其他分享
首页 > 其他分享> > 信息安全工程师-软考中级-备考笔记:第十二章 网络安全审计技术原理与应用

信息安全工程师-软考中级-备考笔记:第十二章 网络安全审计技术原理与应用

作者:互联网

第12章 网络安全审计技术原理与应用
网络安全审计概述
网络安全审计概念
o 对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作
网络安全审计用途
o 建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理
网络安全升级相关法规政策
o 《中华人民共和国网络安全法》:采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月
网络安全审计系统组成与类型
网络安全审计系统组成

网络安全审计系统类型
o 操作系统安全审计
 对操作系统用户和系统服务进行记录,包括用户登录和注销、系统服务启动和关闭、安全事件
 Windows、Linux操作系统都自带审计功能
• 数据库安全审计
 监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并且可以对数据库操作命令进行回放
 大部分数据库也都自带审计功能
• 网络通信安全审计
 采用专用的审计系统,通过专用设备获取网络流量,进行存储和分析
• 应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计
• 按照审计范围,安全审计可分为综合审计系统和单个审计系统
 综合审计系统架构

网络安全审计机制与实现技术
• 网络安全审计数据采集
o 系统日志数据采集技术
 把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,便于查询分析与管理
 常见的采集方式:SysLog、SNMP Trap

o 网络流量数据采集技术
 常见的技术方法:共享网络监听、交换机端口镜像、网络分流器
 共享网络监听原理:网络流量采集设备接入到Hub集线器来获取与集线器相连接设备的网络流量数据

 基于端口镜像的网络流量采集示意图

 对于不支持端口镜像功能的交换机,采用网络分流器(TAP)方式,示意图

o 网络流量数据采集开源工具
• Libpcap:常见的开源数据采集软件包
 Tcpdump:基于Libpcap的网络流量数据采集工具
• Winpcap:支持在Windows平台捕获网络数据包
 Windump:基于Winpcap的网络协议分析工具
 Wireshark:图形化网络流量数据采集工具
o 网络审计数据分析技术
• 字符串匹配:正则匹配
• 全文搜索:开源搜索引擎Elastic Search
• 数据关联

• 统计报表
• 可视化分析:图表成饼图、柱状图等
o 网络审计数据保护技术
• 系统用户分权管理:设置操作员、安全员、审计员三种类型用户
• 审计数据强制访问:采取强制访问控制措施
• 审计数据加密
• 审计数据隐私保护
• 审计数据完整性保护:对审计数据进行数字签名和来源认证
网络安全审计主要技术指标与产品
o 日志安全审计产品
o 主要功能:日志采集、存储、分析、查询,事件告警,统计报表,系统管理等
o 主机监控与审计产品
o 通过代理程序

o 主要功能:系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U盘)管理、非法外联管理等
o 数据库审计产品
o 实现数据库审计三种方式:
 网络监听审计
 优点:不影响数据库服务器
 不足:加密数据库网络流量难以审计、无法对本地数据库服务器审计
• 自带审计
 优点:实现数据库网络操作和本地操作审计
 缺点:对性能有影响,审计策略配置、记录粒度、日志统一分析不够完善,日志本地存储容易被删除
• 数据库Agent
 优点:实现数据库网络操作和本地操作审计
 缺点,需要安装Agent,影响性能、稳定性、可靠性
o 网络安全审计产品
• 常见功能:
• 网络流量采集
• 网络流量数据挖掘分析:对不同协议流量进行分析,得出信息记录
• 性能指标主要有:支持网络带宽大小、协议识别种类、原始数据包查询响应时间等
o 工业控制系统网络审计产品
• 原理:利用网络流量采集和协议识别技术,对工控协议还原,形成操作信息记录,进行保存分析
• 两种实现方式:
 一体化集中产品
 由采集端和分析端两部分组成
o 运维安全审计产品
• 主要功能:
 字符会话审计:审计SSH、Telnet协议的操作行为
 图形操作审计:审计RDP、VNC以及HTTP/HTTPS协议的图形操作行为
 数据库运维审计:审计Oracle、MS SQL Server、IBM DB2、PostgreSQL数据库操作行为
 文件传输审计:审计FTP、SFTP等协议
 合规审计:参照相关安全管理制度
网络安全审计应用
o 网络合规使用
o 网络电子取证
o 网络安全运维保障

标签:网络安全,审计,数据库,软考,网络,网络流量,采集,备考
来源: https://www.cnblogs.com/devdog/p/15554389.html