安全资讯

等保2.0中常见网络安全审计技术推荐(2020年版)

做等级保护的朋友很多,等级保护中针对“安全审计”的要求也很多,但很多朋友也比较迷茫,甚至甲方,也只是知道要买“安全审计”,但却对安全审计了解不多,今天给大家挨个分析下,目前市面上的七种安全审计产品。


随着企业规模的越来越庞大,我们的信息系统也越来越繁杂,逐渐从开始的路由、交换、Windows服务器设备,增加了:防火墙、入侵防御、Linux等,以及各种应用,甚至有些跨地域的集团公司还部署了多台VPN、云桌面管理等系统,那么,如此繁多的设备如何进行统一的安全审计?更何况还有的企业面临着合规(等保、分保、SOX等)的压力!


2017年6月1日网络安全法正式执行以来,关于安全审计方面的合规压力更大,今天,和大家聊聊那些在等级保护中遇到的安全审计技术。游侠将安全审计技术分为如下几种:

  • 主机审计

  • 网络审计

  • 数据库审计

  • 运维审计

  • 日志审计

  • 业务审计

  • 配置审计


我们简单分析下各类安全审计技术的常见功能项:



  主机审计  


发展时间很长,也基本是目前的桌面管理、终端安全管理等产品的功能,并且现在衍生出几个独立产品:非法接入与外联控制、终端审计、打印审计系统、移动存储介质管理系统、主机资产管理系统等。功能也大同小异,有的还增加了补丁管理功能。可以说,主机审计已经开始全面向主机安全审计与管理的方向靠拢。


主机审计包含Windows、Linux、Unix等操作系统类型。包含客户机和服务器的审计。当然针对服务器的又衍生出了独立的服务器审计、服务器加固产品。



  网络审计  


目前网络审计和入侵检测的融合度非常高,但是一般而言,除了入侵行为审计,还应具备HTTP审计、POP3/SMTP审计、Telnet审计、FTP审计等。当然这里又有的地方和上网行为管理、上网行为审计有关。


总体而言,网络审计已经非常成熟,一般通过透明、旁路两种方式接入。




  数据库审计  


可能在很多人的眼中,数据库审计是一个比较新的产品。因为数据库审计有的厂家已做了七八年之久,但是目前依然不像防火墙那样具有非常完善的标准。(当然,有标准,但是那个标准太粗了)


要求具备常见数据库的审计能力,含:SQL Server、Oracle等,补充下:居然有很多数据库不支持MySQL审计。


数据库审计的形式一般有两种:硬件旁路、软件Agent。前者部署便捷对主机无损耗、后者功能强大但易有兼容性问题。



  运维审计 


常见的产品名称一般为:内控堡垒主机、运维操作审计。主要针对的设备:路由器、交换机、Windows服务器、Unix服务器、利用命令行操作的数据库等。操作方式兼容:SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP等。


图中针对防火墙、IDS、交换机等的日志我没有写出,实际上也算是一类运维信息。针对安全部分的有专业的SOC产品,以及一些类似产品,市场上已经做了多年。当然,设备部分一般是通过SNMP和SYSLOG进行审计监控。



  日志审计 


通过syslog、SNMP Trap、FTP、Agent等方式接收网络中“几乎所有设备、软件、应用”的日志信息。如防火墙、路由器、服务器、数据库的登录、启动等信息。此前对日志审计的重视程度不够,但实际上日志审计产品可以总览全网设备的安全状况、运行状况,很多敏感信息只能通过日志审计获取。


如:Windows服务器被黑客通过某种隐秘的方式增加了1个账号、凌晨2点进行了重启,其它各类审计产品很难有效告警,而通过日志分析,却可以非常简单的剥离出此种行为。



  业务审计 


针对企业的OA、ERP、财务软件、缴费软件等具体业务做审计,几乎全部需要定制开发,所以市面上做的不算特别多,即使在做一般也不会大张旗鼓的宣传。


业务审计可基于主机审计、网络审计、数据库审计、运维审计、日志审计进行,所以非常复杂。有兴趣的可以百度。


有一些,特别有意思,比如针对大学的:学生负面情绪(出走)分析,就可以基于网络审计(微博、朋友圈等)进行类似于舆情分析系统的消息过滤;也有的基于一卡通系统定制的某个学生1个月在食堂吃饭大于70次(以每月30天、一日三次计算,有20次未在食堂吃),但每次不超过8元,则标记为贫困生,每个月自动给学生饭卡冲入500的资助款(很棒对不对?)



  配置审计 


如果是基于等级保护来做,那么公安的检查标准里面有一项是针对Windows、Linux主机的安全检查,如:操作系统类型、版本、安装的软件、安装的补丁等,以及硬件配置。当然,针对一些内网计算机,还增加了URL检测(检查内网计算机上互联网的情况)、移动存储插拔检测(敏感计算机不允许插拔U盘、移动硬盘,却有此类行为,就违规),同时也会对弱口令进行安全检测。


当然,市面上还有两种产品,都不算多,但却也比较实用:一种是配置核查系统,可以检测操作系统、应用软件、网络设备等的配置是否合规,如交换机的口令修改周期、ACL策略等;另一种可以对配置进行自动备份,如果交换机发生了故障,更换了同型号设备后,就能直接把此前的配置恢复回来。


服务热线

400-1021-996

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号