网络安全审计概述
1.1 网络安全审计概念
网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。
目前,IT产品和安全设备都不同程度地提供安全审计功能。常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统,则部署独立的网络安全审计系统。
1.2 网络安全审计相关标准
1985年美国国家标准局公布的《可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,TCSEC)中给出了计算机系统的安全审计要求。TCSEC从C2级开始提出了安全审计的要求,随着保护级别的增加而逐渐加强,B3级以及之后更高的级别则不同变化。
我国的国家标准GB17859《计算机信息系统安全保护等级划分准则》(以下简称《准则》)从第二级开始要求提供审计安全机制。其中,第二级为系统审计保护级,该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。《准则》中明确了各级别对审计的要求。
计算机信息系统安全保护能力的五个等级审计要求:
- 用户自主保护级--无
- 系统审计保护级--
- 安全标记保护级--
- 结构化保护级--
- 访问验证保护级--
1.3 网络安全审计相关法规政策
网络安全审计是网络信息系统的重要机制,国家相关法规政策及国家技术标准都提出了要求。《中华人民共和国网络法》要求,采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月。
2 网络安全审计系统组成与类型
2.1 网络安全审计系统组成
网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。
2.2 网络安全审计系统类型
按照审计对象类型分类,网络安全审计主要有操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。操作系统审计一般是对操作系统用户和系统服务进行记录,主要包括用户登录和注销、系统服务启动和关闭、安全事件等。
按照审计范围,安全审计可分为综合审计系统和单个审计系统。
3 网络安全审计机制与实现技术
网络安全审计机制主要有基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制等,下面介绍审计机制实现常用的技术。
3.1 系统日志数据采集技术
常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便于查询分析与管理。目前,常见的系统日志数据采集方式有Syslog、SNMP Trap等。其中,Syslog较为普及,如图12-3所示,各种网络设备将消息发送到Syslog服务器,服务器把报警消息传递给管理员,管理员检查Syslog消息,进行故障诊断或监测。
3.2 网络流量数据获取技术
网络流量数据获取技术是网络通信安全审计的关键技术之一,常见的技术方法有共享网络监听、交换机端口镜像(Port Mirroring)、网络分流器(Network Tap)等。其中,共享网络监听利用Hub集线器构建共享式网络,网络流量采集设备接入集线器上,获取与集线器相连接的设备的网络流量数据。
网络流量采集设备通过交换机端口镜像功能,获取流经交换机的网络通信包。
对于不支持端口镜像功能的交换机,通常利用网络分流器(TAP)把网络流量导入网络流量采集设备。
网络流量采集设备安装网络数据捕获软件,从网络上获取原始数据,然后再进行后续处理。目前,常见的开源网络数据采集软件包是Libpcap(Library for Packet Capture)。Libpcap是由美国劳伦斯伯克利实验室开发的网络数据包捕获软件,支持不同平台使用。
Libpcap的工作流程如下:
(1)设置嗅探网络接口。在Linux操作系统中,大多数为eth0。
(2)初始化Libpcap。设定过滤规则,明确获取网络数据包的类型。
(3)运行Libpcap循环主体。Libpcap开始接收符合过滤规则的数据包。
除了Libpcap外,还有Winpcap,它支持在Windows平台捕获网络数据包。Windump是基于Winpcap的网络协议分析工具,可以采集网络数据包。Tcpdump是基于Libpcap的网络流量数据采集工具,常常应用于Linux操作系统中。Wireshark是图形化的网络流量数据采集工具,可用于网络流量数据的采集和分析。
3.3 网络审计数据安全分析技术
网络审计数据蕴涵着网络安全威胁相关信息,需要通过数据分析技术方法来提取。常见的网络审计数据安全分析技术有字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。
- 字符串匹配
字符串匹配通过模式匹配来查找相关审计数据,以便发现安全问题。常见的字符串匹配工具是grep,其使用的格式如下:
grep [options] [regex] [filename]
regexp为正则表达式,用来表示要搜索匹配的模式。 - 全文搜索
全文搜索利用搜索引擎技术来分析审计数据。目前,开源搜索引擎工具Elasticsearch常用作数据分析。 - 数据关联
数据关联是指将网络安全威胁情报信息,如系统日志、全网流量、安全设备日志等多个数据来源进行综合分析,以发现网络中的异常流量,识别未知攻击手段。 - 统计报表
统计报表是对安全审计数据的特定事件、阈值、安全基线等进行统计分析,以生成告警信息,形成发送日报、周报、月报。 - 可视化分析
将安全审计数据进行图表化处理,形成饼图、柱状图、折线图、地图等各种可视化效果,以支持各种用户场景。将不同维度的可视化效果汇聚成仪表盘,辅助用户实时查看当前事件变更。安全关键KPI状态高亮显示,突出异常行为的重要性。
3.4 网络安全审计数据存储技术
网络审计数据存储技术分为两种:一种是由审计数据产生的系统自己分散存储,审计数据保存在不同的系统中;目前,操作系统、数据库、应用系统、网络设备等都可以各自存储日志数据。另一种集中采集各种系统的审计数据,建立审计数据存储服务器,由专用的存储设备保存,便于事后查询分析和电子取证。
3.5 网络审计数据保护技术
网络审计数据涉及系统整体的安全性和用户的隐私性,为保护审计数据的安全,通常的安全技术措施有如下几种。
- 系统用户分权管理
操作系统、数据库等系统设置操作员、安全员和审计员三种类型的用户。操作员只负责对系统的操作维护工作,其操作过程被系统进行了详细记录;安全员负责系统安全策略配置和维护;审计员负责维护审计相关事宜,可以查看操作员、安全员工作过程日志;操作员不能够修改自己的操作记录,审计员也不能对系统进行操作。 - 审计数据强制访问
系统采取强制访问控制措施,对审计数据设置安全标记,防止非授权用户查询及修改审计数据。 - 审计数据加密
使用加密技术对敏感的审计数据进行加密处理,以防止非授权查看审计数据或泄露。 - 审计数据隐私保护
采取隐私保护技术,防止审计数据泄露隐私信息。 - 审计数据完整性保护
使用Hash算法和数字签名,对审计数据进行数字签名和来源认证、完整性保护,防止非授权修改审计数据。目前,可选择的Hash算法主要有MD5、SHA、国产SM3算法等。国产SM2/SM9数字签名算法可用于对审计数据进行签名。
4 网络安全审计主要产品与技术指标
4.1 日志安全审计产品
日志安全审计产品是有关日志信息采集、分析与管理的系统。产品的基本原理是利用Syslog、Snmptrap、NetFlow、Telent、SSH、WMI、FTP、SFTP、SCP、JDBC、文件等技术,对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理,便于有关单位/机构进行安全合规管理,保护日志信息安全。日志安全产品的主要功能有日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理等。
4.2 主机监控与审计产品
主机监控与审计产品是有关主机行为信息的安全审查及管理的系统。产品的基本原理是通过代理程序对主机的行为信息进行采集,然后基于采集到的信息进行分析,以记录系统行为,帮助管理员评估操作系统的风险状况,并为相应的安全策略调整提供依据。该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U盘)管理、非法外联管理等。
4.3 数据库审计产品
数据库审计产品是对数据库系统活动进行审计的系统。在数据库审计产品中,实现数据库审计主要有如下三种方式。
- 网络监听审计
网络监听审计对获取到的数据库流量进行分析,从而实现对数据库访问的审计和控制。 - 自带审计
通过启用数据库系统自带的审计功能,实现数据库的审计。 - 数据库agent
在数据库上安装采集代理(Agent),通过Agent对数据库的各种访问行为进行分析,从而实现数据库审计。
4.4 网络安全审计产品
网络安全审计产品是有关网络通信活动的审计系统。产品的基本原理是通过网络流量信息采集及数据包深度内容分析,提供网络通信及网络应用的活动信息记录。网络安全审计常见的功能主要包括如下几个方面。
- 网络流量采集
获取网上通信流量信息,按照协议类型及采集规则保存流量数据。 - 网络流量数据挖掘分析
对采集到的网络流量数据进行挖掘,提取网络流量信息,形成网络审计记录,主要包括如下内容。
(1)邮件收发协议(SMTP、POP3协议)审计。
(2)见面浏览(HTTP协议)审计。
(3)文件共享(NetBios)审计。
(4)文件传输(FTP协议)审计。
(5)远程访问(Telnet协议)审计。
(6)DNS审计。
4.5 工业控制系统网络审计产品
工业控制系统网络审计产品是对工业控制网络中的协议、数据和行为等进行记录、分析,并做出一定的响应措施的信息安全专用系统。
工业控制系统网络审计产品的实现方式通常分两种情况:一种是一体化集中产品,即将数据采集和分析功能集中在一台硬件中,统一完成审计分析功能;另一种是采集端和分析端两部分组成,采集端主要提供数据采集的功能,将采集到的网络数据发送给分析端,由分析端进一步处理和分析,并采取相应的响应措施。
4.6 运维安全审计产品
运维安全审计产品是有关网络设备及服务器操作的审计系统。运维安全审计产品主要采集和记录IT系统维护过程中相关人员”在什么终端、什么时间、登录什么设备(或系统)、做了什么操作、返回什么结果、什么时间登出“等行为信息,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便追查取证。
运维安全审计产品的基本原理是通过网络流量信息采集或服务代理等技术方式,记录Telnet、FTP、SSH、tftp、HTTP等运维操作服务的活动信息。
网络安全审计产品的主要功能有字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计等。
(1)字符会话审计,审计SSH、Telnet等协议的操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作命令等。
(2)图形操作审计,审计RDP、VNC等远程桌面以及HTTP/HTTPS协议的图形操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
(3)数据库运维审计,审计Oracle、MS SQL Server、IBM DB2、PostgreSQL等各主流数据库的操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
(4)文件传输审计,审计FTP、SFTP等协议的操作行为,审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
(5)合规审计,根据上述审计内容,参照相关的安全管理制度,对运维操作进行合规检查,给出符合性审查。
2500
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
