山止川行 2025-06-24 08:45 上海
安小圈
🔑审计的核心在于对网络系统中安全相关活动进行全面管理,包括采集、记录、存储和分析,其主要目的是通过事后追溯来发现潜在的安全威胁。审计在合规性支撑、攻击溯源和内部风控方面发挥着关键作用,例如,通过审计日志追踪数据库篡改事件的攻击者IP地址,或监控员工对敏感数据的访问。
💡网络安全审计系统由四个主要部分组成:信息获取、存储、分析和展示。数据采集技术包括Syslog协议、网络流量捕获等,数据分析技术涉及字符串匹配和关联分析,而安全保护技术则包括加密存储和完整性校验。
🛡️数据库审计是审计的重要场景之一,例如,通过部署数据库审计系统,实时监控SQL语句,及时发现并告警高危操作。网络入侵检测也是审计的关键应用,通过分析认证日志,可以发现暴力破解等攻击行为,并采取相应措施。
📊主流审计产品的功能和性能指标各异,日志审计系统侧重于日志收集与分析,主机监控审计关注U盘插拔、进程创建等,运维安全审计则提供对SSH操作的记录与回放。关键技术指标包括日志采集速率、并发查询响应时间以及日志的安全性,如通过数字签名确保日志不可篡改。
📚考试复习时,应重点掌握GB 17859五级审计要求及等保2.0合规要点,熟悉采集、分析、保护等关键技术,以及数据库审计和运维审计的应用。
山止川行 2025-06-24 08:45 上海
安小圈
网络安全无小事,审计是防患未然的第一道防线。
一、网络安全审计基础概念与核心标准
(一)审计定义与核心价值
网络安全审计是对网络系统中安全相关活动进行采集、记录、存储、分析的全流程管理,旨在通过 “事后追溯” 发现威胁线索。例如:某电商平台数据库遭篡改后,通过审计日志追踪到攻击者 IP 地址及操作命令,为溯源提供关键证据。
核心作用:
合规性支撑:满足等保 2.0、《网络安全法》等法规对日志留存的要求;
攻击溯源:还原勒索软件入侵路径,如 WannaCry 攻击中通过审计日志定位初始感染主机;
内部风控:监控员工对敏感数据的访问,防止财务数据泄露。
(二)国内外标准对比
标准体系 | 核心要求 |
TCSEC | 从 C2 级开始要求审计,B3 级需监控安全事件阈值(如连续失败登录触发告警)。 |
GB 17859 | 将审计分为五级,第二级 “系统审计保护级” 要求记录用户登录、客体删除等事件。 |
等保 2.0 | 对云计算、工控系统等新增审计扩展要求,日志留存≥6 个月。 |
二、审计系统组成与关键技术
(一)系统架构与数据流程
审计系统由信息获取、存储、分析、展示四部分组成。例如:某企业通过 Syslog 采集路由器日志,存储至 Elasticsearch 集群,再通过 Kibana 可视化攻击趋势。
(二)核心技术解析
1.数据采集技术
Syslog 协议:Cisco 设备配置 logging 192.168.1.100将日志发送至服务器;
网络流量捕获:使用 Libpcap 或 Wireshark 获取数据包,分析 RDP 登录行为。
2.数据分析技术
字符串匹配:用grep "union select"识别 SQL 注入攻击日志;
关联分析:关联防火墙告警与服务器登录日志,发现横向移动攻击链。
3.安全保护技术
加密存储:对数据库审计日志使用 SM4 算法加密;
完整性校验:通过 SM3 哈希算法验证日志未被篡改。
三、典型审计场景与案例
(一)数据库审计实战
场景:某银行 DBA 绕过业务系统直接执行DELETE FROM users命令。技术方案:部署数据库审计系统,通过 Agent 代理方式实时监控 SQL 语句,触发高危操作告警。
(二)网络入侵检测案例
攻击还原:攻击者对服务器发起暴力破解,审计系统通过分析认证日志发现:
5 分钟内同一 IP 发起 200 次 SSH 登录失败;
自动阻断 IP 并生成《暴力破解趋势报告》。
四、主流审计产品与技术指标
(一)产品类型与功能对比
产品类型 | 典型产品 | 核心功能 |
日志审计系统 | 天融信日志收集与分析系统 | 支持 1000 + 设备日志采集,生成等保合规报表。 |
主机监控审计 | 主机监控与审计系统 | 监控 U 盘插拔、进程创建,阻断非法外联。 |
运维安全审计 | 堡垒机 | 记录 SSH 操作并支持命令回放,追溯误操作责任。 |
(二)关键技术指标
性能指标:日志采集速率≥10 万条 / 秒,并发查询响应时间 < 500ms;
安全指标:日志通过 SM2 数字签名确保不可篡改,三权分立(操作员、审计员、安全员)权限体系。
五、历年真题与解析
(一)2023 年单选题
题目:根据 GB 17859,下列哪一级别开始要求提供审计安全机制?( )
A.用户自主保护级
B.系统审计保护级
C.安全标记保护级
D.访问验证保护级
答案:B
解析:GB 17859 第二级 “系统审计保护级” 要求实施自主访问控制并记录安全事件,如用户登录、客体删除等。
(二)2022 年案例分析题
背景:某金融机构需审计数据库敏感操作,要求:
不影响数据库性能;
支持加密流量审计;
记录本地 DBA 操作。
问题:推荐哪种审计方式?说明理由。
参考答案:推荐采用数据库 Agent 代理审计:
优势:
支持网络与本地操作审计,满足 DBA 本地操作记录需求;
通过协议深度解析可审计加密流量(如 SSL 连接中的 SQL 语句);
注意事项:需在非高峰时段测试 Agent 对数据库性能的影响。
六、核心考点总结
(一)基础概念考点
审计三大作用:合规追溯、攻击溯源、内部风控;
法规要求:《网络安全法》日志留存≥6 个月,等保 2.0 对新型系统的扩展要求。
(二)技术方法考点
采集技术:Syslog、SNMP Trap、Libpcap;
分析技术:字符串匹配(grep)、数据关联(ELK Stack);
保护技术:加密(SM4)、完整性校验(SM3)。
(三)产品应用考点
数据库审计:网络监听、自带审计、Agent 代理的优缺点;
运维审计:堡垒机对 SSH/SFTP 操作的记录与回放功能。
复习建议:重点掌握 GB 17859 五级审计要求及等保 2.0 合规要点。
END
【原文来源:网络安全攻防与治理 】
信息安全工程师系列-第1关 网络信息安全概述
信息安全工程师系列-第2关 网络攻击原理与常用方法
信息安全工程师系列-第3关 密码学基本理论
信息安全工程师系列-第4关 网络安全体系与网络安全模型
信息安全工程师系列-第5关 物理与环境安全技术
信息安全工程师系列-第6关 认证技术原理与应用
信息安全工程师系列-第7关 访问控制技术原理与应用
信息安全工程师系列-第8关 防火墙技术原理与应用
信息安全工程师系列-第9关 VPN技术原理与应用
信息安全工程师系列-第10关 入侵检测技术原理与应用
信息安全工程师系列-第11关 网络物理隔离技术原理与应用
信息安全工程师系列-第11关 网络物理隔离技术原理与应用
挖矿病毒【应急响应】处置手册
用Deepseek实现Web渗透自动化
【风险】DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理!
关于各大网安厂商推广「DeepSeek一体机」现象的深度分析
【热点】哪些网络安全厂商接入了DeepSeek?
【2025】常见的网络安全服务大全(汇总详解)
AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿),附下载
超300万台未加密邮件服务器暴露,用户数据面临严重威胁!
电网黑客:通过无线电控制路灯和发电厂
网络安全公司“内鬼”监守自盗 编写代码当黑客 窃取公民个人信息2.08亿条
大众汽车集团欧洲发生严重数据泄漏,80万车主可被定位
2025年 · 网络威胁趋势【预测】
【实操】常见的安全事件及应急响应处
2024 网络安全人才实战能力白皮书安全测试评估篇
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑