一、 安全审计是什么?
安全审计是指对信息系统中安全相关的活动信息进行获取、存储、分析和告警的工作。
常规的安全审计,通常只对对应的安全信息进行记录,并根据预定义的策略进行告警。其作用类似于现实社会中的安防摄像头,对公共区域的事件进行记录,并不会直接对违规行为进行干预。
通过安全审计,管理人员可以了解到当前信息系统的安全访问情况,违规事件发生时,第一时间获取相关信息,并采取对应的策略;违规事件发生后,可对该事件进行还原分析。
二、 安全审计形式
(1)系统安全审计
系统审计包括对操作系统和数据库系统的审计,其中操作系统审计,主要是对操作系统的用户登录情况和服务启动情况进行审计,例如,在window操作系统中,对用户登录情况进行审计,可以快速发现主机账号密码暴力破解的安全事件。数据库审计主要是对用户进行的数据库操作进行记录审计
(2)网络安全审计
网络审计主要是通过对流量信息进行采集,并对数据包深度内容进行分析,来实现网络审计。例如上网行为管理系统,该系统通过对网络数据包的分析,匹配对应的规则对访问的网站、应用进行控制。审计的对象是网络数据包
(3)应用安全审计
应用安全审计,主要是对针对应用层的协议进行安全审计。典型的产品是堡垒机,所有的运维行为都需要通过堡垒机的安全检查,当管理员直接访问目标系统,绕过堡垒机时,会产生对应的违规报警。
三、 阿里云的安全审计
阿里云的安全审计产品,包括堡垒机、数据库审计、操作审计等产品
堡垒机可对运维行为进行审计,包括:远程桌面、SSH等,可以对管理人员的行为进行记录,并阻止违规行为。
数据库审计产品是对数据库的操作进行记录,并对攻击行为与运维人员的高危操作进行预警。
其中操作审计,可记录阿里云账号中的操作记录,适合需要记录账号的操作情况的场景,该服务需要手动开启,是免费产品。
