大云網信息安全系統(tǒng)安全正文

深入SOC2.0 安全審計與安管平臺融合

2013-10-22 10:20:35 Net硅谷動力　點擊量：評論 (0)

隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對加強內部安全的重視、以及內控與合規(guī)性要求的不斷提升，安全審計技術和產品得到了廣泛的應用?，F在，客戶已經認識到單一的安全審計產品無法滿足實際要求，需要一套

審計對象和審計技術手段已經詳細闡述過，這里，審計目標就是IT安全審計定義中的目標，包括：

　　判定現有IT安全控制的有效性；

　　檢查IT系統(tǒng)的誤用和濫用行為；

　　驗證當前安全策略的合規(guī)性；

　　獲取犯罪和違規(guī)的證據；

　　確認必要的記錄被文檔化；

　　檢測網絡異常和入侵。

　　針對不同的審計目標，審計需求分解會不一樣，進而審計對象和技術的選擇也會有所不同。對于不同的審計對象，每種審計手段都各有利弊。

隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對加強內部安全的重視、以及內控與合規(guī)性要求的不斷提升，安全審計技術和產品得到了廣泛的應用?，F在，客戶已經認識到單一的安全審計產品無法滿足實際要求，需要一套體系化的安全審計平臺，以及將這個審計平臺與安全管理平臺進行整合。作為本系列的第三篇文章，將詳細闡述SOC2.0是如何將安全審計體系與安全管理平臺整合到一起的，并以網御神州SecFox安全管理與審計解決方案做為示例。

　　1安全審計的定義和組成

　　安全審計，本文專指IT安全審計，是一套對IT系統(tǒng)及其應用進行量化檢查與評估的技術和過程。安全審計通過對IT系統(tǒng)中相關信息的收集、分析和報告，來判定現有IT安全控制的有效性，檢查IT系統(tǒng)的誤用和濫用行為，驗證當前安全策略的合規(guī)性，獲取犯罪和違規(guī)的證據，確認必要的記錄被文檔化，以及檢測網絡異常和入侵。

　　根據GB/T 20945-2007《信息安全技術——信息系統(tǒng)安全審計產品技術要求和評價方法》，安全審計被定義為對信息系統(tǒng)的各種事件及行為實行監(jiān)測、信息采集、分析并針對特定事件及行為采取相應比較動作。信息系統(tǒng)安全審計產品為評估信息系統(tǒng)的安全性和風險、完善安全策略的制定提供審計數據和審計服務支撐，從而達到保障信息系統(tǒng)正常運行的目的。同時，信息系統(tǒng)安全審計產品對信息系統(tǒng)各組成要素進行事件采集，將采集數據進行自動綜合和系統(tǒng)分析，能夠提高信息系統(tǒng)安全管理的效率。

　　對于一款安全審計產品，從產品功能組成上應該包括以下幾個部分：

　?。ǎ保┬畔⒉杉δ埽寒a品能夠通過某種技術手段獲取需要審計的數據，例如日志，網絡數據包等。對于該功能，關鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（細致程度）。如果采用數據包審計技術，網絡協議抓包和分析引擎顯得尤為重要；如果采用日志審計技術，日志歸一化技術則是體現產品專業(yè)能力的地方；如果采用宿主代理審計技術，代理程序對宿主的兼容性、影響性是很關鍵的環(huán)節(jié)。

　?。ǎ玻┬畔⒎治龉δ埽菏侵笇τ诓杉蟻淼男畔⑦M行分析、審計。這是審計產品的核心，審計效果好壞直接由此體現出來。在實現信息分析的技術上，簡單的技術可以是基于數據庫的信息查詢和比較；復雜的技術則包括實時關聯分析引擎技術，采用基于規(guī)則的審計、基于統(tǒng)計的審計、基于時序的審計，以及基于人工智能的審計算法，等等。

　　（３）信息存儲功能：對于采集到原始信息，以及審計后的信息都要進行保存，備查，并可以作為取證的依據。在該功能的實現上，關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。

　?。ǎ矗┬畔⒄故竟δ埽喊▽徲嫿Y果展示界面、統(tǒng)計分析報表功能、告警響應功能、設備聯動功能，等等。這部分功能是審計效果的最直接體現，審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。

　?。ǎ担┊a品自身安全性和可審計性功能：審計產品自身必須是安全的，包括要確保審計數據的完整性、機密性和有效性，對審計系統(tǒng)的訪問要安全。此外，所有針對審計產品的訪問和操作也要記錄日志，并且能夠被審計。

　　2安全審計技術分析

當前，隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對加強內部安全的重視、以及內控與合規(guī)性要求的不斷提升，安全審計技術和產品得到了廣泛的應用。一方面，企業(yè)和組織對安全的建設思路已經開始從以防外為主的策略，逐步轉為以防內為主、內外兼顧的策略，安全審計技術和產品成為安全防御縱深的延伸和安全體系建設中的必要一環(huán)，大量地應用于防范內部違規(guī)和內部用戶行為異常。另一方面，