信安软考 第十二章 网络安全审计技术

一、网络安全审计概述

• 网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施，保存网络安全事件及行为信息，为网络安全事件分析提供线索及证据，以便发现潜在的网络安全威胁行为，开展网络安全风险分析及管理。
• 我国国家标准GB 17859《计算机信息系统安全保护等级划分准则》（以下简称《准则》）从第二级开始要求提供审计安全机制。其中，第二级为系统审计保护级，该级要求计算机信息系统可信计算机实施了粒度更细的自主访问控制，它通过登陆规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。《准则》中表明了各级别对审计的要求。

• 《中华人民共和国网络安全法》要求，采取监测、记录网络运行状态、网络安全事件技术措施，并按照规定留存相关的网络日志不少于六个月。

---

二、网络安全审计系统组成与类型

2.1 网络安全审计组成

  网络安全审计系统一般包括包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。如图

  针对不同的审计对象，安全审计系统的组成部分各不相同，审计粒度也有所区分。例如，操作系统的安全审计可以做到对进程活动、文件操作的审计；网络通信安全审计既可以对IP包的原地址、目的地址进行审计，又可以对IP包的内容进行深度分析，实现网络内容审计。

2.2 网络安全审计统计类型

  按照审计对象类型分类，网络安全审计主要有操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。操作系统审计一般是对操作系统用户和系统服务进行记录，主要包括用户登录和注销、系统服务启动和关闭、安全事件等。

  Windows、Linux等操作系统都自带审计功能，其审计信息简要概述如下：

  a.windows操作系统的基本审计信息有注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变、特权使用、进程跟踪、系统事件等；

  b.Linux操作系统的基本审计信息有系统开机自检日志 boot.log、用户命令操作日志 acct/pacct、最近登录日志lastlog、使用su命令日志sulog、当前用户登录日志utmp、用户登录和退出日志wtmp、系统接收和发送邮件日志maillog、系统消息messages等。

  数据库审计通常是监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作，并可以对数据库操作命令进行回访。

  网络通信安全审计一般采用专用的审计系统，通过专用设备获取网络流量，然后再进行存储和分析。网络通信安全审计的常见内容为IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等。

---

三、网络安全审计机制与实现技术

3.1 系统日志数据采集技术

  常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储，以便于查询分析与管理。目前常见的系统日志数据收集方式有SysLog服务器、SNMP Trap等。

3.2 网络流量数据获取技术

  网络流量数据获取技术是网络通信安全审计的关键技术之一，常见的技术方法有共享网络监听、交换机端口镜像（Port Mirroring）、网络分流器（Network Tap）等。

  其中，共享网络监听利用Hub集线器构建共享式网络，网流量采集设备接入集线器上，获取与集线器相连接的设备的网络流量数据，如图。图中服务器A、B的网络流量数据都可以被网络流量采集设备获取。

  网络流量采集设备通过交换机端口镜像功能，获取流交换机的网络通信包，如下图。

  对于不支持端口镜像功能的交换机，通常利用网络分流器（TAP）把网络流量导入网络流量设备采集器，如下图。

  网络流量采集设备安装网络数据捕获软件，从网络上获取原始数据，然后再进行后续处理。常见的开源网络数据采集软件包是Libpcap（Libraryfor Packet Capture）。其工作流程如下

（1）设置嗅探网络接口。在Linux操作系统中，大多数为eth0

（2）初始化Libpcap。设定过滤规则，明确获取网络数据包的类型

（3）运行Libpcap循环主体。Libpcap开始接收符合过滤规则的数据包

  
  
  除了Libpcap外，还有winpcap，它支持在windows平台捕获网络数据包。windump是基于winpcap的网络协议分析工具，可以采集网络数据包。Tcpdump是基于Libpcap的网络流量数据采集工具，用于Linux。Wireshark是图形化的网络数据采集工具，用于网络流量的数据采集和分析。

3.3 网络审计数据安全分析技术

  网络审计数据蕴含着网络安全威胁相关信息，需要通过数据分析方法来提取。常见的网络审计分析技术有字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。

3.4 网络审计数据存储技术

  网络审计数据存储技术分为两种：一种是由审计数据产生的系统自己分散存储，审计数据保存在不同的系统中；另一种集中采集各种系统的审计数据，建立审计数据存储服务器，由专用的存储设备保存，便于事后查询分析和电子取证。

3.5 网络审计数据保护技术

  网络审计数据涉及系统整体的安全性和用户的隐私性，为保护审计数据的安全，通常的安全技术措施有如下几种。

（1）系统用户分权管理。操作系统、数据库等系统设置操作员、安全员和审计员三种类型的用户。操作员只负责对系统的操作维护工作，其操作过程被系统进行了详细记录；安全员负责系统安全配置策略和维护；审计员负责维护审计相关事宜，可以查看操作员、安全员工作过程日志；操作员不能够修改自己的操作记录，审计员也不能对系统进行操作。

（2）审计数据强制访问。系统采用强制访问控制措施，对审计数据设置安全标记，防止非授权用户查询及修改审计数据。

（3）审计数据加密。使用加密技术对敏感的审计数据进行加密处理，防止非授权查看审计数据或泄露

（4）审计数据隐私保护。采取隐私保护技术，防止审计数据泄露隐私信息。

（5）审计数据完整性保护。使用Hash算法和数字签名，对审计数据进行数字签名和来源认证、完整性保护，防止非授权修改审计数据。

四、网络安全审计主要产品与技术指标

4.1 日志安全审计产品

  日志安全审计产品是有关信息采集、分析与管理的系统。产品的基本原理是利用Syslog、Snmptrap、NetFlow、Telnet、SSH、WMI、FTP、SFTP、SCP、JDBC、文件等技术，对分散设备的异构系统进行分布采集、集中存储、系统分析、集中管理，便于有关单位/机构进行安全合规管理，保护日志信息安全。日志安全审计产品的主要功能有日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理等。

4.2 主机监控与审计产品

  主机监控与审计产品是有关主机行为信息的安全审查及管理的系统。产品的基本原理是通过代理查程序对主机的行为信息进行收集，然后基于采集到的信息进行分析，已记录系统行为，帮助管理员评估操作系统的风险状况，并为相应的安全策略调整提供依据、该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质（U盘）管理、非法外联管理等。其产品部署如下图。

4.3 数据库审计产品

  数据库审计产品是对数据库系统活动进行审计的系统。产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集，然后对采集的信息进行分析，形成数据库操作系统记录，保存和发现数据库各种违规的或敏感的操作信息，为相应的数据库安全策略调整提供依据。在数据库审计产品中，实现数据库审计主要有以下三种方式：

  （1）网络监听审计。（优：不影响数据库服务器；缺：对加密的数据库流量难以审计，对数据库服务器本地操作难以审计）

  （2）自带审计。（优：能够实现数据库网络操作和本地操作的审计；缺：对数据库的性能有一定影响，在审计策略配置、记录的粒度、日志统一分析方面不够完善，日志本地存储容易被删除）

  （3）数据库Agent。（优：能够实现数据库网络操作和本地操作的审计；缺：需要安装数据库代理服务器，对数据库服务系统的性能、稳定性、可靠性有影响。

4.4 网络安全审计产品

  网络安全审计产品是有关网络通信的审计系统。产品的基本原理是通过网络流量信息采集及数据包深度内容分析，提供网络通信应用活动信息记录。网络安全审计常见的功能主要包括如下几个方面

• 网络流量采集。按照协议类型及采集规则保存流量数据。
• 网络流量数据挖掘分析。对采集到的网络数据进行挖掘，提取网络流量信息，形成网络审计记录，主要包括如下内容

  （1）邮件收发协议（SMTP、POP3协议）审计

  （2）网页浏览（HTTP协议）审计

  （3）文件共享（NetBios协议）审计

  （4）文件传输（FTP协议）审计

  （5）远程访问（Telnet协议）审计

  （6）DNS审计

4.5 工业控制系统网络审计产品

  工业控制系统网络安全产品是对工业控制网络中的协议、数据和行为等进行记录、分析，并作出一定的响应措施的网络信息专用系统。产品的基本原理是利用网络流量采集协议识别技术，对工业控制协议进行还原，形成工业控制系统的操作信息记录，然后进行保存和分析。

4.6 运维安全审计产品

  运维安全审计产品主要采集和记录IT系统维护过程中相关人员管理、登录、登出等操作行为，为管理人员及时发现权限滥用、违规操作等情况，准确定位身份，以便取证。

五、网络安全审计应用

• 安全运维保障
    IT系统运维面临内部安全威胁和第三方外部服务安全风险，网络安全审计是应对运维安全风险的重要安全保障机制。通过运维审计，可以有效防范和追溯安全威胁操作。

• 数据访问监测
    数据库承载企业单位的重要核心数据资源，保护数据库的安全成为各相关部门的重要职责。数据库安全审计产品就是通过安全监测，智能化、自动地从海量日志信息中，发现违规访问或异常访问记录，从而有效降低安全管理员日志分析的工作量。

• 网络入侵检测
    网络入侵监测对网络设备、安全设备、应用系统的日志信息进行实时收集和分析，可检测发现黑客入侵、扫描渗透、暴力破解、网络蠕虫、非法访问、非法外联和DDoS攻击。

• 网络电子取证
    日志分析技术广泛应用于计算机犯罪侦查与电子取证，许多案件借助日志分析技术提供线索、获取证据。