审计记账 (AAA 中的 Accounting).

AAA 模型(认证、授权、记账)中的记账模块负责采集并存储活动记录,将每个操作与已验证身份关联起来,为安全监控、取证、合规及内部计费提供证据。常见的记账数据包括登录登出事件、会话信息、执行的命令、传输字节数和访问的资源等。RADIUS、TACACS+、Diameter 等协议规定了网络设备如何将记账数据发送至集中服务器,而现代体系则在 SIEM 与审计日志平台上汇总分析。良好的记账机制要求防篡改的存储、精确的时间同步,以及符合法律法规要求的保留期。

标准化的记账早于现代可观测性而存在。RADIUS 记账(RFC 2866)定义了 Accounting-Request 数据包,其 Acct-Status-Type 取值为 Start、Interim-Update 或 Stop,并携带会话时长以及 Acct-Input/Output-Octets;TACACS+(RFC 8907)将记账与认证、授权分离,因此路由器上命令级别的审计可以独立记录;Diameter(RFC 6733)则面向移动网络和 IMS 网络对该模型进行了现代化升级。在云端,AWS CloudTrail、Azure Activity Log 和 Google Cloud Audit Logs 等服务承担着相同的角色,记录每一次控制平面 API 调用及其调用者身份、源 IP 和时间戳。

记账是不可否认性的基础:由于每条记录都与一个已认证身份绑定,用户无法令人信服地否认自己执行过某个操作。法规也将其列为强制要求——PCI DSS Requirement 10 要求记录对持卡人数据的所有访问,而 NIST SP 800-92(《计算机安全日志管理指南》)提供了权威的实施指导。由于攻击者常常清除日志以掩盖踪迹(MITRE ATT&CK T1070,Indicator Removal),稳健的记账机制会近乎实时地将记录发送到主机之外,存入 WORM 或仅追加(append-only)存储,并通过签名或哈希链保证其完整性,同时使用 NTP 同步时钟,以便在事件响应时对跨系统的事件进行关联分析。

flowchart LR
  U[用户 / 设备] -->|操作| N[网络设备或应用]
  N -->|Accounting-Request RADIUS / TACACS+| S[AAA 服务器]
  S --> L[(防篡改日志存储)]
  L --> M[SIEM 关联分析]
  M --> R[审计 / 计费 / 取证]