网络安全审计概念：网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施...。

常见的安全审计功能是安全事件采集、存储和查询。

美国，《可信计算机系统评估标准》TCSEC。TCSEC从C2级开始提出了安全审计的要求

我国，GB17859《计算机信息系统安全保护等级划分准则》。从第二级开始要求提供审计安全机制。第二级为系统审计保护级。---->用户（去）西安接房

第三级，安全标记保护级。在第二级的基础上，要求增强的审计功能是：审计记录包含客体名及客体的安全级别。此外，计算机信息系统可信计算具有审计更改可读输出记号的能力

第四级，结构化保护级。在安全标记保护级的基础上，要求增强的审计功能是：计算机信息系统可信计算能够审计利用隐蔽存储信道时可能被使用的事件

第五级，访间验证保护级。在结构化保护级的基础上，要求增强的审计功能是：计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制，当超过阙值时，能够立即向安全管理员发出报警。并且，如果这些与安全相关的事件继续发生或 积累，系统应以最小的代价中止它们

网络安全审计系统组成：网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。

针对不同的审计对象，安全审计系统的组成部分各不相同，审计细粒度也有所区分。例如，操作系统的安全审计可以做到对进程活动、文件操作的审计；网络通信安全审计既可对IP包的源地址、目的地址进行审计，又可以对IP包的内容进行深度分析，实现网络内容审计。---注意区分

按照审计对象类型分类

按照审计范围

网络安全审计机制主要有①基于主机的审计机制、②基于网络通信的审计机制、③基于应用的审计机制等。

（1） 系统日志数据采集技术

（2） 监听网络流量数据获取技术

（3） 网络审计数据安全分析技术

（4） 网络审计数据存储技术

（5） 网络审计数据保护技术

日志安全审计产品：日志安全审计产品是有关日志信息采集、分析与管理的系统。产品的基本原理是利用Syslog、Snmptrap、NetFlow、Telnet、SSH、WMI、FTP、SFTP、SCP、JDBC、文件等技术，对分散设备的异构系统日志进行分布采集、集中存储、统计分析、集中管理，便于有关单位／机构进行安全合规管理，保护日志信息安全。日志安全审计产品的主要功能有日志采集、日志存储、日志分析、日志查询、事件告警、统计报表、系统管理等。

主机监控与审计产品：是有关主机行为信息的安全审查及管理的系统。产品的基本原理是通主机监控与审计产品过代理程序对主机的行为信息进行采集，然后基于采集到的信息进行分析，以记录系统行为，帮助管理员评估操作系统的风险状况，并为相应的安全策略调整提供依据。该产品的主要功能有系统用户监控、系统配置管理、补丁管理、准入控制、存储介质（U盘）管理、非法外联管理等。

数据库审计产品：是对数据库系统活动进行审计的系统。产品的基本原理是通过网络流量监听、系统调用监控、数据库代理等技术手段对所有访问数据库系统的行为信息进行采集，然后对采集的信息进行分析，形成数据库操作记录，保存和发现数据库各种违规的或敏感的操作信息，为相应的数据库安全策略调整提供依据。在数据库审计产品中，实现数据库审计主要有如下三种方式。

①网络监听审计。对获取到的数据库流量进行分析，从而实现对数据库访问的审计和控制。其优点是数据库网络审计不影响数据库服务器，其不足是网络监听审计对加密的数据库网络流量难以审计，同时无法对数据库服务器的本地操作进行审计。

②自带审计。通过启用数据库系统自带的审计功能，实现数据库的审计。其优点是能够实现数据库网络操作和本地操作的审计，缺点是对数据库系统的性能有一些影响，在审计策略配置、记录的粒度、日志统一分析方面不够完善，日志本地存储容易被删除。

③数据库Agent。在数据库服务器上安装采集代理（Agent），通过Agent对数据库的各种访问行为进行分析，从而实现数据库审计。其优点是能够实现数据库网络操作和本地操作的审计，缺点是数据库Agent需要安装数据库服务器，对数据库服务系统的性能、稳定性、可靠性有影响。

网络安全审计产品：网络安全审计产品是有关网络通信活动的审计系统。产品的基本原理是通过网络流量信息采集及数据包深度内容分析，提供网络通信及网络应用的活动信息记录。网络安全审计常见的功能主要包括如下几个方面。

（1）网络流量采集。获取网上通信流量信息，按照协议类型及采集规则保存流量数据。

（2）网络流量数据挖掘分析。对采集到的网络流量数据进行挖掘，提取网络流量信息，形成网络审计记录，主要包括如下内容。

①邮件收发协议（SMTP、POP3协议）审计。

②网页浏览（HTTP协议）审计。

③文件共享（NetBios协议）审计。

④文件传输（FTP协议）审计。

⑤远程访问（Telnet协议）审计。

⑥DNS审计。

网络安全审计产品的性能指标主要有支持①网络带宽大小、②协议识别种类、③原始数据包查询响应时间等。

工业控制系统网络审计产品：工业控制系统网络审计产品是对工业控制网络中的协议、数据和行为等进行记录、分析，并做出一定的响应措施的信息安全专用系统。

工业控制系统网络审计产品的实现方式通常分两种情况：一种是一体化集中产品，即将数据采集和分析功能集中在一台硬件中，统一完成审计分析功能；另一种是由采集端和分析端两部分组成。

运维安全审计产品：运维安全审计产品是有关网络设备及服务器操作的审计系统。运维安全审计产品主要采集和记录IT系统维护过程中相关人员“在什么终端、什么时间、登录什么设备（或系统）、做了什么操作、返回什么结果、什么时间登出”等行为信息，为管理人员及时发现权限滥用、违规操作等情况，准确定位身份，以便追查取证。

运维安全审计产品的基本原理是通过网络流量信息采集或服务代理等技术方式，记录Telnet、FTP、SSH、tftp、HTTP等运维操作服务的活动信息。

运维安全审计产品的主要功能有字符会话审计、图形操作审计、数据库运维审计、文件传输审计、合规审计等。

①字符会话审计，审计SSH、Telnet等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作命令等。

②图形操作审计，审计RDP、VNC等远程桌面以及HTTP／HTTPS协议的图形操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。

③数据库运维审计，市计Oracle、MSSQLServer、IBMDB2、PostgreSQL等各主流数据库的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、设备IP、协议类型、危险等级和操作内容等。

④文件传输审计，审计FTP、SFTP等协议的操作行为，审计内容包括访问起始和终止时间、用户名、用户IP、设备名称、目标设备IP、协议类型、文件名称、危险等级和操作命令等。

⑤合规审计，根据上述审计内容，参照相关的安全管理制度，对运维操作进行合规检查，给出符合性审查。

安全运维保障：IT系统运维面临内部安全威胁和第三方外包服务安全风险，网络安全审计是应对运维安全风险的重要安全保障机制。通过运维审计，可以有效防范和追溯安全威胁操作。例如，通过关联分析还原堡垒机绕行运维操作。公司企业内部的运维人员如果通过堡垒主机对服务器进行操作，则符合公司企业内部的管理要求，若直接对服务器进行操作则视为非法操作，这一行为将被记录下来，通过该审计系统，管理人员可获知有运维人员在执行绕行操作。

数据访问监测：数据库承载企事业单位的重要核心数据资源，保护数据库的安全成为各相关部门的重要职责。数据库安全审计产品就是通过安全监测，智能化、自动地从海量日志信息中，发现违规访问或异常访问记录，从而有效降低安全管理员日志分析的工作量。

例如，通过分析数据库访问日志信息，可以自动发现违规访问的问题。在特定的业务环境中，用户在正常情况下应该通过前台的业务系统登录后修改后台数据库的内容。假如某个用户绕过了前台的业务系统，直接登录到数据库并篡改了其中的数据，则数据库管理人员通过分析用户访问日志信息，就可以发现该用户的数据库访问行为违背了业务逻辑，缺少与之相关的前台登录行为，从而有效识别该违规访问。

网络入侵检测：网络入侵检测对网络设备、安全设备、商用系统的日志信息进行实时收集和分析，可检测发现黑客入侵、扫描渗透、暴力破解、网络蠕虫、非法访问、非法外联和DDoS攻击。例如，攻击者常对服务器进行密码破解攻击，管理员可利用日志安全审计系统，实时地收集服务器的日志，分析服务器的认证日志信息，若发现连续多次出现认证出错信息，则可以判定服务器受到密码破解攻击，并产生实时告警，提醒管理员进行处理。

网络电子取证：日志分析技术广泛应用于计算机犯罪侦查与电子取证，许多案件借助日志分析技术提供线索、获取证据。如某市公安机关接到该市某大学的校园网络遭到攻击，造成网络瘫痪数日的报警。侦察人员通过路由器的日志文件进行排查，确定具有嫌疑的人员的IP，并根据IP确定了相应的犯罪嫌疑人，将犯罪嫌疑人计算机内的日志文件作为其犯罪的有力证据。