做等級(jí)保護(hù)的朋友很多，等級(jí)保護(hù)中針對(duì)“安全審計(jì)”的要求也很多，但很多朋友也比較迷茫，甚至甲方，也只是知道要買“安全審計(jì)”，但卻對(duì)安全審計(jì)了解不多，今天給大家挨個(gè)分析下，目前市面上的七種安全審計(jì)產(chǎn)品。

隨著企業(yè)規(guī)模的越來越龐大，我們的信息系統(tǒng)也越來越繁雜，逐漸從開始的路由、交換、Windows服務(wù)器設(shè)備，增加了：防火墻、入侵防御、Linux等，以及各種應(yīng)用，甚至有些跨地域的集團(tuán)公司還部署了多臺(tái)VPN、云桌面管理等系統(tǒng)，那么，如此繁多的設(shè)備如何進(jìn)行統(tǒng)一的安全審計(jì)？更何況還有的企業(yè)面臨著合規(guī)（等保、分保、SOX等）的壓力！

2017年6月1日網(wǎng)絡(luò)安全法正式執(zhí)行以來，關(guān)于安全審計(jì)方面的合規(guī)壓力更大，今天，和大家聊聊那些在等級(jí)保護(hù)中遇到的安全審計(jì)技術(shù)。游俠將安全審計(jì)技術(shù)分為如下幾種：

• 主機(jī)審計(jì)

• 網(wǎng)絡(luò)審計(jì)

• 數(shù)據(jù)庫(kù)審計(jì)

• 運(yùn)維審計(jì)

• 日志審計(jì)

• 業(yè)務(wù)審計(jì)

• 配置審計(jì)

我們簡(jiǎn)單分析下各類安全審計(jì)技術(shù)的常見功能項(xiàng)：

發(fā)展時(shí)間很長(zhǎng)，也基本是目前的桌面管理、終端安全管理等產(chǎn)品的功能，并且現(xiàn)在衍生出幾個(gè)獨(dú)立產(chǎn)品：非法接入與外聯(lián)控制、終端審計(jì)、打印審計(jì)系統(tǒng)、移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)、主機(jī)資產(chǎn)管理系統(tǒng)等。功能也大同小異，有的還增加了補(bǔ)丁管理功能?？梢哉f，主機(jī)審計(jì)已經(jīng)開始全面向主機(jī)安全審計(jì)與管理的方向靠攏。

主機(jī)審計(jì)包含Windows、Linux、Unix等操作系統(tǒng)類型。包含客戶機(jī)和服務(wù)器的審計(jì)。當(dāng)然針對(duì)服務(wù)器的又衍生出了獨(dú)立的服務(wù)器審計(jì)、服務(wù)器加固產(chǎn)品。

目前網(wǎng)絡(luò)審計(jì)和入侵檢測(cè)的融合度非常高，但是一般而言，除了入侵行為審計(jì)，還應(yīng)具備HTTP審計(jì)、POP3/SMTP審計(jì)、Telnet審計(jì)、FTP審計(jì)等。當(dāng)然這里又有的地方和上網(wǎng)行為管理、上網(wǎng)行為審計(jì)有關(guān)。

總體而言，網(wǎng)絡(luò)審計(jì)已經(jīng)非常成熟，一般通過透明、旁路兩種方式接入。

可能在很多人的眼中，數(shù)據(jù)庫(kù)審計(jì)是一個(gè)比較新的產(chǎn)品。因?yàn)閿?shù)據(jù)庫(kù)審計(jì)有的廠家已做了七八年之久，但是目前依然不像防火墻那樣具有非常完善的標(biāo)準(zhǔn)。（當(dāng)然，有標(biāo)準(zhǔn)，但是那個(gè)標(biāo)準(zhǔn)太粗了）

要求具備常見數(shù)據(jù)庫(kù)的審計(jì)能力，含：SQL Server、Oracle等，補(bǔ)充下：居然有很多數(shù)據(jù)庫(kù)不支持MySQL審計(jì)。

數(shù)據(jù)庫(kù)審計(jì)的形式一般有兩種：硬件旁路、軟件Agent。前者部署便捷對(duì)主機(jī)無損耗、后者功能強(qiáng)大但易有兼容性問題。

常見的產(chǎn)品名稱一般為：內(nèi)控堡壘主機(jī)、運(yùn)維操作審計(jì)。主要針對(duì)的設(shè)備：路由器、交換機(jī)、Windows服務(wù)器、Unix服務(wù)器、利用命令行操作的數(shù)據(jù)庫(kù)等。操作方式兼容：SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP等。

圖中針對(duì)防火墻、IDS、交換機(jī)等的日志我沒有寫出，實(shí)際上也算是一類運(yùn)維信息。針對(duì)安全部分的有專業(yè)的SOC產(chǎn)品，以及一些類似產(chǎn)品，市場(chǎng)上已經(jīng)做了多年。當(dāng)然，設(shè)備部分一般是通過SNMP和SYSLOG進(jìn)行審計(jì)監(jiān)控。

通過syslog、SNMP Trap、FTP、Agent等方式接收網(wǎng)絡(luò)中“幾乎所有設(shè)備、軟件、應(yīng)用”的日志信息。如防火墻、路由器、服務(wù)器、數(shù)據(jù)庫(kù)的登錄、啟動(dòng)等信息。此前對(duì)日志審計(jì)的重視程度不夠，但實(shí)際上日志審計(jì)產(chǎn)品可以總覽全網(wǎng)設(shè)備的安全狀況、運(yùn)行狀況，很多敏感信息只能通過日志審計(jì)獲取。

如：Windows服務(wù)器被黑客通過某種隱秘的方式增加了1個(gè)賬號(hào)、凌晨2點(diǎn)進(jìn)行了重啟，其它各類審計(jì)產(chǎn)品很難有效告警，而通過日志分析，卻可以非常簡(jiǎn)單的剝離出此種行為。

針對(duì)企業(yè)的OA、ERP、財(cái)務(wù)軟件、繳費(fèi)軟件等具體業(yè)務(wù)做審計(jì)，幾乎全部需要定制開發(fā)，所以市面上做的不算特別多，即使在做一般也不會(huì)大張旗鼓的宣傳。

業(yè)務(wù)審計(jì)可基于主機(jī)審計(jì)、網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、運(yùn)維審計(jì)、日志審計(jì)進(jìn)行，所以非常復(fù)雜。有興趣的可以百度。

有一些，特別有意思，比如針對(duì)大學(xué)的：學(xué)生負(fù)面情緒（出走）分析，就可以基于網(wǎng)絡(luò)審計(jì)（微博、朋友圈等）進(jìn)行類似于輿情分析系統(tǒng)的消息過濾；也有的基于一卡通系統(tǒng)定制的某個(gè)學(xué)生1個(gè)月在食堂吃飯大于70次（以每月30天、一日三次計(jì)算，有20次未在食堂吃），但每次不超過8元，則標(biāo)記為貧困生，每個(gè)月自動(dòng)給學(xué)生飯卡沖入500的資助款（很棒對(duì)不對(duì)？）

如果是基于等級(jí)保護(hù)來做，那么公安的檢查標(biāo)準(zhǔn)里面有一項(xiàng)是針對(duì)Windows、Linux主機(jī)的安全檢查，如：操作系統(tǒng)類型、版本、安裝的軟件、安裝的補(bǔ)丁等，以及硬件配置。當(dāng)然，針對(duì)一些內(nèi)網(wǎng)計(jì)算機(jī)，還增加了URL檢測(cè)（檢查內(nèi)網(wǎng)計(jì)算機(jī)上互聯(lián)網(wǎng)的情況）、移動(dòng)存儲(chǔ)插拔檢測(cè)（敏感計(jì)算機(jī)不允許插拔U盤、移動(dòng)硬盤，卻有此類行為，就違規(guī)），同時(shí)也會(huì)對(duì)弱口令進(jìn)行安全檢測(cè)。

當(dāng)然，市面上還有兩種產(chǎn)品，都不算多，但卻也比較實(shí)用：一種是配置核查系統(tǒng)，可以檢測(cè)操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備等的配置是否合規(guī)，如交換機(jī)的口令修改周期、ACL策略等；另一種可以對(duì)配置進(jìn)行自動(dòng)備份，如果交換機(jī)發(fā)生了故障，更換了同型號(hào)設(shè)備后，就能直接把此前的配置恢復(fù)回來。