网络安全审计技术的应用场景类型,
- 安全运维保障
- 数据访问监测
- 网络入侵检测
- 网络电子取证
安全运维保障
IT 系统运维面临风险:
- 内部安全威胁
- 第三方外包服务安全风险
网络安全审计是应对运维安全的重要安全保障机制。通过运维审计,可以有效防范和追溯安全威胁操作
例如,通过关联分析还原堡垒机绕行运维操作。公司企业内部的运维人员如果通过堡垒主机对服务器进行操则符合公司企业内部的管理要求,若直接对服务器进行操作则视为非法操作,这一行为将被记录下来,通过该审计系统,管理人员可获知有运维人员在执行绕行操作
数据访问监测
数据库安全审计产品就是通过安全监测,智能化、自动地从海量日志信息中,发现违规访问或异常访问记录,从而有效降低安全管理员日志分析的工作量,
例如,通过分析数据库访问日志信息,可以自动发现违规访问的问题。在特定的业务环境中,用户在正常情况下应该通过前台的业务系统登录后修改后台数据库的内容。假如某个用户绕过了前台的业务系统,直接登录到数据库并篡改了其中的数据,则数据库管理人员通过分析用户访问日志信息,就可以发现该用户的数据库访问行为违背了业务逻辑,缺少与之相关的前台登录行为,从而有效识别该违规访问。
网络入侵检测
网络入侵检测对网络设备、安全设备、应用系统的日志信息进行实时收集和分析
可检测发现:
- 黑客入侵
- 扫描渗透
- 暴力破解
- 网络蠕虫
- 非法访问
- 非法外联
- DDoS 攻击
例如,攻击者常对服务器进行密码破解攻击,管理员可利用日志安全审计系统,实时地收集服务器的日志,分析服务器的认证日志信息,若发现连续多次出现认证出错信息,则可以判定服务器受到密码破解攻击,并产生实时告警,提醒管理员进行处理
网络电子取证
日志分析技术广泛应用于计算机犯罪侦查与电子取证,许多案件借助日志分析技术提供线索、获取证据。
如某市公安机关接到该市某大学的校园网络遭到攻击,造成网络瘫痪数日的报警。侦察人员通过路由器的日志文件进行排查,确定具有嫌疑的人员的 IP,并根据 IP 确定了相应的犯罪嫌疑人,将犯罪嫌疑人计算机内的日志文件作为其犯罪的有力证据。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
