12.1 概述

1）概念

：指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。

作用：在于建立“事后”安全保障措施，保存网络安全事件及行为信息，为网络安全事件分析提供线索及证据，以便于发现潜在的网络安全威胁行为，开展网络安全风险分析及管理。

常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统，则部署独立的网络安全审计系统。

2）相关标准

GB 17859《计算机信息系统安全保护等级划分准则》从第二级开始要求提供审计安全机制。其中，第二级为系统审计保护级，该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。《准则》中明确了各级别对审计的要求，如表所示。

3）相关法规政策

《中华人民共和国网络安全法》要求，采取监测、记录网络运行状态、措施，并按照规定留存相关的网络日志不少于六个月。

12.2 组成与类型

1）组成

一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分

针对不同的审计对象，安全审计系统的组成部分各不相同，审计细粒度也有所区分。例如，操作系统的安全审计可以做到对进程活动、文件操作的审计；网络通信安全审计既可对IP包的源地址、目的地址进行审计，又可以对 IP 包的内容进行深度分析，实现网络内容审计.

2）类型

按审计对象类型分类

• 操作系统
  • 对操作系统用户和系统服务进行记录，主要包括用户登录和注销、系统服务启动和关闭、安全事件等
• 数据库
  • 监控并记录用户对数据库服务器的读、写、查询、添加、修改、删除等操作，并可以对数据库操作命令进行回放
• 网络通信
  • 常见内容为 IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等
• 应用系统
• 网络安全
• 工控安全
• 移动安全
• 互联网安全
• 代码安全

按审计范围分类

• 综合审计系统
• 单个审计系统

12.3 机制与实现技术

1）系统日志数据采集技术

Syslog

2）网络流量数据获取技术

共享网络监听、交换机端口镜像（port mirroring）、网络分流器（network tap）

Libpcap、Winpcap、Windump、Tcpdump、Wireshark

3）分析技术

字符串匹配、全文搜索、数据关联、统计报表、可视化分析

数据关联是指将网络安全威胁情报信息，如系统日志、全网流量、安全设备日志等多个数据来源进行综合分析，以发现网络中的异常流量，识别未知攻击手段。

统计报表是对安全审计数据的特定事件、阈值、安全基线等进行统计分析，以生成告警信形成发送日报、周报、月报。

可视化分析：将安全审计数据进行图表化处理，形成饼图、柱状图、折线图、地图等各种可视化效果，以支持各种用户场景。将不同维度的可视化效果汇聚成仪表盘，辅助用户实时查看当前事件变更

4）存储技术

分散存储，集中存储

5）保护技术

系统用户分权管理（操作员、安全员、审计员）

• 操作员只负责对系统的操作维护工作，其操作过程被系统进行了详细记录
• 安全员负责系统安全策略配置和维护
• 审计员负责维护审计相关事宜，可以查看操作员、安全员工作过程日志；操作员不能够修改自己的操作记录，审计员也不能对系统进行操作。

审计数据强制访问

审计数据加密

审计数据隐私保护

审计数据完整性保护

12.4 主要产品与技术指标

1）产品

日志安全审计产品是有关日志信息采集、分析与管理的系统。

产品的基本原理是利用Syslog、Snmptrap、NetFlow、TeInet、SSH、WMI、FTP、SFTP、SCP、JDBC、文件等技术，对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理，便于有关单位机构进行安全合规管理，保护日志信息安全。

日志安全审计产品的主要功能有日志采集、日志存储、日志分析、日志査询、事件告警、统计报表、系统管理等。

2）主机监控与审计产品

主机监控与审计产品是有关主机行为信息的安全审查及管理的系统。

产品的基本原理是通过代理程序对主机的行为信息进行采集，然后基于采集到的信息进行分析，以记录系统行为，帮助管理员评估操作系统的风险状况，并为相应的安全策略调整提供依据。

该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U盘)管理、非法外联管理等。

3）数据库审计产品

数据库审计产品是对数据库系统活动进行审计的系统。

产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集，然后对采集的信息进行分析，形成数据库操作记录，保存和发现数据库各种违规的或敏感的操作信息，为相应的数据库安全策略调整提供依据。

网络监听审计

自带审计

数据库Agent

4）网络安全审计产品

网络流量采集

网络流量数据挖掘分析

5）工业控制系统网络审计产品

工业控制系统网络审计产品是对工业控制网络中的协议、数据和行为等进行记录、分析，并做出一定的响应措施的信息安全专用系统。

产品的基本原理是利用网络流量采集及协议识别技术，对工业控制协议进行还原，形成工业控制系统的操作信息记录，然后进行保存和分析。

实现方式：

• 一体化集中产品

• 采集端和分析端两部分组成

6）运维安全审计产品

运维安全审计产品是有关网络设备及服务器操作的审计系统。运维安全审计产品主要采集和记录 IT 系统维护过程中相关人员 “在什么终端、什么时间、登录什么设备(或系统)、做了什么操作、返回什么结果、什么时间登出” 等行为信息，为管理人员及时发现权限滥用、违规操作等情况，准确定位身份，以便追查取证。

运维安全审计产品的基本原理是通过网络流量信息采集或服务代理等技术方式，记录Telnet、FTP、SSH、tfp、HTTP 等运维操作服务的活动信息。

主要功能：字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计等。

12.5 应用

安全运维保障

数据访问检测

网络入侵检测

网络电子取证