安全审计是几年前出现的概念,它的发展非常迅速,3年前还很少有人说起安全审计,现在却是产品满天飞。不过据我看来,对于安全审计这个概念,众多客户和厂商的理解都不同。那么到底什么是安全审计呢?
AD: 2013云计算架构师峰会课程资料下载
安全审计是几年前出现的概念,它的发展非常迅速,3年前还很少有人说起安全审计,现在却是产品满天飞。不过据我看来,对于安全审计这个概念,众多客户和厂商的理解都不同。那么到底什么是安全审计呢?
一、网络安全审计的基本概念
首先,我们要把范围界定一下,我们的安全审计是指在一个网络环境下以维护网络安全为目的的审计,因而叫网络安全审计。
通俗地说,网络安全审计就是在一个特定的企事业单位的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件,以便集中报警、分析、处理的一种技术手段。
这里顺便提一下其他行业的案例审计概念,如金融和财务中的安全审计,目的是检查资金不被乱用、挪用,或者检查有没有偷税事件的发生;道路安全审计是为了保障道路安全而进行的道路、桥梁的安全检查;民航安全审计是为了保障飞机飞行安全而对飞机、地面设施、法规执行等进行的安全和应急措施检查等等。特别的,金融和财务审计也有网络安全审计的说法,仅仅是指利用网络进行远程财务审计,和网络安全没有关系。
二、实施安全审计的价值体现
一个典型的网络环境有网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备等组成部分,我们把这些组成部分称为审计对象。要对该网络进行网络安全审计就必须对这些审计对象的安全性都采取相应的技术和措施进行审计,对于不同的审计对象有不同的审计重点,下面一一介绍:
对网络设备的安全审计:我们需要从中收集日志,以便对网络流量和运行状态进行实时监控和事后查询。
对服务器的安全审计:为了安全目的,审计服务器的安全漏洞,监控对服务器的任何合法和非法操作,以便发现问题后查找原因。
对用户电脑的安全审计:(1)为了安全目的,审计用户电脑的安全漏洞和入侵事件(2)为了防泄密和信息安全目的,监控上网行为和内容,以及向外拷贝文件行为(3)为了提高工作效率目的,监控用户非工作行为。
对数据库的安全审计:对合法和非法访问进行审计,以便事后检查。
对应用系统的安全审计:应用系统的范围较广,可以是业务系统,也可以是各类型的服务软件。这些软件基本都会形成运行日志,我们对日志进行收集,就可以知道各种合法和非法访问。
对网络安全设备的安全审计:网络安全设备包括防火墙、网闸、IDS/IPS、灾难备份、VPN、加密设备、网络安全审计系统等等,这些产品都会形成运行日志,我们对日志进行收集,就能统一分析网络的安全状况。
三、安全审计的技术分类
目前的安全审计解决方案有以下几类:
日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。
主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。根据该定义,事实上主机审计已经包括了主机日志审计、主机漏洞扫描产品、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监控等类型的产品。
网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。根据该定义,事实上网络审计已经包括了网络漏洞扫描产品、防火墙和IDS/IPS中的安全审计功能、互联网行为监控等类型的产品。
针对典型网络环境下的各个审计对象的安全审计需求,结合以上的安全审计解决方案,我们可以得出以下审计对象和解决方案表。
表一 审计对象和解决方案表
审计对象
日志审计
主机审计
网络审计
网络设备
√
服务器
√
√
√
用户电脑
√
√
√
数据库
√
√
√
应用系统
√
√
√
网络安全设备
√
我们可以看到这三种审计方案之间的关系:日志审计的目的是日志收集和分析,它要以其他审计对象生成的日志为基础。而主机审计和网络审计这两种解决方案就是生成日志的最重要的技术方法。主机审计和网络审计的方案各有优缺点,进行比较后得出下表:
表二 主机审计和网络审计方案对比表
比较项
主机审计
网络审计
审计需求满足程度
网络设备
日志收集
-
-
服务器
安全漏洞审计
√程度较深
√
监控网络操作
√
√
监控上机行为
√
×
监控入侵行为
√
√
用户电脑
安全漏洞审计
√程度较深
√
监控网络行为
√
√
监控上机行为
√
×
监控入侵行为
√
√
数据库
安全漏洞审计
√程度较深
√
监控网络操作
√
√
监控入侵行为
√
√
应用系统
安全漏洞审计
√程度较深
√
监控网络操作
√
√
监控入侵行为
√
√
安全设备
日志收集
-
-
用户接受程度
网络设备
-
-
服务器
√
√
用户电脑
×(在用户电脑上安装客户端,用户很难接受)
√(相对于主机审计接受程度要强)
数据库
√
√
应用系统
√
√
网络安全设备
-
-
目前应用范围
集中在政府、军队等
所有行业
注:-表示不用比较。
从上可知,主机审计在服务器和用户电脑上安装了客户端,因而在安全漏洞审计、以及服务器和用户电脑上的上机行为和防泄密功能上比网络审计强,网络审计是在网络上进行监控,无法管理到服务器和用户电脑的本机行为。
主机审计的客户端,是它具有这些技术优势的原因,也恰恰是对它在实际应用上不利的一点,用户对安装客户端的接受程度不高,就像在用户上方安装一个摄像头一样,谁都不喜欢被监控的感觉。而网络审计是安装在网络出口,安装时可以事先通知用户,也可以让用户毫无知觉,相对于主机审计,用户对远远在外的监控系统的接受程度比安装在自己电脑上的客户端要高得多。
用户的接受程度不同使得主机审计和网络审计在应用行业范围也有所有区别。主机审计目前集中在政府和军队中,其他行业应用较少;而网络审计的应用范围却是广泛,只要能上网的单位都可以使用。
四、安全审计的体系
根据以上审计对象和审计技术的分析,我们可以归纳出一个企事业单位内的网络安全审计体系。该体系分为以下几个组件:
1、 日志收集代理,用于所有网络设备的日志收集。
2、 主机审计客户端,安装在服务器和用户电脑上,进行安全漏洞检测和收集、本机上机行为和防泄密行为监控、入侵检测等。对于主机的日志收集、数据库和应用系统的安全审计也通过该客户端实现。
3、 主机审计服务器端,安装在任一台电脑上,收集主机审计客户端上传的所有信息,并且把日志集中到网络安全审计中心中。
4、 网络审计客户端,安装在单位内的物理子网出口或者分支机构的出口,收集该物理子网内的上网行为和内容,并且把这些日志上传到网络审计服务器。对于主数据库和应用系统的安全审计也可以通过该网络审计客户端实现。
5、 网络审计服务器,安装在单位总部内,接收网络审计客户端的上网行为和内容,并且把日志集中到网络安全审计中心中。如果是小型网络,则网络审计客户端和服务器可以合成一个。
6、 网络安全审计中心,安装在单位总部内,接收网络审计服务器、主机审计服务器端和日志收集代理传输过来的日志信息,进行集中管理、报警、分析。并且可以对各系统进行配置和策略制定,方便统一管理。
这样,几个组件形成一个完整的审计体系,可以满足所有审计对象的安全审计需求。就目前而言,实现的产品类型有:日志审计系统、数据库审计系统、桌面管理系统、网络审计系统、漏洞扫描系统、入侵检测和防护系统等等,这些产品都实现了网络安全审计的一部分功能,只有实现全面的网络安全审计体系,安全审计才是完整的。
五、网络安全审计技术的发展趋势
1、 体系化。上面说过,目前的产品实现未能涵盖网络安全审计体系。今后的产品应该向这个方向发展,给客户以统一的安全审计解决方案。
2、 控制化。审计不应当只是记录,而且还要有控制的功能,事实上目前许多产品都已经有了控制的功能,如网络审计的上网行为控制、主机审计的泄密行为控制、数据库审计中对某些SQL语句的控制等等。
3、 智能化。一个大型网络中每天产生的审计数据以百万计,如果从浩如烟海的日志中给网络管理员、人力资源经理、老板、上级主管部门和每一个关心该审计结果的用户呈现出最想要、最关键的信息,这是今后的发展趋势。其中包含了数据挖掘、智能报表等技术。
网络安全审计作为一个新兴的概念和发展方向,已经表现出强大的生命力,围绕着该概念产生了许多新产品和解决方案,如桌面安全、员工上网行为监控、内容过滤等,谁能在这些产品中独领风骚,谁就能跟上这一轮网络安全的发展潮流。
安全审计是几年前出现的概念,它的发展非常迅速,3年前还很少有人说起安全审计,现在却是产品满天飞。不过据我看来,对于安全审计这个概念,众多客户和厂商的理解都不同。那么到底什么是安全审计呢?
AD: 2013云计算架构师峰会课程资料下载
安全审计是几年前出现的概念,它的发展非常迅速,3年前还很少有人说起安全审计,现在却是产品满天飞。不过据我看来,对于安全审计这个概念,众多客户和厂商的理解都不同。那么到底什么是安全审计呢?
一、网络安全审计的基本概念
首先,我们要把范围界定一下,我们的安全审计是指在一个网络环境下以维护网络安全为目的的审计,因而叫网络安全审计。
通俗地说,网络安全审计就是在一个特定的企事业单位的网络环境下,为了保障网络和数据不受来自外网和内网用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件,以便集中报警、分析、处理的一种技术手段。
这里顺便提一下其他行业的案例审计概念,如金融和财务中的安全审计,目的是检查资金不被乱用、挪用,或者检查有没有偷税事件的发生;道路安全审计是为了保障道路安全而进行的道路、桥梁的安全检查;民航安全审计是为了保障飞机飞行安全而对飞机、地面设施、法规执行等进行的安全和应急措施检查等等。特别的,金融和财务审计也有网络安全审计的说法,仅仅是指利用网络进行远程财务审计,和网络安全没有关系。
二、实施安全审计的价值体现
一个典型的网络环境有网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备等组成部分,我们把这些组成部分称为审计对象。要对该网络进行网络安全审计就必须对这些审计对象的安全性都采取相应的技术和措施进行审计,对于不同的审计对象有不同的审计重点,下面一一介绍:
对网络设备的安全审计:我们需要从中收集日志,以便对网络流量和运行状态进行实时监控和事后查询。
对服务器的安全审计:为了安全目的,审计服务器的安全漏洞,监控对服务器的任何合法和非法操作,以便发现问题后查找原因。
对用户电脑的安全审计:(1)为了安全目的,审计用户电脑的安全漏洞和入侵事件(2)为了防泄密和信息安全目的,监控上网行为和内容,以及向外拷贝文件行为(3)为了提高工作效率目的,监控用户非工作行为。
对数据库的安全审计:对合法和非法访问进行审计,以便事后检查。
对应用系统的安全审计:应用系统的范围较广,可以是业务系统,也可以是各类型的服务软件。这些软件基本都会形成运行日志,我们对日志进行收集,就可以知道各种合法和非法访问。
对网络安全设备的安全审计:网络安全设备包括防火墙、网闸、IDS/IPS、灾难备份、VPN、加密设备、网络安全审计系统等等,这些产品都会形成运行日志,我们对日志进行收集,就能统一分析网络的安全状况。
三、安全审计的技术分类
目前的安全审计解决方案有以下几类:
日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。
主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。根据该定义,事实上主机审计已经包括了主机日志审计、主机漏洞扫描产品、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监控等类型的产品。
网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。根据该定义,事实上网络审计已经包括了网络漏洞扫描产品、防火墙和IDS/IPS中的安全审计功能、互联网行为监控等类型的产品。
针对典型网络环境下的各个审计对象的安全审计需求,结合以上的安全审计解决方案,我们可以得出以下审计对象和解决方案表。
表一 审计对象和解决方案表
审计对象
日志审计
主机审计
网络审计
网络设备
√
服务器
√
√
√
用户电脑
√
√
√
数据库
√
√
√
应用系统
√
√
√
网络安全设备
√
我们可以看到这三种审计方案之间的关系:日志审计的目的是日志收集和分析,它要以其他审计对象生成的日志为基础。而主机审计和网络审计这两种解决方案就是生成日志的最重要的技术方法。主机审计和网络审计的方案各有优缺点,进行比较后得出下表:
表二 主机审计和网络审计方案对比表
比较项
主机审计
网络审计
审计需求满足程度
网络设备
日志收集
-
-
服务器
安全漏洞审计
√程度较深
√
监控网络操作
√
√
监控上机行为
√
×
监控入侵行为
√
√
用户电脑
安全漏洞审计
√程度较深
√
监控网络行为
√
√
监控上机行为
√
×
监控入侵行为
√
√
数据库
安全漏洞审计
√程度较深
√
监控网络操作
√
√
监控入侵行为
√
√
应用系统
安全漏洞审计
√程度较深
√
监控网络操作
√
√
监控入侵行为
√
√
安全设备
日志收集
-
-
用户接受程度
网络设备
-
-
服务器
√
√
用户电脑
×(在用户电脑上安装客户端,用户很难接受)
√(相对于主机审计接受程度要强)
数据库
√
√
应用系统
√
√
网络安全设备
-
-
目前应用范围
集中在政府、军队等
所有行业
注:-表示不用比较。
从上可知,主机审计在服务器和用户电脑上安装了客户端,因而在安全漏洞审计、以及服务器和用户电脑上的上机行为和防泄密功能上比网络审计强,网络审计是在网络上进行监控,无法管理到服务器和用户电脑的本机行为。
主机审计的客户端,是它具有这些技术优势的原因,也恰恰是对它在实际应用上不利的一点,用户对安装客户端的接受程度不高,就像在用户上方安装一个摄像头一样,谁都不喜欢被监控的感觉。而网络审计是安装在网络出口,安装时可以事先通知用户,也可以让用户毫无知觉,相对于主机审计,用户对远远在外的监控系统的接受程度比安装在自己电脑上的客户端要高得多。
用户的接受程度不同使得主机审计和网络审计在应用行业范围也有所有区别。主机审计目前集中在政府和军队中,其他行业应用较少;而网络审计的应用范围却是广泛,只要能上网的单位都可以使用。
四、安全审计的体系
根据以上审计对象和审计技术的分析,我们可以归纳出一个企事业单位内的网络安全审计体系。该体系分为以下几个组件:
1、 日志收集代理,用于所有网络设备的日志收集。
2、 主机审计客户端,安装在服务器和用户电脑上,进行安全漏洞检测和收集、本机上机行为和防泄密行为监控、入侵检测等。对于主机的日志收集、数据库和应用系统的安全审计也通过该客户端实现。
3、 主机审计服务器端,安装在任一台电脑上,收集主机审计客户端上传的所有信息,并且把日志集中到网络安全审计中心中。
4、 网络审计客户端,安装在单位内的物理子网出口或者分支机构的出口,收集该物理子网内的上网行为和内容,并且把这些日志上传到网络审计服务器。对于主数据库和应用系统的安全审计也可以通过该网络审计客户端实现。
5、 网络审计服务器,安装在单位总部内,接收网络审计客户端的上网行为和内容,并且把日志集中到网络安全审计中心中。如果是小型网络,则网络审计客户端和服务器可以合成一个。
6、 网络安全审计中心,安装在单位总部内,接收网络审计服务器、主机审计服务器端和日志收集代理传输过来的日志信息,进行集中管理、报警、分析。并且可以对各系统进行配置和策略制定,方便统一管理。
这样,几个组件形成一个完整的审计体系,可以满足所有审计对象的安全审计需求。就目前而言,实现的产品类型有:日志审计系统、数据库审计系统、桌面管理系统、网络审计系统、漏洞扫描系统、入侵检测和防护系统等等,这些产品都实现了网络安全审计的一部分功能,只有实现全面的网络安全审计体系,安全审计才是完整的。
五、网络安全审计技术的发展趋势
1、 体系化。上面说过,目前的产品实现未能涵盖网络安全审计体系。今后的产品应该向这个方向发展,给客户以统一的安全审计解决方案。
2、 控制化。审计不应当只是记录,而且还要有控制的功能,事实上目前许多产品都已经有了控制的功能,如网络审计的上网行为控制、主机审计的泄密行为控制、数据库审计中对某些SQL语句的控制等等。
3、 智能化。一个大型网络中每天产生的审计数据以百万计,如果从浩如烟海的日志中给网络管理员、人力资源经理、老板、上级主管部门和每一个关心该审计结果的用户呈现出最想要、最关键的信息,这是今后的发展趋势。其中包含了数据挖掘、智能报表等技术。
网络安全审计作为一个新兴的概念和发展方向,已经表现出强大的生命力,围绕着该概念产生了许多新产品和解决方案,如桌面安全、员工上网行为监控、内容过滤等,谁能在这些产品中独领风骚,谁就能跟上这一轮网络安全的发展潮流。