关于网络安全等级保护2.0中安全区域边界章节中的安全审计控制点的看法
以三级为例,在这个控制点中有以下四个测评项:
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
在测评要求中,前三点的测评对象都是综合安全审计系统,最后一点是上网行为管理系统或综合安全审计系统;
结合前人的分析,我再进一步剖析如下:
基本来说,只要做好日志留存工作即可。这里重点关注的是网络边界、重要网络节点(安全设备、核心设备、汇聚层设备等)的日志记录。对于日志的完整性和保密性也是依旧,避免被修改、专人保管、做好场外备份、做好保密工作等等。此外,等保2.0标准还要求对远程访问用户、访问互联网的用户行为进行单独审计和数据分析,这点是新要求。先说一下怎么理解,因为是安全区域边界,那么所涉及到的设备肯定只有安全设备和网络设备,不涉及主机和应用,远程访问用户基本就是远程登录设备进行维护(或者是搞事情的hacker),既然可以远程登录那么一定是可以访问互联网的,属于特殊权限用户(按照正常来说,关键节点设备不允许远程登录,除非有特殊需要才会开通权限,而且也是要通过VPN-跳板机-堡垒机-设备这样的顺序登录)。对于此类用户要单独审计,记录其操作和访问日志,而且对于记录能够进行分析,对于这点不是很理解,分析什么?检查的重点是什么?
从另一个层面说:所有的网络设备和安全设备已经在安全计算环境中做过同样的安全审计,象上面分析的,那这个地方就是画蛇添足,如果从第四项测评要求中看到测评对象是上网行为管理系统,而且提到互联网访问的用户行为,那么理解起来可能就容易了一些,就是针对用户上网行为和远程访问行为的检测和限制。那么问题来了,这是安全区域边界,从头到尾提到的都是网络关键节点,突然又转到用户行为管理上,让人一头雾水,如果针对的是上网行为管理设备,保留好用户日志就可以了;但似乎又不完全是,因为只有第四点的测评对象是上网行为管理系统,且把这条要求放在了最后,明显也是不妥。
再说一个观点,有人认为这是对网络流量的分析,我想请问:入侵防范、恶意代码和垃圾邮件防范又是做什么的,从流量分析和清洗的角度讲,主要是检测入侵和恶意代码,难道还有不包括在此范畴的?也许有,比如外星人的概念,这里就不说了……,再强调一点的就是入侵防范和恶意代码防范在安全管理中心层面和安全计算环境层面都有涉及。
综上所述,在安全区域边界层面上,所讲的安全审计就是鸡肋,当然,这个和2.0标准的形成定稿历史有关,首先最原始的草稿是测评人员写的,然后就是层层向上提交,层层审核圈点,层层校正,一个版本一个版本的修改,在思想意识沟通和传达上肯定是有一定的疏漏的;再加上时间的紧迫(由于等保1.0(22239-2008)明显不再适应新时期新时代的网络要求),要让一个新标准即符合时代特点又要有前瞻性(标准不能朝令夕改),最终导致了这个赘疣的形成。既然如此,我们知道了某些垢病或问题,就应该避免这样的问题,对于前三点,完全可以暂时不用写,只检测第四点即可。尤其是做为专业人员,不能让非专业的人员笑话,今天今日今时,时时都在变化,要顺应这个飞速发展的时代,不应固步自封、墨守陈规,这是IT人的禁忌。
