對網絡中安全審計產品的理解

1、網絡審計概念的起源：

審計起源於財務系統，用來審覈企業經營行爲是否合法，審計從財務入手，也就是審覈賬務，從你的賬本中發現你經營中的問題。財務中有一個作賬的原則，就是借與貸老是要平衡的，在衆多的賬目之間，保持平衡自己就是件不容易的事情，因此審計人員每每都是財務中的高手。

財務中的審計總結起來有三個關鍵點：一、全部的賬務往來都要清晰可見，若你隱藏了某些交易記錄，審計中就可能發現不了問題，不少會計會查看銀行的對賬單，有交易必定有資金的往來(現金交易不在此行)，尋找到你隱匿的交易，自己就是發現你心虛的地方，心虛就有問題，審計就是找問題。二、借貸之間應該是平衡的，不平衡就會有資金的錯位，錯位就有不少問題須要澄清，你的解釋越多，就越容易出現漏洞。三、交易的合理性與合規性，合規就是合法，這裏是包括行業的規定與慣例，不侷限於法律，這一點看似容易，人是靠經驗，計算機有專家系統，但也是計算機最難模擬人思惟的地方。有經驗的審計人員對行業的行爲了解很深，在「合理」的若干行爲中發行不合理的疑點，進而分析該交易的合規性。

把審計的概念引入到網絡安全中，能夠追溯到IDS(***檢測系統)研究的早期，對***行爲的檢測，最初是對主機日誌的審計中，發現***行爲的，後來發展爲主機IDS技術。因爲主機IDS只對主機的行爲進行檢測，而且要佔用主機的寶貴資源，安全廠家想到了經過網絡鏈路鏡像的方式直接收集網絡原始信息，就是目前的網絡IDS。
IDS的目的是檢測***行爲，通常都不會存放全部的原始數據，若想後期重現某個客戶當時的行爲，通常是很難作到的。而審計的目的是爲了在過去的記錄中尋找「***」的證據，不只能重現「***」的過程，並且這些「證據」是不能夠被後來修改的，這時網絡中的安全審計產品就誕生了。

 
2、網絡審計產品的主要功能

網絡中須要安全審計，其目的是重現不法者的操做過程，提供認定其不法行爲的證據，也能夠分析目前安全防護系統中的漏洞。從安全防護的角度上說：是對不法者的威懾，「要麼別出手，出手必被捉；如今不被捉，早晚會算賬！」。審計還有一個重要的理念是：審計不是針對外部的***者的，這一點是與IDS產品的重要區別，審計是並且針對內部人員的，由於對其行爲人能夠明肯定位，其做用主要是安全威懾，網絡中安全問題的70%源自於內部人員，對於內部這些「合法」用戶的不法行爲不大可能在事前預防，也不容易在事中立刻發現，最適合的就是過後的審計過程了。

既然要「重現」，安全審計產品必須具有下面幾項功能：

一、               記錄使用者(有多是外來者，也多是內部人員)的行爲過程。幾時來的，幹了些什麼，幾時走的。

二、               肯定使用者的身份。最起碼要肯定其計算機的IP地址，審計系統通常與網絡身份認證鏈接，肯定使用者具體是誰。

三、               不只能記錄下來，並且能夠重現使用者的「工做」過程。因爲網絡中應用協議多，調用資源的方式也多，重現過程不只須要記錄大量的現場通信數據，並且重現環境也多種多樣。

四、               審計記錄的數據是不可更改的。

審計記錄不可修改性，在技術上是不一樣傳統財務審計的，由於計算機存儲的信息是電子化的，很容易被修改，並且能夠沒有修改的痕跡。要保證審計記錄是不可修改的，是過後取證的關鍵。在美國塞班斯法案中對上市企業要求的業務審計，明確要求了審計記錄不可修改的特性。

目前除了審計產品對審計記錄的權限管理保證外，因爲涉及運維管理的專業技術人員，從系統底層的數據修改與部分刪除是安全中不可忽視的問題，借用網絡存儲系統中出現的WORM(一次寫屢次讀)技術，從存儲操做系統級保證數據的不被刪改。技術與要求還總有距離，審計產品在保護審計記錄方面還有很長的路要走。

這裏沒有把審計產品中的用戶管理、事件查詢、事件關聯分析、報表生成、合規性報表等功能列入，主要是認爲這些功能都是做爲一個安全產品使用中必需的管理功能，產品不只要完成其工做的目標，並且要方便使用者的操做，尤爲是平常管理工做的方便、快捷。

 
3、網絡審計產品的分類

目前市場上的網絡安全審計產品按照其面向對象分爲幾大類：

一、  網絡行爲審計：

審計網絡使用者在網絡上的「行爲」，根據網絡的不一樣區域，安全關注的重點不一樣，分爲不一樣專項審計產品。其信息獲取的方式分爲：網絡鏡像方式與主機安裝代理方式。

²        網絡行爲審計：經過端口鏡像取得原始數據包，並還原成鏈接，恢復到相應的通信協議，如：FTP、Http、Telnet、SNMP等，進而重現經過該鏈路的網絡行爲。

Ø         目的：審計該鏈路上全部用戶在網絡上的「公共行爲」，通常放在網絡的主要幹道上，象是城市中重點街區安裝的攝像機，對公共區域的公共安全進行記錄。

Ø         缺點：識別技術很關鍵，產品要識別的應用協議太多，對安全廠家來講是考驗，固然通常來講是關心主要流量的應用協議解析。但該方法對於應用加密時就失去了審計的能力。

²        主機審計：若網絡是街道，主機就是各個單位的內部。在服務器上安裝審計代理，審計主機使用者的各類行爲，把主機的系統、安全等日誌記錄下來至關於針對主機上運行的全部業務系統的安全審計。主機審計在終端安全上的發展最主要的表明性的是非法外聯審計，防止涉密信息經過終端外泄。

n         目的：審計主機使用者的行爲，或進入該主機(服務器)的使用者的行爲

n         缺點：主機審計須要安裝代理軟件，對主機的性能有必定的影響。另外審計代理的防卸載與防中斷運行的能力是必需的，不然產生的審計「天窗」是致命的安全漏洞。

²        數據庫審計：鏡像數據庫服務器前的鏈路，審計數據庫使用行爲，能夠重現到數據庫的操做命令級別，如SELECT、UPDATA等。

Ø         目的：數據庫通常是應用系統的核心，對數據庫的操做行爲記錄通常能記錄用戶的不法行爲過程，而且審計的操做記錄，也能夠爲數據庫恢復提供依據，對系統的破壞損失也能夠減少。

Ø         主機審計：也能夠在數據庫服務器上直接安裝審計終端，對數據庫進行審計，或者能夠利用數據庫系統自身的一些操做日誌信息做爲審計分析的數據的源。但不一樣的是數據庫系統的日誌能夠刪除，審計系統的審計日誌不能夠刪除。

Ø         缺點：數據庫的流量很大，審計記錄的存儲容量至關可觀。

²        互聯網審計：針對員工上互聯網的行爲的專向審計，主要識別的是Http、SMTP、FTP等協議，同時對互聯網的經常使用應用如QQ、MSN、BT等也須要識別。互聯網審計通常是對內部員工的上網進行規範。

Ø         目的：互聯網出口每每是一個企業網絡的「安全綜合地帶」，是企業與外界聯繫的必然出口，設置互聯網的專項審計也是不少企業的管理需求。

Ø         缺點：互聯網應用升級較快，對審計中的識別技術要求高，對於日漸增多的加密應用，如Skype、MSN等，對於審計來講都是極大的挑戰。

二、  運維審計：網絡的運維人員是網絡的「特殊」使用團隊，通常具備系統的高級權限，對運維人員的行爲審計日漸成爲安全管理的必備部分，尤爲是目前不少企業爲了下降網絡與系統的維護成本，採用租用網絡或者運維外包的方式，由企業外部人員管理網絡，由外部維護人員產生的安全案例已經逐漸在上升的趨勢。

Ø         目的：運維人員具備「特殊」的權限，又每每是各類業務審計關注不到的地方，網絡行爲審計能夠審計運維人員通過網絡進行的工做行爲，但對設備的直接操做管理，好比Console方式就沒有記錄。

Ø         審計方式：運維審計的方式不一樣於其餘審計，尤爲是運維人員爲了安全的要求，開始大量採用加密方式，如RDP、SSL等，加密口令在鏈接創建的時候動態生成，經過鏈路鏡像方式是沒法審計的。因此運維審計是一種「制度+技術」的強行審計。通常是運維人員必須先登陸身份認證的「堡壘機」(或經過路由設置方式把運維的管理鏈接所有轉向運維審計服務器)，全部運維工做經過該堡壘機進行，這樣就能夠記錄所有的運維行爲。因爲堡壘機是運維的必然通道，在處理RDP等加密協議時，能夠由堡壘機做爲加密通道的中間代理，從而獲取通信中生成的密鑰，也就能夠對加密管理協議信息進行審計。

Ø         缺點：採用單點運維通道是爲了處理能夠加密協議，但對運維效率有必定影響。而且網絡上產品種類多，業務管理軟件五花八門，管理方式也多種多樣，採用單一的運維通道未必都能達到效果。最重要的是運維審計方案必定要與安全管理制度相配合，要運維人員不「接觸」設備是不可能的。

三、  業務合規性審計：網絡是業務的支撐系統，對業務自己是否「合法」，網絡層的審計技術通常很難判斷，因此業務合規性審計通常是與業務系統相關聯的組織開發的審計系統，經過業務系統中安裝代理的方式，或直接集成在業務系統中，獲取業務「流水」信息，在單獨的審計系統中完成後期審計，也能夠按期對業務系統的業務流水日誌信息進行審計。

Ø         目的：審計業務自己的「合法」性。

Ø         產品形式：通常有業務開發公司提供，而不是網絡安全公司提供，業務專業性很是強，通常爲單獨的審計系統。

四、  審計管理平臺；既然網絡中有衆多的審計產品，對於單位的審計人員來講，創建一個統一的平常工做管理平臺是十分必要的，審計工做對審計記錄的管理權限有特殊要求，在用戶管理上比網管與安管都要嚴格。在花瓶模型中的第三朵花是審計管理平臺，簡稱ASOC，也能夠把它看做安全管理平臺的一個分支。

審計管理平臺通常是把主機的日誌分析與專業的審計產品的審計記錄綜合到一塊兒，按照人員、事件、設備等分類查詢與報告。