网络审计简介

出于不同的目的，单位或组织会进行网络审计。

 

最初的审计比较简单，也没有太多针对性，甚至是无意的。

比如某个应用系统的一个关键业务数据被误删除了，也许可以从应用系统的日志中找出是哪个用户干的，而记录这个日志的目的是debug。

又比如黑客入侵系统以后，在系统不同的日志中可能会留下一些蛛丝马迹，这些日志也并不完全为审计而记录，需要人工到不同的角落去寻找、分析这些日志，当然这种最原始的分析方法往往也是最有效的。

 

随着信息行业的发展，安全问题越来越突出，安全事故造成的损失也越来越大。与之同时，安全防护的行业标准和技术手段也日新月异。作为其中一部分，国际标准、国家标准对审计都有不少要求，也出现了很多相关的审计产品。这些有目的的审计产品，往往也比较有针对性，下面介绍一些。

 

局域网上网审计

你是否在上班时间和MM聊天或炒股？使用在下载电影浪费公司的带宽？你有无泄漏公司的机密？如果老板很关心这样的问题，你所在的公司可能部署了这类产品。这也是最容易侵犯个人隐私的东西。

这类产品能够对网页浏览、邮件、FTP、P2P、Telnet、聊天软件及其文件传输、游戏、股票软件、视频等进行监视。对于网页、邮件、聊天等应用，这些产品能够记录明细，比如邮件的正文和MSN聊天的内容。

像QQ这样的产品，通常认为它的消息是加密发送的，实际上因为它没有采用公钥机制，有的审计产品能够将其内容解密。对于IM软件，这些产品至少会支持QQ和MSN这样的大户，其他的IM则不确定，可能支持也可能不支持。

有的产品能够按特定的条件执行一些操作，比如邮件，当满足特定的条件的时候（比如外发的包含某些关键字的邮件），可以采取阻断、转发、审计（由特权人员决定是否发送出去）等操作。

 

上网审计产品有两种部署方式，一类串联在网络中，作为上网代理，另外一类则部署在旁路做嗅探。第一种的缺点是会增加一个故障点性能瓶颈，如果它当了，就会不能上网，因此对其性能和稳定性要求很高。但是串联的好处也是显而易见的，比如，它可以更加方便的执行阻断这样的操作，另外也能够对SSL链路进行审计（见附录）。

 

系统操作审计

主要是对在服务器上执行的操作进行审计。在大型企业中，由于服务器很多，进出机房的各个厂商人员也很多，造成安全管理的困难。

部署审计产品后，所有访问服务器的操作都必须经过该产品，也就是说，是串联的。

此类产品能够对Unix类操作系统的SSH（见附录）、Telnet、FTP会话进行审计。能够识别并且记录执行的所有命令操作及其屏幕返回结果，能够对会话进行回放。甚至能够对权限进行控制，比如不让某个用户执行rm命令。

对于Windows、Unix类操作系统的远程图形化管理（分别基于RDP和X），有的产品也能够进行审计，并且能录制视频回放。

 

数据库操作审计

数据库是重要的信息资产，对数据库操作进行审计，主要是记录执行的SQL语句。

虽然很多数据库也具有审计功能，但是打开以后对性能是有影响的，通常都不会开，而且对于有很多不同数据库服务器的情况，依靠数据库自身的审计功能，实施起来很麻烦。

数据库审计产品部署在旁路做嗅探，如果出现故障或性能问题不会影响业务。那些粗心大意的开发人员需要注意了，做调试的时候误连了生产数据库，是要被抓出来的。

 

国家级别的审计

国家级别的审计，通常目的处于社会治安和国家安全的考虑，当发生特定事件的时候，能够定位不法分子。

涉及到的东西非常多，也不是一个产品就能解决的。比如，国家可能会要求网通、电信，所有ADSL拨号记录必须要保留一定的时间。那些大型网站，如果政府要求，需要向政府提供相关的审计证据，比如用户发贴或注册时的IP。

对于不采取任何措施裸奔发贴的朋友来说，如果有需要，定位到你是非常容易的。

这方面了解不多，也就不能多说了。

 

 

附录，为什么SSL链路也能够审计（例如SSH）？

对SSL链路进行审计并不说明加密算法能够破解。

嗅探类的产品无法获得加密链路中传输的内容。对于串联的设备（堡垒主机），则可以做个欺骗，也就是说，当客户机访问一个服务器的时候，堡垒主机会替换服务器的证书，也就是说，客户机以为和服务器建立的SSL链路，实际上是客户机和堡垒主机建立了SSL链路，而堡垒主机又和服务器建立了SSL链路。

专业一些的用户会发现证书被替换了，知道继续是不安全的，他会根据情况选择是否继续。但相信大部分用户都分辨不清这其中的关系。