對網路中安全審計產品的理解
一、網路審計概念的起源:
審計起源於財務系統,用來稽核企業經營行為是否合法,審計從財務入手,也就是稽核帳務,從你的帳本中發現你經營中的問題。財務中有一個做帳的原則,就是借與貸總是要平衡的,在眾多的帳目之間,保持平衡本身就是件不容易的事情,所以審計人員往往都是財務中的高手。
財務中的審計總結起來有三個關鍵點:1、所有的帳務往來都要清晰可見,若你隱藏了某些交易記錄,審計中就可能發現不了問題,很多會計會檢視銀行的對帳單,有交易一定有資金的往來(現金交易不在此行),尋找到你隱匿的交易,本身就是發現你心虛的地方,心虛就有問題,審計就是找問題。2、借貸之間應該是平衡的,不平衡就會有資金的錯位,錯位就有很多問題需要澄清,你的解釋越多,就越容易出現漏洞。3、交易的合理性與合規性,合規就是合法,這裡是包括行業的規定與慣例,不侷限於法律,這一點看似容易,人是靠經驗,計算機有專家系統,但也是計算機最難模擬人思維的地方。有經驗的審計人員對行業的行為了解很深,在“合理”的若干行為中發行不合理的疑點,進而分析該交易的合規性。
把審計的概念引入到網路安全中,可以追溯到IDS(入侵檢測系統)研究的早期,對入侵行為的檢測,最初是對主機日誌的審計中,發現攻擊行為的,後來發展為主機IDS技術。由於主機IDS只對主機的行為進行檢測,並且要佔用主機的寶貴資源,安全廠家想到了通過網路鏈路映象的方式直接收集網路原始資訊,就是目前的網路IDS。
IDS的目的是檢測攻擊行為,一般都不會存放所有的原始資料,若想後期重現某個客戶當時的行為,一般是很難做到的。而審計的目的是為了在過去的記錄中尋找“攻擊”的證據,不僅能重現“攻擊”的過程,而且這些“證據”是不可以被後來修改的,這時網路中的安全審計產品就誕生了。
二、網路審計產品的主要功能
網路中需要安全審計,其目的是重現不法者的操作過程,提供認定其不法行為的證據,也可以分析目前安全防禦系統中的漏洞。從安全防禦的角度上說:是對不法者的威懾,“要麼別出手,出手必被捉;現在不被捉,遲早會算帳!”。審計還有一個重要的理念是:審計不是針對外部的入侵者的,這一點是與IDS產品的重要區別,審計是而且針對內部人員的,因為對其行為人可以明確定位,其作用主要是安全威懾,網路中安全問題的70%源自於內部人員,對於內部這些“合法”使用者的不法行為不大可能在事前預防,也不容易在事中馬上發現,最適合的就是事後的審計過程了。
既然要“重現”,安全審計產品必須具備下面幾項功能:
1、 記錄使用者(有可能是外來者,也可能是內部人員)的行為過程。幾時來的,幹了些什麼,幾時走的。
2、 確定使用者的身份。最起碼要確定其計算機的IP地址,審計系統一般與網路身份認證連線,確定使用者具體是誰。
3、 不僅能記錄下來,而且可以重現使用者的“工作”過程。由於網路中應用協議多,呼叫資源的方式也多,重現過程不僅需要記錄大量的現場通訊資料,而且重現環境也多種多樣。
4、 審計記錄的資料是不可更改的。
審計記錄不可修改性,在技術上是不同傳統財務審計的,因為計算機儲存的資訊是電子化的,很容易被修改,而且可以沒有修改的痕跡。要保證審計記錄是不可修改的,是事後取證的關鍵。在美國塞班斯法案中對上市企業要求的業務審計,明確要求了審計記錄不可修改的特性。
目前除了審計產品對審計記錄的許可權管理保證外,由於涉及運維管理的專業技術人員,從系統底層的資料修改與部分刪除是安全中不可忽視的問題,借用網路儲存系統中出現的WORM(一次寫多次讀)技術,從儲存作業系統級保證資料的不被刪改。技術與要求還總有距離,審計產品在保護審計記錄方面還有很長的路要走。
這裡沒有把審計產品中的使用者管理、事件查詢、事件關聯分析、報表生成、合規性報表等功能列入,主要是認為這些功能都是作為一個安全產品使用中必需的管理功能,產品不僅要完成其工作的目標,而且要方便使用者的操作,尤其是日常管理工作的方便、快捷。
三、網路審計產品的分類
目前市場上的網路安全審計產品按照其物件導向分為幾大類:
1、 網路行為審計:
審計網路使用者在網路上的“行為”,根據網路的不同區域,安全關注的重點不同,分為不同專項審計產品。其資訊獲取的方式分為:網路映象方式與主機安裝代理方式。
² 網路行為審計:通過埠映象取得原始資料包,並還原成連線,恢復到相應的通訊協議,如:FTP、Http、Telnet、SNMP等,進而重現通過該鏈路的網路行為。
Ø 目的:審計該鏈路上所有使用者在網路上的“公共行為”,一般放在網路的主要幹道上,象是城市中重點街區安裝的攝像機,對公共區域的公共安全進行記錄。
Ø 缺點:識別技術很關鍵,產品要識別的應用協議太多,對安全廠家來說是考驗,當然一般來說是關心主要流量的應用協議解析。但該方法對於應用加密時就失去了審計的能力。
² 主機審計:若網路是街道,主機就是各個單位的內部。在伺服器上安裝審計代理,審計主機使用者的各種行為,把主機的系統、安全等日誌記錄下來相當於針對主機上執行的所有業務系統的安全審計。主機審計在終端安全上的發展最主要的代表性的是非法外聯審計,防止涉密資訊通過終端外洩。
n 目的:審計主機使用者的行為,或進入該主機(伺服器)的使用者的行為
n 缺點:主機審計需要安裝代理軟體,對主機的效能有一定的影響。另外審計代理的防解除安裝與防中斷執行的能力是必需的,否則產生的審計“天窗”是致命的安全漏洞。
² 資料庫審計:映象資料庫伺服器前的鏈路,審計資料庫使用行為,可以重現到資料庫的操作命令級別,如SELECT、UPDATA等。
Ø 目的:資料庫一般是應用系統的核心,對資料庫的操作行為記錄一般能記錄使用者的不法行為過程,並且審計的操作記錄,也可以為資料庫恢復提供依據,對系統的破壞損失也可以減小。
Ø 主機審計:也可以在資料庫伺服器上直接安裝審計終端,對資料庫進行審計,或者可以利用資料庫系統自身的一些操作日誌資訊作為審計分析的資料的源。但不同的是資料庫系統的日誌可以刪除,審計系統的審計日誌不可以刪除。
Ø 缺點:資料庫的流量很大,審計記錄的儲存容量相當可觀。
² 網際網路審計:針對員工上網際網路的行為的專向審計,主要識別的是Http、SMTP、FTP等協議,同時對網際網路的常用應用如QQ、MSN、BT等也需要識別。網際網路審計一般是對內部員工的上網進行規範。
Ø 目的:網際網路出口往往是一個企業網路的“安全綜合地帶”,是企業與外界聯絡的必然出口,設定網際網路的專項審計也是很多企業的管理需求。
Ø 缺點:網際網路應用升級較快,對審計中的識別技術要求高,對於日漸增多的加密應用,如Skype、MSN等,對於審計來說都是極大的挑戰。
2、 運維審計:網路的運維人員是網路的“特殊”使用團隊,一般具有系統的高階許可權,對運維人員的行為審計日漸成為安全管理的必備部分,尤其是目前很多企業為了降低網路與系統的維護成本,採用租用網路或者運維外包的方式,由企業外部人員管理網路,由外部維護人員產生的安全案例已經逐漸在上升的趨勢。
Ø 目的:運維人員具有“特殊”的許可權,又往往是各種業務審計關注不到的地方,網路行為審計可以審計運維人員經過網路進行的工作行為,但對裝置的直接操作管理,比如Console方式就沒有記錄。
Ø 審計方式:運維審計的方式不同於其他審計,尤其是運維人員為了安全的要求,開始大量採用加密方式,如RDP、SSL等,加密口令在連線建立的時候動態生成,通過鏈路映象方式是無法審計的。所以運維審計是一種“制度+技術”的強行審計。一般是運維人員必須先登入身份認證的“堡壘機”(或通過路由設定方式把運維的管理連線全部轉向運維審計伺服器),所有運維工作通過該堡壘機進行,這樣就可以記錄全部的運維行為。由於堡壘機是運維的必然通道,在處理RDP等加密協議時,可以由堡壘機作為加密通道的中間代理,從而獲取通訊中生成的金鑰,也就可以對加密管理協議資訊進行審計。
Ø 缺點:採用單點運維通道是為了處理可以加密協議,但對運維效率有一定影響。並且網路上產品種類多,業務管理軟體五花八門,管理方式也多種多樣,採用單一的運維通道未必都能達到效果。最重要的是運維審計方案一定要與安全管理制度相配合,要運維人員不“接觸”裝置是不可能的。
3、 業務合規性審計:網路是業務的支撐系統,對業務本身是否“合法”,網路層的審計技術一般很難判斷,所以業務合規性審計一般是與業務系統相關聯的組織開發的審計系統,通過業務系統中安裝代理的方式,或直接整合在業務系統中,獲取業務“流水”資訊,在單獨的審計系統中完成後期審計,也可以定期對業務系統的業務流水日誌資訊進行審計。
Ø 目的:審計業務本身的“合法”性。
Ø 產品形式:一般有業務開發公司提供,而不是網路安全公司提供,業務專業性非常強,一般為單獨的審計系統。
4、 審計管理平臺;既然網路中有眾多的審計產品,對於單位的審計人員來說,建立一個統一的日常工作管理平臺是十分必要的,審計工作對審計記錄的管理許可權有特殊要求,在使用者管理上比網管與安管都要嚴格。在花瓶模型中的第三朵花是審計管理平臺,簡稱ASOC,也可以把它看作安全管理平臺的一個分支。
審計管理平臺一般是把主機的日誌分析與專業的審計產品的審計記錄綜合到一起,按照人員、事件、裝置等分類查詢與報告。
本文轉自 zhaisj 51CTO部落格,原文連結:http://blog.51cto.com/zhaisj/75533,如需轉載請自行聯絡原作者
相關文章
- 中國將成立網路安全審查委員會未審產品不得采購
- 我國將成立網路安全審查委員會:並非所有網路產品都需審查
- 網路安全審計工具Nmap
- 入侵檢測與網路審計產品是孿生兄弟嗎?
- Linux網路流量安全審計Linux
- 網路安全是什麼意思?網路安全產品又包含哪些?
- 對做“網際網路產品”的一些想法
- 對“移動產品經理”的理解
- 網路安全學習中,原始碼審計有哪些分類?原始碼
- 解讀《網路安全審查辦法》及其對網路安全產業供給的影響產業
- 如何深度理解網際網路產品?兩度識別
- 如何設計出“有趣”的網際網路產品?
- 網路安全審計主要包括哪些內容?
- 啟明星辰天玥資料庫安全審計產品評測資料庫
- 網路安全學原始碼審計嗎?怎樣才能學好網路安全原始碼
- 基於Java關鍵詞審計技巧?網路安全原始碼審計Java原始碼
- 淺析《國家安全法》中的網路安全審查制度
- 為網際網路原住民設計產品的思考
- 【網路安全入門必看】常用的審計工具都有哪些?
- 以網際網路產品為核心的服務設計
- 移動網際網路產品設計原則
- 基於php審計關鍵詞審計技巧總結 網路安全學習PHP
- 雲網路對等連線產品的高可用保證
- 從《網路安全審查辦法》三版對比看“審查啟示”
- 在Linux中,如何理解安全審計工具?如Lynis和OSSEC。Linux
- 國家網路安全周 | 美創科技榮獲CCIA網路安全產品雙料大獎
- 網路安全法草案二審
- 所謂網際網路產品
- 如果香奈兒是網際網路產品設計師
- 產品觀察家:社交網路的邏輯、產品和未來
- 主流網路產品 入侵檢測產品的綜合比較(轉)
- 網路安全審計工具—Nmap!滲透測試入門
- 網際網路產品 從設計到運營 這中間提高需要關注的網站網站
- 我理解的網站產品經理(下):媒體性產品如何規劃?網站
- 網際網路存款產品為何被禁:如何正確看待網際網路理財產品
- 原型設計中的產品原型原型
- “舌尖上”的網際網路產品經理
- 做網際網路產品的節奏感