网络安全审计技术原理与应用
1、网络安全审计概述
网络安全审计概念:对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。
- 作用:建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险风险及 管理。
常见的安全审计功能:安全事件采集、存储和查询。对于重要的信息系统,则部署独立的安全审计系统。
网络安全审计相关标准
- 美国:TCSEC从C2级开始提出了安全审计的要求,B3级以及之后更高的级别则不在变化。
- 我国:GB 17859《计算机信息 系统安全保护等级划分准则》从第二级开始要求提供审计安全机制。通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
2、网络安全审计系统组成与类型
网络安全审计系统组成:审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。
安全审计系统的组成部分各不相同,审计细粒度也有所区分
- 操作系统的审计:对进程活动、文件操作的审计;
- 网络通信安全审计:即可对IP包的源地址、目的地址进行审计,又可以对IP包的内容进行深度分析,实现网络内容审计。
网络安全审计系统类型:按照审计对象分类:
- 操作系统安全审计:对操作系统用户和系统服务进行记录,主要包括用户登录和注销、系统服务启动和关闭、安全事件等;
- 数据库安全审计
- 网络通信安全审计
- 应用系统安全审计
- 网络安全设备审计
- 工控安全审计
- 移动安全审计
- 互联网安全审计
- 代码安全审计
Windows、Linux等操作系统都自带审计功能
Windows操作系统的审计:基本审计信息有:
- 注册登录事件
- 目录服务访问
- 审计账户管理
- 对象访问
- 审计策略变更
- 特权使用
- 进程跟踪
- 系统事件
Linux操作系统的基本审计信息:
- 系统开机自检日志 boot.log
- 用户命令操作日志 acct/pacct
- 最近登录日志 lastlog
- 使用su命令日志 sulog
- 当前用户登录日志 utmp
- 用户登录和退出日志 wtmp
- 系统接收和发送邮件日志 maillog
- 系统消息 messages
数据库审计:监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并可以对数据库操作命令进行回放。
网络通信安全审计:一般采用专用的审计系统,通过专用设备获取网络流量,然后再进去存储和分析。常见审计内容:IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容。
按照审计范围划分安全审计:可分为综合审计系统和单个审计系统。
3、网络安全审计机制与实现技术
网络安全审计机制:
- 基于主机的审计机制
- 基于网络通信的审计机制
- 基于应用的审计机制
审计机制实现常用的技术:
- 系统日志数据采集技术:把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便于查询分析与管理。
- 网络流量数据获取技术:常见的技术方法有共享网络监听、交换机端口镜像、网络分流器。共享网络监听利用Hub集线器构建共享式网络,网络流量采集设备接入集线器上。对于不支持端口镜像功能的交换机,通常利用网络分流器(TAP)把网络流量导入网络流量采集设备。
网络流量采集设备:安装网络数据捕获软件,从网络上获取原始数据,然后再进去后续处理。常用的开源网络数据采集软件包是Libpcap,工作流程 : - 设置嗅探网络接口。在Linux操作系统中,大多数为eth0;
- 初始化Libpcap。设定过滤规则,明确获取网络数据包的类型;
- 运行Libpcap循环主体。Libpcap开始接收符合过滤规则的数据包。
Wireshark是图形化的网络流量数据采集工具,可用于网络流量数据的采集和分析
网络审计数据安全分析技术:字符串匹配、全文搜索、数据关联、统计报表、可视化分析。
字符串匹配:字符串匹配通过模式匹配来查找相关审计数据,以便发现安全问题,常见的字符串匹配工具是grep:
全文搜索:利用搜索引擎技术来分析审计数据
数据关联:将网络安全威胁情报信息,如系统日志等多个数据来源进行综合分析,以发现网络中的异常流量,识别未知攻击手段。
统计报表:对安全审计数据进行图表化处理。
网络审计数据存储技术:分成两种
- 审计数据产生的系统自己分散存储,审计数据保存在不同的系统中:操作系统、数据库、应用系统等;
- 集中采集各种系统的审计数据,建立审计数据存储服务器,由专用的存储设备保存,便于事后查询分析和电子取证。
网络审计数据保护技术:网络审计数据涉及系统整体的安全性和用户的隐私性。通常的安全技术措施有以下几种:
- 系统用户分权管理:设置操作员、安全员和审计员三种类型的用户。操作员只负责对系统的操作维护工作;安全员负责系统安全策略配置和维护;审计员负责维护审计相关事宜;
- 审计数据强制访问:系统采取强制访问控制措施,对审计数据设置安全标记,防止非授权用户查询及修改审计数据;
- 审计数据加密:使用加密技术对敏感的审计数据进行加密处理,以防止非授权查看审计数据或泄露;
- 审计数据隐私保护:采取隐私保护技术,防止审计数据泄露隐私信息;
- 审计数据完整性保护:使用Hash算法和数据签名,对审计数据进行签名和 来源认证、完整性保护、防止非授权修改省级数据。
4、网络安全审计主要产品与技术指标
日志安全审计产品:
- 产品是有关日志信息采集、分析与管理的系统。
- 原理是:对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理,便于有关单位/机构进行安全合规管理,保护日志信息安全。
- 主要功能:日志采集、日志存储、日志分析、日志查询、事件警告、统计报表、系统管理等。
主机监控与审计产品:
- 有关主机行为信息的安全审查及管理的系统。
- 原理:通过主机监控与审计产品过代理程序对主机的行为信息进行采集,然后基于采集到的信息进行分析;
- 主要功能:系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U盘)管理、非法外联管理等。
数据库审计产品:
- 对数据库系统活动进行审计的系统;
- 原理:通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集;
- 实现数据库采集的三种方式:
网络监听审计:对获取到的数据库流量进行分析,从而实现对数据库访问的审计和控制。优点:不影响数据库服务器;缺点:对加密的数据库网络流量难以审计,同时无法对数据库服务器的本地操作进行审计。
自带审计:启用数据库系统自带的审计功能,实现数据库的审计。优点:能够实现数据库网络操作和本地操作的审计;缺点:对数据库系统的性能有一些影响。
主要功能:日志采集、日志存储、日志分析、日志查询、事件警告、统计报表、系统管理等。
数据库Agent:安装采集代理(Agent);优点:能够实现数据库网络操作和本地操作的审计;缺点是数据库Agent需要安装数据库服务器,对数据库服务系统的性能、稳定性、可靠性有影响。
网络安全审计产品:
- 有关网络通信活动的审计系统;
- 原理:通过网络流量信息采集及数据包深度内容分析,提供网络通信及网络应用的活动信息记录。
- 常见的功能主要包括几个方面:
网络流量采集:获取网上通信流量信息,按照协议类型及采集规则保存流量数据。
网络流量数据挖掘分析:对采集到的网络流量数据进行挖掘,提取网络流量信息,形成网络审计记录,主要包括以下内容: - 邮件收发协议(SMTP、POP3协议)审计
- 网页浏览(HTTP协议)审计
- 文件共享(NetBios协议)审计
- 文件传输(FTP协议)审计
- 远程访问(Telnet协议)审计
- DNS审计
网络安全审计产品的性能指标:支持网络带宽大小、协议识别种类、原始数据包查询响应时间等。
工业控制系统网络审计产品
- 对工业控制网络中的协议、数据和行为等进行 记录、分析,并做出一定的响应措施;
- 原理:利用网络流量采集及协议识别技术,对工业控制协议进行还原,形成工业控制系统的操作信息记录,然后进行保存和分析。
- 实现方式通常分两种情况:一体化集中产品,即将数据采集和分析功能集中在一台硬件中,统一完成审计分析功能;另一种是由采集端和分析端两部分组成。
运维安全审计产品:
- 产品是有关网络设备及服务器操作的审计系统;
- 主要采集和记录IT系统维护过程中相关人员的行为信息,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便追查取证;
- 原理:通过网络流量信息采集或服务代理等技术方式,记录Telnet、FTP、SSH、tftp、HTTP等运维操作服务的活动信息。
- 主要功能有:字符会话审计、图像操作审计、数据库运维审计、文件传输审计、合规审计等。
5、网络安全审计应用
安全运维保障:IT系统运维面临内部安全威胁和第三方外包服务安全风险、网络安全审计是应对运维安全风险 的重要安全保障机制。通过运维审计,管理员可获知有运维人员在执行绕行操作。
网络入侵检测:对网络设备、安全设备、商用系统的日志信息进行实时收集和分析,可检测发现黑客的攻击。
网络电子取证:日志分析技术广泛应于于计算机犯罪侦查与电子取证,许多案件借助日志分析技术提供线索、获取证据。
