企业网络安全设备之安全审计设备篇

说到企业网络安全管理，就离不开网络安全审计。审计就是有目的、有计划地收集、鉴定、综合和利用审计证据的过程。此贴设备均为审计设备，各个设备的区别在于审计的对象不同，所审计的内容不同而已。

网络安全审计

定义:审计网络方面的相关内容

功能:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全，保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。

部署:采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

数据库安全审计

定义:数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。功能:审计对数据库的各类操作，精确到每一条SQL命令，并有强大的报表功能。

部署:采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

日志审计

定义:集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

功能:通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全

部署:旁路模式部署。通常由设备发送日志到审计设备，或在服务器中安装代理，由代理发送日志到审计设备。

运维安全审计(堡垒机)

定义:在一个特定的网络环境下，为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。

功能:主要是针对运维人员维护过程的全面跟踪、控制、记录、回放，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

部署:旁路模式部署。使用防火墙对服务器访问权限进行限制，只能通过堡垒机对网络设备/服务器/数据库等系统操作。

可以看出审计产品最终的目的都是审计，只不过是审计的内容不同而已，根据不同需求选择不同的审计产品，一旦出现攻击、非法操作、违规操作、误操作等行为，对事后处理提供有利证据。

入侵检测（IDS）

定义:对入侵攻击行为进行检测

功能:通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象

部署:采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到入侵检测设备。

入侵检测虽然是入侵攻击行为检测，但监控的同时也对攻击和异常数据进行了审计，所以把入侵检测系统也放到了审计里一起介绍。入侵检测系统是等保三级中必配设备。