网络安全审计机制与实现技术

技术分类：基于主机的审计机制、基于网络通信的审计机制、基于应用的审计机制等。

系统日志数据采集技术：常见的系统日志数据采集技术是把操作系统、数据库、网络设备等系统中产生的事件信息汇聚到统一的服务器存储，以便于查询分析与管理。

网络流量数据获取技术：常见的技术方法有共享网络监听、交换机端口镜像(Port Mirroring)、网络分流器(Network Tap)等。

集线器工作原理就是从这个接口进去的流量，它会从除了这个接口以外，所有的接口转发出去。只有这个进入的接口不转发，其它所有的接口都可以转发，如果你这边用的是集线器，他就是一个共享的网络，也就是它的任意接口接一个设备就可以监听到其它所有接口发送或者接收的流量，这个就是共享网络，集线器现在已经被淘汰了，所以没有共享网络

交换机有专用的信息交换通道，要在交换机端口上接一个流量采集设备，我们要在交换机上去配置端口镜像，把交换机其它端口上的流量镜像一份，扔给采集设备，端口镜像在实际的项目当中应用的最多

网络TAP也叫网络分流器，一般用在运营商里面，运营商流量比较大，在交换机上做端口镜像有可能扛不住，所以有个专门的硬件设备直接用来做分流，网络TAP其实本质是交换机，但是它在交换机上做了很多开发和定制，把他专门变成了专用设备

网络安全审计机制与实现技术

网络流量采集设备安装网络数据捕获软件，从网络上获取原始数据，然后再进行后续处理。目前常见的开源网络数据采集软件包是Libpcap(Library for Packet Capture)。Libpcap的工作流程如下:
(1)设置嗅探网络接口。在Linux操作系统中，大多数为eth0。
(2)初始化Libpcap。设定过滤规则，明确获取网络数据包的类型。
(3)运行Libpcap循环主体。Libpcap开始接收符合过滤规则的数据包。
除了Libpcap外，还有Winpcap，它支持在Windows平台捕获网络数据包。Windump是基于Winpcap的网络协议分析工具，可以采集网络数据包。Tcpdump是基于Libpcap的网络流量数据采集工具，常常应用于Linux操作系统中。

Wireshark是图形化的网络流量数据采集工具，可用于网络流量数据的采集和分析。

网络审计数据安全分析技术

常见的网络审计数据安全分析技术有字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。

思科的支持grep、华为的不支持grep

审计日志报表

这些可视化的图形可以更加直观的去展现我们的审计信息

网络审计数据存储技术

网络审计数据存储技术分为两种：
①由审计数据产生的系统自己分散存储，审计数据保存在不同的系统中。操作系统、数据库、应用系统、网络设备等都可以各自存储日志数据。
②集中采集各种系统的审计数据，建立审计数据存储服务器，由专用的存储设备保存，便于事后查询分析和电子取证。

审计日志存储

网络审计数据保护技术

网络审计数据涉及系统整体的安全性和用户的隐私性，通常的安全技术措施有如下几种。
1.系统用户分权管理。操作系统、数据库等系统设置操作员、安全员和审计员三种类型的用户。
操作员:只负责对系统的操作维护工作，其操作过程被系统进行了详细记录;
安全员:负责系统安全策略配置和维护;
审计员:负责维护审计相关事宜，可以查看操作员、安全员工作过程日志;
审计员也不能对系统进行操作，操作员不能够修改自己的操作记录。

2.审计数据强制访问。系统采取强制访问控制措施，对审计数据设置安全标记，防止非授权查询及修改。
3.审计数据加密。使用加密技术对敏感的审计数据进行加密处理，以防止非授权査看审计数据或泄露。
4.审计数据隐私保护。采取隐私保护技术，防止审计数据泄露隐私信息。
5.审计数据完整性保护。使用Hash算法和数字签名，对审计数据进行数字签名和来源认证、完整性保护，防止非授权修改审计数据。