【第12章】网络安全审计技术原理与应用
12.1 网络安全审计概述
12.1.1 网络安全审计概念
网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后“安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。
目前,IT 产品和安全设备都不同程度地提供安全审计功能。常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统,则部署独立的网络安全审计系统。
12.1.2 网络安全审计相关标准
1985 年美国国家标准局公布的《可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,TCSEC) 中给出了计算机系统的安全审计要求。 TCSEC 从 C2 级开始提出了安全审计的要求,随着保护级别的增加而逐渐加强,B3 级以及之后更高的级别则不再变化。
我国的国家标准 GB 17859 《计算机信息系统安全保护等级划分准则》(以下简称《准则》)从第 二 级开始要求提供审计安全机制。其中,第 二 级为系统审计保护级,该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。《准则》中明确了各级别对审计的要求。
计算机信息系统安全保护能力的五个等级:
用户自主保护级
系统审计保护级
安全标记保护级
结构化保护级
访间验证保护级
12.1.3 网络安全审计相关法规政策
《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、网络安全事件技术 措施,并按照规定留存相关的网络日志不少于六个月。
----------
12.2 网络安全审计系统组成与类型
12.2.1 网络安全审计系统组成
网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。
针对不同的审计对象,安全审计系统的组成部分各不相同,审计细粒度也有所区分。例如,操作系统的安全审计可以做到对进程活动、文件操作的审计;网络通信安全审计既可对 IP 包的源地址、目的地址进行审计,又可以对 IP 包的内容进行深度分析,实现网络内容审计。
12.2.2 网络安全审计系统类型
按照审计对象类型分类,网络安全审计主要有操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。操作系统审计一般是对操作系统用户和系统服务进行记录,主要包括用户登录和注销、系统服务启动和关闭、安全事件等。
Windows 、Linux 等操作系统都自带审计功能,其审计信息简要叙述如下:
•Windows 操作系统的基本审计信息有注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件等;
•Linux 操作系统的基本审计信息有系统开机自检日志boot.log 、用户命令操作日志acct/pacct、最近登录日志 lastlog、使用 SU 命令日志 sulog 、当前用户登录日志 utrnp 、用户登录和退出日志 wtmp 、系统接收和发送邮件日志 maillog、系统消息 messages 等。
数据库审计通常是监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并可以对数据库操作命令进行回放。
网络通信安全审计一般采用专用的审计系统,通过专用设备获取网络流量,然后再进行存储和分析。网络通信安全审计的常见内容为 IP 源地址、IP 目的地址、源端口号、目的端口号、协议类型、传输内容等。
按照审计范围,安全审计可分为综合审计系统和单个审计系统。由于各
IT 产品自带的审计功能有限,审计能力不足,于是安全厂商研发了综合审计系统。单个审计系统主要针对独立的审计对象,审计数据来源单一,缺少多源审计对象的关联分析,常见的是 IT 系统或产品自带的审计功能。
----------
12.3 网络安全审计机制与实现技术
网络安全审计机制主要有基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制等,下面主要介绍审计机制实现常用的技术。
12.3.1 系统日志数据采集技术
常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便于查询分析与管理。
12.3.2 网络流量数据获取技术
网络流量数据获取技术是网络通信安全审计的关键技术之一 ,常见的技术方法有:
共享网络监听、
交换机端口镜像(Port Mirroring) 、
网络分流器(Network Tap) 等。
其中,共享网络监听利用 Hub 集线器构建共享式网络,网络流量采集设备接入集线器上,获取与集线器相连接的设备的网络流量数据。
对于不支持端口镜像功能的交换机,通常利用网络分流器(TAP) 把网络流量导入网络流量采集设备。
常见的开源网络数据采集软件包是 Libpcap (Library for Packet Capture),除了 Libpcap 外,还有 Winpcap,它支持在 Windows 平台捕获网络数据包。 Wireshark 是图形化的网络流量数据采集工具,可用于网络流量数据的采集和分析。
12.3.3 网络审计数据安全分析技术
网络审计数据蕴涵着网络安全威胁相关信息,需要通过数据分析技术方法来提取。常见的网络审计数据安全分析技术有:字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。
12.3.4 网络审计数据存储技术
网络审计数据存储技术分为两种:
一种是由审计数据产生的系统自己分散存储,审计数据保存在不同的系统中;目前,操作系统、数据库、应用系统、网络设备等都可以各自存储日志数据。另 一种集中采集各种系统的审计数据,建立审计数据存储服务器,由专用的存储设备保存,便于事后查询分析和电子取证。
12.3.5 网络审计数据保护技术
网络审计数据涉及系统整体的安全性和用户的隐私性,为保护审计数据的安全,通常的安全技术措施有如下几种。
1. 系统用户分权管理
2. 审计数据强制访问
3. 审计数据加密
4. 审计数据隐私保护
5. 审计数据完整性保护
----------
12.4 网络安全审计主要产品与技术指标
12.4.1 日志安全审计产品
日志安全审计产品是有关日志信息采集、分析与管理的系统。产品的基本原理是利用Syslog 、Srunptrap 、NetFlow 、Telnet 、SSH 、WMI 、FTP 、SFTP 、SCP 、JDBC 、文件等技术,对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理,便于有关单位/机构进行安全合规管理,保护日志信息安全。日志安全审计产品的主要功能有日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理等。
12.4.2 主机监控与审计产品
主机监控与审计产品是有关主机行为信息的安全审查及管理的系统。产品的基本原理是通过代理程序对主机的行为信息进行采集,然后基于采集到的信息进行分析,以记录系统行为,帮助管理员评估操作系统的风险状况,并为相应的安全策略调整提供依据。该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U 盘)管理、非法外联管理等。
12.4.3 数据库审计产品
数据库审计产品是对数据库系统活动进行审计的系统。产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集,然后对采集的信息进行分析,形成数据库操作记录,保存和发现数据库各种违规的或敏感的操作信息,为相应的数据库安全策略调整提供依据。在数据库审计产品中,实现数据库审计主要有如下三种方式。
1. 网络监听审计
2.自带审计
3. 数据库 Agent
12.4.4 网络安全审计产品
1. 网络流量采集
2. 网络流量数据挖掘分析
对采集到的网络流量数据进行挖掘,提取网络流量信息,形成网络审计记录,主要包括如下内容。
(1) 邮件收发协议(SMTP 、POP3 协议)审计。从邮件网络流量数据提取信息,记录收发邮件的时间、地址、主题、附件名、收发人等信息,并能够回放所收发的邮件内容。
(2) 网页浏览(HTTP 协议)审计。从 Web 网络流星数据提取信息,记录用户访问网页的时间、地址、域名等信息,并能够回放所浏览的网页内容。
(3) 文件共享(NetBios 协议)审计。从文件共享网络流量数据提取信息,记录网络用户对网络资源中的文件共享操作。
(4) 文件传输(FTP 协议)审计。从 FTP 网络流量数据提取信息,记录用户对 FTP 服务器的远程登录时间、读、写、添加、修改以及删除等操作,并可以对操作过程进行完整回放。
(5) 远程访问(Telnet 协议)审计。从 FTP 网络流量数据提取信息,记录用户对 Telnet 服务器的远程登录时间、各种操作命令,并可以对操作过程进行完整回放。
(6) DNS 审计。从 DNS 网络流量数据提取信息,记录用户 DNS 服务请求信息,并可以对操作过程进行完整回放
12.4.5 工业控制系统网络审计产品
12.4.6 运维安全审计产品
运维安全审计产品是有关网络设备及服务器操作的审计系统。运维安全审计产品主要采集和记录 IT 系统维护过程中相关人员”在什么终端、什么时间、登录什么设备(或系统)、做了什么操作、返回什么结果、什么时间登出”等行为信息,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便追查取证。运维安全审计产品的基本原理是通过网络流量信息采集或服务代理等技术方式,记录Telnet 、FTP 、SSH 、tftp 、HTTP 等运维操作服务的活动信息。
运维安全审计产品的主要功能有:字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计。
----------
12.5 网络安全审计应用
12.5.1 安全运维保障
IT 系统运维面临内部安全威胁和第三方外包服务安全风险,网络安全审计是应对运维安全风险的重要安全保障机制。
12.5.2 数据访问监测
数据库安全审计产品就是通过安全监测,智能化、自动地从海量日志信息中,发现违规访问或异常访问记录,从而有效降低安全管理员日志分析的工作量。
12.5.3 网络入侵检测
网络入侵检测对网络设备、安全设备、应用系统的日志信息进行实时收集和分析.可检测发现黑客入侵、扫描渗透、暴力破解、网络蠕虫、非法访问、非法外联和 DDoS 攻击。
12.5.4 网络电子取证
日志分析技术广泛应用于计算机犯罪侦查与电子取证,许多案件借助日志分析技术提供线索、获取证据。