新闻资讯 News information

【干货】等保2.0下,安全审计技术大起底

发布时间:2019-11-04

1 等保2.0关于安全审计的规定

等保2.0标准在2019年5月正式发布,将于2019年12月开始实施。等保2.0标准中对安全审计做了详细要求,下面表格中列出了等保2.0对安全审计的技术要求,黑色字体表示是针对上一安全级别增强的要求。

1.jpg

在等级保护体系中,级别越高,对安全性要求越高。

在“附录C(规范性附录)等级保护安全框架和关键技术使用要求”中,特殊强调应在较高级别等级保护对象的安全建设和安全整改中注重使用一些关键技术,其中包含审计追查技术:“应立足于现有的大量事件采集、数据挖掘、智能事件关联和基于业务的运维监控技术,解决海量数据处理瓶颈,通过对审计数据快速提取,满足信息处理中对于检索速度和准确性的需求;同时,还应建立事件分析模型,发现高级安全威胁,并追查威胁路径和定位威胁源头,实现对攻击行为的有效防范和追查。”

等保2.0中主要在安全区域边界、安全计算环境和安全管理中心的要求中提到审计要求。安全区域边界的审计内容主要指网络和设备的重要安全事件、用户行为等;安全计算环境的审计内容主要是用户行为、安全事件、主客体的访问行为等;管理中心的审计内容主要指管理员的各种操作日志。

在“工业控制系统安全扩展要求”中,专门指出:“控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制”。

安全审计是我们大多数人都很熟悉的安全技术,平常大家耳熟能详的权限分配时的“三权分立”原则,通常就是指系统管理员、业务操作员、审计管理员。很多厂家关于“三权分立”的实现和解释都不一致,但是审计员的角色和职责都相对比较明确。

等保2.0的“安全管理机构”中,明确要求:“应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。……应配备一定数量的系统管理员、审计管理员和安全管理员等”。

2 安全审计的基本概念

在讨论信息领域的安全审计之前,我们先来了解一下审计的历史和概念。

审计的历史非常悠久,我国从西周时期就存在专门从事审计工作的部门,一直延续至今,现在各个体制的国家机构中都存在审计部门。

我国审计部门的历史发展如下表所示:

2.jpg

审计的主要目的是检查人的行为、资源的分配、事情的发展是否符合规范要求。按照现代侦查学理论,“犯罪必留痕迹”——这也从另一方面论证了审计的价值,只要违反了法律或规范,一定会留下相关证据,就应该可以审计出来。合规性检查也隐藏着审计的一个潜在前提,即审计必须基于预定的规范标准,如果没有规范标准,也就无从审计。

审计的核心特征是独立性,主要表现为机构独立、人员独立、工作独立、经济独立。独立性是审计工作顺利开展的基础,有了独立性,才能保证审计的权威性、公正性。

审计的过程就是收集、整理和分析审计证据的过程,审计证据可能是过往文件、书信、账薄、人员名单等各种材料。审计的证据必须真实可靠、完整充分,证据是审计的基石,审计的整个过程就是围绕着证据展开,首先根据审计的目的,选择合适的证据;然后整理分析所有采集的证据,找出其中的关联和脉络;最后给出分析结论。

审计的职能是监督、鉴证和评价。监督,即监控某个项目或某个人的运作行为是否合法合规,可及时提醒告诫;鉴证,即为某种目的提供事实证据或证明,鉴证结果可能是一个证明报告;评价,即对某件事、某个部门或某个人进行评价,评价结果可能是合格、优秀、不合规等。

前一段时间热播的电视剧《长安十二时辰》中,靖安司(这是小说中虚构的一个机构)的徐宾发明的“大案牍术”很是火了一把。靖安司汇聚了唐朝全国的卷宗,“大案牍术”就是利用这些卷宗中的各种记录和数字,通过对纷繁复杂的文卷进行分析,从蛛丝马迹中抽丝剥茧,能找到矛盾点,准确推断事情的真相,成为处理事务的杀手锏。比如通过对怀远坊的人员户籍对比,发现有一个人数据异常。他是新来的租户,名叫龙波,还带来了一个女人。而这个龙波,恰恰是恐怖行动的关键人物。所以本质上讲,“大案牍术”就是基于大数据的审计系统。?

image002.jpg

现在我们回头再来看等保2.0中提到的安全审计,其本质是针对信息系统的审计,和传统的审计概念一脉相承,主要体现在:

◇ 主要目的不变,仍然是合规性检查。具体讲就是通过数据分析,检查用户行为、进程行为、通信行为、系统运行等是否符合相关规范要求。

◇ 核心特征不变,仍然是独立性。具体讲就是审计角色独立、审计账号独立、审计工作独立、审计设备/系统独立。

◇ 审计过程不变,仍然是收集、整理和分析审计证据的过程,区别在于审计证据变为数字证据,即日志、事件、报文等。信息系统的发展导致了大量的信息数据,包括各种操作日志、流量日志、原始报文、会话日志等,证据收集相对比较简单。因为这些证据来源不同、格式不同、用途不同、数量巨大,所以针对信息系统的安全审计,核心难点和关键技术是大数据的整理和分析技术。

◇ 审计职能不变,仍然是监督、鉴证和评价。具体讲,监督就是实时监控系统运行或人员行为等,及时发现异常状况产生告警,比如;鉴证就是提供数字证据,防止抵赖,比如提供入侵攻击事件的证据;评价就是分析研判系统运行和用户行为的合规性,提供审计报表。随着技术的发展,预测也逐渐发展成为审计的辅助职能。

所以,安全审计就是收集和记录信息系统的各种日志、事件和流量信息,对这些信息进行比较分析,检查用户或系统是否按照要求正常运行的工作过程。

3 安全审计主要技术

3.1 安全审计通用架构

安全审计系统本质是一个数据采集处理系统,包括采集、处理、分析、存储、查询等过程,其中审计数据分析是核心功能点,通用架构如下图所示:

12.png

3.2 数据采集与处理技术

数据采集技术有多种形式,每种技术都有其优缺点,很多审计场景是综合采用多种技术来采集数据。数据采集技术的分析如下表所示:

软件代理.png

数据处理也分多个步骤,一般顺序是数据过滤、数据去重、数据范化。

数据过滤是接收到审计数据后的第一步工作,主要目的是基于审计要求和审计目的,去除不相干的数据,保留必要的数据。比如日志上报和原始报文解析,一般都会有大量无关的数据信息,这些数据如果进入后续的处理流程,将极大的增加后续的处理压力。

数据过滤一般使用的技术:

1、按某个字段过滤,比如某个IP地址;

2、按某个类型过滤,比如某种日志类型;

3、按正则表达式过滤,适用于字符串类型的文本信息。

数据去重是指去重重复的数据,一般方案是对重复数据计数后只记录统计数字,不需要记录原始的大量重复数据,也是为了减少后续流程的处理压力。

数据去重一般使用内存计算、哈希校验等相关计数。

数据范化是指对数据进行规范化处理,同类数据格式统一、含义一致。原始采集的数据来自各个不同的设备和系统,数据格式多种多样,为了方便后续的存储和统计分析,才需要进行数据范化的工作。

数据范化一般使用内存计算,采用字段映射、字段拆分、字段合并等方法使得数据格式统一、含义一致。

3.3 数据存储与备份技术

审计数据格式多种多样,可能是文件(比如图片、或其他上传的文件)、结构化数据、非结构数据,需要采样不同的存储技术。早期的审计产品主要以文件和关系数据库为存储载体,近些年随着非关系数据库和大数据技术的发展,大部分审计产品都会融合使用这些技术。

存储技术如下表说明:

文件存储.png

数据备份不等同于双机热备或容灾系统,这些概念一定要区分开。

双机热备或容灾系统的目的在于保证系统数据和业务服务的“在线性”,即当系统发生故障时,仍然能够正常地向网络系统提供数据和服务,以使系统业务不致停顿。

双机热备和容灾系统中,但是如果一个节点误删除了数据,也会同步到另一个节点,即大家一起犯错,无法恢复。

数据备份则可以纠正这种错误,数据备份按照一定的策略,定期把数据存储到独立的设备或介质上,比如硬盘或磁带、光盘等,能确保这些数据的可靠性。如果系统的数据存储发生故障,可以恢复到某一个历史时间点。

数据备份的根本目的是历史留存和重新利用,所以对于审计系统来说,数据备份是必不可少的重要组成部分。

数据备份都会涉及三种备份策略:全量备份、增量备份、差量备份,一般需要综合使用。三种策略的主要区别如下:

备份策略.png

3.4 数据快速查询技术

快速准确检索到符合要求的数据是审计系统的基本要求,直接对应审计三大职能中的“鉴证”,也是“监督”和“评价”的基础。随着数据量的增大,查询性能一般都会越来越慢,甚至急剧下降,各个厂商的审计产品在使用过程中都会遇到查询性能问题。

大家知道,计算机体系结构中,数据主要保存在硬盘上,而硬盘的存取速度要远远落后于内存,内存的存取速度又远远落后于高速缓存。所以数据快速查询技术的关键点都在于减少硬盘操作时间,尽量使用内存操作。

目前查询性能优化方案可以分为2类:

1、硬件方案,即更换机械硬盘为SSD固态硬盘,增加内存。机械硬盘的主要结构是一个高速旋转的盘片和在盘片上来回读写数据的磁头,而固态硬盘则是以电子存储的方式来储存数据的,完全减去了旋转寻道的操作,也就极大的减少了硬盘操作时间。另外,目前主流的64位操作系统和数据库都支持几乎无限的内存,增大内存后,就可以把大批的数据转移到内存进行处理,速度会有明显提升。这个方案主要是花钱,然后调整一下数据库的参数配置,但是效果非常好,可以立竿见影看到成效。

2、软件方案,即优化数据结构和算法。这是最体现码农价值的方案,好的数据结构和算法,能达到事半功倍的效果。下面我们主要讨论这一类的查询优化技术。

前面提到,所有查询技术的关键点都在于“减少硬盘操作时间,尽量使用内存操作”,但是数据量这么大,又不可能都放到内存中,怎么解决这个问题呢?

答案就是“索引”——目前所有的数据库在数据查询方面最主要的武器都是索引。数据库索引就类似一本书的目录,能帮助我们快速找到相应的数据,是加速查询操作的辅助文件结构。

传统的查询方法,是按照表的顺序遍历的,不论查询几条数据,都需要将表的数据从头到尾遍历一遍。添加完索引之后,一般通过Hash、B-Tree或其他算法生成一个索引文件,在查询数据库时,首先通过索引文件进行查找,哈希或折半查找等算法可以大幅提升查询效率,找到相应的键从而获取数据。

比如,MySQL支持的2种主要的索引结构如下图所示:

image005.jpg

从该图中可以看到,InnoDB引擎支持的聚簇索引,依靠索引找到主键Key,再根据Key找到对应的原始数据;MyISAM引擎支持的非聚簇索引,则直接依靠索引就找到了原始数据。

数据文件很大,但是索引相对就小很多。但是,索引并不像大家想象那么小,下图就是一个实验表(MySQL数据库,InnoDB引擎)的数据和索引的实际大小:

?image007.jpg

所以,不能因为索引能提升查询效率就猛建索引,索引在提升查询性能的同时,也会带来一些问题:

◇ 索引会降低更新表的速度,如对表进行INSERT、UPDATE和DELETE。因为更新表时,MySQL不仅要保存数据,还要保存一下索引文件。

◇ 索引会占用磁盘空间,一般情况这个问题不太严重,但如果你在一个大表上创建了多种组合索引,索引文件的会膨胀很快。

另外,即使建立了索引,也不能保证就可以提升查询性能,索引必须和SQL语句正确配合才能发挥应有的作用。有些场景下索引会失效,主要失效场景如下:

◇ 如果列的值为NULL,或者SQL语句使用IS NULL或者IS NOT NULL,将导致索引失效。

◇ 在一个SQL语句中,索引只能使用一次,如果在Where中使用了,那么在Order By中就会失效。

◇ 在LIKE操作中,'%aaa%'匹配不会使用索引,但是‘aaa%’可以使用索引。

◇ 在索引的列上使用表达式或者函数会使索引失效。

◇ 在查询条件中使用<、>和!=会导致索引失效。

◇ 在查询条件中使用OR连接多个条件会导致索引失效,除非OR链接的每个条件都加上索引,这时应该改为两次查询,然后用UNION ALL连接起来。

◇ 在Order By中不要多列排序。

上述所讲的索引主要是针对关系数据库,审计系统的数据很多是非结构化数据,很多文档和日志都属于长字符串,字符串模糊匹配是数据查询很常见的场景,同时也是查询效率最低的查询类型。

针对这种长字符串的搜索,很多关系数据库厂商推出了全文搜索引擎,其核心技术是“倒排索引”(inverted index)。倒排索引是一种索引方法,其基本原理是建立单词到文档的索引。倒排索引并不是关系数据库厂商的发明,最早应用于搜索引擎,目前所有的搜索引擎都采用了这种技术,可以称为搜索引擎的基石。

倒排索引结构示例图如下:

image009.jpg

有了倒排索引,就可以根据用户输入的查询词快速找到对应的文档,而不需要在文档中遍历查找,极大的加快了查询速度。

倒排索引非常适合信息系统安全审计方面的数据查询,主要原因:

◇ 审计数据量大、格式多样,很难统一格式化。这意味着传统的关系数据库索引不足以支撑审计数据的查询。

◇ 审计数据的属性有限,即经过数据范化后的数据,字段种类有限,主要信息包括:基于TCP/IP协议的网络通信信息、账号密码信息、主体客体操作信息等。这意味着倒排索引相对容易构建,索引数量不至于太庞大。

ElasticSearch就是典型的采用倒排索引技术的文档数据库,它的前身是一个搜索引擎,现在也经常被用来作为NoSQL数据库,存储非结构化的数据。ElasticSearch与Logstash(数据收集和日志解析引擎)以及Kibana(数据分析和可视化平台)一起被称为“ELK”,是一套成熟的数据采集分析解决方案,可以用来搭建审计系统的基础框架。

3.5 数据智能分析技术

审计的三大职能中,“监督”和“评价”都需要依靠数据分析技术,主要区别是:“监督”重点关注事中的实时监测反馈,“评价”重点关注事后的总结分析。原始审计数据只能发现少量明显的违规或异常数据,只有对大量数据做关联分析,建立安全事件分析模型,才可能发现那些潜在的威胁和违规行为,追查威胁路径和源头,并帮助进行安全预防。

梳理数据分析技术的历史,大致经历了这么几个过程:?

小图.png

>>>? 关联查询

关联查询这是关系数据库时代重点采用的分析技术,SQL语句可以方便的支持多表的关联查询,从而可以把相关的数据筛选出来,这样就比较方便找到多种数据一起来作为分析评价的证据。关联查询依赖数据库的数据,主要用于事后分析取证,基本无法用于事中监督。

>>>? 关联分析

这里专指用于流数据的事件关联分析技术,属于事中分析的技术。关联分析主要通过定制关联规则,对采集的数据进行实时分析,在内存中进行规则匹配。如果匹配成功,就按照规则产生相应的动作,比如生成告警等。

不管是外部违规还是内部违规,从来都不是独立的行为,都会有时序或者逻辑上的联系,单看某个设备的日志可能无法发现问题,但是将所有这些信息合到一起,就可能发现其中的隐患,而这正是关联分析的目的所在。例如,一个简单的典型的关联规则可能是这样的:“在5分钟内,事件A发生3次,并且事件B发生2次,则生成C告警”。这些关联分析的规则就是审计中所说的已知的规范要求。

>>>? 数据挖掘

数据挖掘是针对大量数据的深层次关联分析,直接用于事后分析,挖掘出来的规则模型也可以用于事前预测和事中监督,属于事后分析的技术。数据挖掘是按既定业务目标,对大量数据进行挖掘分析,揭示隐藏的、未知的规律或验证已知的规律性,并进一步将其模型化的方法。

前面我们讲过,审计的一个基本前提是基于已知规范或要求,因为没有评价标准就没办法监督和评价。但是数据挖掘却可能揭示未知的规律,这和审计的概念是有矛盾的。所以,数据挖掘最初并不能直接应用于审计的监督和评价。那么数据挖掘是怎么成为安全审计领域重要的数据分析技术呢?

传统的技术手段无法胜任现代信息系统的安全审计工作,主要原因在于,现在的入侵和攻击手段越来越高明、越来越隐蔽,而且在不断发生变化,人们已经无法准确定义信息系统里面安全行为或异常行为,传统的安全规则也很难清晰描述对应的规范,基于传统安全规则或异常规则的判断往往产生大量的误报。

数据挖掘的主要功能是从大量数据中挖掘规律,寻找数据之间的关系和模式,即大家常说的数据建模或知识发现。数据挖掘技术可以帮助我们学习或挖掘一个系统在正常工作时的潜在规律,也就是建立数据模型,然后再基于这个模型判断和评价实时的网络行为或用户行为。

数据挖掘本质是统计学的范畴,统计学要想获得比较理想的结果,就必须有大量的统计样本。所以数据挖掘首先依赖数据量,数据越丰富、数据量越大,越有可能获得更合理的判断。而现代信息系统的安全审计工作刚好为数据挖掘提供了良好的数据基础,有了海量的、质量也比较高的数据。

所以,数据挖掘技术就发展成为安全审计的拳头武器了。

数据挖掘技术的主要能力包括:分类、估值、关联分析、聚类、预测。

(1)分类:首先根据已经分好类的数据集进行训练,建立分类的数据模型,然后利用该模型对于其他数据进行分类。该能力可以用于审计监督和评价。

(2)估值:估值与分类相似,主要区别在于分类描述的是确定的离散型变量,而估值则是不确定的连续变量。该能力可以用于审计监督和评价。

(3)关联分析:通过分析数据或记录间的关系,决定哪些事情将一起发生(横向关联),哪些事情将先后发生(纵向关联),从而发现异常行为。该能力可以用于审计监督。

(4)聚类:聚集是对数据分组,把相似的数据放在一个聚集里。聚集和分类的区别是聚类不依赖于预先定义好的类,不需要训练集。该能力可以用于审计监督和评价。

(5)预测:预测一般通过分类或估值的模型,预测未来趋势。预测已经逐渐成为审计系统的辅助职能。

因为数据挖掘是基于统计学的技术,所以其最后分析的结论更多是以概率的形式体现,比如,根据当前信息检测到服务器A对服务器B发起网络攻击的概率为80%。这也决定了数据挖掘更适合承担审计的“监督”和“评价”职能,而不是“鉴证”。另外,数据挖掘和基于规则的关联分析可以结合起来使用,数据挖掘根据大量数据发现异常点,然后再依靠规则或者人工排查确认,可以用来帮忙寻找“鉴证”。

现代科技的发展已经证实,现实世界本身就是一个概率世界,当概率足够大时也可以作为证据,比如DNA鉴定就是基于概率的,但是现在DNA鉴定已经属于我国刑事诉讼法上的法定七种证据之一。随着数据挖掘技术的发展、数据模型的逐步细化,最后得出的结论的准确度也可能逐渐增加,最后达到“鉴证”的要求。

>>>? 人工智能

人工智能是一个比较宽泛的概念,包括多种技术,现在还没有一个精确的定义。该领域的研究内容包括:语音识别、文字识别、机器视觉、自然语言理解、知识推理、智能控制、人机博弈、数据挖掘等。该领域的数据基础包括:微积分、线性代数、概率统计、博弈论、信息论、集合论、图论等。

image016.jpg

人工智能的应用范围很广,我们单从审计角度看,人工智能其实是数据挖掘的进一步发展延伸。人工智能的技术可以用于数据挖掘,比如机器学习技术可以用于数据挖掘的模式发现。

机器学习的主要任务是设计和分析一些让计算机可以从大量数据自动“学习”的算法,是人工智能的核心研究领域之一。学习能力是人工智能的一个重要特征,不具有学习能力的系统很难称之为一个真正的智能系统。机器学习算法需要从数据中自动分析获得规律,并利用规律对未知数据进行判断和预测,所以机器学习和数据挖掘有不少交集。机器学习算法中也涉及了大量的统计学理论,也被称为统计学习理论。

机器学习领域现在很火的技术是基于神经网络的深度学习。深度学习的灵感来源于人类大脑的工作方式,是利用深度神经网络来解决特征表达的一种学习过程。深度神经网络本身并不是一个全新的概念,可理解为包含多个隐含层的神经网络结构,是建立、模拟人脑进行分析学习的神经网络,模仿人脑的机制来解释数据。神经网络的计算量非常大,在很长时间里由于基础设施技术的限制,计算能力达不到要求,进展并不大。GPU的出现造就了深度学习的蓬勃发展。

传统的机器学习模式特别依赖工程,特征提取构造是机器学习的重要环节。特征提取很大程度依赖行业专家,而且非常耗时间,需要不断验证优化。深度学习算法则可以自动挖掘提取特征,极大的降低特征提取的工作量。但是深度学习挖掘的特征和学习算法有一个非常严重的问题,就是不可解释性。

不可解释性在审计领域是很难被接纳应用的。审计结论不能说“就是说不清楚为什么,反正机器就是判断你违法了!”,这也是深度学习还需要深入研究的难题。但是深度学习在有些领域效果非常好,单从最终效果看已经超过人类的专家。所以深度学习技术可以结合规则或人类辅助验证用于审计系统,即深度学习技术用于发现异常,再由人类专家验证确认。

知识图谱则不需要很高的硬件性能要求,不像深度学习需要大量GPU运算,而且知识图谱的评判结论可以解释的很清楚。因为知识图谱的主要依据是人类已知的经验和知识。

知识图谱的本质是充分利用人类的先验知识,用图来表示知识的结构化方式,通过不同知识的关联性形成一个网状的知识结构,涉及知识提取、表达、存储、检索、推理一系列技术。在支付宝的风控审计应用中,知识图谱产品已经被应用于揭露金融欺诈、中介造假、洗钱和其他复杂的欺诈手法,获得很好的效果。在安全审计领域,知识图谱可以用于根据已有的安全知识,及时发现入侵攻击等异常行为,进行监督、评价和预测。

安全审计系统应用知识图谱的关键点在于构建包含多方面安全知识的图谱和利用图谱进行知识推理判断。知识图谱的构建以及后续的不断完善,可以融合机器学习、深度学习等技术,即机器学习得到知识,人工确认后用于构建知识图谱。

安全审计和人工智能的结合还在逐渐发展中,根据审计的根本要求,结合各项技术的特点和发展,未来安全审计的智能分析技术架构应该是“海量数据做支撑、机器学习来建模、知识推理做评判”。

“处理知识是人类所擅长的,而处理数据是计算机所擅长的,如果能够将二者结合起来,一定能够构建出比人类更加智能的系统。AI未来的科学突破是建立一种同时基于知识和数据的AI系统。”——清华大学张钹院士。

4 安全审计主要分类

4.1? 主机安全审计

主机安全审计,顾名思义就是对单台主机的安全审计。这是最基础的审计也是最复杂的审计,因为主机几乎是所有业务系统的承载体,主机安全关系重大,同时主机也是最通用的计算单元,功能最复杂,接口最多,需要审计的内容和格式也多种多样。

等保2.0要求的安全计算环境的审计,大部分可以算作主机安全审计的范畴。

为了拿到最可靠的审计证据,主机安全审计一般需要在主机上安装代理软件来采集数据进行审计。主机安全审计的内容很多,但是又需要严格控制对主机系统资源(CPU、内存、硬盘等)的占用,避免影响正常业务运行。

和主机相关的所有信息都可以纳入审计的范围,不同厂家的产品可能实现其中一部分。总体看,主机安全审计包括但不限于下列内容:

主机内容行为审计.png

4.2? 网络安全审计

网络安全审计是针对网络访问或网络通信的审计。现在几乎所有的业务系统都要使用网络,几乎没有基于单机的业务系统了,所以网络安全审计也是非常重要的一个审计类别。

等保2.0要求的安全网络边界的审计,可以算作网络安全审计的范畴。

网络安全审计的数据采集方式如下表所示:

网络安全审计3 表格.png

和网络相关的所有信息都可以内纳入审计的范围,审计内容如下表所示:

审计内容.png

4.3? 数据库安全审计

数据库安全审计的概念相对比较新,近几年因为数据安全相关问题被频繁暴露出来,大家开始重视数据库的安全审计工作。数据库安全审计主要针对常见数据库(比如:SQL Server、Oracle、MySQL、MongoDB等)的各项操作进行审计,比如增、删、改、查等操作。

数据库安全审计的数据采集方式如下表所示:

数据采集方式2个表格.png

数据库服务器相关的内容都可以列入审计范围,具体内容如下表所示:

审计内容11.png

4.4? 业务安全审计

业务安全审计是对业务系统应用过程的审计。业务系统一般包括服务器、网络设备、应用系统、数据库系统、客户端等,所以业务安全审计需要融合主机安全审计、网络安全审计、数据库安全审计和运维安全审计等功能,一般需要定制开发,针对业务系统用户在系统中的操作行为进行记录和审计。另外,为减少应用系统因审计而产生的性能降低,可以配合第三方审计系统(比如日志审计)来完成审计工作。

等保2.0关于安全管理中心的审计内容,可以算作业务安全审计的范畴。

业务安全审计的数据采集方式如下表所示:

业务安全设计数据采集.png

业务安全审计是融合多种内容的审计工作,具体审计内容如下表所示:

业务安全审计审计内容.png

4.5 运维安全审计

运维安全审计是一种特殊的业务审计,主要包括2种:堡垒机接入审计和KVM接入审计。堡垒机是运维人员通过网络远程接入的代理,KVM则适用于运维人员在机房直接操作其他服务器。运维审计以应用层代理的方式运行,获取应用层网络协议,进行还原分析,在重新打包提交给目标主机。

运维安全审计的数据采集方式比较直接,作为代理,可以获得加密前的数据,所以运维安全审计可以获得更多的审计证据。

运维安全审计的审计内容如下表所示:

运维安全审计.png

5 博狗bodogAG 的相关方案

5.1 主机安全审计

博狗bodogAG 工控主机卫士产品是国内首款针对操作员站、工程师站、数据服务器等工业现场主机进行安全加固的软件产品。产品颠覆了传统防病毒软件的“黑名单” 思想,采用与其相反的轻量级“白名单”机制,可以有效阻止包括震网病毒、Flame、 Havex、 BlackEnergy 等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散。

工控主机卫士支持对主机的安全配置进行审计核查,支持采集主机的各种安全信息进行汇总分析。

5.2 网络安全审计

博狗bodogAG 工控安全监测与审计平台是专门针对工业控制网络的信息安全监测及审计系统,支持多种工控协议(OPC、Siemens S7、Modbus、IEC104、Profinet、DNP3 等)的深度解析(DPI),运用“白名单+智能学习”技术建立工控网络安全通信模型,实时发现针对PLC、DCS等重要工业控制系统的攻击和破坏行为,以及病毒、木马等恶意软件的扩散和传播行为,为工业控制网络安全事件调查提供依据。采用旁路方式部署,对生产过程“零影响”。

5.3 运维安全审计

博狗bodogAG 安全运维管理系统(SOMS)是对运维行为进行账号统一管理、资源和权限统一分配、操作全程审计的软硬件一体化设备,采用层次化、模块化的设计,资源层、接口管理层、核心服务层和统一展示层构成了产品的整体架构,产品支持集群部署,扩展性强;单个堡垒服务器、应用发布服务器节点故障不影响访问,可靠性高,能极大的满足现场需求,产品集用户管理、授权管理、认证管理和综合审计于一体,通过严格的权限控制和操作行为审计,加强对运维人员的行为管理,从而达到消隐患、避风险的目的。

博狗bodogAG 官方二维码

扫一扫关注我们博狗bodogAG 官方网站 来了解我们更多资讯

地址:北京市海淀区上地三街9号嘉华大厦F座901室
邮箱:support@zhoumogouwu.com
微信公众号:winicssec_bj
4000-680-620 24小时服务热线