游侠原创：在等级保护中被广泛应用的安全审计技术（2017年版）

做等级保护的朋友很多，等级保护中针对“安全审计”的要求也很多，但很多朋友也比较迷茫，甚至甲方，也只是知道要买“安全审计”，但却对安全审计了解不多，今天游侠给大家挨个分析下，目前市面上的七种安全审计产品。OK，let’s go !

随着企业规模的越来越庞大，我们的信息系统也越来越繁杂，逐渐从开始的路由、交换、Windows服务器设备，增加了：防火墙、入侵防御、Linux等，以及各种应用，甚至有些跨地域的集团公司还部署了多台VPN、桌面管理等系统，那么，如此繁多的设备如何进行统一的安全审计？更何况还有的企业面临着合规（等保、分保、SOX等）的压力！

2017年6月1日网络安全法正式执行以来，关于安全审计方面的合规压力更大，今天，游侠就和大家聊聊那些在等级保护中遇到的安全审计技术。游侠（www.youxia.org）将安全审计技术分为如下几种：

主机审计
网络审计
数据库审计
运维审计
日志审计
业务审计
配置审计

各方面的功能，如下图所示：（图大，文章最后有大图的下载地址）

我们简单分析下各类安全审计技术的常见功能项：

1、主机审计

发展时间很长，也基本是目前的桌面管理、终端安全管理等产品的功能，并且现在衍生出几个独立产品：非法接入与外联控制、终端审计、打印审计系统、移动存储介质管理系统、主机资产管理系统等。功能也大同小异，有的还增加了补丁管理功能。可以说，主机审计已经开始全面向主机安全审计与管理的方向靠拢。

主机审计包含Windows、Linux、Unix等操作系统类型。包含客户机和服务器的审计。当然针对服务器的又衍生出了独立的服务器审计、服务器加固产品。

2、网络审计

目前网络审计和入侵检测的融合度非常高，但是一般而言，除了入侵行为审计，还应具备HTTP审计、POP3/SMTP审计、Telnet审计、FTP审计等。当然这里又有的地方和上网行为管理、上网行为审计有关。

总体而言，网络审计已经非常成熟，一般通过透明、旁路两种方式接入。

3、数据库审计

可能在很多人的眼中，数据库审计是一个比较新的产品。因为数据库审计有的厂家已做了七八年之久，但是目前依然不像防火墙那样具有非常完善的标准。（当然，有标准，但是那个标准太粗了）

要求具备常见数据库的审计能力，涵：SQL Server、Oracle等，补充下：居然有很多数据库不支持MySQL审计。

数据库审计的形式一般有两种：硬件旁路、软件Agent。前者部署便捷对主机无损耗、后者功能强大但易有兼容性问题。

4、运维审计

常见的产品名称一般为：内控堡垒主机、运维操作审计。主要针对的设备：路由器、交换机、Windows服务器、Unix服务器、利用命令行操作的数据库等。操作方式兼容：SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP等。

图中针对防火墙、IDS、交换机等的日志我没有写出，实际上也算是一类运维信息。针对安全部分的有专业的SOC产品，以及一些类似产品，市场上已经做了多年。当然，设备部分一般是通过SNMP和SYSLOG进行审计监控。

5、日志审计

通过syslog、SNMP Trap、FTP、Agent等方式接收网络中“几乎所有设备、软件、应用”的日志信息。如防火墙、路由器、服务器、数据库的登录、启动等信息。此前对日志审计的重视程度不够，但实际上日志审计产品可以总览全网设备的安全状况、运行状况，很多敏感信息只能通过日志审计获取。

如：Windows服务器被黑客通过某种隐秘的方式增加了1个账号、凌晨2点进行了重启，其它各类审计产品很难有效告警，而通过日志分析，却可以非常简单的剥离出此种行为。

6、业务审计

针对企业的OA、ERP、财务软件、缴费软件等具体业务做审计，几乎全部需要定制开发，所以市面上做的不算特别多，即使在做一般也不会大张旗鼓的宣传。

业务审计可基于主机审计、网络审计、数据库审计、运维审计、日志审计进行，所以非常复杂。有兴趣的可以百度。

有一些，特别有意思，比如针对大学的：学生负面情绪（出走、自杀）分析，就可以基于网络审计（微博、朋友圈等）进行类似于舆情分析系统的消息过滤；也有的基于一卡通系统定制的某个学生1个月在食堂吃饭大于70次（以每月30天、一日三次计算，有20次未在食堂吃），但每次不超过8元，则标记为贫困生，每个月自动给学生饭卡冲入500的资助款（很棒对不对？）

7、配置审计

如果是基于等级保护来做，那么公安的检查标准里面有一项是针对Windows、Linux主机的安全检查，如：操作系统类型、版本、安装的软件、安装的补丁等，以及硬件配置。当然，针对一些内网计算机，还增加了URL检测（检查内网计算机上互联网的情况）、移动存储插拔检测（敏感计算机不允许插拔U盘、移动硬盘，却有此类行为，就违规），同时也会对弱口令进行安全检测。

当然，市面上还有两种产品，都不算多，但却也比较实用：一种是配置核查系统，可以检测操作系统、应用软件、网络设备等的配置是否合规，如交换机的口令修改周期、ACL策略等；另一种可以对配置进行自动备份，如果交换机发生了故障，更换了同型号设备后，就能直接把此前的配置恢复回来。

本文提到的所有产品，均可通过关注游侠安全网的微信公众号 youxia-org 回复“大全”查询到，也可以直接打开这个链接 http://www.youxia.org/2014/02/11284.html 查阅。加我微信 cnbrian ，游侠将会解答。

本次更新时间：2017年12月22日15:18:17

作者：张百川（网路游侠）网站：http://www.youxia.org

文中大图下载地址：http://www.youxia.org/wp-content/uploads/2011/01/Dbjh_Audit_YouXia.Org_.gif

文章无需本人同意即可转载，但请务必复制内容全部（含本行），谢谢！

游侠原创：在等级保护中被广泛应用的安全审计技术（2017年版）相关推荐

针对服务器操作系统安全,浅谈等级保护中的服务器操作系统安全
服务器操作系统加固现在信息系统中服务器上运行的主流操作系统基本上都是弱访问控制,操作系统管理员一权独大,没有相关的审计措施与权限制约,不能满足等级保护安全标记保护级三级的要求.现在向大家介绍一种服务 ...
等级保护中要求的双因子认证
在信息安全等级保护三级系统中,在主机安全身份鉴别模块中明确要求,要同时使用两种以上的鉴别技术,也就是业界常说中的双因子认证. 1.什么是双因子认证? 所谓的双因子认证(2FA,two-factor a ...
服务器上的安全数据没有此工作站信任关系的计算机账户_综合监控系统等级保护安全解决方案...
建设背景综合监控系统(ISCS)必须保证与相关系统间信息迅速.准确.可靠的传送,必须保证实现被集成系统的全部功能.综合监控系统面向的对象为控制中心的电调.环调.维调和总调(值班主任)及车站的值班站长 ...
等级保护、风险评估和安全测评分别是什么？
2022-06-17 15:17 迈入"等保2.0时代"以后,我国对于等级保护的要求更为严格和具体.等级保护.风险评估和安全测评这三个词,也因此总是出现在人们的视野之中,还总是被混 ...
【权威】等级保护和分级保护
目录 1等级保护FAQ3 1.1什么是等级保护.有什么用?3 1.2信息安全等级保护制度的意义与作用?3 1.3等级保护与分级保护各分为几个等级,对应关系是什么?3 1.4等级保护的重要信息系统(8+ ...
等级保护2.0达标要求及变化
5月13日,网络安全等级保护2.0(简称等保2.0)核心标准(<信息安全技术网络安全等级保护基本要求>.<信息安全技术网络安全等级保护测评要求>.<信息安全技术网络 ...
等级保护测评备案业务中十个常见问题解答
一.等级保护是什么? 网络安全等级保护是指对国家重要信息.法人和其他组织及公民的专有信息以及公开信息和存储.传输.处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理 ...
阿里云积极落实等级保护制度，政务云全国首个通过等保2.0合规评测
2019独角兽企业重金招聘Python工程师标准>>> 5月16日,阿里云"电子政务云平台系统"正式通过网络安全等级保护三级测评.这是等保2.0正式国家标准GB/ ...
华为云等级保护之数据备份恢复（完整版）
华为云等级保护之数据备份恢复(完整版) [摘要] 1. 等保合规要求等保2.0的技术要求中对数据的备份与恢复提出了明确的要求,从二级到四级的要求如下:2. 应对措施分析同时在安全管理制度中也列出了备份 ...

游侠原创：在等级保护中被广泛应用的安全审计技术（2017年版）

游侠原创：在等级保护中被广泛应用的安全审计技术（2017年版）相关推荐

最新文章

热门文章