信息安全審計
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
信息安全審計則是IT審計的一部分內容,是對計劃、執行、維護等各個層面上的風險進行識別和檢查的一種方法和措施。而信息安全技術作為傳統的信息安全防護手段一種補充,是信息安全體系中不可缺少的措施之一,是收集、評估證據用以決定網路與信息系統是否能夠有效、合理地保護資產、維護信息的完整性和可用性,防止有意或無意的人為錯誤,防範和發現電腦網路犯罪活動。
要實現信息安全審計,保障電腦信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴),需要對電腦信息系統中的所有網路資源(包括資料庫、主機、操作系統、網路設備、安全設備等)進行安全審計,記錄所有發生的事件,提供給系統管理員作為系統維護以及安全防範的依據。
目前,市場上的網路與信息系統安全審計產品功能相對單一,為滿足相關法律、法規、標準的要求,以及日常對網路、終端、應用系統、資料庫、主機的安全要求,可將信息安全審計按照不同的審計角度和實現技術進行劃分,分為合規性審計、日誌審計、網路行為審計、主機審計、應用系統審計、集中操作運維審計六大類。
1.合規性審計
做到有效控制IT風險,尤其是操作風險,對業務的安全運營至關重要。因此,合規性審計成為被行業推崇的有效方法。安全合規性審計指在建設與運行IT系統中的過程是否符合相關的法律、標準、規範、文件精神的要求一種檢測方法。這作為風險控制的主要內容之一,是檢查安全策略落實情況的一種手段。
一般來說,信息安全審計的主要依據為信息安全管理相關的標準。例如IS0/IEC27000、C0SO、COBIT、ITIL、NISTSP800系列、國家等級保護相關標準、企業內控規範等。這些標準、規範實際上是出於不同的角度提出的控制體系,基於這些控制體系可以有效地控制信息安全風險,從而提高安全性。根據相關標準、法規進行合規性安全審計,起到標識事件、分析事件、收集相關證據,從而為策略調整和優化提供依據。範圍至少應該包括:安全策略的一致性檢查,人工操作的記錄與分析,程式行為的記錄與分析等。
合規性審計必須與信息安全策略的制訂與落實緊密結合在一起,才能有效地控制風險。目前,市場上根據相關標準形成了較多合規性審計產品,如基線掃描以及針對性的COBIT審計系統等。
2.日誌審計
基於日誌的安全審計技術是通過SNMP、SYSLOG或者其他的日誌介面從網路設備、主機伺服器、用戶終端、資料庫、應用系統和網路安全設備中收集日誌,對收集的日誌進行格式標準化、統一分析和報警,並形成多種格式和類型的審計報表。
通過對網路設備、安全設備、主機伺服器、用戶終端、應用系統及資料庫進行日誌採集,將數據發送至分析器進行辨別與分析,匹配策略定義的危險事件,發送至報警處理器部件,進行報警或響應。若分析辨別器辨別為策略定義的審計記錄事件,發送至結果彙總,進行數據備份或生成報告。
3.網路行為審計
基於網路技術的安全審計是通過旁路和串接的方式實現對網路數據包的捕獲,繼而進行協議分析和還原,可達到審計伺服器、用戶終端、資料庫、應用系統的安全漏洞、合法、非法或入侵操作,監控上網行為和內容,監控用戶非工作行為等目的。網路行為審計更偏重於網路行為,具備部署簡單等優點。
網路行為審計部署方式可分為旁路式和串聯式。旁路式網路行為審計是通過在交換機埠鏡像取得原始數據包,記錄所有用戶在該鏈路上網路行為,並還原會話連接,恢復到相應的通訊協議,進而重現通過該鏈路的網路行為。一般放在網路的主要通道上,如核心交換機和重點監控區域,對網路行為安全進行記錄。
串聯式工作原理是在網路鏈路上識別流經它的各種網路協議,將協議數據嚴格地按照會話進行重組並且記錄下來,通過對會話協議的回放和報表記錄進行審計。一般部署在需要審計的網路鏈路中,如核心交換機前段和重要網段上,對網路行為進行審計。
4.主機審計
主機安全審計是通過在主機伺服器、用戶終端、資料庫或其他審計對象中安裝客戶端的方式來進行審計,可達到審計安全漏洞、審計合法和非法或入侵操作、監控上網行為和內容以及向外拷貝文件行為、監控用戶非法行為等目的。主機審計包括了主機的漏洞掃描產品、主機防火牆和主機IDS/IPS的安全審計功能、主機上網和上機行為監控、終端管理等類型的產品。
目前,主機安全審計可以與認證系統如令牌、PKI/CA、RADIUS(遠程認證撥號用戶服務)等結合部署,達到用戶訪問控制和登錄審計的效果。
5.應用系統審計
應用系統安全審計是對用戶在業務應用過程中的登錄、操作、退出的一切行為通過內部截取和跟蹤等相關方式進行監控和詳細記錄,並對這些記錄進行按時間段、地址段、用戶、操作命令、操作內容等分別進行審計。
目前,市場上沒有成熟的獨立應用系統安全審計產品。針對應用系統安全審計特點,網路行為審計和一般的主機審計很難實現業務應用層面的相關要求,而日誌審計則需要應用系統自身將相關操作形成日誌。最好是通過開發應用系統自身對用戶在系統中的操作、修改行為進行記錄和取證,同時為減少應用系統因審計而產生的性能降低,可以配合第三方登錄審計功能以及日誌審計來完成審計工作。
6.集中操作運維審計
集中操作運維審計側重於對網路設備、伺服器、安全設備、資料庫的運行維護過程中的風險審計。運維審計的方式不同於其他審計,尤其是維護人員為了安全的要求,開始大量採用加密方式,如RDP(RDP:remotedesktopprotocol)、SSL等,加密口令在連接建立的時候動態生成,一般的針對網路行為進行審計的技術是無法實現的,可分為以下兩種形式。
一是堡壘式運行維護審計。維護人員先通過身份認證後登錄堡壘主機,所有對網路設備、主機伺服器、安全設備、資料庫等的維護工作通過該堡壘主機進行,這樣就可以記錄全部的運維行為。堡壘主機就是通過路由設置或訪問控制方式把運維的管理鏈接全部轉向運維審計的設備,由於堡壘主機是操作運維的必然通道,在處理RDP、SSL等加密協議時,可以由堡壘主機作為加密通道的中間代理,從而獲取通訊中生成的密鑰,也就可以對加密管理協議信息進行審計。
二是數字KVM審計。基於IP協議的KVM,能以一套滑鼠、鍵盤、顯示器來控制多台主機伺服器,通過IP能夠實現遠程訪問和控制,其目的是解決機房多設備、多操作系統、節能環保及安全性等問題,通過對屏幕操作視圖的圖像進行錄像與回放功能和完善的日誌存儲與查詢功能,能夠記錄和跟蹤各種系統狀態的變化;提高對系統故意入侵行為的記錄和危害系統安全的記錄;由於其引入身份證、授權、記錄操作內容等功能,也是比較可行的運行維護方式之一。
