安全資訊

發(fā)展時(shí)間很長(cháng)，也基本是目前的桌面管理、終端安全管理等產(chǎn)品的功能，并且現在衍生出幾個(gè)獨立產(chǎn)品：非法接入與外聯(lián)控制、終端審計、打印審計系統、移動(dòng)存儲介質(zhì)管理系統、主機資產(chǎn)管理系統等。

主機審計包含Windows、Linux、Unix等操作系統類(lèi)型。包含客戶(hù)機和服務(wù)器的審計。當然針對服務(wù)器的又衍生出了獨立的服務(wù)器審計、服務(wù)器加固產(chǎn)品。

目前網(wǎng)絡(luò )審計和入侵檢測的融合度非常高，但是一般而言，除了入侵行為審計，還應具備HTTP審計、POP3/SMTP審計、Telnet審計、FTP審計等。當然這里又有的地方和上網(wǎng)行為管理、上網(wǎng)行為審計有關(guān)。

總體而言，網(wǎng)絡(luò )審計已經(jīng)非常成熟，一般通過(guò)透明、旁路兩種方式接入。

可能在很多人的眼中，數據庫審計是一個(gè)比較新的產(chǎn)品。因為數據庫審計有的廠(chǎng)家已做了七八年之久，但是目前依然不像防火墻那樣具有非常完善的標準。

要求具備常見(jiàn)數據庫的審計能力，涵：SQL Server、Oracle等，補充下：居然有很多數據庫不支持MySQL審計。

數據庫審計的形式一般有兩種：硬件旁路、軟件Agent。前者部署便捷對主機無(wú)損耗、后者功能強大但易有兼容性問(wèn)題。

常見(jiàn)的產(chǎn)品名稱(chēng)一般為：內控堡壘主機、運維操作審計。主要針對的設備：路由器、交換機、Windows服務(wù)器、Unix服務(wù)器、利用命令行操作的數據庫等。操作方式兼容：SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP等。

圖中針對防火墻、IDS、交換機等的日志我沒(méi)有寫(xiě)出，實(shí)際上也算是一類(lèi)運維信息。針對安全部分的有專(zhuān)業(yè)的SOC產(chǎn)品，以及一些類(lèi)似產(chǎn)品，市場(chǎng)上已經(jīng)做了多年。當然，設備部分一般是通過(guò)SNMP和SYSLOG進(jìn)行審計監控。

通過(guò)syslog、SNMP Trap、FTP、Agent等方式接收網(wǎng)絡(luò )中“幾乎所有設備、軟件、應用”的日志信息。如防火墻、路由器、服務(wù)器、數據庫的登錄、啟動(dòng)等信息。此前對日志審計的重視程度不夠，但實(shí)際上日志審計產(chǎn)品可以總覽全網(wǎng)設備的安全狀況、運行狀況，很多敏感信息只能通過(guò)日志審計獲取。

如：Windows服務(wù)器被黑客通過(guò)某種隱秘的方式增加了1個(gè)賬號、凌晨2點(diǎn)進(jìn)行了重啟，其它各類(lèi)審計產(chǎn)品很難有效告警，而通過(guò)日志分析，卻可以非常簡(jiǎn)單的剝離出此種行為。

針對企業(yè)的OA、ERP、財務(wù)軟件、繳費軟件等具體業(yè)務(wù)做審計，幾乎全部需要定制開(kāi)發(fā)，所以市面上做的不算特別多，即使在做一般也不會(huì )大張旗鼓的宣傳。

業(yè)務(wù)審計可基于主機審計、網(wǎng)絡(luò )審計、數據庫審計、運維審計、日志審計進(jìn)行，所以非常復雜。有興趣的可以百度。

有一些，特別有意思，比如針對大學(xué)的：學(xué)生負面情緒（出走、自殺）分析，就可以基于網(wǎng)絡(luò )審計（微博、朋友圈等）進(jìn)行類(lèi)似于輿情分析系統的消息過(guò)濾；也有的基于一卡通系統定制的某個(gè)學(xué)生1個(gè)月在食堂吃飯大于70次，但每次不超過(guò)8元，則標記為貧困生，每個(gè)月自動(dòng)給學(xué)生飯卡沖入500的資助款（很棒對不對？）

如果是基于等級保護來(lái)做，那么公安的檢查標準里面有一項是針對Windows、Linux主機的安全檢查，如：操作系統類(lèi)型、版本、安裝的軟件、安裝的補丁等，以及硬件配置。當然，針對一些內網(wǎng)計算機，還增加了URL檢測（檢查內網(wǎng)計算機上互聯(lián)網(wǎng)的情況）、移動(dòng)存儲插拔檢測（敏感計算機不允許插拔U盤(pán)、移動(dòng)硬盤(pán)，卻有此類(lèi)行為，就違規），同時(shí)也會(huì )對弱口令進(jìn)行安全檢測。