有哪些公司可以做网络安全审计(软考-信息安全工程师学习笔记44)
有哪些公司可以做网络安全审计(软考-信息安全工程师学习笔记44)网络流量采集设备通过交换机端口镜像功能 获取流经交换机的网络通信包 如图所示。图中服务器 A 和服务器 B 的网络流量数据都可以被网络流量采集设备获取到网络流量数据获取技术是网络通信安全审计的关键技术之一常见的网络流量数据获取技术共享网络监听:利用 Hub 集线器构建共享式网络 网络流量采集设备接入集线器上 获取与集线器相连接的设备的网络流量数据 如图所示
网络安全审计机制主要有
- 基于主机的审计机制
- 基于网络通信的审计机制
- 基于应用的审计机制
常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储 以便于查询分析与管理。
常见的系统日志数据采集方式
- SysLog(较为普及)
- SNMP Trap
如图 所示 各种网络设备将消息发到 Syslog服务器 服务器把报警消息传递给管理员 管理员检查 Syslog 消息 进行故障诊断或监测。
网络流量数据获取技术
网络流量数据获取技术是网络通信安全审计的关键技术之一
常见的网络流量数据获取技术
- 有共享网络监听
- 交换机端口镜像( Port Mirroring)
- 网络分流器( Network Tap)
共享网络监听:利用 Hub 集线器构建共享式网络 网络流量采集设备接入集线器上 获取与集线器相连接的设备的网络流量数据 如图所示
图中服务器 A 和服务器 B 的网络流量数据都可以被网络流量采集设备获取到
网络流量采集设备通过交换机端口镜像功能 获取流经交换机的网络通信包 如图所示。
对于不支持端口镜像功能的交换机 通常利用网络分流器(TAP)把网络流量导入网络流量
采集设备 如图所示。
常见的开源网络数据采集软件包是 Libpcap( Library for Packet Capture)。L
Libpcap 的工作流程如下:
- 设置嗅探网络接口。在 Linux 操作系统中 大多数为 eth0
- 初始化 Libpcap 设定过滤规则 明确获取网络数据包的类型
- 运行 Libpcap 循环主体 Libpcap 开始接收符合过滤规则的数据
网络审计数据安全分析技术
常见的网络审计数据安全分析技术
- 字符串匹配
- 全文搜索
- 数据关联
- 统计报表
- 可视化分析
字符串匹配
字符串匹配通过模式匹配来查找相关审计数据 以便发现安全问题。常见的字符串匹配工具是 grep。其使用的格式如下:
grep [options] [regexp] [Filename]
regexp 为正则表达式 用来表示要搜索匹配的模式
全文搜索
全文搜索利用搜索引擎技术来分析审计数据 目前 开源搜索引擎工具 Elasticsearch 常用作数据分析。
数据关联
数据关联是指将网络安全威胁情报信息 如系统日志、全网流量、安全设备日志等多个数据来源进行综合分析 以发现网络中的异常流量 识别未知攻击手段 日志数据关联如图 所示。
统计报表
统计报表是对安全审计数据的特定事件、阈值、安全基线等进行统计分析 以生成告警信息 形成发送日报、周报、月报
可视化分析
将安全审计数据进行图表化处理 形成饼图、柱状图、折线图、地图等各种可视化效果。以支持各种用户场景。将不同维度的可视化效果汇聚成仪表盘 辅助用户实时查看当前事件变更。安全关键 KPI 状态高亮显示 突出异常行为的重要性 如图所示
网络审计数据存储技术
网络审计数据存储技术分为两种:
- 审计数据产生的系统自己分散存储:操作系统、数据库、应用系统、网络设备等都可以各自存储日志数据
- 审计数据保存在不同的系统中:集中采集各种系统的审计数据 建立审计数据存储服务器 由专用的存储设备保存 便于事后查询分析和电子取证
网络审计数据保护技术
网络审计数据涉及系统整体的安全性和用户的隐私性 为保护审计数据的安全 通常的安
全技术措施有如下几种
1.系统用户分权管理
操作系统、数据库等系统设置操作员、安全员和审计员三种类型的用户。操作员只负责对系统的操作维护工作 其操作过程被系统进行了详细记录:安全员负责系统安全策略配置和维护:审计员负责维护审计相关事宜 可以查看操作员、安全员工作过程日志:操作员不能够修改自己的操作记录 审计员也不能对系统进行操作。
2.审计数据强制访问
系统采取强制访问控制措施 对审计数据设置安全标记 防止非授权用户查询及修改审计数据。
3.审计数据加密
使用加密技术对敏感的审计数据进行加密处理 以防止非授权查看审计数据或泄露。
4.审计数据隐私保护
采取隐私保护技术 防止审计数据泄露隐私信息。
5.审计数据完整性保护
使用 Hash 算法和数字签名 对审计数据进行数字签名和来源认证、完整性保护 防止非授权修改审计数据。目前 可选择的 Hash 算法主要有 MD5、SHA、国产 SM3 算法等。国产 SM2/SM9数字签名算法可用于对审计数据进行签名。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼