做等级保护的朋友很多,等级保护中针对“安全审计”的要求也很多,但很多朋友也比较迷茫,甚至甲方,也只是知道要买“安全审计”,但却对安全审计了解不多,小编就带着大家一起了解下安全审计的相关知识,各位看官,且听小编娓娓道来。
网络安全审计是什么?
网络安全审计
网络安全审计是指在特定的网络环境下,为了保证网络系统和信息资源不受来自外网和内网用户的入侵和破坏,运用各种网络安全技术手段,通过实时收集和监控网络各组件的安全状态和安全事件,以便集中分析、报警和处理。
网络安全审计四大作用安全审计对于系统安全的评价、对攻击源和攻击类型与危害的分析、对完整证据的收集至关重要,主要有以下四大作用:
网络安全审计
- 通过审计及时暴露攻击者,对潜在攻击者起到震慑或警告作用;
- 通过审计分析与溯源取证,对已发生的系统破坏行为提供有效的证据;
- 提供有价值的日志,帮助管理员发现系统入侵行为或潜在的系统漏洞;
- 提供系统运行的统计日志,发现系统性能的脆弱点。
- 主机审计:主机审计主要针对Windows、Linux、Unix等操作系统的客户机和服务器进行安全审计,是出现最早发展时间最长的审计技术,传统的桌面管理、终端安全管理等产品都属于主机审计的常规产品,随着技术的发展,衍生了非法接入与外联控制、终端审计、打印审计、移动存储介质管理、主机资产管理等一系列精细化主机审计产品,有的安全审计产品甚至包括补丁管理、服务器加固等供。
主机审计
- 网络审计:网络审计主要通过透明或旁路部署网络审计产品,对网络流量及用户行为进行分析,进而实现入侵行为审计、HTTP审计、POP3/SMTP审计、Telnet审计、FTP审计等,入侵检测、上网行为管理、上网行为审计等产品,均能实现部分相关能力。
上网行为审计
- 数据库审计:数据库审计实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行实时告警,及时发现数据库的高危或异常操作。数据库审计通常包括旁路部署和软件Agent两种形式,其中旁路部署方便快捷,对主机和网络拓扑无影响;软件Agent则需要部署在用户终端、目标数据库服务器或连接数据库的应用服务器上,用来将数据库访问流量转发到审计系统,功能更加强大,但容易产生兼容性问题。
数据库审计
- 运维审计:运维审计是集单点登录、账号管理、身份认证、资源授权、访问控制和操作审计等功能于一体的安全系统,常见的产品有内控堡垒主机、运维操作审计等。主要针对路由器、交换机、Windows服务器、Linux服务器等利用命令行操作服务器后台或数据库等操作过程进行有效的运维操作审计。
运维审计
- 日志审计:日志审计主要通过Syslog、SNMP Trap、FTP、Agent等方式,收集网络中几乎所有设备、软件、应用的日志信息,如交换机、防火墙、路由器、服务器、数据库、应用系统等登录和启动信息、操作信息等,并进行集中的汇总和分析,总览全网设备的安全状况、运行状况,检测发生错误的原因或发现攻击痕迹,很多复杂的攻击行为只能通过日志审计的多源关联分析发现和确认。
日志审计
- 业务审计:业务审计主要基于主机审计、网络审计、数据库审计、运维审计、日志审计等产品,借助相关技术,对企业的OA、ERP、财务软件、缴费软件等集体业务做审计,目前市场上产品较少,且因各企业数据相对个性化,几乎全部需要定制开发(如安全派的E-KBM产品、赛克蓝德安管平台等)。
业务审计
- 配置审计:配置审计常见的产品大致有两类,一类是配置核查系统,主要检测操作系统、应用软件、网络设备等的配置是否合规,如:防火墙的口令修改周期、ACL策略;操作系统类型、版本、安装的软件、安装的补丁等,也包括硬件配置的合规,针对一些内网主机,还增加了URL检测、移动存储插拔检测、弱口令安全检测等,另一种可以对配置进行备份,如果网络设备发生了故障无法使用,在更换了同型号的新设备后,可以直接将原设备配置进行无损恢复。
配置核查系统架构
感谢您的阅读,喜欢的话就转发、收藏并关注小编,给小编助助力吧。
内容较基础,但为了保证知识的完整性及体系化,也是很有必要提提的,不喜勿喷。后续文章同样精彩,欢迎关注,一起学习提高。
,
