說到終端審計(jì)，通常的話題就是是終端審計(jì)能記錄什么樣的信息。但是，如果認(rèn)為終端審計(jì)就是監(jiān)控和記錄，那就走入了終端審計(jì)的誤區(qū)。終端審計(jì)的真正目的不是將終端曾經(jīng)發(fā)生過的一切記錄下來供日后查詢，而是取證分析，檢驗(yàn)已經(jīng)實(shí)施的內(nèi)網(wǎng)安全管理策略是否滿足安全管理要求，促進(jìn)內(nèi)網(wǎng)安全持續(xù)改善。

一、 走出終端審計(jì)誤區(qū)

終端審計(jì)的一個(gè)重要特征是實(shí)現(xiàn)對(duì)過去發(fā)生過的歷史事件的“回溯”。比如：能否監(jiān)控和記錄終端用戶瀏覽過的網(wǎng)站和瀏覽網(wǎng)站的內(nèi)容;能否監(jiān)控和記錄終端用戶對(duì)文件的復(fù)制、刪除和修改等操作;能否監(jiān)控和記錄終端用戶打印了什么文檔和打印的文檔內(nèi)容;能否監(jiān)控到終端用戶的MSN、QQ的行為并記錄下聊天的內(nèi)容;能否監(jiān)控和保存終端用戶的終端屏幕畫面和內(nèi)容……

這一特征使得很多人容易陷入這樣一個(gè)誤區(qū)，就是終端審計(jì)是為了監(jiān)控和記錄。而事實(shí)上，監(jiān)控和記錄各類終端行為信息只是終端審計(jì)的開始，而不是目的。終端審計(jì)的真正目的在于通過對(duì)終端一些異常行為進(jìn)行分析，及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)安全管理的脆弱點(diǎn)，并對(duì)一些惡意行為進(jìn)行取證和警示，保證內(nèi)網(wǎng)安全漸趨完善。

此外，終端審計(jì)作為信息安全審計(jì)的一種類型，存在以下與其他類型的審計(jì)明顯區(qū)別的特征：

1. 海量的終端審計(jì)數(shù)據(jù)

—終端數(shù)量終端，每一個(gè)終端都是一個(gè)數(shù)據(jù)收集點(diǎn)

—終端審計(jì)數(shù)據(jù)種類：網(wǎng)絡(luò)行為、文件操作、打印等

—終端每天產(chǎn)生的數(shù)據(jù)都是海量的

—海量的數(shù)據(jù)淹沒了真正有價(jià)值的信息

2. 終端身份復(fù)雜多變

—終端身份多樣：用戶名、IP、MAC、主機(jī)名、軟硬件配置信息等

—終端身份多變：非法盜用賬號(hào)，非法修改IP、MAC等身份信息等

—終端行為不可控，如果發(fā)生網(wǎng)絡(luò)攻擊(例如ARP欺騙)導(dǎo)致大量“虛假”信息

—身份變化導(dǎo)致審計(jì)結(jié)果“張冠李戴”

—終端身份易變導(dǎo)致審計(jì)結(jié)果不能真正溯源

終端審計(jì)以上特有的特性，如果不能確保審計(jì)目標(biāo)和方法的正確性，將會(huì)導(dǎo)致審計(jì)結(jié)果的高度發(fā)散，管理員或?qū)徲?jì)員將被淹沒在審計(jì)數(shù)據(jù)的“海洋”里，既不能有效發(fā)現(xiàn)內(nèi)網(wǎng)中存在的安全漏洞，又不能從檢驗(yàn)內(nèi)網(wǎng)安全管理策略是否適當(dāng)，也不能對(duì)惡意行為進(jìn)行精確定位，迷失了終端審計(jì)“促進(jìn)內(nèi)網(wǎng)安全持續(xù)改善”的真正終極目標(biāo)。

二、 終端控制是為了更好的審計(jì)

針對(duì)終端審計(jì)的特征和終端審計(jì)用戶的真正價(jià)值，啟明星辰的內(nèi)網(wǎng)安全管理產(chǎn)品——“天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)”，重新詮釋了終端審計(jì)的目標(biāo)和終端審計(jì)的方式。

啟明星辰認(rèn)為，終端審計(jì)潛在的“海量數(shù)據(jù)”和“復(fù)雜多變的終端身份”挑戰(zhàn)，要求根據(jù)終端審計(jì)的目標(biāo)，能夠?qū)K端審計(jì)結(jié)果進(jìn)行有效控制，摒棄雜亂、無序的“干擾”行為和數(shù)據(jù)，保留真正有價(jià)值或高度相關(guān)的終端行為信息，從而能夠幫助用戶快速有效對(duì)內(nèi)網(wǎng)中的缺陷和惡意行為進(jìn)行分析和準(zhǔn)確定位，促進(jìn)內(nèi)網(wǎng)安全持續(xù)改善。

為了實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)薄弱點(diǎn)或攻擊的準(zhǔn)入定位，“天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)”不僅提供從終端“文件操作審計(jì)”、“上網(wǎng)行為審計(jì)”、“打印審計(jì)”、“違規(guī)策略事件審計(jì)”、“異常路由”、“Windows登錄審計(jì)”等終端行為相關(guān)的信息審計(jì)功能，同時(shí)更強(qiáng)調(diào)以“控制為前提的審計(jì)”，即“天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)”首先借助自身強(qiáng)大的“終端準(zhǔn)入控制”、“終端安全控制”、“移動(dòng)存儲(chǔ)管理”和審計(jì)模塊中具備的“文件操作控制”、“上網(wǎng)行為控制”、“打印控制”等細(xì)粒度的終端行為控制，保證只有合法的和安全的終端接入內(nèi)部網(wǎng)絡(luò)和安全網(wǎng)絡(luò)訪問，有效杜絕絕大多數(shù)違規(guī)行為或攻擊行為，從而確保終端審計(jì)獲得的信息更準(zhǔn)確、更有效和更可信。

只有通過對(duì)準(zhǔn)確可靠的審計(jì)數(shù)據(jù)進(jìn)行分析，才能找出內(nèi)網(wǎng)中存在的脆弱點(diǎn)和內(nèi)網(wǎng)安全管理的不足，從而促進(jìn)及時(shí)采取措施或調(diào)整已有的內(nèi)網(wǎng)安全管理系統(tǒng)的安全策略。不能為了審計(jì)而監(jiān)控并記錄，而是要先控制后審計(jì)，而做好終端安全控制對(duì)審計(jì)而言，就是為了更好的審計(jì)。

圖1為“天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)”的控制與審計(jì)的關(guān)系示意圖。

天珣內(nèi)網(wǎng)安全系統(tǒng)促使內(nèi)網(wǎng)合規(guī)

啟明星辰“天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)”，緊密圍繞“合規(guī)”，內(nèi)含企業(yè)級(jí)主機(jī)防火墻系統(tǒng)，通過“終端準(zhǔn)入控制、終端安全控制、桌面合規(guī)管理、終端泄密控制和終端審計(jì)”五維化管理，全面提升內(nèi)網(wǎng)安全防護(hù)能力和合規(guī)管理水平。

天珣系統(tǒng)引領(lǐng)了內(nèi)網(wǎng)安全管理模式的新變革，在行使內(nèi)網(wǎng)安全管理職能的同時(shí)，更與天清漢馬USG一體化安全網(wǎng)關(guān)組成以“網(wǎng)絡(luò)邊界、終端邊界”為主要防護(hù)目標(biāo)的UTM平方統(tǒng)一安全套件，協(xié)同構(gòu)建多層次縱深防御體系，改變了“被動(dòng)的、以事件驅(qū)動(dòng)為特征”的傳統(tǒng)內(nèi)網(wǎng)安全管理模式，開創(chuàng)了“主動(dòng)防御、合規(guī)管理”為目標(biāo)的內(nèi)網(wǎng)安全管理新時(shí)代。

圖2為天珣五維內(nèi)網(wǎng)合規(guī)管理模型。

【編輯推薦】

1. 防火墻如何能更好地加強(qiáng)內(nèi)網(wǎng)管理
2. 桌面管理商業(yè)銀行基礎(chǔ)網(wǎng)絡(luò)安全運(yùn)維首選
3. Chinasec助力中國銀行打造內(nèi)網(wǎng)安全體系