圖:審計(jì)對(duì)象與審計(jì)技術(shù)的一般性對(duì)應(yīng)關(guān)系
4 安全審計(jì)需要體系化的審計(jì)模型
隨著對(duì)審計(jì)的日益重視��,客戶部署了越來(lái)越多的單一型安全審計(jì)產(chǎn)品?��,F(xiàn)在��,客戶已經(jīng)認(rèn)識(shí)到�����,要在企業(yè)和組織中實(shí)現(xiàn)有效的安全審計(jì)�����,依靠某一類(lèi)安全 審計(jì)產(chǎn)品往往是不夠的�����。這些審計(jì)系統(tǒng)從各自的角度對(duì)特定的信息對(duì)象進(jìn)行審計(jì)����,雖然專(zhuān)業(yè),但是卻增加了運(yùn)維和審計(jì)人員的工作量����,同時(shí)審計(jì)系統(tǒng)之間缺乏必要的 信息交換?���?蛻粜枰⒁粋€(gè)安全審計(jì)的體系,以及一套體系化的安全審計(jì)平臺(tái)�����。通過(guò)前面安全審計(jì)產(chǎn)品選型過(guò)程的分析����,也可以看出來(lái)�,每種審計(jì)技術(shù)和產(chǎn)品都有 其適用性�����,有利有弊���,需要根據(jù)安全目標(biāo)進(jìn)行綜合考量�。為此���,客戶需要一個(gè)統(tǒng)一安全審計(jì)的架構(gòu)和模型。
統(tǒng)一安全審計(jì)架構(gòu)應(yīng)該是一個(gè)點(diǎn)面結(jié)合的綜合審計(jì)模型����。面是指統(tǒng)一審計(jì)平臺(tái)和日志審計(jì),是統(tǒng)一安全審計(jì)的基礎(chǔ)和基本組成����,包括用戶的統(tǒng)一操作界面。需要強(qiáng)調(diào)的是����,日志審計(jì)由于其普適性而成為統(tǒng)一安全審計(jì)的基礎(chǔ)平臺(tái)的一部分����。
點(diǎn)作為面的補(bǔ)充��,針對(duì)更高安全審計(jì)要求的安全域進(jìn)行有針對(duì)性的審計(jì)�����,成為專(zhuān)項(xiàng)審計(jì)��,并且要無(wú)縫的融入到面之中��。 典型的點(diǎn)審計(jì)(專(zhuān)項(xiàng)審計(jì))有:
(1) 針對(duì)業(yè)務(wù)系統(tǒng)安全域的增強(qiáng)性審計(jì):主機(jī)和服務(wù)器審計(jì)�、數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用和業(yè)務(wù)審計(jì);
(2) 針對(duì)網(wǎng)絡(luò)區(qū)域的增強(qiáng)性審計(jì):網(wǎng)絡(luò)審計(jì)���、設(shè)備審計(jì);
(3) 針對(duì)辦公區(qū)域用戶上網(wǎng)行為的審計(jì);
(4) 針對(duì)終端區(qū)域操作的審計(jì);
在這個(gè)審計(jì)模型中�,日志審計(jì)是核心����。統(tǒng)一安全審計(jì)模型如下圖所示:
圖:統(tǒng)一安全審計(jì)模型
在運(yùn)用統(tǒng)一安全審計(jì)模型的時(shí)候,客戶首先搭建起一個(gè)可擴(kuò)展的安全審計(jì)基礎(chǔ)平臺(tái)����,并建立起日志審計(jì)體系及其審計(jì)用戶界面�。此時(shí)�,審計(jì)的功能和目標(biāo) 不必太多,重點(diǎn)放在對(duì)最廣泛的IT資源采集日志����,進(jìn)行基礎(chǔ)性審計(jì)之上。由于日志審計(jì)能力所限����,對(duì)于一些重要的安全區(qū)域需要采用增強(qiáng)的專(zhuān)項(xiàng)審計(jì)機(jī)制,例如對(duì) 網(wǎng)絡(luò)區(qū)域的審計(jì)����、對(duì)辦公區(qū)域的審計(jì)、對(duì)業(yè)務(wù)核心系統(tǒng)區(qū)域的審計(jì)���,等等。每類(lèi)專(zhuān)項(xiàng)審計(jì)都采用具有專(zhuān)門(mén)技術(shù)的審計(jì)產(chǎn)品�,例如基于本機(jī)代理的終端安全審計(jì)產(chǎn)品, 基于網(wǎng)絡(luò)協(xié)議分析的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品和用戶上網(wǎng)行為審計(jì)產(chǎn)品��,等等����。每類(lèi)專(zhuān)項(xiàng)審計(jì)產(chǎn)品都必須實(shí)現(xiàn)統(tǒng)一安全審計(jì)基礎(chǔ)平臺(tái)的互聯(lián)�����。最基本的互聯(lián)就是各個(gè)專(zhuān)項(xiàng)審計(jì) 產(chǎn)品能夠?qū)⑺麄兊膶徲?jì)結(jié)果以告警或者日志的形式發(fā)送給審計(jì)基礎(chǔ)平臺(tái)��,由基礎(chǔ)審計(jì)平臺(tái)上的日志審計(jì)模塊通過(guò)關(guān)聯(lián)分析和告警給客戶進(jìn)行統(tǒng)一的展示����,并通過(guò)基礎(chǔ) 平臺(tái)向各個(gè)專(zhuān)項(xiàng)審計(jì)產(chǎn)品下發(fā)控制指令�,由各個(gè)專(zhuān)項(xiàng)審計(jì)產(chǎn)品執(zhí)行控制指令,阻斷或者抑制違規(guī)行為���。
5 將安全審計(jì)與安全管理平臺(tái)(SOC)進(jìn)行整合
通過(guò)對(duì)安全審計(jì)進(jìn)行統(tǒng)一建模����,我們可以發(fā)現(xiàn)�,這個(gè)統(tǒng)一安全審計(jì)模型與安全管理平臺(tái)(SOC)架構(gòu)具備天然的相似性,他們都具有信息的采集�����、分析�����、存儲(chǔ)和展示等功能組成,他們都強(qiáng)調(diào)對(duì)全網(wǎng)IT資源進(jìn)行一體化的監(jiān)控與審計(jì)���。
同時(shí)����,對(duì)于已經(jīng)或者即將建立統(tǒng)一安全管理平臺(tái)(SOC)的用戶而言�,為了不增加安全體系的復(fù)雜性,需要將安全審計(jì)的需求與SOC需求一并進(jìn)行統(tǒng)籌考慮���。
在本系列文章的第二篇,我們已經(jīng)分析了SOC2.0的統(tǒng)一管理模型�,如下圖所示:
圖:SOC2.0的統(tǒng)一管理模型
對(duì)比兩個(gè)模型,可以發(fā)現(xiàn)����,本質(zhì)上,統(tǒng)一安全審計(jì)模型就是統(tǒng)一管理平臺(tái)(SOC2.0)的一個(gè)縱向子集���,只是更加關(guān)注于審計(jì)這個(gè)功能維度而已。此 外��,由于SOC2.0模型本身具備可裁剪性,因而這種融合也具有了可行性�。如下圖所示,展示了統(tǒng)一安全審計(jì)在SOC2.0中的映射關(guān)系:
圖:安全審計(jì)與安全管理平臺(tái)的融合
通過(guò)安全審計(jì)與安全管理平臺(tái)的融合���,使得安全審計(jì)體系的建設(shè)與安全管理體系的建設(shè)目標(biāo)達(dá)成了一致�����,有助于企業(yè)整體安全體系的形成和完善���。對(duì)于客戶而言,下一代的安全管理平臺(tái)(SOC2.0)始終是IT管理的終極管理平臺(tái)���、一體化的平臺(tái)����。
此外�����,借助統(tǒng)一安全審計(jì)體系與SOC2.0的整合�,傳統(tǒng)的對(duì)象安全審計(jì)提升到了業(yè)務(wù)安全審計(jì)的層面,更加體現(xiàn)出了統(tǒng)一安全審計(jì)給客戶的價(jià)值�����。例如,借助SOC2.0的關(guān)聯(lián)分析引擎和業(yè)務(wù)規(guī)則描述語(yǔ)言����,用戶可以定義如下的業(yè)務(wù)審計(jì)規(guī)則�����,并真正得以執(zhí)行:
SOC2.0基于規(guī)則的關(guān)聯(lián)分析引擎能夠?qū)I(yè)務(wù)規(guī)則描述轉(zhuǎn)化為針對(duì)具體資產(chǎn)對(duì)象的審計(jì)規(guī)則�,并根據(jù)從專(zhuān)項(xiàng)的日志審計(jì)產(chǎn)品�、終端審計(jì)產(chǎn)品�����、數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品和應(yīng)用審計(jì)產(chǎn)品中收集上來(lái)的信息進(jìn)行關(guān)聯(lián)分析��,進(jìn)行審計(jì)規(guī)則匹配����,發(fā)現(xiàn)違規(guī)行為并進(jìn)行告警和響應(yīng)。
6 實(shí)例分析:網(wǎng)御神州SecFox安全管理與審計(jì)解決方案
網(wǎng)御神州根據(jù)用戶的需求,以及自身在安全管理與審計(jì)領(lǐng)域的長(zhǎng)期積累�,在SOC2.0的代表性產(chǎn)品SecFox-UMS統(tǒng)一管理系統(tǒng)的基礎(chǔ)上提出 了SecFox統(tǒng)一安全審計(jì)解決方案。該解決方案能夠?qū)θW(wǎng)各種對(duì)象和行為進(jìn)行審計(jì)��,同時(shí)充分考慮到審計(jì)的針對(duì)性和可行性�,并提供給用戶一套統(tǒng)一的審計(jì)中 心和審計(jì)界面。
欲獲取更多關(guān)于網(wǎng)御神州SecFox安全管理與審計(jì)系統(tǒng)技術(shù)�����、產(chǎn)品�����、解決方案的信息��,請(qǐng)?jiān)L問(wèn)網(wǎng)御神州安全管理官方網(wǎng)站:http://www.legendsec.com/newsec.php?up=3&cid=3��。
SecFox統(tǒng)一安全審計(jì)解決方案包括四個(gè)部分:日志審計(jì)���、網(wǎng)絡(luò)行為審計(jì)����、終端審計(jì)和統(tǒng)一安全審計(jì)平臺(tái)�。
1) 日志審計(jì)
日志審計(jì)是整個(gè)綜合安全審計(jì)解決方案的核心和基礎(chǔ)。IT網(wǎng)絡(luò)中大部分的設(shè)備和系統(tǒng)都能夠產(chǎn)生日志�����,這些日志能夠反映網(wǎng)絡(luò)��、訪問(wèn)者���,以及設(shè)備或系 統(tǒng)自身的操作和行為��。網(wǎng)神SecFox-LAS日志審計(jì)系統(tǒng)能夠?qū)⑦@些日志統(tǒng)一的收集起來(lái)�,進(jìn)行歸一化和關(guān)聯(lián)分析�����,實(shí)現(xiàn)全網(wǎng)IT環(huán)境的集中安全審計(jì)�����。通過(guò) SecFox-LAS日志審計(jì)系統(tǒng)�,用戶能夠?qū)崿F(xiàn)大部分的安全審計(jì)目標(biāo)。
2) 網(wǎng)絡(luò)行為審計(jì)
對(duì)于用戶IT網(wǎng)絡(luò)中比較重要的區(qū)域���,或者關(guān)鍵的業(yè)務(wù)系統(tǒng)��,僅僅借助系統(tǒng)日志進(jìn)行審計(jì)是不充分的�,有時(shí)候也是不可行的。例如某些業(yè)務(wù)系統(tǒng)本身沒(méi)有 日志記錄功能�,或者某些業(yè)務(wù)系統(tǒng)由于其自身重要性不能運(yùn)行日志采集器��,等等��。此外��,針對(duì)網(wǎng)絡(luò)中用戶訪問(wèn)互聯(lián)網(wǎng)的行為�,通過(guò)傳統(tǒng)的日志審計(jì)手段也遠(yuǎn)遠(yuǎn)不夠。 此時(shí)�����,可以通過(guò)網(wǎng)絡(luò)硬件探測(cè)器的形式對(duì)這些業(yè)務(wù)系統(tǒng)和用戶的操作行為進(jìn)行審計(jì)�����。網(wǎng)絡(luò)硬件探測(cè)器采用旁路部署(共享Hub/交換機(jī)端口鏡像/網(wǎng)絡(luò)分接 TAP)的方式放置在交換機(jī)旁邊����,偵聽(tīng)并分析網(wǎng)絡(luò)訪問(wèn)操作的指令,并轉(zhuǎn)化為操作日志送到SecFox-LAS管理中心進(jìn)行統(tǒng)一審計(jì)�����。SecFox-LAS 自帶網(wǎng)絡(luò)硬件探測(cè)器,用戶也可以使用專(zhuān)門(mén)的網(wǎng)神SecFox-NBA(Network Behavior Analysis)網(wǎng)絡(luò)行為審計(jì)設(shè)備���,他們的工作原理相同����。
根據(jù)部署位置的不同��,SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)分為兩種類(lèi)型:
(1) SecFox-NBA(業(yè)務(wù)審計(jì)型)部署在關(guān)鍵業(yè)務(wù)系統(tǒng)區(qū)域��,對(duì)業(yè)務(wù)行為進(jìn)行網(wǎng)絡(luò)審計(jì)�����,包括對(duì)業(yè)務(wù)系統(tǒng)所在的主機(jī)���、數(shù)據(jù)庫(kù)��、應(yīng)用中間件��、關(guān)鍵網(wǎng)絡(luò)和安全設(shè) 備����、網(wǎng)絡(luò)流量等的審計(jì)。通過(guò)部署SecFox-NBA(業(yè)務(wù)審計(jì)型)能夠有效地防止針對(duì)業(yè)務(wù)系統(tǒng)的違規(guī)操作和行為��,保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)機(jī)器核心數(shù)據(jù)的安全�����。
(2) SecFox-NBA(上網(wǎng)審計(jì)型)則部署在互聯(lián)網(wǎng)出口處����,對(duì)網(wǎng)絡(luò)中所有訪問(wèn)Internet互聯(lián)網(wǎng)的用戶行為和內(nèi)容進(jìn)行審計(jì)�,包括網(wǎng)頁(yè)瀏覽、即時(shí)通訊�����、 網(wǎng)絡(luò)聊天��、網(wǎng)絡(luò)音視頻�、郵件、P2P����、股票、游戲等���。通過(guò)部署SecFox-NBA(上網(wǎng)審計(jì)型)能夠有效地規(guī)范企事業(yè)單位職工的上網(wǎng)行為����,提高互聯(lián)網(wǎng)使 用效率,防止違規(guī)和信息泄漏����。
SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)既可以單獨(dú)部署和使用,也可以與SecFox-LAS日志審計(jì)系統(tǒng)配套使用��。SecFox-NBA可以將所有安全審計(jì)日志發(fā)送到SecFox-LAS進(jìn)行統(tǒng)一安全審計(jì)��。
3) 終端審計(jì)
大量的研究和實(shí)踐表明����,大部分的安全問(wèn)題都出現(xiàn)在用戶網(wǎng)絡(luò)內(nèi)部,而其中網(wǎng)絡(luò)內(nèi)部的終端是最薄弱的環(huán)節(jié)����。不僅因?yàn)榻K端的數(shù)量相對(duì)較大,而且因?yàn)檫@ 些終端設(shè)備的使用者安全意識(shí)較為薄弱���,且較難規(guī)范化管理�。為此,對(duì)于一些安全保障要求較高的單位�,可以在內(nèi)部用戶區(qū)域部署專(zhuān)門(mén)的終端安全審計(jì)系統(tǒng)。網(wǎng)神 SecFox-EPS(Endpoint Protection System)終端安全管理系統(tǒng)能夠有效地對(duì)網(wǎng)絡(luò)內(nèi)部的所有Windows終端設(shè)備進(jìn)行集中統(tǒng)一的管理���,包括資產(chǎn)管理���、軟件分發(fā)、補(bǔ)丁升級(jí)�、統(tǒng)一安全策略 管理、移動(dòng)存儲(chǔ)介質(zhì)管理���、接入控制等。
SecFox-EPS終端安全管理系統(tǒng)包括終端管理中心和運(yùn)行在被管理Windows終端設(shè)備上的安全代理�����,所有的管理功能都通過(guò)管理中心控制安全代理來(lái)實(shí)現(xiàn)���。
SecFox-EPS既能夠單獨(dú)部署和使用���,也可以與SecFox-LAS日志審計(jì)系統(tǒng)配套使用。SecFox-EPS管理端可以將所有安全審計(jì)日志發(fā)送到SecFox-LAS進(jìn)行統(tǒng)一安全審計(jì)����。
4) 統(tǒng)一安全審計(jì)
用戶為了實(shí)現(xiàn)IT網(wǎng)絡(luò)的全面安全審計(jì)而部署的日志審計(jì)���、網(wǎng)絡(luò)行為審計(jì)和終端審計(jì)系統(tǒng)不是彼此割裂的,而能夠統(tǒng)一為一個(gè)整體����。在SecFox統(tǒng)一 安全審計(jì)解決方案中,網(wǎng)御神州將SecFox-LAS升格為統(tǒng)一安全審計(jì)中心�,將SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)和SecFox-EPS終端審計(jì)系 統(tǒng)的審計(jì)信息統(tǒng)一送到SecFox-LAS日志審計(jì)系統(tǒng),與SecFox-LAS收集到的其它網(wǎng)絡(luò)中各種IT資源的日志信息一起進(jìn)行歸一化和關(guān)聯(lián)分析處 理����,統(tǒng)一的進(jìn)行可視化展現(xiàn)、審計(jì)和存儲(chǔ)�����。如果用戶有更多的功能需求���,例如要實(shí)現(xiàn)面向業(yè)務(wù)的安全審計(jì)����,也可以由SecFox-UMS統(tǒng)一管理系統(tǒng)擔(dān)當(dāng)這個(gè)統(tǒng) 一的安全審計(jì)中心�����。SecFox-LAS日志審計(jì)系統(tǒng)相當(dāng)于SecFox-UMS的一個(gè)專(zhuān)注于統(tǒng)一安全審計(jì)的簡(jiǎn)化版。
5) 統(tǒng)一規(guī)劃�����、分布實(shí)施
借助網(wǎng)神SecFox統(tǒng)一安全審計(jì)解決方案���,用戶能夠真正建立起一套針對(duì)全網(wǎng)IT資源的安全審計(jì)體系����。根據(jù)用戶需求的不同階段��,該方案可以做到統(tǒng)一規(guī)劃�����、分步實(shí)施�����,有針對(duì)���、有重點(diǎn)���,逐步實(shí)現(xiàn)統(tǒng)一安全審計(jì)。
7 小結(jié)
安全審計(jì)與安全管理的融合是未來(lái)發(fā)展的必然�,這是客戶需求決定的,也是技術(shù)發(fā)展的必然選擇��。兩者的結(jié)合能夠使得客戶的安全體系建設(shè)目標(biāo)和過(guò)程更加清晰明了��,對(duì)安全管理平臺(tái)帶來(lái)的價(jià)值回報(bào)也有了一種具體體現(xiàn)–用于實(shí)現(xiàn)統(tǒng)一安全審計(jì)����。
8 關(guān)于網(wǎng)御神州的安全管理平臺(tái)
網(wǎng)御神州安全管理團(tuán)隊(duì)根據(jù)長(zhǎng)期以來(lái)在安全管理領(lǐng)域的深入研究,結(jié)合來(lái)自客戶的需求與市場(chǎng)的現(xiàn)狀�����,提出了具有完全自主知識(shí)產(chǎn)權(quán)的�����、面向業(yè)務(wù)的網(wǎng)神SecFox安全管理與審計(jì)產(chǎn)品理念�,尤其強(qiáng)調(diào)網(wǎng)絡(luò)管理、安全管理與運(yùn)維管理的一體化�,為政府、軍隊(duì)�����、公安、稅務(wù)���、電力�����、保險(xiǎn)���、電信、金融�、交通、醫(yī)療���、制造�、廣電等各個(gè)領(lǐng)域的客戶提供全面的安全運(yùn)營(yíng)保障平臺(tái)�。網(wǎng)御神州建立了專(zhuān)門(mén)的安全管理研發(fā)和實(shí)施隊(duì)伍–SOC事業(yè)部,在國(guó)內(nèi)市場(chǎng)突飛猛進(jìn)�����,取得了令人矚目的市場(chǎng)成就���。在CCID2008年和2009年《中國(guó)信息安全產(chǎn)品市場(chǎng)研究年度報(bào)告》中網(wǎng)御神州連續(xù)兩年位居安全管理(SOC)市場(chǎng)第一名����,成為了中國(guó)安全管理市場(chǎng)的領(lǐng)導(dǎo)廠商�。
