网络安全审计系统一般包括包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。如图
针对不同的审计对象,安全审计系统的组成部分各不相同,审计粒度也有所区分。例如,操作系统的安全审计可以做到对进程活动、文件操作的审计;网络通信安全审计既可以对IP包的原地址、目的地址进行审计,又可以对IP包的内容进行深度分析,实现网络内容审计。
按照审计对象类型分类,网络安全审计主要有操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。操作系统审计一般是对操作系统用户和系统服务进行记录,主要包括用户登录和注销、系统服务启动和关闭、安全事件等。
Windows、Linux等操作系统都自带审计功能,其审计信息简要概述如下:
a.windows操作系统的基本审计信息有注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变、特权使用、进程跟踪、系统事件等;
b.Linux操作系统的基本审计信息有系统开机自检日志 boot.log、用户命令操作日志 acct/pacct、最近登录日志lastlog、使用su命令日志sulog、当前用户登录日志utmp、用户登录和退出日志wtmp、系统接收和发送邮件日志maillog、系统消息messages等。
数据库审计通常是监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并可以对数据库操作命令进行回访。
网络通信安全审计一般采用专用的审计系统,通过专用设备获取网络流量,然后再进行存储和分析。网络通信安全审计的常见内容为IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等。
常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便于查询分析与管理。目前常见的系统日志数据收集方式有SysLog服务器、SNMP Trap等。
网络流量数据获取技术是网络通信安全审计的关键技术之一,常见的技术方法有共享网络监听、交换机端口镜像(Port Mirroring)、网络分流器(Network Tap)等。
其中,共享网络监听利用Hub集线器构建共享式网络,网流量采集设备接入集线器上,获取与集线器相连接的设备的网络流量数据,如图。图中服务器A、B的网络流量数据都可以被网络流量采集设备获取。
网络流量采集设备通过交换机端口镜像功能,获取流交换机的网络通信包,如下图。
对于不支持端口镜像功能的交换机,通常利用网络分流器(TAP)把网络流量导入网络流量设备采集器,如下图。
网络流量采集设备安装网络数据捕获软件,从网络上获取原始数据,然后再进行后续处理。常见的开源网络数据采集软件包是Libpcap(Libraryfor Packet Capture)。其工作流程如下
(1)设置嗅探网络接口。在Linux操作系统中,大多数为eth0
(2)初始化Libpcap。设定过滤规则,明确获取网络数据包的类型
(3)运行Libpcap循环主体。Libpcap开始接收符合过滤规则的数据包
除了Libpcap外,还有winpcap,它支持在windows平台捕获网络数据包。windump是基于winpcap的网络协议分析工具,可以采集网络数据包。Tcpdump是基于Libpcap的网络流量数据采集工具,用于Linux。Wireshark是图形化的网络数据采集工具,用于网络流量的数据采集和分析。
网络审计数据蕴含着网络安全威胁相关信息,需要通过数据分析方法来提取。常见的网络审计分析技术有字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。
网络审计数据存储技术分为两种:一种是由审计数据产生的系统自己分散存储,审计数据保存在不同的系统中;另一种集中采集各种系统的审计数据,建立审计数据存储服务器,由专用的存储设备保存,便于事后查询分析和电子取证。
网络审计数据涉及系统整体的安全性和用户的隐私性,为保护审计数据的安全,通常的安全技术措施有如下几种。
(1)系统用户分权管理。操作系统、数据库等系统设置操作员、安全员和审计员三种类型的用户。操作员只负责对系统的操作维护工作,其操作过程被系统进行了详细记录;安全员负责系统安全配置策略和维护;审计员负责维护审计相关事宜,可以查看操作员、安全员工作过程日志;操作员不能够修改自己的操作记录,审计员也不能对系统进行操作。
(2)审计数据强制访问。系统采用强制访问控制措施,对审计数据设置安全标记,防止非授权用户查询及修改审计数据。
(3)审计数据加密。使用加密技术对敏感的审计数据进行加密处理,防止非授权查看审计数据或泄露
(4)审计数据隐私保护。采取隐私保护技术,防止审计数据泄露隐私信息。
(5)审计数据完整性保护。使用Hash算法和数字签名,对审计数据进行数字签名和来源认证、完整性保护,防止非授权修改审计数据。
日志安全审计产品是有关信息采集、分析与管理的系统。产品的基本原理是利用Syslog、Snmptrap、NetFlow、Telnet、SSH、WMI、FTP、SFTP、SCP、JDBC、文件等技术,对分散设备的异构系统进行分布采集、集中存储、系统分析、集中管理,便于有关单位/机构进行安全合规管理,保护日志信息安全。日志安全审计产品的主要功能有日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理等。
主机监控与审计产品是有关主机行为信息的安全审查及管理的系统。产品的基本原理是通过代理查程序对主机的行为信息进行收集,然后基于采集到的信息进行分析,已记录系统行为,帮助管理员评估操作系统的风险状况,并为相应的安全策略调整提供依据、该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U盘)管理、非法外联管理等。其产品部署如下图。
数据库审计产品是对数据库系统活动进行审计的系统。产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集,然后对采集的信息进行分析,形成数据库操作系统记录,保存和发现数据库各种违规的或敏感的操作信息,为相应的数据库安全策略调整提供依据。在数据库审计产品中,实现数据库审计主要有以下三种方式:
(1)网络监听审计。(优:不影响数据库服务器;缺:对加密的数据库流量难以审计,对数据库服务器本地操作难以审计)
(2)自带审计。(优:能够实现数据库网络操作和本地操作的审计;缺:对数据库的性能有一定影响,在审计策略配置、记录的粒度、日志统一分析方面不够完善,日志本地存储容易被删除)
(3)数据库Agent。(优:能够实现数据库网络操作和本地操作的审计;缺:需要安装数据库代理服务器,对数据库服务系统的性能、稳定性、可靠性有影响。
网络安全审计产品是有关网络通信的审计系统。产品的基本原理是通过网络流量信息采集及数据包深度内容分析,提供网络通信应用活动信息记录。网络安全审计常见的功能主要包括如下几个方面
(1)邮件收发协议(SMTP、POP3协议)审计
(2)网页浏览(HTTP协议)审计
(3)文件共享(NetBios协议)审计
(4)文件传输(FTP协议)审计
(5)远程访问(Telnet协议)审计
(6)DNS审计
工业控制系统网络安全产品是对工业控制网络中的协议、数据和行为等进行记录、分析,并作出一定的响应措施的网络信息专用系统。产品的基本原理是利用网络流量采集协议识别技术,对工业控制协议进行还原,形成工业控制系统的操作信息记录,然后进行保存和分析。
运维安全审计产品主要采集和记录IT系统维护过程中相关人员管理、登录、登出等操作行为,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便取证。
安全运维保障
IT系统运维面临内部安全威胁和第三方外部服务安全风险,网络安全审计是应对运维安全风险的重要安全保障机制。通过运维审计,可以有效防范和追溯安全威胁操作。
数据访问监测
数据库承载企业单位的重要核心数据资源,保护数据库的安全成为各相关部门的重要职责。数据库安全审计产品就是通过安全监测,智能化、自动地从海量日志信息中,发现违规访问或异常访问记录,从而有效降低安全管理员日志分析的工作量。
网络入侵检测
网络入侵监测对网络设备、安全设备、应用系统的日志信息进行实时收集和分析,可检测发现黑客入侵、扫描渗透、暴力破解、网络蠕虫、非法访问、非法外联和DDoS攻击。
网络电子取证
日志分析技术广泛应用于计算机犯罪侦查与电子取证,许多案件借助日志分析技术提供线索、获取证据。
