12.3网络安全审计主要产品

admin 管理员组

文章数量: 887629

目录

• • 网络安全审计主要产品
  • 网络安全审计产品功能
  • 网络安全审计主要产品-工控网络审计
  • 网络安全审计主要产品-运维审计
  • 网络安全审计主要产品-运维审计
  • 堡垒机/运维审计-实现运维单点登录
  • 堡垒机/运维审计-操作审计(1)
  • 网络安全审计应用
  • 网络安全审计应用-从海量日志中，快速发现网络中安全薄弱点
  • 网络安全审计应用-安全事件查询
  • 网络安全审计应用-全面的安全业务分析

网络安全审计主要产品

日志安全审计产品：日志安全审计产品是有关日志信息采集、分析与管理的系统。
利用Syslog、Snmptrap、NetFlow、Telnet、SSH、WM、FTP、SFTP、SCP、JDBC、文件等技术，对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理、可视化呈现。

主机监控与审计产品：有关主机行为信息的安全审查及管理的系统。
通过主机监控与审计产品，通过代理程序对主机的行为信息进行采集，然后基于采集到的信息进行分析，以记录系统行为，帮助管理员评估操作系统的风险状况，并为相应的安全策略调整提供依据。该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质(U盘)管理、非法外联管理等。

数据库审计产品：是对数据库系统活动进行审计的系统。
通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集，然后对采集的信息进行分析，形成数据库操作记录，保存和发现数据库各种违规的或敏感的操作信息，为相应的数据库安全策略调整提供依据。

日志最常用的就是syslog，其它的协议也可以用，非常多

主机入侵检测与响应也叫edr，它既能检测也能把检测的一些信息存下来，存下来就是审计信息，就是审计系统

网络安全审计产品：网络安全审计产品是有关网络通信活动的审计系统。产品的基本原理是通过网络流量信息采集及数据包深度内容分析，提供网络通信及网络应用的活动信息记录。网络安全审计常见的功能主要包括如下几个方面。
1.网络流量采集。获取网上通信流量信息，按照协议类型及采集规则保存流量数据。
2.网络流量数据挖掘分析。对采集到的网络流量数据进行挖掘，提取网络流量信息，形成网络审计记录，主要包括如下内容。
(1)邮件收发协议(SMTP，POP3协议)审计。从邮件网络流量数据提取信息，记录收发邮件的时间、地址、主题、附件名、收发人等信息，并能够回放所收发的邮件内容。
(2)网页浏览(HTTP协议)审计。从Web网络流量数据提取信息，记录用户访问网页的时间、地址、域名等信息，并能够回放所浏览的网页内容。
(3)文件共享(NetBios协议)审计。从文件共享网络流量数据提取信息，记录网络用户对网络资源中的文件共享操作。
(4)文件传输(FTP协议)审计。从FTP网络流量数据提取信息，记录用户对FTP服务器的远程登录时间、读、写、添加修改以及删除等操作，并可以对操作过程进行完整回放。
(5)远程访问(Telnet协议)审计。从FTP网络流量数据提取信息，记录用户对Telnet服务器的远程登录时间、各种操作命令，并可以对操作过程进行完整回放。

网络安全审计产品的性能指标主要有支持网络带宽大小、协议识别种类、原始数据包査询响应时间等。

网络安全审计产品功能

1、邮件内容审计
2、IM聊天审计
很多东西都是可以在后台能够看到的，不要在网络上干坏事情，网络不是法外之地，你干的任何事情基本上都会有记录
3、搜索引擎审计
你搜索了什么内容、关键字，然后你搜索的网址都会被记录下来

网络安全审计主要产品-工控网络审计

工业控制系统网络审计产品：工业控制系统网络审计产品是对工业控制网络中的协议、数据和行为等进行记录、分析，并做出一定的响应措施的信息安全专用系统。原理是利用网络流量采集及协议识别技术，对工业控制协议进行还原，形成工业控制系统的操作信息记录，然后进行保存和分析。

比如特斯拉的工厂，它都是会用机器去代替很多人工的操作

工业控制系统网络审计产品的实现方式通常分两种情况：
①一体化集中产品，即将数据采集和分析功能集中在一台硬件中，统一完成审计分析功能
②由采集端和分析端两部分组成，采集端主要提供数据采集的功能，将采集到的网络数据发送给分析端，由分析端进一步处理和分析，并采取相应的响应措施。

网络安全审计主要产品-运维审计

运维审计也叫堡垒机
运维安全审计产品：运维安全审计产品是有关网络设备及服务器操作的审计系统。
运维安全审计产品主要采集和记录IT系统维护过程中相关人员“在什么终端、什么时间、登录什么设备(或系统)、做了什么操作、返回什么结果、什么时间登出”等行为信息，为管理人员及时发现权限滥用、违规操作等情况，准确定位身份，以便追查取证。

运维安全审计产品的基本原理是通过网络流量信息采集或服务代理等技术方式，记录Telnet、FTP、SSH、tftp、HTTP等运维操作服务的活动信息。

很多安全，其实最怕的是内鬼，最坚固的堡垒是从内部攻破的，如果你的网络管理员、操作管理员，它想搞你比黑客简单一万倍，因为它直接在内部就可以登录、可以输入一些命令，所以我们既要防止外部的黑客，也要防止内鬼，通过运维审计来防

网络安全审计主要产品-运维审计

运维安全审计功能：字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计等。
(1)字符会话审计。审计SSH、Telnet等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作命令等。
(2)图形操作审计。审计RDP、VNC等远程桌面以及HTTP/HTTPS协议的图形操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
(3)数据库运维审计。审计Oracle、MS SQLServer、IBM DB2、PostgreSQL等各主流数据库的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。
(4)文件传输审计。审计FTP，SFTP等协议的操作行为，审计内容包括访问起始和终止时间、用户名，用户IP、设备名称、目标设备IP、协议类型、文件名称、危险等级和操作命令等。
(5)合规审计。根据上述审计内容，参照相关的安全管理制度，对运维操作进行合规检查，给出符合性审查。

堡垒机/运维审计-实现运维单点登录

多种认证(证书/AD/用户名口令/指纹)统一入口
运维和业务人员统一访问资源入口
各种资源的集中管理
集中对核心功能层各模块（帐号管理模块、认证授权模块、审计管理模块等）或外部接口（外部认证接口、外部管理接口等）的统一整合

堡垒机也叫运维审计系统，内部有各种各样的人员，像员工、合作伙伴、外包维护人员，他通过自己的ID登录到我们的堡垒机，这也叫运维审计系统，然后通过它为跳板去登录你想登录的一系列设备，这里面就牵扯到一个单点登录，以前你要登录设备，你要输入每个主机单独的账号密码，现在只需要我们在堡垒机上给你开个账号，然后给你授予相应的权限，你就可以登录你权限以内的设备，第一个实现了单点登录，第二个就是你所有用户的访问，不是直接去访问设备，而是经过了堡垒机，堡垒机会对你的操作行为做审计

堡垒机/运维审计-操作审计(1)

操作和命令是可以回放的，这是登录一台UNIX主机，通过SSH登录进来的，具体的操作，输入的命令可以全部看到，所以运维审计可以防止我们干坏事

网络安全审计应用

安全运维保障：IT系统运维面临内部安全威胁和第三方外包服务安全风险，通过运维审计，可以有效防范和追溯安全威胁操作。
·例如，通过关联分析还原堡垒机绕行运维操作。公司企业内部的运维人员如果通过堡垒主机对服务器进行操作，则符合公司企业内部的管理要求，若直接对服务器进行操作则视为非法操作，这一行为将被记录下来，通过该审计系统，可获知有运维人员在执行绕行操作。

通过堡垒机去登录主机是没有问题的，如果不经过堡垒机去登录主机，是登录不了的，它的IP都是拒绝的，如果真的登录了，这些主机也会有系统日志，最后我们去分析日子的话，你肯定是违规了

**数据访问监测：**数据库承载企事业单位的重要核心数据资源，保护数据库的安全成为各相关部门的重要职责。数据库安全审计产品就是通过安全监测，智能化、自动地从海量日志信息中，发现违规访问或异常访问记录，从而有效降低安全管理员日志分析的工作量。

例如，通过分析数据库访问日志信息，可以自动发现违规访问的问题。在特定的业务环境中，用户在正常情况下应该通过前台的业务系统登录后修改后台数据库的内容。假如某个用户绕过了前台的业务系统，直接登录到数据库并篡改了其中的数据，则数据库管理人员通过分析用户访问日志信息，就可以发现该用户的数据库访问行为违背了业务逻辑，缺少与之相关的前台登录行为，从而有效识别该违规访问。

网络入侵检测：网络入侵检测对网络设备、安全设备、商用系统的日志信息进行实时收集和分析，可检测发现黑客入侵、扫描渗透、暴力破解、网络蠕虫、非法访问、非法外联和DDos攻击。
例如，攻击者常对服务器进行密码破解攻击，管理员可利用日志安全审计系统，实时地收集服务器的日志，分析服务器的认证日志信息，若发现连续多次出现认证出错信息，则可以判定服务器受到密码破解攻击，并产生实时告警，提醒管理员进行处理。

网络电子取证：日志分析技术广泛应用于计算机犯罪侦查与电子取证，许多案件借助日志分析技术提供线索、获取证据。
例如某市公安机关接到该市某大学的校园网络遭到攻击，造成网络瘫痪数日的报警。侦察人员通过路由器的日志文件进行排查，确定具有嫌疑的人员的IP，并根据IP确定了相应的犯罪嫌疑人，将犯罪嫌疑人计算机内的日志文件作为其犯罪的有力证据。

网络安全审计应用-从海量日志中，快速发现网络中安全薄弱点

以前的日志都是一条一条的，可读性比较差的，但是审计系统，它有增强日志可读性这样的一个功能，能够给你进行一个初步的分析，更高级的话，得用态势感知了

网络安全审计应用-安全事件查询

时间、来源、目的、等级、内容等多维度检索，恶意攻击无所遁形

网络安全审计应用-全面的安全业务分析

攻击事件类型排行-柱状图
攻击事件趋势
入侵防护事件(IPS)
邮件过滤(Anti-SPAM)

入侵防御是更高级的入侵检测，它不仅可以检测，还可以阻断，一系列生成的安全事件、安全日志都可以归到我的审计日志里面去

本文标签： 主要产品 网络安全