大云网信息安全系统安全正文

深入SOC2.0 安全审计与安管平台融合

2013-10-22 10:20:35 Net硅谷动力　点击量：评论 (0)

随着企业和组织安全防御不断向纵深发展、对加强内部安全的重视、以及内控与合规性要求的不断提升，安全审计技术和产品得到了广泛的应用。现在，客户已经认识到单一的安全审计产品无法满足实际要求，需要一套

析技术、基于代理（Proxy-based）的网络协议分析技术，等等。目前市场上常见的产品有NBA（Network Behavior Audit，网络行为审计）类产品、用户上网行为审计类产品，以及某些WEB应用防火墙（WAF）。

　　3安全审计产品选型过程

　　通过对安全审计技术和产品的分析，我们不难发现，客户为了实现安全审计的目标，首先要将需求进行分解，对应到一组审计对象之上，然后选取最合适的技术手段，从而选定适当的审计产品。这也是审计产品选型的推荐过程。

　　审计对象和审计技术手段已经详细阐述过，这里，审计目标就是IT安全审计定义中的目标，包括：

　　判定现有IT安全控制的有效性；

　　检查IT系统的误用和滥用行为；

　　验证当前安全策略的合规性；

　　获取犯罪和违规的证据；

　　确认必要的记录被文档化；

　　检测网络异常和入侵。

　　针对不同的审计目标，审计需求分解会不一样，进而审计对象和技术的选择也会有所不同。对于不同的审计对象，每种审计手段都各有利弊。

对比两个模型，可以发现，本质上，统一安全审计模型就是统一管理平台（SOC2.0）的一个纵向子集，只是更加关注于审计这个功能维度而已。此外，由于SOC2.0模型本身具备可裁剪性，因而这种融合也具有了可行性。如下图所示，展示了统一安全审计在SOC2.0中的映射关系：

　　图：安全审计与安全管理平台的融合

　　通过安全审计与安全管理平台的融合，使得安全审计体系的建设与安全管理体系的建设目标达成了一致，有助于企业整体安全体系的形成和完善。对于客户而言，下一代的安全管理平台（SOC2.0）始终是IT管理的终极管理平台、一体化的平台。

　　此外，借助统一安全审计体系与SOC2.0的整合，传统的对象安全审计提升到了业务安全审计的层面，更加体现出了统一安全审计给客户的价值。例如，借助SOC2.0的关联分析引擎和业务规则描述语言，用户可以定义如下的业务审计规则，并真正得以执行：

　　所有业务系统A的维护终端群只能在工作时间以维护人员帐号集的身份访问业务系统A的核心数据库服务器机群；

　　只有业务系统A的中间件X可以以middle帐号24×7访问核心数据库服务器；

　　……

　　SOC2.0基于规则的关联分析引擎能够将业务规则描述转化为针对具体资产对象的审计规则，并根据从专项的日志审计产品、终端审计产品、数据库审计产品和应用审计产品中收集上来的信息进行关联分析，进行审计规则匹配，发现违规行为并进行告警和响应。

　　6实例分析：网御神州SecFox安全管理与审计解决方案

　　网御神州根据用户的需求，以及自身在安全管理与审计领域的长期积累，在SOC2.0的代表性产品SecFox-UMS统一管理系统的基础上提出了SecFox统一安全审计解决方案。该解决方案能够对全网各种对象和行为进行审计，同时充分考虑到审计的针对性和可行性，并提供给用户一套统一的审计中心和审计界面。

　　SecFox统一安全审计解决方案包括四个部分：日志审计、网络行为审计、终端审计和统一安全审计平台。

　　1）日志审计

　　日志审计是整个综合安全审计解决方案的核心和基础。IT网络中大部分的设备和系统都能够产生日志，这些日志能够反映网络、访问者，以及设备或系统自身的操作和行为。网神SecFox-LAS日志审计系统能够将这些日志统一的收集起来，进行归一化和关联分析，实现全网IT环境的集中安全审计。通过SecFox-LAS日志审计系统，用户能够实现大部分的安全审计目标。

　　2）网络行为审计

对于用户IT网络中比较重要的区域，或者关键的业务系统，仅仅借助系统日志进行审计是不充分的，有时候也是不可行的。例如某些业务系统本身没有日志记录功能，或者某些业务系统由于其自身重要性不能运行日志采集器，等等。此外，针对网络中用户访问互联网的行为，通过传统的日志审计手段也远远不够。此时，可以通过网络硬件探测器的形式对这些业务系统和用户的操作行为进行审计。网络硬件探测器采用旁路部署（共享Hub/交换机端口镜像/网络分接TAP）的方式放置在交换机旁边，侦听并分析网络访问操作的