《信息安全》—网络安全审计技术原理与运用

1 网络安全审计概述

• 网络安全审计是网络安全保护措施之一，主要阐述网络安全审计的概念，网络安全审计的相关标准和法规政策。

1.1 网络安全审计概念

• 网络安全审计是指对网络信息系统的安全相关活动进行获取，记录，存储，分析和利用的工作。
• 网络安全审计的作用在于建立“事后”安全保障措施，保存网络安全事件及行为信息，为网络安全事件分析提供线索及证据，以便于发现潜在的网络安全威胁行为，开展网络安全风险分析及管理。

1.2 网络安全审计相关标准

• 美国国家标准局公布《可信计算机系统评估标准》（Trusted Computer System Evaluation Criteria，TCSEC）中给出了计算机系统的安全审计要求。
• TCSEC从C2级开始提出了安全审计的要求，随着保护级别的增加而逐渐增强，B3级以及之后更高的级别则不变化。
• 网络安全等级保护相关技术规范要求对不同安全级别的保护对象提出了不同的安全审计要求。

级别类型	安全审计要求
用户自主保护级	无
系统审计保护级	计算机信息系统可信计算机能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。计算机信息系统可信计算机能记录下述事件：使用身份鉴别机制：将客体引入用户地址空间（例如：打开文件，程序初始化）；删除客体；由操作员，系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期，用户，事件类型，事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名。对不能由计算机信息系统可信计算机独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算机独立分别的审计记录
安全标记保护级	在系统审计保护级的基础上，要求增强的审计功能是：审计记录包含客体名及客体的安全级别。此外，计算机信息系统计算机具有审计更改可读输出记号的能力
结构化保护级	在安全标记保护级的基础上，要求增强的审计功能是：计算机信息系统可信计算机能够审计利用隐蔽存储信道时可能被使用的事件
访问验证保护级	在结构化保护级的基础上，要求增强的审计功能是：计算机信息系统可信计算机包含能够监控可审计安全事件发生与积累的机制，当超过阈值时，能够立即向安全管理员发出报警，并且如果这些与安全相关的事件继续发生或积累，系统应以最小的代价终止它们

1.3 网络安全审计相关法规政策

• 网络安全审计是网络信息系统的重要机制，国家相关法规政策及国家技术标准都提出了相应的要求。
• 《中华人民共和国网络安全法》要求采取监测，记录网络运行状态，网络安全事件技术措施，并按照规定留存相关的网络日志不少于六个月

2 网络安全审计系统组成与类型

• 网络安全审计系统的组成和类型

2.1 网络安全审计系统组成

• 网络安全审计系统一般包括审计信息获取，审计信息存储，审计信息分析，审计信息展示及利用，系统管理等组成部分。

2.2 网络安全审计系统类型

• 按照审计对象类型分类，网络安全审计主要有 操作系统安全审计，数据库安全审计，网络通信安全审计，应用系统安全审计，网络安全设备审计，工控安全审计，移动安全审计，互联网安全审计，代码安全审计。
• 操作系统审计一般是对操作系统用户和系统服务进行记录。
• 主要包括用户登录和注销，系统服务启动和关闭，安全事件等。
• Windows，Linux等操作系统都自带审计功能，其审计信息简要概述如下：
  • Windows操作系统的基本审计信息有注册登录事件，目录服务访问，审计账户管理，对象访问，审计策略变更，特权使用，进程跟踪，系统事件等。
  • Linux操作系统的基本审计信息有系统开机自检boot.log，用户命令操作日志，最近登录日志lastlog，使用su命令的sulog，当前用户登录日志utmp，用户登录和退出日志lastlog，系统接收和发送邮件日志sulog，系统消息messages等。
• 网络通信安全审计一般采用专用的审计系统，通过专用设备获取网络流量，然后再进行存储和分析。
• 按照审计范围，安全审计可分为综合审计和单个审计系统。

3 网络安全审计机制与实现技术

• 网络安全审计机制主要基于主机的审计机制，基于网络通信的审计机制，基于应用的审计机制等。

3.1 系统日志数据采集技术

• 常见的系统日志数据采集技术是把操作系统，数据库，网络设备等系统中产生的事件信息汇聚到统一的服务器存储，以便于查询分析与管理。
• 常见的日志数据采集方式有Syslog，SNMP Trap等。
• 有多种Syslog服务器，有一个可视化Syslog服务器Virtual Syslog Server，此服务器能自动化处理日志信息，支持触发脚本功能。

3.2 网络流量数据获取技术

• 网络流量数据获取技术是网络通信安全审计的关键技术之一。
• 常见的技术方法有 共享网络监听，交换机端口镜像（Port Mirroring），网络分流器（Network Tap）等。
• 共享网络监听利用Hub集线器构建共享式网络，网络流量采集设备接入集线器上，获取与集线器相连接的设备的网络流量数据。
• 网络流量采集设备安装网络数据捕获软件，从网络上获取原始数据，然后再进行后续处理。
• 常见的开源网络数据采集软件包是Libpcap（Library for Packet Capture）。
• Windows平台使用Winpcap进行网络数据采集。

3.3 网络审计数据安全分析技术

• 网络审计数据蕴涵着网络安全威胁的相关信息，需要通过数据分析技术方法来提取。
• 常见网络审计数据安全分析技术有字符匹配，全文搜搜，数据关联，统计报表，可视化分析等。

3.4 网络审计数据存储技术

• 网络审计数据存储技术分为两种：
  • 一种是由审计数据产生的系统自己分散存储，审计数据保存在不同的系统中；目前，操作系统，数据库，应用系统，网络设备等都可以各自存储日志数据。
  • 另一种集中采集各种系统的审计数据，建立审计数据存储服务器，由专用的存储设备保存，以便于事后查询分析和电子取证。

3.5 网络审计数据保护技术

• 网络审计数据设计系统整体的安全性和用户的隐私性，为保护审计数据的安全，需要以下安全技术措施：
  • 1.系统用户分权管理
  • 操作系统，数据库等系统设置操作员，安全员和审计员三种类型的用户。
  • 操作员指负责对系统的操作维护工作，其操作过程被系统进行了详细记录；
  • 安全员负责系统安全策略配置和维护；
  • 审计员负责维护审计相关事宜，可以查看操作员，安全员工作过程日志；
  • 操作员不能修改自己的操作记录，审计员也不能对系统进行操作；
  • 2.审计数据强制访问
  • 系统采取强制访问控制措施，对审计数据设置安全标记，防止非授权用户查询及修改审计数据。
  • 3.审计数据加密
  • 使用加密技术对敏感的审计数据进行加密处理，以防止非授权查看审计数据或泄露。
  • 4.审计数据隐私保护
  • 采取隐私保护技术，防止审计数据泄露隐私信息。
  • 5.审计数据完整性保护
  • 使用Hash算法和数字签名，对审计数据进行数字签名和来源认证，完整性保护，防止非授权修改审计数据。
  • 目前可以选择的Hash算法主要由MD5，SHA，国产SM3算法等。
  • 国产SM2/SM9数字签名算法可以用于对审计数据进行签名。

4 网络安全审计主要产品与技术指标

4.1 日志安全审计产品

• 日志安全审计产品是有关日志信息采集，分析与管理的系统。产品的基本原理是利用Syslog，SNMPTrap，NetFlow，Telnet，SSH，WMI，FTP，SFTP，SCP，JDBC，文件等技术.

4.2 主机监控与审计产品

4.3 数据库审计产品

• 1.网络监听审计
• 2.自带审计
• 3.数据库Agent

4.4 网络安全审计产品

• 1.网络流量采集
• 2.网络流量数据挖掘分析
  • SMTP,POP
  • HTTP
  • NetBios
  • FTP
  • Telnet
  • DNS

4.5 工业控制系统网络审计产品

4.6 运维安全审计产品

5 网络安全审计应用

• 网络安全审计技术是网络安全保障的重要技术措施,主要由安全运维保障,数据访问监测,网络入侵检测,网络电子取证等场景.

5.1 安全运维保障

5.2 数据访问监测

5.3 网络入侵检测

5.4 网络电子取证