一、什么叫网络安全审计
网络安全审计是按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作时间的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程,它是提高系统安全性的重要手段。
系统活动:包括操作系统活动和应用程序进程的活动。
用户活动:包括用户在操作系统和应用程序中的活动,如用户所使用的资源、使用时间、执行的操作等。
二、网络安全审计分类
网络安全审计从审计级别上可分为3种类型:系统级审计、应用级审计和用户级审计。
1、系统级审计
系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息,如系统操作、费用记账和网络性能.这类审计却无法跟踪和记录应用事件,也无法提供足够的细节信息。
2、应用级审计
应用级审计主要针对的是应用程序的活动信息,如打开和关闭数据文件,读取、编辑、
删除记录或字段的等特定操作,以及打印报告等。
3、用户级审计
用户级审计主要是审计用户的操作活动信息,如用户直接启动的所有命令,用户所有的
鉴别和认证操作,用户所访问的文件和资源等信息。
三、常见安全审计产品
根据系统审计对象和审计内容的不同,常见的审计产品包括:网络安全审计、数据库安全审计、日志审计、运维安全审计等。
1、网络安全审计设备
①网络安全审计设备主要审计网络方面的相关内容。针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。
②满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
③通常采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。
2、数据库安全系统
①数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。
②审计对数据库的各类操作,精确到每一条SQL命令,并有强大的报表功能。
③通常采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。
3、日志审计设备
①日志审计产品集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
②日志审计产品同各国对网络设别、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。
③通常采用旁路部署模式,通过采用soslog或snmp方式自动采集/系统中各个网络设备、安全设备及服务器中的审计日志。
4、运维安全审计
①运维安全审计从从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。
②运维安全审计能够有效拦截非法访问、恶意攻击等,对不合规字符命令进行输出阻断,过滤掉所有对目标设备的非法访问行为。
③通常采用旁路部署模式,旁挂于核心交换机上,能够对操作系统、网络设备、安全设备、数据库等操作过程进行有效的运维操作审计。
四、审计产品的功能组成
1. 信息采集功能:就是能够通过某种技术手段获取需要审计的数据,例如日志,网络数据包等。对于该功能的考察,关键是其采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。如果采用数据包审计技术的话,网络协议抓包和分析引擎显得尤为重要。如果采用日志审计技术的话,日志归一化技术则是考察厂家基本功和专业能力的地方。
2. 信息分析功能:对于采集上来的信息进行分析、审计。这是审计产品的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计,以及时序的审计算法,等等。
3. 信息存储功能:对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。
4. 信息展示功能:包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,是各个厂家各显神通的地方。
5. 产品自身安全性和可审计性功能:审计产品自身必须是安全的,包括要确保审计数据的完整性、机密性和有效性,对审计系统的访问要安全。此外,所有针对审计产品的访问和操作也要记录日志,并且能够被审计。