等保2.0高風險判定系列 | 安全審計
作者:啟明星辰
2020-08-27
什么是安全審計����?
安全審計(Audit)是指按照一定的安全策略����,利用記錄系統活動和用戶活動等信息�,檢查���、審查和檢驗操作事件的環境及活動�,從而發現系統漏洞�、入侵行為或改善系統性能的過程����。
《中華人民共和國網絡安全法》第二十一條明確要求“采取監測�����、記錄網絡運行狀態���、網絡安全事件的技術措施����,并按照規定留存相關的網絡日志不少于六個月”��。安全審計就像網絡空間的攝像頭一樣�,完整記錄網絡空間發生的任何異常事件或行為����,在發生安全事件時進行告警��,也可以作為事后追溯的重要證據��,同時也起到了網絡空間的威懾作用��。
常見的安全審計類型
●終端審計
文件操作審計�����、打印審計��、網站訪問審計��、FTP審計和終端����、應用程序使用審計�����、Windows登錄審計等多種審計功能�。
●上網行為審計
網絡社區訪問���、P2P/IM帶寬濫用�、網絡游戲�、炒股����、網絡多媒體���、非法網站訪問等行為進行深入分析與全面的審計�����。
●網絡運維審計
身份認證���、權限鑒別�、操作審計等����,審計協議包括字符協議(SSH/TELNET)�、圖形化協議(RDP/VNC)�、文件傳輸協議(FTP���、SFTP)��、數據庫訪問以及應用發布擴展審計功能�。
● 業務與數據庫審計
基于http/https協議的應用審計����、主流數據庫訪問行為審計(商業數據庫:Oracle����、SQL Server等��;行業數據庫:Teradata���、Cache等����;開源數據庫:MySQL���、PostgreSQL等�;國產數據庫:人大金倉��、達夢���、南大通用等���;Nosql數據庫:mongodb等)��。
●綜合日志審計
能夠對不同廠商的安全設備���、網絡設備�����、主機����、操作系統��、以及各種應用系統產生的海量日志信息進行集中化存儲�、索引����、備份���、全文檢索����、實時搜索��、審計�、告警����、響應�����。
等保對安全審計的要求
在網絡安全等級保護基本要求中�,在安全區域邊界����、安全計算環境����、安全管理中心都對安全審計提出了具體要求����,也是等級保護測評中的高風險判定項����。
●安全區域邊界
應在網絡邊界���、重要網絡節點進行安全審計����,審計覆蓋到每個用戶����,對重要的用戶行為和重要安全事件進行審計�。
●安全計算環境
應啟用安全審計功能�����,審計覆蓋到每個用戶�,對重要的用戶行為和重要安全事件進行審計����。
●安全管理中心
應對分散在各個設備上的審計數據進行收集匯總和集中分析����,并保證審計記錄的留存時間符合法律法規要求�。
啟明星辰安全解決方案
●安全區域邊界安全審計解決方案
高風險:在網絡邊界���、重要網絡節點無任何安全審計措施�����,無法對重要的用戶行為和重要安全事件進行日志審計��,可判定為高風險�。
通常在等級保護方案設計時��, 特別是二級(系統審計保護級)以上系統的方案設計時�,我們會考慮安全審計的需求�。在互聯網環境中部署上網行為審計系統���,在網絡核心節點部署網絡安全審計系統���,在數據中心或者服務器區部署WEB業務和數據庫審計系統��,分別在不同的節點實現對用戶行為和重要安全事件的審計����,可以有效避免測評高風險項的出現��。
●安全計算環境安全審計解決方案
高風險:重要核心網絡設備����、安全設備���、操作系統��、數據庫等未開啟任何審計功能����,無法對重要的用戶行為和重要安全事件進行審計�,也無法對事件進行溯源��,可判定為高風險��。
高風險:應用系統(包括前端系統和后臺管理系統)無任何日志審計功能�����,無法對用戶的重要行為進行審計��,也無法對事件進行溯源�����,可判定為高風險����。
在網絡安全等級保護建設過程中��,由于核心網絡設備����、安全設備���、操作系統(服務器)�����、數據庫自身功能特殊性的原因�����,如果開啟自身審計功能�,性能下級往往比較大�,同時存儲也是一個很大問題��。因此����,多采用第三方審計的方式進行審計���。通常通過部署綜合日志審計系統和數據庫審計系統��,對核心網絡設備����、安全設備日志�����、操作系統日志進行統一提取和收集��。針對數據庫的審計�,往往鑒于性能的原因���,通過部署網絡數據庫審計系統實現對數據庫訪問的審計�����。
針對終端用戶行為的審計往往采用部署終端審計系統實現對用戶行為的審計����。
針對運維用戶的審計往往采用部署運維堡壘機方式實現對運維用戶訪問行為的審計���。
而針對于應用系統的審計��,啟明星辰的WEB應用審計可偵聽對應用系統訪問的網絡數據流����,對這些數據流進行解析�����,以達到對業務系統訪問的全面審計��。通過自學習業務特征��,對業務進行精確映射�����,減少對業務部門的依賴�����,并極大的降低配置工作量���。
●安全區域邊界安全審計解決方案
高風險:日志集中收集存儲:應對分散在各個設備上的審計數據進行收集匯總和集中分析����,并保證審計記錄的留存時間符合法律法規要求���。
在網絡安全等級保護方案設計時���,我們建議用戶部署綜合日志審計系統�����,對包括網絡設備����、安全設備�、操作系統(服務器)���、數據庫��、中間件等日志進行集中的收集存儲����,并進行日志的集中分析和告警����,對日志和告警事件進行處置�����,形成事件處理的閉環管理�����。
●整體網絡安全解決方案
●安全解決方案收益
滿足等級保護安全區域邊界審計需求�,避免出現高風險項��。
滿足等級保護安全計算環境審計需求和應用審計需求�����,避免出現高風險項�。
滿足等級保護安全管理中心日志集中收集存儲需求�,避免出現高風險項��。
滿足《中華人民共和國網絡安全法》第二十一條對網絡安全審計記錄存留時間符合法律法規的要求��。
京公網安備11010802024551號