網(wǎng)絡(luò)安全審計(jì)技術(shù)的運(yùn)用

付曉坤

摘 要：簡要介紹了網(wǎng)絡(luò)安全審計(jì)技術(shù)的概況和運(yùn)用方式，結(jié)合長航局網(wǎng)絡(luò)實(shí)際運(yùn)用情況進(jìn)行分析，提出網(wǎng)絡(luò)安全審計(jì)參考

模式。

關(guān)鍵詞： 網(wǎng)絡(luò)安全 數(shù)據(jù)庫 審計(jì)技術(shù)

隨著科技信息化技術(shù)的迅速發(fā)展，各類網(wǎng)絡(luò)應(yīng)用系統(tǒng)也融入日常工作生活中，網(wǎng)絡(luò)作為各項(xiàng)網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)凸顯出其重要性，網(wǎng)絡(luò)安全管理是保障網(wǎng)絡(luò)正常運(yùn)行的重要工作，在網(wǎng)絡(luò)安全管理中除了通過設(shè)備和配置實(shí)現(xiàn)安全防護(hù)，對(duì)于各種操作行為的安全審計(jì)不可忽視，合理運(yùn)用網(wǎng)絡(luò)安全審計(jì)技術(shù)相當(dāng)于為網(wǎng)絡(luò)開啟“監(jiān)視系統(tǒng)”，不僅能實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，對(duì)出現(xiàn)的高風(fēng)險(xiǎn)行為及時(shí)警示提醒，同時(shí)完成設(shè)定時(shí)間段內(nèi)的操作行為存檔以備分析取證，更重要的是系統(tǒng)中積累的歷史數(shù)據(jù)通過統(tǒng)計(jì)和分析，能夠?yàn)楣芾碚咛峁┱鎸?shí)準(zhǔn)確的網(wǎng)絡(luò)健康報(bào)告，為未來建設(shè)規(guī)劃提供依據(jù)，在長航局網(wǎng)絡(luò)建設(shè)中運(yùn)用到網(wǎng)絡(luò)安全審計(jì)技術(shù)。

網(wǎng)絡(luò)安全審計(jì)技術(shù)概況

在國家出臺(tái)的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)中對(duì)網(wǎng)絡(luò)安全審計(jì)提出明確要求，包括對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及相關(guān)設(shè)備進(jìn)行安全審計(jì)。網(wǎng)絡(luò)安全審計(jì)技術(shù)主要可分為日志審計(jì)、網(wǎng)絡(luò)審計(jì)和主機(jī)審計(jì)，通過啟用硬件設(shè)備和軟件系統(tǒng)的日志接口，獲取系統(tǒng)廣播的日志信息；對(duì)于核心網(wǎng)絡(luò)設(shè)備，通過旁路模式開啟數(shù)據(jù)鏡像端口或直接串聯(lián)在網(wǎng)絡(luò)中，獲取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析；對(duì)于用戶行為審計(jì)可通過安裝客戶端代理，直接獲取用戶行為信息。

在實(shí)際使用中，根據(jù)網(wǎng)絡(luò)管理需要運(yùn)用相應(yīng)手段獲取必要的審計(jì)信息，在長航局網(wǎng)絡(luò)管理中對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、重要服務(wù)器、重要應(yīng)用系統(tǒng)、重要數(shù)據(jù)庫系統(tǒng)的安全審計(jì)是重點(diǎn)，未采取安裝客戶端代理方式獲取用戶行為信息。

網(wǎng)絡(luò)安全審計(jì)技術(shù)實(shí)際運(yùn)用

在長航局網(wǎng)絡(luò)中網(wǎng)絡(luò)安全審計(jì)主要包括：網(wǎng)絡(luò)設(shè)備日志和操作過程記錄、安全設(shè)備日志和操作過程記錄、重要服務(wù)器日志、重要應(yīng)用系統(tǒng)日志及操作痕跡、重要數(shù)據(jù)庫系統(tǒng)日志及操作痕跡。

1、網(wǎng)絡(luò)設(shè)備和安全設(shè)備安全審計(jì)

網(wǎng)絡(luò)設(shè)備主要包括出口路由器、核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)，除部分接入交換機(jī)外，大部分網(wǎng)絡(luò)設(shè)備屬于可管理網(wǎng)絡(luò)設(shè)備，進(jìn)入網(wǎng)絡(luò)設(shè)備配置模式，配置只讀權(quán)限用戶，啟用SNMP功能，不同廠商設(shè)備略有不同。將需要管理的網(wǎng)絡(luò)設(shè)備添加到網(wǎng)絡(luò)中安全審計(jì)系統(tǒng)中，就可以獲取到網(wǎng)絡(luò)設(shè)備發(fā)送的SNMP數(shù)據(jù)包，安全審計(jì)系統(tǒng)會(huì)對(duì)收到的數(shù)據(jù)包按照事件等級(jí)進(jìn)行分類，以便查詢。

網(wǎng)絡(luò)安全設(shè)備種類較多，如防火墻、入侵防護(hù)設(shè)備、防病毒網(wǎng)關(guān)、VPN設(shè)備、行為管理設(shè)備、流量控制設(shè)備等，根據(jù)各個(gè)廠商設(shè)備的設(shè)置，開啟對(duì)應(yīng)的SNMP功能，添加到網(wǎng)絡(luò)中安全審計(jì)系統(tǒng)中操作和網(wǎng)絡(luò)設(shè)備類似，需要注意的是串聯(lián)在網(wǎng)絡(luò)中的設(shè)備應(yīng)設(shè)置允許SNMP數(shù)據(jù)包通過。安全設(shè)備通過安全策略和監(jiān)控功能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全保障，其監(jiān)控信息實(shí)時(shí)更新，數(shù)據(jù)量較大，應(yīng)根據(jù)需求確定需要記錄的監(jiān)控信息。

部分安全審計(jì)系統(tǒng)能夠通過其登錄管理網(wǎng)絡(luò)設(shè)備和安全設(shè)備，并且記錄下用戶的操作痕跡，通過指派權(quán)限，設(shè)備管理員對(duì)對(duì)應(yīng)設(shè)備的操作能夠直觀的展現(xiàn)出現(xiàn)，以便出現(xiàn)故障時(shí)分析查找問題。

2、服務(wù)器、應(yīng)用系統(tǒng)及數(shù)據(jù)庫安全審計(jì)

服務(wù)器由于硬件類別不同（如小型機(jī)、PC服務(wù)器、刀片服務(wù)器），安裝的操作系統(tǒng)不同（如Windows、Linux），用途不同（如單機(jī)、集群、服務(wù)器虛擬化），開啟SNMP功能方式有所不同，應(yīng)根據(jù)具體情況進(jìn)行操作。開啟SNMP功能的服務(wù)器按照安全審計(jì)系統(tǒng)對(duì)于類別登記并納入管理。

應(yīng)用系統(tǒng)類別也比較多，基于不同平臺(tái)、中間件定制開發(fā)的系統(tǒng)各不相同，應(yīng)按照其提供的手冊(cè)或通過開發(fā)人員溝通，開放日志接口，納入安全審計(jì)系統(tǒng)管理。

數(shù)據(jù)庫主要分為Orcale、MSSQL、DB2等幾類，有統(tǒng)一規(guī)范的操作方法，按照對(duì)應(yīng)數(shù)據(jù)庫類別的操作方法，將其納入安全審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫查詢、讀寫、會(huì)話情況的記錄和審計(jì)。

對(duì)服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫的操作行為安全審計(jì)一般通過設(shè)置所在網(wǎng)絡(luò)設(shè)備數(shù)據(jù)鏡像接口方式實(shí)現(xiàn)。同樣，部分安全審計(jì)系統(tǒng)能夠通過遠(yuǎn)程登錄方式去管理服務(wù)器及應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)，記錄下用戶的操作痕跡，通過指派權(quán)限，設(shè)備管理員對(duì)對(duì)應(yīng)被管理對(duì)象的操作能夠直觀的展現(xiàn)出現(xiàn)，以便出現(xiàn)故障時(shí)分析查找問題。

3、安全審計(jì)設(shè)備管理

按照網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，安全審計(jì)設(shè)備（系統(tǒng)）部署到合適的位置，數(shù)量有可能是一臺(tái)或多臺(tái)，超過一臺(tái)時(shí)應(yīng)根據(jù)其特點(diǎn)進(jìn)行功能分工，接入方式以旁路為主。配置好網(wǎng)絡(luò)后，登錄管理安全審計(jì)設(shè)備，除添加各個(gè)被管理對(duì)象外，應(yīng)對(duì)各類事件按照重要程度定義好級(jí)別或閥值，設(shè)置報(bào)警相關(guān)配置，定義好報(bào)表模板和報(bào)送方式，形成周期性報(bào)表以便保存和分析用。對(duì)于審計(jì)設(shè)備自身管理也應(yīng)嚴(yán)格權(quán)限，按照管理需要分配不同類別管理權(quán)限，同時(shí)按照設(shè)備存儲(chǔ)空間設(shè)置合理記錄保存周期，或定期導(dǎo)出存儲(chǔ)的記錄。

網(wǎng)絡(luò)安全審計(jì)參考模式

綜合網(wǎng)絡(luò)安全審計(jì)技術(shù)在實(shí)際中的運(yùn)用方式方法，可以列出網(wǎng)絡(luò)安全審計(jì)的使用參考模式，如圖1所示。

對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等相關(guān)對(duì)象可以通過開啟日志功能管理。

通過獲取網(wǎng)絡(luò)數(shù)據(jù)包，可以深入記錄分析更多行為操作。

對(duì)網(wǎng)絡(luò)安全設(shè)備的分權(quán)限管理實(shí)現(xiàn)事件定級(jí)、分類、報(bào)警、形成統(tǒng)計(jì)分析報(bào)表。

圖1

結(jié)束語

網(wǎng)絡(luò)安全管理目的是為了更好保障網(wǎng)絡(luò)的使用，網(wǎng)絡(luò)安全審計(jì)是其中一種管理手段，不同的網(wǎng)絡(luò)、不同的應(yīng)用、不同的安全要求對(duì)安全審計(jì)的要求也不相同，需要結(jié)合自身特點(diǎn)和實(shí)際需求，進(jìn)行針對(duì)性設(shè)計(jì)規(guī)劃，方能構(gòu)建起適合的安全審計(jì)平臺(tái)。