堡垒机本身具备的运维日志审计功能和*等保中需要额外购买的日志审计功能有什么区别？

发布网友发布时间：2022-04-27 04:20

共3个回答

热心网友时间：2023-09-10 21:55

堡垒机本身具备的运运维日志审计功能和*等保中需要额外购买的日志审计功能的区别在于精准度不同。

热心网友时间：2023-09-10 21:55

一、在*等保中对日志审计有要求：要求是对重要用户以及重要安全事件进行审计，堡垒机与日志审计都可以做操作审计，但是应用场景不同。
1、堡垒机本身不会对服务器日志进行实时收集，仅仅对通过堡垒机进行运维操作的运维人员的操作进行审计。说白了就是没有登陆堡垒机就不会在堡垒机上留下痕迹，即使你服务器绑定只能堡垒机才能登陆，但本身存在漏洞时就可被利用、绕过。
2、服务器跑起应用，与外界有数据交互，应用需要调用数据与用户进行交互，在服务器上就会有操作痕迹，这些痕迹在堡垒机上是看不到的。此时黑客通过应用层面的漏洞绕过堡垒机登陆服务器，并进行提权操作，然后清除日志。这些操作堡垒机不会记录，服务器会记录操作且实时将记录传输至日志审计。
等保对日志审计的要求是能够实时、完全记录，堡垒机仅能记录运维人员操作，而日志审计能够记录服务器上所有操作，可以更好的对安全事件进行朔源，且根据操作进行分析，发现可能存在的入侵。

二、哪些是单独买堡垒机审计不到必须上日志审计的呢？
对测评报告分数没要求或者系统不是那么重要时可不上日志审计。开起设备自身审计功能就好。

热心网友时间：2023-09-10 21:55