信息安全：网络安全审计技术原理与应用.

网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在千建立“事后“安全保障措施，保存网络安全事件及行为信息，为网络安全事件分析提供线索及证据，以便千发现潜在的网络安全威胁行为，开展网络安全风险分析及管理。

常见的安全审计功能是安全事件采集、存储和查询。对千重要的信息系统，则部署独立的网络安全审计系统。

网络安全审计概述：

（1）网络安全审计相关标准：

我国的国家标准 GB 17859 《计算机信息系统安全保护等级划分准则》（以下简称《准则》）从第二级开始要求提供审计安全机制。其中，第级为系统审计保护级，该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

（2）网络安全审计相关法规政策：

《中华人民共和国网络安全法》要求，采取监测、记录网络运行状态、网络安全事件技术措施，并按照规定留存相关的网络日志不少于六个月。

网络安全审计系统组成与类型：

（1）网络安全审计系统组成：

网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分.

针对不同的审计对象，安全审计系统的组成部分各不相同，审计细粒度也有所区分。

（2）网络安全审计系统类型：

按照审计对象类型分类，网络安全审计主要有：操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。

◆ 操作系统审计：一般是对操作系统用户和系统服务进行记录，主要包括用户登录和注销、系统服务启动和关闭、安全事件等.

◆ 数据库审计：通常是监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作，并可以对数据库操作命令进行回放。

◆ 网络通信安全审计：一般采用专用的审计系统，通过专用设备获取网络流量，然后再进行存储和分析。网络通信安全审计的常见内容为 IP 源地址、 IP 目的地址、源端口号、目的端口号、协议类型、传输内容等。

按照审计范围，安全审计可分为综合审计系统和单个审计系统。由于各 IT 产品自带的审计功能有限，审计能力不足，于是安全厂商研发了综合审计系统。

网络安全审计机制与实现技术：

网络安全审计机制主要有基于主机的审计机制、基千网络通信的审计机制、基千应用的审计机制等.

（1）系统日志数据采集技术：

常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储，以便千查询分析与管理。

（2）网络流数据获取技术：

网络流量数据获取技术是网络通信安全审计的关键技术之，常见的技术方法有共享网络监听、交换机端口镜像、网络分流器等。

① 共享网络监听：

利用 Hub 集线器构建共享式网络，网络流量采集设备接入集线器上，获取与集线器相连接的设备的网络流量数据.

②交换机端口镜像：

网络流量采集设备通过交换机端口镜像功能，获取流经交换机的网络通信包.

③网络分流（TAP）

对于不支持端口镜像功能的交换机，通常利用网络分流器 (TAP) 把网络流量导入网络流量采集设备.

网络流量采集设备安装网络数据捕获软件，从网络上获取原始数据，然后再进行后续处理。

（3）网络审计数据安全分析技术：

常见的网络审计数据安全分析技术有字符串匹配、全文搜索、数据关联、统计报表、可视化分析等.

1.字符串匹配

字符串匹配通过模式匹配来查找相关审计数据，以便发现安全问题。常见的字符串匹配工具是 grep, 其使用的格式如下：

grep [options] [regexp] [filename]

regexp 为正则表达式，用来表示要搜索匹配的模式。

2.全文搜索

全文搜索利用搜索引擎技术来分析审计数据。目前，开源搜索引擎工具 Elastic search 常用作数据分析。

3.数据关联

数据关联是指将网络安全威胁情报信息，如系统日志、全网流鼠、安全设备日志等多个数据来源进行综合分析，以发现网络中的异常流量，识别未知攻击手段。

4.统计报表

统计报表是对安全审计数据的特定事件、阙值、安全基线等进行统计分析，以生成告警信息，形成发送日报、周报、月报。

5.可视化分析

将安全审计数据进行图表化处理，形成饼图、柱状图、折线图、地图等各种可视化效果，以支持各种用户场景。

（4）网络审计数据存储技术：

网络审计数据存储技术分为两种：

一种是由审计数据产生的系统自己分散存储，审计数据保存在不同的系统中；目前，操作系统、数据库、应用系统、网络设备等都可以各自存储日志

数据。

另一种集中采集各种系统的审计数据，建立审计数据存储服务器，由专用的存储设备保存，便于事后查询分析和电子取证。

（5）网络审计数据保护技术：

网络审计数据涉及系统整体的安全性和用户的隐私性，为保护审计数据的安全.

1. 系统用户分权管理：

操作系统、数据库等系统设置操作员、安全员和审计员三种类型的用户。

① 操作员只负责对系统的操作维护工作，其操作过程被系统进行了详细记录；

② 安全员负责系统安全策略配置和维护；

③ 审计员负责维护审计相关事宜，可以查看操作员、安全员工作过程日志；操作员不能够修改自己的操作记录，审计员也不能对系统进行操作。

2. 审计数据强制访问：

系统采取强制访问控制措施，对审计数据设置安全标记，防止非授权用户查询及修改审计数据。

3. 审计数据加密：

使用加密技术对敏感的审计数据进行加密处理，以防止非授权查看审计数据或泄露。

4. 审计数据隐私保护：

采取隐私保护技术，防止审计数据泄露隐私信息。

5. 审计数据完整性保护：

使用 Hash 算法和数字签名，对审计数据进行数字签名和来源认证、完整性保护，防止非授权修改审计数据。

网络安全审计主要产品与技术指标：

（1）日志安全审计产品：

日志安全审计产品是有关日志信息采集、分析与管理的系统。

（2）主机监控与审计产品：

主机监控与审计产品是有关主机行为信息的安全审查及管理的系统。产品的基本原理是通过代理程序对主机的行为信息进行采集，然后基于采集到的信息进行分析，以记录系统行为，帮助管理员评估操作系统的风险状况，并为相应的安全策略调整提供依据。该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质 (U 盘）管理、非法外联管理等。