热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

ssh日志审计_信息安全工程师(第二版)章十二:网络安全审计技术原理与应用...

一、网络安全审计概述1-1网络安全审计概念概念:对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。作用:建立“事后”安全保障措施,保存网络安全事件及行为信息,

一、网络安全审计概述

1-1 网络安全审计概念

  • 概念:对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。
  • 作用:建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便发现潜在的网络安全威胁行为,开展网络安全风险分析机管理

1-2 网络安全审计相关标准

1-2-1 美国标准

美国国家标准局-1985-《可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,TCSEC

  • 六国七方(加拿大、法国、德国、荷兰、英国、NIST、NSA)
  • 国际标准 ISO/IEC 15408《信息技术安全评估准则》CC
  • 系统分为D、C、B、A(逐级递增,C2开始提出审计要求,B3之后不再变化)

1-2-2 中国标准

GB 17859《计算机信息系统安全保护等级划分准则》

  • 用户自主保护级:无审计要求
  • 系统审计保护级:计算机信息系统可信计算基能够创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。记录事件包括:(使用身份鉴别机制;将客体引入用户地址空间;删除客体;系统“三员”动作)对事件记录:(时间、用户、事件类型、执行结果、客体名、无法分辨的需提供审计接口)
  • 安全标记保护级:系统审计保护级基础上。增强:审计记录包含客体名及客体的安全级别;可信计算基具有审计更改可读输出记号的能力
  • 结构化保护级:安全标记保护级基础上。增强:计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件
  • 访问验证保护级:结构化保护级基础上。增强:计算机信息系统可信计算基包含能够监控可审计安全事件发生与累计的机制,当超过阈值时,能够立即向安全管理员发出报警。若这些安全相关的事件持续发生,系统应以最小代价终止它们

1-3 网络安全审计相关法规政策

《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月

二、网络安全审计系统类型

2-1 网络安全审计系统组成

  • 一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理
  • 审计粒度(OS 审计:进程活动、文件操作;网络通信审计:五元组、数据包内容)

2-2 网络安全审计系统类型

按照审计对象类型分类:

  • 操作系统审计(Windows:注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件;Linux:开机自检日志、用户操作日志、登录日志、su日志、登录日志)
  • 数据库审计(CRUD、命令回放)
  • 网络通信安全审计(专用系统和设备:源地址、目的地之、源端口、目的端口、协议类型、传输内容)

按照审计范围分类:

  • 综合审计系统
  • 单个审计系统

三、网络安全审计机制与实现技术

基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制

3-1 系统日志数据采集技术

操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便查询分析与管理

  • SysLog
  • SNMP Trap

3-2 网络流量数据捕获技术

  • 共享网络监听(Hub 集线器)
  • 交换机端口镜像(Port Mirroring)
  • 网络分流器(Network Tap)

数据采集软件包: Libpcap,Winpcap。Libpcap工作流程:

  1. 设置嗅探网络接口。Linux 中大多为 eth0
  2. 初始化 Libpacp。设置过滤规则,明确捕获数据包类型
  3. 运行 Libpcap 循环主体。Libpcap 开始接受符合过滤规则的数据包

3-3 网络审计数据安全分析技术

  • 字符串匹配(正则表达式)
  • 全文搜索(ElasticSearch)
  • 数据关联(日志+流量+设备日志)
  • 统计报表(对特定事件、阈值、基线进行统计分析,发送日、周、月报)
  • 可视化分析(Kibana)

3-4 网络审计数据存储技术

  • 由数据产生系统自行分散存储
  • 集中采集各系统审计数据,建立审计数据存储服务器

3-5 网络审计数据保护技术

  • 系统用户分权管理(操作员、安全员、审计员。系统“三员”)
  • 审计数据强制访问
  • 审计数据加密
  • 审计数据隐私保护
  • 审计数据完整性保护

四、网络安全审计主要产品与技术指标

4-1 日志安全审计产品

  • 概念:日志安全审计产品是有关日志信息采集、分析和管理的系统
  • 技术:Syslog、Snmptrap、NetFlow、Telnet、SSH、WMI、FTP、SFTP、SCP、JDBC
  • 功能:日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理
  • 产品:绿盟日志审计系统、ELK Stack

4-2 主机监控与审计产品

  • 概念:主机监控与审计产品是有关主机行为信息的安全审查及管理的系统
  • 原理:代理程序采集主机行为信息,管理员基于信息评估风险状况
  • 功能:系统用户监控、系统配置管理、补丁管理、准入控制、介质管理、非法外联

4-3 数据库审计产品

  • 概念:对数据库系统活动进行审计的系统
  • 原理:通过网络流量监听、系统调用监控、数据库代理等技术对访问数据库系统的行为进行采集,分析,发现违规或敏感操作信息
  • 方式:①网络监听审计;②自带审计;③数据库Agent

4-4 网络安全审计产品

  • 概念:有关网络通信活动的审计系统
  • 原理:通过网络流浪信息采集及数据包深度内容分析,提供网络通信及网络应用的活动信息记录。
  • 功能:①网络流量采集;②网络流量数据挖掘分析(邮件审计、Web审计、共享审计、文件传输审计、远程访问审计、DNS 审计)
  • 性能:网络带宽大小、协议识别种类、原始数据包查询响应时间

4-5 工业控制系统网络审计产品

  • 概念:对工业控制网络中的协议、数据和行为进行记录、分析,并响应的信息安全专用系统
  • 原理:利用网络流量采集及协议识别技术,对工控协议进行还原,形成工控系统的操作信息记录,并保存和分析
  • 实现:①一体化集中产品;②由采集端和分析端两部分组成
  • 产品:绿盟工控安全审计系统、威努特工控安全检测与审计系统

4-6 运维安全审计产品

  • 概念:有关网络设备及服务器操作的审计系统
  • 信息:“在什么终端、什么时间、登录什么设备、做了什么操作、返回什么结果、什么时间登出”
  • 功能:字符会话审计(SSH、Telnet);图形操作审计(RDP、HTTP);数据库运维审计(Oracle);文件传输审计(FTP、SFTP);合规审计(制度)

五、网络安全审计应用

  1. 安全运维保障
  2. 数据访问监测
  3. 网络入侵检测
  4. 网络电子取证

推荐阅读
  • 本文详细介绍了PHP中的几种超全局变量,包括$GLOBAL、$_SERVER、$_POST、$_GET等,并探讨了AJAX的工作原理及其优缺点。通过具体示例,帮助读者更好地理解和应用这些技术。 ... [详细]
  • 本文探讨了互联网服务提供商(ISP)如何可能篡改或插入用户请求的数据流,并提供了有效的技术手段来防止此类劫持行为,确保网络环境的安全与纯净。 ... [详细]
  • 考前准备方面,我的考试时间安排在上午11点至12点,只需提前20分钟到达考场的接待休息区即可。由于我居住在福田区,交通便利,可以选择多种方式前往考场。为了确保顺利通过考试,我建议考生提前熟悉考试流程和环境,并合理规划出行时间,以保持良好的心态和状态。此外,考前复习应注重理论与实践相结合,多做模拟题,加强对重点知识点的理解和掌握。 ... [详细]
  • Panabit应用层流量管理解决方案
    Panabit是一款国内领先的应用层流量管理解决方案,提供高度开放且免费的专业服务,尤其擅长P2P应用的精准识别与高效控制。截至2009年3月25日,该系统已实现对多种网络应用的全面支持,有效提升了网络资源的利用效率和安全性。 ... [详细]
  • 在Linux系统中使用EncFS实现文件夹加密
    为了保护个人隐私或敏感数据不被未经授权的访问,可以通过加密技术来增强安全性。本文介绍如何在Linux系统上使用EncFS工具创建和管理加密文件夹,以确保即使在系统登录状态下,特定文件夹中的数据也保持加密状态。 ... [详细]
  • 本文详细介绍了在PHP中如何获取和处理HTTP头部信息,包括通过cURL获取请求头信息、使用header函数发送响应头以及获取客户端HTTP头部的方法。同时,还探讨了PHP中$_SERVER变量的使用,以获取客户端和服务器的相关信息。 ... [详细]
  • PHP预处理常量详解:如何定义与使用常量 ... [详细]
  • 在Hive中合理配置Map和Reduce任务的数量对于优化不同场景下的性能至关重要。本文探讨了如何控制Hive任务中的Map数量,分析了当输入数据超过128MB时是否会自动拆分,以及Map数量是否越多越好的问题。通过实际案例和实验数据,本文提供了具体的配置建议,帮助用户在不同场景下实现最佳性能。 ... [详细]
  • 负载均衡基础概念与技术解析
    随着互联网应用的不断扩展,用户流量激增,业务复杂度显著提升,单一服务器已难以应对日益增长的负载需求。负载均衡技术应运而生,通过将请求合理分配到多个服务器,有效提高系统的可用性和响应速度。本文将深入探讨负载均衡的基本概念和技术原理,分析其在现代互联网架构中的重要性及应用场景。 ... [详细]
  • 本文详细解析了神州数码DCRS5980交换机的基础配置流程和技术要点。首先,通过进入配置模式(`enable`),设置主机名(`hostname 5980`),并创建VLAN,逐步介绍了设备的初始设置步骤。此外,还涵盖了端口配置、IP地址分配及安全设置等关键环节,为用户提供了全面的配置指导。 ... [详细]
  • 深入解析OSI七层架构与TCP/IP协议体系
    本文详细探讨了OSI七层模型(Open System Interconnection,开放系统互连)及其与TCP/IP协议体系的关系。OSI模型将网络通信过程划分为七个层次,每个层次负责不同的功能,从物理层到应用层逐步实现数据传输和处理。通过对比分析,本文揭示了OSI模型与TCP/IP协议在结构和功能上的异同,为理解现代网络通信提供了全面的视角。 ... [详细]
  • 本文详细介绍了HDFS的基础知识及其数据读写机制。首先,文章阐述了HDFS的架构,包括其核心组件及其角色和功能。特别地,对NameNode进行了深入解析,指出其主要负责在内存中存储元数据、目录结构以及文件块的映射关系,并通过持久化方案确保数据的可靠性和高可用性。此外,还探讨了DataNode的角色及其在数据存储和读取过程中的关键作用。 ... [详细]
  • DHCP三层交换机设置方式全局模式和接口模式设置方式和命令resetsave回车输入yreboot输入n输入y重启后就恢复默认设置了默认用户名密码adminAdmin@huawei ... [详细]
  • 西北工业大学作为陕西省三所985和211高校之一,虽然在农业和林业领域不如某些顶尖院校,但在航空航天领域的实力尤为突出。该校的计算机科学专业在科研和教学方面也具有显著优势,是考研的理想选择。 ... [详细]
  • 本文提供了 RabbitMQ 3.7 的快速上手指南,详细介绍了环境搭建、生产者和消费者的配置与使用。通过官方教程的指引,读者可以轻松完成初步测试和实践,快速掌握 RabbitMQ 的核心功能和基本操作。 ... [详细]
author-avatar
小丹巛丹布莱妮
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有