0%

第12章 网络安全技术原理与应用

网络安全审计概述

常见的功能:安全事件采集、存储和查询

网络安全审计相关标准

网络安全升级相关法规政策

《中华人民共和国网络安全法》:采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月

网络安全审计系统组成与类型

网络安全升级系统组成

网络安全审计系统类型

按审计对象类型分:

  • 操作系统安全审计(对用户和服务进行记录,包括用户登录和注销、服务启动和关闭、安全事件等)
  • 数据库安全审计(监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并可以对数据库操作命令进行回放)
  • 网络通信安全审计(对网络流量进行存储和分析)
  • 应用系统安全审计
  • 工控安全审计
  • 移动安全审计
  • 互联网安全审计
  • 代码安全审计

按审计范围分:

  • 综合审计系统
  • 单个审计系统(常见:系统或产品自带的审计功能)

网络安全审计机制与实现技术

审计机制:基于主机、基于网络通信、基于应用的审计机制等

系统日志数据采集技术

信息汇聚到统一的日志存储服务器,常见:SysLog、SNMPTrap等

网络流量数据获取技术

技术方法:

  • 共享网络监听

    Hub集线器构建

  • 交换机端口镜像

  • 网络分流器等

常见软件是Libpcap(开源)、Winpcap、Wireshark

Libpcap工作流程:

  1. 设置嗅探网络接口
  2. 初始化Libpcap,设定过滤规则
  3. 运行Libpcap循环主体,接收符合规则的数据包

网络审计数据安全分析技术

  1. 字符串匹配
  2. 全文搜索
  3. 数据关联
  4. 统计报表
  5. 可视化分析

网络审计数据存储技术

  • 由审计数据产生的系统自己分散存储,审计数据保存在不同的系统中
  • 集中采集各种系统的审计数据,建立审计数据存储服务器。

网络审计数据保护技术

  1. 系统用户分权管理(操作员、安全员和审计员)
  2. 审计数据强制访问(采取强制访问控制措施)
  3. 审计数据加密
  4. 审计数据隐私保护
  5. 升级数据完整性保护(使用Hash算法和数字签名)

网络安全审计主要产品与技术指标

日志安全审计产品

主要功能:日志采集、存储、分析、查询,事件告警,统计报表,系统管理等

主机监控与审计产品

通过代理程序

主要功能:系统用户监控、系统配置管理、补丁管理、准人控制、存储介质(U盘)管理、非法外联管理等

数据库审计产品

三种方式:

  1. 网络监听审计(优点:不影响数据库服务器;不足:加密数据库网络流量和本地操作难以审计)
  2. 自带审计(优点:实现数据库网络操作和本地操作审计;缺点:对性能有影响,审计策略配置、记录粒度、日志统一分析不够完善,日志本地存储容易被删除)
  3. 数据库Agent(优点:实现数据库网络操作和本地操作审计;缺点,需要安装Agent,影响性能、稳定性、可靠性)

网络安全审计产品

常见功能:

  1. 网络流量采集
  2. 网络流量数据挖掘分析

性能指标主要有:支持网络带宽大小、协议识别种类、原始数据包查询响应时间等

工业控制系统网络审计产品

原理:利用网络流量采集和协议识别技术,对工控协议还原,形成操作信息记录,进行保存分析

两种实现方式:

  • 一体化集中产品
  • 有采集端和分析端两部分组成

运维安全审计产品

主要功能:

  1. 字符会话审计(审计SSH、Telnet协议的操作行为)
  2. 图形操作审计(RDP、VNC以及HTTP/HTTPS协议的图形操作行为)
  3. 数据库运维审计(Oracle、MS SQL Server、IBM DB2、PostgreSQL)
  4. 文件传输审计(FTP、SFTP等协议)
  5. 合规审计

网络安全审计应用

安全运维保障

有效防范和追溯安全威胁操作。例如:通过关联分析还原堡垒机绕行运维操作。

数据访问监测

分析数据库访问日志,可以自动发现违规访问的问题。

网络入侵检测

对网络设备、安全设备、应用系统的日志信息进行实时收集和分析,可检测发现攻击行为

网络电子取证

日志分析技术

-------本文结束  感谢您的阅读-------