做等級保護的朋友很多，等級保護中針對“安全審計”的要求也很多，但很多朋友也比較迷茫，甚至甲方，也只是知道要買“安全審計”，但卻對安全審計了解不多，今天給大家挨個分析下，目前市面上的七種安全審計產(chǎn)品。

隨著企業(yè)規(guī)模的越來越龐大，我們的信息系統(tǒng)也越來越繁雜，逐漸從開始的路由、交換、Windows服務器設備，增加了：防火墻、入侵防御、Linux等，以及各種應用，甚至有些跨地域的集團公司還部署了多臺VPN、云桌面管理等系統(tǒng)，那么，如此繁多的設備如何進行統(tǒng)一的安全審計？更何況還有的企業(yè)面臨著合規(guī)（等保、分保、SOX等）的壓力！

2017年6月1日網(wǎng)絡安全法正式執(zhí)行以來，關于安全審計方面的合規(guī)壓力更大，今天，和大家聊聊那些在等級保護中遇到的安全審計技術(shù)。游俠將安全審計技術(shù)分為如下幾種：

• 主機審計

• 網(wǎng)絡審計

• 數(shù)據(jù)庫審計

• 運維審計

• 日志審計

• 業(yè)務審計

• 配置審計

我們簡單分析下各類安全審計技術(shù)的常見功能項：

發(fā)展時間很長，也基本是目前的桌面管理、終端安全管理等產(chǎn)品的功能，并且現(xiàn)在衍生出幾個獨立產(chǎn)品：非法接入與外聯(lián)控制、終端審計、打印審計系統(tǒng)、移動存儲介質(zhì)管理系統(tǒng)、主機資產(chǎn)管理系統(tǒng)等。功能也大同小異，有的還增加了補丁管理功能。可以說，主機審計已經(jīng)開始全面向主機安全審計與管理的方向靠攏。

主機審計包含Windows、Linux、Unix等操作系統(tǒng)類型。包含客戶機和服務器的審計。當然針對服務器的又衍生出了獨立的服務器審計、服務器加固產(chǎn)品。

目前網(wǎng)絡審計和入侵檢測的融合度非常高，但是一般而言，除了入侵行為審計，還應具備HTTP審計、POP3/SMTP審計、Telnet審計、FTP審計等。當然這里又有的地方和上網(wǎng)行為管理、上網(wǎng)行為審計有關。

總體而言，網(wǎng)絡審計已經(jīng)非常成熟，一般通過透明、旁路兩種方式接入。

可能在很多人的眼中，數(shù)據(jù)庫審計是一個比較新的產(chǎn)品。因為數(shù)據(jù)庫審計有的廠家已做了七八年之久，但是目前依然不像防火墻那樣具有非常完善的標準。（當然，有標準，但是那個標準太粗了）

要求具備常見數(shù)據(jù)庫的審計能力，含：SQL Server、Oracle等，補充下：居然有很多數(shù)據(jù)庫不支持MySQL審計。

數(shù)據(jù)庫審計的形式一般有兩種：硬件旁路、軟件Agent。前者部署便捷對主機無損耗、后者功能強大但易有兼容性問題。

常見的產(chǎn)品名稱一般為：內(nèi)控堡壘主機、運維操作審計。主要針對的設備：路由器、交換機、Windows服務器、Unix服務器、利用命令行操作的數(shù)據(jù)庫等。操作方式兼容：SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP等。

圖中針對防火墻、IDS、交換機等的日志我沒有寫出，實際上也算是一類運維信息。針對安全部分的有專業(yè)的SOC產(chǎn)品，以及一些類似產(chǎn)品，市場上已經(jīng)做了多年。當然，設備部分一般是通過SNMP和SYSLOG進行審計監(jiān)控。

通過syslog、SNMP Trap、FTP、Agent等方式接收網(wǎng)絡中“幾乎所有設備、軟件、應用”的日志信息。如防火墻、路由器、服務器、數(shù)據(jù)庫的登錄、啟動等信息。此前對日志審計的重視程度不夠，但實際上日志審計產(chǎn)品可以總覽全網(wǎng)設備的安全狀況、運行狀況，很多敏感信息只能通過日志審計獲取。

如：Windows服務器被黑客通過某種隱秘的方式增加了1個賬號、凌晨2點進行了重啟，其它各類審計產(chǎn)品很難有效告警，而通過日志分析，卻可以非常簡單的剝離出此種行為。

針對企業(yè)的OA、ERP、財務軟件、繳費軟件等具體業(yè)務做審計，幾乎全部需要定制開發(fā)，所以市面上做的不算特別多，即使在做一般也不會大張旗鼓的宣傳。

業(yè)務審計可基于主機審計、網(wǎng)絡審計、數(shù)據(jù)庫審計、運維審計、日志審計進行，所以非常復雜。有興趣的可以百度。

有一些，特別有意思，比如針對大學的：學生負面情緒（出走）分析，就可以基于網(wǎng)絡審計（微博、朋友圈等）進行類似于輿情分析系統(tǒng)的消息過濾；也有的基于一卡通系統(tǒng)定制的某個學生1個月在食堂吃飯大于70次（以每月30天、一日三次計算，有20次未在食堂吃），但每次不超過8元，則標記為貧困生，每個月自動給學生飯卡沖入500的資助款（很棒對不對？）

如果是基于等級保護來做，那么公安的檢查標準里面有一項是針對Windows、Linux主機的安全檢查，如：操作系統(tǒng)類型、版本、安裝的軟件、安裝的補丁等，以及硬件配置。當然，針對一些內(nèi)網(wǎng)計算機，還增加了URL檢測（檢查內(nèi)網(wǎng)計算機上互聯(lián)網(wǎng)的情況）、移動存儲插拔檢測（敏感計算機不允許插拔U盤、移動硬盤，卻有此類行為，就違規(guī)），同時也會對弱口令進行安全檢測。

當然，市面上還有兩種產(chǎn)品，都不算多，但卻也比較實用：一種是配置核查系統(tǒng)，可以檢測操作系統(tǒng)、應用軟件、網(wǎng)絡設備等的配置是否合規(guī)，如交換機的口令修改周期、ACL策略等；另一種可以對配置進行自動備份，如果交換機發(fā)生了故障，更換了同型號設備后，就能直接把此前的配置恢復回來。