說到終端審計,通常的話題就是是終端審計能記錄什麼樣的資訊。但是,如果認為終端審計就是監控和記錄,那就走入了終端審計的誤區。終端審計的真正目的不是將終端曾經發生過的一切記錄下來供日後查詢,而是取證分析,檢驗已經實施的內網安全管理策略是否滿足安全管理要求,促進內網安全持續改善。
說到終端審計,通常的話題就是是終端審計能記錄什麼樣的資訊。但是,如果認為終端審計就是監控和記錄,那就走入了終端審計的誤區。終端審計的真正目的不是將終端曾經發生過的一切記錄下來供日後查詢,而是取證分析,檢驗已經實施的內網安全管理策略是否滿足安全管理要求,促進內網安全持續改善。
一、走出終端審計誤區
終端審計的乙個重要特徵是實現對過去發生過的歷史事件的「回溯」。比如:能否監控和記錄終端使用者瀏覽過的**和瀏覽**的內容;能否監控和記錄終端使用者對檔案的複製、刪除和修改等操作;能否監控和記錄終端使用者列印了什麼文件和列印的文件內容;能否監控到終端使用者的msn、qq的行為並記錄下聊天的內容;能否監控和儲存終端使用者的終端螢幕畫面和內容……
這一特徵使得很多人容易陷入這樣乙個誤區,就是終端審計是為了監控和記錄。而事實上,監控和記錄各類終端行為資訊只是終端審計的開始,而不是目的。終端審計的真正目的在於通過對終端一些異常行為進行分析,及時發現內網安全管理的脆弱點,並對一些惡意行為進行取證和警示,保證內網安全漸趨完善。
此外,終端審計作為資訊保安審計的一種型別,存在以下與其他型別的審計明顯區別的特徵:
1.海量的終端審計資料
·終端數量終端,每乙個終端都是乙個資料收集點
·終端審計資料種類:網路行為、檔案操作、列印等
·終端每天產生的資料都是海量的
·海量的資料淹沒了真正有價值的資訊
2.終端身份複雜多變
·終端身份多樣:使用者名稱、ip、mac、主機名、軟硬體配置資訊等
·終端身份多變:非法盜用賬號,非法修改ip、mac等身份資訊等
·終端行為不可控,如果發生網路攻擊(例如arp欺騙)導致大量「虛假」資訊
·身份變化導致審計結果「張冠李戴」
·終端身份易變導致審計結果不能真正溯源
終端審計以上特有的特性,如果不能確保審計目標和方法的正確性,將會導致審計結果的高度發散,管理員或審計員將被淹沒在審計資料的「海洋」裡,既不能有效發現內網中存在的安全漏洞,又不能從檢驗內網安全管理策略是否適當,也不能對惡意行為進行精確定位,迷失了終端審計「促進內網安全持續改善」的真正終極目標。
二、終端控制是為了更好的審計
針對終端審計的特徵和終端審計使用者的真正價值,啟明星辰的內網安全管理產品——「天珣內網安全風險管理與審計系統」,重新詮釋了終端審計的目標和終端審計的方式。
啟明星辰認為,終端審計潛在的「海量資料」和「複雜多變的終端身份」挑戰,要求根據終端審計的目標,能夠對終端審計結果進行有效控制,摒棄雜亂、無序的「干擾」行為和資料,保留真正有價值或高度相關的終端行為資訊,從而能夠幫助使用者快速有效對內網中的缺陷和惡意行為進行分析和準確定位,促進內網安全持續改善。
為了實現對內網薄弱點或攻擊的准入定位,「天珣內網安全風險管理與審計系統」不僅提供從終端「檔案操作審計」、「上網行為審計」、「列印審計」、「違規策略事件審計」、「異常路由」、「windows登入審計」等終端行為相關的資訊審計功能,同時更強調以「控制為前提的審計」,即「天珣內網安全風險管理與審計系統」首先借助自身強大的「終端准入控制」、「終端安全控制」、「移動儲存管理」和審計模組中具備的「檔案操作控制」、「上網行為控制」、「列印控制」等細粒度的終端行為控制,保證只有合法的和安全的終端接入內部網路和安全網路訪問,有效杜絕絕大多數違規行為或攻擊行為,從而確保終端審計獲得的資訊更準確、更有效和更可信。
只有通過對準確可靠的審計資料進行分析,才能找出內網中存在的脆弱點和內網安全管理的不足,從而促進及時採取措施或調整已有的內網安全管理系統的安全策略。不能為了審計而監控並記錄,而是要先控制後審計,而做好終端安全控制對審計而言,就是為了更好的審計。
圖1為「天珣內網安全風險管理與審計系統」的控制與審計的關係示意圖。
圖1 天珣控制與審計關係示意圖
天珣內網安全系統促使內網合規
啟明星辰「天珣內網安全風險管理與審計系統」,緊密圍繞「合規」,內含企業級主機防火牆系統,通過「終端准入控制、終端安全控制、桌面合規管理、終端洩密控制和終端審計」五維化管理,全面提公升內網安全防護能力和合規管理水平。天珣系統引領了內網安全管理模式的新變革,在行使內網安全管理職能的同時,更與天清漢馬usg一體化安全閘道器組成以「網路邊界、終端邊界」為主要防護目標的utm平方統一安全套件,協同構建多層次縱深防禦體系,改變了「被動的、以事件驅動為特徵」的傳統內網安全管理模式,開創了「主動防禦、合規管理」為目標的內網安全管理新時代。圖2為天珣五維內網合規管理模型。
圖2 天珣五維內網合規管理模型
新人小白如何快速適應職場 怎麼更好的學技術
新人小白如何快速適應職場?怎麼更好的學技術?網際網路行業是乙個用實力說話的行業,只要你技術高超就可以拿到相應的薪資。但職場生存同樣是乙個技術活,如果無法快速且很好的適應工作環境和工作需求,處理不好人際關係,那你的工作生活絕不會輕鬆。千鋒鄭州就業老師彙總學員遇到的問題,給大家分享新人小白快速適應職場的...
在技術選型前,如何調研元件,經驗談
在技術選型前,如何調研元件,經驗談 1.首先選出同型別的元件進行比對 2.比對之前,需要充分了解各個元件的優勢和劣勢 3.對比期間要注意分析自己的 或者業務場景可以使用哪個元件 可以從你目前的 或者場景有什麼需要解決的問題,引入了該元件能否解決這個問題,以及後續的運維等等 4.最後提醒一點 在選型的...
也談如何用技術手段引導使用者放棄IE 6
中國的網民是很頑強的,也是很固執的!雖然ie6 在國外早就判了死刑,但是在中國至少還有近50 的占有率,這實在很令人頭疼!之前看過很多人提議,提議的方案也五花八門,比如 1 讓xx花園盜版盤作者把ie6公升級後,再發行 基本不靠譜,您先能聯絡到盜版盤作者再說吧.2 咱們主動幫身邊的朋友 同事修電腦時...