1 安全审计产品的分类
根据被审计的对象(主机、设备、网络、数据库、业务、终端、用户)划分,安全审计可以分为:
主机审计:审计针对主机的各种操作和行为——需要设备:堡垒机,运维安全审计
设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计网络——需要设备:堡垒机,运维安全审计
审计:对网络中各种访问、操作的审计,例如telnet操作、FTP操作,等等——需要设备:上网行为管理设备
数据库审计:对数据库行为和操作、甚至操作的内容进行审计业务审计,对业务操作、行为、内容的审计——需要设备:数据库审计系统
终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计。
用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象——需要设备:上网行为管理;堡垒机等
2 安全审计产品的基本功能
无论是何种审计产品,从产品功能组成上都应该包括:
信息采集功能:就是能够通过某种技术手段获取需要审计的数据,例如日志,网络数据包等。对于该功能的考察,关键是其采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。如果采用数据包审计技术的话,网络协议抓包和分析引擎显得尤为重要。如果采用日志审计技术的话,日志归一化技术则是考察厂家基本功和专业能力的地方。
信息分析功能:对于采集上来的信息进行分析、审计。这是审计产品的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计,以及时序的审计算法,等等。
信息存储功能:对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。
信息展示功能:包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,是各个厂家各显神通的地方。
产品自身安全性和可审计性功能:审计产品自身必须是安全的,包括要确保审计数据的完整性、机密性和有效性,对审计系统的访问要安全。此外,所有针对审计产品的访问和操作也要记录日志,并且能够被审计。
您可能需要了解的设备:上网行为管理审计设备;堡垒机运维安全审计;数据库审计系统