| 按照审计对象类型分类,网络安全审计主要有操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全审计等。操作系统审计一般是对操作系统用户和系统服务进行记录,主要包括用户登录和注销、系统服务启动和关闭、安全事件等。
|
|
|
| Windows、Linux等操作系统都自带审计功能,其审计信息简要叙述如下:
|
|
|
| . Windows操作系统的基本审计信息有注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件等;
|
|
|
| . Linux操作系统的基本审计信息有系统开机自检日志boot.log、用户命令操作日志acct/pacct、最近登录日志lastlog、使用su命令日志sulog、当前用户登录日志utmp、用户登录和退出日志wtmp、系统接收和发送邮件日志maillog、系统消息messages等。
|
|
|
| 数据库审计通常是监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作,并可以对数据库操作命令进行回放。Oracle、MySQL、MS SQL、DB2、达梦、人大金仓等数据库都具备自审计功能。管理人员对数据库的审计功能进行配置,可实现对数据库的审计。Oracle默认对特权操作进行审计,例如ALTER ANY PROCEDURE、CREATE ANY LIBRARY、DROP ANY TABLE,详细情况参考Oracle手册。
|
|
|
| 网络通信安全审计一般采用专用的审计系统,通过专用设备获取网络流量,然后再进行存储和分析。网络通信安全审计的常见内容为IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等。
|
|
|
| 按照审计范围,安全审计可分为综合审计系统和单个审计系统。由于各IT产品自带的审计功能有限,审计能力不足,于是安全厂商研发了综合审计系统。以某科技有限公司的日志审计与分析系统为例,其架构如下图所示。
|
|
|
|
|
|
|
| 单个审计系统主要针对独立的审计对象,审计数据来源单一,缺少多源审计对象的关联分析,常见的是IT系统或产品自带的审计功能。
|
|
|
