38
第12章 网络安全技术原理与应用
source link: https://fl4g.cn/2020/09/23/第12章-网络安全技术原理与应用/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
网络安全升级相关法规政策
《中华人民共和国网络安全法》:采取监测、记录网络运行状态、网络安全事件技术措施,并按照规定留存相关的网络 日志不少于六个月
网络安全审计系统组成与类型
网络安全升级系统组成
网络安全审计系统类型
按审计对象类型分:
- 操作系统安全审计(对用户和服务进行记录,包括用户登录和注销、服务启动和关闭、安全事件等)
- 数据库安全审计(监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并可以对数据库操作命令进行回放)
- 网络通信安全审计(对网络流量进行存储和分析)
- 应用系统安全审计
- 工控安全审计
- 移动安全审计
- 互联网安全审计
- 代码安全审计
按审计范围分:
- 综合审计系统
- 单个审计系统(常见:系统或产品自带的审计功能)
网络安全审计机制与实现技术
审计机制:基于主机、基于网络通信、基于应用的审计机制等
系统日志数据采集技术
信息汇聚到统一的日志存储服务器,常见:SysLog、SNMPTrap等
网络流量数据获取技术
技术方法:
-
共享网络监听
Hub集线器构建
-
交换机端口镜像
-
网络分流器等
常见软件是Libpcap(开源)、Winpcap、Wireshark
Libpcap工作流程:
- 设置嗅探网络接口
- 初始化Libpcap,设定过滤规则
- 运行Libpcap循环主体,接收符合规则的数据包
网络审计数据安全分析技术
- 字符串匹配
- 全文搜索
- 数据关联
- 统计报表
- 可视化分析
网络审计数据存储技术
- 由审计数据产生的系统自己分散存储,审计数据保存在不同的系统中
- 集中采集各种系统的审计数据,建立审计数据存储服务器。
网络审计数据保护技术
- 系统用户分权管理(操作员、安全员和审计员)
- 审计数据强制访问(采取强制访问控制措施)
- 审计数据加密
- 审计数据隐私保护
- 升级数据完整性保护(使用Hash算法和数字签名)
网络安全审计主要产品与技术指标
日志安全审计产品
主要功能:日志采集、存储、分析、查询,事件告警,统计报表,系统管理等
主机监控与审计产品
通过代理程序
主要功能:系统用户监控、系统配置管理、补丁管理、准人控制、存储介质(U盘)管理、非法外联管理等
数据库审计产品
三种方式:
- 网络监听审计(优点:不影响数据库服务器;不足:加密数据库网络流量和本地操作难以审计)
- 自带审计(优点:实现数据库网络操作和本地操作审计;缺点:对性能有影响,审计策略配置、记录粒度、日志统一分析不够完善,日志本地存储容易被删除)
- 数据库Agent(优点:实现数据库网络操作和本地操作审计;缺点,需要安装Agent,影响性能、稳定性、可靠性)
网络安全审计产品
常见功能:
- 网络流量采集
- 网络流量数据挖掘分析
性能指标主要有:支持网络带宽大小、协议识别种类、原始数据包查询响应时间等
工业控制系统网络审计产品
原理:利用网络流量采集和协议识别技术,对工控协议还原,形成操作信息记录,进行保存分析
两种实现方式:
- 一体化集中产品
- 有采集端和分析端两部分组成
运维安全审计产品
主要功能:
- 字符会话审计(审计SSH、Telnet协议的操作行为)
- 图形操作审计(RDP、VNC以及HTTP/HTTPS协议的图形操作行为)
- 数据库运维审计(Oracle、MS SQL Server、IBM DB2、PostgreSQL)
- 文件传输审计(FTP、SFTP等协议)
- 合规审计
网络安全审计应用
安全运维保障
有效防范和追溯安全威胁操作。例如:通过关联分析还原堡垒机绕行运维操作。
数据访问监测
分析数据库访问日志,可以自动发现违规访问的问题。
网络入侵检测
对网络设备、安全设备、应用系统的日志信息进行实时收集和分析,可检测发现攻击行为
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK