日志安全审计产品:有关日志信息采集、分析与管理的系统.
日志安全审计产品的基本原理:利用 Syslog、Snmptrap、NetFlow、 Telnet、SSH、WMl、FTP、SFTP、SCP、JDBC、文件等技术对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理,便于有关单位/机构进行安全合规管理,保护日志信息安全
日志安全审计产品的主要功能
日志采集日志存储日志分析日志查询事件告警统计报表系统管理
主机监控与审计产品:是有关主机行为信息的安全审查及管理的系统。
主机监控与审计产品基本原理:通过代理程序对主机的行为信息进行采集,然后基于采集到的信息进行分析,以记录系统行为帮助管理员评估操作系统的风险状况,并为相应的安全策略调整提供依据。
该产品的主要功能:
系统用户监控系统配置管理补丁管理准入控制存储介质(U 盘)管理非法外联管理
数据库审计产品:对数据库系统活动进行审计的系统。
数据库审计产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集,然后对采集的信息进行分析,形成数据库操作记录,保存和发现数据库各种违规的或敏感的操作信息,为相应的数据库安全策略调整提供依据。
实现数据库审计的方式:
1.网络监听审计:对获取到的数据库流量进行分析,从而实现对数据库访问的审计和控制。
优点:数据库网络审计不影响数据库服务器缺点:是网络监听审计对加密的数据库网络流量难以审计,同时无法对数据库服务器的本地操作进行审计
2.自带审计:通过启用数据库系统自带的审计功能,实现数据库的审计。
优点:能够实现数据库网络和本地操作的审计缺点:对数据库系统的性能有一些影响,在审计策略配置、记录的粒度、日志统一分析方面不够完善,日志本地存储容易被删除。
3.数据库 Agent:在数据库服务器上安装采集代理( Agent),通过 Agent 对数据库的各种访问行为进行分析,从而实现数据库审计。
优点:能够实现数据库网络操作和本地操作的审计缺点:数据库Agent 需要安装数据库服务器,对数据库服务系统的性能、稳定性、可靠性有影响。
网络安全审计产品是有关网络通信活动的审计系统
产品的基本原理是通过网络流量信息采集及数据包深度内容分析,提供网络通信及网络应用的活动信息记录。
网络安全审计主要功能:
1.网络流量采集
获取网上通信流量信息,按照协议类型及采集规则保存流量数据
2.网络流量数据挖据分析
对采集到的网络流量数据进行挖掘,提取网络流量信息,形成网络审计记录
主要内容:
(1)邮件收发协议(SMTP、POP3 协议)审计。
从邮件网络流量数据提取信息,记录收发邮件的时间、地址、主题、附件名、收发人等值息,并能够回放所收发的邮件内容
(2)网页浏览(HTTP 协议)审计。
从 Web 网络流量数据提取信息,记录用户访问网页的时间、地址、域名等信息,并能够回放所浏览的网页内容。
(3)文件共享( NetBios 协议)审计
从文件共享网络流量数据提取信息,记录网络用户对网络资源中的文件共享操作。
(4)文件传输(FTP 协议)审计。
从 FTP 网络流量数据提取信息,记录用户对 FTP 服务器的远程登录时间、读、写、添加修改以及删除等操作,并可以对操作过程进行完整回放。
(5)远程访问( Telnet 协议)审计。
从 FTP 网络流量数据提取信息,记录用户对 Telnet 服务器的远程登录时间、各种操作命令,并可以对操作过程进行完整回放。
(6)DNS 审计
从 DNS 网络流量数据提取信息,记录用户 DNS 服务请求信息,并可以对操作过程进行完整回放
网络安全审计产品的性能指标
支持网络带宽大小协议识别种类原始数据包查询响应时间
工业控制系统网络审计产品:对工业控制网络中的协议、数据和行为等进行记录、分析,并做出一定的响应措施的信息安全专用系统
工业控制系统网络审计产品的基本原理:利用网络流量采集及协议识别技术,对工业控制协议进行还原,形成工业控制系统的操作信息记录,然后进行保存和分析
工业控制系统网络审计产品的实现方式通常分两种情况:
一体化集中产品:将数据采集和分析功能集中在一台硬件中,统一完成审计分析功能由采集端和分析端两部分组成:采集端主要提供数据采集的功能,将采集到的网络数据发送给分析端,由分析端进一步处理和分析,并采取相应的响应措施。
运维安全审计产品是有关网络设备及服务器操作的审计系统。
运维安全审计产品的基本原理主要采集和记录 IT 系统维护过程中相关人员“在什么终端、什么时间、登录什么设备(或系统)、做了什么操作、返回什么结果、什么时间登出”等行为信息,为管理人员及时发现权限滥用、违规操作等情况,准确定位身份,以便追查取证。
运维安全审计产品的主要功能:字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计。
字符会话审计:审计 SSH、 Telnet 等协议的操作行为,审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、设备 IP、协议类型、危险等级和操作命令等。图形操作审计:审计 RDP、VNC 等远程桌面以及 Http/HTTPS 协议的图形操作行为。审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、设备 IP、协议类型、危险等。数据库运维审计:审计 Oracle、MS SQL Server、IBM DB2、PostgreSQL,等各主流数据库的操作行为,审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、设备 IP、协议类型、危险等级和操作内容等。文件传输审计:审计 FTP、SFTP 等协议的操作行为,审计内容包括访问起始和终止时间、用户名、用户 IP、设备名称、目标设备 IP、协议类型、文件名称、危险等级和操作命令等合规审计:根据上述审计内容,参照相关的安全管理制度,对运维操作进行合规检查,给出符合性审查国内安全厂商的运维安全审计相关产品主要有绿盟安全审计系统-堡垒机、思福迪Logbase 运维安全审计系统等。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼