深入SOC2.0 安全審計與安管平臺融合

2013-10-22 10:20:35 Net硅谷動力　點擊量：評論 (0)

隨著企業和組織安全防御不斷向縱深發展、對加強內部安全的重視、以及內控與合規性要求的不斷提升，安全審計技術和產品得到了廣泛的應用。現在，客戶已經認識到單一的安全審計產品無法滿足實際要求，需要一套

政府、行業對IT治理、IT內控和IT風險管理的日益重視極大地促進了安全審計的發展。目前推出的一些國際、國家、行業的內控和審計相關的法律、法規、標準等，都直接或者間接地對某些行業或企業提出了需要配備安全審計產品的要求。

　　國內的安全審計產品根據被審計對象和審計采用的技術手段兩個維度，可以劃分為不同的產品類型。

　　從被審計對象的維度來看，IT環境的各種IT資源都能夠成為被審計對象，自底向上依次可以包括網絡和安全設備、主機和服務器、終端、網絡、數據庫、應用和業務系統審計，以及IT資源的使用者——人。對于審計產品而言，被審計對象也可以看作是被保護對象。據此，可以分為：

　　（１）設備審計（Device Audit）：對網絡設備、安全設備等各種設備的操作和行為進行審計；

　　（２）主機審計（Host Audit）：審計針對主機（服務器）的各種操作和行為；

　　（３）終端審計（Endpoint Audit）：對終端設備（PC、打印機）等的操作和行為進行審計，包括預配置審計；

　　（４）網絡審計（Network Audit）：對網絡中各種訪問、操作的審計，例如telnet操作、FTP操作，等等；

　　（５）數據庫審計（Database Audit）：對數據庫行為和操作、甚至操作的內容進行審計；

　　（６）業務系統審計（Business Behavior Audit）：對業務IT支撐系統的操作、行為、內容的審計；

　　（７）用戶行為審計（User Behavior Audit）：對企業和組織的人進行審計，包括上網行為審計、運維操作審計。

　　有的審計產品針對上述一種對象進行審計，還有的產品綜合上述多種審計對象。

　　從審計采用的技術手段維度來看，為了實現審計目標，通常采用以下幾種審計技術手段：

　　（１）基于日志分析的安全審計技術（Log Analysis Based Audit Technology）

　　一種通過采集被審計或被保護對象運行過程中產生的日志，進行匯總、歸一化和關聯分析，實現安全審計的目標的技術。這種審計技術具有最大的普適性，是最基本、最經濟實用的審計方式，能夠對最大范圍的IT資源對象實施審計，并應對大部分的審計需求。在國家等級化保護技術要求中、以及行業內控規范和指引中都明確提及了這種審計方式。該日志審計類產品在市場上也最為常見。

　　（２）基于本機代理的安全審計技術（Host Agent Based Audit Technology）

　　一種通過在被審計或者被保護對象（稱為“宿主”）之上運行一個特定的軟件代碼，獲取審計所需的信息，然后將信息發送給審計管理端進行綜合分析，實現審計目標的技術。作為這種技術應用的擴展，采用該技術的審計產品通常還具有對宿主的反向控制功能，改變宿主的運行狀態，使得其符合既定的安全策略。這種審計技術的審計粒度十分細致，多用于對主機和終端等設備進行審計。目前市場上常見的服務器加固與審計系統、終端安全審計系統都采用這種技術。

　　（３）基于遠程代理的安全審計技術（Remote Agent Based Audit Technology）

　　一種通過一個獨立的審計代理端對被審計對象或者保護對象（宿主）發出遠程的腳本或者指令，獲取宿主的審計信息，并提交給審計管理端進行分析，實現安全審計目標的技術。這種方式與基于本機代理的技術最大的區別就在于不需要安裝宿主代理，只需要開放遠程腳本或者指令的通訊接口及其帳號口令。當然，這種審計技術的審計粒度受限于遠程腳本的能力。目前市場上常見的產品有基于漏洞掃描的審計系統、WEB安全審計系統、或者基線配置審核系統。

　　（４）基于網絡協議分析的安全審計技術（Network Protocol Analysis Based Audit Technology）

一種通過采集被審計對象或者被保護對象在網絡環境下與其他網絡節點進行通訊過程中產生的網絡通訊報文，進行協議分析（包括應用層協議分析），實現審計目標的技術。由于現在用戶基本都實現了網絡互聯互通，并且該技術對被審計對象的要求較低，對網絡環境影響較小，因而得到了廣泛的應用，多應用于對IT資源的核心基礎設施（設備、主機、應用和業務等）和用戶行為進行審計。該審計類型根據具體技術原理的不同，又可以分為若干種子類型，包括基于旁路偵聽（Sniffer-based）的網絡協議分