网络安全审计 国际互联网络安全审计(网络备案),是为了加强和规范互联网 安全技术防范工作,保障互联网网络安全和信息安全,促进互联网健 康、有序发展,维护国家安全、社会秩序和公共利益。 网络安全审计概念 安全审计的概念及目的 计算机网络安全审计(Audit)是指按照一定的安全策略,利用 记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环 境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。 也是审查评估系统安全风险并采取相应措施的一个过程。在不至 于混淆情况下,简称为安全审计,实际是记录与审查用户操作计算机 及网络系统活动的过程,是提高系统安全性的重要举措。系统活动包 括操作系统活动和应用程序进程的活动。 用户活动包括用户在操作系 统和应用程序中的活动,如用户所使用的资源、使用时间、执行的操 作等。安全审计对系统记录和行为进行独立的审查和估计,其主要作 用和目的包括 5 个方面: (1)对可能存在的潜在攻击者起到威慑和警示作用,核心是风 险评估。 (2)测试系统的控制情况,及时进行调整,保证与安全策略和 操作规程协调一致。 (3)对已出现的破坏事件,做出评估并提供有效的灾难恢复和 追究责任的依据。 (4)对系统控制、安全策略与规程中的变更进行评价和反馈, 以便修订决策和部署。 (5)协助系统管理员及时发现网络系统入侵或潜在的系统漏洞 及隐患。 网络安全审计的类型 网络安全审计从审计级别上可分为 3 种类型:系统级审计、应用 级审计和用户级审计。 1)系统级审计 系统级审计主要针对系统的登入情况、用户识别号、登入尝试的 日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程 序等事件信息进行审查。 典型的系统级审计日志还包括部分与安全无 关的信息,如系统操作、费用记账和网络性能。这类审计却无法跟踪 和记录应用事件,也无法提供足够的细节信息。 2)应用级审计 应用级审计主要针对的是应用程序的活动信息,如打开和关闭数 据文件,读取、编辑、删除记录或字段的等特定操作,以及打印报告 等。 3)用户级审计 用户级审计主要是审计用户的操作活动信息,如用户直接启动的 所有命令,用户所有的鉴别和认证操作,用户所访问的文件和资源等 信息。 网络安全审计系统日志 系统日志的内容 系统日志主要根据网络安全级别及强度要求,选择记录部分或全 部的系统操作。如审计功能的启动和关闭,使用身份验证机制,将客 体引入主体的地址空间,删除客体、管理员、安全员、审计员和一般 操作人员的操作,以及其他专门定义的可审计事件。对于单个事件行 为,通常系统日志主要包括:事件发生的日期及时间、引发事件的用 户 IP 地址、事件源及目的地位置、事件类型等。 安全审计的记录机制 对于各种网络系统应采用不同的记录日志机制。日志的记录方式 有 3 种:由操作系统完成,也可以由应用系统或其他专用记录系统完 成。大部分情况都采用系统调用 Syslog 方式记录日志,少部分采用 SNMP 记录。其中,Syslog 记录机制主要由守护程序、规则集及系统 调用 3 部分组成。 日志分析 日志分析的主要目的是在大量的记录日志信息中找到与系统安 全相关的数据,并分析系统运行情况。主要任务包括: (1)潜在威胁分析。日志分析系统可以根据安全策略规则监控 审计事件,检测并发现潜在的入侵行为。其规则可以是已定义的敏感 事件子集的组合。 (2)异常行为检测。在确定用户正常操作行为基础上,当日志 中的异常行为事件违反或超出正常访问行为的限定时, 分析系统可指 出将要发生的威胁。 (3)简单攻击探测。日志分析系统可对重大威胁事件的特征进 行明确的描述,当这些攻击现象再次出现时,可以及时提出告警。 (4)复杂攻击探测。更高级的日志分析系统,还应可检测到多 步入侵序列,当攻击序列出现时,可及时预测其发生的步骤及行为, 以便于做好预防。 审计事件查阅与存储 审计系统可以成为追踪入侵、恢复系统的直接证据,所以,其自 身的安全性更为重要。 审计系统的安全主要包括审计事件查阅安全和 存储安全。审计事件的查阅应该受到严格的限制,避免日志被篡改。 可通过以下措施保护查阅安全: (1)审计查阅。审计系统只为专门授权用户提供查阅日志和分 析结果的功能。 (2)有限审计查阅。审计系统只能提供对内容的读权限,拒绝 读以外权限的访问。 (3)可选审计查阅。在有限审计查阅的基础上,限制查阅权限 及范围。 审计事件的存储安全具体要求为: (1)保护审计记录的存储。存储系统要求对日志事件具有保护 功能,以防止未授权的修改和删除,并具有检测修改及删除操作的功 能。 (2) 保证审计数据的可用性。 保证审计存储系统正常安全使用, 并在遭受意外时,可防止或检测审计记录的修改,在存储介质出现故 障时,能确保记录另存储且不被破坏。
- 粉丝: 84
- 资源: 9357
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助