如何选择一款好的运维安全审计产品

目前，运维安全审计产品不仅解决了运维人员权限难以控制的局面，而且可以实现对违规操作进行控制和审计，同时不会产生大规模的流量，所以得到了快速的应用。

但是运维安全审计产品因其部署位置与应用场景不同，也非常复杂。运维安全审计产品被部署在内网中的服务器和网络设备等核心资源的前面，产品的性能直接决定了运维安全审计的效果。那么如何选择一款好的运维安全审计产品呢?

简言之，一个好的运维安全审计产品，应实现对服务器、网络设备、安全设备等核心资产的集中管控，通过基于唯一身份标识的审计，提供对操作行为的管理和审计，以达到运维管理安全、简单、灵活的目的。具体可以描述如下：

拥有集中的运维操作管控平台 ：以实现对服务器、网络设备、数据库、安全设备的运维管理账号集中管理，通过基于唯一身份标识的审计，提供对操作行为的精准管理和审计。

拥有强大丰富的管理能力：针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺陷，应能实现对RDP、VNC、X-Window、SSH、SFTP等协议进行集中审计，提供对各种操作的精细授权管理和实时监控审计。

实现全程运维行为审计：可以实时监控和记录所有维护人员的操作行为，并能根据需求，方便快速地查找到用户的操作行为日志，以便追查取证。

具备高可靠的自身安全性：产品须有冗余、备份措施，包括双机热备、负载均衡、异地数据备份等。

达到一站式管理：产品应提供一套简单的管理策略，管理员可快速方便地查找用户，查询修改访问权限，同时用户能够方便的通过登录系统对自己的基本信息进行管理。以实现多维度访问控制与授权和跨平台的无缝管理。

实现方便灵活的可扩展性：当进行新系统建设或扩容时，需要增加新的设备时，系统应能方便的增加设备数量和设备种类。

部署简单方便 ：产品要采用物理旁路，逻辑串联的模式，不需要改变网络拓扑结构，不需要在终端安装客户端软件，不改变管理员、运维人员的操作习惯。

国内最早应用运维安全审计产品的是金融、运营商等高端行业的用户。这只要是因为这些用户的信息化水平相对较高，随着信息系统安全建设，其对运维安全操作审计的需求表现也更为强烈。同时这些用户更容易受到 “信息系统等级保护”、“萨班斯法案”等法规政策的约束，因此基于运维安全审计产品的上述功能特点，这些高端行业用户率先将运维安全审计产品应用于运维操作审计当中。

此前，国内专注于web安全研究开发的领军企业—智恒联盟，推出一款运维安全审计系统简称(SAS)，即是这样一款集运维安全控制与运维安全审计相结合的产品。其全面防护整个IT资源架构，对主机、数据库、应用系统、网络设备、安全设备等的数据访问进行安全有效的实时操作审计，支持对审计结果的实时监控与回放。

该系统主要用于数据中心IT运维的管理和审计系统，可以对基于Telnet、SSH、RDP、VNC等标准协议的访问控制过程的抓取，也可以对基于其他非标准协议的C/S或B/S管理模式的设备进行代填管理，从而可以以录像方式对所有运维人员的操作进行记录，并具备强大的搜索功能，可以对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取，从而达到真正意义上的审计与风险控制。