“安全审计”这个名词,相信做网络安全的小伙伴也听到过很多次了。
不过,对于初学者,看到这个名称就会很头大。
为何?
因为在不同的场景和语境下,安全审计包含的具体要求是不一样的。
我把等保三级的要求拿出来看看。
类型
要求
安全区域边界
1)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
2)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3)应对审计记录进行保护、定期备份、避免受到未预期的删除、修改或覆盖等;
4)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析;
安全计算环境
1)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
2)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3)应对审计记录进行保护、定期备份、避免受到未预期的删除、修改或覆盖等;
4)应对审计进程进行保护,防止未经授权的中断;
安全管理中心
1)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
2)应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
首先看看安全区域边界,这块审计的范围主要就是网络层面。
网络层面的安全审计指通过对网络边界或重要网络节点的流量数据进行分析,从而形成的网络安全审计数据。网络安全审计包括网络流量审计和网络安全事件审计,其中网络流量审计主要是通过对网络流量进行统计、关联分析、识别和筛选,实现对网络中特定重要行为的审计,例如对各种违规的访问协议及其流量的审计、对访问敏感数据的人员行为或系统行为的审计等;网络安全事件审计包括但不限于对网络入侵检测、网络入侵防御、防病毒产品等设备检测到的网络攻击行为、恶意代码传播行为的审计等。
所以,我们可以理解网络层面的审计上一些流量审计可以满足网络层面需求。不过在等保三级中,一般建议是用日志审计(综合安全审计系统)来统一收集网络设备、安全设备和服务器等的日志。日志审计设备几乎已经成为一个等保3级必买的刚需设备了。(一方面是销售想忽悠业绩,一方面确实是方便,方便了管理也方便了合规)
计算环境的安全审计,这块对主机来说就是看操作系统的日志,对web应用来说就是看后台的操作日志,对其他网络设备和安全设备来说也是看日志。
安全管理中心的安全审计,这块从全局来看,比如审计管理员通过堡垒机来进行统一登录。可以安全审计员的操作进行审计,可以对审计记录进行分析、处理、存储、管理和查询等。
不知道讲清楚没有。不清楚的话,可以进群讨论。
需要进群的小伙伴可以关注微信公众号,里面有我的联系方式。
THE END