遊俠原創：在等級保護中被廣泛應用的安全審計技術（2017年版）

做等級保護的朋友很多，等級保護中針對“安全審計”的要求也很多，但很多朋友也比較迷茫，甚至甲方，也只是知道要買“安全審計”，但卻對安全審計瞭解不多，今天遊俠給大家挨個分析下，目前市面上的七種安全審計產品。OK，let’s go !

隨着企業規模的越來越龐大，我們的信息系統也越來越繁雜，逐漸從開始的路由、交換、Windows服務器設備，增加了：防火牆、入侵防禦、Linux等，以及各種應用，甚至有些跨地域的集團公司還部署了多臺VPN、桌面管理等系統，那麼，如此繁多的設備如何進行統一的安全審計？更何況還有的企業面臨着合規（等保、分保、SOX等）的壓力！

2017年6月1日網絡安全法正式執行以來，關於安全審計方面的合規壓力更大，今天，遊俠就和大家聊聊那些在等級保護中遇到的安全審計技術。遊俠（www.youxia.org）將安全審計技術分爲如下幾種：

1. 主機審計
2. 網絡審計
3. 數據庫審計
4. 運維審計
5. 日誌審計
6. 業務審計
7. 配置審計

各方面的功能，如下圖所示：（圖大，文章最後有大圖的下載地址）

 

我們簡單分析下各類安全審計技術的常見功能項：

1、主機審計

發展時間很長，也基本是目前的桌面管理、終端安全管理等產品的功能，並且現在衍生出幾個獨立產品：非法接入與外聯控制、終端審計、打印審計系統、移動存儲介質管理系統、主機資產管理系統等。功能也大同小異，有的還增加了補丁管理功能。可以說，主機審計已經開始全面向主機安全審計與管理的方向靠攏。

主機審計包含Windows、Linux、Unix等操作系統類型。包含客戶機和服務器的審計。當然針對服務器的又衍生出了獨立的服務器審計、服務器加固產品。

2、網絡審計

目前網絡審計和入侵檢測的融合度非常高，但是一般而言，除了入侵行爲審計，還應具備HTTP審計、POP3/SMTP審計、Telnet審計、FTP審計等。當然這裏又有的地方和上網行爲管理、上網行爲審計有關。

總體而言，網絡審計已經非常成熟，一般通過透明、旁路兩種方式接入。

3、數據庫審計

可能在很多人的眼中，數據庫審計是一個比較新的產品。因爲數據庫審計有的廠家已做了七八年之久，但是目前依然不像防火牆那樣具有非常完善的標準。（當然，有標準，但是那個標準太粗了）

要求具備常見數據庫的審計能力，涵：SQL Server、Oracle等，補充下：居然有很多數據庫不支持MySQL審計。

數據庫審計的形式一般有兩種：硬件旁路、軟件Agent。前者部署便捷對主機無損耗、後者功能強大但易有兼容性問題。

4、運維審計

常見的產品名稱一般爲：內控堡壘主機、運維操作審計。主要針對的設備：路由器、交換機、Windows服務器、Unix服務器、利用命令行操作的數據庫等。操作方式兼容：SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP等。

圖中針對防火牆、IDS、交換機等的日誌我沒有寫出，實際上也算是一類運維信息。針對安全部分的有專業的SOC產品，以及一些類似產品，市場上已經做了多年。當然，設備部分一般是通過SNMP和SYSLOG進行審計監控。

5、日誌審計

通過syslog、SNMP Trap、FTP、Agent等方式接收網絡中“幾乎所有設備、軟件、應用”的日誌信息。如防火牆、路由器、服務器、數據庫的登錄、啓動等信息。此前對日誌審計的重視程度不夠，但實際上日誌審計產品可以總覽全網設備的安全狀況、運行狀況，很多敏感信息只能通過日誌審計獲取。

如：Windows服務器被黑客通過某種隱祕的方式增加了1個賬號、凌晨2點進行了重啓，其它各類審計產品很難有效告警，而通過日誌分析，卻可以非常簡單的剝離出此種行爲。

 

6、業務審計

針對企業的OA、ERP、財務軟件、繳費軟件等具體業務做審計，幾乎全部需要定製開發，所以市面上做的不算特別多，即使在做一般也不會大張旗鼓的宣傳。

業務審計可基於主機審計、網絡審計、數據庫審計、運維審計、日誌審計進行，所以非常複雜。有興趣的可以百度。

有一些，特別有意思，比如針對大學的：學生負面情緒（出走、自殺）分析，就可以基於網絡審計（微博、朋友圈等）進行類似於輿情分析系統的消息過濾；也有的基於一卡通系統定製的某個學生1個月在食堂吃飯大於70次（以每月30天、一日三次計算，有20次未在食堂吃），但每次不超過8元，則標記爲貧困生，每個月自動給學生飯卡衝入500的資助款（很棒對不對？）

7、配置審計

如果是基於等級保護來做，那麼公安的檢查標準裏面有一項是針對Windows、Linux主機的安全檢查，如：操作系統類型、版本、安裝的軟件、安裝的補丁等，以及硬件配置。當然，針對一些內網計算機，還增加了URL檢測（檢查內網計算機上互聯網的情況）、移動存儲插拔檢測（敏感計算機不允許插拔U盤、移動硬盤，卻有此類行爲，就違規），同時也會對弱口令進行安全檢測。

當然，市面上還有兩種產品，都不算多，但卻也比較實用：一種是配置覈查系統，可以檢測操作系統、應用軟件、網絡設備等的配置是否合規，如交換機的口令修改週期、ACL策略等；另一種可以對配置進行自動備份，如果交換機發生了故障，更換了同型號設備後，就能直接把此前的配置恢復回來。

本文提到的所有產品，均可通過關注遊俠安全網的微信公衆號 youxia-org 回覆“大全”查詢到，也可以直接打開這個鏈接 http://www.youxia.org/2014/02/11284.html 查閱。加我微信 cnbrian ，遊俠將會解答。

本次更新時間：2017年12月22日15:18:17

作者：張百川（網路遊俠）網站：http://www.youxia.org

文中大圖下載地址：http://www.youxia.org/wp-content/uploads/2011/01/Dbjh_Audit_YouXia.Org_.gif

文章無需本人同意即可轉載，但請務必複製內容全部（含本行），謝謝！