信息安全审计与计算机取证的区别（软考-信息安全工程师学习笔记-第12章网络安全审计技术原理与应用）

网络安全审计概述

概念：对网络信息系统的安全相关活动信息进行获取、记录、存储、分析利用的工作，作用在于建立“事后”安全保障措施，保存网络安全事件及行为信息，为网络安全事件分析提供线索及证据，以便于发现潜在的网络安全威胁行为，开展网络安全风险分析及管理。

常见的安全审计功能是安全事件采集、存储和查询。对于重要的信息系统，则部署独立的网络安全审计系统。

国家标准GB 17859《计算机信息系统安全保护等级划分准则》第二级开始要求提供审计安全机制。

网络安全审计系统组成与类型

网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。

网络安全审计系统类型：

按照审计对象类型分类：操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、网络安全设备审计、工控安全审计、移动安全审计、互联网安全审计、代码安全设计。

按照审计范围分为：综合审计系统和单个设计系统。

网络安全审计机制与实现技术

网络安全审计机制主要有：基于主机的审计机制、基于网通信的审计机制、基于应用的审计机制

常用的审计技术：

系统日志数据采集技术

网络流量数据获取技术：共享网络监听、交换机端口镜像、网络分流器；网络流量采集设备：Libpcap、winpcap、winpcap、windump、tcpdump、wrieshark

网络审计数据安全分析技术：字符串匹配、全文搜索、数据关联、统计报表、可视化分析等。

网络审计数据存储技术：一种是由审计数据产生的系统自己分散存储，审计数据保存在不同系统中；另一种集中采集各种系统的审计数据，建立审计数据存储服务器，由专用的存储设备保存，便于事后查询分析和电子取证。

网络审计数据保护技术：系统用户分权管理、审计数据强制访问、审计数据加密、审计数据隐私保护、审计数据完整性保护

网络安全审计主要产品与技术指标

主要产品：

日志安全审计产品：主要功能：日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理

主机监控与审计产品：主要功能：系统用户监控、系统配置管理、补丁管理、准入控制、存储介质管理、非法外联管理

数据库审计产品：三种方式：网络监听审计、自带审计、数据库Agent

网络安全审计产品：主要功能：网络流量采集、网络流量数据挖掘分析

工业控制系统网络审计产品：实现方式：一种是一体化集中产品，即将数据采集和分析功能集中在一台硬件中，统一完成分析功能；另一种是由采集端和分析端两部分组成。

运维安全审计产品：是有关网络设备服务器操作的审计系统，为管理人员及时发现权限滥用、违规操作等情况，准确定位身份，以便追查取证。主要功能：字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计

网络安全审计主要指标：支持网络带宽大小、协议识别的种类、原始数据包查询响应时间

网络安全审计应用

安全运维保障、数据访问监测、网络入侵检测、网络电子取证