网络安全审计概述
概念
定义:对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作
作用:建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便发现潜在网络安全威胁行为,开展网络安全风险分析及管理
常见安全审计功能:安全事件采集、存储和查询
计算机信息系统安全保护能力五个等级审计要求
网络安全审计系统组成与类型
网络安全审计机制与实现技术
系统日志数据采集技术
把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便于查询分析与管理。
网络安全审计机制
- 基于主机的审计机制
- 基于网络通信的审计机制
- 基于应用的审计机制
采集方式:SysLog、SNMP Trap
网络数据流量获取技术
网络流量采集设备安装网络数据捕获软件,从网络上获取原始数据后处理
技术方法
- 共享网络监听:利用Hub集线器构建共享式网络,网络流量采集设备接入集线器,获取与集线器相连接设备的网络数据流量
- 交换机端口
