光大證券網路安全審計

1. 能說一下錢包安全審計是什麼嗎這陣子都在說時代安全，他們的錢包安全審計好不好用

近年來，數字錢包安全事件頻發。

2019年11月19日，Ars Technica報道稱兩個加密貨幣錢包數據遭泄露，220萬賬戶信息被盜。安全研究員Troy Hunt證實，被盜數據來自加密貨幣錢包GateHub和RuneScape機器人提供商EpicBot的賬戶。

這已經不是Gatehub第一次遭遇數據泄露了。據報道，去年6月，黑客入侵了大約100 個XRP Ledger錢包，導致近1000萬美元的資金被盜。

2019年3月29日，Bithumb失竊事件鬧得沸沸揚揚。據猜測，這次事件起因為Bithumb擁有的g4ydomrxhege帳戶的私鑰被黑客盜取。

隨即，黑客將竊取的資金分散到各個交易所，包括火幣，HitBTC，WB和EXmo。根據非官方數據和用戶估計，Bithumb遭受的損失高達300萬個EOS幣（約1300萬美元）和2000萬個XRP幣（約600萬美元）以上。

由於數字貨幣的匿名性及去中心化，導致被盜資產在一定程度上難以追回。因此，錢包的安全性至關重要。

CertiK技術團隊認為這是減少攻擊面和保護用戶隱私的方法。

但是，如果應用程序希望為客戶提供除了帳戶管理和令牌傳輸之外的更多功能，那麼該應用程序可能需要一個帶有資料庫和伺服器端代碼的中心化伺服器。

伺服器端組件要測試的項目高度依賴於應用程序特性。

根據在研究以及與客戶接觸中發現的伺服器端漏洞，我們編寫了下文的漏洞檢查表。當然，它並不包含所有可能產生的伺服器端漏洞。

認證和授權

KYC及其有效性

競賽條件

雲端伺服器配置錯誤

Web伺服器配置錯誤

不安全的直接對象引用(IDOR)

服務端請求偽造(SSRF)

不安全的文件上傳

任何類型的注入(SQL，命令，template)漏洞

任意文件讀/寫

業務邏輯錯誤

速率限制

拒絕服務

信息泄漏

總結

隨著技術的發展，黑客們實施的欺詐和攻擊手段也越來越多樣化。

CertiK安全技術團隊希望通過對加密錢包安全隱患的分享讓用戶更清楚的認識和了解數字貨幣錢包的安全性問題、提高警惕。

現階段，許多開發團隊對於安全的問題重視程度遠遠低於對於業務的重視程度，對自身的錢包產品並未做到足夠的安全防護。通過分享加密錢包的安全審計類目，CertiK期望加密錢包項目方對於產品的安全標准擁有清晰的認知，從而促進產品安全升級，共同保護用戶資產的安全性。

數字貨幣攻擊是多技術維度的綜合攻擊，需要考慮到在數字貨幣管理流通過程中所有涉及到的應用安全，包括電腦硬體、區塊鏈軟體，錢包等區塊鏈服務軟體，智能合約等。

加密錢包需要重視對於潛在攻擊方式的檢測和監視，避免多次受到同一方式的攻擊，並且加強數字貨幣賬戶安全保護方法，使用物理加密的離線冷存儲（cold storage）來保存重要數字貨幣。除此之外，需要聘請專業的安全團隊進行網路層面的測試，並通過遠程模擬攻擊來尋找漏洞。

2. 所謂的上網行為審計可以知道多少內容

上網行為審計，能夠透明地審計並管理員工的上網行為，屏蔽黃、賭、毒、邪教、黑客等不良網站，同時能夠很好地滿足來自信息安全市場的多種需求，例如政府、教育、企業等客戶，從而達到提升教育形象、化解潛在的法律責任、提高企業的工作效率、營造綠色校園網路環境的目的，形成橫跨多種行業的專業安全審計方案。同時，網路哨兵還能滿足公安網監部門對聯網用戶上網行為審計備案的要求，為調查網路犯罪，提供了有力的取證信息和技術支持，切實符合國務院針對互聯網提出的「興利除弊、促進發展」的戰略方針！
上網行為審計可以知道你們的以下內容：
網頁瀏覽（HTTP）審計
加密網頁瀏覽（HTTPS）審計
網路聊天審計(IM)
加密網路聊天內容審計（QQ、MSNSHELL）
收發郵件審計（標題、正文、附件）
P2P、BT 協議審計和封堵
搜索關鍵詞審計
文件傳輸（FTP 協議）審計
音視頻審計
網路游戲審計
帶寬流量管理（QoS）
時間控制策略
分析和統計功能
路由功能
防火牆功能
預防DOS攻擊
VPN功能
認證方式
VLAN支持
非法外聯控制
VPN、VNC等遠程應用軟體審計
語音聊天記錄
擴展性（網路級聯）
多線路支持
時間管理控制
文件下載類型控制
文件上傳本地存檔
用戶許可權管理

3. 安全審計的功能

有三種網路安全機制。 概述： 隨著TCP/IP協議群在互聯網上的廣泛採用，信息技術與網路技術得到了飛速發展。隨之而來的是安全風險問題的急劇增加。為了保護國家公眾信息網以及企業內聯網和外聯網信息和數據的安全，要大力發展基於信息網路的安全技術。 信息與網路安全技術的目標 由於互聯網的開放性、連通性和自由性，用戶在享受各類共有信息資源的同事，也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險。信息安全的目標就是保護有可能被侵犯或破壞的機密信息不被外界非法操作者的控制。具體要達到：保密性、完整性、可用性、可控性等目標。 網路安全體系結構 國際標准化組織（ISO）在開放系統互聯參考模型（OSI/RM）的基礎上，於1989年制定了在OSI環境下解決網路安全的規則：安全體系結構。它擴充了基本參考模型，加入了安全問題的各個方面，為開放系統的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系包含七個層次：物理層、數據鏈路層、網路層、傳輸層、會話層、表示層和應用層。在各層次間進行的安全機制有： 1、加密機制 衡量一個加密技術的可靠性，主要取決於解密過程的難度，而這取決於密鑰的長度和演算法。 1）對稱密鑰加密體制對稱密鑰加密技術使用相同的密鑰對數據進行加密和解密，發送者和接收者用相同的密鑰。對稱密鑰加密技術的典型演算法是DES（Data Encryption Standard數據加密標准）。DES的密鑰長度為56bit，其加密演算法是公開的，其保密性僅取決於對密鑰的保密。優點是：加密處理簡單，加密解密速度快。缺點是：密鑰管理困難。 2）非對稱密鑰加密體制非對稱密鑰加密系統，又稱公鑰和私鑰系統。其特點是加密和解密使用不同的密鑰。 （1）非對稱加密系統的關鍵是尋找對應的公鑰和私鑰，並運用某種數學方法使得加密過程成為一個不可逆過程，即用公鑰加密的信息只能用與該公鑰配對的私鑰才能解密；反之亦然。 （2）非對稱密鑰加密的典型演算法是RSA。RSA演算法的理論基礎是數論的歐拉定律，其安全性是基於大數分解的困難性。 優點：（1）解決了密鑰管理問題，通過特有的密鑰發放體制，使得當用戶數大幅度增加時，密鑰也不會向外擴散；（2）由於密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高；（3）具有很高的加密強度。 缺點：加密、解密的速度較慢。 2、安全認證機制 在電子商務活動中，為保證商務、交易及支付活動的真實可靠，需要有一種機制來驗證活動中各方的真實身份。安全認證是維持電子商務活動正常進行的保證，它涉及到安全管理、加密處理、PKI及認證管理等重要問題。目前已經有一套完整的技術解決方案可以應用。採用國際通用的PKI技術、X.509證書標准和X.500信息發布標准等技術標准可以安全發放證書，進行安全認證。當然，認證機制還需要法律法規支持。安全認證需要的法律問題包括信用立法、電子簽名法、電子交易法、認證管理法律等。 1）數字摘要 數字摘要採用單向Hash函數對信息進行某種變換運算得到固定長度的摘要，並在傳輸信息時將之加入文件一同送給接收方；接收方收到文件後，用相同的方法進行變換運算得到另一個摘要；然後將自己運算得到的摘要與發送過來的摘要進行比較。這種方法可以驗證數據的完整性。 2）數字信封 數字信封用加密技術來保證只有特定的收信人才能閱讀信的內容。具體方法是：信息發送方採用對稱密鑰來加密信息，然後再用接收方的公鑰來加密此對稱密鑰（這部分稱為數字信封），再將它和信息一起發送給接收方；接收方先用相應的私鑰打開數字信封，得到對稱密鑰，然後使用對稱密鑰再解開信息。 3）數字簽名 數字簽名是指發送方以電子形式簽名一個消息或文件，表示簽名人對該消息或文件的內容負有責任。數字簽名綜合使用了數字摘要和非對稱加密技術，可以在保證數據完整性的同時保證數據的真實性。 4）數字時間戳 數字時間戳服務（DTS）是提供電子文件發表時間認證的網路安全服務。它由專門的機構（DTS）提供。 5）數字證書 數字證書（Digital ID）含有證書持有者的有關信息，是在網路上證明證書持有者身份的數字標識，它由權威的認證中心（CA）頒發。CA是一個專門驗證交易各方身份的權威機構，它向涉及交易的實體頒發數字證書。數字證書由CA做了數字簽名，任何第三方都無法修改證書內容。交易各方通過出示自己的數字證書來證明自己的身份。 在電子商務中，數字證書主要有客戶證書、商家證書兩種。客戶證書用於證明電子商務活動中客戶端的身份，一般安裝在客戶瀏覽器上。商家證書簽發給向客戶提供服務的商家，一般安裝在商家的伺服器中，用於向客戶證明商家的合法身份。 3、訪問控制策略 訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用。下面我們分述幾種常見的訪問控制策略。 1）入網訪問控制 入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源，以及用戶入網時間和入網地點。 用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。只有通過各道關卡，該用戶才能順利入網。 對用戶名和口令進行驗證是防止非法訪問的首道防線。用戶登錄時，首先輸入用戶名和口令，伺服器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證輸入的口令，否則，用戶將被拒之網路之外。用戶口令是用戶入網的關鍵所在。為保證口令的安全性，口令不能顯示在顯示屏上，口令長度應不少於6個字元，口令字元最好是數字、字母和其他字元的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基於單向函數的口令加密，基於測試模式的口令加密，基於公鑰加密方案的口令加密，基於平方剩餘的口令加密，基於多項式共享的口令加密，基於數字簽名方案的口令加密等。用戶還可採用一次性用戶口令，也可用攜帶型驗證器（如智能卡）來驗證用戶的身份。 2）網路的許可權控制 網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問許可權將用戶分為以下幾類：（1）特殊用戶（即系統管理員）；（2）一般用戶，系統管理員根據他們的實際需要為他們分配操作許可權；（3）審計用戶，負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。 3）目錄級安全控制 網路應允許控制用戶對目錄、文件、設備的訪問。用戶在月錄一級指定的許可權對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種：系統管理員許可權（Supervisor）、讀許可權（Read）、寫許可權（Write）、創建許可權（Create）、刪除許可權（Erase）、修改許可權（MOdify）、文件查找許可權（FileScan）、存取控制許可權（AccessControl）。用戶對文件或目標的有效許可權取決於以下二個因素：用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權，這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對伺服器資源的訪問，從而加強了網路和伺服器的安全性。 隨著計算機技術和通信技術的發展，計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網路的脆弱性和潛在威脅，採取強有力的安全策略，對於保障網路信息傳輸的安全性將變得十分重要。

4. 安全審計系統是什麼

而審計的話就會有相應的審計報告。因為是國家保密資質評分標准，所以這些國家的保密單位必須將這些需要審計的報告內容急性文檔化的管理，把每次審計報告的結果，進行文檔化管理，至於內容就是根據國家安全保密標准規定參考，那裡面根據密級級別有詳細劃分，也就是審計報告要達到的內容，文檔化就是需要將這些審計報告產生的結果，做為統計，或者歸檔，並保存起來，作為規范的文檔來管理，像一些公文一樣。

5. 全流量安全審計平台是幹嘛用的

幫助安全人員審計系統的可靠性和安全性。
中孚網路安全審計系統是對網路全流量進行高性能審計和分析的安全審計產品。安全審計的跟蹤功能是幫助安全人員審計系統的可靠性和安全性，對妨礙系統運行的明顯企圖及時報告給安全控制台，及時採取措施。

6. 資料庫安全審計系統的市場分析

傳統的關系型資料庫審計已經很成熟，我們說說大資料庫審計面臨的挑戰，安華金和在一個個針對大數據審計的項目落地過程中總結發現：
以操作類型為視角的統計很多場景不再實用，如HDFS下的資料庫語句實際上是對文件系統的操作命令ls、cp等；
由於大數據存儲節點眾多，故數據訪問埠范圍的不確定性也隨之而來，傳統資料庫審計對IP+埠的數據模型已不再適用，大數據審計一般都採用動態的埠范圍，而且范圍較大，如某項目現場的Hive埠數量30+；
語句模板難以用SQL方式翻譯，在關系型資料庫審計中安華金和的語句模板機制極大的減少了語句記錄量，業務審計中以模板方式也極大的提高了統計和分析的價值，但大數據應用下這種方式將難以繼續這種業務呈現；
業務化語言無法匹配，關系型資料庫的業務化語言翻譯不再適用於大數據時代。
這里提到的「大數據審計」有兩層含義：
一是對使用大數據作為業務資料庫存儲的這類「資料庫」審計；
二是對大量業務產生的審計數據以大數據方式存儲。
前者的本質在於資料庫的審計，後者的核心在於審計數據結果的處理。
在大數據使用愈發普及的市場背景下，以上兩個方面常常同時出現：為了更好的服務於業務，大數據形態不斷擴展和業務逐漸成熟，大數據審計成為剛需；大量的審計數據結果需要更大的存儲空間和更龐大的後續統計分析，而這正是大數據擅長的地方，所以演變成了「用一個大數據應用來審計業務系統的大數據」。
在完成對大數據審計的協議解析後，如何呈現更合理的審計結果和統計分析？安華金和的思路是：基於現有DBAudit的語句、會話、風險三大視角基礎框架，基於大數據形態做針對性的審計數據結果呈現和風險策略告警能力，DBAudit新的版本將會帶來耳目一新的價值體現。
被審計資料庫節點的極大增長，以及審計結果數據量的猛增，審計系統本身也將步入大數據化。
對大數據的審計支持能力，安華金和在國內廠商中一馬當先，目前支持的大數據形態有：Hive、HBase、Sentry、HDFS、Impala、ElasticSearch，以及MangoDB、Redis等非關系型資料庫。你與他們交流下，會有不同的收獲。

7. 網路環境中部署安全審計系統的目的

1.對潛在攻擊者起到威懾和警示作用；

2.及時檢測系統，保證與安全策略和操作規程協調一致。

3.對破壞事件做出評估並提供有效的解決策略。

4.對系統控制、安全策略與規程中的變更進行評價和反饋，以便修訂決策和部署。

5.協助系統管理員及時發現網路系統入侵或潛在的系統漏洞及隱患。

8. 互聯網安全審計的採取積極措施

七、各級人民政府及有關部門要採取積極措施，在促進互聯網的應用和網路技術的普及過程中，重視和支持對網路安全技術的研究和開發，增強網路的安全防護能力。有關主管部門要加強對互聯網的運行安全和信息安全的宣傳教育，依法實施有效的監督管理，防範和制止利用互聯網進行的各種違法活動，為互聯網的健康發展創造良好的社會環境。從事互聯網業務的單位要依法開展活動，發現互聯網上出現違法犯罪行為和有害信息時，要採取措施，停止傳輸有害信息，並及時向有關機關報告。任何單位和個人在利用互聯網時，都要遵紀守法，抵制各種違法犯罪行為和有害信息。人民法院、人民檢察院、公安機關、國家安全機關要各司其職，密切配合，依法嚴厲打擊利用互聯網實施的各種犯罪活動。要動員全社會的力量，依靠全社會的共同努力，保障互聯網的運行安全與信息安全，促進社會主義精神文明和物質文明建設。

9. 安全審計的包含內容

安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業根據具體的計算機應用,結合單位實際制定出的安全控制要求。安全漏洞是指系統的安全薄弱環節,容易被干擾或破壞的地方。控制措施是指企業為實現其安全控制目標所制定的安全控制技術、配置方法及各種規范制度。控制測試是將企業的各種安全控制措施與預定的安全標准進行一致性比較,確定各項控制措施是否存在、是否得到執行、對漏洞的防範是否有效,評價企業安全措施的可依賴程度。顯然,安全審計作為一個專門的審計項目,要求審計人員必須具有較強的專業技術知識與技能。
安全審計是審計的一個組成部分。由於計算機網路環境的安全將不僅涉及國家安危,更涉及到企業的經濟利益。因此,我們認為必須迅速建立起國家、社會、企業三位一體的安全審計體系。其中,國家安全審計機關應依據國家法律,特別是針對計算機網路本身的各種安全技術要求,對廣域網上企業的信息安全實施年審制。另外,應該發展社會中介機構,對計算機網路環境的安全提供審計服務,它與會計師事務所、律師事務所一樣,是社會對企業的計算機網路系統的安全作出評價的機構。當企業管理當局權衡網路系統所帶來的潛在損失時,他們需要通過中介機構對安全性作出檢查和評價。此外財政、財務審計也離不開網路安全專家,他們對網路的安全控製作出評價,幫助注冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判斷。
根據互聯網安全顧問團主席Ira Winkler，安全審計、易損性評估以及滲透性測試是安全診斷的三種主要方式。這三個分別採用不同的方法，分別適於特定的目標。安全審計測量信息系統對於一系列標準的性能。而易損性評估涉及整個信息系統的綜合考察以及搜索潛在的安全漏洞。滲透性測試是一種隱蔽的操作，安全專家進行大量的攻擊來探查系統是否能夠經受來自惡意黑客的同類攻擊。在滲透性測試中，偽造的攻擊可能可能包括社會工程等真正黑客可能嘗試的任何攻擊。這些方法各有其固有的能力，聯合使用兩個或者多個可能是最有效的。

10. 什麼是安全審計，關於資料庫的

資料庫安全審計主要用於監視並記錄對資料庫伺服器的各類操作行為，通過對網路數據的分析，實時地、智能地解析對資料庫伺服器的各種操作，並記入審計資料庫中以便日後進行查詢、分析、過濾，實現對目標資料庫系統的用戶操作的監控和審計。它可以監控和審計用戶對資料庫中的資料庫表 、視圖、序列、包、存儲過程、函數、庫、索引、同義詞、快照、觸發器等的創建、修改和刪除等，分析的內容可以精確到SQL操作語句一級。它還可以根據設置的規則，智能的判斷出違規操作資料庫的行為，並對違規行為進行記錄、報警。由於資料庫安全審計系統是以網路旁路的方式工作於資料庫主機所在的網路，因此它可以在根本不改變資料庫系統的任何設置的情況下對資料庫的操作實現跟蹤記錄、定位，實現資料庫的在線監控，在不影響資料庫系統自身性能的前提下，實現對資料庫的在線監控和保護，及時地發現網路上針對資料庫的違規操作行為並進行記錄、報警和實時阻斷，有效地彌補現有應用業務系統在資料庫安全使用上的不足，為資料庫系統的安全運行提供了有力保障。
一、資料庫安全審計主要功能包括：
· 實時監測並智能地分析、還原各種資料庫操作。
· 根據規則設定及時阻斷違規操作，保護重要的資料庫表和視圖。
· 實現對資料庫系統漏洞、登錄帳號、登錄工具和數據操作過程的跟蹤，發現對資料庫系統的異常使用。
· 支持對登錄用戶、資料庫表名、欄位名及關鍵字等內容進行多種條件組合的規則設定，形成靈活的審計策略。
· 提供包括記錄、報警、中斷和向網管系統報警等多種響應措施。
· 具備強大的查詢統計功能，可生成專業化的報表。
二、資料庫安全審計主要特點
· 採用旁路技術，不影響被保護資料庫的性能。
· 使用簡單，不需要對被保護資料庫進行任何設置。
· 支持SQL-92標准，適用面廣，可以支持Oracle、MS SQL Server、Sybase、Informix等多類資料庫。
· 審計精細度高，可審計並還原SQL操作語句。
· 採用分布式監控與集中式管理的結構，易於擴展。
· 完備的"三權分立"管理體系，適應對敏感內容審計的管理要求。