江湖秘笈：二级等保之应用安全篇-安全审计不容忽视 小小的审计日志可能彻底改变安全追踪结果

关注蓝字 看点网络安全

Hello，亲爱的看官们，大家晚上好。今天又到了等保内容分享时间。

今天我们要说的内容是6.1.4章节应用安全中 6.1.4.3安全审计内容。在正式开始分享本小结内容前，我们先来聊一聊环境的事情。

说起北京的天气，忽冷忽热的状态让人无法摸透现在到底是春天呢？还是夏天？

甚至于说由于温度突然的变化导致北京空气质量骤然交恶，本来白天还好好的天气，结果到了晚间十分瞬间变成灰蒙蒙的样子，实在给人感觉有些猝不及防。

这就好像有时候在等保工作中，各位看官们经常在无意当中碰到很多棘手的问题，例如设备突然过期报废、病毒库突然无法升级等等，总是会存在着不同样式的原因干扰着我们良好的工作心情，最终促使我们无法安心的工作。

好啦，还是回过头来，开始说我们今天要分享的等保内容吧。

网络安全等级保护系列（二十二）

由于今天要分享的内容在二级等保应用安全中全部被要求重点关注，所以内容方面还请看官们多多注意。

1、访谈安全审计人员，询问应用系统是否有安全审计功能；对事件进行审计的选择要求和策略是什么；对审计日志的处理方式有哪些？

从小结开始便是重点，从最基础的安全审计策略、做法、方向策略及处理方式等进行了解，与以往的安全审计方式有所差异。

此前的主机安全中，对安全审计功能开篇并未上来就开始重点起手，并且全面进行询问和了解的做法，因此各位审计看官切记注意。

2、检查关键应用系统，查看其当前审计范围是否覆盖到每个用户？

本条内容要求非常明确，就是在安全设备对关键应用进行保护时，是否将范围缩小到了每一个基础用户身上，这里包含着不同身份的管理员哦。

可见要求非常严格和明确，看官们一定要了解。

3、检查关键应用系统，查看其审计策略是否覆盖系统内重要的安全相关事件，例如用户标识和鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等；

该条内容中要求的事情作为本小结中最为直截了当的信息，说明了在对关键应用系统策略方面查看时的注意事项。

如日志记录功能对安全事件的记录，如用户基础行为、操作节点、访问控制等方面的痕迹，对于系统使用资源时的分配以及发生异动时的情况等，都要求被明确记录，因此重点中的重点，为了保障安全切不可笑而视之。

4、检查关键应用系统，查看其审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求来源、事件的结果等内容；

虽说本条内容是章节中的重点，可是实际上要求的无非是关键应用方面的日常审计日志信息是否全面，因为这些信息的提供将有助于安全追踪工作人员进行反追查和侦破非法攻击源头，从而抓捕非法攻击者。

5、测试重要应用系统，在应用系统上试图产生一些重要的安全相关事件（如用户登录、修改用户权限等），查看应用系统是否对其进行了审计，验证应用系统审计的覆盖情况是否覆盖到每个用户；如果进行了审计则查看审计记录内容是否包含事件的日期、时间、发起者信息、类型、描述和结果等；

每当到达章节中最后两条内容时，都会惯例性出现技术验证性内容，例如本条信息，便是对安全审计功能和策略配置方面的一个全面验证，使用攻击手段触发特殊事件，以便验证审计功能能够全面的提供安全追查时所需的信息内容。

6、测试重要应用系统，试图非授权删除、修改或覆盖审计记录，验证安全审计的保护情况是否无法非授权删除、修改或覆盖审计记录。

作为小结中结尾测试内容，考验的是对相关安全审计日志的保护程度，如果非法攻击者在进入到系统中进行破坏后，成功删除、修改或覆盖审计日志，将导致刑侦人员无法依据日志实施反追查行为破获案件，因此对于安全审计日志的保护并非看似简单的工作，相反它成为众多安全保护工作中的重点内容之一。

好啦，今天的等保内容分享到此，希望各位看官们喜欢。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

另外，大家可以扫描下面的二维码，加我2cats的个人微信哈！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！