举例说明安全审计机制的主要功能

有三种网络安全机制。 概述：

随着TCP/IP协议群在互联网上的广泛采用，信息技术与网络技术得到了飞速发展。随之而来的是安全风险问题的急剧增加。为了保护国家公众信息网以及企业内联网和外联网信息和数据的安全，要大力发展基于信息网络的安全技术。

信息与网络安全技术的目标

由于互联网的开放性、连通性和自由性，用户在享受各类共有信息资源的同事，也存在着自己的秘密信息可能被侵犯或被恶意破坏的危险。信息安全的目标就是保护有可能被侵犯或破坏的机密信息不被外界非法 *** 作者的控制。具体要达到：保密性、完整性、可用性、可控性等目标。

网络安全体系结构

国际标准化组织（ISO）在开放系统互联参考模型（OSI/RM）的基础上，于1989年制定了在OSI环境下解决网络安全的规则：安全体系结构。它扩充了基本参考模型，加入了安全问题的各个方面，为开放系统的安全通信提供了一种概念性、功能性及一致性的途径。OSI安全体系包含七个层次：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在各层次间进行的安全机制有：

1、加密机制

衡量一个加密技术的可靠性，主要取决于解密过程的难度，而这取决于密钥的长度和算法。

1）对称密钥加密体制对称密钥加密技术使用相同的密钥对数据进行加密和解密，发送者和接收者用相同的密钥。对称密钥加密技术的典型算法是DES（Data Encryption Standard数据加密标准）。DES的密钥长度为56bit，其加密算法是公开的，其保密性仅取决于对密钥的保密。优点是：加密处理简单，加密解密速度快。缺点是：密钥管理困难。

2）非对称密钥加密体制非对称密钥加密系统，又称公钥和私钥系统。其特点是加密和解密使用不同的密钥。

（1）非对称加密系统的关键是寻找对应的公钥和私钥，并运用某种数学方法使得加密过程成为一个不可逆过程，即用公钥加密的信息只能用与该公钥配对的私钥才能解密；反之亦然。

（2）非对称密钥加密的典型算法是RSA。RSA算法的理论基础是数论的欧拉定律，其安全性是基于大数分解的困难性。

优点：（1）解决了密钥管理问题，通过特有的密钥发放体制，使得当用户数大幅度增加时，密钥也不会向外扩散；（2）由于密钥已事先分配，不需要在通信过程中传输密钥，安全性大大提高；（3）具有很高的加密强度。

缺点：加密、解密的速度较慢。

2、安全认证机制

在电子商务活动中，为保证商务、交易及支付活动的真实可靠，需要有一种机制来验证活动中各方的真实身份。安全认证是维持电子商务活动正常进行的保证，它涉及到安全管理、加密处理、PKI及认证管理等重要问题。目前已经有一套完整的技术解决方案可以应用。采用国际通用的PKI技术、X509证书标准和X500信息发布标准等技术标准可以安全发放证书，进行安全认证。当然，认证机制还需要法律法规支持。安全认证需要的法律问题包括信用立法、电子签名法、电子交易法、认证管理法律等。

1）数字摘要

数字摘要采用单向Hash函数对信息进行某种变换运算得到固定长度的摘要，并在传输信息时将之加入文件一同送给接收方；接收方收到文件后，用相同的方法进行变换运算得到另一个摘要；然后将自己运算得到的摘要与发送过来的摘要进行比较。这种方法可以验证数据的完整性。

2）数字信封

数字信封用加密技术来保证只有特定的收信人才能阅读信的内容。具体方法是：信息发送方采用对称密钥来加密信息，然后再用接收方的公钥来加密此对称密钥（这部分称为数字信封），再将它和信息一起发送给接收方；接收方先用相应的私钥打开数字信封，得到对称密钥，然后使用对称密钥再解开信息。

3）数字签名

数字签名是指发送方以电子形式签名一个消息或文件，表示签名人对该消息或文件的内容负有责任。数字签名综合使用了数字摘要和非对称加密技术，可以在保证数据完整性的同时保证数据的真实性。

4）数字时间戳

数字时间戳服务（DTS）是提供电子文件发表时间认证的网络安全服务。它由专门的机构（DTS）提供。

5）数字证书

数字证书（Digital ID）含有证书持有者的有关信息，是在网络上证明证书持有者身份的数字标识，它由权威的认证中心（CA）颁发。CA是一个专门验证交易各方身份的权威机构，它向涉及交易的实体颁发数字证书。数字证书由CA做了数字签名，任何第三方都无法修改证书内容。交易各方通过出示自己的数字证书来证明自己的身份。

在电子商务中，数字证书主要有客户证书、商家证书两种。客户证书用于证明电子商务活动中客户端的身份，一般安装在客户浏览器上。商家证书签发给向客户提供服务的商家，一般安装在商家的服务器中，用于向客户证明商家的合法身份。

3、访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用。下面我们分述几种常见的访问控制策略。

1）入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，以及用户入网时间和入网地点。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。只有通过各道关卡，该用户才能顺利入网。

对用户名和口令进行验证是防止非法访问的首道防线。用户登录时，首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证输入的口令，否则，用户将被拒之网络之外。用户口令是用户入网的关键所在。为保证口令的安全性，口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。

2）网络的权限控制

网络的权限控制是针对网络非法 *** 作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些 *** 作。我们可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配 *** 作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3）目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在月录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（MOdify）、文件查找权限（FileScan）、存取控制权限（AccessControl）。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络信息传输的安全性将变得十分重要。

安华金和数据库审计系统能给用户带来的好处有如下几点：

1、协助用户完成安全合规建设，安华金和数据库审计系统通过全面行为审计、数据 *** 作监控、风险事件告警、行为分析建模、审计记录留存、专项合规报表等功能特性，协助用户完成安全合规建设

2、协助用户实时感知风险、了解安全状况，安华金和数据库审计系统通过对登录异常、 *** 作异常、数据异动异常、漏洞攻击、SQL注入等监测，以及事中异常行为告警，第一时间协助用户实时感知风险、了解安全状况，及时止损，使损失降到最低。

3、为数据泄漏追溯、分析、定责提供支撑，安华金和数据库审计系统通过会话回放、行为轨迹图等检索查询能力能够有效进行事件追溯；通过登录行为分析、访问行为分析、数据使用等行为分析，有效对所有数据库 *** 作访问行文进行统计分析；对访问源身份、应用身份的识别，形成完整证据链条有效进行责任认定，从而为数据泄漏追溯、分析、定责提供支撑。

4、帮助企业及时发现生产过程数据异动，减少损失，安华金和数据库审计系统通过配置敏感数据访问规则来定义数据使用规范；通过实时监控告警，使用户第一时间发现异常使用行为；通过事件多角度关联分析，分析异常产生过程，来定位数据使用问题，使用户及时处置高危 *** 作风险，减少损失。

5、帮助用户辅助进行性能分析评估，优化业务系统

6、安华金和数据库审计系统具有失败SQL分析能力，能够真实呈现数据库对失败SQL应答信息，便于分析语句正确性及合理性；具有SQL耗时统计能力，能够记录SQL执行时长及结果集返回时长，辅助定位性能问题，找出需要优化的语句；具有TOP SQL分析能够能力，提供最多执行次数语句统计及执行耗时最长SQL统计，便于快速定位问题，从而帮助用户辅助进行性能分析评估，优化业务系统。

是可以的，无论是手机、还是路由器等相关设备，你日常使用都会产生日志，所谓日志就是记录你设备使用的第一步。

而这些日志数据，会存储在设备上，有些则保存一定时限，有些则长期保存，有些则后台传到远程服务器上备份等。。这就是大数据时代了。。这些数据，作用于如商业分析、社会数据、治安备份、国家安全等等方面。

而这些数据，只有特定的程序和设备才可以查看（除非设备方允许你直接查看，如一些路由器就可以查看一些简单的日志，企业级路由器则功能更大点。）

打个比方，我们现在的反腐行动，某些人的旧手机，就算没SIM卡，只要有需要，这手机所有通讯过的电话、短信、聊天、上网等等记录日志，全都可以一一查出来。。

又如你现在用的电脑， *** 作的一举一动，也都会写进日志中的。。

上网行为管理

设备简单来说就是管理企业员工的上网行为，期主要功能有网页过滤与审计、

应用控制

、带宽管理、

内容管理

及终端控制与准入等功能。通过上网行为管理设备，可以有效的提高员工的工作效率。

网康

算是在这个行业做得不错的，产品和售后的口碑都比较好。

无论是何种审计产品，从产品功能组成上都应该包括 ：

1 信息采集功能：就是能够通过某种技术手段获取需要审计的数据，例如日志，网络数据包等。对于该功能的考察，关键是其采集信息的手段种类、采集信息的范围、采集信息的粒度（细致程度）。如果采用数据包审计技术的话，网络协议抓包和分析引擎显得尤为重要。如果采用日志审计技术的话，日志归一化技术则是考察厂家基本功和专业能力的地方。

2 信息分析功能：对于采集上来的信息进行分析、审计。这是审计产品的核心，审计效果好坏直接由此体现出来。在实现信息分析的技术上，简单的技术可以是基于数据库的信息查询和比较；复杂的技术则包括实时关联分析引擎技术，采用基于规则的审计、基于统计的审计，以及时序的审计算法，等等。

3 信息存储功能：对于采集到原始信息，以及审计后的信息都要进行保存，备查，并可以作为取证的依据。在该功能的实现上，关键点包括海量信息存储技术、以及审计信息安全保护技术。

4 信息展示功能：包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能，等等。这部分功能是审计效果的最直接体现，是各个厂家各显神通的地方。

5 产品自身安全性和可审计性功能：审计产品自身必须是安全的，包括要确保审计数据的完整性、机密性和有效性，对审计系统的访问要安全。此外，所有针对审计产品的访问和 *** 作也要记录日志，并且能够被审计。

上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

上网行为管理产品及技术是专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；并可实时监控、管理网络资源使用情况，提高整体工作效率。上网行为管理产品系列适用于需实施内容审计与行为监控、行为管理的网络环境，尤其是按等级进行计算机信息系统安全保护的相关单位或部门。

标准功能

    上网浏览管理

搜索引擎管理：利用搜索框关键字的识别、记录、阻断技术，确保上网搜索内容的合法性，避免不当关键词的搜索带来的负面影响。

网址URL管理：利用网页分类库技术，对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。

网页正文管理：利用正文关键字识别、记录、阻断技术，确保浏览正文的合法性

文件下载管理：利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性

上网外发管理

普通邮件管理：利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性

WEB邮件管理：利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性

网页发帖管理：利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性

即时通讯管理：利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性

其他外发管理：针对FTP、TELNET等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性

上网行为审计基于应用层协议还原的行为和内容审计

网页浏览(HTTP协议)审计，记录机器IP、访问网址等信息记录用户网页浏览的时间、URL 地址、标题、源目的IP地址、源MAC地址、源目的端口、网址分类信息、机器名称、使用者。还可以记录网页发帖和BBS发帖的内容、支持常见的搜索引擎关键字审计。

网络聊天审计:腾讯QQ、Windows Live Messenger、ICQ 、YAH0O Messenger、网易泡泡、淘宝阿里旺旺、新浪UC、QQ聊天室等聊天软件,可记录聊天帐号，聊天工具，未加密的聊天内容等信息记录用户聊天的时间、聊天工具、聊天帐号、源IP地址、源MAC地址、机器名称、使用者。还能记录通过MSN、 ICQ、YAHOO MESSENGER、UC等聊天工具聊天的内容和文件传输的内容。

收发邮件( POP3、SMTP、WEBMAIL、LOTUS、EXCHANGE)，可对邮件帐号、标题、内容、附件进行审计。如记录用户收发邮件的时间、收发件人、主题、附件、内容、源目的IP 地址、源MAC地址、源目的端口、机器名称、使用者。

P2P协议审计可以审计通过P2P文件传输(迅雷、BT、 电骡等)时种子链接所访问的URL、源目的IP地址、源MAC地址、外网端口、机器名称、使用者。管理员可以根据URL对种子文件进行封堵。

股票审计:审计大智慧、问花顺、钱龙等股票软件记录用户炒股。

用的大智慧、同花顺、钱龙等股票工具的使用时间、源IP地址、源MAC地址、软件名称、机器名称、使用者。

搜索关键词审计:baidu、google等常见搜索网站远程登录(TELNET协议)审计文件传输(FTP 协议)审计除了记录用户文件传输的行为外，还能记录包括BT在内的文件传输行为的传输方向，上传文件名，文件大小，状态，传输类型。指定允许发送/接收到文件服务器。

查询红帽系统是否开启审计功能，可以执行以下命令：

```

systemctl status auditd

```

如果返回结果中显示"Active: active (running)"，则表示审计功能已开启。如果返回结果中显示"Active: inactive (dead)"，则表示审计功能未开启。

审计功能可以记录系统的 *** 作日志和事件，包括用户登录、文件访问、网络连接等，用于监控系统安全和追踪系统问题。因此，开启审计功能可以提升系统的安全性和可靠性，对于需要保护隐私和敏感信息的系统尤为重要。

在红帽系统中，审计功能的配置和管理可以通过auditd服务来完成，可以使用auditctl命令进行配置和查询。同时，还可以使用第三方工具如aureport、ausearch等来分析和查询审计日志。

总之，开启审计功能不仅可以提升系统的安全性和可靠性，还可以提供重要的日志信息用于系统监控和问题排查。