网络安全审计
网络安全审计系统是一种基于信息流的数据采集、分析、识别和资源审计封锁软件。通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。它侧重于“事中”阶段。该系统综合了基于主机的技术手段,可以多层次、多手段的实现对网络的控制管理。通过多级、分布式的网络审计、管理、控制机制,全面体现了管理层对内部网关键资源的全局控制、把握和调度能力。为全面管理人员提供了一种审计、检查当前系统运行状态的有效手段。
网络安全迫切要求
目前网络安全问题大多数出现在内部网,通过外部攻击获得内部信息的只占入侵总数的20% 左右。而当前内部网的安全防护较弱,因此保证内部网的网络安全和信息安全尤为重要。目前内部网络的安全保护主要有以下几个方面:
对公共资源机操作进行审计控制;
了解计算机的局域网内部单台计算机网络的连接情况;
对计算机局域网内网络数据的采集、分析、存储备案;
网络安全审计系统浅谈
网络系统的安全与否是一个相对的概念,而没有绝对的安全。在网络安全整体解决方案日益流行的今天,安全审计系统是网络安全体系中的一个重要环节。
企业客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患。所以安全系统需要集中的审计系统。在安全解决方案中,跨厂商产品的简单集合往往会存在漏洞,从而威胁乘虚而入,危及安全。当某种安全漏洞出现时,如果必须针对不同厂商的技术和产品先进行人工分析,然后综合分析,提出解决方案,将降低对攻击的反应速度,并潜在地增加成本。如果不能将在同一网络中多个不同或者相同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。如果没有实时的、集中的、可视化审计,就不能有效、及时的评估系统究竟是不是安全的,无法及时发现安全隐患。安全审计系统就可以满足这些要求,对网络
中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。
一、网络安全审计系统需要考虑的问题
日志格式兼容问题
一般情况下,不同厂商的设备或系统所产生的日志格式互不兼容,这为网络安全事件的集中分析带来了巨大难度。
日志数据的管理问题
日志数据量非常大,不断地增长,当超出限制后,不能简单地丢弃。需要一套完整的备份、恢复、处理机制。
日志数据的集中分析问题
一个攻击者可能同时对多个网络中的服务器攻击,如果单个地分析每个服务器上的日志信息,不但工作量大,而且很难发现攻击;如何将多个服务器上的日志关联起来,从而发现攻击的行为,是安全审计系统面临的重要问题。
分析报告及统计报表的自动生成机制
网络中每天会产生大量的日志信息,巨大的工作量使得管理员手工查看并分析各种日志内容是不现实的,必须提供一种直观的分析报告及统计报表的自动生成机制来保证管理员能够及时、有效发现网络中各种异常状况及安全事件。
二、网络安全审计系统的主要功能
采集多种类型的日志数据
能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志。
日志管理
多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
日志查询
支持以多种方式查询网络中的日志记录信息,以报表的形式显示。
入侵检测
使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
自动生成安全分析报告
根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。报告的输出可以根据预先定义的条件自动地产生、提交给管理员。
网络状态实时监视
可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。
事件响应机制
当审计系统检测到安全事件时候,可以采用相关的响应方式报警。
集中管理
审计系统通过提供一个统一的集中管理平台,实现对日志代理、安全审计中心、
日志数据库的集中管理。
网络安全审计系统作为一个独立的软件,和其他的安全产品(如防火墙、入侵检测系统、漏洞扫描系统等)在功能上互相独立,但是同时又能互相协调、补充,保护网络的整体安全。
