软考-网络安全审计技术原理与应用

本文为作者学习文章，按作者习惯写成，如有错误或需要追加内容请留言（不喜勿喷）

本文为追加文章，后期慢慢追加

by 2023年10月

网络安全审计概念

等级保护网络安全审计是指对涉及国家安全、重要利益或关键信息基础设施的信息系统进行安全审计。在中国，等级保护网络安全审计依据《信息安全等级保护管理办法》和《网络安全法》进行，审计目的是保障国家安全和社会稳定，防范外部安全威胁和内部安全隐患，确保关键信息基础设施的顺利运行和可靠性。

等级保护网络安全审计通常采用多重安全措施进行，包括但不限于安全风险评估、漏洞扫描、安全策略评估、系统配置审查、网络流量分析等。审计结果通过报告的形式汇总，提供包括漏洞风险、安全建议和改进方案在内的详细信息，使被审计单位能够及时制定改进措施，提高信息系统的安全性和可靠性。

网络安全审计相关法规政策
《中华人民共和国网络安全法》要求，采取监测、记录网络运行状态、网络安全事件技术措施，并按照规定留存相关的网络日志不少于六个月。

网络安全审计系统组成

网络安全审计系统主要由以下几个部分组成：

1. 审计数据采集系统：负责采集被审计系统的日志和其它安全事件信息，包括网络流量、设备状态、安全策略和配置信息等。

2. 安全事件分析引擎：对采集的安全数据进行深入分析，发现网络攻击和威胁，并给出相应的警告或报警信息。

3. 安全事件管理系统：对分析引擎发现的安全事件进行处理和管理，包括事件分类、优先级评估、风险评估和跟踪等。

4. 安全报告生成系统：根据安全事件管理系统的记录和分析结果，生成各种类型的安全报告，包括安全审计报告、攻击分析报告、安全趋势报告等。

5. 安全管理控制台：提供一个用户友好的图形化界面，以便管理员对安全事件进行实时监控、告警处理、策略配置和安全管理等。

以上这些组成部分互相协作，形成一个完整的网络安全审计系统，可完成对整个网络环境的安全审计工作。

网络安全审计系统分类

按照审计对象类型分类，网络安全审计主要有操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。

操作系统审计：对用户和系统服务进行记录，主要包括用户登录和注销、系统服务启动和关闭、安全事件等。

• Windows 操作系统的基本审计信息有注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更特权使用、进程跟踪、系统事件等；

• Linux 操作系统的基本审计信息有系统开机自检日志boot.log 、用户命令操作日志acct/pacct、最近登录日志lastlog 、使用SU 命令日志sulog 、当前用户登录日志utmp 、用户登录和退出日志wtmp 、系统接收和发送邮件日志maillog 、系统消息messages 等。

数据库审计系统

数据库审计系统是一种用于监视和记录数据库操作的软件。它可以跟踪所有数据库的读取、修改、插入和删除操作，并记录这些操作的详细信息。这些信息包括：谁执行了操作、何时和在哪个位置执行了操作、执行操作的结果以及修改前后的数据值。

数据库审计系统可以帮助企业和组织确保数据库安全和合规性。它们可以帮助检测潜在的安全漏洞和违规行为，并保护敏感数据。此外，数据库审计系统可以帮助企业遵守合规性要求，例如HIPAA、PCI DSS和SOX等标准要求。

数据库审计是指对数据库中所有操作的跟踪和记录，包括对数据库对象的访问、更改和删除等操作的监控和记录。通过数据库审计，可以了解数据库的使用情况，分析数据库操作的合理性和安全性，并对用户行为进行监控和控制，从而确保数据库的安全和完整性。数据库审计通常包括以下内容：

1. 登录审计：记录用户登录数据库的时间、地点、IP地址、用户名、角色等信息，以及登录成功或失败的状态。

2. 数据操作审计：包括对数据库对象的访问、更改、删除等操作的记录，包括SQL语句、操作时间、操作者、操作的数据对象、操作的结果等信息。

3. 审计报告生成：自动生成审计报告和安全警报，以便管理员及时发现和处理安全事件。

数据库审计可以帮助企业和组织确保数据库的安全性和完整性，避免敏感数据泄密和数据丢失等风险。

网络安全审计机制

网络安全审机制主要有基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制等

系统日志数据采集技术
常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储以便于查询分析与管理。目前，常见的系统日志数据采集方式有SysLog、SNMPTrap 等。

网络流量数据获取技术
网络流量数据获取技术是网络通信安全审计的关键技术之一，常见的技术方法有共享网络监听、交换机端口镜像(Port Mirroring)、网络分流器(Network Tap)等。

网络流量采集设备通过交换机端口镜像功能，获取流经交换机的网络通信包，对于不支持端口镜像功能的交换机，通常利用网络分流器(TAP) 把网络流量导入网络流量采集设备

常见的开源网络数据采集软件包

Libpcap(Library for Packet Capture)网络数据包捕获软件，支持不同平台使用；
Winpcap支持在Windows 平台捕获网络数据包；
Windump 是基Winpcap的网络协议分析工，可以采集网络数据包；Tcpdump 是基于Libpcap 的网络流量数据采集工具，常常应用千Linux 操作系统中;
Wireshark 是图形化的网络流量数据采集工具，可用于网络流量数据的采集和分析。

网络审计数据安全分析技术
网络审计数据需要通过数据分析技术来提取。如:字符串匹配、全文搜索、数据关联、统计报表、可视化分析等

• 字符串匹配：通过模式匹配来查找相关审计数据，以便发现安全问题。常见的字符串匹配工具grep使用的格grep[options][regexp] [filename] regexp 为正则表达式，用来表示要搜索匹配的模式。搜索举例如grep“login success"logfiletxt
• 全文搜索：利用搜索引擎技术来分析审计数据。开源搜索引擎工具Elastic search 常用作数据分析
• 数据关联：将网络安全威胁情报信息，如系统日志、全网流量、安全设备日志等多个数据来源进行综合分析。

统计报表：对安全审计数据的特定事件、闽值、安全基线等进行统计分析生成告警信息，形成发送日、周、月报。可视化分析:将审计数据进行图表化处理，形成饼图、柱状图、折线图、地图等各种可视化效果，支持各种场景。

网络审计数据存储技术

网络审计数据存储技术分为两种:

• 系统分散存储，审计数据保存在不同的系统中;
• 集中采集，建立审计数据存储服务器，由专用的存储设备保存，便于事后查询分析和电子取证。

网络审计数据保护技术

1. 系统用户分权管理：操作系统、数据库等系统设置操作员、安全员和审计员三种类型的用户。操作员只负责系统的操作维护工作，操作过程被系统进行了详细记录，安全员负责系统安全策略配置和维护，审计员负责维护审计相关事宜，可以查看操作员、安全员工作日志；操作员不能够修改自己的操作记录，审计员不能对系统进行操作审计；
2. 数据强制访问：采取强制访问控制措施，对审计数据设置安全标记，防止非授权用户查询及修改审计；
3. 数据审计数据加密:使用加密技术对敏感的审计数据进行加密处理，以防止非授权查看审计数据或泄露。
4. 审计数据隐私保护: 采取隐私保护技术，防止审计数据泄露隐私信息。
5. 审计数据完整性保护：使用Hash 算法和数字签名对审计数据进行数字签名和来源认证、完整性保护，防止非授权Hash 算法主要有MD5、SHA、国产SM3 算法等。国产SM2/SM9 可用于对审计数据签名修改审计数据。

日志审计系统

日志安全审计产品:日志信息采集、分析与管理的系统。

基本原理是利用Syslog 、Snmptrap 、NetFlow 、Telnet 、SSH、WMI、FTP、SFTP、SCP、JDBC、文件等技术，对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理，便于有关单位/机构进行安全合规管理，保护日志信息安全。

主要功能有日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理等

主机监控与审计产品:有关主机行为信息的安全审查及管理的系统。

产品的基本原理是通过代理程序对主机的行为信息进行采集，然后基于采集到的信息进行分析，以记录系统行为帮助管理员评估操作系统的风险状况，并为相应的安全策略调整提供依据。该产品的主要功能有系统用户监控系统配置管理、补丁管理、准入控制、存储介质(U 盘)管理、非法外联管理等

数据库审计产品

数据库审计产品：对数据库系统活动进行审计的系统。

基本原理：通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集，然后对采集的信息进行分析，形成数据库操作记录，保存和发现数据库各种违规的或敏感的操作信息，为相应的数据库安全策略调整提供依据。

在数据库审计产品中，实现数据库审计主要有如下三种方式。

网络监听审计：对获取到的数据库流量进行分析，从而实现对数据库访问的审计和控制。优点是数据库网络审计不影响数据库服务器，不足是网络监听审计对加密的数据库网络流量难以审计，同时无法对数据库服务器的本地操作进行审计。

自带审计：通过启用数据库系统自带的审计功能，实现数据库的审计。优点是能够实现数据库网络操作和本地操作的审计，缺点是对数据库系统的性能有一些影响，在审计策略配置、记录的粒度、日志统一分析方面不够完善日志本地存储容易被删除。

数据库Agent：安装采集代理(Agent)，通过Agent 对数据库的各种访问行为进行分析，从而实现数据库审计。优点是能够实现数据库网络操作和本地操作的审计，缺点是Agent 需要安装，对数据库服务系统的性能、稳定性可靠性有影响。

网络安全审计主要产品

网络安全审计产品：有关网络通信活动的审计系统。

产品的基本原理是通过网络流量信息采集及数据包深度内容分析，提供网络通信及网络应用的活动信息记录。网络安全审计常见的功能:

网络流量采集：获取网上通信流量信息，按照协议类型及采集规则保存流量数据

网络流量数据挖掘分析:对采集到的网络流量数据进行挖掘，提取网络流量信息，形成网络审计记录，并可回放。主要包括:

• (1)邮件收发协议(SMTP、POP3 协议 )审计。记录收发邮件的时间、地址、主题、附件名、收发人等信息。
• (2)网页浏览(HTTP 协议 )审计。记录用户访问网页的时间、地址、域名等信息。
• (3)文件共享(NetBios 协议 )审计。记录网络用户对网络资源中的文件共享操作。
• (4)文件传输(FTP 协议)审计。记录用户对FTP 服务器的远程登录时间、读、写、添加、修改以及删除等操作；
• (5)远程访问(Telnet 协议)审计。记录用户对Telnet 服务器的远程登录时间、各种操作命令；
• (6)DNS 审计。记录用户DNS 服务请求信息。

工业控制系统网络审计产品：对工业控制网络中的协议、数据和行为等进行记录、分析，并做出一定的响应措施的信息安全专用系统。

基本原理：利用网络流量采集及协议识别技术，对工业控制协议进行还原，形成工业控制系统的操作信息记录然后进行保存和分析。

实现方式：1、一体化集中产品；2、由采集端和分析端两部分组成

运维安全审计产品是有关网络设备及服务器操作的审计系统。(堡机)基本原理:通过网络流量信息采集或服务代理等技术方式，记录elnet、FTP、SSH、ttp、HTTP、RDP等运维操作服务的活动信息。

主要功能：字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计等。