透过不同功能安全审计产品聚焦金融需求

　　在总体了解安全审计产品的价值后，我们不难发现，安全审计的主要目的是对用户的行为进行分析、报警和记录，因此，可以按用户的IT行为对安全审计产品进行一下分类，如下四类所述：

　　上网行为审计：内部用户访问互联网的行为和内容进行审计。主要识别的是Http、SMTP、FTP等协议，同时对互联网的常用应用如QQ、MSN、BT等也需要识别。互联网审计一般是对内部员工的上网进行规范。

　　办公行为审计：内部用户打印、收发邮件、FTP下载等行为进行审计。

　　运维行为审计：运维人员对网络设备、主机系统、数据库中间件、应用系统等进行配置、变更、备份等操作进行审计。

　　业务操作审计：业务人员通过业务系统进行业务操作行为的审计。由于业务操作最终会体现在数据库中，所以通过数据库审计可有效反映业务操作行为。

　　在金融行业中，运维行为和业务操作行为如果出现违规不仅可能造成业务中断甚至造成资金丢失等严重金融事件，因此运维行为审计和业务操作行为审计是金融行业关注的重点。对此，目前市场上有运维审计产品、数据库审计产品、日志审计产品和安全综合审计产品。

　　运维审计产品主要是实现系统用户的集中管理和运维人员的运维操作控制及审计功能。产品采用逻辑串行部署方式，一般部署在运维区的交换机上，运维人员不能直接访问主机服务器，必须首先登录到运维审计产品后才能访问主机服务器进行运维操作。运维审计产品把运维人员的所有运维操作全部记录下来，并且根据事先制定的策略允许或禁止某些操作的执行，并且对于高危险操作实时进行报警。

　　数据库审计产品能够监视并记录对数据库服务器的各类操作行为，实时地、智能地解析对数据库服务器的各种操作，一般操作行为如数据库的登录，特定的操作如对数据库表的插入、删除、修改，执行特定的存贮过程等都能够被记录和分析，分析的内容要求可以精确到SQL操作语句一级，并记录这些操作的用户名、机器IP地址、操作时间等重要信息。

　　日志审计产品能够收集、分析和记录操作系统、网络设备、应用中间件等系统的日志数据。日志审计产品主要采用Syslog、SNMP Trap等方式采集系统日志，不需要在被采集设备上安装采集代理程序。日志审计产品将各系统的日志统一集中存储，可以有效保护审计日志的完整性，为日后的审计取证提供依据。

　　下表描述了目前市场上的审计产品能够审计的用户行为之间的关系：