(一)网络安全审计分类
按照审计范围
审计范围 | 说明 | |
1 | 综合审计系统 | 由安全厂商研发(IT产品自带审计功能有限,审计能力弱) |
2 | 单个审计系统 | 针对独立审计对象(审计数据来源单一,缺少多源审计对象的关联分析) |
按照审计对象类型
- 操作系统安全审计
- 数据库安全审计
- 网络通信安全审计
- 应用系统安全审计
- 网络安全设备审计
- 工控安全审计
- 移动安全审计
- 互联网安全审计
- 代码安全审计
(二)常见安全审计
审计对象 | 说明 | |
1 | 操作系统安全审计(自带) | 对系统用户和服务进行记录,包括用户登录和注销、系统服务启动和关闭、安全事件等 ①Windows操作系统:注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件等 ②Linux操作系统:系统开机自检日志boot.log、用户命令操作日志acct/pacct、最近登录日志lastlog、使用su命令日志sulog、当前用户登录日志utmp、用户登录和退出日志wtmp、系统接收和发送邮件日志maillog、系统消息messages等 |
2 | 数据库审计(自带) | 监控并记录用户对数据库服务器的增删改查等操作,并对数据库操作命令进行回放 ①绝大部分数据库都具备自审计功能。 ②管理员可配置数据库审计功能 ③Oracle默认对特权操作(修改存储过程、删除表等)进行审计 |
3 | 网络通信安全审计 | 采用专用审计系统,通过专用设备获取网络流量,进行存储和分析 审计内容: ①IP源地址 ②IP目的地址 ③源端口号 ④目的端口号 ⑤协议类型 ⑥传输内容 |