网络安全审计技术原理与应用

网络安全审计概念：

网络安全审计是指对网络信息系统的安全相关活动信息进行获取，记录，存储，分析和利用的工作。

目前，IT产品和安全设备都不同程度地提供安全审计功能。常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统，则部署独立的网络安全审计系统。

网络安全审计相关标准

　　1985年美国国家标准局公布的《可信计算机系统评估标准》（Trusted Computer System Evaluation Criteria，TCSEC）中给出了计算机系统的安全审计要求。TCSEC从C2级开始提出了安全审计的要求，随着保护级别的增加而逐渐加强，B3级以及之后更高的级别则不同变化。
　　我国的国家标准GB17859《计算机信息系统安全保护等级划分准则》（以下简称《准则》）从第二级开始要求提供审计安全机制。其中，第二级为系统审计保护级，该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。《准则》中明确了各级别对审计的要求。
　　计算机信息系统安全保护能力的五个等级审计要求：

• 用户自主保护级
• 系统审计保护级
• 安全标记保护级
• 结构化保护级
• 访问验证保护级

网络安全审计相关法规政策：

《中华人民共和国网络法》要求，采取监测、记录网络运行状态、网络安全事件技术措施，并按照规定留存相关的网络日志不少于六个月。

网络安全审计系统组成

　　网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。

网络安全审计系统类型

　　按照审计对象类型分类，网络安全审计主要有操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。操作系统审计一般是对操作系统用户和系统服务进行记录，主要包括用户登录和注销、系统服务启动和关闭、安全事件等。
　　按照审计范围，安全审计可分为综合审计系统（产品）和单个审计系统。（系统自带）

Windows、Linux等操作系统自带审计功能

1、Windows操作系统审计

• 注册登陆事件
• 目录服务访问
• 审计账户管理
• 对象访问
• 审计策略变更
• 特权使用
• 进程跟踪
• 系统事件

2、Linux操作系统审计

• 系统开机自检日志boot.log
• 用户命令操作日志acct/pacct
• 最近登陆日志lastlog
• 使用su命令日志sulog
• 当前用户登陆日志utmp
• 用户登陆和退出日志wtmp
• 系统接收和发送邮件日志maillog
• 系统消息messages

3、数据库审计

监控、记录用户对数据库服务器的读、写、查询、添加、修改、删除等操作，并可对数据库操作命令进行回放

4、网络通信安全审计

采用专用审计系统，通过专用设备获取网络流量，再存储、分析

常见内容：IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容

网络安全审计机制与实现技术：

系统日志数据采集技术

　　常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储，以便于查询分析与管理。目前，常见的系统日志数据采集方式有Syslog、SNMP Trap等。其中，Syslog较为普及。

网络流量数据获取技术

共享网络监听、交换机端口镜像（Port Mirroring）、网络分流器（Network Tap）

共享网络监听

对于不支持端口镜像功能的交换机，通常利用网络分流器（TAP）把网络流量导入网络流量采集设备。

网络流量采集设备安装网络数据捕获软件，从网络上获取原始数据，再进行后续处理。

网络审计数据保护技术

　　网络审计数据涉及系统整体的安全性和用户的隐私性，为保护审计数据的安全，通常的安全技术措施有如下几种。

1.系统用户分权管理

• 操作员：系统操作维护
• 安全员：系统安全策略配置、维护
• 审计员：维护审计

2.审计数据强制访问

　　系统采取强制访问控制措施，对审计数据设置安全标记，防止非授权用户查询及修改审计数据。

3.审计数据加密
　　使用加密技术对敏感的审计数据进行加密处理，以防止非授权查看审计数据或泄露。

4.审计数据隐私保护
　　采取隐私保护技术，防止审计数据泄露隐私信息。

5.审计数据完整性保护
　　使用Hash算法和数字签名，对审计数据进行数字签名和来源认证、完整性保护，防止非授权修改审计数据。目前，可选择的Hash算法主要有MD5、SHA、国产SM3算法等。国产SM2/SM9数字签名算法可用于对审计数据进行签名。

网络流量数据挖掘分析
　　对采集到的网络流量数据进行挖掘，提取网络流量信息，形成网络审计记录，主要包括如下内容。

1. 邮件收发协议（SMTP、POP3协议）审计。
2. 见面浏览（HTTP协议）审计。　　
3. 文件共享（NetBios）审计。
4. 文件传输（FTP协议）审计。
5. 远程访问（Telnet协议)审计。
6. DNS审计。

运维安全审计产品　

运维安全审计产品是有关网络设备及服务器操作的审计系统。运维安全审计产品主要采集和记录IT系统维护过程中相关人员”在什么终端、什么时间、登录什么设备（或系统）、做了什么操作、返回什么结果、什么时间登出“等行为信息，为管理人员及时发现权限滥用、违规操作等情况，准确定位身份，以便追查取证。

　运维安全审计产品的基本原理是通过网络流量信息采集或服务代理等技术方式，记录Telnet、FTP、SSH、tftp、HTTP等运维操作服务的活动信息。
　　网络安全审计产品的主要功能有字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计等。
　　（1）字符会话审计，审计SSH、Telnet等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作命令等。
　　（2）图形操作审计，审计RDP、VNC等远程桌面以及HTTP/HTTPS协议的图形操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
　　（3）数据库运维审计，审计Oracle、MS SQL Server、IBM DB2、PostgreSQL等各主流数据库的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
　　（4）文件传输审计，审计FTP、SFTP等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
　　（5）合规审计，根据上述审计内容，参照相关的安全管理制度，对运维操作进行合规检查，给出符合性审查。