技术要求→网络安全→安全审计

一、要求内容
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；
b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；
c)应能够根据记录数据进行分析，并生成审计报表；
d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；
e)应定义审计跟踪极限的阈值，当存储空间接近极限时，能采取必要的措施，当存储空间被耗尽时，终止可审计事件的发生；
f)应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步。

二、实施建议
首先需要制定完善的网络安全审计要求，至少覆盖网络设备运行状况、网络流量、用户行为等内容，审计记录的内容应当尽可能保证详细以便于事后问题的最终和审计检查；对与系统生成的日志可采取集中异地存储的形式，防止数据被破坏或篡改；应当设立单独的日志审计人员维护和管理数据。

三、常见问题
多数企业没有完善的网络安全设备审计要求，网络设备都没有开启必要的审计功能，也没有使用其它网络审计工具，大多设备开启的审计功能都是默认的设置；对于系统生成的日志也没有专门设立单独的人员进行管理。

四、实施难点
开启过多和过详细的审计功能必定会影响设备和网络的性能，所以需要根据企业内部的具体要求制定合适的审计规则，保证安全与效率的合理分配。

五、测评方法
形式
访谈，检查，测试。

对象
审计员，边界和网络设备。

实施
a)应访谈审计员，询问对边界和网络设备是否实现集中安全审计，审计内容包括哪些项；询问审计记录的主要内容有哪些；对审计记录的处理方式有哪些；
b)应检查边界和网络设备，查看审计策略是否对网络设备运行状况、网络流量、用户行为等进行全面的监测、记录；
c)应检查边界和网络设备，查看事件审计策略是否包括：事件的日期和时间、用户、事件类型、事件成功情况，及其他与审计相关的信息；
d)应检查边界和网络设备，查看其是否为授权用户浏览和分析审计数据提供专门的审计工具（如对审计记录进行分类、排序、查询、统计、分析和组合查询等），并能根据需要生成审计报表；
e)应检查边界和网络设备，查看其审计跟踪设置是否定义了审计跟踪极限的阈值，当存储空间被耗尽时，能否采取必要的保护措施，例如，报警并导出、丢弃未记录的审计信息、暂停审计或覆盖以前的审计记录等；
f)应检查边界和主要网络设备，查看时钟是否保持一致；
g)应测试边界和网络设备，可通过以某个系统用户试图删除、修改或覆盖审计记录，验证安全审计的保护情况与要求是否一致。

六、参考资料
ISO17799中对网络安全审计要求有实施指导：
10.10.1
审计日志
控制：
应产生记录用户活动、以外和信息安全事件的日志，并按照约定的期限进行保留，以支持将来的调查和访问控制监视
实施指南：
审计日志应在需要时包括：
a） 用户ID；
b） 日期、时间和关键事件的细节，例如登录和退出；
c） 若有可能，终端身份或位置；
d） 成功的和被拒绝的对系统尝试访问的记录；
e） 成功的和被拒绝的对数据以及其他资源尝试访问的记录；
f） 系统配置的变化；
g） 特权的使用；
h） 系统工具和应用的使用；
i） 访问的文件和访问类型；
j） 网络地址和协议；
k） 访问控制系统引发的警报；
l） 防护系统的激活和停用，例如防病毒系统和入侵检测系统。
10.10.2
监视系统的使用
控制：
应建立监视信息处理系统使用的程序，并定期评审监视活动的结果
实施指南：
各个设施的监视级别应由风险评估决定。一个组织应符合所有相关的适用于监视活动的法律要求。要考虑的区域包括：
a) 授权访问，包括细节，例如：
1） 用户ID；
2） 关键事件的日期和时间；
3） 事件类型；
4） 访问的文件；
5） 使用的程序/工具；
b) 所有私人操作，例如：
1） 私人帐户的使用，例如监督员、根用户、管理员；
2） 系统的启动和终止；
3） I/O 设备的装配/拆卸；
c) 未授权访问的尝试，例如：
1） 失败的或被拒绝的用户活动；
2） 失败的或被拒绝的涉及数据和其他资源的活动；
3） 访问策略违背和网络网关和防火墙的通告；
4） 私有入侵检测系统的警报；
d) 系统警报或故障，例如：
1） 控制台警报或消息；
2） 系统日志异常；
3） 网络管理警报；
4） 访问控制系统引发的警报；
e) 系统安全设置和控制的变化或变化的尝试。
监视活动的结果多长时间进行评审应依赖于涉及的风险。应考虑的风险因素包括：
a) 应用过程的重要程度；
b) 所涉及信息的价值、敏感度和重要度；
c) 系统渗透和不当使用的经验，脆弱点被利用的频率；
d) 系统互连接的程度（尤其是公共网络）；
e) 设备被停用的日志记录。
10.10.3
保护日志信息
控制：
应保护日志设施和日志信息免受破坏和未授权的访问
实施指南：
应实施控制防止日志设施被未授权变更和出现操作问题，例如：
a) 被记录消息类型的更改；
b) 日志文件被编辑或删除；
c) 使日志文件介质被耗尽，或者不能记录事件或者自身覆盖重写。
一些审核日志可能需要作为记录保持策略或由于收集和保持证据的要求（也见13.2.3）的一部分进行存档。
10.10.6
时钟同步
控制：
组织内或同一安全域内的所有相关信息处理设施的时钟应按照约定的正确时间源保持同步
实施指南：
若计算机或通信设备有能力运行实时时钟，则时钟应置为商定的标准，例如，世界协调时间（UCT）或本地标准时间。当已知某些时钟随时间漂移，应有一个校验和校准任何重大偏差的程序。
日期/时间格式的正确解释对确保时间戳反映实时的日期/时间是重要的。还应考虑局部特异性（例如夏令时间）。

本文首发：信息安全等级保护之技术要求→网络安全→安全审计