【51CTO.com 綜合消息】隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對(duì)加強(qiáng)內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升，安全審計(jì)技術(shù)和產(chǎn)品得到了廣泛的應(yīng)用?，F(xiàn)在，客戶已經(jīng)認(rèn)識(shí)到單一的安全審計(jì)產(chǎn)品無法滿足實(shí)際要求，需要一套體系化的安全審計(jì)平臺(tái)，以及將這個(gè)審計(jì)平臺(tái)與安全管理平臺(tái)進(jìn)行整合。作為本系列的第三篇文章，將詳細(xì)闡述SOC2.0是如何將安全審計(jì)體系與安全管理平臺(tái)整合到一起的，并以網(wǎng)御神州SecFox安全管理與審計(jì)解決方案做為示例。

1安全審計(jì)的定義和組成

安全審計(jì)，本文專指IT安全審計(jì)，是一套對(duì)IT系統(tǒng)及其應(yīng)用進(jìn)行量化檢查與評(píng)估的技術(shù)和過程。安全審計(jì)通過對(duì)IT系統(tǒng)中相關(guān)信息的收集、分析和報(bào)告，來判定現(xiàn)有IT安全控制的有效性，檢查IT系統(tǒng)的誤用和濫用行為，驗(yàn)證當(dāng)前安全策略的合規(guī)性，獲取犯罪和違規(guī)的證據(jù)，確認(rèn)必要的記錄被文檔化，以及檢測網(wǎng)絡(luò)異常和入侵。

根據(jù)GB/T 20945-2007《信息安全技術(shù)——信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和評(píng)價(jià)方法》，安全審計(jì)被定義為對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測、信息采集、分析并針對(duì)特定事件及行為采取相應(yīng)比較動(dòng)作。信息系統(tǒng)安全審計(jì)產(chǎn)品為評(píng)估信息系統(tǒng)的安全性和風(fēng)險(xiǎn)、完善安全策略的制定提供審計(jì)數(shù)據(jù)和審計(jì)服務(wù)支撐，從而達(dá)到保障信息系統(tǒng)正常運(yùn)行的目的。同時(shí)，信息系統(tǒng)安全審計(jì)產(chǎn)品對(duì)信息系統(tǒng)各組成要素進(jìn)行事件采集，將采集數(shù)據(jù)進(jìn)行自動(dòng)綜合和系統(tǒng)分析，能夠提高信息系統(tǒng)安全管理的效率。

對(duì)于一款安全審計(jì)產(chǎn)品，從產(chǎn)品功能組成上應(yīng)該包括以下幾個(gè)部分：

（1） 信息采集功能：產(chǎn)品能夠通過某種技術(shù)手段獲取需要審計(jì)的數(shù)據(jù)，例如日志，網(wǎng)絡(luò)數(shù)據(jù)包等。對(duì)于該功能，關(guān)鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（細(xì)致程度）。如果采用數(shù)據(jù)包審計(jì)技術(shù)，網(wǎng)絡(luò)協(xié)議抓包和分析引擎顯得尤為重要；如果采用日志審計(jì)技術(shù)，日志歸一化技術(shù)則是體現(xiàn)產(chǎn)品專業(yè)能力的地方；如果采用宿主代理審計(jì)技術(shù)，代理程序?qū)λ拗鞯募嫒菪?、影響性是很關(guān)鍵的環(huán)節(jié)。

（2） 信息分析功能：是指對(duì)于采集上來的信息進(jìn)行分析、審計(jì)。這是審計(jì)產(chǎn)品的核心，審計(jì)效果好壞直接由此體現(xiàn)出來。在實(shí)現(xiàn)信息分析的技術(shù)上，簡單的技術(shù)可以是基于數(shù)據(jù)庫的信息查詢和比較；復(fù)雜的技術(shù)則包括實(shí)時(shí)關(guān)聯(lián)分析引擎技術(shù)，采用基于規(guī)則的審計(jì)、基于統(tǒng)計(jì)的審計(jì)、基于時(shí)序的審計(jì)，以及基于人工智能的審計(jì)算法，等等。

（3） 信息存儲(chǔ)功能：對(duì)于采集到原始信息，以及審計(jì)后的信息都要進(jìn)行保存，備查，并可以作為取證的依據(jù)。在該功能的實(shí)現(xiàn)上，關(guān)鍵點(diǎn)包括海量信息存儲(chǔ)技術(shù)、以及審計(jì)信息安全保護(hù)技術(shù)。

（4） 信息展示功能：包括審計(jì)結(jié)果展示界面、統(tǒng)計(jì)分析報(bào)表功能、告警響應(yīng)功能、設(shè)備聯(lián)動(dòng)功能，等等。這部分功能是審計(jì)效果的最直接體現(xiàn)，審計(jì)結(jié)果的可視化能力和告警響應(yīng)的方式、手段都是該功能的關(guān)鍵。

（5） 產(chǎn)品自身安全性和可審計(jì)性功能：審計(jì)產(chǎn)品自身必須是安全的，包括要確保審計(jì)數(shù)據(jù)的完整性、機(jī)密性和有效性，對(duì)審計(jì)系統(tǒng)的訪問要安全。此外，所有針對(duì)審計(jì)產(chǎn)品的訪問和操作也要記錄日志，并且能夠被審計(jì)。 #p#

2安全審計(jì)技術(shù)分析

當(dāng)前，隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對(duì)加強(qiáng)內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升，安全審計(jì)技術(shù)和產(chǎn)品得到了廣泛的應(yīng)用。一方面，企業(yè)和組織對(duì)安全的建設(shè)思路已經(jīng)開始從以防外為主的策略，逐步轉(zhuǎn)為以防內(nèi)為主、內(nèi)外兼顧的策略，安全審計(jì)技術(shù)和產(chǎn)品成為安全防御縱深的延伸和安全體系建設(shè)中的必要一環(huán)，大量地應(yīng)用于防范內(nèi)部違規(guī)和內(nèi)部用戶行為異常。另一方面，政府、行業(yè)對(duì)IT治理、IT內(nèi)控和IT風(fēng)險(xiǎn)管理的日益重視極大地促進(jìn)了安全審計(jì)的發(fā)展。目前推出的一些國際、國家、行業(yè)的內(nèi)控和審計(jì)相關(guān)的法律、法規(guī)、標(biāo)準(zhǔn)等，都直接或者間接地對(duì)某些行業(yè)或企業(yè)提出了需要配備安全審計(jì)產(chǎn)品的要求。

國內(nèi)的安全審計(jì)產(chǎn)品根據(jù)被審計(jì)對(duì)象和審計(jì)采用的技術(shù)手段兩個(gè)維度，可以劃分為不同的產(chǎn)品類型。

從被審計(jì)對(duì)象的維度來看，IT環(huán)境的各種IT資源都能夠成為被審計(jì)對(duì)象，自底向上依次可以包括網(wǎng)絡(luò)和安全設(shè)備、主機(jī)和服務(wù)器、終端、網(wǎng)絡(luò)、數(shù)據(jù)庫、應(yīng)用和業(yè)務(wù)系統(tǒng)審計(jì)，以及IT資源的使用者——人。對(duì)于審計(jì)產(chǎn)品而言，被審計(jì)對(duì)象也可以看作是被保護(hù)對(duì)象。據(jù)此，可以分為：

（1） 設(shè)備審計(jì)（Device Audit）：對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備等各種設(shè)備的操作和行為進(jìn)行審計(jì)；

（2） 主機(jī)審計(jì)（Host Audit）：審計(jì)針對(duì)主機(jī)（服務(wù)器）的各種操作和行為；

（3） 終端審計(jì)（Endpoint Audit）：對(duì)終端設(shè)備（PC、打印機(jī)）等的操作和行為進(jìn)行審計(jì)，包括預(yù)配置審計(jì)；

（4）網(wǎng)絡(luò)審計(jì)（Network Audit）：對(duì)網(wǎng)絡(luò)中各種訪問、操作的審計(jì)，例如telnet操作、FTP操作，等等；

（5） 數(shù)據(jù)庫審計(jì)（Database Audit）：對(duì)數(shù)據(jù)庫行為和操作、甚至操作的內(nèi)容進(jìn)行審計(jì)；

（6） 業(yè)務(wù)系統(tǒng)審計(jì)（Business Behavior Audit）：對(duì)業(yè)務(wù)IT支撐系統(tǒng)的操作、行為、內(nèi)容的審計(jì)；

（7） 用戶行為審計(jì)（User Behavior Audit）：對(duì)企業(yè)和組織的人進(jìn)行審計(jì)，包括上網(wǎng)行為審計(jì)、運(yùn)維操作審計(jì)。

有的審計(jì)產(chǎn)品針對(duì)上述一種對(duì)象進(jìn)行審計(jì)，還有的產(chǎn)品綜合上述多種審計(jì)對(duì)象。

從審計(jì)采用的技術(shù)手段維度來看，為了實(shí)現(xiàn)審計(jì)目標(biāo)，通常采用以下幾種審計(jì)技術(shù)手段：

（1） 基于日志分析的安全審計(jì)技術(shù)（Log Analysis Based Audit Technology）

一種通過采集被審計(jì)或被保護(hù)對(duì)象運(yùn)行過程中產(chǎn)生的日志，進(jìn)行匯總、歸一化和關(guān)聯(lián)分析，實(shí)現(xiàn)安全審計(jì)的目標(biāo)的技術(shù)。這種審計(jì)技術(shù)具有最大的普適性，是最基本、最經(jīng)濟(jì)實(shí)用的審計(jì)方式，能夠?qū)ψ畲蠓秶腎T資源對(duì)象實(shí)施審計(jì)，并應(yīng)對(duì)大部分的審計(jì)需求。在國家等級(jí)化保護(hù)技術(shù)要求中、以及行業(yè)內(nèi)控規(guī)范和指引中都明確提及了這種審計(jì)方式。該日志審計(jì)類產(chǎn)品在市場上也最為常見。

（2） 基于本機(jī)代理的安全審計(jì)技術(shù)（Host Agent Based Audit Technology）

一種通過在被審計(jì)或者被保護(hù)對(duì)象（稱為“宿主”）之上運(yùn)行一個(gè)特定的軟件代碼，獲取審計(jì)所需的信息，然后將信息發(fā)送給審計(jì)管理端進(jìn)行綜合分析，實(shí)現(xiàn)審計(jì)目標(biāo)的技術(shù)。作為這種技術(shù)應(yīng)用的擴(kuò)展，采用該技術(shù)的審計(jì)產(chǎn)品通常還具有對(duì)宿主的反向控制功能，改變宿主的運(yùn)行狀態(tài)，使得其符合既定的安全策略。這種審計(jì)技術(shù)的審計(jì)粒度十分細(xì)致，多用于對(duì)主機(jī)和終端等設(shè)備進(jìn)行審計(jì)。目前市場上常見的服務(wù)器加固與審計(jì)系統(tǒng)、終端安全審計(jì)系統(tǒng)都采用這種技術(shù)。

（3） 基于遠(yuǎn)程代理的安全審計(jì)技術(shù)（Remote Agent Based Audit Technology）

一種通過一個(gè)獨(dú)立的審計(jì)代理端對(duì)被審計(jì)對(duì)象或者保護(hù)對(duì)象（宿主）發(fā)出遠(yuǎn)程的腳本或者指令，獲取宿主的審計(jì)信息，并提交給審計(jì)管理端進(jìn)行分析，實(shí)現(xiàn)安全審計(jì)目標(biāo)的技術(shù)。這種方式與基于本機(jī)代理的技術(shù)最大的區(qū)別就在于不需要安裝宿主代理，只需要開放遠(yuǎn)程腳本或者指令的通訊接口及其帳號(hào)口令。當(dāng)然，這種審計(jì)技術(shù)的審計(jì)粒度受限于遠(yuǎn)程腳本的能力。目前市場上常見的產(chǎn)品有基于漏洞掃描的審計(jì)系統(tǒng)、WEB安全審計(jì)系統(tǒng)、或者基線配置審核系統(tǒng)。

（4）基于網(wǎng)絡(luò)協(xié)議分析的安全審計(jì)技術(shù)（Network Protocol Analysis Based Audit Technology）

一種通過采集被審計(jì)對(duì)象或者被保護(hù)對(duì)象在網(wǎng)絡(luò)環(huán)境下與其他網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行通訊過程中產(chǎn)生的網(wǎng)絡(luò)通訊報(bào)文，進(jìn)行協(xié)議分析（包括應(yīng)用層協(xié)議分析），實(shí)現(xiàn)審計(jì)目標(biāo)的技術(shù)。由于現(xiàn)在用戶基本都實(shí)現(xiàn)了網(wǎng)絡(luò)互聯(lián)互通，并且該技術(shù)對(duì)被審計(jì)對(duì)象的要求較低，對(duì)網(wǎng)絡(luò)環(huán)境影響較小，因而得到了廣泛的應(yīng)用，多應(yīng)用于對(duì)IT資源的核心基礎(chǔ)設(shè)施（設(shè)備、主機(jī)、應(yīng)用和業(yè)務(wù)等）和用戶行為進(jìn)行審計(jì)。該審計(jì)類型根據(jù)具體技術(shù)原理的不同，又可以分為若干種子類型，包括基于旁路偵聽（Sniffer-based）的網(wǎng)絡(luò)協(xié)議分析技術(shù)、基于代理（Proxy-based）的網(wǎng)絡(luò)協(xié)議分析技術(shù)，等等。目前市場上常見的產(chǎn)品有NBA（Network Behavior Audit，網(wǎng)絡(luò)行為審計(jì)）類產(chǎn)品、用戶上網(wǎng)行為審計(jì)類產(chǎn)品，以及某些WEB應(yīng)用防火墻（WAF）。 #p#

3安全審計(jì)產(chǎn)品選型過程

通過對(duì)安全審計(jì)技術(shù)和產(chǎn)品的分析，我們不難發(fā)現(xiàn)，客戶為了實(shí)現(xiàn)安全審計(jì)的目標(biāo)，首先要將需求進(jìn)行分解，對(duì)應(yīng)到一組審計(jì)對(duì)象之上，然后選取最合適的技術(shù)手段，從而選定適當(dāng)?shù)膶徲?jì)產(chǎn)品。這也是審計(jì)產(chǎn)品選型的推薦過程。

審計(jì)對(duì)象和審計(jì)技術(shù)手段已經(jīng)詳細(xì)闡述過，這里，審計(jì)目標(biāo)就是IT安全審計(jì)定義中的目標(biāo)，包括： 

◆判定現(xiàn)有IT安全控制的有效性； 

◆檢查IT系統(tǒng)的誤用和濫用行為； 

◆驗(yàn)證當(dāng)前安全策略的合規(guī)性； 

◆獲取犯罪和違規(guī)的證據(jù)； 

◆確認(rèn)必要的記錄被文檔化；

◆檢測網(wǎng)絡(luò)異常和入侵。

針對(duì)不同的審計(jì)目標(biāo)，審計(jì)需求分解會(huì)不一樣，進(jìn)而審計(jì)對(duì)象和技術(shù)的選擇也會(huì)有所不同。對(duì)于不同的審計(jì)對(duì)象，每種審計(jì)手段都各有利弊。

日志審計(jì)具有最廣泛的適用性，能夠?qū)Ω黝悓徲?jì)對(duì)象進(jìn)行審計(jì)，審計(jì)目標(biāo)能夠覆蓋國家等級(jí)化保護(hù)、IT內(nèi)控指引和規(guī)范的大部分要求，實(shí)現(xiàn)大部分客戶的大部分審計(jì)目標(biāo)。同時(shí)，日志審計(jì)的技術(shù)實(shí)現(xiàn)代價(jià)較小，對(duì)網(wǎng)絡(luò)系統(tǒng)影響不大，后期維護(hù)代價(jià)適中。因而一般建議用戶構(gòu)建安全審計(jì)體系首先從日志審計(jì)開始。日志審計(jì)最主要的缺陷在于有時(shí)候無法獲得被審計(jì)對(duì)象的日志信息，從而無法進(jìn)行后續(xù)分析。

基于網(wǎng)絡(luò)協(xié)議分析的審計(jì)技術(shù)多用于對(duì)網(wǎng)絡(luò)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)，以及用戶行為進(jìn)行審計(jì)。該技術(shù)具有對(duì)被審計(jì)對(duì)象無影響的特點(diǎn)，但是需要購買專門的審計(jì)設(shè)備和系統(tǒng)，需要專門的維護(hù)。該技術(shù)最主要的缺陷在于一般無法審計(jì)加密信息，或者為了審計(jì)加密信息而不得不改變網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)而增加影響網(wǎng)絡(luò)性能的風(fēng)險(xiǎn)。此外，在審計(jì)用戶上網(wǎng)行為的過程中，需要不斷地更新應(yīng)用協(xié)議解析庫，存在一個(gè)被動(dòng)升級(jí)的過程。目前，該技術(shù)的變種較多，具體實(shí)現(xiàn)技術(shù)手段也都各異。

基于本機(jī)代理的審計(jì)技術(shù)較為固定，基本上就用于對(duì)主機(jī)服務(wù)器和終端的審計(jì)之上。該技術(shù)的缺陷就是需要安裝代理，需要考慮代理的兼容性和對(duì)主機(jī)或者終端的自身運(yùn)行影響性。此外，代理的升級(jí)和維護(hù)也是一個(gè)難點(diǎn)，具有較高的維護(hù)代價(jià)。一般用于有較高安全需求的場合。

基于遠(yuǎn)程代理的審計(jì)技術(shù)使用范圍也較廣，可適用于對(duì)關(guān)鍵基礎(chǔ)設(shè)施的審計(jì)，并且對(duì)被審計(jì)對(duì)象基本無影響。但是，該技術(shù)實(shí)現(xiàn)的審計(jì)目標(biāo)較窄，集中于對(duì)審計(jì)對(duì)象的漏洞審計(jì)，以及對(duì)審計(jì)對(duì)象的配置基線進(jìn)行稽核。

審計(jì)對(duì)象與審計(jì)技術(shù)實(shí)現(xiàn)方式的一般對(duì)應(yīng)關(guān)系如下圖所示： 

圖1  審計(jì)對(duì)象與審計(jì)技術(shù)的一般性對(duì)應(yīng)關(guān)系

 #p#

4安全審計(jì)需要體系化的審計(jì)模型

隨著對(duì)審計(jì)的日益重視，客戶部署了越來越多的單一型安全審計(jì)產(chǎn)品。現(xiàn)在，客戶已經(jīng)認(rèn)識(shí)到，要在企業(yè)和組織中實(shí)現(xiàn)有效的安全審計(jì)，依靠某一類安全審計(jì)產(chǎn)品往往是不夠的。這些審計(jì)系統(tǒng)從各自的角度對(duì)特定的信息對(duì)象進(jìn)行審計(jì)，雖然專業(yè)，但是卻增加了運(yùn)維和審計(jì)人員的工作量，同時(shí)審計(jì)系統(tǒng)之間缺乏必要的信息交換?？蛻粜枰⒁粋€(gè)安全審計(jì)的體系，以及一套體系化的安全審計(jì)平臺(tái)。通過前面安全審計(jì)產(chǎn)品選型過程的分析，也可以看出來，每種審計(jì)技術(shù)和產(chǎn)品都有其適用性，有利有弊，需要根據(jù)安全目標(biāo)進(jìn)行綜合考量。為此，客戶需要一個(gè)統(tǒng)一安全審計(jì)的架構(gòu)和模型。

統(tǒng)一安全審計(jì)架構(gòu)應(yīng)該是一個(gè)點(diǎn)面結(jié)合的綜合審計(jì)模型。面是指統(tǒng)一審計(jì)平臺(tái)和日志審計(jì)，是統(tǒng)一安全審計(jì)的基礎(chǔ)和基本組成，包括用戶的統(tǒng)一操作界面。需要強(qiáng)調(diào)的是，日志審計(jì)由于其普適性而成為統(tǒng)一安全審計(jì)的基礎(chǔ)平臺(tái)的一部分。

點(diǎn)作為面的補(bǔ)充，針對(duì)更高安全審計(jì)要求的安全域進(jìn)行有針對(duì)性的審計(jì)，成為專項(xiàng)審計(jì)，并且要無縫的融入到面之中。 典型的點(diǎn)審計(jì)（專項(xiàng)審計(jì)）有：

（1） 針對(duì)業(yè)務(wù)系統(tǒng)安全域的增強(qiáng)性審計(jì)：主機(jī)和服務(wù)器審計(jì)、數(shù)據(jù)庫審計(jì)、應(yīng)用和業(yè)務(wù)審計(jì)；

（2） 針對(duì)網(wǎng)絡(luò)區(qū)域的增強(qiáng)性審計(jì)：網(wǎng)絡(luò)審計(jì)、設(shè)備審計(jì)；

（3） 針對(duì)辦公區(qū)域用戶上網(wǎng)行為的審計(jì)；

（4） 針對(duì)終端區(qū)域操作的審計(jì)；

在這個(gè)審計(jì)模型中，日志審計(jì)是核心。統(tǒng)一安全審計(jì)模型如下圖所示： 

圖2  統(tǒng)一安全審計(jì)模型

在運(yùn)用統(tǒng)一安全審計(jì)模型的時(shí)候，客戶首先搭建起一個(gè)可擴(kuò)展的安全審計(jì)基礎(chǔ)平臺(tái)，并建立起日志審計(jì)體系及其審計(jì)用戶界面。此時(shí)，審計(jì)的功能和目標(biāo)不必太多，重點(diǎn)放在對(duì)最廣泛的IT資源采集日志，進(jìn)行基礎(chǔ)性審計(jì)之上。由于日志審計(jì)能力所限，對(duì)于一些重要的安全區(qū)域需要采用增強(qiáng)的專項(xiàng)審計(jì)機(jī)制，例如對(duì)網(wǎng)絡(luò)區(qū)域的審計(jì)、對(duì)辦公區(qū)域的審計(jì)、對(duì)業(yè)務(wù)核心系統(tǒng)區(qū)域的審計(jì)，等等。每類專項(xiàng)審計(jì)都采用具有專門技術(shù)的審計(jì)產(chǎn)品，例如基于本機(jī)代理的終端安全審計(jì)產(chǎn)品，基于網(wǎng)絡(luò)協(xié)議分析的數(shù)據(jù)庫審計(jì)產(chǎn)品和用戶上網(wǎng)行為審計(jì)產(chǎn)品，等等。每類專項(xiàng)審計(jì)產(chǎn)品都必須實(shí)現(xiàn)統(tǒng)一安全審計(jì)基礎(chǔ)平臺(tái)的互聯(lián)。最基本的互聯(lián)就是各個(gè)專項(xiàng)審計(jì)產(chǎn)品能夠?qū)⑺麄兊膶徲?jì)結(jié)果以告警或者日志的形式發(fā)送給審計(jì)基礎(chǔ)平臺(tái)，由基礎(chǔ)審計(jì)平臺(tái)上的日志審計(jì)模塊通過關(guān)聯(lián)分析和告警給客戶進(jìn)行統(tǒng)一的展示，并通過基礎(chǔ)平臺(tái)向各個(gè)專項(xiàng)審計(jì)產(chǎn)品下發(fā)控制指令，由各個(gè)專項(xiàng)審計(jì)產(chǎn)品執(zhí)行控制指令，阻斷或者抑制違規(guī)行為。 #p#

5將安全審計(jì)與安全管理平臺(tái)（SOC）進(jìn)行整合

通過對(duì)安全審計(jì)進(jìn)行統(tǒng)一建模，我們可以發(fā)現(xiàn)，這個(gè)統(tǒng)一安全審計(jì)模型與安全管理平臺(tái)（SOC）架構(gòu)具備天然的相似性，他們都具有信息的采集、分析、存儲(chǔ)和展示等功能組成，他們都強(qiáng)調(diào)對(duì)全網(wǎng)IT資源進(jìn)行一體化的監(jiān)控與審計(jì)。

同時(shí)，對(duì)于已經(jīng)或者即將建立統(tǒng)一安全管理平臺(tái)（SOC）的用戶而言，為了不增加安全體系的復(fù)雜性，需要將安全審計(jì)的需求與SOC需求一并進(jìn)行統(tǒng)籌考慮。

在本系列文章的第二篇，我們已經(jīng)分析了SOC2.0的統(tǒng)一管理模型，如下圖所示： 

圖3   SOC2.0的統(tǒng)一管理模型

對(duì)比兩個(gè)模型，可以發(fā)現(xiàn)，本質(zhì)上，統(tǒng)一安全審計(jì)模型就是統(tǒng)一管理平臺(tái)（SOC2.0）的一個(gè)縱向子集，只是更加關(guān)注于審計(jì)這個(gè)功能維度而已。此外，由于SOC2.0模型本身具備可裁剪性，因而這種融合也具有了可行性。如下圖所示，展示了統(tǒng)一安全審計(jì)在SOC2.0中的映射關(guān)系： 

圖4   安全審計(jì)與安全管理平臺(tái)的融合

通過安全審計(jì)與安全管理平臺(tái)的融合，使得安全審計(jì)體系的建設(shè)與安全管理體系的建設(shè)目標(biāo)達(dá)成了一致，有助于企業(yè)整體安全體系的形成和完善。對(duì)于客戶而言，下一代的安全管理平臺(tái)（SOC2.0）始終是IT管理的終極管理平臺(tái)、一體化的平臺(tái)。

此外，借助統(tǒng)一安全審計(jì)體系與SOC2.0的整合，傳統(tǒng)的對(duì)象安全審計(jì)提升到了業(yè)務(wù)安全審計(jì)的層面，更加體現(xiàn)出了統(tǒng)一安全審計(jì)給客戶的價(jià)值。例如，借助SOC2.0的關(guān)聯(lián)分析引擎和業(yè)務(wù)規(guī)則描述語言，用戶可以定義如下的業(yè)務(wù)審計(jì)規(guī)則，并真正得以執(zhí)行：

圖5

SOC2.0基于規(guī)則的關(guān)聯(lián)分析引擎能夠?qū)I(yè)務(wù)規(guī)則描述轉(zhuǎn)化為針對(duì)具體資產(chǎn)對(duì)象的審計(jì)規(guī)則，并根據(jù)從專項(xiàng)的日志審計(jì)產(chǎn)品、終端審計(jì)產(chǎn)品、數(shù)據(jù)庫審計(jì)產(chǎn)品和應(yīng)用審計(jì)產(chǎn)品中收集上來的信息進(jìn)行關(guān)聯(lián)分析，進(jìn)行審計(jì)規(guī)則匹配，發(fā)現(xiàn)違規(guī)行為并進(jìn)行告警和響應(yīng)。 #p#

6實(shí)例分析：網(wǎng)御神州SecFox安全管理與審計(jì)解決方案

網(wǎng)御神州根據(jù)用戶的需求，以及自身在安全管理與審計(jì)領(lǐng)域的長期積累，在SOC2.0的代表性產(chǎn)品SecFox-UMS統(tǒng)一管理系統(tǒng)的基礎(chǔ)上提出了SecFox統(tǒng)一安全審計(jì)解決方案。該解決方案能夠?qū)θW(wǎng)各種對(duì)象和行為進(jìn)行審計(jì)，同時(shí)充分考慮到審計(jì)的針對(duì)性和可行性，并提供給用戶一套統(tǒng)一的審計(jì)中心和審計(jì)界面。

欲獲取更多關(guān)于網(wǎng)御神州SecFox安全管理與審計(jì)系統(tǒng)技術(shù)、產(chǎn)品、解決方案的信息，請?jiān)L問網(wǎng)御神州安全管理官方網(wǎng)站：http://www.legendsec.com/newsec.php?up=3&cid=3。

SecFox統(tǒng)一安全審計(jì)解決方案包括四個(gè)部分：日志審計(jì)、網(wǎng)絡(luò)行為審計(jì)、終端審計(jì)和統(tǒng)一安全審計(jì)平臺(tái)。

1)日志審計(jì)

日志審計(jì)是整個(gè)綜合安全審計(jì)解決方案的核心和基礎(chǔ)。IT網(wǎng)絡(luò)中大部分的設(shè)備和系統(tǒng)都能夠產(chǎn)生日志，這些日志能夠反映網(wǎng)絡(luò)、訪問者，以及設(shè)備或系統(tǒng)自身的操作和行為。網(wǎng)神SecFox-LAS日志審計(jì)系統(tǒng)能夠?qū)⑦@些日志統(tǒng)一的收集起來，進(jìn)行歸一化和關(guān)聯(lián)分析，實(shí)現(xiàn)全網(wǎng)IT環(huán)境的集中安全審計(jì)。通過SecFox-LAS日志審計(jì)系統(tǒng)，用戶能夠?qū)崿F(xiàn)大部分的安全審計(jì)目標(biāo)。 

圖6

2)網(wǎng)絡(luò)行為審計(jì)

對(duì)于用戶IT網(wǎng)絡(luò)中比較重要的區(qū)域，或者關(guān)鍵的業(yè)務(wù)系統(tǒng)，僅僅借助系統(tǒng)日志進(jìn)行審計(jì)是不充分的，有時(shí)候也是不可行的。例如某些業(yè)務(wù)系統(tǒng)本身沒有日志記錄功能，或者某些業(yè)務(wù)系統(tǒng)由于其自身重要性不能運(yùn)行日志采集器，等等。此外，針對(duì)網(wǎng)絡(luò)中用戶訪問互聯(lián)網(wǎng)的行為，通過傳統(tǒng)的日志審計(jì)手段也遠(yuǎn)遠(yuǎn)不夠。此時(shí)，可以通過網(wǎng)絡(luò)硬件探測器的形式對(duì)這些業(yè)務(wù)系統(tǒng)和用戶的操作行為進(jìn)行審計(jì)。網(wǎng)絡(luò)硬件探測器采用旁路部署（共享Hub/交換機(jī)端口鏡像/網(wǎng)絡(luò)分接TAP）的方式放置在交換機(jī)旁邊，偵聽并分析網(wǎng)絡(luò)訪問操作的指令，并轉(zhuǎn)化為操作日志送到SecFox-LAS管理中心進(jìn)行統(tǒng)一審計(jì)。SecFox-LAS自帶網(wǎng)絡(luò)硬件探測器，用戶也可以使用專門的網(wǎng)神SecFox-NBA（Network Behavior Analysis）網(wǎng)絡(luò)行為審計(jì)設(shè)備，他們的工作原理相同。

根據(jù)部署位置的不同，SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)分為兩種類型：

（1）SecFox-NBA（業(yè)務(wù)審計(jì)型）部署在關(guān)鍵業(yè)務(wù)系統(tǒng)區(qū)域，對(duì)業(yè)務(wù)行為進(jìn)行網(wǎng)絡(luò)審計(jì)，包括對(duì)業(yè)務(wù)系統(tǒng)所在的主機(jī)、數(shù)據(jù)庫、應(yīng)用中間件、關(guān)鍵網(wǎng)絡(luò)和安全設(shè)備、網(wǎng)絡(luò)流量等的審計(jì)。通過部署SecFox-NBA（業(yè)務(wù)審計(jì)型）能夠有效地防止針對(duì)業(yè)務(wù)系統(tǒng)的違規(guī)操作和行為，保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)機(jī)器核心數(shù)據(jù)的安全。

（2）SecFox-NBA（上網(wǎng)審計(jì)型）則部署在互聯(lián)網(wǎng)出口處，對(duì)網(wǎng)絡(luò)中所有訪問Internet互聯(lián)網(wǎng)的用戶行為和內(nèi)容進(jìn)行審計(jì)，包括網(wǎng)頁瀏覽、即時(shí)通訊、網(wǎng)絡(luò)聊天、網(wǎng)絡(luò)音視頻、郵件、P2P、股票、游戲等。通過部署SecFox-NBA（上網(wǎng)審計(jì)型）能夠有效地規(guī)范企事業(yè)單位職工的上網(wǎng)行為，提高互聯(lián)網(wǎng)使用效率，防止違規(guī)和信息泄漏。 

圖7

SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)既可以單獨(dú)部署和使用，也可以與SecFox-LAS日志審計(jì)系統(tǒng)配套使用。SecFox-NBA可以將所有安全審計(jì)日志發(fā)送到SecFox-LAS進(jìn)行統(tǒng)一安全審計(jì)。

3)終端審計(jì)

大量的研究和實(shí)踐表明，大部分的安全問題都出現(xiàn)在用戶網(wǎng)絡(luò)內(nèi)部，而其中網(wǎng)絡(luò)內(nèi)部的終端是最薄弱的環(huán)節(jié)。不僅因?yàn)榻K端的數(shù)量相對(duì)較大，而且因?yàn)檫@些終端設(shè)備的使用者安全意識(shí)較為薄弱，且較難規(guī)范化管理。為此，對(duì)于一些安全保障要求較高的單位，可以在內(nèi)部用戶區(qū)域部署專門的終端安全審計(jì)系統(tǒng)。網(wǎng)神SecFox-EPS（Endpoint Protection System）終端安全管理系統(tǒng)能夠有效地對(duì)網(wǎng)絡(luò)內(nèi)部的所有Windows終端設(shè)備進(jìn)行集中統(tǒng)一的管理，包括資產(chǎn)管理、軟件分發(fā)、補(bǔ)丁升級(jí)、統(tǒng)一安全策略管理、移動(dòng)存儲(chǔ)介質(zhì)管理、接入控制等。

SecFox-EPS終端安全管理系統(tǒng)包括終端管理中心和運(yùn)行在被管理Windows終端設(shè)備上的安全代理，所有的管理功能都通過管理中心控制安全代理來實(shí)現(xiàn)。 

圖8

SecFox-EPS既能夠單獨(dú)部署和使用，也可以與SecFox-LAS日志審計(jì)系統(tǒng)配套使用。SecFox-EPS管理端可以將所有安全審計(jì)日志發(fā)送到SecFox-LAS進(jìn)行統(tǒng)一安全審計(jì)。

4)統(tǒng)一安全審計(jì)

用戶為了實(shí)現(xiàn)IT網(wǎng)絡(luò)的全面安全審計(jì)而部署的日志審計(jì)、網(wǎng)絡(luò)行為審計(jì)和終端審計(jì)系統(tǒng)不是彼此割裂的，而能夠統(tǒng)一為一個(gè)整體。在SecFox統(tǒng)一安全審計(jì)解決方案中，網(wǎng)御神州將SecFox-LAS升格為統(tǒng)一安全審計(jì)中心，將SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)和SecFox-EPS終端審計(jì)系統(tǒng)的審計(jì)信息統(tǒng)一送到SecFox-LAS日志審計(jì)系統(tǒng)，與SecFox-LAS收集到的其它網(wǎng)絡(luò)中各種IT資源的日志信息一起進(jìn)行歸一化和關(guān)聯(lián)分析處理，統(tǒng)一的進(jìn)行可視化展現(xiàn)、審計(jì)和存儲(chǔ)。如果用戶有更多的功能需求，例如要實(shí)現(xiàn)面向業(yè)務(wù)的安全審計(jì)，也可以由SecFox-UMS統(tǒng)一管理系統(tǒng)擔(dān)當(dāng)這個(gè)統(tǒng)一的安全審計(jì)中心。SecFox-LAS日志審計(jì)系統(tǒng)相當(dāng)于SecFox-UMS的一個(gè)專注于統(tǒng)一安全審計(jì)的簡化版。 

圖9

5)統(tǒng)一規(guī)劃、分布實(shí)施

借助網(wǎng)神SecFox統(tǒng)一安全審計(jì)解決方案，用戶能夠真正建立起一套針對(duì)全網(wǎng)IT資源的安全審計(jì)體系。根據(jù)用戶需求的不同階段，該方案可以做到統(tǒng)一規(guī)劃、分步實(shí)施，有針對(duì)、有重點(diǎn)，逐步實(shí)現(xiàn)統(tǒng)一安全審計(jì)。

7小結(jié)

安全審計(jì)與安全管理的融合是未來發(fā)展的必然，這是客戶需求決定的，也是技術(shù)發(fā)展的必然選擇。兩者的結(jié)合能夠使得客戶的安全體系建設(shè)目標(biāo)和過程更加清晰明了，對(duì)安全管理平臺(tái)帶來的價(jià)值回報(bào)也有了一種具體體現(xiàn)——用于實(shí)現(xiàn)統(tǒng)一安全審計(jì)。

8關(guān)于網(wǎng)御神州的安全管理平臺(tái)

網(wǎng)御神州安全管理團(tuán)隊(duì)根據(jù)長期以來在安全管理領(lǐng)域的深入研究，結(jié)合來自客戶的需求與市場的現(xiàn)狀，提出了具有完全自主知識(shí)產(chǎn)權(quán)的、面向業(yè)務(wù)的網(wǎng)神SecFox安全管理與審計(jì)產(chǎn)品理念，尤其強(qiáng)調(diào)網(wǎng)絡(luò)管理、安全管理與運(yùn)維管理的一體化，為政府、軍隊(duì)、公安、稅務(wù)、電力、保險(xiǎn)、電信、金融、交通、醫(yī)療、制造、廣電等各個(gè)領(lǐng)域的客戶提供全面的安全運(yùn)營保障平臺(tái)。網(wǎng)御神州建立了專門的安全管理研發(fā)和實(shí)施隊(duì)伍——SOC事業(yè)部，在國內(nèi)市場突飛猛進(jìn)，取得了令人矚目的市場成就。在CCID2008年和2009年《中國信息安全產(chǎn)品市場研究年度報(bào)告》中網(wǎng)御神州連續(xù)兩年位居安全管理（SOC）市場第一名，成為了中國安全管理市場的領(lǐng)導(dǎo)廠商。