控制是为了更好的审计

1、控制是为了更好的审计启明星辰广州研发中心刘希诚1、终端审计误区说到终端审计，通常的话题就是是终端审计能记录什么样的信息。例如能否监控和记 录终端用户浏览过的网站和浏览网站的内容；能否监控和记录终端用八对文件的复制、删 除和修改等操作；能否监控和记录终端用户打印了什么文档和打印的文档内容；能否监控 到终端用户的msn、qq的行为并记录下聊天的内容；能否监控和保存终端用户的终端 屏幕画面和内容确实，审计的一个重要特征就是为了实现对过去发生过的历史事件的“回溯”。但是, 如果认为终端审计就是监控和记录，那就走入了终端审计的误区。事实上，监控和记录各类终端行为信息只是终端审计的开始，而不是目的。终端审

2、计 的真正目的不是将终端曾经发生过的一切记录下来供日后查询，而是通过对终端一些异常 行为进行分析，发现内网安全管理存在的脆弱点，检验已经实施的内网安全管理策略是否 满足安全管理要求，并对一些恶意行为进行取证和警示，促进内网安全持续改善。此外，终端审计作为信息安全审计的一种类型，存在以下与其他类型的审计明显区别 的特征：1）海量的终端审计数据一终端数量终端，每一个终端都是一个数据收集点终端审计数据种类：网络行为、文件操作、打印终端每天产生的数据都是海量的海量的数据淹没了真止有价值的信息2）终端身份复杂多变一终端身份多样：用户名、ip、mac、主机名、软硬件配置信息终端身份多变：非法盗用账号，非法

3、修改ip、mac等身份信息终端行为不可控，如果发生网络攻击（例如arp欺骗）导致大量“虚假”信息身份变化导致审计结果“张冠李戴”一终端身份易变导致审计结果不能真正溯源终端审计以上特有的特性，如果不能确保审计目标和方法的正确性，将会导致审计结 果的高度发散，管理员或审计员将被淹没在审计数据的“海洋”里，既不能有效发现内网 屮存在的安全漏洞，又不能从检验内网安全管理策略是否适当，也不能对恶意行为进行精 确定位，迷失了终端审计“促进内网安全持续改善”的真正终极目标。2、控制是为了更好的审计针对终端审计的特征和终端审计用户的真正价值，启明星辰的内网安全管理产品：“天 珂内网安全风险管理与审计系统”，重

4、新诠释了终端审计的目标和终端审计的方式。启明星辰认为，终端审计潜在的"海暈数据”和"复杂多变的终端身份”挑战，要求根 据终端审计的目标，能够对终端审计结果进行有效控制，摒弃杂乱、无序的“干扰”行为和 数据，保留真正有价值或高度相关的终端行为信息，从而能够帮助用户快速有效対内网中的 缺陷和恶意行为进行分析和准确定位，促进内网安全持续改善。为了实现对内网薄弱点或攻击的准入定位，“天珂内网安全风险管理与审计系统”不仅 提供从终端“文件操作审计”、“上网行为审计”、“打印审计”、“违规策略事件审计”、“异常 路由”、"windows登录审计”等终端行为相关的信息审计功能，

5、同时天珂更强调以“控制为 前提的审计”，即“天珂内网安全风险管理与审计系统”首先借助自身强大的“终端准入控 制”、“终端安全控制”、“移动存储管理”和审计模块中具备的“文件操作控制”、“上网行为 控制”、“打印控制”等细粒度的终端行为控制，保证只有合法的和安全的终端接入内部网络 和安全网络访问，有效杜绝绝大多数违规行为或攻击行为在天殉系统的保护下，永远不会发 生，从而确保终端审计获得的信息更准确、更有效和更可信。只有通过对准确可靠的审计数据进行分析，才能找出内网中存在的脆弱点和内网安全管 理的不足，从而促进及吋采取措施或调整已有的内网安全管理系统的安全策略。不能为了审 计而监控并记录，而是要先

6、控制后审计，而做好终端安全控制对审计而言，就是为了更好的 审计。卜图为“天殉内网安全风险管理与审计系统”的控制与审计的关系示意图,防釣蛊软件运行状态操作系统卄丁女装状用户名认证状态mac地址信息计算机软ft运行状态注m表栓沖与自动修艾键秽庁、文件状态啦名访问、guest s计算机弱口令准入控制强制加入域、屏尋保4n移动存igautorun移动存储管理安全控制终端审计桁定目录拒定后级名共亭目录指定进程文件操作审计与控制天珂安全策略事件审计文件打印币计与控制上网行为审计与控制i移动存储审计与控制i 亓常路由审计iwindows音录审计图1天珂制与审计的关系示意图3、天殉内网安全风险管理与审计系统简

7、介天殉内网安全风险管理与审计系统，紧密圉绕“合规”，内含企业级主机防火墙系统，通 过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理， 全面提升内网安全防护能力和合规管理水平。天殉系统引领了终端安全管理模式的新变革, 在行使终端安全管理职能的同时，更与天清汉马usg 体化安全网关组成以“网络边界、 终端边界”为主耍防护目标的utm平方统一安全套件，协同构建多层次纵深防御体系，改 变了“被动的、以事件驱动为特征”的传统内网安全管理模式，开创了“主动防御、合规管理” 为目标的内网安全管理新时代。网络准入控制802帰入层eou汇聚层客户端准入控制应川准人控制dns、web、proxy、email windows & linux sen/er 启明星辰天淸汉马usg文件授权詁享文件操作审计文件打印审计上臣行为审计移动冇储审计亓當路由审计windows登录审计移动存