网络安全审计（保障网络安全的利器）

网络安全审计（保障网络安全的利器）

今年突如其来的疫情让信息化更加普及化，特别是5G开启万物泛在互联、人机深度交互、智能引领变革的新时代，给人们生活带来巨大便利的同时，随之而来的各种网络安全事件也凸显出来，严重威胁着网络基础设施、企业网络和个人主机的安全。加强网络安全审计系统建设，是完善网络安全防范的重要手段和抓手。本文将研究网络安全审计产品的特点、应用价值，以及未来的发展方向。

关键词：网络安全；网络安全审计；行为审计；安全事件审计。

1. 引言

据新华社等国内多家媒体报道，2019年3月份以来，委内瑞拉国家电力干线反复遭到电磁攻击，国家电力公司网络陷入一片混乱，该国最大、世界第四大的古里水电站从3月7日停止运转【1】。这一事件，引起大家对网络安全事件的关注。近年来，在世界范围内还发生了一系列网络安全事件，如伊朗的震网病毒事件、乌克兰电网的停电事件等，无不向世人展示着信息网络安全关乎着国家安全，关乎着社会企事业单位的安全，关乎着每一个人的安全。

网络安全审计系统针对网络行为提供有效的行为审计、内容审计、安全事件审计，通过全面的审计和分析模型，及时预警报警。从管理层面提供有效监督，预防、制止网络瘫痪或数据泄密，以满足企事业单位对员工安全合规的使用网络的要求。

2. 网络安全形势严峻，网络安全审计不足

1) 网络安全风险形势严峻

2020年3月25日，国家互联网应急中心在“CNCERT互联网安全威胁报告-2020年02月总第110期”指出：2月份境内感染网络病毒的终端数为132万余个；境内被篡改网站数量为18,381个，其中被篡改政府网站数量为83个；境内被植入后门的网站数量为5,820个，其中政府网站有14个；针对境内网站的仿冒页面数量为1,148个【2】。

从上述数据可以看出，我们时刻面临着各种网络安全风险。网络安全是网络信息体系的基石，网络安全风险已成为几乎所有组织面临的风险管理挑战之一，开展网络安全审计的必要性和重要性日益突出。

2) 网络安全法规持续加码

2017年6月1日起，我国的网络安全法正式实施。2019年5月，网络安全等级保护基本要求（等保2.0）正式发布并于12月1日开始施行。

网络安全法第二十一条明确，国家实施网络安全等级保护制度，网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息发展、维护网络安全的根本保障，是国家意志在网络安全保障工作中的体现。

等保2.0明确对企业、安全厂家、系统集成商提出的要求，强调要在网络边界、重要网络节点处进行网络行为审计，企业在进行网络安全防护项目时要充分考虑网络边界和重要网络节点的行为审计能力。而这仅仅靠原有的日志审计类产品是不够的，无法满足等级保护2.0的要求。

3) 网络安全产业稳步增长

据中国信息通信研究院统计测算，2018年我国网络安全产业规模达到510.92亿元，较2017年增长19.2%，预计2019年达到631.29亿元【3】。

2018 年我国网络安全产业规模增长情况

严峻的网络安全威胁以及国家的相关法规政策的持续利好，为企事业单位提升网络安全意识、推动互联网安全能力建设提供了良好契机。使得网络安全产业规模，出现持续高速增长态势。

4) 合规驱动市场内需不强

网络安全审计产品供应商的市场需求分析，更多是基于网络安全法规以及等保2.0的解读。产品市场需求的驱动除了法规政策要求外，成熟市场更需要企业内在的驱动。

目前，合规建设仍然是网络安全建设的最大动力，企事业单位内在驱动力不强。许多的政府部门及企事业单位，都有不出事就没事的侥幸心理，目前更多的是在考虑如何满足政策法规的要求；并没有认真思考企业信息安全及网络安全的重要性，以及如何确保自身网络更安全。

虽然合规不能保证不出事故，但是，不合规肯定为事故的发生提供了可能。把合规类产品做得更好用、更有效果，是产业界应该追求的，要让自己的产品使客户在合规的基础上获得更好的安全防御效果。以合规驱动，带动企业安全风险防范意识提升，让网络安全建设从被动满足法规要求，升级为主动拥抱网络安全防护，需要一个成长过程。

5) 安全审计产品仍需改进

从市场上流行的审计产品看，在不同程度上存在一些缺陷和不足，主要表现在联动能力弱、信息孤岛突出，审计的实时效果差、以日志记录为主及多维度联动性分析少等。

产品联动能力弱，信息孤岛突出。市面上部分产品存在用户行为安全审计孤岛现象，无法及时有效捕捉和全面分析用户行为问题，审计产品颗粒度不够详细，审计行为存储于自身的数据库，且无人问津【4】。随着主机审计、数据库审计等各类安全防护产品的应用。简单的日志统计报表，已经不能够满足要求，需要一体化的综合性安全防护分析报告。

实时分析效果差，事后审计为主。随着企事业单位访问数量的暴增，网络安全审计的难点在于需要处理大量的日志内容，并且颗粒度要求越来越细。另外，及时发现异常行为，及时预警，是网络安全审计的另一迫切需求。高性能数据采集和实时分析成为产品研发的最大挑战。当前市面上很多产品都难以做到实时预警。

3. 中孚网络安全审计解决方案

中孚信息作为网络安全保密领域的龙头厂商，通过多年的实践和技术积累，按照“事中检测预警+事后追踪溯源”的路线，研发推出了网络安全审计系统，为用户提供了更佳的产品选择。

该产品具有自主知识产权和软件著作权，集内容审计与行为监控为一体，以旁路方式部署在网络中，实时客观采集网络访问行为，并按照指定策略对数据过滤分析；然后将数据所体现的内容和行为特性一并存在到服务器上，通过构建安全事件模型，结合用户角色和行为特征，进行用户行为画像。同时，结合具体场景，通过算法集合、规则、特征等进行多维度的异常行为的实时监控与风险预警，向客户提供审计分析以及后期取证功能。

1) 全面安全审计管理分析

全面网络安全审计：中孚网络安全审计系统支持对各种用户网络通信行为和安全事件进行审计，并支持自定义审计规则和事件。能够将网络通信协议数据解析为用户通信行为和安全风险事件，并基于内置规则和用户自定义规则，产生不同类型、不同级别的事件审计记录。

高性能实时分析：中孚网络安全审计系统凭借高性能包处理引擎、协议识别解析引擎和审计事件处理引擎，对网络流量进行实时捕获分析，实时发布异常行为预警，为管理人员及时处理提供时间窗口。

深度细粒审计管理：中孚网络安全审计系统全面详实地记录网络内流经监听出口的各种网络动作，支持关于上网行为、内容、时间、用户等多种条件组合的信息审计策略和日志分析，全面监测各种网络行为，进行深度细粒审计。

通过分析事件发生频率、关联关系、各项风险指标，对判定为高风险等级的事件产生告警，及时定位发现各种网络安全问题。

丰富的报表统计：多维度可视化呈现网络安全状况，深度分析挖掘网络安全风险事件，基于网络流量、用户行为、事件类型及事件风险等级等多种维度对审计事件进行统计，直观的展示出网络安全事件的发生情况和变化趋势，输出安全分析报告。系统支持对审计记录进行统计分析，对风险事件及时产生告警，并能够输出种类丰富的统计报告，帮助用户了解网络安全状况。

图：多维度统计分析

2) 超强兼容适配

系统具备强大的软硬件兼容适配能力，支持国产CPU及操作系统体系，已经完成与华为服务器的适配与认证，符合网络安全等级保护和信息安全分级保护相关标准，满足安全审计产品国家标准技术要求。能够为网络安全大数据分析系统在内的相关系统，提供有效的数据支撑。

3) 灵活部署方式

中孚信息的产品能够满足典型大中小型企业网络的各种场景，在企业网络中各区域关键节点部署审计设备，实时监测通过网络关键位置的所有通信流量数据，全面审计记录各种安全风险事件。

单机模式：在小型网络的出口位置部署审计系统，旁路接入出口交换机镜像流量，审计记录所有经过网络出口的通信数据，发现边界安全风险。

级联模式：在中、大型网络的各个区域关键位置部署审计系统子节点，审计记录所有经过网络关键位置的通信数据，并统一接入至审计数据中心，帮助用户全面感知网络状况，发现安全风险。

4. 网络安全审计产品发展趋势

（1）智慧设备行为审计。随着5G网络的全面开启、人工智能的快速发展应用，人与物、物与物的网络互联将更加紧密，网络安全审计的对象不再局限于人，有着一定智慧的设备，即将成为下一个潜在的网络安全威胁对象。加强对智能设备的网络行为审计，是未来的一个新的发展方向。

（2）云审计概念。近年来，随着云计算技术和分布式存储技术以及虚拟技术的发展，企业的网络防护边界在不断扩展。云审计概念在逐渐成型，因此，加强云审计也是未来一个新的课题。

（3）动态感知综合预警。随着企业从满足合规需求，走向自身安全的全面动态感知需求的提升，网络安全审计将与一体化安全集中管控产品融合，形成综合预警管控能力。