等保2.0高危害判断系列 | 清静审计
作者:耀世娱乐
2020-08-27
什么是清静审计���?
清静审计(Audit)是指凭证一定的清静战略�,使用纪录系统活动和用户活动等信息�,检查、审查和磨练操作事务的情形及活动�,从而发明系统误差、入侵行为或改善系统性能的历程���。
《中华人民共和国网络清静法》第二十一条明确要求“接纳监测、纪录网络运行状态、网络清静事务的手艺步伐�,并凭证划定留存相关的网络日志不少于六个月”���。清静审计就像网络空间的摄像头一样�,完整纪录网络空间爆发的任何异常事务或行为�,在爆发清静事务时举行告警�,也可以作为事后追溯的主要证据�,同时也起到了网络空间的威慑作用���。
常见的清静审计类型
●终端审计
文件操作审计、打印审计、网站会见审计、FTP审计和终端、应用程序使用审计、Windows登录审计等多种审计功效���。
●上网行为审计
网络社区会见、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、不法网站会见等行为举行深入剖析与周全的审计���。
●网络运维审计
身份认证、权限判别、操作审计等�,审计协议包括字符协议(SSH/TELNET)、图形化协议(RDP/VNC)、文件传输协议(FTP、SFTP)、数据库会见以及应用宣布扩展审计功效���。
● 营业与数据库审计
基于http/https协议的应用审计、主流数据库会见行为审计(商业数据库:Oracle、SQL Server等;行业数据库:Teradata、Cache等;开源数据库:MySQL、PostgreSQL等;国产数据库:人大金仓、达梦、南大通用等;Nosql数据库:mongodb等)���。
●综合日志审计
能够对差别厂商的清静装备、网络装备、主机、操作系统、以及种种应用系统爆发的海量日志信息举行集中化存储、索引、备份、全文检索、实时搜索、审计、告警、响应���。
等保对清静审计的要求
在网络清静品级掩护基本要求中�,在清静区域界线、清静盘算情形、清静管理中心都对清静审计提出了详细要求�,也是品级掩护测评中的高危害判断项���。
●清静区域界线
应在网络界线、主要网络节点举行清静审计�,审计笼罩到每个用户�,对主要的用户行为和主要清静事务举行审计���。
●清静盘算情形
应启用清静审计功效�,审计笼罩到每个用户�,对主要的用户行为和主要清静事务举行审计���。
●清静管理中心
应对疏散在各个设惫亓审计数据举行网络汇总和集中剖析�,并包管审计纪录的留存时间切合执律例则要求���。
耀世娱乐清静解决计划
●清静区域界线清静审计解决计划
高危害:在网络界线、主要网络节点无任何清静审计步伐�,无法对主要的用户行为和主要清静事务举行日志审计�,可判断为高危害���。
通常在品级掩护计划设计时�, 特殊是二级(系统审计掩护级)以上系统的计划设计时�,我们会思量清静审计的需求���。在互联网情形中安排上网行为审计系统�,在网络焦点节点安排网络清静审计系统�,在数据中心或者服务器区安排WEB营业和数据库审计系统�,划分在差别的节点实现对用户行为和主要清静事务的审计�,可以有用阻止测评高危害项的泛起���。
●清静盘算情形清静审计解决计划
高危害:主要焦点网络装备、清静装备、操作系统、数据库等未开启任何审计功效�,无法对主要的用户行为和主要清静事务举行审计�,也无法对事务举行溯源�,可判断为高危害���。
高危害:应用系统(包括前端系统和后台管理系统)无任何日志审计功效�,无法对用户的主要行为举行审计�,也无法对事务举行溯源�,可判断为高危害���。
在网络清静品级掩护建设历程中�,由于焦点网络装备、清静装备、操作系统(服务器)、数据库自身功效特殊性的缘故原由�,若是开启自身审计功效�,性能下级往往较量大�,同时存储也是一个很大问题���。因此�,多接纳第三方审计的方法举行审计���。通常通过安排综合日志审计系统和数据库审计系统�,对焦点网络装备、清静装备日志、操作系统日志举行统一提取和网络���。针对数据库的审计�,往往鉴于性能的缘故原由�,通过安排网络数据库审计系统实现对数据库会见的审计���。
针对终端用户行为的审计往往接纳安排终端审计系统实现对用户行为的审计���。
针对运维用户的审计往往接纳安排运维堡垒机方法实现对运维用户会见行为的审计���。
而针关于应用系统的审计�,耀世娱乐的WEB应用审计可侦听对应用系统会见的网络数据流�,对这些数据流举行剖析�,以抵达对营业系统会见的周全审计���。通过自学习营业特征�,对营业举行准确映射�,镌汰对营业部分的依赖�,并极大的降低设置事情量���。
●清静区域界线清静审计解决计划
高危害:日志集中网络存储:应对疏散在各个设惫亓审计数据举行网络汇总和集中剖析�,并包管审计纪录的留存时间切合执律例则要求���。
在网络清静品级掩护计划设计时�,我们建议用户安排综合日志审计系统�,对包括网络装备、清静装备、操作系统(服务器)、数据库、中心件等日志举行集中的网络存储�,并举行日志的集中剖析和告警�,对日志和告警事务举行处置惩罚�,形成事务处置惩罚的闭环管理���。
●整体网络清静解决计划
●清静解决计划收益
知足品级掩护清静区域界线审计需求�,阻止泛起高危害项���。
知足品级掩护清静盘算情形审计需求和应用审计需求�,阻止泛起高危害项���。
知足品级掩护清静管理中心日志集中网络存储需求�,阻止泛起高危害项���。
知足《中华人民共和国网络清静法》第二十一条对网络清静审计纪录存留时间切合执律例则的要求���。
京公网安备11010802024551号