ssh日志审计_信息安全工程师（第二版）章十二：网络安全审计技术原理与应用...

一、网络安全审计概述

1-1 网络安全审计概念

• 概念：对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。
• 作用：建立“事后”安全保障措施，保存网络安全事件及行为信息，为网络安全事件分析提供线索及证据，以便发现潜在的网络安全威胁行为，开展网络安全风险分析机管理

1-2 网络安全审计相关标准

1-2-1 美国标准

美国国家标准局-1985-《可信计算机系统评估标准》（Trusted Computer System Evaluation Criteria，TCSEC）

• 六国七方（加拿大、法国、德国、荷兰、英国、NIST、NSA）
• 国际标准 ISO/IEC 15408《信息技术安全评估准则》（CC）
• 系统分为D、C、B、A（逐级递增，C2开始提出审计要求，B3之后不再变化）

1-2-2 中国标准

GB 17859《计算机信息系统安全保护等级划分准则》

• 用户自主保护级：无审计要求
• 系统审计保护级：计算机信息系统可信计算基能够创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。记录事件包括：（使用身份鉴别机制；将客体引入用户地址空间；删除客体；系统“三员”动作）对事件记录：（时间、用户、事件类型、执行结果、客体名、无法分辨的需提供审计接口）
• 安全标记保护级：系统审计保护级基础上。增强：审计记录包含客体名及客体的安全级别；可信计算基具有审计更改可读输出记号的能力
• 结构化保护级：安全标记保护级基础上。增强：计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件
• 访问验证保护级：结构化保护级基础上。增强：计算机信息系统可信计算基包含能够监控可审计安全事件发生与累计的机制，当超过阈值时，能够立即向安全管理员发出报警。若这些安全相关的事件持续发生，系统应以最小代价终止它们

1-3 网络安全审计相关法规政策

《中华人民共和国网络安全法》要求，采取监测、记录网络运行状态、网络安全事件技术措施，并按照规定留存相关的网络日志不少于六个月

二、网络安全审计系统类型

2-1 网络安全审计系统组成

• 一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等
• 审计粒度（OS 审计：进程活动、文件操作；网络通信审计：五元组、数据包内容）

2-2 网络安全审计系统类型

按照审计对象类型分类：

• 操作系统审计（Windows：注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件；Linux：开机自检日志、用户操作日志、登录日志、su日志、登录日志）
• 数据库审计（CRUD、命令回放）
• 网络通信安全审计（专用系统和设备：源地址、目的地之、源端口、目的端口、协议类型、传输内容）

按照审计范围分类：

• 综合审计系统
• 单个审计系统

三、网络安全审计机制与实现技术

基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制

3-1 系统日志数据采集技术

把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储，以便查询分析与管理

• SysLog
• SNMP Trap

3-2 网络流量数据捕获技术

• 共享网络监听（Hub 集线器）
• 交换机端口镜像（Port Mirroring）
• 网络分流器（Network Tap）

数据采集软件包： Libpcap，Winpcap。Libpcap工作流程：

1. 设置嗅探网络接口。Linux 中大多为 eth0
2. 初始化 Libpacp。设置过滤规则，明确捕获数据包类型
3. 运行 Libpcap 循环主体。Libpcap 开始接受符合过滤规则的数据包

3-3 网络审计数据安全分析技术

• 字符串匹配（正则表达式）
• 全文搜索（ElasticSearch）
• 数据关联（日志+流量+设备日志）
• 统计报表（对特定事件、阈值、基线进行统计分析，发送日、周、月报）
• 可视化分析（Kibana）

3-4 网络审计数据存储技术

• 由数据产生系统自行分散存储
• 集中采集各系统审计数据，建立审计数据存储服务器

3-5 网络审计数据保护技术

• 系统用户分权管理（操作员、安全员、审计员。系统“三员”）
• 审计数据强制访问
• 审计数据加密
• 审计数据隐私保护
• 审计数据完整性保护

四、网络安全审计主要产品与技术指标

4-1 日志安全审计产品

• 概念：日志安全审计产品是有关日志信息采集、分析和管理的系统。
• 技术：Syslog、Snmptrap、NetFlow、Telnet、SSH、WMI、FTP、SFTP、SCP、JDBC
• 功能：日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理
• 产品：绿盟日志审计系统、ELK Stack

4-2 主机监控与审计产品

• 概念：主机监控与审计产品是有关主机行为信息的安全审查及管理的系统
• 原理：代理程序采集主机行为信息，管理员基于信息评估风险状况
• 功能：系统用户监控、系统配置管理、补丁管理、准入控制、介质管理、非法外联

4-3 数据库审计产品

• 概念：对数据库系统活动进行审计的系统
• 原理：通过网络流量监听、系统调用监控、数据库代理等技术对访问数据库系统的行为进行采集，分析，发现违规或敏感操作信息
• 方式：①网络监听审计；②自带审计；③数据库Agent

4-4 网络安全审计产品

• 概念：有关网络通信活动的审计系统
• 原理：通过网络流浪信息采集及数据包深度内容分析，提供网络通信及网络应用的活动信息记录。
• 功能：①网络流量采集；②网络流量数据挖掘分析（邮件审计、Web审计、共享审计、文件传输审计、远程访问审计、DNS 审计）
• 性能：网络带宽大小、协议识别种类、原始数据包查询响应时间

4-5 工业控制系统网络审计产品

• 概念：对工业控制网络中的协议、数据和行为进行记录、分析，并响应的信息安全专用系统
• 原理：利用网络流量采集及协议识别技术，对工控协议进行还原，形成工控系统的操作信息记录，并保存和分析
• 实现：①一体化集中产品；②由采集端和分析端两部分组成
• 产品：绿盟工控安全审计系统、威努特工控安全检测与审计系统

4-6 运维安全审计产品

• 概念：有关网络设备及服务器操作的审计系统
• 信息：“在什么终端、什么时间、登录什么设备、做了什么操作、返回什么结果、什么时间登出”
• 功能：字符会话审计（SSH、Telnet）；图形操作审计（RDP、HTTP）；数据库运维审计（Oracle）；文件传输审计（FTP、SFTP）；合规审计（制度）

五、网络安全审计应用

1. 安全运维保障
2. 数据访问监测
3. 网络入侵检测
4. 网络电子取证