什么是安全审计?
安全审计(Audit)是指按照一定的安全策略,利用记录系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。
《中华人民共和国网络安全法》第二十一条明确要求“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”。安全审计就像网络空间的摄像头一样,完整记录网络空间发生的任何异常事件或行为,在发生安全事件时进行告警,也可以作为事后追溯的重要证据,同时也起到了网络空间的威慑作用。
常见的安全审计类型
●终端审计
文件操作审计、打印审计、网站访问审计、FTP审计和终端、应用程序使用审计、Windows登录审计等多种审计功能。
●上网行为审计
网络社区访问、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行深入分析与全面的审计。
●网络运维审计
身份认证、权限鉴别、操作审计等,审计协议包括字符协议(SSH/TELNET)、图形化协议(RDP/VNC)、文件传输协议(FTP、SFTP)、数据库访问以及应用发布扩展审计功能。
● 业务与数据库审计
基于http/https协议的应用审计、主流数据库访问行为审计(商业数据库:Oracle、SQL Server等;行业数据库:Teradata、Cache等;开源数据库:MySQL、PostgreSQL等;国产数据库:人大金仓、达梦、南大通用等;Nosql数据库:mongodb等)。
●综合日志审计
能够对不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息进行集中化存储、索引、备份、全文检索、实时搜索、审计、告警、响应。
等保对安全审计的要求
在网络安全等级保护基本要求中,在安全区域边界、安全计算环境、安全管理中心都对安全审计提出了具体要求,也是等级保护测评中的高风险判定项。
●安全区域边界
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
●安全计算环境
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
●安全管理中心
应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
启明星辰安全解决方案
●安全区域边界安全审计解决方案
高风险:在网络边界、重要网络节点无任何安全审计措施,无法对重要的用户行为和重要安全事件进行日志审计,可判定为高风险。
通常在等级保护方案设计时, 特别是二级(系统审计保护级)以上系统的方案设计时,我们会考虑安全审计的需求。在互联网环境中部署上网行为审计系统,在网络核心节点部署网络安全审计系统,在数据中心或者服务器区部署WEB业务和数据库审计系统,分别在不同的节点实现对用户行为和重要安全事件的审计,可以有效避免测评高风险项的出现。
●安全计算环境安全审计解决方案
高风险:重要核心网络设备、安全设备、操作系统、数据库等未开启任何审计功能,无法对重要的用户行为和重要安全事件进行审计,也无法对事件进行溯源,可判定为高风险。
高风险:应用系统(包括前端系统和后台管理系统)无任何日志审计功能,无法对用户的重要行为进行审计,也无法对事件进行溯源,可判定为高风险。
在网络安全等级保护建设过程中,由于核心网络设备、安全设备、操作系统(服务器)、数据库自身功能特殊性的原因,如果开启自身审计功能,性能下级往往比较大,同时存储也是一个很大问题。因此,多采用第三方审计的方式进行审计。通常通过部署综合日志审计系统和数据库审计系统,对核心网络设备、安全设备日志、操作系统日志进行统一提取和收集。针对数据库的审计,往往鉴于性能的原因,通过部署网络数据库审计系统实现对数据库访问的审计。
针对终端用户行为的审计往往采用部署终端审计系统实现对用户行为的审计。
针对运维用户的审计往往采用部署运维堡垒机方式实现对运维用户访问行为的审计。
而针对于应用系统的审计,启明星辰的WEB应用审计可侦听对应用系统访问的网络数据流,对这些数据流进行解析,以达到对业务系统访问的全面审计。通过自学习业务特征,对业务进行精确映射,减少对业务部门的依赖,并极大的降低配置工作量。
●安全区域边界安全审计解决方案
高风险:日志集中收集存储:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。
在网络安全等级保护方案设计时,我们建议用户部署综合日志审计系统,对包括网络设备、安全设备、操作系统(服务器)、数据库、中间件等日志进行集中的收集存储,并进行日志的集中分析和告警,对日志和告警事件进行处置,形成事件处理的闭环管理。
●整体网络安全解决方案
●安全解决方案收益
满足等级保护安全区域边界审计需求,避免出现高风险项。
满足等级保护安全计算环境审计需求和应用审计需求,避免出现高风险项。
满足等级保护安全管理中心日志集中收集存储需求,避免出现高风险项。
满足《中华人民共和国网络安全法》第二十一条对网络安全审计记录存留时间符合法律法规的要求。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
