安全审计系统(堡垒机)

安全审计

安全审计系统是什么

安全审计系统是一种用于监测和评估信息系统安全性的软件或工具。安全审计系统可以帮助信息资产得到适当的保护，并满足法规的要求

工作原理：

通过收集、分析和报告有关系统活动和事件的日志及数据，帮助识别潜在安全风险、检测安全漏洞和异常行为，并提供相应的安全建议和控制措施

安全审计的作用：

a. 对用户的上网行为监控、对网络传输内容审计 （如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等）

b. 对网络使用情况（用途、流量）分析

c. 对网络传输信息的实时采集和统计分析

d. 对网络行为后期取证

e. 对网络潜在威胁者予以威慑

摘要：

系统集内容审计与行为监控为一体，以旁路的方式部署在网络中，实时采集网络数据，并按照指定策略对数据进行过滤，然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能，以及后期取证功能

需求背景：

按等级进行计算机信息系统安全保护的相关单位或部门，往往需要对流经部门与外界接点的数据实施内容审计与行为监控的，以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况，提高单位或部门的工作效率。所涉及的单位类型有政府、军队机关的网络管理部门，公安、保密、司法等国家授权的网络安全监察部门，金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心，大中型企业网络管理中心等

典型的系统组成：

安全审计系统由三部分组成：审计引擎、数据中心、管理中心。

上图是典型的单点部署

审计引擎（硬件）：审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析，并把分析后的数据流发送给数据中心

数据中心（软件）：对审计引擎传送过来的数据流进行存储；按照用户的指令对数据进行还原、解码、解压缩，并可进行关键字查询审计、统计分析

管理中心（软件）：提供WEB形式的管理界面，可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用

上图是适合多级管理的分布式部署

1、流量监控与统计功能：

1）对重要IP进行流量监测，并绘制出直观的流量曲线图，有效发现网上出现的异常流量。 2）支持对历史流量统计分析。

2、持多种应用协议议的还原、审计：

1）Web浏览（HTTP）——能完全截获、记录、回放、归档被监测网络中所有用户浏览的WEB内容。 电子邮件（POP3、SMTP、WEB MAIL）——能完全截获、记录、回放、归档被监测网络中所有用户收发的电子邮件。

2）文件下载(FTP)——能记录、查询访问FTP服务器的用户名、口令。回放用户在服务器上的操作过程、还原用户传输的数据。

3）即时聊天（例如MSN、QQ等）——能完全记录用户登录时间、离开时间；用户登录IP地址、目的IP地址；聊天时使用的用户名；能监视用户聊天频率、还原用户聊天内容。 流媒体（MMS、RTSP）——能记录用户访问的流媒体地址，访问开始时间、结束时间，访问流媒体名称及简介。

4）远程登录（TELNET）——能记录和查询访问服务器上TELNET的用户名和口令字；能记录和回放用户在服务器上的操作过程。

3、支持多种审计方式：

1）实时监控——对网络中各种应用进行实时监控分析。

2）行为监控——可以完全记录、回放用户网络行为。

3）内容查看审计——支持网络数据内容的完全还原，后期可以进行内容审计、取证。

4）关键词审计——根据设定的关键词，自动快速的进行全文检索，匹配成功的内容将以醒目字体颜色显 示。

5）流量监控——通过流量监控，有效发现