一、网络审计概念的起源:
审计起源于财务系统,用来审核企业经营行为是否合法,审计从财务入手,也就是审核帐务,从你的帐本中发现你经营中的问题。财务中有一个做帐的原则,就是借与贷总是要平衡的,在众多的帐目之间,保持平衡本身就是件不容易的事情,所以审计人员往往都是财务中的高手。
财务中的审计总结起来有三个关键点:1、所有的帐务往来都要清晰可见,若你隐藏了某些交易记录,审计中就可能发现不了问题,很多会计会查看银行的对帐单,有交易一定有资金的往来(现金交易不在此行),寻找到你隐匿的交易,本身就是发现你心虚的地方,心虚就有问题,审计就是找问题。2、借贷之间应该是平衡的,不平衡就会有资金的错位,错位就有很多问题需要澄清,你的解释越多,就越容易出现漏洞。3、交易的合理性与合规性,合规就是合法,这里是包括行业的规定与惯例,不局限于法律,这一点看似容易,人是靠经验,计算机有专家系统,但也是计算机最难模拟人思维的地方。有经验的审计人员对行业的行为了解很深,在“合理”的若干行为中发行不合理的疑点,进而分析该交易的合规性。
把审计的概念引入到网络安全中,可以追溯到IDS(入侵检测系统)研究的早期,对入侵行为的检测,最初是对主机日志的审计中,发现攻击行为的,后来发展为主机IDS技术。由于主机IDS只对主机的行为进行检测,并且要占用主机的宝贵资源,安全厂家想到了通过网络链路镜像的方式直接收集网络原始信息,就是目前的网络IDS
IDS的目的是检测攻击行为,一般都不会存放所有的原始数据,若想后期重现某个客户当时的行为,一般是很难做到的。而审计的目的是为了在过去的记录中寻找“攻击”的证据,不仅能重现“攻击”的过程,而且这些“证据”是不可以被后来修改的,这时网络中的安全审计产品就诞生了。
 
二、网络审计产品的主要功能
网络中需要安全审计,其目的是重现不法者的操作过程,提供认定其不法行为的证据,也可以分析目前安全防御系统中的漏洞。从安全防御的角度上说:是对不法者的威慑,“要么别出手,出手必被捉;现在不被捉,迟早会算帐!”。审计还有一个重要的理念是:审计不是针对外部的入侵者的,这一点是与IDS产品的重要区别,审计是而且针对内部人员的,因为对其行为人可以明确定位,其作用主要是安全威慑,网络中安全问题的70%源自于内部人员,对于内部这些“合法”用户的不法行为不大可能在事前预防,也不容易在事中马上发现,最适合的就是事后的审计过程了。
既然要“重现”,安全审计产品必须具备下面几项功能:
1、               记录使用者(有可能是外来者,也可能是内部人员)的行为过程。几时来的,干了些什么,几时走的。
2、               确定使用者的身份。最起码要确定其计算机的IP地址,审计系统一般与网络身份认证连接,确定使用者具体是谁。
3、               不仅能记录下来,而且可以重现使用者的“工作”过程。由于网络中应用协议多,调用资源的方式也多,重现过程不仅需要记录大量的现场通讯数据,而且重现环境也多种多样。
4、               审计记录的数据是不可更改的。
审计记录不可修改性,在技术上是不同传统财务审计的,因为计算机存储的信息是电子化的,很容易被修改,而且可以没有修改的痕迹。要保证审计记录是不可修改的,是事后取证的关键。在美国塞班斯法案中对上市企业要求的业务审计,明确要求了审计记录不可修改的特性。
目前除了审计产品对审计记录的权限管理保证外,由于涉及运维管理的专业技术人员,从系统底层的数据修改与部分删除是安全中不可忽视的问题,借用网络存储系统中出现的WORM(一次写多次读)技术,从存储操作系统级保证数据的不被删改。技术与要求还总有距离,审计产品在保护审计记录方面还有很长的路要走。
这里没有把审计产品中的用户管理、事件查询、事件关联分析、报表生成、合规性报表等功能列入,主要是认为这些功能都是作为一个安全产品使用中必需的管理功能,产品不仅要完成其工作的目标,而且要方便使用者的操作,尤其是日常管理工作的方便、快捷。
 
三、网络审计产品的分类
目前市场上的网络安全审计产品按照其面向对象分为几大类:
1、  网络行为审计:
审计网络使用者在网络上的“行为”,根据网络的不同区域,安全关注的重点不同,分为不同专项审计产品。其信息获取的方式分为:网络镜像方式与主机安装代理方式。
²        网络行为审计:通过端口镜像取得原始数据包,并还原成连接,恢复到相应的通讯协议,如:FTPHttpTelnetSNMP等,进而重现通过该链路的网络行为。
Ø         目的:审计该链路上所有用户在网络上的“公共行为”,一般放在网络的主要干道上,象是城市中重点街区安装的摄像机,对公共区域的公共安全进行记录。
Ø         缺点:识别技术很关键,产品要识别的应用协议太多,对安全厂家来说是考验,当然一般来说是关心主要流量的应用协议解析。但该方法对于应用加密时就失去了审计的能力。
²        主机审计:若网络是街道,主机就是各个单位的内部。在服务器上安装审计代理,审计主机使用者的各种行为,把主机的系统、安全等日志记录下来相当于针对主机上运行的所有业务系统的安全审计。主机审计在终端安全上的发展最主要的代表性的是非法外联审计,防止涉密信息通过终端外泄。
n         目的:审计主机使用者的行为,或进入该主机(服务器)的使用者的行为
n         缺点:主机审计需要安装代理软件,对主机的性能有一定的影响。另外审计代理的防卸载与防中断运行的能力是必需的,否则产生的审计“天窗”是致命的安全漏洞。
²        数据库审计:镜像数据库服务器前的链路,审计数据库使用行为,可以重现到数据库的操作命令级别,如SELECTUPDATA等。
Ø         目的:数据库一般是应用系统的核心,对数据库的操作行为记录一般能记录用户的不法行为过程,并且审计的操作记录,也可以为数据库恢复提供依据,对系统的破坏损失也可以减小。
Ø         主机审计:也可以在数据库服务器上直接安装审计终端,对数据库进行审计,或者可以利用数据库系统自身的一些操作日志信息作为审计分析的数据的源。但不同的是数据库系统的日志可以删除,审计系统的审计日志不可以删除。
Ø         缺点:数据库的流量很大,审计记录的存储容量相当可观。
²        互联网审计:针对员工上互联网的行为的专向审计,主要识别的是HttpSMTPFTP等协议,同时对互联网的常用应用如QQMSNBT等也需要识别。互联网审计一般是对内部员工的上网进行规范。
Ø         目的:互联网出口往往是一个企业网络的“安全综合地带”,是企业与外界联系的必然出口,设置互联网的专项审计也是很多企业的管理需求。
Ø         缺点:互联网应用升级较快,对审计中的识别技术要求高,对于日渐增多的加密应用,如SkypeMSN等,对于审计来说都是极大的挑战。
2、  运维审计:网络的运维人员是网络的“特殊”使用团队,一般具有系统的高级权限,对运维人员的行为审计日渐成为安全管理的必备部分,尤其是目前很多企业为了降低网络与系统的维护成本,采用租用网络或者运维外包的方式,由企业外部人员管理网络,由外部维护人员产生的安全案例已经逐渐在上升的趋势。
Ø         目的:运维人员具有“特殊”的权限,又往往是各种业务审计关注不到的地方,网络行为审计可以审计运维人员经过网络进行的工作行为,但对设备的直接操作管理,比如Console方式就没有记录。
Ø         审计方式:运维审计的方式不同于其他审计,尤其是运维人员为了安全的要求,开始大量采用加密方式,如RDPSSL等,加密口令在连接建立的时候动态生成,通过链路镜像方式是无法审计的。所以运维审计是一种“制度+技术”的强行审计。一般是运维人员必须先登录身份认证的“堡垒机”(或通过路由设置方式把运维的管理连接全部转向运维审计服务器),所有运维工作通过该堡垒机进行,这样就可以记录全部的运维行为。由于堡垒机是运维的必然通道,在处理RDP等加密协议时,可以由堡垒机作为加密通道的中间代理,从而获取通讯中生成的密钥,也就可以对加密管理协议信息进行审计。
Ø         缺点:采用单点运维通道是为了处理可以加密协议,但对运维效率有一定影响。并且网络上产品种类多,业务管理软件五花八门,管理方式也多种多样,采用单一的运维通道未必都能达到效果。最重要的是运维审计方案一定要与安全管理制度相配合,要运维人员不“接触”设备是不可能的。
3、  业务合规性审计:网络是业务的支撑系统,对业务本身是否“合法”,网络层的审计技术一般很难判断,所以业务合规性审计一般是与业务系统相关联的组织开发的审计系统,通过业务系统中安装代理的方式,或直接集成在业务系统中,获取业务“流水”信息,在单独的审计系统中完成后期审计,也可以定期对业务系统的业务流水日志信息进行审计。
Ø         目的:审计业务本身的“合法”性。
Ø         产品形式:一般有业务开发公司提供,而不是网络安全公司提供,业务专业性非常强,一般为单独的审计系统。
4、  审计管理平台;既然网络中有众多的审计产品,对于单位的审计人员来说,建立一个统一的日常工作管理平台是十分必要的,审计工作对审计记录的管理权限有特殊要求,在用户管理上比网管与安管都要严格。在花瓶模型中的第三朵花是审计管理平台,简称ASOC,也可以把它看作安全管理平台的一个分支。
审计管理平台一般是把主机的日志分析与专业的审计产品的审计记录综合到一起,按照人员、事件、设备等分类查询与报告。