信息安全:网络安全审计技术原理与应用.

信息安全:网络安全审计技术原理与应用.

网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后“安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。

常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统,则部署独立的网络安全审计系统。


目录:

网络安全审计概述:

(1)网络安全审计相关标准 :

(2)网络安全审计相关法规政策:

网络安全审计系统组成与类型:

(1)网络安全审计系统组成:

(2)网络安全审计系统类型:

网络安全审计机制与实现技术:

(1)系统日志数据采集技术:

(2)网络流 数据获取技术:

(3)网络审计数据安全分析技术:

(4)网络审计数据存储技术:

(5)网络审计数据保护技术:

网络安全审计主要产品与技术指标:

(1)日志安全审计产品:

(2)主机监控与审计产品:

(3)数据库审计产品:

(4)网络安全审计产品 :

(5)工业控制系统网络审计产品:

(6)运维安全审计产品:

网络安全审计应用:

(1)安全运维保障:

(2)数据访问监测:

(3)网络人侵检测:

(4)网络电于取证:


网络安全审计概述:

(1)网络安全审计相关标准 :

我国的国家标准 GB 17859 《计算机信息系统安全保护等级划分准则》(以下简称《准则》)从第二级开始要求提供审计安全机制。其中,第 级为系统审计保护级,该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。


(2)网络安全审计相关法规政策:

《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月

网络安全审计系统组成与类型:

(1)网络安全审计系统组成:

网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分.
针对不同的审计对象,安全审计系统的组成部分各不相同,审计细粒度也有所区分

(2)网络安全审计系统类型:

按照审计对象类型分类,网络安全审计主要有:操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。
  
◆ 操作系统审计:一般是对操作系统用户和系统服务进行记录,主要包括用户登录和注销、系统服务启动和关闭、安全事件等.
   
◆ 数据库审计:通常是监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并可以对数据库操作命令进行回放。
   
◆  网络通信安全审计:一 般采用专用的审计系统,通过专用设备获取网络流量,然后再进行存 储和分析。网络通信安全审计的常见内容为 IP 源地址、 IP 目的地址、源端口号、目的端口号、 协议类型、传输内容等。
   
按照审计范围,安全审计可分为综合审计系统和单个审计系统。由于各 IT 产品自带的审计功能有限,审计能力不足,于是安全厂商研发了综合审计系统。

网络安全审计机制与实现技术:

网络安全审计机制主要有基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制等.

(1)系统日志数据采集技术:

常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便于查询分析与管理

(2)网络流数据获取技术:

网络流量数据获取技术是网络通信安全审计的关键技术之 ,常见的技术方法有共享网络监听、交换机端口镜像 、网络分流器等。
① 共享网络监听:
利用 Hub 集线器构建共享式网络,网络流量采集设备接入集线器上,获取与集线器相连接的设备的网络流量数据.
②交换机端口镜像:
网络流量采集设备通过交换机端口镜像功能,获取流经交换机的网络通信包.
③网络分流(TAP)
对于不支持端口镜像功能的交换机,通常利用网络分流器 (TAP) 把网络流量导入网络流量采集设备.
   
网络流量采集设备安装网络数据捕获软件,从网络上获取原始数据,然后再进行后续处理。

(3)网络审计数据安全分析技术:

常见的网络审计数据安全分析技术有字符串匹配、全文搜索、数据关联、统计报表、可视化分析等.
1.字符串匹配
字符串匹配通过模式匹配来查找相关审计数据,以便发现安全问题。常见的字符串匹配工具是 grep, 其使用的格式如下:
  
grep [options] [regexp] [filename]
  
regexp 为正则表达式,用来表示要搜索匹配的模式。

2.全文搜索
   
全文搜索利用搜索引擎技术来分析审计数据。目前,开源搜索引擎工具 Elastic search 常用作数据分析。

3.数据关联

数据关联是指将网络安全威胁情报信息,如系统日志、全网流鼠、安全设备日志等多个数据来源进行综合分析,以发现网络中的异常流量,识别未知攻击手段。

4.统计报表

统计报表是对安全审计数据的特定事件、阙值、安全基线等进行统计分析,以生成告警信息,形成发送日报、周报、月报

5.可视化分析

将安全审计数据进行图表化处理,形成饼图、柱状图、折线图、地图等各种可视化效果,以支持各种用户场景。

(4)网络审计数据存储技术:

网络审计数据存储技术分为两种:
  
一种是由审计数据产生的系统自己分散存储,审计数据保存在不同的系统中;目前,操作系统、数据库、应用系统、网络设备等都可以各自存储日志
数据。
   
另一种集中采集各种系统的审计数据,建立审计数据存储服务器,由专用的存储设备保存,便于事后查询分析和电子取证。

(5)网络审计数据保护技术:

网络审计数据涉及系统整体的安全性和用户的隐私性,为保护审计数据的安全.

1. 系统用户分权管理:

操作系统、数据库等系统设置操作员、安全员和审计员三种类型的用户

操作员只负责对系统的操作维护工作,其操作过程被系统进行了详细记录;

安全员负责系统安全策略配置和维护;

审计员负责维护审计相关事宜,可以查看操作员、安全员工作过程日志;操作员不能够修改自己的操作记录,审计员也不能对系统进行操作。

2. 审计数据强制访问
  
系统采取强制访问控制措施,对审计数据设置安全标记,防止非授权用户查询及修改审计数据。
  
3. 审计数据加密
    
使用加密技术对敏感的审计数据进行加密处理,以防止非授权查看审计数据或泄露。
 
4. 审计数据隐私保护
   

采取隐私保护技术,防止审计数据泄露隐私信息。

5. 审计数据完整性保护:

使用 Hash 算法和数字签名,对审计数据进行数字签名和来源认证、完整性保护,防止非授权修改审计数据。

网络安全审计主要产品与技术指标:

(1)日志安全审计产品:

日志安全审计产品是有关日志信息采集、分析与管理的系统。

(2)主机监控与审计产品:

主机监控与审计产品是有关主机行为信息的安全审查管理的系统。产品的基本原理是通过代理程序对主机的行为信息进行采集,然后基于采集到的信息进行分析,以记录系统行为,帮助管理员评估操作系统的风险状况,并为相应的安全策略调整提供依据。该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质 (U 盘)管理、非法外联管理等。

(3)数据库审计产品:

数据库审计产品是对数据库系统活动进行审计的系统。产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集,然后对采集的信息进行分析,形成数据库操作记录,保存和发现数据库各种违规的或敏感的操作信息,为相应的数据库安全策略调整提供依据。
    
在数据库审计产品中,实现数据库审计主要有如下三种方式:
   
1.网络监听审计:
    
网络监听审计对获取到的数据库流量进行分析,从而实现对数据库访问的审计和控制。其优点是数据库网络审计不影响数据库服务器,其不足是网络监听审计对加密的数据库网络流量难以审计,同时无法对数据库服务器的本地操作进行审计
   
2.自带审计:
   
通过启用数据库系统自带的审计功能,实现数据库的审计。其优点是能够实现数据库网络操作和本地操作的审计,缺点是对数据库系统的性能有一些影响,在审计策略配置、记录的粒度、日志统一分析方面不够完善,日志本地存储容易被删除
  
3.数据库 Agent :
   
在数据库服务器上安装采集代理 (Agent) ,通过 Agent 对数据库的各种访问行为进行分析,从而实现数据库审计。其优点是能够实现数据库网络操作和本地操作的审计,缺点是数据Agent 需要安装数据库服务器对数据库服务系统的性能、稳定性、可靠性有影响()

(4)网络安全审计产品 :

网络安全审计产品是有关网络通信活动的审计系统。产品的基本原理是通过网络流量信息采集及数据包深度内容分析,提供网络通信及网络应用的活动信息记录。
   
网络安全审计常见的功能主要包括如下几个方面:1. 网络流量采集;        2. 网络流量数据挖掘分析;

(5)工业控制系统网络审计产品:

工业控制系统网络审计产品是对工业控制网络中的协议、数据和行为等进行记录、分析,并做出一定的响应措施的信息安全专用系统。产品的基本原理是利用网络流量采集及协议识别技术,对工业控制协议进行还原,形成工业控制系统的操作信息记录,然后进行保存和分析
    
工业控制系统网络审计产品的实现方式通常分两种情况
   
一体化集中产品,即将数据采集和分析功能集中在一台硬件中,统一完成审计分析功能;
    
② 由采集端和分析端两部分组成,采集端主要提供数据采集的功能,将采集到的网络数据发送给分析端,由分析端进一步处理和分析,并采取相应的响应措施。

(6)运维安全审计产品:

运维安全审计产品是有关网络设备及服务器操作的审计系统。运维安全审计产品主要采集记录 IT 系统维护过程中相关人员”在什么终端、什么时间、登录什么设备(或系统)、做了什么操作、返回什么结果、什么时间登出”等行为信息,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便追查取证。

网络安全审计应用:

(1)安全运维保障:

IT 系统运维面临内部安全威胁和第三方外包服务安全风险,网络安全审计是应对运维安全风险的重要安全保障机制。通过运维审计,可以有效防范和追溯安全威胁操作

(2)数据访问监测:

数据库承载企事业单位的重要核心数据资源,保护数据库的安全成为各相关部门的重要职责。数据库安全审计产品就是通过安全监测,智能化、自动地从海量日志信息中,发现违规访问或异常访问记录,从而有效降低安全管理员日志分析的工作量

(3)网络人侵检测:

网络入侵检测对网络设备、安全设备、应用系统的日志信息进行实时收集和分析。可检测发现黑客入侵、扫描渗透、暴力破解、网络蠕虫、非法访问、非法外联和 DDoS 攻击。

(4)网络电子取证:

日志分析技术广泛应用于计算机犯罪侦查与电子取证,许多案件借助日志分析技术提供线索、获取证据
        
    
   
    
学习书籍:信息安全工程师教程.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/147765.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

全新UI彩虹外链网盘系统源码(前后端美化模板)

全新UI彩虹外链网盘系统源码前后端美化模板,支持所有格式文件的上传、生成文件外链、图片外链、音乐视频外链等功能,同时还可以自动生成相应的 UBB 代码和 HTML 代码,支持文本、图片、音乐、视频在线预览。这不仅仅是一个网盘,更是…

RabbitMQ学习笔记(消息发布确认,死信队列,集群,交换机,持久化,生产者、消费者)

MQ(message queue):本质上是个队列,遵循FIFO原则,队列中存放的是message,是一种跨进程的通信机制,用于上下游传递消息。MQ提供“逻辑解耦物理解耦”的消息通信服务。使用了MQ之后消息发送上游只…

软件设计模式系列之二十四——模板方法模式

在软件设计领域,设计模式是一组被反复使用、多次实践验证的经典问题解决方案。其中,模板方法模式是一种行为型设计模式,用于定义一个算法的骨架,将算法中的某些步骤延迟到子类中实现,从而使子类可以重新定义算法的某些…

lv7 嵌入式开发-网络编程开发 03 TCP/IP与五层体系结构

目录 1 TCP/IP协议族体系结构 1.1 OSI与TCP/IP 1.2 TCP/IP 的体系结构 1.3 TCP/IP 体系结构的另一种表示方法 1.4 沙漏计时器形状的 TCP/IP 协议族 2 五层协议的体系结构 2.1 各层的主要功能 2.2 互联网中客户-服务器工作方式 2.3 同时为多个客户进程提供服务 3 练…

react 网页/app复制分享链接到剪切板,分享到国外各大社交平台,通过WhatsApp方式分享以及SMS短信方式分享链接内容

1.需求 最近在做一个国际网站app,需要把app中某个页面的图文链接分享到国外各大社交平台上(facebook,whatapp,telegram,twitter等),以及通过WhatApp聊天方式分享,和SMS短信方式分享链接内容,该怎么做呢?图示如下: 分享到国外各大社交平台&am…

Kubernetes 学习总结(38)—— Kubernetes 与云原生的联系

一、什么是云原生? 伴随着云计算的浪潮,云原生概念也应运而生,而且火得一塌糊涂,大家经常说云原生,却很少有人告诉你到底什么是云原生,云原生可以理解为“云”“原生”,Cloud 可以理解为应用程…

选择排序算法:简单但有效的排序方法

在计算机科学中,排序算法是基础且重要的主题之一。选择排序(Selection Sort)是其中一个简单但非常有用的排序算法。本文将详细介绍选择排序的原理和步骤,并提供Java语言的实现示例。 选择排序的原理 选择排序的核心思想是不断地从…

Springboot+Vue+Mysql实现模拟汽车保养系统(附源码)

前言 本项目基于springbootvue搭建的汽车保养的系统,页面较为粗糙,前端好的小伙伴可自行优化。 项目环境 -环境框架后端JDK1.8SpringBootmybatisPlus前端NodeJS16.0Vue2.0ElementPlus数据库MySQL8.0- 数据库设计 数据表备注banner轮播图表car用户汽…

C++ 程序员入门之路——旅程的起点与挑战

🌷🍁 博主猫头虎 带您 Go to New World.✨🍁 🦄 博客首页——猫头虎的博客🎐 🐳《面试题大全专栏》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~🌺 &a…

【maven】idea中基于maven-webapp骨架创建的web.xml问题

IDEA中基于maven-webapp骨架创建的web工程&#xff0c;默认的web.xml是这样的。 <!DOCTYPE web-app PUBLIC"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN""http://java.sun.com/dtd/web-app_2_3.dtd" ><web-app><display-name…

本地部署 Qwen-Agent

本地部署 Qwen-Agent 1. Qwen-Agent 概述2. Github 地址3. 创建虚拟环境4. 安装 flash-attention5. 部署 Qwen 模型服务6. 部署 Qwen-Agent7. 浏览器访问 Qwen Agent8. 安装浏览器助手 1. Qwen-Agent 概述 Qwen-Agent 是一个代码框架&#xff0c;用于发掘开源通义千问模型&…

2120 -- 预警系统题解

Description OiersOiers 国的预警系统是一棵树&#xff0c;树中有 &#xfffd;n 个结点&#xff0c;编号 1∼&#xfffd;1∼n&#xff0c;树中每条边的长度均为 11。预警系统中只有一个预警信号发射站&#xff0c;就是树的根结点 11 号结点&#xff0c;其它 &#xfffd;−1…

面试题:Kafka 为什么会丢消息?

文章目录 1、如何知道有消息丢失&#xff1f;2、哪些环节可能丢消息&#xff1f;3、如何确保消息不丢失&#xff1f; 引入 MQ 消息中间件最直接的目的&#xff1a;系统解耦以及流量控制&#xff08;削峰填谷&#xff09; 系统解耦&#xff1a; 上下游系统之间的通信相互依赖&a…

华硕X555YI, Win11下无法调节屏幕亮度

翻出一个旧电脑华硕X555YI&#xff0c;装Win11玩&#xff0c;已经估计到会有一些问题。 果然&#xff0c;装完之后&#xff0c;发现屏幕无法调节亮度。试了网上的一些方法&#xff0c;比如修改注册表等&#xff0c;无效。 估计是显卡比较老&#xff0c;哪里没兼容。然后用驱动…

C++项目:仿mudou库one thread one loop式并发服务器实现

目录 1.实现目标 2.HTTP服务器 3.Reactor模型 3.1分类 4.功能模块划分: 4.1SERVER模块: 4.2HTTP协议模块: 5.简单的秒级定时任务实现 5.1Linux提供给我们的定时器 5.2时间轮思想&#xff1a; 6.正则库的简单使用 7.通用类型any类型的实现 8.日志宏的实现 9.缓冲区…

【初识Linux】:常见指令(1)

朋友们、伙计们&#xff0c;我们又见面了&#xff0c;本期来给大家解读一下有关Linux的基础知识点&#xff0c;如果看完之后对你有一定的启发&#xff0c;那么请留下你的三连&#xff0c;祝大家心想事成&#xff01; C 语 言 专 栏&#xff1a;C语言&#xff1a;从入门到精通 数…

PowerPoint如何设置密码?

PowerPoint&#xff0c;也就是PPT&#xff0c;是很多人工作中经常用的办公软件&#xff0c;而PPT和Word、Excel等一样可以设置密码保护。 PPT可以设置两种密码&#xff0c;一种是“打开密码”&#xff0c;也就是需要密码才能打开PPT&#xff1b;还有一种是设置成有密码的“只读…

22.app.js的全局数据共享

app.js中定义的全局变量适合 不修改且仅在js中使用的变量 目录 1 全局变量 2 修改全局变量 3 app.js中的变量不能直接在wxml中渲染 4 全局方法 1 全局变量 比如我现在想定义一个全局的变量something&#xff0c;直接在APP中写就行了 之后你可以在任何一个页面中&…

互联网Java工程师面试题·MyBatis 篇·第一弹

目录 1、什么是 Mybatis&#xff1f; 2、Mybaits 的优点 3、MyBatis 框架的缺点 4、MyBatis 框架适用场合 5、MyBatis 与 Hibernate 有哪些不同&#xff1f; 6、#{}和${}的区别是什么&#xff1f; 7、当实体类中的属性名和表中的字段名不一样 &#xff0c;怎么办 &#x…

HTML5 跨屏前端框架 Amaze UI

Amaze UI采用国际最前沿的“组件式开发”以及“移动优先”的设计理念&#xff0c;基于其丰富的组件&#xff0c;开发者可通过简单拼装即可快速构建出HTML5网页应用&#xff0c;上线仅半年&#xff0c;Amaze UI就成为了国内最流行的前端框架&#xff0c;目前在Github上收获Star数…