|
三、安全审计的技术分类
目前的安全审计解决方案有以下几类:
日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。
主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。根据该定义,事实上主机审计已经包括了主机日志审计、主机漏洞扫描产品、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监控等类型的产品。
网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。根据该定义,事实上网络审计已经包括了网络漏洞扫描产品、防火墙和IDS/IPS中的安全审计功能、互联网行为监控等类型的产品。
针对典型网络环境下的各个审计对象的安全审计需求,结合以上的安全审计解决方案,我们可以得出以下审计对象和解决方案表。
表一 审计对象和解决方案表
|
审计对象
|
日志审计
|
主机审计
|
网络审计
|
|
网络设备
|
√
|
|
|
|
服务器
|
√
|
√
|
√
|
|
用户电脑
|
√
|
√
|
√
|
|
数据库
|
√
|
√
|
√
|
|
应用系统
|
√
|
√
|
√
|
|
网络安全设备
|
√
|
|
我们可以看到这三种审计方案之间的关系:日志审计的目的是日志收集和分析,它要以其他审计对象生成的日志为基础。而主机审计和网络审计这两种解决方案就是生成日志的最重要的技术方法。主机审计和网络审计的方案各有优缺点,进行比较后得出下表:
表二 主机审计和网络审计方案对比表
|
比较项
|
主机审计
|
网络审计
|
|
审计需求满足程度
|
网络设备
|
日志收集
|
-
|
-
|
|
服务器
|
安全漏洞审计
|
√程度较深
|
√
|
|
监控网络操作
|
√
|
√
|
|
监控上机行为
|
√
|
×
|
|
监控入侵行为
|
√
|
√
|
|
用户电脑
|
安全漏洞审计
|
√程度较深
|
√
|
|
监控网络行为
|
√
|
√
|
|
监控上机行为
|
√
|
×
|
|
监控入侵行为
|
√
|
√
|
|
数据库
|
安全漏洞审计
|
√程度较深
|
√
|
|
监控网络操作
|
√
|
√
|
|
监控入侵行为
|
√
|
√
|
|
应用系统
|
安全漏洞审计
|
√程度较深
|
√
|
|
监控网络操作
|
√
|
√
|
|
监控入侵行为
|
√
|
√
|
|
安全设备
|
日志收集
|
-
|
-
|
|
用户接受程度
|
网络设备
|
-
|
-
|
|
服务器
|
√
|
√
|
|
用户电脑
|
×(在用户电脑上安装客户端,用户很难接受)
|
√(相对于主机审计接受程度要强)
|
|
数据库
|
√
|
√
|
|
应用系统
|
√
|
√
|
|
网络安全设备
|
-
|
-
|
|
目前应用范围
|
集中在政府、军队等
|
所有行业
|
注:-表示不用比较。
从上可知,主机审计在服务器和用户电脑上安装了客户端,因而在安全漏洞审计、以及服务器和用户电脑上的上机行为和防泄密功能上比网络审计强,网络审计是在网络上进行监控,无法管理到服务器和用户电脑的本机行为。
主机审计的客户端,是它具有这些技术优势的原因,也恰恰是对它在实际应用上不利的一点,用户对安装客户端的接受程度不高,就像在用户上方安装一个摄像头一样,谁都不喜欢被监控的感觉。而网络审计是安装在网络出口,安装时可以事先通知用户,也可以让用户毫无知觉,相对于主机审计,用户对远远在外的监控系统的接受程度比安装在自己电脑上的客户端要高得多。
用户的接受程度不同使得主机审计和网络审计在应用行业范围也有所有区别。主机审计目前集中在政府和军队中,其他行业应用较少;而网络审计的应用范围却是广泛,只要能上网的单位都可以使用。
|