深入SOC2.0 安全审计与安管平台融合

2013-10-22 10:20:35 Net硅谷动力　点击量：评论 (0)

随着企业和组织安全防御不断向纵深发展、对加强内部安全的重视、以及内控与合规性要求的不断提升，安全审计技术和产品得到了广泛的应用。现在，客户已经认识到单一的安全审计产品无法满足实际要求，需要一套

政府、行业对IT治理、IT内控和IT风险管理的日益重视极大地促进了安全审计的发展。目前推出的一些国际、国家、行业的内控和审计相关的法律、法规、标准等，都直接或者间接地对某些行业或企业提出了需要配备安全审计产品的要求。

　　国内的安全审计产品根据被审计对象和审计采用的技术手段两个维度，可以划分为不同的产品类型。

　　从被审计对象的维度来看，IT环境的各种IT资源都能够成为被审计对象，自底向上依次可以包括网络和安全设备、主机和服务器、终端、网络、数据库、应用和业务系统审计，以及IT资源的使用者——人。对于审计产品而言，被审计对象也可以看作是被保护对象。据此，可以分为：

　　（１）设备审计（Device Audit）：对网络设备、安全设备等各种设备的操作和行为进行审计；

　　（２）主机审计（Host Audit）：审计针对主机（服务器）的各种操作和行为；

　　（３）终端审计（Endpoint Audit）：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计；

　　（４）网络审计（Network Audit）：对网络中各种访问、操作的审计，例如telnet操作、FTP操作，等等；

　　（５）数据库审计（Database Audit）：对数据库行为和操作、甚至操作的内容进行审计；

　　（６）业务系统审计（Business Behavior Audit）：对业务IT支撑系统的操作、行为、内容的审计；

　　（７）用户行为审计（User Behavior Audit）：对企业和组织的人进行审计，包括上网行为审计、运维操作审计。

　　有的审计产品针对上述一种对象进行审计，还有的产品综合上述多种审计对象。

　　从审计采用的技术手段维度来看，为了实现审计目标，通常采用以下几种审计技术手段：

　　（１）基于日志分析的安全审计技术（Log Analysis Based Audit Technology）

　　一种通过采集被审计或被保护对象运行过程中产生的日志，进行汇总、归一化和关联分析，实现安全审计的目标的技术。这种审计技术具有最大的普适性，是最基本、最经济实用的审计方式，能够对最大范围的IT资源对象实施审计，并应对大部分的审计需求。在国家等级化保护技术要求中、以及行业内控规范和指引中都明确提及了这种审计方式。该日志审计类产品在市场上也最为常见。

　　（２）基于本机代理的安全审计技术（Host Agent Based Audit Technology）

　　一种通过在被审计或者被保护对象（称为“宿主”）之上运行一个特定的软件代码，获取审计所需的信息，然后将信息发送给审计管理端进行综合分析，实现审计目标的技术。作为这种技术应用的扩展，采用该技术的审计产品通常还具有对宿主的反向控制功能，改变宿主的运行状态，使得其符合既定的安全策略。这种审计技术的审计粒度十分细致，多用于对主机和终端等设备进行审计。目前市场上常见的服务器加固与审计系统、终端安全审计系统都采用这种技术。

　　（３）基于远程代理的安全审计技术（Remote Agent Based Audit Technology）

　　一种通过一个独立的审计代理端对被审计对象或者保护对象（宿主）发出远程的脚本或者指令，获取宿主的审计信息，并提交给审计管理端进行分析，实现安全审计目标的技术。这种方式与基于本机代理的技术最大的区别就在于不需要安装宿主代理，只需要开放远程脚本或者指令的通讯接口及其帐号口令。当然，这种审计技术的审计粒度受限于远程脚本的能力。目前市场上常见的产品有基于漏洞扫描的审计系统、WEB安全审计系统、或者基线配置审核系统。

　　（４）基于网络协议分析的安全审计技术（Network Protocol Analysis Based Audit Technology）

一种通过采集被审计对象或者被保护对象在网络环境下与其他网络节点进行通讯过程中产生的网络通讯报文，进行协议分析（包括应用层协议分析），实现审计目标的技术。由于现在用户基本都实现了网络互联互通，并且该技术对被审计对象的要求较低，对网络环境影响较小，因而得到了广泛的应用，多应用于对IT资源的核心基础设施（设备、主机、应用和业务等）和用户行为进行审计。该审计类型根据具体技术原理的不同，又可以分为若干种子类型，包括基于旁路侦听（Sniffer-based）的网络协议分