上網(wǎng)行為安全審計是指根據(jù)一定的安全策略�����,通過記錄和分析歷史操作事件及數(shù)據(jù)��,發(fā)現(xiàn)能夠改進(jìn)系統(tǒng)性能和系統(tǒng)安全的一種手段��。目前大多數(shù)用戶均配備了一定數(shù)量的網(wǎng)絡(luò)安全審計類設(shè)備���。
用戶會問這么多審計設(shè)備都是做什么用的?我們先來做個科普。
運維審計:通常叫做堡壘機����,主要針對運維人員對被管理信息資產(chǎn)操作進(jìn)行記錄和管理,通常還有賬號管理功能�����。
數(shù)據(jù)庫審計:對用戶訪問數(shù)據(jù)庫行為的記錄�、分析和匯報,用來幫助用戶事后生成合規(guī)報告��、事故追根溯源��,同時加強內(nèi)外部網(wǎng)絡(luò)行為記錄�,提高數(shù)據(jù)資產(chǎn)安全。
行為審計:通常又稱為上網(wǎng)行為管理�����,主要是記錄用戶互聯(lián)網(wǎng)上網(wǎng)行為�����,順便對用戶帶寬�����、非法站點、訪問時長進(jìn)行綜合管理�。
網(wǎng)絡(luò)審計:通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析��、識別���,實時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量�����,發(fā)現(xiàn)和捕獲各種敏感信息�、違規(guī)行為,實時報警響應(yīng)�,全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件。
應(yīng)用審計:又成業(yè)務(wù)審計系統(tǒng)���,對業(yè)務(wù)人員訪問應(yīng)用系統(tǒng)的行為進(jìn)行解析��、分析�����、記錄��、匯報�����,以幫助用戶事前規(guī)劃預(yù)防��、事中實時監(jiān)視���、違規(guī)行為響應(yīng)��、事后合規(guī)報告�、事故追蹤溯源���,加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管����、促進(jìn)核心資產(chǎn)的正常運營�。
1-業(yè)務(wù)方面需求,包括自身運行情況了解�、對BUG問題及從日志視角看運維操作:
2-網(wǎng)絡(luò)安全需求分析,每一個非授權(quán)入侵者要做到工作是對日志刪除/修改日志���,抹除入侵痕跡�����,導(dǎo)致無法通過日志分析攻擊行為��,網(wǎng)絡(luò)安全事故發(fā)生后往往無法進(jìn)行取證����。
OWASP TOP 10已經(jīng)把“不足的日志記錄及監(jiān)控”作為十大應(yīng)用安全風(fēng)險之一,具統(tǒng)計檢測出發(fā)生數(shù)據(jù)泄漏的時間通常需要超過200天��,而且通常是外部機構(gòu)率先發(fā)現(xiàn)數(shù)據(jù)泄漏的事實���,而不是通過內(nèi)部的審計流程或監(jiān)控發(fā)現(xiàn)的。
3-法律法規(guī)及標(biāo)準(zhǔn)要求�,《中華人民共和國網(wǎng)絡(luò)安全法》自2017年6月1日起施行,第二十一條“采取監(jiān)測���、記錄網(wǎng)絡(luò)運行狀態(tài)�、網(wǎng)絡(luò)安全事件的技術(shù)措施���,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月���;”其他如《信息安全等級保護(hù)》 �、《信息安全風(fēng)險管理規(guī)范》 ����、《基于互聯(lián)網(wǎng)電子政務(wù)信息安全指南》、《銀行業(yè)金融機構(gòu)信息系統(tǒng)管理指引》等等均有要求�。
因此日志審計應(yīng)該成為用戶關(guān)心、必須配置的一類安全系統(tǒng)��,日志審計對象應(yīng)該包含七類即網(wǎng)絡(luò)設(shè)備日志��、安全設(shè)備日志��、操作系統(tǒng)日志�、數(shù)據(jù)庫日志、中間件日志�、應(yīng)用系統(tǒng)日志、終端日志����。有人提出這么多日志,還要保持六個月�����,能存取下來嗎?讀取時候速度怎么樣����?
幸虧現(xiàn)在有大數(shù)據(jù)技術(shù),所以基于大數(shù)據(jù)技術(shù)的日志產(chǎn)品應(yīng)該是客戶選擇日志平臺的首要要求�����。
我們建議采購日志審計情況應(yīng)該關(guān)注如下幾點:
適合任何平臺:支持服務(wù)器部署���、各種平臺虛擬化部署����、硬件形態(tài)部署���。
大數(shù)據(jù)架構(gòu):擺脫傳統(tǒng)盒子架構(gòu),實現(xiàn)快速入庫�����,毫秒查詢�。
全類型覆蓋:網(wǎng)絡(luò)設(shè)備、安全設(shè)備��、操作系統(tǒng)、數(shù)據(jù)庫����、中間件、業(yè)務(wù)系統(tǒng)��、終端設(shè)備的七大類型日志存取
二次開發(fā):支持用戶二次開發(fā)包括對報表�、展現(xiàn)形式、報警�����、分類等��。
服務(wù)能力:最好能夠為用戶提供安全日志事件分析服務(wù)����,協(xié)助用戶進(jìn)行日志取證和數(shù)據(jù)分析。
