信息安全审计的目标:信息机密性、完整性、可控性、可用性和不可否认性。
要实现信息安全审计,保障计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),需要对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、网络设备、安全设备等)进行安全审计,记录所有发生的事件,提供给系统管理员作为系统维护以及安全防范的依据。
根据被审计的对象(主机、设备、网络、数据库、业务、终端、用户)划分,安全审计可以分为:
1. 主机审计:审计针对主机的各种操作和行为。
2. 设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计
3. 网络审计:对网络中各种访问、操作的审计,例如telnet操作、FTP操作,等等。
4. 数据库审计:对数据库行为和操作、甚至操作的内容进行审计。
5. 业务审计:对业务操作、行为、内容的审计。
6. 终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计。
7. 用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象。
按照不同的审计角度和实现技术进行划分,分为合规性审计、日志审计、网络行为审计、主机审计、应用系统审计、集中操作运维审计六大类。
1.合规性审计
做到有效控制IT风险,尤其是操作风险,对业务的安全运营至关重要。因此,合规性审计成为被行业推崇的有效方法。安全合规性审计指在建设与运行IT系统中的过程是否符合相关的法律、标准、规范、文件精神的要求一种检测方法。这作为风险控制的主要内容之一,是检查安全策略落实情况的一种手段。
一般来说,信息安全审计的主要依据为信息安全管理相关的标准。例如IS0/IEC27000、C0SO、COBIT、ITIL、NISTSP800系列、国家等级保护相关标准、企业内控规范等。这些标准、规范实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而提高安全性。根据相关标准、法规进行合规性安全审计,起到标识事件、分析事件、收集相关证据,从而为策略调整和优化提供依据。范围至少应该包括:安全策略的一致性检查,人工操作的记录与分析,程序行为的记录与分析等。
合规性审计必须与信息安全策略的制订与落实紧密结合在一起,才能有效地控制风险。目前,市场上根据相关标准形成了较多合规性审计产品,如基线扫描以及针对性的COBIT审计系统等。
2.日志审计
基于日志的安全审计技术是通过SNMP、SYSLOG或者其他的日志接口从网络设备、主机服务器、用户终端、数据库、应用系统和网络安全设备中收集日志,对收集的日志进行格式标准化、统一分析和报警,并形成多种格式和类型的审计报表。
通过对网络设备、安全设备、主机服务器、用户终端、应用系统及数据库进行日志采集,将数据发送至分析器进行辨别与分析,匹配策略定义的危险事件,发送至报警处理器部件,进行报警或响应。若分析辨别器辨别为策略定义的审计记录事件,发送至结果汇总,进行数据备份或生成报告。
3.网络行为审计
基于网络技术的安全审计是通过旁路和串接的方式实现对网络数据包的捕获,继而进行协议分析和还原,可达到审计服务器、用户终端、数据库、应用系统的安全漏洞、合法、非法或入侵操作,监控上网行为和内容,监控用户非工作行为等目的。网络行为审计更偏重于网络行为,具备部署简单等优点。
网络行为审计部署方式可分为旁路式和串联式。旁路式网络行为审计是通过在交换机端口镜像取得原始数据包,记录所有用户在该链路上网络行为,并还原会话连接,恢复到相应的通讯协议,进而重现通过该链路的网络行为。一般放在网络的主要通道上,如核心交换机和重点监控区域,对网络行为安全进行记录。
串联式工作原理是在网络链路上识别流经它的各种网络协议,将协议数据严格地按照会话进行重组并且记录下来,通过对会话协议的回放和报表记录进行审计。一般部署在需要审计的网络链路中,如核心交换机前段和重要网段上,对网络行为进行审计。
4.主机审计
主机安全审计是通过在主机服务器、用户终端、数据库或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非法行为等目的。主机审计包括了主机的漏洞扫描产品、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监控、终端管理等类型的产品。
目前,主机安全审计可以与认证系统如令牌、PKI/CA、RADIUS(远程认证拨号用户服务)等结合部署,达到用户访问控制和登录审计的效果。
5.应用系统审计
应用系统安全审计是对用户在业务应用过程中的登录、操作、退出的一切行为通过内部截取和跟踪等相关方式进行监控和详细记录,并对这些记录进行按时间段、地址段、用户、操作命令、操作内容等分别进行审计。
目前,市场上没有成熟的独立应用系统安全审计产品。针对应用系统安全审计特点,网络行为审计和一般的主机审计很难实现业务应用层面的相关要求,而日志审计则需要应用系统自身将相关操作形成日志。最好是通过开发应用系统自身对用户在系统中的操作、修改行为进行记录和取证,同时为减少应用系统因审计而产生的性能降低,可以配合第三方登录审计功能以及日志审计来完成审计工作。
6.集中操作运维审计
集中操作运维审计侧重于对网络设备、服务器、安全设备、数据库的运行维护过程中的风险审计。运维审计的方式不同于其他审计,尤其是维护人员为了安全的要求,开始大量采用加密方式,如RDP(RDP:remotedesktopprotocol)、SSL等,加密口令在连接建立的时候动态生成,一般的针对网络行为进行审计的技术是无法实现的,可分为以下两种形式。
一是堡垒式运行维护审计。维护人员先通过身份认证后登录堡垒主机,所有对网络设备、主机服务器、安全设备、数据库等的维护工作通过该堡垒主机进行,这样就可以记录全部的运维行为。堡垒主机就是通过路由设置或访问控制方式把运维的管理链接全部转向运维审计的设备,由于堡垒主机是操作运维的必然通道,在处理RDP、SSL等加密协议时,可以由堡垒主机作为加密通道的中间代理,从而获取通讯中生成的密钥,也就可以对加密管理协议信息进行审计。
二是数字KVM审计。基于IP协议的KVM,能以一套鼠标、键盘、显示器来控制多台主机服务器,通过IP能够实现远程访问和控制,其目的是解决机房多设备、多操作系统、节能环保及安全性等问题,通过对屏幕操作视图的图像进行录像与回放功能和完善的日志存储与查询功能,能够记录和跟踪各种系统状态的变化;提高对系统故意入侵行为的记录和危害系统安全的记录;由于其引入身份证、授权、记录操作内容等功能,也是比较可行的运行维护方式之一。
