热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

ssh日志审计_信息安全工程师(第二版)章十二:网络安全审计技术原理与应用...

一、网络安全审计概述1-1网络安全审计概念概念:对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。作用:建立“事后”安全保障措施,保存网络安全事件及行为信息,

一、网络安全审计概述

1-1 网络安全审计概念

  • 概念:对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。
  • 作用:建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便发现潜在的网络安全威胁行为,开展网络安全风险分析机管理

1-2 网络安全审计相关标准

1-2-1 美国标准

美国国家标准局-1985-《可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,TCSEC

  • 六国七方(加拿大、法国、德国、荷兰、英国、NIST、NSA)
  • 国际标准 ISO/IEC 15408《信息技术安全评估准则》CC
  • 系统分为D、C、B、A(逐级递增,C2开始提出审计要求,B3之后不再变化)

1-2-2 中国标准

GB 17859《计算机信息系统安全保护等级划分准则》

  • 用户自主保护级:无审计要求
  • 系统审计保护级:计算机信息系统可信计算基能够创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。记录事件包括:(使用身份鉴别机制;将客体引入用户地址空间;删除客体;系统“三员”动作)对事件记录:(时间、用户、事件类型、执行结果、客体名、无法分辨的需提供审计接口)
  • 安全标记保护级:系统审计保护级基础上。增强:审计记录包含客体名及客体的安全级别;可信计算基具有审计更改可读输出记号的能力
  • 结构化保护级:安全标记保护级基础上。增强:计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件
  • 访问验证保护级:结构化保护级基础上。增强:计算机信息系统可信计算基包含能够监控可审计安全事件发生与累计的机制,当超过阈值时,能够立即向安全管理员发出报警。若这些安全相关的事件持续发生,系统应以最小代价终止它们

1-3 网络安全审计相关法规政策

《中华人民共和国网络安全法》要求,采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络日志不少于六个月

二、网络安全审计系统类型

2-1 网络安全审计系统组成

  • 一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理
  • 审计粒度(OS 审计:进程活动、文件操作;网络通信审计:五元组、数据包内容)

2-2 网络安全审计系统类型

按照审计对象类型分类:

  • 操作系统审计(Windows:注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件;Linux:开机自检日志、用户操作日志、登录日志、su日志、登录日志)
  • 数据库审计(CRUD、命令回放)
  • 网络通信安全审计(专用系统和设备:源地址、目的地之、源端口、目的端口、协议类型、传输内容)

按照审计范围分类:

  • 综合审计系统
  • 单个审计系统

三、网络安全审计机制与实现技术

基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制

3-1 系统日志数据采集技术

操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储,以便查询分析与管理

  • SysLog
  • SNMP Trap

3-2 网络流量数据捕获技术

  • 共享网络监听(Hub 集线器)
  • 交换机端口镜像(Port Mirroring)
  • 网络分流器(Network Tap)

数据采集软件包: Libpcap,Winpcap。Libpcap工作流程:

  1. 设置嗅探网络接口。Linux 中大多为 eth0
  2. 初始化 Libpacp。设置过滤规则,明确捕获数据包类型
  3. 运行 Libpcap 循环主体。Libpcap 开始接受符合过滤规则的数据包

3-3 网络审计数据安全分析技术

  • 字符串匹配(正则表达式)
  • 全文搜索(ElasticSearch)
  • 数据关联(日志+流量+设备日志)
  • 统计报表(对特定事件、阈值、基线进行统计分析,发送日、周、月报)
  • 可视化分析(Kibana)

3-4 网络审计数据存储技术

  • 由数据产生系统自行分散存储
  • 集中采集各系统审计数据,建立审计数据存储服务器

3-5 网络审计数据保护技术

  • 系统用户分权管理(操作员、安全员、审计员。系统“三员”)
  • 审计数据强制访问
  • 审计数据加密
  • 审计数据隐私保护
  • 审计数据完整性保护

四、网络安全审计主要产品与技术指标

4-1 日志安全审计产品

  • 概念:日志安全审计产品是有关日志信息采集、分析和管理的系统
  • 技术:Syslog、Snmptrap、NetFlow、Telnet、SSH、WMI、FTP、SFTP、SCP、JDBC
  • 功能:日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理
  • 产品:绿盟日志审计系统、ELK Stack

4-2 主机监控与审计产品

  • 概念:主机监控与审计产品是有关主机行为信息的安全审查及管理的系统
  • 原理:代理程序采集主机行为信息,管理员基于信息评估风险状况
  • 功能:系统用户监控、系统配置管理、补丁管理、准入控制、介质管理、非法外联

4-3 数据库审计产品

  • 概念:对数据库系统活动进行审计的系统
  • 原理:通过网络流量监听、系统调用监控、数据库代理等技术对访问数据库系统的行为进行采集,分析,发现违规或敏感操作信息
  • 方式:①网络监听审计;②自带审计;③数据库Agent

4-4 网络安全审计产品

  • 概念:有关网络通信活动的审计系统
  • 原理:通过网络流浪信息采集及数据包深度内容分析,提供网络通信及网络应用的活动信息记录。
  • 功能:①网络流量采集;②网络流量数据挖掘分析(邮件审计、Web审计、共享审计、文件传输审计、远程访问审计、DNS 审计)
  • 性能:网络带宽大小、协议识别种类、原始数据包查询响应时间

4-5 工业控制系统网络审计产品

  • 概念:对工业控制网络中的协议、数据和行为进行记录、分析,并响应的信息安全专用系统
  • 原理:利用网络流量采集及协议识别技术,对工控协议进行还原,形成工控系统的操作信息记录,并保存和分析
  • 实现:①一体化集中产品;②由采集端和分析端两部分组成
  • 产品:绿盟工控安全审计系统、威努特工控安全检测与审计系统

4-6 运维安全审计产品

  • 概念:有关网络设备及服务器操作的审计系统
  • 信息:“在什么终端、什么时间、登录什么设备、做了什么操作、返回什么结果、什么时间登出”
  • 功能:字符会话审计(SSH、Telnet);图形操作审计(RDP、HTTP);数据库运维审计(Oracle);文件传输审计(FTP、SFTP);合规审计(制度)

五、网络安全审计应用

  1. 安全运维保障
  2. 数据访问监测
  3. 网络入侵检测
  4. 网络电子取证

推荐阅读
  • SecureCRT是一款功能强大的终端仿真软件,支持SSH1和SSH2协议,适用于在Windows环境下高效连接和管理Linux服务器。该工具不仅提供了稳定的连接性能,还具备丰富的配置选项,能够满足不同用户的需求。通过SecureCRT,用户可以轻松实现对远程Linux系统的安全访问和操作。 ... [详细]
  • 您的数据库配置是否安全?DBSAT工具助您一臂之力!
    本文探讨了Oracle提供的免费工具DBSAT,该工具能够有效协助用户检测和优化数据库配置的安全性。通过全面的分析和报告,DBSAT帮助用户识别潜在的安全漏洞,并提供针对性的改进建议,确保数据库系统的稳定性和安全性。 ... [详细]
  • 如何安装和使用 WinSCP 与 PuTTY:连接 Linux 系统的专业工具指南
    本指南详细介绍了如何在Windows环境中安装和使用WinSCP与PuTTY,以实现与Linux系统的安全连接。WinSCP是一款开源的图形化SFTP客户端,支持SSH和SCP协议,主要用于在本地和远程计算机之间安全地传输文件。用户可以通过官方下载页面获取最新版本的WinSCP和PuTTY,按照简单的步骤完成安装,并利用这些工具进行高效的文件管理和远程操作。 ... [详细]
  • 本文介绍了如何在 Windows 系统上利用 Docker 构建一个包含 NGINX、PHP、MySQL、Redis 和 Elasticsearch 的集成开发环境。通过详细的步骤说明,帮助开发者快速搭建和配置这一复杂的技术栈,提升开发效率和环境一致性。 ... [详细]
  • 2020年9月15日,Oracle正式发布了最新的JDK 15版本。本次更新带来了许多新特性,包括隐藏类、EdDSA签名算法、模式匹配、记录类、封闭类和文本块等。 ... [详细]
  • 包含phppdoerrorcode的词条 ... [详细]
  • Ping 命令的高级用法与技巧
    本文详细介绍了 Ping 命令的各种高级用法和技巧,帮助读者更好地理解和利用这一强大的网络诊断工具。 ... [详细]
  • 本文详细介绍了在 Ubuntu 系统上搭建 Hadoop 集群时遇到的 SSH 密钥认证问题及其解决方案。通过本文,读者可以了解如何在多台虚拟机之间实现无密码 SSH 登录,从而顺利启动 Hadoop 集群。 ... [详细]
  • Python 数据可视化实战指南
    本文详细介绍如何使用 Python 进行数据可视化,涵盖从环境搭建到具体实例的全过程。 ... [详细]
  • Linux CentOS 7 安装PostgreSQL 9.5.17 (源码编译)
    近日需要将PostgreSQL数据库从Windows中迁移到Linux中,LinuxCentOS7安装PostgreSQL9.5.17安装过程特此记录。安装环境&#x ... [详细]
  • 使用虚拟机配置服务器
    本文详细介绍了如何使用虚拟机配置服务器,包括购买云服务器的操作步骤、系统默认配置以及相关注意事项。通过这些步骤,您可以高效地配置和管理您的服务器。 ... [详细]
  • V8不仅是一款著名的八缸发动机,广泛应用于道奇Charger、宾利Continental GT和BossHoss摩托车中。自2008年以来,作为Chromium项目的一部分,V8 JavaScript引擎在性能优化和技术创新方面取得了显著进展。该引擎通过先进的编译技术和高效的垃圾回收机制,显著提升了JavaScript的执行效率,为现代Web应用提供了强大的支持。持续的优化和创新使得V8在处理复杂计算和大规模数据时表现更加出色,成为众多开发者和企业的首选。 ... [详细]
  • `chkconfig` 命令主要用于管理和查询系统服务在不同运行级别中的启动状态。该命令不仅能够更新服务的启动配置,还能检查特定服务的当前状态。通过 `chkconfig`,管理员可以轻松地控制服务在系统启动时的行为,确保关键服务正常运行,同时禁用不必要的服务以提高系统性能和安全性。本文将详细介绍 `chkconfig` 的各项参数及其使用方法,帮助读者更好地理解和应用这一强大的系统管理工具。 ... [详细]
  • 提升 Kubernetes 集群管理效率的七大专业工具
    Kubernetes 在云原生环境中的应用日益广泛,然而集群管理的复杂性也随之增加。为了提高管理效率,本文推荐了七款专业工具,这些工具不仅能够简化日常操作,还能提升系统的稳定性和安全性。从自动化部署到监控和故障排查,这些工具覆盖了集群管理的各个方面,帮助管理员更好地应对挑战。 ... [详细]
  • Python默认字符解析:深入理解Python中的字符串处理
    在Python中,字符串是编程中最基本且常用的数据类型之一。尽管许多初学者是从C语言开始接触字符串,通常通过经典的“Hello, World!”程序入门,但Python对字符串的处理方式更为灵活和强大。本文将深入探讨Python中的字符串处理机制,包括字符串的创建、操作、格式化以及编码解码等方面,帮助读者全面理解Python字符串的特性和应用。 ... [详细]
author-avatar
小丹巛丹布莱妮
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有