信息安全審計的目標:信息機密性、完整性、可控性、可用性和不可否認性。
要實現信息安全審計,保障計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴),需要對計算機信息系統中的所有網絡資源(包括數據庫、主機、操作系統、網絡設備、安全設備等)進行安全審計,記錄所有發生的事件,提供給系統管理員作為系統維護以及安全防范的依據。
根據被審計的對象(主機、設備、網絡、數據庫、業務、終端、用戶)劃分,安全審計可以分為:
1. 主機審計:審計針對主機的各種操作和行為。
2. 設備審計:對網絡設備、安全設備等各種設備的操作和行為進行審計
3. 網絡審計:對網絡中各種訪問、操作的審計,例如telnet操作、FTP操作,等等。
4. 數據庫審計:對數據庫行為和操作、甚至操作的內容進行審計。
5. 業務審計:對業務操作、行為、內容的審計。
6. 終端審計:對終端設備(PC、打印機)等的操作和行為進行審計,包括預配置審計。
7. 用戶行為審計:對企業和組織的人進行審計,包括上網行為審計、運維操作審計有的審計產品針對上述一種對象進行審計,還有的產品綜合上述多種審計對象。
按照不同的審計角度和實現技術進行劃分,分為合規性審計、日志審計、網絡行為審計、主機審計、應用系統審計、集中操作運維審計六大類。
1.合規性審計
做到有效控制IT風險,尤其是操作風險,對業務的安全運營至關重要。因此,合規性審計成為被行業推崇的有效方法。安全合規性審計指在建設與運行IT系統中的過程是否符合相關的法律、標準、規范、文件精神的要求一種檢測方法。這作為風險控制的主要內容之一,是檢查安全策略落實情況的一種手段。
一般來說,信息安全審計的主要依據為信息安全管理相關的標準。例如IS0/IEC27000、C0SO、COBIT、ITIL、NISTSP800系列、國家等級保護相關標準、企業內控規范等。這些標準、規范實際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風險,從而提高安全性。根據相關標準、法規進行合規性安全審計,起到標識事件、分析事件、收集相關證據,從而為策略調整和優化提供依據。范圍至少應該包括:安全策略的一致性檢查,人工操作的記錄與分析,程序行為的記錄與分析等。
合規性審計必須與信息安全策略的制訂與落實緊密結合在一起,才能有效地控制風險。目前,市場上根據相關標準形成了較多合規性審計產品,如基線掃描以及針對性的COBIT審計系統等。
2.日志審計
基于日志的安全審計技術是通過SNMP、SYSLOG或者其他的日志接口從網絡設備、主機服務器、用戶終端、數據庫、應用系統和網絡安全設備中收集日志,對收集的日志進行格式標準化、統一分析和報警,并形成多種格式和類型的審計報表。
通過對網絡設備、安全設備、主機服務器、用戶終端、應用系統及數據庫進行日志采集,將數據發送至分析器進行辨別與分析,匹配策略定義的危險事件,發送至報警處理器部件,進行報警或響應。若分析辨別器辨別為策略定義的審計記錄事件,發送至結果匯總,進行數據備份或生成報告。
3.網絡行為審計
基于網絡技術的安全審計是通過旁路和串接的方式實現對網絡數據包的捕獲,繼而進行協議分析和還原,可達到審計服務器、用戶終端、數據庫、應用系統的安全漏洞、合法、非法或入侵操作,監控上網行為和內容,監控用戶非工作行為等目的。網絡行為審計更偏重于網絡行為,具備部署簡單等優點。
網絡行為審計部署方式可分為旁路式和串聯式。旁路式網絡行為審計是通過在交換機端口鏡像取得原始數據包,記錄所有用戶在該鏈路上網絡行為,并還原會話連接,恢復到相應的通訊協議,進而重現通過該鏈路的網絡行為。一般放在網絡的主要通道上,如核心交換機和重點監控區域,對網絡行為安全進行記錄。
串聯式工作原理是在網絡鏈路上識別流經它的各種網絡協議,將協議數據嚴格地按照會話進行重組并且記錄下來,通過對會話協議的回放和報表記錄進行審計。一般部署在需要審計的網絡鏈路中,如核心交換機前段和重要網段上,對網絡行為進行審計。
4.主機審計
主機安全審計是通過在主機服務器、用戶終端、數據庫或其他審計對象中安裝客戶端的方式來進行審計,可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和內容以及向外拷貝文件行為、監控用戶非法行為等目的。主機審計包括了主機的漏洞掃描產品、主機防火墻和主機IDS/IPS的安全審計功能、主機上網和上機行為監控、終端管理等類型的產品。
目前,主機安全審計可以與認證系統如令牌、PKI/CA、RADIUS(遠程認證撥號用戶服務)等結合部署,達到用戶訪問控制和登錄審計的效果。
5.應用系統審計
應用系統安全審計是對用戶在業務應用過程中的登錄、操作、退出的一切行為通過內部截取和跟蹤等相關方式進行監控和詳細記錄,并對這些記錄進行按時間段、地址段、用戶、操作命令、操作內容等分別進行審計。
目前,市場上沒有成熟的獨立應用系統安全審計產品。針對應用系統安全審計特點,網絡行為審計和一般的主機審計很難實現業務應用層面的相關要求,而日志審計則需要應用系統自身將相關操作形成日志。最好是通過開發應用系統自身對用戶在系統中的操作、修改行為進行記錄和取證,同時為減少應用系統因審計而產生的性能降低,可以配合第三方登錄審計功能以及日志審計來完成審計工作。
6.集中操作運維審計
集中操作運維審計側重于對網絡設備、服務器、安全設備、數據庫的運行維護過程中的風險審計。運維審計的方式不同于其他審計,尤其是維護人員為了安全的要求,開始大量采用加密方式,如RDP(RDP:remotedesktopprotocol)、SSL等,加密口令在連接建立的時候動態生成,一般的針對網絡行為進行審計的技術是無法實現的,可分為以下兩種形式。
一是堡壘式運行維護審計。維護人員先通過身份認證后登錄堡壘主機,所有對網絡設備、主機服務器、安全設備、數據庫等的維護工作通過該堡壘主機進行,這樣就可以記錄全部的運維行為。堡壘主機就是通過路由設置或訪問控制方式把運維的管理鏈接全部轉向運維審計的設備,由于堡壘主機是操作運維的必然通道,在處理RDP、SSL等加密協議時,可以由堡壘主機作為加密通道的中間代理,從而獲取通訊中生成的密鑰,也就可以對加密管理協議信息進行審計。
二是數字KVM審計。基于IP協議的KVM,能以一套鼠標、鍵盤、顯示器來控制多臺主機服務器,通過IP能夠實現遠程訪問和控制,其目的是解決機房多設備、多操作系統、節能環保及安全性等問題,通過對屏幕操作視圖的圖像進行錄像與回放功能和完善的日志存儲與查詢功能,能夠記錄和跟蹤各種系統狀態的變化;提高對系統故意入侵行為的記錄和危害系統安全的記錄;由于其引入身份證、授權、記錄操作內容等功能,也是比較可行的運行維護方式之一。
