堡垒机本身具备的运维日志审计功能和*等保中需要额外购买的日志审计功能有什么区别?
发布网友
发布时间:2022-04-27 04:20
共3个回答
热心网友
时间:2023-09-10 21:55
堡垒机本身具备的运运维日志审计功能和*等保中需要额外购买的日志审计功能的区别在于精准度不同。
热心网友
时间:2023-09-10 21:55
一、在*等保中对日志审计有要求:要求是对 重要用户以及重要安全事件 进行审计,堡垒机与日志审计都可以做操作审计,但是应用场景不同。
1、堡垒机本身不会对服务器日志进行实时收集,仅仅对通过堡垒机进行运维操作的运维人员的操作进行审计。说白了就是没有登陆堡垒机就不会在堡垒机上留下痕迹,即使你服务器绑定只能堡垒机才能登陆,但本身存在漏洞时就可被利用、绕过。
2、服务器跑起应用,与外界有数据交互,应用需要调用数据与用户进行交互,在服务器上就会有操作痕迹,这些痕迹在堡垒机上是看不到的。此时黑客通过应用层面的漏洞绕过堡垒机登陆服务器,并进行提权操作,然后清除日志。这些操作堡垒机不会记录,服务器会记录操作且实时将记录传输至日志审计。
等保对日志审计的要求是能够实时、完全记录,堡垒机仅能记录运维人员操作,而日志审计能够记录服务器上所有操作,可以更好的对安全事件进行朔源,且根据操作进行分析,发现可能存在的入侵。
二、哪些是单独买堡垒机审计不到必须上日志审计的呢?
对测评报告分数没要求或者系统不是那么重要时可不上日志审计。开起设备自身审计功能就好。
热心网友
时间:2023-09-10 21:55
堡垒机本身具备的运维日志审计功能和*等保中需要额外购买的日志审计功能有什么区别?
金牌您
