隨著高新技術的迅猛發展,全球網路化、信息化正在滲透到社會、政治、經濟的各個領域,以電子商務為基礎的網路經濟以及與之相適應的網路財務迅速發展的同時,也促使傳統審計向網路審計方向發展。在網路安全整體解決方案日益流行的今天,安全審計系統是網路安全體系中的一個重要環節。企業客戶對網路系統中的安全設備和網路設備、應用系統和運行狀況進行全面的監測、分析、評估是保障網路安全的重要手段。
像風信子認證審控系統網路審計等產品.結合網路中的安全問題,為企業已建立的系統部署本產品後,可以實時的、集中的、可視化審計,有效/及時的評估系統的安全性,並及時發現安全隱患並處理可能出現的安全事故。通過事後查詢可快速確定安全事故出現的原因,幫助管理員有效定位責任人,最大可能降低網路系統的安全事故和安全損失。在同一網路中多個不同或者相同廠商的產品實現了技術上互操作,實現集中的審計,加強了系統的安全性,並且有效促進了管理;本產品可適用於各種具有信息化網路的企業。
2. 網路安全審計的審計跟蹤
審計跟蹤(Audit Trail)指按事件順序檢查、審查、檢驗其運行環境及相關事件活動的過程。審計跟蹤主要用於實現重現事件、評估損失、檢測系統產生的問題區域、提供有效的應急災難恢復、防止系統故障或使用不當等方面。
審計跟蹤作為一種安全機制,主要審計目標是:
(1)審計系統記錄有利於迅速發現系統問題,及時處理事故,保障系統運行。
(2)可發現試圖繞過保護機制的入侵行為或其他操作。
(3)能夠發現用戶的訪問許可權轉移行為。
(4)制止用戶企圖繞過系統保護機制的操作事件。
審計跟蹤是提高系統安全性的重要工具。安全審計跟蹤的意義在於:
(1)利用系統的保護機制和策略,及時發現並解決系統問題,審計客戶行為。在電子商務中,利用審計跟蹤記錄客戶活動。包括登入、購物、付賬、送貨和售後服務等。可用於可能產生的商業糾紛。還用於公司財務審計、貸款和稅務監查等。
(2)審計信息可以確定事件和攻擊源,用於檢查計算機犯罪。有時黑客會在其ISP的活動日誌或聊天室日誌中留下蛛絲馬跡,對黑客具有強大的威懾作用。
(3)通過對安全事件的不斷收集、積累和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,以提供發現可能產生破壞性行為的有力證據。
(4)既能識別訪問系統的來源,又能指出系統狀態轉移過程。 安全審計跟蹤主要重點考慮以下兩個方面問題:
(1)選擇記錄信息。審計記錄必須包括網路系統中所有用戶、進程和實體獲得某一級別的安全等級的操作信息,包括用戶注冊、用戶注銷、超級用戶的訪問、各種票據的產生、其他訪問狀態的改變等信息,特別應當注意公共伺服器上的匿名或來賓賬號的活動情況或其他可疑信息。
實際上,收集的信息由站點和訪問類型不同而有所差異。通常收集的信息為:用戶名、主機名、許可權的變更信息、時間戳、被訪問的對象和資源等。具體收集信息的種類和數量經常還受限於系統的存儲空間等。
(2)確定審計跟蹤信息所採用的語法和語義定義。主要確定被記錄安全事件的類別(如違反安全要求的各種操作),並確定所收集的安全審計跟蹤具體信息內容。以確保安全審計的實效,更好地發揮安全審計跟蹤的重要作用。
審計是系統安全策略的一個重要組成部分,它貫穿整個系統運行過程中,覆蓋不同的安全機制,為其他安全策略的改進和完善提供了必要的信息。對安全審計的深入研究,為安全策略的完善和發展奠定重要基礎和依據。
3. 網路安全審計的系統日記
系統日誌主要根據網路安全級別及強度要求,選擇記錄部分或全部的系統操作。如審計功能的啟動和關閉,使用身份驗證機制,將客體引入主體的地址空間,刪除客體、管理員、安全員、審計員和一般操作人員的操作,以及其他專門定義的可審計事件。
對於單個事件行為,通常系統日誌主要包括:事件發生的日期及時間、引發事件的用戶IP地址、事件源及目的地位置、事件類型等。 日誌分析的主要目的是在大量的記錄日誌信息中找到與系統安全相關的數據,並分析系統運行情況。主要任務包括:
(1)潛在威脅分析。日誌分析系統可以根據安全策略規則監控審計事件,檢測並發現潛在的入侵行為。其規則可以是已定義的敏感事件子集的組合。
(2)異常行為檢測。在確定用戶正常操作行為基礎上,當日誌中的異常行為事件違反或超出正常訪問行為的限定時,分析系統可指出將要發生的威脅。
(3)簡單攻擊探測。日誌分析系統可對重大威脅事件的特徵進行明確的描述,當這些攻擊現象再次出現時,可以及時提出告警。
(4)復雜攻擊探測。更高級的日誌分析系統,還應可檢測到多步入侵序列,當攻擊序列出現時,可及時預測其發生的步驟及行為,以便於做好預防。 審計系統可以成為追蹤入侵、恢復系統的直接證據,所以,其自身的安全性更為重要。審計系統的安全主要包括審計事件查閱安全和存儲安全。審計事件的查閱應該受到嚴格的限制,避免日誌被篡改。可通過以下措施保護查閱安全:
(1)審計查閱。審計系統只為專門授權用戶提供查閱日誌和分析結果的功能。
(2)有限審計查閱。審計系統只能提供對內容的讀許可權,拒絕讀以外許可權的訪問。
(3)可選審計查閱。在有限審計查閱的基礎上,限制查閱許可權及范圍。
審計事件的存儲安全具體要求為:
(1)保護審計記錄的存儲。存儲系統要求對日誌事件具有保護功能,以防止未授權的修改和刪除,並具有檢測修改及刪除操作的功能。
(2)保證審計數據的可用性。保證審計存儲系統正常安全使用,並在遭受意外時,可防止或檢測審計記錄的修改,在存儲介質出現故障時,能確保記錄另存儲且不被破壞。
(3)防止審計數據丟失。在審計蹤跡超過預定值或存滿時,應採取相應的措施防止數據丟失,如忽略可審計事件、只允許記錄有特殊許可權的事件、覆蓋以前記錄、停止工作或另存為備份等。
4. 網路安全審計的概念
計算機網路安全審計(Audit)是指按照一定的安全策略,利用記錄、系統活動和用戶活動等信息,檢查、審查和檢驗操作事件的環境及活動,從而發現系統漏洞、入侵行為或改善系統性能的過程。也是審查評估系統安全風險並採取相應措施的一個過程。在不至於混淆情況下,簡稱為安全審計,實際是記錄與審查用戶操作計算機及網路系統活動的過程,是提高系統安全性的重要舉措。系統活動包括操作系統活動和應用程序進程的活動。用戶活動包括用戶在操作系統和應用程序中的活動,如用戶所使用的資源、使用時間、執行的操作等。安全審計對系統記錄和行為進行獨立的審查和估計,其主要作用和目的包括5個方面:
(1)對可能存在的潛在攻擊者起到威懾和警示作用,核心是風險評估。
(2)測試系統的控制情況,及時進行調整,保證與安全策略和操作規程協調一致。
(3)對已出現的破壞事件,做出評估並提供有效的災難恢復和追究責任的依據。
(4)對系統控制、安全策略與規程中的變更進行評價和反饋,以便修訂決策和部署。
(5)協助系統管理員及時發現網路系統入侵或潛在的系統漏洞及隱患。 網路安全審計從審計級別上可分為3種類型:系統級審計、應用級審計和用戶級審計。
1)系統級審計
系統級審計主要針對系統的登入情況、用戶識別號、登入嘗試的日期和具體時間、退出的日期和時間、所使用的設備、登入後運行程序等事件信息進行審查。典型的系統級審計日誌還包括部分與安全無關的信息,如系統操作、費用記賬和網路性能。這類審計卻無法跟蹤和記錄應用事件,也無法提供足夠的細節信息。
2)應用級審計
應用級審計主要針對的是應用程序的活動信息,如打開和關閉數據文件,讀取、編輯、刪除記錄或欄位的等特定操作,以及列印報告等。
3)用戶級審計
用戶級審計主要是審計用戶的操作活動信息,如用戶直接啟動的所有命令,用戶所有的鑒別和認證操作,用戶所訪問的文件和資源等信息。
5. 請問計算機安全審計報告應該如何去寫,是否有範文可以參考。
一、引言
隨著網路的發展,網路信息的安全越來越引起世界各國的重視,防病毒產品、防火牆、入侵檢測、漏洞掃描等安全產品都得到了廣泛的應用,但是這些信息安全產品都是為了防禦外部的入侵和竊取。隨著對網路安全的認識和技術的發展,發現由於內部人員造成的泄密或入侵事件佔了很大的比例,所以防止內部的非法違規行為應該與抵禦外部的入侵同樣地受到重視,要做到這點就需要在網路中實現對網路資源的使用進行審計。
在當今的網路中各種審計系統已經有了初步的應用,例如:資料庫審計、應用程序審計以及網路信息審計等,但是,隨著網路規模的不斷擴大,功能相對單一的審計產品有一定的局限性,並且對審計信息的綜合分析和綜合管理能力遠遠不夠。功能完整、管理統一,跨地區、跨網段、集中管理才是綜合審計系統最終的發展目標。
本文對涉密信息系統中安全審計系統的概念、內容、實現原理、存在的問題、以及今後的發展方向做出了討論。
二、什麼是安全審計
國內通常對計算機信息安全的認識是要保證計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴),簡稱「五性」。安全審計是這「五性」的重要保障之一,它對計算機信息系統中的所有網路資源(包括資料庫、主機、操作系統、安全設備等)進行安全審計,記錄所有發生的事件,提供給系統管理員作為系統維護以及安全防範的依據。安全審計如同銀行的監控系統,不論是什麼人進出銀行,都進行如實登記,並且每個人在銀行中的行動,乃至一個茶杯的挪動都被如實的記錄,一旦有突發事件可以快速的查閱進出記錄和行為記錄,確定問題所在,以便採取相應的處理措施。
近幾年,涉密系統規模不斷擴大,系統中使用的設備也逐漸增多,每種設備都帶有自己的審計模塊,另外還有專門針對某一種網路應用設計的審計系統,如:操作系統的審計、資料庫審計系統、網路安全審計系統、應用程序審計系統等,但是都無法做到對計算機信息系統全面的安全審計,另外審計數據格式不統一、審計分析規則無法統一定製也給系統的全面綜合審計造成了一定的困難。如果在當前的系統條件下希望全面掌握信息系統的運行情況,就需要對每種設備的審計模塊熟練操作,並且結合多種專用審計產品才能夠做到。
為了能夠方便地對整個計算機信息系統進行審計,就需要設計綜合的安全審計系統。它的目標是通過數據挖掘和數據倉庫等技術,實現在不同網路環境中對網路設備、終端、數據資源等進行監控和管理,在必要時通過多種途徑向管理員發出警告或自動採取排錯措施,並且能夠對歷史審計數據進行分析、處理和追蹤。主要作用有以下幾個方面:
1. 對潛在的攻擊者起到震懾和警告的作用;
2. 對於已經發生的系統破壞行為提供有效的追究證據;
3. 為系統管理員提供有價值的系統使用日誌,從而幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞;
4. 為系統管理員提供系統的統計日誌,使系統管理員能夠發現系統性能上的不足或需要改進和加強的地方。
三、涉密信息系統安全審計包括的內容
《中華人民共和國計算機信息系統安全保護條例》中定義的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網路)構成的,按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。涉密計算機信息系統(以下簡稱「涉密信息系統」)在《計算機信息系統保密管理暫行規定》中定義為:採集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統。所以針對涉密信息系統的安全審計的內容就應該針對涉密信息系統的每一個方面,應該對計算機及其相關的和配套的設備、設施(含網路),以及對信息的採集、加工、存儲、傳輸和檢索等方面進行審計。
具體來說,應該對一個涉密信息系統中的以下內容進行安全審計:
被審計資源安全審計內容
網路通信系統網路流量中典型協議分析、識別、判斷和記錄,Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測,流量監測以及對異常流量的識別和報警、網路設備運行的監測等。
重要伺服器主機操作系統系統啟動、運行情況,管理員登錄、操作情況,系統配置更改(如注冊表、配置文件、用戶系統等)以及病毒或蠕蟲感染、資源消耗情況的審計,硬碟、CPU、內存、網路負載、進程、操作系統安全日誌、系統內部事件、對重要文件的訪問等。
重要伺服器主機應用平台軟體重要應用平台進程的運行、Web Server、Mail Server、Lotus、Exchange Server、中間件系統、健康狀況(響應時間等)等。
重要資料庫操作資料庫進程運轉情況、繞過應用軟體直接操作資料庫的違規訪問行為、對資料庫配置的更改、數據備份操作和其他維護管理操作、對重要數據的訪問和更改、數據完整性等的審計。
重要應用系統辦公自動化系統、公文流轉和操作、網頁完整性、相關業務系統(包括業務系統正常運轉情況、用戶開設/中止等重要操作、授權更改操作、數據提交/處理/訪問/發布操作、業務流程等內容)等。
重要網路區域的客戶機病毒感染情況、通過網路進行的文件共享操作、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等的審計
四、安全審計系統使用的關鍵技術
根據在涉密信息系統中要進行安全審計的內容,我們可以從技術上分為以下幾個模塊:
1.網路審計模塊:主要負責網路通信系統的審計;
2.操作系統審計模塊:主要負責對重要伺服器主機操作系統的審計;
3.資料庫審計模塊:主要負責對重要資料庫操作的審計;
4.主機審計模塊:主要負責對網路重要區域的客戶機進行審計;
5.應用審計模塊:主要負責重要伺服器主機的應用平台軟體,以及重要應用系統進行審計。
還需要配備一個資料庫系統,負責以上審計模塊生成的審計數據的存儲、檢索、數據分析等操作,另外,還需要設計一個統一管理平台模塊,負責接收各審計模塊發送的審計數據,存入資料庫,以及向審計模塊發布審計規則。如下圖所示:
安全審計系統中應解決如下的關鍵技術:
1.網路監聽:
是安全審計的基礎技術之一。它應用於網路審計模塊,安裝在網路通信系統的數據匯聚點,通過抓取網路數據包進行典型協議分析、識別、判斷和記錄,Telnet、HTTP、Email、FTP、網上聊天、文件共享等的檢測,流量監測以及對異常流量的識別和報警、網路設備運行的監測等,另外也可以進行資料庫網路操作的審計。
2.內核驅動技術:
是主機審計模塊、操作系統審計模塊的核心技術,它可以做到和操作系統的無縫連接,可以方便的對硬碟、CPU、內存、網路負載、進程、文件拷貝/列印操作、通過Modem擅自連接外網的情況、非業務異常軟體的安裝和運行等進行審計。
3.應用系統審計數據讀取技術:
大多數的多用戶操作系統(Windows、UNIX等)、正規的大型軟體(資料庫系統等)、多數安全設備(防火牆、防病毒軟體等)都有自己的審計功能,日誌通常用於檢查用戶的登錄、分析故障、進行收費管理、統計流量、檢查軟體運行情況和調試軟體,系統或設備的審計日誌通常可以用作二次開發的基礎,所以如何讀取多種系統和設備的審計日誌將是解決操作系統審計模塊、資料庫審計模塊、應用審計模塊的關鍵所在。
4.完善的審計數據分析技術:
審計數據的分析是一個安全審計系統成敗的關鍵,分析技術應該能夠根據安全策略對審計數據具備評判異常和違規的能力,分為實時分析和事後分析:
實時分析:提供或獲取審計數據的設備和軟體應該具備預分析能力,並能夠進行第一道篩選;
事後分析:統一管理平台模塊對記錄在資料庫中的審計記錄進行事後分析,包括統計分析和數據挖掘。
五、安全審計系統應該注意的問題
安全審計系統的設計應該注意以下幾個問題:
1.審計數據的安全:
在審計數據的獲取、傳輸、存儲過程中都應該注意安全問題,同樣要保證審計信息的「五性」。在審計數據獲取過程中應該防止審計數據的丟失,應該在獲取後盡快傳輸到統一管理平台模塊,經過濾後存入資料庫,如果沒有連接到管理平台模塊,則應該在本地進行存儲,待連接後再發送至管理平台模塊,並且應該採取措施防止審計功能被繞過;在傳輸過程中應該防止審計數據被截獲、篡改、丟失等,可以採用加密演算法以及數字簽名方式進行控制;在審計數據存儲時應注意資料庫的加密,防止資料庫溢出,當資料庫發生異常時,有相應的應急措施,而且應該在進行審計數據讀取時加入身份鑒別機制,防止非授權的訪問。
2.審計數據的獲取
首先要把握和控制好數據的來源,比如來自網路的數據截取;來自系統、網路、防火牆、中間件等系統的日誌;通過嵌入模塊主動收集的系統內部信息;通過網路主動訪問獲取的信息;來自應用系統或安全系統的審計數據等。有數據源的要積極獲取;沒有數據源的要設法生成數據。對收集的審計數據性質也要分清哪些是已經經過分析和判斷的數據,哪些是沒有分析的原始數據,要做出不同的處理。
另外,應該設計公開統一的日誌讀取API,使應用系統或安全設備開發時,就可以將審計日誌按照日誌讀取API的模式進行設計,方便日後的審計數據獲取。
3.管理平台分級控制
由於涉密信息系統的迅速發展,系統規模也在不斷擴大,所以在安全審計設計的初期就應該考慮分布式、跨網段,能夠進行分級控制的問題。也就是說一個涉密信息系統中可能存在多個統一管理平台,各自管理一部分審計模塊,管理平台之間是平行關系或上下級關系,平級之間不能互相管理,上級可以向下級發布審計規則,下級根據審計規則向上級匯報審計數據。這樣能夠根據網路規模及安全域的劃分靈活的進行擴充和改變,也有利於整個安全審計系統的管理,減輕網路的通信負擔。
4.易於升級維護
安全審計系統應該採用模塊設計,這樣有利於審計系統的升級和維護。
專家預測,安全審計系統在2003年是最熱門的信息安全技術之一。國內很多信息安全廠家都在進行相關技術的研究,有的已經推出了成型的產品,另一方面,相關的安全審計標准也在緊鑼密鼓的制定當中,看來一個安全審計的春天已經離我們越來越近了。
但是信息系統的安全從來都是一個相對的概念,只有相對的安全,而沒有絕對的安全。安全也是一個動態發展的過程,隨著網路技術的發展,安全審計還有很多值得關注的問題,如:
1. 網路帶寬由現在的100兆會增加到1G,安全審計如何對千兆網路進行審計就是值得關注的問題;
2. 當前還沒有一套為各信息安全廠商承認的安全審計介面標准,標準的制定與應用將會使安全審計跨上一個新的台階;
3. 現在的安全審計都建立在TCP/IP協議之上,如果有系統不採用此協議,那麼如何進行安全審計。
六、小結
安全審計作為一門新的信息安全技術,能夠對整個計算機信息系統進行監控,如實記錄系統內發生的任何事件,一個完善的安全審計系統可以根據一定的安全策略記錄和分析歷史操作事件及數據,有效的記錄攻擊事件的發生,提供有效改進系統性能和的安全性能的依據。本文從安全審計的概念、在涉密信息系統中需要審計的內容、安全審計的關鍵技術及安全審計系統應該注意的問題等幾個方面討論了安全審計在涉密信息系統中的應用。安全審計系統應該全面地對整個涉密信息系統中的網路、主機、應用程序、資料庫及安全設備等進行審計,同時支持分布式跨網段審計,集中統一管理,可對審計數據進行綜合的統計與分析,從而可以更有效的防禦外部的入侵和內部的非法違規操作,最終起到保護機密信息和資源的作用。
6. 網路安全審計
國際互聯網路安全審計(網路備案),是為了加強和規范互聯網安全技術防範工作,保障互聯網網路安全和信息安全,促進互聯網健康、有序發展,維護國家安全、社會秩序和公共利益。根據《計算機信息網路國際聯網安全保護管理辦法》,制定本規定。公安局網監分局對互聯網單位規定接入網路的單位你就得去買一個由當地公安局認可的有資質的網路審計系統,這個系統會對你在網路上所有的話動進行監控.而且最少要保存90天的日誌,深圳金山信息安全技術有限公司網路安全審計系統符合深圳市公安局網監分局所需要的功能要求,產品合格,並有公安部頒發的網路安全產品銷售許可證,希望貴司有關負責人自覺辦理手續並依法落實網路安全保護技術措施。咨詢電話:0755-33301380 QQ:39025729 曾先生
7. 網路安全審計產品是什麼
網路安全審計產品一般是之公司電腦或者網路審計軟體。
對公司電腦網路進行有效管理,我們公司用的是域之盾軟體
功能比如
行為監控
監控即時通訊.電子郵件、文件操作等行為。
移動儲存安全
移動設備許可權管控, U盤加密,設備管理。
可視化報表
數據可視化,智能、直觀、簡潔。
文檔安全管控
管控文檔安全,防止數據泄密。
資產管理
軟、硬體資產統計,變更告警。
運維工具
軟體分發、遠程協助、文檔備份、補丁管理等。
8. 上網行為管理與網上行為審計
上網行為管理是指幫助互聯網用戶控制和管理對互聯網的使用。其包括對網頁訪問過濾、上網隱私保護、網路應用控制、帶寬流量管理、信息收發審計、用戶行為分析等。
上網行為管理產品及技術是專用於防止非法信息惡意傳播,避免國家機密、商業信息、科研成果泄漏的產品;並可實時監控、管理網路資源使用情況,提高整體工作效率。上網行為管理產品系列適用於需實施內容審計與行為監控、行為管理的網路環境,尤其是按等級進行計算機信息系統安全保護的相關單位或部門。
標准功能
上網瀏覽管理
搜索引擎管理:利用搜索框關鍵字的識別、記錄、阻斷技術,確保上網搜索內容的合法性,避免不當關鍵詞的搜索帶來的負面影響。
網址URL管理:利用網頁分類庫技術,對海量網址進行提前分類識別、記錄、阻斷確保上網訪問的網址的合法性。
網頁正文管理:利用正文關鍵字識別、記錄、阻斷技術,確保瀏覽正文的合法性
文件下載管理:利用文件名稱/大小/類型/下載頻率的識別、記錄、阻斷技術確保網頁下載文件的合法性
.
上網外發管理
普通郵件管理:利用對SMTP收發人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發郵件的合法性
WEB郵件管理:利用對WEB方式的網頁郵箱的收發人/標題/正文/附件/附件內容的深度識別、記錄、阻斷確保外發郵件的合法性
網頁發帖管理:利用對BBS等網站的發帖內容的標題、正文關鍵字進行識別、記錄、阻斷確保外發言論的合法性
即時通訊管理:利用對MSN、飛信、QQ、skype、雅虎通等主流IM軟體的外發內容關鍵字識別、記錄、阻斷確保外發言論的合法性
其他外發管理:針對FTP、TELNET等傳統協議的外發信息進行內容關鍵字識別、記錄、阻斷確保外發信息的合法性
上網行為審計基於應用層協議還原的行為和內容審計
網頁瀏覽(HTTP協議)審計,記錄機器IP、訪問網址等信息記錄用戶網頁瀏覽的時間、URL 地址、標題、源目的IP地址、源MAC地址、源目的埠、網址分類信息、機器名稱、使用者。還可以記錄網頁發帖和BBS發帖的內容、支持常見的搜索引擎關鍵字審計。
網路聊天審計:騰訊QQ、Windows Live Messenger、ICQ 、YAH0O Messenger、網易泡泡、淘寶阿里旺旺、新浪UC、QQ聊天室等聊天軟體,可記錄聊天帳號,聊天工具,未加密的聊天內容等信息記錄用戶聊天的時間、聊天工具、聊天帳號、源IP地址、源MAC地址、機器名稱、使用者。還能記錄通過MSN、 ICQ、YAHOO MESSENGER、UC等聊天工具聊天的內容和文件傳輸的內容。
收發郵件( POP3、SMTP、WEBMAIL、LOTUS、EXCHANGE),可對郵件帳號、標題、內容、附件進行審計。如記錄用戶收發郵件的時間、收發件人、主題、附件、內容、源目的IP 地址、源MAC地址、源目的埠、機器名稱、使用者。
P2P協議審計可以審計通過P2P文件傳輸(迅雷、BT、 電騾等)時種子鏈接所訪問的URL、源目的IP地址、源MAC地址、外網埠、機器名稱、使用者。管理員可以根據URL對種子文件進行封堵。
股票審計:審計大智慧、問花順、錢龍等股票軟體記錄用戶炒股。
用的大智慧、同花順、錢龍等股票工具的使用時間、源IP地址、源MAC地址、軟體名稱、機器名稱、使用者。
搜索關鍵詞審計:、google等常見搜索網站遠程登錄(TELNET協議)審計文件傳輸(FTP 協議)審計除了記錄用戶文件傳輸的行為外,還能記錄包括BT在內的文件傳輸行為的傳輸方向,上傳文件名,文件大小,狀態,傳輸類型。指定允許發送/接收到文件伺服器。
9. 網路安全審計的實施
為了確保審計實施的可用性和正確性,需要在保護和審查審計數據的同時,做好計劃分步實施。審計應該根據具體安全事件情況的需要進行定期審查或自動實時審查。系統管理員應該根據計算機安全管理的要求確定需要維護審計數據的內容、類型、范圍和時間等,其中包括系統內保存的和歸檔保存的數據。具體實施主要包括:保護審查審計數據及審計步驟。 1)保護審計數據
應當嚴格限制在線訪問審計日誌。除了系統管理員用於檢查訪問之外,其他任何人員都無權訪問審計日誌,更應嚴禁非法修改審計日誌以確保審計跟蹤數據的完整性。
審計數據保護的常用方法是使用數據簽名和只讀設備存儲數據。採用強訪問控制是保護審計跟蹤記錄免受非法訪問的有效舉措。黑客為掩人耳目清楚痕跡,常設法修改審計跟蹤記錄,因此,必須設法嚴格保護審計跟蹤文件。
審計跟蹤信息的保密性也應進行嚴格保護,利用強訪問控制和加密技術十分有效,審計跟蹤所記錄的用戶信息非常重要,通常包含用戶及交易記錄等機密信息。
2)審查審計數據
審計跟蹤的審查與分析可分為事後檢查、定期檢查和實時檢查3種。審查人員應清楚如何發現異常活動。通過用戶識別碼、終端識別碼、應用程序名、日期時間等參數來檢索審計跟蹤記錄並生成所需的審計報告,是簡化審計數據跟蹤檢查的有效方法。 審計是一個連續不斷改進提高的過程。審計的重點是評估企業現行的安全政策、策略、機制和系統監控情況。審計實施的主要步驟:
(1)確定安全審計。申請審計工作主要包括:審計原因、內容、范圍、重點、必要的升級與糾正、支持數據和審計所需人才物等,並上報審批。
(2)做好審計計劃。一個詳細完備的審計計劃是實施有效審計的關鍵。包括審計內容的詳細描述、關鍵時間、參與人員和獨立機構等。
(3)查閱審計歷史。審計中應查閱以前的審計記錄,有助於通過對比查找安全漏洞隱患和規程,更好地採取安全防範措施。同時保管好審計相關資源和規章制度等。
(4)實施安全風險評估。審計小組制定好審計計劃,著手開始審計核心即風險評估。
(5)劃定審計范疇。審計范圍劃定對審計的開展很關鍵,范圍之間要有一些聯系,如數據中心區域網,或是商業相關的一些財務報表等。審計范疇的劃定有利於集中注意力在資產、規程和政策方面的審計。
(6)確定審計重點和步驟。各類機構都應將主要精力放在審計的重點上。並確定具體的審計步驟和區域,避免審計的延緩或不完全,以免得出令人難以信服的結果。
(7)提出改進意見。安全審計最後應提出相應的提高安全防範的建議,便於實施。
10. 什麼是網路安全信息審計
今年國家的法律對網路犯罪實行了嚴厲的打擊我門國家的網路安全也在一步一步完善當中所以有關部門要對個個大大小小的網路進行備案對以後打擊網路犯罪是個很有效的方法。。這樣對中國的幾億網民不是很好嗎。。。