＜网络安全＞《11 网络安全审计系统》

1 概念

审计是对资料作出证据搜集及分析，以评估企业状况，然后就资料及一般公认准则之间的相关程度作出结论及报告。

国际互联网络安全审计（网络备案），是为了加强和规范互联网安全技术防范工作，保障互联网网络安全和信息安全，促进互联网健康、有序发展，维护国家安全、社会秩序和公共利益。

2 作用和目的

安全审计对系统记录和行为进行独立的审查和估计，其主要作用和目的包括5个方面：

（1）对可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。

（2）测试系统的控制情况，及时进行调整，保证与安全策略和操作规程协调一致。

（3）对已出现的破坏事件，做出评估并提供有效的灾难恢复和追究责任的依据。

（4）对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。

（5）协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。

3 分类

网络安全审计从审计级别上可分为3种类型：系统级审计、应用级审计和用户级审计。

（1）系统级审计

系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息，如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件，也无法提供足够的细节信息。

（2）应用级审计

应用级审计主要针对的是应用程序的活动信息，如打开和关闭数据文件，读取、编辑、删除记录或字段的等特定操作，以及打印报告等。

（3）用户级审计

用户级审计主要是审计用户的操作活动信息，如用户直接启动的所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等信息。

4 系统日志

1. 系统日志的内容
   系统日志主要根据网络安全级别及强度要求，选择记录部分或全部的系统操作。如审计功能的启动和关闭，使用身份验证机制，将客体引入主体的地址空间，删除客体、管理员、安全员、审计员和一般操作人员的操作，以及其他专门定义的可审计事件。对于单个事件行为，通常系统日志主要包括：事件发生的日期及时间、引发事件的用户IP地址、事件源及目的地位置、事件类型等。
2. 安全审计的记录机制
   对于各种网络系统应采用不同的记录日志机制。日志的记录方式有3种：由操作系统完成，也可以由应用系统或其他专用记录系统完成。大部分情况都采用系统调用Syslog方式记录日志，少部分采用SNMP记录。其中，Syslog记录机制主要由守护程序、规则集及系统调用3部分组成。
3. 日志分析
   日志分析的主要目的是在大量的记录日志信息中找到与系统安全相关的数据，并分析系统运行情况。主要任务包括：
   （1）潜在威胁分析。日志分析系统可以根据安全策略规则监控审计事件，检测并发现潜在的入侵行为。其规则可以是已定义的敏感事件子集的组合。
   （2）异常行为检测。在确定用户正常操作行为基础上，当日志中的异常行为事件违反或超出正常访问行为的限定时，分析系统可指出将要发生的威胁。
   （3）简单攻击探测。日志分析系统可对重大威胁事件的特征进行明确的描述，当这些攻击现象再次出现时，可以及时提出告警。
   （4）复杂攻击探测。更高级的日志分析系统，还应可检测到多步入侵序列，当攻击序列出现时，可及时预测其发生的步骤及行为，以便于做好预防。
4. 审计事件查阅与存储
   审计系统可以成为追踪入侵、恢复系统的直接证据，所以，其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。审计事件的查阅应该受到严格的限制，避免日志被篡改。可通过以下措施保护查阅安全：
   （1）审计查阅。审计系统只为专门授权用户提供查阅日志和分析结果的功能。
   （2）有限审计查阅。审计系统只能提供对内容的读权限，拒绝读以外权限的访问。
   （3）可选审计查阅。在有限审计查阅的基础上，限制查阅权限及范围。
5. 审计事件的存储安全具体要求为：
   （1）保护审计记录的存储。存储系统要求对日志事件具有保护功能，以防止未授权的修改和删除，并具有检测修改及删除操作的功能。
   （2）保证审计数据的可用性。保证审计存储系统正常安全使用，并在遭受意外时，可防止或检测审计记录的修改，在存储介质出现故障时，能确保记录另存储且不被破坏。
   （3）防止审计数据丢失。在审计踪迹超过预定值或存满时，应采取相应的措施防止数据丢失，如忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作或另存为备份等。

5 审计跟踪

1. 审计跟踪的概念及意义
   审计跟踪（Audit Trail）指按事件顺序检查、审查、检验其运行环境及相关事件活动的过程。审计跟踪主要用于实现重现事件、评估损失、检测系统产生的问题区域、提供有效的应急灾难恢复、防止系统故障或使用不当等方面。
2. 审计跟踪作为一种安全机制，主要审计目标是：
   （1）审计系统记录有利于迅速发现系统问题，及时处理事故，保障系统运行。
   （2）可发现试图绕过保护机制的入侵行为或其他操作。
   （3）能够发现用户的访问权限转移行为。
   （4）制止用户企图绕过系统保护机制的操作事件。
3. 审计跟踪是提高系统安全性的重要工具。安全审计跟踪的意义在于：
   （1）利用系统的保护机制和策略，及时发现并解决系统问题，审计客户行为。在电子商务中，利用审计跟踪记录客户活动。包括登入、购物、付账、送货和售后服务等。可用于可能产生的商业纠纷。还用于公司财务审计、贷款和税务监查等。
   （2）审计信息可以确定事件和攻击源，用于检查计算机犯罪。有时黑客会在其ISP的活动日志或聊天室日志中留下蛛丝马迹，对黑客具有强大的威慑作用。
   （3）通过对安全事件的不断收集、积累和分析，有选择性地对其中的某些站点或用户进行审计跟踪，以提供发现可能产生破坏性行为的有力证据。
   （4）既能识别访问系统的来源，又能指出系统状态转移过程。
   审计跟踪的主要问题
4. 安全审计跟踪主要重点考虑以下两个方面问题：
   （1）选择记录信息。审计记录必须包括网络系统中所有用户、进程和实体获得某一级别的安全等级的操作信息，包括用户注册、用户注销、超级用户的访问、各种票据的产生、其他访问状态的改变等信息，特别应当注意公共服务器上的匿名或来宾账号的活动情况或其他可疑信息。实际上，收集的信息由站点和访问类型不同而有所差异。通常收集的信息为：用户名、主机名、权限的变更信息、时间戳、被访问的对象和资源等。具体收集信息的种类和数量经常还受限于系统的存储空间等。
   （2）确定审计跟踪信息所采用的语法和语义定义。主要确定被记录安全事件的类别（如违反安全要求的各种操作），并确定所收集的安全审计跟踪具体信息内容。以确保安全审计的实效，更好地发挥安全审计跟踪的重要作用。审计是系统安全策略的一个重要组成部分，它贯穿整个系统运行过程中，覆盖不同的安全机制，为其他安全策略的改进和完善提供了必要的信息。对安全审计的深入研究，为安全策略的完善和发展奠定重要基础和依据。

6 实施

为了确保审计实施的可用性和正确性，需要在保护和审查审计数据的同时，做好计划分步实施。审计应该根据具体安全事件情况的需要进行定期审查或自动实时审查。

系统管理员应该根据计算机安全管理的要求确定需要维护审计数据的内容、类型、范围和时间等，其中包括系统内保存的和归档保存的数据。具体实施主要包括：保护审查审计数据及审计步骤。

1. 保护审查审计数据
   （1）保护审计数据
   应当严格限制在线访问审计日志。除了系统管理员用于检查访问之外，其他任何人员都无权访问审计日志，更应严禁非法修改审计日志以确保审计跟踪数据的完整性。
   审计数据保护的常用方法是使用数据签名和只读设备存储数据。采用强访问控制是保护审计跟踪记录免受非法访问的有效举措。黑客为掩人耳目清楚痕迹，常设法修改审计跟踪记录，因此，必须设法严格保护审计跟踪文件。
   审计跟踪信息的保密性也应进行严格保护，利用强访问控制和加密技术十分有效，审计跟踪所记录的用户信息非常重要，通常包含用户及交易记录等机密信息。
   （2）审查审计数据
   审计跟踪的审查与分析可分为事后检查、定期检查和实时检查3种。审查人员应清楚如何发现异常活动。通过用户识别码、终端识别码、应用程序名、日期时间等参数来检索审计跟踪记录并生成所需的审计报告，是简化审计数据跟踪检查的有效方法。
2. 安全审计实施主要步骤
   审计是一个连续不断改进提高的过程。审计的重点是评估企业现行的安全政策、策略、机制和系统监控情况。审计实施的主要步骤：
   （1）确定安全审计。申请审计工作主要包括：审计原因、内容、范围、重点、必要的升级与纠正、支持数据和审计所需人才物等，并上报审批。
   （2）做好审计计划。一个详细完备的审计计划是实施有效审计的关键。包括审计内容的详细描述、关键时间、参与人员和独立机构等。
   （3）查阅审计历史。审计中应查阅以前的审计记录，有助于通过对比查找安全漏洞隐患和规程，更好地采取安全防范措施。同时保管好审计相关资源和规章制度等。
   （4）实施安全风险评估。审计小组制定好审计计划，着手开始审计核心即风险评估。
   （5）划定审计范畴。审计范围划定对审计的开展很关键，范围之间要有一些联系，如数据中心局域网，或是商业相关的一些财务报表等。审计范畴的划定有利于集中注意力在资产、规程和政策方面的审计。
   （6）确定审计重点和步骤。各类机构都应将主要精力放在审计的重点上。并确定具体的审计步骤和区域，避免审计的延缓或不完全，以免得出令人难以信服的结果。
   （7）提出改进意见。安全审计最后应提出相应的提高安全防范的建议，便于实施。

7 商用网络安全审计系统

商用网络安全审计系统一般能对网络中的多种网络协议http、ftp、pop3、smtp、NFS、telnet、Ssh等进行深度审计，且针对以上网络协议支持源地址、目的地址、以及账号等多个维度的过滤告警。为管理员提供更加清晰明了的审计数据。除了常见网络协议的深度审计之外，还支持500种网络协议以及3000种网络应用的识别与日志记录。同时支持多级级联管理，实现高级设备对低级设备的协议审计策略和安全策略策验的策中下发以及低级设备审计相关日志的集中上报。通过对内外部用户的网络行为进行解析、记录、汇报，实现事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源。

网络安全审计系统功能完善、性能稳定，应用专业实时跟踪分析技术，从发起者、访问时间、访问对象、访问方法、使用频率各个角度，提供丰富的统计分析，帮助用户在统一管理访问日志的同时，及时发现安全隐患，协助优化网络资源的使用。

7.1 产品功能

1. 用户管理

   系统提供丰富的用户认证方式以及用户同步方式，标准的树形结构用户管理方式更好的满足企业对于用户管理要求。

2. 身份认证

   具备丰富身份认证方式，可有效的区分用户；是部署差异化授权和审计策、有效防御身份冒充、权限扩散与滥用等的管理基础。

   机器学习的加密流量检测

3. 应用深度识别

   系统把对报文的协议解析、深度内容检测以及关联分析结合起来，通过对大量实际环境中的流量分析，总结出每种应用的流量模型，把对数据包的协议解析、深度内容检测和关系分析的结果综合起来，由决策引擎通过与流量模拟的匹配程度，智能的判定应用类型。

4. 自定义应用

   系统具备自定义应用功能，管理员可根据协议、目标端口、IP、域名等维度创建应用特征，进而针对企业应用进行审计、流量统计和控制。

5. 基于协议状态分析

   系统对已知协议和RFC规范进行了深度理解，有效提高应用识别的性能，同时降低误识别率。

6. 行为检测

   不同的应用类型体现在会话连接或数据流上的状态各有不同，基于这一系列流行为特征，通过分析会话连接流的包长、连接速率等信息来识别应用类型。

7. 应用审计

   网络安全审计系统基于应用识别的基础可以实现应用中相关内容的审计，记录。

7.2 优势功能

1. 网络协议审计
   针对常见网络协议http、ftp、telnet等多种协议完成全流程审计。
2. 多维度日志分析
   审计标准日志格式，完成多维度日志收集和展示，为网络事件提供可靠依据。
3. 多设备级联管理
   不同级设备相关级联管理，高级设备统一管理低级设备，以及日志集中呈现。
4. 高级三权管理
   分权的设备管理方式，保证各种权限的管理各司其职。