够完善,日志本地存储容易被删除
- 数据库Agent
- 优点:实现数据库网络操作和本地操作审计
- 缺点,需要安装Agent,影响性能、稳定性、可靠性
- 网络监听审计
- 实现数据库审计三种方式:
-
网络安全审计产品
- 常见功能:
- 网络流量采集
- 网络流量数据挖掘分析:对不同协议流量进行分析,得出信息记录
- 性能指标主要有:支持网络带宽大小、协议识别种类、原始数据包查询响应时间等
- 常见功能:
-
工业控制系统网络审计产品
- 原理:利用网络流量采集和协议识别技术,对工控协议还原,形成操作信息记录,进行保存分析
- 两种实现方式:
- 一体化集中产品
- 由采集端和分析端两部分组成
-
运维安全审计产品
- 主要功能:
- 字符会话审计:审计SSH、Telnet协议的操作行为
- 图形操作审计:审计RDP、VNC以及HTTP/HTTPS协议的图形操作行为
- 数据库运维审计:审计Oracle、MS SQL Server、IBM DB2、PostgreSQL数据库操作行为
- 文件传输审计:审计FTP、SFTP等协议
- 合规审计:参照相关安全管理制度
- 主要功能:
网络安全审计应用
-
网络合规使用
-
网络电子取证
-
网络安全运维保障