随着企业规模的越来越庞大,我们的信息系统也越来越繁杂,逐渐从开始的路由、交换、Windows服务器设备,增加了:防火墙、入侵防御、Linux等,以及各种应用,甚至有些跨地域的集团公司还部署了多台VPN、桌面管理等系统,那么,如此繁多的设备如何进行统一的安全审计?更何况还有的企业面临着合规(等保、分保、SOX等)的压力!
游侠将安全审计技术分为如下几种:
1、主机审计
2、网络审计
3、数据库审计
4、应用审计
5、运维审计
6、业务审计
我们简单分析下各类安全审计技术的常见功能项:
1、主机审计
发展时间很长,也基本是目前的桌面管理、终端安全管理等产品的功能,并且现在衍生出几个独立产品:非法接入与外联控制、终端审计、打印审计系统、移动存储介质管理系统、主机资产管理系统等。功能也大同小异,有的还增加了补丁管理功能。可以说,主机审计已经开始全面想主机安全管理与审计的方向靠拢。
主机审计包含Windows、Linux、Unix等操作系统类型。包含客户机和服务器的审计。当然针对服务器的又衍生出了独立的服务器审计、服务器加固产品。
2、网络审计
目前网络审计和入侵检测的融合度非常高,但是一般而言,除了入侵行为审计,还应具备HTTP审计、SMTP/POP3审计、Telnet审计、FTP审计等。当然这里又有的地方和上网行为管理、上网行为审计有关。
总体而言,网络审计已经非常成熟,一般通过透明、旁路两种方式接入。
3、数据库审计
可能在很多人的眼中,数据库审计是一个比较新的产品。因为数据库审计有的厂家已做了七八年之久,但是目前依然不像防火墙那样具有非常完善的标准。(当然,有标准,但是那个标准太粗了)
要求具备常见数据库的审计能力,涵:SQL Server、Oracle等,补充下:居然有很多数据库不支持MySQL审计。
数据库审计的形式一般有两种:硬件旁路、软件Agent。前者部署便捷对主机无损耗、后者功能强大但易有兼容性问题。
4、应用审计
图中的游侠只写了IIS、Apache、WebLogic等,但是实际上应用审计和业务审计几乎是密不可分。这个在业务审计部分我会提到。
应用审计一般都需要安装Agent才能进行较为完全的审计,目前完善的不算多。有兴趣的可以百度。
5、运维审计
常见的产品名称一般为:内控堡垒主机、运维操作审计。主要针对的设备:路由器、交换机、Windows服务器、Unix服务器、利用命令行操作的数据库等。操作方式兼容:SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP等。
图中针对防火墙、IDS、交换机等的日志我没有写出,实际上也算是一类运维信息。针对安全部分的有专业的SOC产品,以及一些类似产品,市场上已经做了多年。当然,设备部分一般是通过SNMP和SYSLOG进行审计监控。
6、业务审计
针对企业的OA、ERP、CAPP、PDM等具体业务做审计,几乎全部需要定制开发,所以市面上做的不算特别多,即使在做一般也不会大张旗鼓的宣传。
业务审计可基于网络审计、数据库审计、应用审计、运维审计进行,所以非常复杂。有兴趣的可以百度。
大概说这几点,有兴趣的朋友可以直接在本文末尾回复,游侠将会解答。
作者:张百川(网路游侠)
网站:http://www.youxia.org
转载请注明来源!谢谢合作。
| 
(4个打分, 平均:4.00 / 5)
对国内的等级保护有点了解,实施的时候有时看起来像是个闹剧。国内的那些安全标准互相打架,难以找到统一一致的说法和做法。再加上厂商喜欢弄安全的噱头来忽悠客户,打击对手,怎一个乱字了得
通过审计,管理者可以了解运行状况。AAA应该变为AAAA。
谈审计,首先应定义清楚什么是审计?
文中所说的审计分类,是从审计对象的角度来谈的。我感觉这只是审计的表皮。完整的审计应该包括审计信息的收集,存储及按照相应策略进行分析并形成报表的全过程。
在每个阶段,审计所关注和应用的难点各不相同。不知道这篇文章仅仅是为了将审计对象做个分类还是有别的内容想说?如果仅仅是做个分类,恐怕技术含量少了点。
而且,这个分类也不够全面。比如,对云计算的内容如何审计?对收集的日志如何保证真实性?
就如文中所说的网络审计,作者观点是和入侵检测密切相关。但我恰恰认为应该分开才对。网络审计可能会应用到入侵审计的技术特点,但其最终实现的是对信息的真实且无损保存。这一点与入侵检测产品的出发点有很大不同,因此在产品规划上也应该有很多区别。如果仅仅将入侵检测产品的日志进行收集就叫网络审计,只能说明产品经理对产品的定位模糊。
就谈这么点,楼主有问题尽管回帖。
貌似大宋还没有正式的《标准》版本。去年年初的时候好像有个草稿。几家嫡系互P,难产了……
to:simon——wang
你所指的《标准》是等级保护标准么?
如果是等级保护,标准已经正式出了。GB和GB/T的都有。百度和谷歌都查得到。
回willchen,这个是按照目前市面上独立存在的产品做的分类,当然有的做了融合,比如主机和网络、网络和数据库等。
如您所说,网络审计实际上和入侵检测分开的,但是由于二者的部署方式基本一致,很多用户也希望提供更多的功能,所以目前有很多厂家都将网络审计加上了入侵检测的功能,和客户要求有关。当然,就像公安推荐的那些网络审计,是纯粹的网络审计产品 ,一般没有IDS功能。但是在军工系统里面,现在很多网络审计都具备入侵检测功能。这不是产品经理的问题,是客户希望同样花那么多钱,实现更多的功能。这样对厂家而言,在招投标的时候可以提供更完善的参数,从而做掉对手……
文章是花了个把小时敲的,所以也不谈理论,只是将市面上的产品做下分类。:)
回游侠:
如果只是把现有产品做分类,建议将你的题目改为安全审计产品分类。
看标题,我一直期待着本文能对审计的技术和功能方面做个梳理。
另,你说的依据客户需求做产品的思路我当然明白。不但是审计,终端安全、防火墙等产品同样存在这样的问题。
但别忘了厂商同样应该牵引客户需求,特别是这样做既是为了用户好,也是为了厂家好的情况下。审计和入侵检测应该分开,跟公安怎么推没关系。而是与安全体系架构,以及安全管理规范相适应的必然结果。如果仅仅按照用户节约的思路去做产品,并不利于行业的健康发展。
你所说的用指标屏蔽对手,这事儿我天天干,但是我最不齿于干的。如果所有的产品经理都抱着这个思路做产品,真是国内厂家的悲哀啊。当然,这段话并不是对你。
最后,知道你是国内某审计厂商的产品经理,还是更希望你对审计产品的技术思路做些探讨。抛开表皮看本质,这不正是这个网站的初衷么。
willchen,至于云安全这一块的审计,多数云安全项目都有政府在参与,审计的结果你我也看不到,政府说了算,所以……不说了。呵呵
willchen,嘿嘿,消息错误啊……偶不做审计产品……当然,此前做过一段时间,不做已经2年多了。
有些东西,即使自己不想搞,但是无力改变现实。呵呵
在我看来,满足合规其实很简单。难的是业务层面的东西,去年梳理用户的一个业务系统,看上去很简单,结果很多东西比银行的还复杂
这个审计写的太简单了,其中很多审计的关键问题没有指出:比如数据库审计,审计到什么级别,超长的SQL语句怎么处理?AIX都审计哪些?业务层面的审计如何根据定义企业自身的规范?。。。。。做完一个鬼子银行的项目才知道,要求的很细致,管理也到位。
数据库审计的形式一般有两种:硬件旁路、软件Agent。这个有错误的,大部分数据库都自带审计功能,比如oracle吧,而且审计也非常灵活,开启审计后,会对性能有影响,和审计的粒度有关系。。。。。真要做好审计,要做很多繁琐的工作,显然,小游侠的文章并没有涉及到,如何仅仅应付等保,分保,太easy了