深入SOC2.0 安全審計與安管平臺融合

2013-10-22 10:20:35 Net硅谷動力　點擊量：評論 (0)

隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對加強內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升，安全審計技術(shù)和產(chǎn)品得到了廣泛的應用?，F(xiàn)在，客戶已經(jīng)認識到單一的安全審計產(chǎn)品無法滿足實際要求，需要一套

政府、行業(yè)對IT治理、IT內(nèi)控和IT風險管理的日益重視極大地促進了安全審計的發(fā)展。目前推出的一些國際、國家、行業(yè)的內(nèi)控和審計相關(guān)的法律、法規(guī)、標準等，都直接或者間接地對某些行業(yè)或企業(yè)提出了需要配備安全審計產(chǎn)品的要求。

　　國內(nèi)的安全審計產(chǎn)品根據(jù)被審計對象和審計采用的技術(shù)手段兩個維度，可以劃分為不同的產(chǎn)品類型。

　　從被審計對象的維度來看，IT環(huán)境的各種IT資源都能夠成為被審計對象，自底向上依次可以包括網(wǎng)絡(luò)和安全設(shè)備、主機和服務(wù)器、終端、網(wǎng)絡(luò)、數(shù)據(jù)庫、應用和業(yè)務(wù)系統(tǒng)審計，以及IT資源的使用者——人。對于審計產(chǎn)品而言，被審計對象也可以看作是被保護對象。據(jù)此，可以分為：

　?。ǎ保┰O(shè)備審計（Device Audit）：對網(wǎng)絡(luò)設(shè)備、安全設(shè)備等各種設(shè)備的操作和行為進行審計；

　?。ǎ玻┲鳈C審計（Host Audit）：審計針對主機（服務(wù)器）的各種操作和行為；

　?。ǎ常┙K端審計（Endpoint Audit）：對終端設(shè)備（PC、打印機）等的操作和行為進行審計，包括預配置審計；

　?。ǎ矗┚W(wǎng)絡(luò)審計（Network Audit）：對網(wǎng)絡(luò)中各種訪問、操作的審計，例如telnet操作、FTP操作，等等；

　?。ǎ担?shù)據(jù)庫審計（Database Audit）：對數(shù)據(jù)庫行為和操作、甚至操作的內(nèi)容進行審計；

　?。ǎ叮I(yè)務(wù)系統(tǒng)審計（Business Behavior Audit）：對業(yè)務(wù)IT支撐系統(tǒng)的操作、行為、內(nèi)容的審計；

　?。ǎ罚┯脩粜袨閷徲嫞║ser Behavior Audit）：對企業(yè)和組織的人進行審計，包括上網(wǎng)行為審計、運維操作審計。

　　有的審計產(chǎn)品針對上述一種對象進行審計，還有的產(chǎn)品綜合上述多種審計對象。

　　從審計采用的技術(shù)手段維度來看，為了實現(xiàn)審計目標，通常采用以下幾種審計技術(shù)手段：

　?。ǎ保┗谌罩痉治龅陌踩珜徲嫾夹g(shù)（Log Analysis Based Audit Technology）

　　一種通過采集被審計或被保護對象運行過程中產(chǎn)生的日志，進行匯總、歸一化和關(guān)聯(lián)分析，實現(xiàn)安全審計的目標的技術(shù)。這種審計技術(shù)具有最大的普適性，是最基本、最經(jīng)濟實用的審計方式，能夠?qū)ψ畲蠓秶腎T資源對象實施審計，并應對大部分的審計需求。在國家等級化保護技術(shù)要求中、以及行業(yè)內(nèi)控規(guī)范和指引中都明確提及了這種審計方式。該日志審計類產(chǎn)品在市場上也最為常見。

　　（２）基于本機代理的安全審計技術(shù)（Host Agent Based Audit Technology）

　　一種通過在被審計或者被保護對象（稱為“宿主”）之上運行一個特定的軟件代碼，獲取審計所需的信息，然后將信息發(fā)送給審計管理端進行綜合分析，實現(xiàn)審計目標的技術(shù)。作為這種技術(shù)應用的擴展，采用該技術(shù)的審計產(chǎn)品通常還具有對宿主的反向控制功能，改變宿主的運行狀態(tài)，使得其符合既定的安全策略。這種審計技術(shù)的審計粒度十分細致，多用于對主機和終端等設(shè)備進行審計。目前市場上常見的服務(wù)器加固與審計系統(tǒng)、終端安全審計系統(tǒng)都采用這種技術(shù)。

　?。ǎ常┗谶h程代理的安全審計技術(shù)（Remote Agent Based Audit Technology）

　　一種通過一個獨立的審計代理端對被審計對象或者保護對象（宿主）發(fā)出遠程的腳本或者指令，獲取宿主的審計信息，并提交給審計管理端進行分析，實現(xiàn)安全審計目標的技術(shù)。這種方式與基于本機代理的技術(shù)最大的區(qū)別就在于不需要安裝宿主代理，只需要開放遠程腳本或者指令的通訊接口及其帳號口令。當然，這種審計技術(shù)的審計粒度受限于遠程腳本的能力。目前市場上常見的產(chǎn)品有基于漏洞掃描的審計系統(tǒng)、WEB安全審計系統(tǒng)、或者基線配置審核系統(tǒng)。

　?。ǎ矗┗诰W(wǎng)絡(luò)協(xié)議分析的安全審計技術(shù)（Network Protocol Analysis Based Audit Technology）

一種通過采集被審計對象或者被保護對象在網(wǎng)絡(luò)環(huán)境下與其他網(wǎng)絡(luò)節(jié)點進行通訊過程中產(chǎn)生的網(wǎng)絡(luò)通訊報文，進行協(xié)議分析（包括應用層協(xié)議分析），實現(xiàn)審計目標的技術(shù)。由于現(xiàn)在用戶基本都實現(xiàn)了網(wǎng)絡(luò)互聯(lián)互通，并且該技術(shù)對被審計對象的要求較低，對網(wǎng)絡(luò)環(huán)境影響較小，因而得到了廣泛的應用，多應用于對IT資源的核心基礎(chǔ)設(shè)施（設(shè)備、主機、應用和業(yè)務(wù)等）和用戶行為進行審計。該審計類型根據(jù)具體技術(shù)原理的不同，又可以分為若干種子類型，包括基于旁路偵聽（Sniffer-based）的網(wǎng)絡(luò)協(xié)議分