安全审计的概念及目的
计算机网络安全审计(Audit)是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。
也是审查评估系统安全风险并采取相应措施的一个过程。在不至于混淆情况下,简称为安全审计,实际是记录与审查用户操作计算机及网络系统活动的过程,是提高系统安全性的重要举措。系统活动包括操作系统活动和应用程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动,如用户所使用的资源、使用时间、执行的操作等。安全审计对系统记录和行为进行独立的审查和估计,其主要作用和目的包括5个方面:
(1)对可能存在的潜在攻击者起到威慑和警示作用,核心是风险评估。
(2)测试系统的控制情况,及时进行调整,保证与安全策略和操作规程协调一致。
(3)对已出现的破坏事件,做出评估并提供有效的灾难恢复和追究责任的依据。
(4)对系统控制、安全策略与规程中的变更进行评价和反馈,以便修订决策和部署。
(5)协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。
网络安全审计的类型
网络安全审计从审计级别上可分为3种类型:系统级审计、应用级审计和用户级审计。
1)系统级审计
系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息,如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件,也无法提供足够的细节信息。
2)应用级审计
应用级审计主要针对的是应用程序的活动信息,如打开和关闭数据文件,读取、编辑、删除记录或字段的等特定操作,以及打印报告等。
3)用户级审计
用户级审计主要是审计用户的操作活动信息,如用户直接启动的所有命令,用户所有的鉴别和认证操作,用户所访问的文件和资源等信息。
要讲清日志审计与数据库审计,还得从它们的发展历程说起。小编认为,任何事物的发展必然遵循其发展规律,非凭空而来,亦非突发奇想,当我们捋清事物的发展历程后,会发现很多伟大的构想来自于事物发展到一定程度的水到渠成。因此此文也将从技术发展的不同阶段来阐述日志审计与数据库审计两种产品的异同。
系统日志
系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查系统错误的发生原因,同时也可以利用它来查询系统违规操作或者受到攻击时留下的痕迹。这就是为什么IT工程师排查系统故障时经常说到的一句口头禅:“查查系统日志,看有什么错误信息”。
基于日志对系统事件过程记录的完整性特点,理论上讲系统日志应该是作为审计过程中的最有力依据,那为何还需开发独立的审计系统呢?这还得从审计的重要特性说起。
审计的本质特性是独立性。系统日志由系统生成,与系统本身为一体,主要用来帮助维护人员进行故障排查与定位。如果要篡改日志,轻而易举。因此系统日志自身无法达到审计的最基本条件,其公正性、权威性更无从谈起。
日志审计系统
严格来讲,对于“日志审计系统”这个名词,小编是持怀疑态度的,翻阅了大量的资料也无法为其找到有力佐证。基于以下两点,小编认为,称其为“综合日志分析管理平台”更切合实际。
1、日志审计系统发展于日志服务器,其本质并未有革命性的改变与革新。
2、其原始信息仍来源于系统日志,并未解决审议对于独立性的根本要求。
日志服务器的产生源自于信息技术发展的一定程度后,所面对的信息系统已经不再以个位计算,而是十位、百位,甚至千位。基于传统的单系统日志排查方式来检查系统运行的状态已捉襟见肘。如若能对所有系统的日志进行统一集中管理,并对其进行归类、分析、抽取,按照不同的风险级别通过可视化的图形方式展现,并实现实时的智能告警,将极大提高系统运维的效率。为解决此类问题,syslog日志协议被广泛应用,并由此产生了基于syslog协议的日志服务器用于日志的集中管理与分析。
Syslog存在的主要问题
长期以来,syslog没有一个标准来对其格式进行规范,导致syslog的格式比较随意,极端情况下可能没有任何格式,程序不能对syslog消息进行解析。在2001年定义的rfc3164中,对syslog协议进行了描述,不过这个规范很多内容并非强制性,常常以“建议”或者“约定”出现,再一个该协议使用UDP协议(无连接协议)在网络中传输,内容的完整性与可靠性得不到有效保障。对于系统的运维来讲,syslog已足够满足需求,却不能满足审计需要。
当我们分析过日志服务器(syslog)后,再要去理解日志审计就不是什么难事,无非就是在日志服务的基础上再增加SNMP(简单网管协议)使其能对路由器、交换机等网络设备的运行状况也能进行管理,再增加一些个性化报表功能,使展现出的效果更佳美观,便成了日志审计系统,但其本质还是脱离不了日志服务器。
数据库审计系统
数据库审计系统最初的设计目的便是为了解决核心数据的内控与审计需求,之所以不采用数据库系统自带日志进行审计工作,基于如下两点原因:
1、数据库系统自身日志易被篡改,缺乏独立性与公正性;
2、数据库访问的实时性要求极高,而庞大的数据库事务日志会消耗大量系统资源,严重影响数据库的性能,往往并不开启,仅保留错误日志以便于系统排障。
数据库审计系统的技术特点
数据库审计系统的技术实现,借鉴了防火墙的报文解析与重组技术(DPI/DFI),通过在底层传输过程中截取报文流,并将其深度解析重组为完整的数据流,再利用语法解析与词法(YACC+LEX)解析技术解析成我们可识别的数据库操作语言,整个过程完全独立于数据库,且不会对数据库有任何影响,其设计天生便是为审计而生。
数据库审计技术的难点
数据库审计系统的技术主要难点在于数据库种类繁多,数据结构多样,协议复杂,很难完整支持。目前深圳昂楷科技有限公司的AAS数据审计系统支持市面主流的关系型数据库系统,同时是后关系型数据库cache数据库的唯一全面支持者,率先支持IP21工业实时数据库的厂家。在大数据与云计算领域,昂楷相关的数据库审计系统也已成功商用,领先于行业。
结论:日志审计系统是在原有日志服务器基础上进一步发展与加强,很好的实现了日志的统一管理与分析,有效的提升的系统故障的检测与排查效率,但其设计的初衷与技术手段决定了其无法适用于审计要求。数据库审计系统的设计初衷便基于数据库内控与审计要求,规避了日志与数据库本身一些不足与缺陷。
© 版权声明
THE END
-2da15b04ed-pdf-1.webp)
-3b421aae31-pdf-1.webp)
