控制是为了更好的审计

《控制是为了更好的审计》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

控制是为了更好的审计启明星辰广州研发中心刘希诚1、终端审计误区说到终端审计，通常的话题就是是终端审计能记录什么样的信息。例如能否监控和记录终端用户浏览过的网站和浏览网站的内容；能否监控和记录终端用八对文件的复制、删除和修改等操作；能否监控和记录终端用户打印了什么文档和打印的文档内容；能否监控到终端用户的MSN、QQ的行为并记录下聊天的内容；能否监控和保存终端用户的终端屏幕画面和内容……确实，审计的一个重要特征就是为了实现对过去发生过的历史事件的“回溯”。但是,如果认为终端审计就是监控和记录，那就走入了终端审计的误区。事实上，监控和记录各类终端行为信息只是终端审计的开始，而不是目的。终端审计的真正目的不是将终端曾经发生过的一切记录下来供日后查询，而是通过对终端一些异常行为进行分析，发现内网安全管理存在的脆弱点，检验已经实施的内网安全管理策略是否满足安全管理要求，并对一些恶意行为进行取证和警示，促进内网安全持续改善。此外，终端审计作为信息安全审计的一种类型，存在以下与其他类型的审计明显区别的特征：1）海量的终端审计数据一终端数量终端，每一个终端都是一个数据收集点—终端审计数据种类：网络行为、文件操作、打印…—终端每天产生的数据都是海量的—海量的数据淹没了真止有价值的信息2）终端身份复杂多变一终端身份多样：用户名、IP、MAC、主机名、软硬件配置信息…—终端身份多变：非法盗用账号，非法修改IP、MAC等身份信息…—终端行为不可控，如果发生网络攻击（例如ARP欺骗）导致大量“虚假”信息—身份变化导致审计结果“张冠李戴”一终端身份易变导致审计结果不能真正溯源终端审计以上特有的特性，如果不能确保审计目标和方法的正确性，将会导致审计结果的高度发散，管理员或审计员将被淹没在审计数据的“海洋”里，既不能有效发现内网屮存在的安全漏洞，又不能从检验内网安全管理策略是否适当，也不能对恶意行为进行精 确定位，迷失了终端审计“促进内网安全持续改善”的真正终极目标。2、控制是为了更好的审计针对终端审计的特征和终端审计用户的真正价值，启明星辰的内网安全管理产品：“天珂内网安全风险管理与审计系统”，重新诠释了终端审计的目标和终端审计的方式。启明星辰认为，终端审计潜在的"海暈数据”和"复杂多变的终端身份”挑战，要求根据终端审计的目标，能够对终端审计结果进行有效控制，摒弃杂乱、无序的“干扰”行为和数据，保留真正有价值或高度相关的终端行为信息，从而能够帮助用户快速有效対内网中的缺陷和恶意行为进行分析和准确定位，促进内网安全持续改善。为了实现对内网薄弱点或攻击的准入定位，“天珂内网安全风险管理与审计系统”不仅提供从终端“文件操作审计”、“上网行为审计”、“打印审计”、“违规策略事件审计”、“异常路由”、"Windows登录审计”等终端行为相关的信息审计功能，同时天珂更强调以“控制为前提的审计”，即“天珂内网安全风险管理与审计系统”首先借助自身强大的“终端准入控制”、“终端安全控制”、“移动存储管理”和审计模块中具备的“文件操作控制”、“上网行为控制”、“打印控制”等细粒度的终端行为控制，保证只有合法的和安全的终端接入内部网络和安全网络访问，有效杜绝绝大多数违规行为或攻击行为在天殉系统的保护下，永远不会发生，从而确保终端审计获得的信息更准确、更有效和更可信。只有通过对准确可靠的审计数据进行分析，才能找出内网中存在的脆弱点和内网安全管理的不足，从而促进及吋采取措施或调整已有的内网安全管理系统的安全策略。不能为了审计而监控并记录，而是要先控制后审计，而做好终端安全控制对审计而言，就是为了更好的审计。卜•图为“天殉内网安全风险管理与审计系统”的控制与审计的关系示意图, 防釣蛊软件运行状态操作系统卄丁女装状用户名认证状态MAC地址信息计算机软ft运行状态注M表栓沖与自动修艾键秽庁、文件状态啦名访问、GuestS计算机弱口令准入控制强制加入域、屏尋保4n‘移动存igAutorun移动存储管理安全控制终端审计桁定目录拒定后级名共亭目录指定进程文件操作审计与控制天珂安全策略事件审计文件打印币计与控制上网行为审计与控制I移动存储审计与控制I亓常路由审计IWindows音录审计图1天珂制与审计的关系示意图3、天殉内网安全风险管理与审计系统简介天殉内网安全风险管理与审计系统，紧密圉绕“合规”，内含企业级主机防火墙系统，通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理，全面提升内网安全防护能力和合规管理水平。天殉系统引领了终端安全管理模式的新变革,在行使终端安全管理职能的同时，更与天清汉马USG—体化安全网关组成以“网络边界、终端边界”为主耍防护目标的UTM平方统一安全套件，协同构建多层次纵深防御体系，改变了“被动的、以事件驱动为特征”的传统内网安全管理模式，开创了“主动防御、合规管理”为目标的内网安全管理新时代。网络准入控制802帰入层EOU汇聚层客户端准入控制应川准人控制DNS、Web、Proxy、EmailWindows&LinuxSen/er启明星辰天淸汉马USG文件授权詁享文件操作审计文件打印审计上臣行为审计移动冇储审计亓當路由审计Windows登录审计移动存储设备认证文件透明加密与授权终端准入控制基于策略的访问控制基于网络行为的攻击防护ARP欺骡兰动防劃分布式流量管理安全状态检测及自动修复资*管理外设管理进程管理IP管理补丁分发软件分发HOD远程按究支援图2天珂五维内网合规管理模型