12-网络安全审计技术原理与应用

news/2024/12/22 0:24:13/文章来源:https://www.cnblogs.com/lhxBlogs/p/18448197

12.1 概述

1)概念

:指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。

作用:在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。

常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统,则部署独立的网络安全审计系统。

2)相关标准

GB 17859《计算机信息系统安全保护等级划分准则》从第二级开始要求提供审计安全机制。其中,第二级为系统审计保护级,该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。《准则》中明确了各级别对审计的要求,如表所示。
image

3)相关法规政策

《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、措施,并按照规定留存相关的网络日志不少于六个月。

12.2 组成与类型

1)组成

一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分
image
针对不同的审计对象,安全审计系统的组成部分各不相同,审计细粒度也有所区分。例如,操作系统的安全审计可以做到对进程活动、文件操作的审计;网络通信安全审计既可对IP包的源地址、目的地址进行审计,又可以对 IP 包的内容进行深度分析,实现网络内容审计.

2)类型

按审计对象类型分类

  • 操作系统
    • 对操作系统用户和系统服务进行记录,主要包括用户登录和注销、系统服务启动和关闭、安全事件等
  • 数据库
    • 监控并记录用户对数据库服务器的读、写、查询、添加、修改、删除等操作,并可以对数据库操作命令进行回放
  • 网络通信
    • 常见内容为 IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等
  • 应用系统
  • 网络安全
  • 工控安全
  • 移动安全
  • 互联网安全
  • 代码安全

按审计范围分类

  • 综合审计系统
  • 单个审计系统

12.3 机制与实现技术

1)系统日志数据采集技术

Syslog

2)网络流量数据获取技术

共享网络监听、交换机端口镜像(port mirroring)、网络分流器(network tap)

Libpcap、Winpcap、Windump、Tcpdump、Wireshark

3)分析技术

字符串匹配、全文搜索、数据关联、统计报表、可视化分析

数据关联是指将网络安全威胁情报信息,如系统日志、全网流量、安全设备日志等多个数据来源进行综合分析,以发现网络中的异常流量,识别未知攻击手段。

统计报表是对安全审计数据的特定事件、阈值、安全基线等进行统计分析,以生成告警信形成发送日报、周报、月报。

可视化分析:将安全审计数据进行图表化处理,形成饼图、柱状图、折线图、地图等各种可视化效果,以支持各种用户场景。将不同维度的可视化效果汇聚成仪表盘,辅助用户实时查看当前事件变更

4)存储技术

分散存储,集中存储

5)保护技术

系统用户分权管理(操作员、安全员、审计员)

  • 操作员只负责对系统的操作维护工作,其操作过程被系统进行了详细记录
  • 安全员负责系统安全策略配置和维护
  • 审计员负责维护审计相关事宜,可以查看操作员、安全员工作过程日志;操作员不能够修改自己的操作记录,审计员也不能对系统进行操作。

审计数据强制访问

审计数据加密

审计数据隐私保护

审计数据完整性保护

12.4 主要产品与技术指标

1)产品

日志安全审计产品是有关日志信息采集、分析与管理的系统。

产品的基本原理是利用Syslog、Snmptrap、NetFlow、TeInet、SSH、WMI、FTP、SFTP、SCP、JDBC、文件等技术,对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理,便于有关单位机构进行安全合规管理,保护日志信息安全。

日志安全审计产品的主要功能有日志采集、日志存储、日志分析、日志査询、事件告警、统计报表、系统管理等。

2)主机监控与审计产品

主机监控与审计产品是有关主机行为信息的安全审查及管理的系统。

产品的基本原理是通过代理程序对主机的行为信息进行采集,然后基于采集到的信息进行分析,以记录系统行为,帮助管理员评估操作系统的风险状况,并为相应的安全策略调整提供依据。

该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U盘)管理、非法外联管理等。

3)数据库审计产品

数据库审计产品是对数据库系统活动进行审计的系统。

产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集,然后对采集的信息进行分析,形成数据库操作记录,保存和发现数据库各种违规的或敏感的操作信息,为相应的数据库安全策略调整提供依据。

网络监听审计

自带审计

数据库Agent

4)网络安全审计产品

网络流量采集

网络流量数据挖掘分析

5)工业控制系统网络审计产品

工业控制系统网络审计产品是对工业控制网络中的协议、数据和行为等进行记录、分析,并做出一定的响应措施的信息安全专用系统。

产品的基本原理是利用网络流量采集及协议识别技术,对工业控制协议进行还原,形成工业控制系统的操作信息记录,然后进行保存和分析。

实现方式:

  • 一体化集中产品

  • 采集端和分析端两部分组成

6)运维安全审计产品

运维安全审计产品是有关网络设备及服务器操作的审计系统。运维安全审计产品主要采集和记录 IT 系统维护过程中相关人员 “在什么终端、什么时间、登录什么设备(或系统)、做了什么操作、返回什么结果、什么时间登出” 等行为信息,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便追查取证。

运维安全审计产品的基本原理是通过网络流量信息采集或服务代理等技术方式,记录Telnet、FTP、SSH、tfp、HTTP 等运维操作服务的活动信息。

主要功能:字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计等。

12.5 应用

安全运维保障

数据访问检测

网络入侵检测

网络电子取证

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/808585.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

林史语其十(101-111)【下半更新】

12345鉴于收集素材与发布素材之间有一定延迟,此后林史一章分两次更新 先把存的旧东西发一下 #101故事源于 joke3579 学长博客里一份证明,涉及到求不定积分的 如果你不知道啥是不定积分,你只需要知道它是导数逆运算就行了 学长博客里写的是 :\(A\) 求导后等于 \(B\) HDK:\(…

林史语其十(101-110)【下半更新】

12345鉴于收集素材与发布素材之间有一定延迟,此后林史一章分两次更新 先把存的旧东西发一下 #101故事源于 joke3579 学长博客里一份证明,涉及到求不定积分的 如果你不知道啥是不定积分,你只需要知道它是导数逆运算就行了 学长博客里写的是 :\(A\) 求导后等于 \(B\) HDK:\(…

CF 1805 D. A Wide, Wide Graph (*1800) 思维 + 树的直径

CF 1805 D. A Wide, Wide Graph (*1800) 思维 + 树的直径 题目链接 题意:思路: 若当前点到最远的点的距离 \(< k\) , 说明 \(x\) 自己成为一个联通块。 并且我们知道距离任意一点最远的点一定是树直径的一个端点。 反之,则与直径端点在同一个联通块。 所以一个点要么独立…

Windows应急响应-Auto病毒

Windows—Auto病毒应急思路分享。目录应急背景分析样本开启监控感染病毒查看监控分析病毒行为autorun.inf分析2.异常连接3.进程排查4.启动项排查查杀1.先删掉autorun.inf文件2.使用xuetr杀掉进程3.启动项删除重启排查入侵排查正常流程 应急背景 运维人员准备通过windows共享文档…

帝国cms后台admin帐号密码忘记的处理方法

5.1 至 7.0 版本登录 phpMyAdmin访问 http://yourdomain.com/phpmyadmin。 输入数据库用户名和密码登录。选择帝国CMS 安装所在的数据库在 phpMyAdmin 主界面中,找到并选择帝国CMS 使用的数据库。找到 phome_enewsuser 表在数据库中找到名为 phome_enewsuser 的表。 单击该表以…

[OI] 树链剖分

学的时候比较朦胧,现在不朦胧了,所以写一下 讲解 重儿子:一个节点的子树大小最大的儿子 轻儿子:非重儿子 重链:节点 -> 重儿子 -> 重儿子 .. 这样的链A beautiful Tree蓝线为重链可以发现,树上的所有节点一定属于且仅属于一个重链 首先要知道如何找重链 这很简单,…

忘记帝国cms网站后台登录密码和认证码如何找回

1. 准备重置脚本下载附件:下载提供的重置脚本文件。 将文件上传到网站根目录。2. 访问重置页面访问重置页面:访问 /e/update/resetuser.php。 默认密码为 123456,也可以在 resetuser.php 中修改这个密码。3. 重置密码输入密码:输入默认密码 123456。 跳转到重置密码页面。 …

Golang安全开发第一节

Golang安全开发 一、安装Go&编译器基础使用 1. 安装包地址 https://golang.google.cn 2. 添加环境变量 windows 直接点击msi安装即可 Linux tar -zxvf xxx.xxx.xxx.tar.gz mv -r go /use/local/go vim /etc/profile export PATH=$PATH:/usr/local/go/bin source /etc/profi…

帝国CMS重置后台登录密码方法,帝国CMS后台登录密码忘记的解决方法。

适用版本帝国CMS 7.2 及 7.5 版本操作步骤登录服务器登录到您的服务器,确保您有访问数据库的权限。找到帝国CMS数据库使用 phpMyAdmin 或其他数据库管理工具登录到您的数据库。打开 phome_enewsuser 数据表在数据库中找到 phome_enewsuser 表(phome 为默认表前缀,请根据实际…

如何恢复遗忘的帝国CMS管理员密码?

方法一:通过phpMyAdmin重置密码 适用版本:帝国CMS 5.0及以下版本操作步骤:登录phpMyAdmin:访问您的服务器上的phpMyAdmin界面,通常地址为 http://yourdomain.com/phpmyadmin。 输入数据库用户名和密码登录。选择正确的数据库:在phpMyAdmin主界面中,找到并选择帝国CMS使用…

忘记帝国CMS后台密码,重置帝国CMS后台密码

1. 忘记后台管理员账号怎么办?解决步骤:使用 phpMyAdmin 查看数据库中的 phome_enewsuser 表。 在 username 字段中查找您的管理员用户名。2. 忘记后台登录密码怎么办? 帝国CMS 5.0 及以下版本解决步骤:通过 phpMyAdmin 访问数据库中的 phome_enewsuser 表。 将 password 字…

帝国管理系统忘记后台账号和密码怎么办?

如果你忘记了帝国网站管理系统的后台账号和密码,可以通过以下几种方法来解决这个问题: 方法 1: 通过数据库重置密码登录数据库使用 phpMyAdmin 或 MySQL 命令行工具登录到数据库。查找管理员用户表查找管理员用户的表,通常为 ecms_admin 或 ecms_user。更新密码更新管理员用…