01、日志审计系统
系统日志
系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志,这就是为什么在工程师排查系统故障时,经常会说“查查系统日志,看有什么错误信息”。
系统日志作为审计过程中的有力依据,但为何还需开发独立的审计系统呢,是因为审计的本质特性是独立性,系统日志由系统生成,及系统本身为一体,主要用来帮助维护人员进行故障排查与定位,极易发生日志篡改事件,因此系统日志自身无法达到审计的最基本条件,其公正性、权威性更无从谈起。日志审计系统技术特点:
i.日志审计系统发展于日志服务器,其本质并未有革命性的改变与革新。其原始信息仍来源于系统日志,并未解决审计过程中对于独立性的要求。
ii.日志服务器的产生源自于信息技术发展的一定程度后,所面对的信息系统已经不再以个位计算,而是十位、百位,甚至千位。基于传统的单系统日志排查方式来检查系统运行的状态已捉襟见肘。如若能对所有系统的日志实现集中管理,并对其归类、分析、抽取,按不同的风险级别通过可视化展现,实现实时、智能的告警,将极大提升系统运维效率。因此,Syslog日志协议被广泛应用,并由此产生基于Syslog协议的日志服务器用于日志的集中管理与分析。Syslog存在的主要问题
长期以来,Syslog格式未进行规范化处理,且极端情况下或许没有任何格式,因此,程序不能对Syslog消息进行解析;另一方面,Syslog协议使用UDP协议(无连接协议)在网络中传输,内容的完整性与可靠性无法有效保障。对于系统的运维而言,Syslog已足够满足操作需求,却不能满足审计要求。
现在再分析日志审计,无非是在日志服务的基础上再增加SNMP(简单网管协议)使其可对路由器、交换机等网络设备的运行状况进行管理,再增加个性化的报表功能,便形成日志审计系统,但其本质仍脱离不了日志服务器。02、数据库审计系统
数据库审计系统,能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断,最初此产品是为了解决核心数据的内控与审计需求而研发的,不采用其自带的日志进行审计,主要因为:
i.数据库系统自身日志极易被篡改,缺乏独立性与公正性;
ii.数据库访问的实时性要求极高,而庞大的数据库事件日志会消耗大量系统资源,严重影响数据库的性能及稳定性,往往并不开启,仅保留错误日志以便于系统排障。数据库审计系统的技术特点
数据库审计系统借鉴了防火墙的报文解析与重组技术(DPI/DFI),通过在底层传输过程中截取报文流,并将其深度解析重组为完整的数据流,再利用语法解析与词法(YACC+LEX)解析技术解析成我们可识别的数据库操作语言,整个过程独立于数据库,且不会对数据库有任何影响,其设计天生即是为审计而生。
日志审计系统是在原有日志服务器基础上进一步发展与加强,很好的实现了日志的统一管理与分析,有效的提升了系统故障的检测与排查效率,但其设计的初衷与技术手段决定了其无法适用于审计要求。
数据库审计系统的设计初衷便基于数据库内控与审计要求,规避了日志与数据库本身的一些不足与缺陷。
最后引用一句话总结:一个完整的审计体系,可满足所有审计对象的安全审计需求。就目前而言,实现的产品类型有:日志审计系统、数据库审计系统、桌面管理系统、网络审计系统、入侵检测和防护系统等,这些产品都实现了安全审计的一部分功能,只有实现全面的网络安全审计体系,安全审计才是完整的。
关注:CISA信息系统审计公众号,了解更多CISA相关内容声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。我们重在分享,尊重原创。如作者见到请及时联系我们,我们在得到您的授后重新发布或第一时间删改,谢谢!
