【51CTO.com 綜合消息】說到終端審計，通常的話題就是是終端審計能記錄什么樣的信息。但是，如果認為終端審計就是監控和記錄，那就走入了終端審計的誤區。終端審計的真正目的不是將終端曾經發生過的一切記錄下來供日后查詢，而是取證分析，檢驗已經實施的內網安全管理策略是否滿足安全管理要求，促進內網安全持續改善。

一、走出終端審計誤區

終端審計的一個重要特征是實現對過去發生過的歷史事件的“回溯”。比如：能否監控和記錄終端用戶瀏覽過的網站和瀏覽網站的內容；能否監控和記錄終端用戶對文件的復制、刪除和修改等操作；能否監控和記錄終端用戶打印了什么文檔和打印的文檔內容；能否監控到終端用戶的MSN、QQ的行為并記錄下聊天的內容；能否監控和保存終端用戶的終端屏幕畫面和內容……

這一特征使得很多人容易陷入這樣一個誤區，就是終端審計是為了監控和記錄。而事實上，監控和記錄各類終端行為信息只是終端審計的開始，而不是目的。終端審計的真正目的在于通過對終端一些異常行為進行分析，及時發現內網安全管理的脆弱點，并對一些惡意行為進行取證和警示，保證內網安全漸趨完善。

此外，終端審計作為信息安全審計的一種類型，存在以下與其他類型的審計明顯區別的特征：

1.海量的終端審計數據       

◆終端數量終端，每一個終端都是一個數據收集點       

◆終端審計數據種類：網絡行為、文件操作、打印等   

◆終端每天產生的數據都是海量的

◆海量的數據淹沒了真正有價值的信息

2.終端身份復雜多變    

◆終端身份多樣：用戶名、IP、MAC、主機名、軟硬件配置信息等      

◆終端身份多變：非法盜用賬號，非法修改IP、MAC等身份信息等

◆終端行為不可控，如果發生網絡攻擊（例如ARP欺騙）導致大量“虛假”信息     

◆身份變化導致審計結果“張冠李戴”

◆終端身份易變導致審計結果不能真正溯源

終端審計以上特有的特性，如果不能確保審計目標和方法的正確性，將會導致審計結果的高度發散，管理員或審計員將被淹沒在審計數據的“海洋”里，既不能有效發現內網中存在的安全漏洞，又不能從檢驗內網安全管理策略是否適當，也不能對惡意行為進行精確定位，迷失了終端審計“促進內網安全持續改善”的真正終極目標。    

二、終端控制是為了更好的審計

針對終端審計的特征和終端審計用戶的真正價值，啟明星辰的內網安全管理產品——“天珣內網安全風險管理與審計系統”，重新詮釋了終端審計的目標和終端審計的方式。

啟明星辰認為，終端審計潛在的“海量數據”和“復雜多變的終端身份”挑戰，要求根據終端審計的目標，能夠對終端審計結果進行有效控制，摒棄雜亂、無序的“干擾”行為和數據，保留真正有價值或高度相關的終端行為信息，從而能夠幫助用戶快速有效對內網中的缺陷和惡意行為進行分析和準確定位，促進內網安全持續改善。

為了實現對內網薄弱點或攻擊的準入定位，“天珣內網安全風險管理與審計系統”不僅提供從終端“文件操作審計”、“上網行為審計”、“打印審計”、“違規策略事件審計”、“異常路由”、“Windows登錄審計”等終端行為相關的信息審計功能，同時更強調以“控制為前提的審計”，即“天珣內網安全風險管理與審計系統”首先借助自身強大的“終端準入控制”、“終端安全控制”、“移動存儲管理”和審計模塊中具備的“文件操作控制”、“上網行為控制”、“打印控制”等細粒度的終端行為控制，保證只有合法的和安全的終端接入內部網絡和安全網絡訪問，有效杜絕絕大多數違規行為或攻擊行為，從而確保終端審計獲得的信息更準確、更有效和更可信。

只有通過對準確可靠的審計數據進行分析，才能找出內網中存在的脆弱點和內網安全管理的不足，從而促進及時采取措施或調整已有的內網安全管理系統的安全策略。不能為了審計而監控并記錄，而是要先控制后審計，而做好終端安全控制對審計而言，就是為了更好的審計。

圖1為“天珣內網安全風險管理與審計系統”的控制與審計的關系示意圖。 

圖1 天珣控制與審計關系示意圖

天珣內網安全系統促使內網合規

啟明星辰“天珣內網安全風險管理與審計系統”，緊密圍繞“合規”，內含企業級主機防火墻系統，通過“終端準入控制、終端安全控制、桌面合規管理、終端泄密控制和終端審計”五維化管理，全面提升內網安全防護能力和合規管理水平。天珣系統引領了內網安全管理模式的新變革，在行使內網安全管理職能的同時，更與天清漢馬USG一體化安全網關組成以“網絡邊界、終端邊界”為主要防護目標的UTM平方統一安全套件，協同構建多層次縱深防御體系，改變了“被動的、以事件驅動為特征”的傳統內網安全管理模式，開創了“主動防御、合規管理”為目標的內網安全管理新時代。圖2為天珣五維內網合規管理模型。 

圖2 天珣五維內網合規管理模型