戴尔金牌顾问每周专家观点——信息安全

第4页：浅析监控与审计

　　网络防御中的监控可分为恶意代码扫描和入侵检测两部分。恶意扫描主要是病毒扫描和后门程序扫描，现有病毒扫描软件在查杀病毒方面的有效性已得到了公众的认可，是防御恶意代码攻击的有力武器。入侵检测系统主要通过搜集、分析网络或主机系统的信息来识别异常事件的发生，并会及时地报告、制止各种可能对网络或主机系统造成危害的入侵活动。入侵检测系统可以发现网络扫描活动，并对拒绝服务攻击的防御起着重要作用。

监控与审计平台模型

　　审计是一种事后措施，用以及早地发现攻击活动、获得入侵证据和入侵特征，从而实现对攻击的分析和追踪。建立系统日志是实现审计功能的重要手段，它可以记录系统中发生的所有活动，因此有利于发现非法扫描、拒绝服务攻击及其他可疑的入侵行为。

流程模型

　　目前常见的安全控制措施，如防火墙、入侵检测等，都是在网络或主机安全层面来进行防护，对于业务层的安全，很少涉及。随着攻击手段的不断发展，攻击行为及违规行为日益向纵深化、混合化方向发展，利用现有系统日志的方式已经不能满足对网络的操作行为、数据库访问与操作行为、客户端操作行为等进行很好的审计监控并进行事后回放取证。随着攻击与违规操作行为不断朝复杂化、隐蔽化、多样化方向发展，也需要对操作行为之间进行关联分析，因此需要一种能够进行综合数据采集、分析、审计与监控的技术手段，来实现对网络用户的日常行为进行监管。

(本文来源：中关村在线网站 )