首页 > 其他分享 >12-网络安全审计技术原理与应用

12-网络安全审计技术原理与应用

时间:2024-10-05 18:12:15浏览次数:8  
标签:网络安全 审计 12 安全 系统 采集 日志

12.1 概述

1)概念

:指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。

作用:在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。

常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统,则部署独立的网络安全审计系统。

2)相关标准

GB 17859《计算机信息系统安全保护等级划分准则》从第二级开始要求提供审计安全机制。其中,第二级为系统审计保护级,该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。《准则》中明确了各级别对审计的要求,如表所示。
image

3)相关法规政策

《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、措施,并按照规定留存相关的网络日志不少于六个月。

12.2 组成与类型

1)组成

一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分
image
针对不同的审计对象,安全审计系统的组成部分各不相同,审计细粒度也有所区分。例如,操作系统的安全审计可以做到对进程活动、文件操作的审计;网络通信安全审计既可对IP包的源地址、目的地址进行审计,又可以对 IP 包的内容进行深度分析,实现网络内容审计.

2)类型

按审计对象类型分类

  • 操作系统
    • 对操作系统用户和系统服务进行记录,主要包括用户登录和注销、系统服务启动和关闭、安全事件等
  • 数据库
    • 监控并记录用户对数据库服务器的读、写、查询、添加、修改、删除等操作,并可以对数据库操作命令进行回放
  • 网络通信
    • 常见内容为 IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等
  • 应用系统
  • 网络安全
  • 工控安全
  • 移动安全
  • 互联网安全
  • 代码安全

按审计范围分类

  • 综合审计系统
  • 单个审计系统

12.3 机制与实现技术

1)系统日志数据采集技术

Syslog

2)网络流量数据获取技术

共享网络监听、交换机端口镜像(port mirroring)、网络分流器(network tap)

Libpcap、Winpcap、Windump、Tcpdump、Wireshark

3)分析技术

字符串匹配、全文搜索、数据关联、统计报表、可视化分析

数据关联是指将网络安全威胁情报信息,如系统日志、全网流量、安全设备日志等多个数据来源进行综合分析,以发现网络中的异常流量,识别未知攻击手段。

统计报表是对安全审计数据的特定事件、阈值、安全基线等进行统计分析,以生成告警信形成发送日报、周报、月报。

可视化分析:将安全审计数据进行图表化处理,形成饼图、柱状图、折线图、地图等各种可视化效果,以支持各种用户场景。将不同维度的可视化效果汇聚成仪表盘,辅助用户实时查看当前事件变更

4)存储技术

分散存储,集中存储

5)保护技术

系统用户分权管理(操作员、安全员、审计员)

  • 操作员只负责对系统的操作维护工作,其操作过程被系统进行了详细记录
  • 安全员负责系统安全策略配置和维护
  • 审计员负责维护审计相关事宜,可以查看操作员、安全员工作过程日志;操作员不能够修改自己的操作记录,审计员也不能对系统进行操作。

审计数据强制访问

审计数据加密

审计数据隐私保护

审计数据完整性保护

12.4 主要产品与技术指标

1)产品

日志安全审计产品是有关日志信息采集、分析与管理的系统。

产品的基本原理是利用Syslog、Snmptrap、NetFlow、TeInet、SSH、WMI、FTP、SFTP、SCP、JDBC、文件等技术,对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理,便于有关单位机构进行安全合规管理,保护日志信息安全。

日志安全审计产品的主要功能有日志采集、日志存储、日志分析、日志査询、事件告警、统计报表、系统管理等。

2)主机监控与审计产品

主机监控与审计产品是有关主机行为信息的安全审查及管理的系统。

产品的基本原理是通过代理程序对主机的行为信息进行采集,然后基于采集到的信息进行分析,以记录系统行为,帮助管理员评估操作系统的风险状况,并为相应的安全策略调整提供依据。

该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U盘)管理、非法外联管理等。

3)数据库审计产品

数据库审计产品是对数据库系统活动进行审计的系统。

产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集,然后对采集的信息进行分析,形成数据库操作记录,保存和发现数据库各种违规的或敏感的操作信息,为相应的数据库安全策略调整提供依据。

网络监听审计

自带审计

数据库Agent

4)网络安全审计产品

网络流量采集

网络流量数据挖掘分析

5)工业控制系统网络审计产品

工业控制系统网络审计产品是对工业控制网络中的协议、数据和行为等进行记录、分析,并做出一定的响应措施的信息安全专用系统。

产品的基本原理是利用网络流量采集及协议识别技术,对工业控制协议进行还原,形成工业控制系统的操作信息记录,然后进行保存和分析。

实现方式:

  • 一体化集中产品

  • 采集端和分析端两部分组成

6)运维安全审计产品

运维安全审计产品是有关网络设备及服务器操作的审计系统。运维安全审计产品主要采集和记录 IT 系统维护过程中相关人员 “在什么终端、什么时间、登录什么设备(或系统)、做了什么操作、返回什么结果、什么时间登出” 等行为信息,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便追查取证。

运维安全审计产品的基本原理是通过网络流量信息采集或服务代理等技术方式,记录Telnet、FTP、SSH、tfp、HTTP 等运维操作服务的活动信息。

主要功能:字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计等。

12.5 应用

安全运维保障

数据访问检测

网络入侵检测

网络电子取证

标签:网络安全,审计,12,安全,系统,采集,日志
From: https://www.cnblogs.com/lhxBlogs/p/18448197

相关文章

  • 信息学奥赛复赛复习12-CSP-J2021-01分糖果-模运算、余数、打擂台求最值、最大值、最小
    PDF文档公众号回复关键字:202410051P7909[CSP-J2021]分糖果[题目描述]红太阳幼儿园有n个小朋友,你是其中之一。保证n≥2有一天你在幼儿园的后花园里发现无穷多颗糖果,你打算拿一些糖果回去分给幼儿园的小朋友们由于你只是个平平无奇的幼儿园小朋友,所以你的体力有限,至......
  • 【STC15】单片机中常说的 1T 和 12T 的意思
    标准51单片机是12T的,就是说12个时钟周期(晶振周期,例如12M的,周期是1/12M,单位秒),机器做一个指令周期,刚好就是1/12M*12=1us,常见指令例如_nop_就是一个周期,刚好1us,其他的大多多于一个周期,乘除法更多。所以如果计算指令时间可以这样算。而现在51核的单片机工艺质量上去后,频率大大提高,增......
  • Leetcode 1283. 使结果不超过阈值的最小除数
    1.题目基本信息1.1.题目描述给你一个整数数组nums和一个正整数threshold,你需要选择一个正整数作为除数,然后将数组里每个数都除以它,并对除法结果求和。请你找出能够使上述结果小于等于阈值threshold的除数中最小的那个。每个数除以除数后都向上取整,比方说7/3=3,10/......
  • [Ynoi2012] NOIP2015 充满了希望
    [Ynoi2012]NOIP2015充满了希望题意给一个长为\(n\)的序列,有\(m\)个操作,操作编号从\(1\)到\(m\),每个操作为:1xy:将序列位置为\(x,y\)的两个元素交换。2lrx:将序列区间\([l,r]\)内所有元素修改为\(x\)。3x:查询序列\(x\)位置的值。现在有\(q\)次查询,每次......
  • 20222312 2024-2025-1 《网络与系统攻防技术》实验一实验报告
    1.1实验目标本次实践的对象是一个名为pwn1的linux可执行文件。该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这......
  • 125.785 S1  Binary Model practice
    125.785S12024-- Assignment 2 (Part A and Part B)Duedate:18th October2024Theassignmentis30%tothecourseassessment, including two parts:PartA. Practice binary and paneldata regressions (15%), Part B.Critical Reading (15%).......
  • 基础网络安全-K8S之网络策略Network policy与RBAC
    一、网络策略NetworkPolicy   默认情况下,k8s集群网络没有任何网络限制,Pod可以与任何其他Pod通信,此时为了减少网络风险暴露面,防止Pod被失陷后进行横向的移动,可通过网络策略(NetworkPolicy)进行控制,网络策略是K8S的一个资源,可用于限制Pod出入流量,提供pod级别和Namespace级别网络......
  • 「杂题乱刷2」CF1227D2
    题目链接CF1227D1OptimalSubsequences(HardVersion)*1600CF1227D2OptimalSubsequences(HardVersion)*1800解题思路本篇题解分D1,D2两个部分来写。D1sol:我们容易发现有以下两点性质:要想子序列和最大,必须选择前\(k\)大的数字。比第\(k\)大的数字还要大......
  • 征程6 NV12 理论与代码详解
    1.引言使用地平线征程6算法工具链进行模型部署时,如果你的模型输入是图像格式,通常会遇到如下信息。对于初学者,可能会存在一些疑问,比如:nv12是什么?明明算法模型是一个输入,为什么看hbm模型,有y和uv两个输入?为什么uv的validshape不是(1,224,224,2),而是(1,112,112,2)s......
  • 南沙C++信奥赛陈老师解一本通题 1270:【例9.14】混合背包
    ​ 【题目描述】一个旅行者有一个最多能装V公斤的背包,现在有n件物品,它们的重量分别是W1,W2,...,Wn,它们的价值分别为C1,C2,...,Cn。有的物品只可以取一次(01背包),有的物品可以取无限次(完全背包),有的物品可以取的次数有一个上限(多重背包)。求解将哪些物品装入背包可使这些物品的费用总......