@瞌睡虫
2年前 提问
1个回答
安全审计行为管理设备是什么
房乐
2年前
通常意义上我们所说的网络安全审计系统设备,其实是指上网行为管理审计系统设备。该设备主要是对上网用户层面的行为进行审计,同时配合上网认证功能,能够满足我国公安部82号令,以及我国网络安全法对审计认证的要求,同时也是政企单位,等级保护评测的主要设备之一。
无论是何种审计设备,从功能组成上都应该包括:
信息采集功能
就是能够通过某种技术手段获取需要审计的数据,例如日志、网络数据包、SSID等。对于该功能的考察,关键是其采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。如果采用数据包审计技术的话,网络协议抓包和分析引擎显得尤为重要。如果采用日志审计技术的话,日志归一化技术则是产品基本功和专业能力的地方。
信息分析功能
对于采集上来的信息进行分析、审计,这是审计产品的核心,审计效果好坏直接由此体现出来;在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计,以及时序的审计算法等等。
信息存储功能
对于采集到原始信息,以及审计后的信息都要进行保存、备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。
信息展示功能
包括审计结果展示界面、统计分析报表功能、报警响应功能、设备联动功能等等;这部分功能是审计效果的最直接体现。
产品自身安全性和可审计性功能:审计产品自身必须是安全的,包括要确保审计数据的完整性、机密性和有效性,对审计系统的访问要安全。此外,所有针对审计产品的访问和操作也要记录日志,并且能够被审计。