安全审计到底是什么？搞不清怎么过等保？

   路由、交换、Windows服务器设备、防火墙、入侵防御、Linux等，以及各种应用，如此繁多的设备如何进行统一的安全审计？更何况还有很多单位面临着合规（等保、分保、SOX等）的压力！ 

   网络安全法正式执行以来，关于安全审计方面的合规压力更大，安全审计技术其实可以分为：主机审计、网络审计、数据库审计、运维审计、日志审计、业务审计、配置审计。接下来，让我们分析下各类安全审计技术的常见功能项： 

   1、主机审计 

   发展时间很长，也基本是目前的桌面管理、终端安全管理等产品的功能，并且现在衍生出几个独立产品：非法接入与外联控制、终端审计、打印审计系统、移动存储介质管理系统、主机资产管理系统等。 

   主机审计包含Windows、Linux、Unix等操作系统类型。包含客户机和服务器的审计。当然针对服务器的又衍生出了独立的服务器审计、服务器加固产品。 

   2、网络审计 

   目前网络审计和入侵检测的融合度非常高，但是一般而言，除了入侵行为审计，还应具备HTTP审计、POP3/SMTP审计、Telnet审计、FTP审计等。当然这里又有的地方和上网行为管理、上网行为审计有关。 

   总体而言，网络审计已经非常成熟，一般通过透明、旁路两种方式接入。 

   3、数据库审计 

   可能在很多人的眼中，数据库审计是一个比较新的产品。因为数据库审计有的厂家已做了七八年之久，但是目前依然不像防火墙那样具有非常完善的标准。 

   要求具备常见数据库的审计能力，涵：SQL Server、Oracle等，补充下：居然有很多数据库不支持MySQL审计。 

   数据库审计的形式一般有两种：硬件旁路、软件Agent。前者部署便捷对主机无损耗、后者功能强大但易有兼容性问题。 

   4、运维审计 

   常见的产品名称一般为：内控堡垒主机、运维操作审计。主要针对的设备：路由器、交换机、Windows服务器、Unix服务器、利用命令行操作的数据库等。操作方式兼容：SSH、Telnet、RDP、X-Win、VNC、Rlogin、FTP等。 

   图中针对防火墙、IDS、交换机等的日志我没有写出，实际上也算是一类运维信息。针对安全部分的有专业的SOC产品，以及一些类似产品，市场上已经做了多年。当然，设备部分一般是通过SNMP和SYSLOG进行审计监控。 

   5、日志审计 

   通过syslog、SNMP Trap、FTP、Agent等方式接收网络中“几乎所有设备、软件、应用”的日志信息。如防火墙、路由器、服务器、数据库的登录、启动等信息。此前对日志审计的重视程度不够，但实际上日志审计产品可以总览全网设备的安全状况、运行状况，很多敏感信息只能通过日志审计获取。 

   如：Windows服务器被黑客通过某种隐秘的方式增加了1个账号、凌晨2点进行了重启，其它各类审计产品很难有效告警，而通过日志分析，却可以非常简单的剥离出此种行为。 

   6、业务审计 

   针对企业的OA、ERP、财务软件、缴费软件等具体业务做审计，几乎全部需要定制开发，所以市面上做的不算特别多，即使在做一般也不会大张旗鼓的宣传。 

业务审计可基于主机审计、网络审计、数据库审计、运维审计、日志审计进行，所以非常复杂。有兴趣的可以百度。 

   有一些，特别有意思，比如针对大学的：学生负面情绪（出走、自杀）分析，就可以基于网络审计（微博、朋友圈等）进行类似于舆情分析系统的消息过滤；也有的基于一卡通系统定制的某个学生1个月在食堂吃饭大于70次，但每次不超过8元，则标记为贫困生，每个月自动给学生饭卡冲入500的资助款（很棒对不对？） 

   7、配置审计 

   如果是基于等级保护来做，那么公安的检查标准里面有一项是针对Windows、Linux主机的安全检查，如：操作系统类型、版本、安装的软件、安装的补丁等，以及硬件配置。当然，针对一些内网计算机，还增加了URL检测（检查内网计算机上互联网的情况）、移动存储插拔检测（敏感计算机不允许插拔U盘、移动硬盘，却有此类行为，就违规），同时也会对弱口令进行安全检测。 

   安全审计，是重要而又严格的！做好安全审计，等保才有意义。网络更安全，世界更美好！