标签:网络安全 审计 数据库 软考 网络 网络流量 采集 备考
第12章 网络安全审计技术原理与应用
网络安全审计概述
网络安全审计概念
o 对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作
网络安全审计用途
o 建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理
网络安全升级相关法规政策
o 《中华人民共和国网络安全法》:采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月
网络安全审计系统组成与类型
网络安全审计系统组成
网络安全审计系统类型
o 操作系统安全审计
对操作系统用户和系统服务进行记录,包括用户登录和注销、系统服务启动和关闭、安全事件
Windows、Linux操作系统都自带审计功能
• 数据库安全审计
监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并且可以对数据库操作命令进行回放
大部分数据库也都自带审计功能
• 网络通信安全审计
采用专用的审计系统,通过专用设备获取网络流量,进行存储和分析
• 应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计
• 按照审计范围,安全审计可分为综合审计系统和单个审计系统
综合审计系统架构
网络安全审计机制与实现技术
• 网络安全审计数据采集
o 系统日志数据采集技术
把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,便于查询分析与管理
常见的采集方式:SysLog、SNMP Trap
o 网络流量数据采集技术
常见的技术方法:共享网络监听、交换机端口镜像、网络分流器
共享网络监听原理:网络流量采集设备接入到Hub集线器来获取与集线器相连接设备的网络流量数据
基于端口镜像的网络流量采集示意图
对于不支持端口镜像功能的交换机,采用网络分流器(TAP)方式,示意图
o 网络流量数据采集开源工具
• Libpcap:常见的开源数据采集软件包
Tcpdump:基于Libpcap的网络流量数据采集工具
• Winpcap:支持在Windows平台捕获网络数据包
Windump:基于Winpcap的网络协议分析工具
Wireshark:图形化网络流量数据采集工具
o 网络审计数据分析技术
• 字符串匹配:正则匹配
• 全文搜索:开源搜索引擎Elastic Search
• 数据关联
• 统计报表
• 可视化分析:图表成饼图、柱状图等
o 网络审计数据保护技术
• 系统用户分权管理:设置操作员、安全员、审计员三种类型用户
• 审计数据强制访问:采取强制访问控制措施
• 审计数据加密
• 审计数据隐私保护
• 审计数据完整性保护:对审计数据进行数字签名和来源认证
网络安全审计主要技术指标与产品
o 日志安全审计产品
o 主要功能:日志采集、存储、分析、查询,事件告警,统计报表,系统管理等
o 主机监控与审计产品
o 通过代理程序
o 主要功能:系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U盘)管理、非法外联管理等
o 数据库审计产品
o 实现数据库审计三种方式:
网络监听审计
优点:不影响数据库服务器
不足:加密数据库网络流量难以审计、无法对本地数据库服务器审计
• 自带审计
优点:实现数据库网络操作和本地操作审计
缺点:对性能有影响,审计策略配置、记录粒度、日志统一分析不够完善,日志本地存储容易被删除
• 数据库Agent
优点:实现数据库网络操作和本地操作审计
缺点,需要安装Agent,影响性能、稳定性、可靠性
o 网络安全审计产品
• 常见功能:
• 网络流量采集
• 网络流量数据挖掘分析:对不同协议流量进行分析,得出信息记录
• 性能指标主要有:支持网络带宽大小、协议识别种类、原始数据包查询响应时间等
o 工业控制系统网络审计产品
• 原理:利用网络流量采集和协议识别技术,对工控协议还原,形成操作信息记录,进行保存分析
• 两种实现方式:
一体化集中产品
由采集端和分析端两部分组成
o 运维安全审计产品
• 主要功能:
字符会话审计:审计SSH、Telnet协议的操作行为
图形操作审计:审计RDP、VNC以及HTTP/HTTPS协议的图形操作行为
数据库运维审计:审计Oracle、MS SQL Server、IBM DB2、PostgreSQL数据库操作行为
文件传输审计:审计FTP、SFTP等协议
合规审计:参照相关安全管理制度
网络安全审计应用
o 网络合规使用
o 网络电子取证
o 网络安全运维保障
标签:网络安全,审计,数据库,软考,网络,网络流量,采集,备考 来源: https://www.cnblogs.com/devdog/p/15554389.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。