安全设备(九)——安全审计产品

发布者:马威发布时间:2022-03-16浏览次数:403

    网络安全审计(Audit)是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程,它是提高系统安全性的重要手段。

    系统活动:包括操作系统活动和应用程序进程的活动。

    用户活动:包括用户在操作系统和应用程序中的活动,如用户所使用的资源、使用时间、执行的操作等。

    安全审计分类

    网络安全审计从审计级别上可分为3种类型:系统级审计、应用级审计和用户级审计。

    系统级审计

    系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息,如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件,也无法提供足够的细节信息。

    应用级审计

    应用级审计主要针对的是应用程序的活动信息,如打开和关闭数据文件,读取、编辑、删除记录或字段等特定操作,以及打印报告等。

    用户级审计

    用户级审计主要是审计用户的操作活动信息,如用户直接启动的所有命令,用户所有的鉴别和认证操作,用户所访问的文件和资源等信息。

    常见安全审计产品

    根据系统审计对象和审计内容的不同,常见的审计产品包括:网络安全审计、数据库安全审计、日志审计、运维安全审计等。

    网络安全审计设备

    1.网络安全审计设备主要审计网络方面的相关内容。针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。

    2.满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

    3.通常采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

    数据库安全系统

    1.数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。

    2.审计对数据库的各类操作,精确到每一条SQL命令,并有强大的报表功能。

    3.通常采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

    日志审计设备

    1.日志审计产品集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。

    2.日志审计产品通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。

    3.通常旁路模式部署。通常由设备发送日志到审计设备,或在服务器中安装代理,由代理发送日志到审计设备。

    运维安全审计系统(堡垒机)

    1.在一个特定的网络环境下,为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

    2.运维安全设计系统主要是针对运维人员维护过程的全面跟踪、控制、记录、回放,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

    3.通常采用旁路模式部署。使用防火墙对服务器访问权限进行限制,只能通过堡垒机对网络设备/服务器/数据库等系统操作。

    很明显,安全审计产品最终的目的都是审计,只不过是审计的内容不同而已,根据不同需求选择不同的审计产品,一旦出现攻击、非法操作、违规操作、误操作等行为,对事后处理提供有利证据。

    安全审计作用

    安全审计对系统记录和行为进行独立的审查和估计,主要作用如下:

    1.对可能存在的潜在攻击者起到威慑和警示作用,核心是风险评估。

    2.测试系统的控制情况,及时进行调整,保证与安全策略和操作规程协调一致。

    3.对已出现的破坏事件,做出评估并提供有效的灾难恢复和追究责任的依据。

    4.对系统控制、安全策略与规程中的变更进行评价和反馈,以便修订决策和部署。

    5.协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。