12.1.1 网络安全审计概念
网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。常见的安全审计功能是安全事件采集、存储和查询。
对于重要的信息系统,则部署独立的网络安全审计系统。
12.1.2 网络安全审计相关标准
1985 年美国国家标准局公布的《可信计算机系统评估标准》(TCSEC)中给出了计算机系统的安全审计要求。TCSEC 从 C2 级开始提出了安全审计的要求,随着保护级别的增加而逐渐加强,B3 级以及之后更高的级别则不再变化。
我国的国家标准 GB 17859《计算机信息系统安全保护等级划分准则》(以下简称《准则》)从第二级开始要求提供审计安全机制。其中,第二级为系统审计保护级,该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
12.2.1 网络安全审计系统组成
网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分,如图 12-1 所示。
12.2.2 网络安全审计系统类型
按照审计对象类型分类,网络安全审计主要有操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。操作系统审计一般是对操作系统用户和系统服务进行记录,主要包括用户登录和注销、系统服务启动和关闭、安全事件等。
Windows, Linux 等操作系统都自带审计功能,其审计信息简要叙述如下: Windows 操作系统的基本审计信息有注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件等;
LNIUX 操作系统的基本审计信息有系统开机自检日志 boot.log、用户命令操作日志 acct/pacct、最
近登录日志 lastlog、使用 su 命令日志 sulog、当前用户登录日志 utmp, 用户登录和退出日志 wtmp、系统接收和发送邮件日志 maillog、系统消息 messages 等。
12.3 网络安全审计机制与实现技术
网络审计数据蕴涵着网络安全威胁相关信息,需要通过数据分析技术方法来提取。常见的网络审计数据安全分析技术有字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。
1.字符串匹配
字符串匹配通过模式匹配来查找相关审计数据,以便发现安全问题。
常见的字符串匹配工具是 grep,其使用的格式如下:
grep [options][regexp] [filename]
regexp 为正则表达式,用来表示要搜索匹配的模式。
[考生注意了解一下这个基本的格式]
2.全文搜索
全文搜索利用搜索引擎技术来分析审计数据。开源搜索引擎工具 Elasticsearch 常用作数据分析。
3.数据关联
数据关联是指将网络安全威胁情报信息,如系统日志、全网流量、安全设备日志等多个数据来源进行综合分析,以发现网络中的异常流量,识别未知攻击手段。
4.统计报表
统计报表是对安全审计数据的特定事件、安全基线等进行统计分析,以生成告警信息,形成发送日报、周报、月报。
5.可视化分析
将安全审计数据进行图表化处理,形成饼图、柱状图、折线图、地图等各种可视化效果,以支持各种用户场景。将不同维度的可视化效果汇聚成仪表盘,辅助用户实时查看当前事件变更。安全关键 KPI 状态高亮显示,突出异常行为的重要性.
12.3.4 网络审计数据存储技术
网络审计数据存储技术分为两种:一种是由审计数据产生的系统自己分散存储,审计数据保存在不同的系统中;操作系统、数据库、应用系统、网络设备等都可以各自存储日志数据。另一种集中采集各种系统的审计数据,建立审计数据存储服务器,由专用的存储设备保存,便于事后查询分析和电子取证。
12.4.1 日志安全审计产品
日志安全审计产品是有关日志信息采集、分析与管理的系统。产品的基本原理是利用 Syslog, Snmptrap,NetFlow, Telnet, SSH, WMI, FTP, SFTP, SCP, JDBC、文件等技术。
对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理,便于有关单位/机构进行安全合规管理,保护日志信息安全。日志安全审计产品的主要功能有日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理等。
12.4.3 数据库审计产品
数据库审计产品是对数据库系统活动进行审计的系统。
产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集,然后对采集的信息进行分析,形成数据库操作记录,保存和发现数据库各种违规的或敏感的操作信息,为相应的数据库安全策略调整提供依据。
实现数据库审计主要有如下三种方式。
1.网络监听审计
网络监听审计对获取到的数据库流量进行分析,从而实现对数据库访问的审计和控制。其优点是数据库网络审计不影响数据库服务器,其不足是网络监听审计对加密的数据库网络流量难以审计,同时无法对数据库服务器的本地操作进行审计。
2.自带审计
通过启用数据库系统自带的审计功能,实现数据库的审计。其优点是能够实现数据库网络操作和本地操作的审计,缺点是对数据库系统的性能有一些影响,在审计策略配置、记录的粒度、日志统一分析方面不够完善,日志本地存储容易被删除。
3.数据库 Agent
在数据库服务器上安装采集代理(Agent,通过 Agent 对数据库的各种访问行为进行分析,从而实现数据库审计。其优点是能够实现数据库网络操作和本地操作的审计,缺点是数据库 Agent 需要安装在数据库服务器,对数据库服务系统的性能、稳定性、可靠性有影响。
