01
—
数据审计的概念与作用
1.1. 数据审计的背景
数据审计的背景可以概括为两个主要方面:
(1)审计的起源与理念借用:审计最初来自财务系统,主要是检查和评价企业的财务管理和经营行为是否合法,通过检查财务账本和流程来提出改进建议。后来,这个概念被借用到网络安全领域,特别是入侵检测系统(IDS)。由于IDS本身不存储数据,为了重现和调查安全事件,它开始记录所有操作行为到一个“账本”--操作日志中,这样一旦发生安全事件,就可以通过这个“账本”来查找证据和重现攻击过程。;
(2)数据安全事件频发催生需求:近年来,《数据安全事件》频繁发生,导致个人隐私、商业数据甚至国家安全数据泄露,造成了严重的影响。因此,迫切需要通过审查ICT设施设备(如终端设备、网络设备、安全设备等)中的日志记录,来审计和发现违规操作行为,从而避免数据安全风险。
(1)数据库审计:对达梦、Oracle、MySQL等数据库的数据安全事件进行数据采集、事件审计、统计分析,来发现和控制数据库操作行为;
(2)主机审计(也叫终端审计):采集计算机主机运行状态和敏感操作的数据,进行事件审计、统计分析,发现主机漏洞并控制主机操作行为;
(3)网络审计(也叫上网安全审计或互联网审计):采集用户上网行为数据,进行事件审计、统计分析,发现并控制上网操作行为;
(4)应用审计(也叫应用系统安全审计):对应用系统的数据安全事件进行数据采集、事件审计、统计分析,发现应用系统漏洞并控制应用系统操作行为。
简化版
(1)数据采集:从数据库系统、主机系统、网络系统、应用系统这些审计对象(ICT设施设备)采集数据;
(2)事件审计:对采集到的ICT设施设备数据进行事件审计,包括数据库、主机、上网、应用这几方面的事件审计;
(3)统计分析:针对事件审计情况,进行常规统计分析、关联分析、潜在危害分析、异常事件分析等统计分析工作;
(1)事前(管理方面):运用审计的理念,制定像《操作指南》《运维指南》之类的管理制度,来规范操作人员和运维人员的操作,在事情发生之前就避免因为误操作引发数据安全事件;
(2)事中(技术方面):运用审计理念,采用加密技术、脱敏技术、身份认证技术、访问控制技术等数据安全技术,在事情发生过程中监控并且避免恶意操作、滥用数据、数据泄露等数据安全事件;
(3)事后(审计方面):运用数据审计技术本身,对信息系统的数据安全事件进行采集和分析,在事情发生之后追溯事件的源头,比较精准地找到是有意搞破坏的人还是无意误操作的人。
02
—
数据库审计
简化版
(1)第一种是镜像方式。这种方式是利用数据审计系统的旁路部署模式来工作的,就像上图展示的那样。它是把所有访问数据库的流量都转发到数据库审计系统里,这样就能获取到数据库访问的流量啦。这种镜像方式在传统的IT架构里比较适用。
(2)第二种是探针方式。这种方式是在应用端或者数据库服务器端安装探针组件,然后通过虚拟环境分配的审计管理网口来传输数据,用这种方法就能把数据库流量采集完成。这种探针方式主要是满足“云环境”或者“虚拟化”环境下的数据库审计需求的。
题外话:其实还有Nginx代理转发,但是这种不推荐,弊端严重,不说太多。
数据库用户的基本信息、数据定义语言(DDL)信息、数据操作语言(DML)信息、数据控制语言(DCL)信息、操作的时间信息,还有操作结果信息等。
简而言之,数据库审计通过两种方式(镜像和探针)收集数据库的访问流量,记录谁在什么时候做了什么操作,以及操作的结果,以便于后续的分析和审计。
(1)事件审计的类别:
(2)事件审计策略:
简而言之,数据库审计通过多种方式监控和记录数据库的各类操作,确保数据安全,一旦发现异常或违规行为,就能迅速定位并采取措施。
数据库审计统计分析就像是给数据库的健康和安全做“体检”。它按照网络安全的规定,通过各种方法来检查数据库的运行情况,找出可能存在的问题。具体来说,它包括以下几个方面:
数据库审计的统计报表,就像是把这些“体检”结果整理成报告,可以是日报、周报或月报,用不同的格式(比如网页、PDF、Word文档、Excel表格)呈现出来,方便大家了解数据库的健康状况。
03
—
主机审计
主机审计的数据采集就像是给电脑装了一个“监控器”,用来记录和监督电脑的各种行为,确保电脑的安全。这个监控器分为两部分:一部分安装在电脑上,负责收集信息;另一部分安装在服务器或云端,负责分析这些信息并采取行动。
(1)主机监控系统:就像是电脑上的“摄像头”,负责观察电脑的一举一动,并把看到的信息发送到服务器或云端。
(2)主机事件审计/控制中心:就像是监控室里的“保安”,负责接收摄像头传来的信息,根据安全规则来判断是否有异常行为,并采取措施。
(1)用户监控:就像是监视谁在用电脑,他们有没有改账号信息,如果有异常就报警或阻止。
(2)进程监控:监视电脑上运行的各种程序,如果发现有危险的程序运行,就立即停止它。
(3)服务监控:监视电脑上提供的服务,比如文件共享服务,如果有不安全的服务在运行,也会被停止。
(3)操作监控:监视用户对文件的操作,比如创建、删除文件,以及使用外部设备,如果有不正常的操作,就会采取措施。
(4)输出监控:监视打印机的使用情况,记录打印了哪些文件,谁在打印,如果有问题就报警。
(5)外联监控:监视电脑是否在不允许的情况下连接外部网络,比如用电话线或无线网卡上网,如果有这种情况也会采取措施。
总的来说,主机审计就是通过这些监控和数据采集,确保电脑的安全,防止不当行为或安全威胁。
3.2. 事件审计:
主机审计的事件审计就像是给电脑请了一个“安全管家”,这个管家会仔细检查电脑的各种使用记录,比如谁用了电脑、运行了哪些程序、改动了哪些文件、连接了什么外部设备、有没有偷偷上网等。然后,根据这些记录,管家会制定一些规则来保护电脑的安全,这些规则包括:
总的来说,这个安全管家就是通过这些方法来保护电脑,确保所有的操作都是安全的,不让电脑受到损害。
3.3. 统计分析
主机审计的统计分析就像是给电脑的安全情况做一份“健康报告”。这个报告是根据网络安全的规定来制作的,目的是看看电脑有没有什么安全问题。它包括以下几个方面:
主机审计的统计报表就是把这些分析结果整理成报告,可以是每天的、每周的、每月的,或者根据网络安全等级的需要来定制。这些报告可以用网页、PDF、Word文档、Excel表格等不同的格式来展示,方便大家了解电脑的安全状况。就像是医院的体检报告,告诉你电脑哪里健康,哪里可能有问题。
04
—
网络审计
4.1. 数据采集
网络审计的数据采集就像是给公司的网络装了一个“监控器”,用来记录和监督员工上网的一举一动,确保网络使用安全。这个监控器分为两部分:一部分负责观察和记录,另一部分负责分析和控制。
(1)上网监控系统:就像是一个网络摄像头,时刻监视着员工上网的行为,比如上了哪些网站、发了哪些邮件、传了哪些文件等,然后把看到的信息报告给监控中心。
(2)上网事件审计/控制中心:就像是一个监控室,接收摄像头传来的信息,并根据预先设定的规则来决定是否要干预,比如限制访问某些网站或者断开上网连接。
总的来说,网络审计就是通过这些方法来确保员工上网行为的安全和合规,防止不当使用网络资源或者泄露敏感信息。
4.2. 事件审计
基于收集的上网行为数据,我们对上网安全事件进行审计,就像是对员工上网的行为进行“纪律检查”,以确保网络使用安全。根据这些审计结果,我们制定了一系列的上网安全控制策略,包括:
总的来说,这些策略就像是公司的网络使用“家规”,用来确保员工上网时既安全又高效,不会做出损害公司利益的行为。
4.3. 统计分析
网络审计的统计分析就像是给公司的网络使用情况做一份“健康报告”。这份报告是根据网络安全的规定来制作的,目的是看看网络的使用是否安全、合理。它包括以下几个方面:
网络审计的统计报表就是把这些分析结果整理成报告,可以是每天的、每周的、每月的,或者根据网络安全等级的需要来定制。这些报告可以用网页、PDF、Word文档、Excel表格等不同的格式来展示,方便大家了解网络的使用状况和安全情况。就像是学校的成绩单,告诉你网络表现怎么样,哪里需要改进。
05
—
应用审计
5.1. 数据采集
应用审计的数据采集就像是给公司里的软件系统装了一个“监控器”,用来观察和记录员工使用这些软件的一举一动,确保软件的安全和正确使用。这个监控器分为两部分:一部分安装在软件上,负责收集信息;另一部分负责分析这些信息并采取行动。
(1)应用监控系统的功能:
(2)应用审计的数据采集内容:
总的来说,应用审计就是通过这些方法来确保员工在使用公司软件时遵守规则,不做出损害公司利益的行为,同时保护软件和数据的安全。
5.2. 事件审计
应用审计的事件审计就像是给公司软件的使用情况做一次“安全检查”,确保员工在使用软件时没有做出任何危险或不合规的行为。这个检查基于之前收集的数据,包括员工的身份、权限、行为和应用事件等。根据这些数据,我们会制定一些安全规则来保护软件,这些规则包括(还是懒得做PPT图片了,直接写吧):
(1)黑白名单审计/控制:
就像是制定了一个“好人”和“坏人”名单。好人(白名单)可以正常使用软件,坏人(黑名单)则会被限制或禁止使用。
(2)系统功能审计/控制:
就像是给软件的功能设置了权限开关,只有特定的人或角色可以使用某些功能,而其他人则不能。
(3)应用行为审计/控制:
就像是监督员工在软件中的每一个动作,确保他们只做他们有权做的事情,不会越权操作。
(4)应用安全审计/控制:
就像是给软件装了一个防护盾,用来防御外部的恶意攻击,比如DoS攻击、SQL注入等,确保软件的安全运行。
5.3. 统计分析
应用安全审计的统计分析就像是给公司软件的使用情况做一份“健康报告”。这份报告是根据网络安全的规定来制作的,目的是找出可能的安全问题,确保软件的安全使用。这份报告包括以下几个方面:
(1)事件统计:
就像是记录谁在什么时候做了什么,比如记录员工的IP地址、MAC地址和他们所触发的事件类型。
(2)关联分析:
就像是把看似不相关的事件联系起来,看看它们之间有没有什么联系,以此来发现更深层次的安全问题。
(3)潜在危害分析:
就像是设定了一个警报阈值,如果某个事件发生的次数太多或太频繁,就会触发警报,然后分析为什么会这样。
(4)异常事件分析:
就像是找出哪些行为是不正常的,比如有人越权操作了系统功能。
根据这些分析,我们会定期(比如每天、每周、每月)制作应用审计安全事件的报告,这些报告可以用网页、PDF、Word文档、Excel表格等不同的格式来展示。这些报告就像是软件的“体检单”,告诉公司软件的安全状况如何,哪些地方需要注意或改进。
06
—
题外话-案例
某设计公司的内部网络是设计行业企业的信息化平台,它为设计项目相关信息的收集、整理、存储和共享等提供了便捷,并且在设计素材的检索、收集与分析方面起到支撑作用,已经成为广大设计师们不可或缺的工作平台。
然而,设计公司网络的数据安全问题比较突出,设计方案泄露、传播未经授权的设计素材等情况时有发生。所以,在设计公司的内部网络部署网络审计系统,规范设计师和其他员工的上网、数据访问、数据下载/上传等行为是非常必要且意义重大的。
针对设计行业网络的特点和需求,面向设计公司网络的网络审计系统主要有两大功能,即监控日志功能和审计控制功能。
监控日志功能这个功能主要监控并记录员工(包括设计师、行政人员等)的电子邮件、网页浏览、文件传输、即时通讯、网页外发等日志数据。
电子邮件日志数据:包含员工(账号/IP地址/MAC地址)、目标IP地址、邮件时间、发件人、收件人、邮件标题、正文、附件等数据。
网页浏览日志数据:包括员工(账号/IP地址/MAC地址)、目标IP地址、访问时间、网页网址、网页内容等数据。
文件传输日志数据:包括员工(账号/IP地址/MAC地址)、目标IP地址、访问时间、FTP账号、FTP交互命令和执行回显等数据。
即时通讯日志数据:包括员工(账号/IP地址/MAC地址)、目标IP地址、访问时间、聊天账号、聊天内容等数据。
网页外发日志数据:包括员工(账号/IP地址/MAC地址)、目标IP地址、网址、访问时间、外发文本内容、外发文件名称等数据。
审计控制功能该功能主要通过审计上述日志数据,控制员工(包括设计师、行政人员等)在设计公司网络中的操作行为,包括黑名单控制、上网行为控制、上网内容控制等。
黑名单控制:阻止员工(设计师或行政人员等)访问黑名单中的网址。
上网行为控制:控制(阻止/放行)员工(设计师或行政人员等)在设计公司网络内的邮件、即时通讯聊天、网页访问、在线娱乐、P2P视频、文件上传/下载/共享等行为。
上网内容控制:防止员工(设计师或行政人员等)在设计公司网络上通过即时通讯、邮件、文件上传/下载等方式传播敏感信息,如未发布的设计方案、有版权争议的素材等。
网络审计系统(设备)通过旁路接入方式部署在设计公司网络出口处。这样的部署方式既不会对现有的网络应用和网络拓扑结构产生影响(比如不会占用网络带宽等),而且还加大了恶意攻击者对该系统进行攻击的难度。
设计公司网络通过使用网络审计系统,加强了网络监控的力度,提升了网络安全事件的溯源能力,净化了公司内部的上网环境,实现了对设计公司员工网络行为的有效、有序管理。
数据审计小测试
注释:如有失误,望批评指正!
后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。
后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融、0731、0830、0911”有相关资料可供下载!