深入SOC2.0 安全審計與安管平臺融合

2013-10-22 10:20:35 Net硅谷動力　點擊量：評論 (0)

隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對加強內部安全的重視、以及內控與合規(guī)性要求的不斷提升，安全審計技術和產(chǎn)品得到了廣泛的應用。現(xiàn)在，客戶已經(jīng)認識到單一的安全審計產(chǎn)品無法滿足實際要求，需要一套

政府、行業(yè)對IT治理、IT內控和IT風險管理的日益重視極大地促進了安全審計的發(fā)展。目前推出的一些國際、國家、行業(yè)的內控和審計相關的法律、法規(guī)、標準等，都直接或者間接地對某些行業(yè)或企業(yè)提出了需要配備安全審計產(chǎn)品的要求。

　　國內的安全審計產(chǎn)品根據(jù)被審計對象和審計采用的技術手段兩個維度，可以劃分為不同的產(chǎn)品類型。

　　從被審計對象的維度來看，IT環(huán)境的各種IT資源都能夠成為被審計對象，自底向上依次可以包括網(wǎng)絡和安全設備、主機和服務器、終端、網(wǎng)絡、數(shù)據(jù)庫、應用和業(yè)務系統(tǒng)審計，以及IT資源的使用者——人。對于審計產(chǎn)品而言，被審計對象也可以看作是被保護對象。據(jù)此，可以分為：

　?。ǎ保┰O備審計（Device Audit）：對網(wǎng)絡設備、安全設備等各種設備的操作和行為進行審計；

　?。ǎ玻┲鳈C審計（Host Audit）：審計針對主機（服務器）的各種操作和行為；

　　（３）終端審計（Endpoint Audit）：對終端設備（PC、打印機）等的操作和行為進行審計，包括預配置審計；

　?。ǎ矗┚W(wǎng)絡審計（Network Audit）：對網(wǎng)絡中各種訪問、操作的審計，例如telnet操作、FTP操作，等等；

　?。ǎ担?shù)據(jù)庫審計（Database Audit）：對數(shù)據(jù)庫行為和操作、甚至操作的內容進行審計；

　?。ǎ叮I(yè)務系統(tǒng)審計（Business Behavior Audit）：對業(yè)務IT支撐系統(tǒng)的操作、行為、內容的審計；

　　（７）用戶行為審計（User Behavior Audit）：對企業(yè)和組織的人進行審計，包括上網(wǎng)行為審計、運維操作審計。

　　有的審計產(chǎn)品針對上述一種對象進行審計，還有的產(chǎn)品綜合上述多種審計對象。

　　從審計采用的技術手段維度來看，為了實現(xiàn)審計目標，通常采用以下幾種審計技術手段：

　?。ǎ保┗谌罩痉治龅陌踩珜徲嫾夹g（Log Analysis Based Audit Technology）

　　一種通過采集被審計或被保護對象運行過程中產(chǎn)生的日志，進行匯總、歸一化和關聯(lián)分析，實現(xiàn)安全審計的目標的技術。這種審計技術具有最大的普適性，是最基本、最經(jīng)濟實用的審計方式，能夠對最大范圍的IT資源對象實施審計，并應對大部分的審計需求。在國家等級化保護技術要求中、以及行業(yè)內控規(guī)范和指引中都明確提及了這種審計方式。該日志審計類產(chǎn)品在市場上也最為常見。

　?。ǎ玻┗诒緳C代理的安全審計技術（Host Agent Based Audit Technology）

　　一種通過在被審計或者被保護對象（稱為“宿主”）之上運行一個特定的軟件代碼，獲取審計所需的信息，然后將信息發(fā)送給審計管理端進行綜合分析，實現(xiàn)審計目標的技術。作為這種技術應用的擴展，采用該技術的審計產(chǎn)品通常還具有對宿主的反向控制功能，改變宿主的運行狀態(tài)，使得其符合既定的安全策略。這種審計技術的審計粒度十分細致，多用于對主機和終端等設備進行審計。目前市場上常見的服務器加固與審計系統(tǒng)、終端安全審計系統(tǒng)都采用這種技術。

　?。ǎ常┗谶h程代理的安全審計技術（Remote Agent Based Audit Technology）

　　一種通過一個獨立的審計代理端對被審計對象或者保護對象（宿主）發(fā)出遠程的腳本或者指令，獲取宿主的審計信息，并提交給審計管理端進行分析，實現(xiàn)安全審計目標的技術。這種方式與基于本機代理的技術最大的區(qū)別就在于不需要安裝宿主代理，只需要開放遠程腳本或者指令的通訊接口及其帳號口令。當然，這種審計技術的審計粒度受限于遠程腳本的能力。目前市場上常見的產(chǎn)品有基于漏洞掃描的審計系統(tǒng)、WEB安全審計系統(tǒng)、或者基線配置審核系統(tǒng)。

　?。ǎ矗┗诰W(wǎng)絡協(xié)議分析的安全審計技術（Network Protocol Analysis Based Audit Technology）

一種通過采集被審計對象或者被保護對象在網(wǎng)絡環(huán)境下與其他網(wǎng)絡節(jié)點進行通訊過程中產(chǎn)生的網(wǎng)絡通訊報文，進行協(xié)議分析（包括應用層協(xié)議分析），實現(xiàn)審計目標的技術。由于現(xiàn)在用戶基本都實現(xiàn)了網(wǎng)絡互聯(lián)互通，并且該技術對被審計對象的要求較低，對網(wǎng)絡環(huán)境影響較小，因而得到了廣泛的應用，多應用于對IT資源的核心基礎設施（設備、主機、應用和業(yè)務等）和用戶行為進行審計。該審計類型根據(jù)具體技術原理的不同，又可以分為若干種子類型，包括基于旁路偵聽（Sniffer-based）的網(wǎng)絡協(xié)議分