网络审计技术

什么是网络审计：

网络审计是对网络中的系统、设备和流量进行全面评估和检查的过程。它旨在发现和识别潜在的安全漏洞、风险和威胁，并确定网络安全控制和策略的有效性和合规性。

网络审计通常包括以下方面：

1. 网络设备审计：对网络设备（如路由器、交换机、防火墙等）进行审计，确认其配置和运行状态是否符合安全策略和最佳实践。

2. 操作系统审计：对网络中的操作系统进行审计，检查其补丁程度、安全设置和配置是否合规，并发现可能的安全漏洞。

3. 应用程序审计：对网络上运行的应用程序进行审计，检查其安全设置、权限控制和数据保护等方面的措施。

4. 用户权限审核：审计用户账户和权限，确保用户的访问权限符合所需的安全级别，并检测潜在的滥用或未授权访问。

5. 数据流量监测：审计网络流量，检测和识别潜在的恶意活动、攻击行为或异常流量。

6. 安全策略和合规性审计：审查网络安全策略和合规性要求，确保其与法规和组织要求相符，并评估其有效性。

通过进行网络审计，能获得网络安全风险和漏洞的了解，并采取措施来改进安全性和保护网络资源。同时网络审计应该是一个持续的过程

网络审计概念的起源：

审计起源于财务系统，用来审核企业经营行为是否合法，审计从财务入手，也就是审核帐务，从你的帐本中发现你经营中的问题。财务中有一个做帐的原则，就是借与贷总是要平衡的，在众多的帐目之间，保持平衡本身就是件不容易的事情，所以审计人员往往都是财务中的高手。

财务中的审计总结起来有三个关键点：1、所有的帐务往来都要清晰可见，若你隐藏了某些交易记录，审计中就可能发现不了问题，很多会计会查看银行的对帐单，有交易一定有资金的往来(现金交易不在此行)，寻找到你隐匿的交易，本身就是发现你心虚的地方，心虚就有问题，审计就是找问题。2、借贷之间应该是平衡的，不平衡就会有资金的错位，错位就有很多问题需要澄清，你的解释越多，就越容易出现漏洞。3、交易的合理性与合规性，合规就是合法，这里是包括行业的规定与惯例，不局限于法律，这一点看似容易，人是靠经验，计算机有专家系统，但也是计算机最难模拟人思维的地方。有经验的审计人员对行业的行为了解很深，在“合理”的若干行为中发行不合理的疑点，进而分析该交易的合规性。

把审计的概念引入到网络安全中，可以追溯到IDS(入侵检测系统)研究的早期，对入侵行为的检测，最初是对主机日志的审计中，发现攻击行为的，后来发展为主机IDS技术。由于主机IDS只对主机的行为进行检测，并且要占用主机的宝贵资源，安全厂家想到了通过网络链路镜像的方式直接收集网络原始信息，就是目前的网络IDS。

IDS的目的是检测攻击行为，一般都不会存放所有的原始数据，若想后期重现某个客户当时的行为，一般是很难做到的。而审计的目的是为了在过去的记录中寻找“攻击”的证据，不仅能重现“攻击”的过程，而且这些“证据”是不可以被后来修改的，这时网络中的安全审计产品就诞生了。

网络设备审计工作流程：

1. 确定审计目标和范围，例如审计特定的路由器、交换机或防火墙。

2. 收集网络设备的配置文件和日志文件。

3. 分析和评估设备的配置是否符合安全标准和最佳实践。

4. 检查设备的访问控制列表（ACL）、安全策略和防火墙规则，确保其有效性和合规性。

5. 检测设备的漏洞和弱点，使用漏洞扫描工具或手动方式。

6. 检查设备的日志文件，以识别潜在的安全事件或异常行为。

7. 根据审计结果生成报告，并提出改进建议和措施。

操作系统审计工作流程：

1. 确定审计目标和范围，例如审计特定的操作系统和版本。

2. 收集操作系统的配置文件、安全策略和控制文件。

3. 分析和评估操作系统的配置是否符合安全标准和最佳实践。

4. 分析操作系统的日志文件，以识别安全事件、异常事件和入侵行为。

5. 检测操作系统的漏洞和弱点，使用漏洞扫描工具或手动方式。

6. 审查操作系统中的用户账户和权限，确保合规和授权。

7. 根据审计结果生成报告，并提出改进建议和措施。

应用程序审计工作流程：

1. 确定审计目标和范围，例如审计特定的应用程序和版本。

2. 收集应用程序的配置文件、安全策略和控制文件。

3. 分析和评估应用程序的安全设置、权限控制和数据保护措施。

4. 检测应用程序的漏洞和弱点，使用漏洞扫描工具或手动方式。

5. 审查应用程序的访问日志和操作日志，以识别异常行为和潜在的安全事件。

6. 检查应用程序的授权机制和身份验证方式，确保合规和授权。

7. 根据审计结果生成报告，并提出改进建议和措施。

用户权限审核工作流程：

1. 收集用户账户和权限信息，包括账户设置、角色和访问权限等。

2. 与安全策略进行比对，确认用户的访问权限是否符合合规要求。

3. 检查用户账户的创建、修改和删除记录，以发现潜在的滥用或未授权访问。

4. 审查权限分配的过程和流程，确保访问权限的合理性和有效性。

5. 根据审计结果生成报告，并提出改进建议和措施。

数据流量监测工作流程：

1. 确定监测的数据流量范围和关键点，例如网络入口/出口、重要服务器等。

2. 配置流量监测工具或设备，捕获和记录网络流量数据。

3. 分析和识别异常流量、攻击行为、恶意活动或未经授权的访问。

4. 检查流量数据中的异常流量模式、访问频率和数据包内容。

5. 对异常流量进行分析和解释，识别潜在的安全事件和风险。

6. 根据审计结果生成报告，并提出改进建议和措施。

安全策略和合规性审计工作流程：

1. 确定审计目标和范围，例如审查组织的安全策略和合规要求。

2. 收集安全策略和合规性要求的文件和文档。

3. 分析和评估安全策略和合规性要求的有效性和实施情况。

4. 检查安全策略和合规性要求的实施程度，包括流程和控制措施等。

5. 检测合规性违规行为，如弱密码使用、未经授权的访问等。

6. 根据审计结果生成报告，并提出改进建议和措施。

网络审计产品的主要功能：

网络中需要安全审计，其目的是重现不法者的操作过程，提供认定其不法行为的证据，也可以分析目前安全防御系统中的漏洞。从安全防御的角度上说：是对不法者的威慑，“要么别出手，出手必被捉；现在不被捉，迟早会算帐！”。审计还有一个重要的理念是：审计不是针对外部的入侵者的，这一点是与IDS产品的重要区别，审计是而且针对内部人员的，因为对其行为人可以明确定位，其作用主要是安全威慑，网络中安全问题的70%源自于内部人员，对于内部这些“合法”用户的不法行为不大可能在事前预防，也不容易在事中马上发现，最适合的就是事后的审计过程了。

既然要“重现”，安全审计产品必须具备下面几项功能：

1、记录使用者(有可能是外来者，也可能是内部人员)的行为过程。几时来的，干了些什么，几时走的。

2、确定使用者的身份。最起码要确定其计算机的IP地址，审计系统一般与网络身份认证连接，确定使用者具体是谁。

3、不仅能记录下来，而且可以重现使用者的“工作”过程。由于网络中应用协议多，调用资源的方式也多，重现过程不仅需要记录大量的现场通讯数据，而且重现环境也多种多样。

4、审计记录的数据是不可更改的。审计记录不可修改性，在技术上是不同传统财务审计的，因为计算机存储的信息是电子化的，很容易被修改，而且可以没有修改的痕迹。要保证审计记录是不可修改的，是事后取证的关键。在美国塞班斯法案中对上市企业要求的业务审计，明确要求了审计记录不可修改的特性。

目前除了审计产品对审计记录的权限管理保证外，由于涉及运维管理的专业技术人员，从系统底层的数据修改与部分删除是安全中不可忽视的问题，借用网络存储系统中出现的WORM(一次写多次读)技术，从存储操作系统级保证数据的不被删改。技术与要求还总有距离，审计产品在保护审计记录方面还有很长的路要走。

这里没有把审计产品中的用户管理、事件查询、事件关联分析、报表生成、合规性报表等功能列入，主要是认为这些功能都是作为一个安全产品使用中必需的管理功能，产品不仅要完成其工作的目标，而且要方便使用者的操作，尤其是日常管理工作的方便、快捷。

为什么网络审计很重要

更改硬件、添加新设备、更改配置或安装或修改防火墙等活动对于最佳网络性能和安全性都是必不可少的。维护所有这些操作的记录同样重要。每当网络出现故障时，IT 管理员可以使用这些记录来快速识别和解决问题。 在我们当前的远程工作时代，自带设备 （BYOD） 越来越多地被组织采用。随着这种工作文化的转变，带宽使用和安全风险也随之增加。在已实施 BYOD 的组织中，IT 管理员必须了解风险，并实施策略来管理这些设备并将风险降至最低。 即使员工使用公司设备连接到公司网络，网络也在不断变化。网络管理员必须监视更改并定期执行审核，以确保网络安全和性能方面完美无缺。

如何进行网络审计

尽管工具自动执行网络审核和报告过程，但 IT 管理员也可以手动执行这些操作。两种类型的审核的接触点保持不变。其中一些是： 网络设备清单 带宽消耗 用户和访问级别 网络配置和防火墙规则 网络可用性和运行状况

网络设备清单

定期审核网络设备清单至关重要。必须扫描设备以确认它们是否仍在从供应商处接收固件和安全更新。如果未定期更新设备，则组织应确定它们是否已过时并应更换。IT 管理员应了解运行这些设备的固件版本和操作系统，并在必要时进行故障排除。

带宽消耗

避免带宽瓶颈对于提供无缝的最终用户体验至关重要。为此，IT 管理员应仔细分析其网络，以确定带宽使用趋势。详细分析将使 IT 管理员能够了解其网络中的哪些服务或应用程序消耗更多带宽，并进行适当的更改。

用户和访问级别

网络用户的数量随着基础设施规模的扩大而增加;最好为所有用户实施受限访问策略。IT 管理员在审核网络中的更改时，可以检查是否对网络进行了任何未经授权的更改，并立即将其还原。

网络配置和防火墙规则

定期进行网络配置更改以提高网络性能。防火墙规则也会定期更新，以加强网络安全。但这两项更改都必须记录和审计，因为即使是最轻微的错误也会对网络造成严重破坏。

网络可用性和运行状况

对可用性和运行状况参数进行全面审核可以帮助 IT 管理员了解哪些设备很麻烦，以及哪些类型的更改经常导致网络中断。他们可以使用此信息来避免问题，或在出现问题时立即对其进行故障排除。

网络审计可以自动化吗

有几个自动化工具选项可用。但是，在选择网络审核工具时，IT 管理员应确认该工具将识别问题、衡量其影响，并为您提供解决问题的帮助。 Network Configuration Manager 具有直观的报告功能，可帮助 IT 管理员轻松分析网络更改，并将其与问题相关联。内置的报告功能可捕获所有数据，并减少对手动文档的需求。IT 管理员可以轻松地安排定期生成这些报告，确保每次都按时执行例行网络审计。

网络安全审计报告

随着网络威胁数量的稳步增长，网络漏洞和漏洞通常会进入您的网络基础设施，在某些情况下会造成不可逆转的损害。为了防止看到您的组织处于类似的位置，彻底分析您的网络并确保它没有安全漏洞至关重要。 Network Configuration Manager 的安全审核报告提供有关网络中常见安全问题以及每个问题的影响的详细信息。在安全审核报告中，每个安全问题都包括一个发现、其影响、攻击者利用的难易程度以及缓解问题的适当补救措施。

安全审计报告中的五个部分

Network Configuration Manager 通过将潜在的安全问题分解为五个部分来帮助分析这些问题。下表包含任何安全问题的五个不同方面以及每个方面的说明。

网络安全审计报告部分 描述

问题查找 问题发现描述了在哪个配置设置下，网络配置管理器标识了潜在威胁。 问题影响 影响部分描述了攻击者从利用安全问题中获得的收益。本部分还标识可缓解问题的配置设置。例如：弱密码 问题轻松 本节介绍攻击者利用漏洞所需的知识、技能和物理访问。 问题建议 本部分包括网络配置管理器建议的修正步骤，以缓解问题。 问题总体评级

网络安全审核报告

未配置密码时：当用户忘记配置密码时，攻击者或恶意用户可以通过在不提供密码的情况下进行身份验证来获取访问权限，并提取有关设备和网络配置的信息。有了这些信息，他就可以攻击其他设备。使用网络安全审核报告，您可以设置强身份验证密码，并使用 configlet 立即对其进行配置。

未配置 ACL 时：必须配置访问控制列表 （ACL） 才能限制对特定网络主机的网络访问。未能配置 ACL 可能会邀请未经授权的流量，这可能会对您的网络性能构成威胁。安全审核报告提供了配置 ACL 策略时要遵循的准则，以限制攻击者和不需要的进入。

未配置系统日志日志记录时：日志记录是安全网络配置的重要组成部分，可防止入侵尝试和拒绝服务 （DOS） 攻击。如果未配置 Syslog 消息日志记录，则管理员可能永远不会收到有关设备潜在问题或可能的入侵尝试的警报。网络安全审核报告解决了这个问题，并建议在所有关键设备中配置系统日志日志记录。

未禁用配置自动加载时：如果未禁用自动加载，则网络设备能够从存储在另一个网络设备上的配置文件加载其配置，而不是使用本地配置文件。这可以探测攻击者复制该设备配置并解密密码。网络安全审核报告提供了禁用自动加载的适当命令。

因此，通过详细的报告，您可以处理安全问题并使您的网络免受攻击。不仅安全报告，Network Configuration Manager 还提供EOL / EOS报告，启动/运行配置报告等，以确保您更好地了解设备配置。