对网络中安全审计产品的理解

1、网络审计概念的起源：

审计起源于财务系统，用来审核企业经营行为是否合法，审计从财务入手，也就是审核账务，从你的账本中发现你经营中的问题。财务中有一个作账的原则，就是借与贷老是要平衡的，在众多的账目之间，保持平衡自己就是件不容易的事情，因此审计人员每每都是财务中的高手。

财务中的审计总结起来有三个关键点：一、全部的账务往来都要清晰可见，若你隐藏了某些交易记录，审计中就可能发现不了问题，不少会计会查看银行的对账单，有交易必定有资金的往来(现金交易不在此行)，寻找到你隐匿的交易，自己就是发现你心虚的地方，心虚就有问题，审计就是找问题。二、借贷之间应该是平衡的，不平衡就会有资金的错位，错位就有不少问题须要澄清，你的解释越多，就越容易出现漏洞。三、交易的合理性与合规性，合规就是合法，这里是包括行业的规定与惯例，不局限于法律，这一点看似容易，人是靠经验，计算机有专家系统，但也是计算机最难模拟人思惟的地方。有经验的审计人员对行业的行为了解很深，在“合理”的若干行为中发行不合理的疑点，进而分析该交易的合规性。

把审计的概念引入到网络安全中，能够追溯到IDS(***检测系统)研究的早期，对***行为的检测，最初是对主机日志的审计中，发现***行为的，后来发展为主机IDS技术。因为主机IDS只对主机的行为进行检测，而且要占用主机的宝贵资源，安全厂家想到了经过网络链路镜像的方式直接收集网络原始信息，就是目前的网络IDS。
IDS的目的是检测***行为，通常都不会存放全部的原始数据，若想后期重现某个客户当时的行为，通常是很难作到的。而审计的目的是为了在过去的记录中寻找“***”的证据，不只能重现“***”的过程，并且这些“证据”是不能够被后来修改的，这时网络中的安全审计产品就诞生了。

 
2、网络审计产品的主要功能

网络中须要安全审计，其目的是重现不法者的操做过程，提供认定其不法行为的证据，也能够分析目前安全防护系统中的漏洞。从安全防护的角度上说：是对不法者的威慑，“要么别出手，出手必被捉；如今不被捉，早晚会算账！”。审计还有一个重要的理念是：审计不是针对外部的***者的，这一点是与IDS产品的重要区别，审计是并且针对内部人员的，由于对其行为人能够明肯定位，其做用主要是安全威慑，网络中安全问题的70%源自于内部人员，对于内部这些“合法”用户的不法行为不大可能在事前预防，也不容易在事中立刻发现，最适合的就是过后的审计过程了。

既然要“重现”，安全审计产品必须具有下面几项功能：

一、               记录使用者(有多是外来者，也多是内部人员)的行为过程。几时来的，干了些什么，几时走的。

二、               肯定使用者的身份。最起码要肯定其计算机的IP地址，审计系统通常与网络身份认证链接，肯定使用者具体是谁。

三、               不只能记录下来，并且能够重现使用者的“工做”过程。因为网络中应用协议多，调用资源的方式也多，重现过程不只须要记录大量的现场通信数据，并且重现环境也多种多样。

四、               审计记录的数据是不可更改的。

审计记录不可修改性，在技术上是不一样传统财务审计的，由于计算机存储的信息是电子化的，很容易被修改，并且能够没有修改的痕迹。要保证审计记录是不可修改的，是过后取证的关键。在美国塞班斯法案中对上市企业要求的业务审计，明确要求了审计记录不可修改的特性。

目前除了审计产品对审计记录的权限管理保证外，因为涉及运维管理的专业技术人员，从系统底层的数据修改与部分删除是安全中不可忽视的问题，借用网络存储系统中出现的WORM(一次写屡次读)技术，从存储操做系统级保证数据的不被删改。技术与要求还总有距离，审计产品在保护审计记录方面还有很长的路要走。

这里没有把审计产品中的用户管理、事件查询、事件关联分析、报表生成、合规性报表等功能列入，主要是认为这些功能都是做为一个安全产品使用中必需的管理功能，产品不只要完成其工做的目标，并且要方便使用者的操做，尤为是平常管理工做的方便、快捷。

 
3、网络审计产品的分类

目前市场上的网络安全审计产品按照其面向对象分为几大类：

一、  网络行为审计：

审计网络使用者在网络上的“行为”，根据网络的不一样区域，安全关注的重点不一样，分为不一样专项审计产品。其信息获取的方式分为：网络镜像方式与主机安装代理方式。

²        网络行为审计：经过端口镜像取得原始数据包，并还原成链接，恢复到相应的通信协议，如：FTP、Http、Telnet、SNMP等，进而重现经过该链路的网络行为。

Ø         目的：审计该链路上全部用户在网络上的“公共行为”，通常放在网络的主要干道上，象是城市中重点街区安装的摄像机，对公共区域的公共安全进行记录。

Ø         缺点：识别技术很关键，产品要识别的应用协议太多，对安全厂家来讲是考验，固然通常来讲是关心主要流量的应用协议解析。但该方法对于应用加密时就失去了审计的能力。

²        主机审计：若网络是街道，主机就是各个单位的内部。在服务器上安装审计代理，审计主机使用者的各类行为，把主机的系统、安全等日志记录下来至关于针对主机上运行的全部业务系统的安全审计。主机审计在终端安全上的发展最主要的表明性的是非法外联审计，防止涉密信息经过终端外泄。

n         目的：审计主机使用者的行为，或进入该主机(服务器)的使用者的行为

n         缺点：主机审计须要安装代理软件，对主机的性能有必定的影响。另外审计代理的防卸载与防中断运行的能力是必需的，不然产生的审计“天窗”是致命的安全漏洞。

²        数据库审计：镜像数据库服务器前的链路，审计数据库使用行为，能够重现到数据库的操做命令级别，如SELECT、UPDATA等。

Ø         目的：数据库通常是应用系统的核心，对数据库的操做行为记录通常能记录用户的不法行为过程，而且审计的操做记录，也能够为数据库恢复提供依据，对系统的破坏损失也能够减少。

Ø         主机审计：也能够在数据库服务器上直接安装审计终端，对数据库进行审计，或者能够利用数据库系统自身的一些操做日志信息做为审计分析的数据的源。但不一样的是数据库系统的日志能够删除，审计系统的审计日志不能够删除。

Ø         缺点：数据库的流量很大，审计记录的存储容量至关可观。

²        互联网审计：针对员工上互联网的行为的专向审计，主要识别的是Http、SMTP、FTP等协议，同时对互联网的经常使用应用如QQ、MSN、BT等也须要识别。互联网审计通常是对内部员工的上网进行规范。

Ø         目的：互联网出口每每是一个企业网络的“安全综合地带”，是企业与外界联系的必然出口，设置互联网的专项审计也是不少企业的管理需求。

Ø         缺点：互联网应用升级较快，对审计中的识别技术要求高，对于日渐增多的加密应用，如Skype、MSN等，对于审计来讲都是极大的挑战。

二、  运维审计：网络的运维人员是网络的“特殊”使用团队，通常具备系统的高级权限，对运维人员的行为审计日渐成为安全管理的必备部分，尤为是目前不少企业为了下降网络与系统的维护成本，采用租用网络或者运维外包的方式，由企业外部人员管理网络，由外部维护人员产生的安全案例已经逐渐在上升的趋势。

Ø         目的：运维人员具备“特殊”的权限，又每每是各类业务审计关注不到的地方，网络行为审计能够审计运维人员通过网络进行的工做行为，但对设备的直接操做管理，好比Console方式就没有记录。

Ø         审计方式：运维审计的方式不一样于其余审计，尤为是运维人员为了安全的要求，开始大量采用加密方式，如RDP、SSL等，加密口令在链接创建的时候动态生成，经过链路镜像方式是没法审计的。因此运维审计是一种“制度+技术”的强行审计。通常是运维人员必须先登陆身份认证的“堡垒机”(或经过路由设置方式把运维的管理链接所有转向运维审计服务器)，全部运维工做经过该堡垒机进行，这样就能够记录所有的运维行为。因为堡垒机是运维的必然通道，在处理RDP等加密协议时，能够由堡垒机做为加密通道的中间代理，从而获取通信中生成的密钥，也就能够对加密管理协议信息进行审计。

Ø         缺点：采用单点运维通道是为了处理能够加密协议，但对运维效率有必定影响。而且网络上产品种类多，业务管理软件五花八门，管理方式也多种多样，采用单一的运维通道未必都能达到效果。最重要的是运维审计方案必定要与安全管理制度相配合，要运维人员不“接触”设备是不可能的。

三、  业务合规性审计：网络是业务的支撑系统，对业务自己是否“合法”，网络层的审计技术通常很难判断，因此业务合规性审计通常是与业务系统相关联的组织开发的审计系统，经过业务系统中安装代理的方式，或直接集成在业务系统中，获取业务“流水”信息，在单独的审计系统中完成后期审计，也能够按期对业务系统的业务流水日志信息进行审计。

Ø         目的：审计业务自己的“合法”性。

Ø         产品形式：通常有业务开发公司提供，而不是网络安全公司提供，业务专业性很是强，通常为单独的审计系统。

四、  审计管理平台；既然网络中有众多的审计产品，对于单位的审计人员来讲，创建一个统一的平常工做管理平台是十分必要的，审计工做对审计记录的管理权限有特殊要求，在用户管理上比网管与安管都要严格。在花瓶模型中的第三朵花是审计管理平台，简称ASOC，也能够把它看做安全管理平台的一个分支。

审计管理平台通常是把主机的日志分析与专业的审计产品的审计记录综合到一块儿，按照人员、事件、设备等分类查询与报告。