什麼叫安全審計
網絡安全審計(Audit)是指按照一定的安全策略,利用記錄、系統活動和用戶活動等信息,檢查、審查和檢驗操作事件的環境及活動,從而發現系統漏洞、入侵行為或改善系統性能的過程,它是提高系統安全性的重要手段。
系統活動:包括操作系統活動和應用程序進程的活動。
用戶活動:包括用戶在操作系統和應用程序中的活動,如用戶所使用的資源、使用時間、執行的操作等。
安全審計分類
網絡安全審計從審計級別上可分為3種類型:系統級審計、應用級審計和用戶級審計。
系統級審計
系統級審計主要針對系統的登入情況、用戶識別號、登入嘗試的日期和具體時間、退出的日期和時間、所使用的設備、登入後運行程序等事件信息進行審查。典型的系統級審計日誌還包括部分與安全無關的信息,如系統操作、費用記賬和網絡性能。這類審計卻無法跟蹤和記錄應用事件,也無法提供足夠的細節信息。
應用級審計
應用級審計主要針對的是應用程序的活動信息,如打開和關閉數據文件,讀取、編輯、刪除記錄或字段等特定操作,以及打印報告等。
用戶級審計
用戶級審計主要是審計用戶的操作活動信息,如用戶直接啟動的所有命令,用戶所有的鑑別和認證操作,用戶所訪問的文件和資源等信息。
常見安全審計產品
根據系統審計對象和審計內容的不同,常見的審計產品包括:網絡安全審計、數據庫安全審計、日誌審計、運維安全審計等。
網絡安全審計設備
1.網絡安全審計設備主要審計網絡方面的相關內容。針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。
2.滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便於信息追蹤、系統安全管理和風險防範。
3.通常採用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數據發送到審計設備。
數據庫安全系統
1.數據庫安全審計系統主要用於監視並記錄對數據庫服務器的各類操作行為。
2.審計對數據庫的各類操作,精確到每一條SQL命令,並有強大的報表功能。
3.通常採用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數據發送到審計設備。
日誌審計設備
1.日誌審計產品集中採集信息系統中的系統安全事件、用戶訪問記錄、系統運行日誌、系統運行狀態等各類信息,經過規範化、過濾、歸併和告警分析等處理後,以統一格式的日誌形式進行集中存儲和管理,結合豐富的日誌統計彙總及關聯分析功能,實現對信息系統日誌的全面審計。
2.日誌審計產品通過對網絡設備、安全設備、主機和應用系統日誌進行全面的標準化處理,及時發現各種安全威脅、異常行為事件,為管理人員提供全局的視角,確保客戶業務的不間斷運營安全。
3.通常旁路模式部署。通常由設備發送日誌到審計設備,或在服務器中安裝代理,由代理發送日誌到審計設備。
運維安全審計系統(堡壘機)
1.在一個特定的網絡環境下,為了保障網絡和數據不受來自內部合法用戶的不合規操作帶來的系統損壞和數據洩露,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、記錄、分析、處理的一種技術手段。
2.運維安全設計系統主要是針對運維人員維護過程的全面跟蹤、控制、記錄、回放,以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事後合規報告、事故追蹤回放。
3.通常採用旁路模式部署。使用防火牆對服務器訪問權限進行限制,只能通過堡壘機對網絡設備/服務器/數據庫等系統操作。
很明顯,安全審計產品最終的目的都是審計,只不過是審計的內容不同而已,根據不同需求選擇不同的審計產品,一旦出現攻擊、非法操作、違規操作、誤操作等行為,對事後處理提供有利證據。
安全審計作用
安全審計對系統記錄和行為進行獨立的審查和估計,主要作用如下:
1.對可能存在的潛在攻擊者起到威懾和警示作用,核心是風險評估。
2.測試系統的控制情況,及時進行調整,保證與安全策略和操作規程協調一致。
3.對已出現的破壞事件,做出評估並提供有效的災難恢復和追究責任的依據。
4.對系統控制、安全策略與規程中的變更進行評價和反饋,以便修訂決策和部署。
5.協助系統管理員及時發現網絡系統入侵或潛在的系統漏洞及隱患。
閱讀更多 網事如煙釋然 的文章
