安全審計到底是什么
等保做得要牢靠,安全審計很重要!企業(yè)需要對眾多設(shè)備系統(tǒng)進行安全防護和檢測,要使系統(tǒng)達到等保標(biāo)準(zhǔn)必須要做好安全審計!安全審計技術(shù)是指哪些呢,具體內(nèi)容又是什么樣的呢,下面給大家詳細解釋一下了。
路由、交換、Windows服務(wù)器設(shè)備、防火墻、入侵防御、Linux等,以及各種應(yīng)用,如此繁多的設(shè)備如何進行統(tǒng)一的安全審計?更何況還有很多單位面臨著合規(guī)(等保、分保、SOX等)的壓力!
網(wǎng)絡(luò)安全法正式執(zhí)行以來,關(guān)于安全審計方面的合規(guī)壓力更大,安全審計技術(shù)其實可以分為:主機審計、網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計、運維審計、日志審計、業(yè)務(wù)審計、配置審計。接下來,讓我們分析下各類安全審計技術(shù)的常見功能項:
1、主機審計
發(fā)展時間很長,也基本是目前的桌面管理、終端安全管理等產(chǎn)品的功能,并且現(xiàn)在衍生出幾個獨立產(chǎn)品:非法接入與外聯(lián)控制、終端審計、打印審計系統(tǒng)、移動存儲介質(zhì)管理系統(tǒng)、主機資產(chǎn)管理系統(tǒng)等。
主機審計包含Windows、Linux、Unix等操作系統(tǒng)類型。包含客戶機和服務(wù)器的審計。當(dāng)然針對服務(wù)器的又衍生出了獨立的服務(wù)器審計、服務(wù)器加固產(chǎn)品。
2、網(wǎng)絡(luò)審計
目前網(wǎng)絡(luò)審計和入侵檢測的融合度非常高,但是一般而言,除了入侵行為審計,還應(yīng)具備HTTP審計、POP3/SMTP審計、Telnet審計、FTP審計等。當(dāng)然這里又有的地方和上網(wǎng)行為管理、上網(wǎng)行為審計有關(guān)。
總體而言,網(wǎng)絡(luò)審計已經(jīng)非常成熟,一般通過透明、旁路兩種方式接入。
3、數(shù)據(jù)庫審計
可能在很多人的眼中,數(shù)據(jù)庫審計是一個比較新的產(chǎn)品。因為數(shù)據(jù)庫審計有的廠家已做了七八年之久,但是目前依然不像防火墻那樣具有非常完善的標(biāo)準(zhǔn)。
要求具備常見數(shù)據(jù)庫的審計能力,涵:SQL Server、Oracle等,補充下:居然有很多數(shù)據(jù)庫不支持MySQL審計。
數(shù)據(jù)庫審計的形式一般有兩種:硬件旁路、軟件Agent。前者部署便捷對主機無損耗、后者功能強大但易有兼容性問題。
4、運維審計
常見的產(chǎn)品名稱一般為:內(nèi)控堡壘主機、運維操作審計。主要針對的設(shè)備:路由器、交換機、Windows服務(wù)器、Unix服務(wù)器、利用命令行操作的數(shù)據(jù)庫等。操作方式兼容:SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP等。
圖中針對防火墻、IDS、交換機等的日志我沒有寫出,實際上也算是一類運維信息。針對安全部分的有專業(yè)的SOC產(chǎn)品,以及一些類似產(chǎn)品,市場上已經(jīng)做了多年。當(dāng)然,設(shè)備部分一般是通過SNMP和SYSLOG進行審計監(jiān)控。
5、日志審計
通過syslog、SNMP Trap、FTP、Agent等方式接收網(wǎng)絡(luò)中“幾乎所有設(shè)備、軟件、應(yīng)用”的日志信息。如防火墻、路由器、服務(wù)器、數(shù)據(jù)庫的登錄、啟動等信息。此前對日志審計的重視程度不夠,但實際上日志審計產(chǎn)品可以總覽全網(wǎng)設(shè)備的安全狀況、運行狀況,很多敏感信息只能通過日志審計獲取。
如:Windows服務(wù)器被黑客通過某種隱秘的方式增加了1個賬號、凌晨2點進行了重啟,其它各類審計產(chǎn)品很難有效告警,而通過日志分析,卻可以非常簡單的剝離出此種行為。
6、業(yè)務(wù)審計
針對企業(yè)的OA、ERP、財務(wù)軟件、繳費軟件等具體業(yè)務(wù)做審計,幾乎全部需要定制開發(fā),所以市面上做的不算特別多,即使在做一般也不會大張旗鼓的宣傳。
業(yè)務(wù)審計可基于主機審計、網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計、運維審計、日志審計進行,所以非常復(fù)雜。有興趣的可以百度。
有一些,特別有意思,比如針對大學(xué)的:學(xué)生負面情緒(出走、自殺)分析,就可以基于網(wǎng)絡(luò)審計(微博、朋友圈等)進行類似于輿情分析系統(tǒng)的消息過濾;也有的基于一卡通系統(tǒng)定制的某個學(xué)生1個月在食堂吃飯大于70次,但每次不超過8元,則標(biāo)記為貧困生,每個月自動給學(xué)生飯卡沖入500的資助款(很棒對不對?)
7、配置審計
如果是基于等級保護來做,那么公安的檢查標(biāo)準(zhǔn)里面有一項是針對Windows、Linux主機的安全檢查,如:操作系統(tǒng)類型、版本、安裝的軟件、安裝的補丁等,以及硬件配置。當(dāng)然,針對一些內(nèi)網(wǎng)計算機,還增加了URL檢測(檢查內(nèi)網(wǎng)計算機上互聯(lián)網(wǎng)的情況)、移動存儲插拔檢測(敏感計算機不允許插拔U盤、移動硬盤,卻有此類行為,就違規(guī)),同時也會對弱口令進行安全檢測。