网络安全审计.pdf

网络安全审计 国际互联网络安全审计（网络备案），是为了加强和规范互联网 安全技术防范工作，保障互联网网络安全和信息安全，促进互联网健 康、有序发展，维护国家安全、社会秩序和公共利益。 网络安全审计概念 安全审计的概念及目的 计算机网络安全审计（Audit）是指按照一定的安全策略，利用 记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环 境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。 也是审查评估系统安全风险并采取相应措施的一个过程。在不至 于混淆情况下，简称为安全审计，实际是记录与审查用户操作计算机 及网络系统活动的过程，是提高系统安全性的重要举措。系统活动包 括操作系统活动和应用程序进程的活动。 用户活动包括用户在操作系 统和应用程序中的活动，如用户所使用的资源、使用时间、执行的操 作等。安全审计对系统记录和行为进行独立的审查和估计，其主要作 用和目的包括 5 个方面： （1）对可能存在的潜在攻击者起到威慑和警示作用，核心是风 险评估。 （2）测试系统的控制情况，及时进行调整，保证与安全策略和 操作规程协调一致。 （3）对已出现的破坏事件，做出评估并提供有效的灾难恢复和 追究责任的依据。 （4）对系统控制、安全策略与规程中的变更进行评价和反馈， 以便修订决策和部署。 （5）协助系统管理员及时发现网络系统入侵或潜在的系统漏洞 及隐患。 网络安全审计的类型 网络安全审计从审计级别上可分为 3 种类型：系统级审计、应用 级审计和用户级审计。 1）系统级审计 系统级审计主要针对系统的登入情况、用户识别号、登入尝试的 日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程 序等事件信息进行审查。 典型的系统级审计日志还包括部分与安全无 关的信息，如系统操作、费用记账和网络性能。这类审计却无法跟踪 和记录应用事件，也无法提供足够的细节信息。 2）应用级审计 应用级审计主要针对的是应用程序的活动信息，如打开和关闭数 据文件，读取、编辑、删除记录或字段的等特定操作，以及打印报告 等。 3）用户级审计 用户级审计主要是审计用户的操作活动信息，如用户直接启动的 所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等 信息。 网络安全审计系统日志 系统日志的内容 系统日志主要根据网络安全级别及强度要求，选择记录部分或全 部的系统操作。如审计功能的启动和关闭，使用身份验证机制，将客 体引入主体的地址空间，删除客体、管理员、安全员、审计员和一般 操作人员的操作，以及其他专门定义的可审计事件。对于单个事件行 为，通常系统日志主要包括：事件发生的日期及时间、引发事件的用 户 IP 地址、事件源及目的地位置、事件类型等。 安全审计的记录机制 对于各种网络系统应采用不同的记录日志机制。日志的记录方式 有 3 种：由操作系统完成，也可以由应用系统或其他专用记录系统完 成。大部分情况都采用系统调用 Syslog 方式记录日志，少部分采用 SNMP 记录。其中，Syslog 记录机制主要由守护程序、规则集及系统 调用 3 部分组成。 日志分析 日志分析的主要目的是在大量的记录日志信息中找到与系统安 全相关的数据，并分析系统运行情况。主要任务包括： （1）潜在威胁分析。日志分析系统可以根据安全策略规则监控 审计事件，检测并发现潜在的入侵行为。其规则可以是已定义的敏感 事件子集的组合。 （2）异常行为检测。在确定用户正常操作行为基础上，当日志 中的异常行为事件违反或超出正常访问行为的限定时， 分析系统可指 出将要发生的威胁。 （3）简单攻击探测。日志分析系统可对重大威胁事件的特征进 行明确的描述，当这些攻击现象再次出现时，可以及时提出告警。 （4）复杂攻击探测。更高级的日志分析系统，还应可检测到多 步入侵序列，当攻击序列出现时，可及时预测其发生的步骤及行为， 以便于做好预防。 审计事件查阅与存储 审计系统可以成为追踪入侵、恢复系统的直接证据，所以，其自 身的安全性更为重要。 审计系统的安全主要包括审计事件查阅安全和 存储安全。审计事件的查阅应该受到严格的限制，避免日志被篡改。 可通过以下措施保护查阅安全： （1）审计查阅。审计系统只为专门授权用户提供查阅日志和分 析结果的功能。 （2）有限审计查阅。审计系统只能提供对内容的读权限，拒绝 读以外权限的访问。 （3）可选审计查阅。在有限审计查阅的基础上，限制查阅权限 及范围。 审计事件的存储安全具体要求为： （1）保护审计记录的存储。存储系统要求对日志事件具有保护 功能，以防止未授权的修改和删除，并具有检测修改及删除操作的功 能。 （2） 保证审计数据的可用性。 保证审计存储系统正常安全使用， 并在遭受意外时，可防止或检测审计记录的修改，在存储介质出现故 障时，能确保记录另存储且不被破坏。