圖:審計(jì)對(duì)象與審計(jì)技術(shù)的一般性對(duì)應(yīng)關(guān)系
4 安全審計(jì)需要體系化的審計(jì)模型
隨著對(duì)審計(jì)的日益重視����,客戶部署了越來越多的單一型安全審計(jì)產(chǎn)品。現(xiàn)在,客戶已經(jīng)認(rèn)識(shí)到��,要在企業(yè)和組織中實(shí)現(xiàn)有效的安全審計(jì)��,依靠某一類安全 審計(jì)產(chǎn)品往往是不夠的����。這些審計(jì)系統(tǒng)從各自的角度對(duì)特定的信息對(duì)象進(jìn)行審計(jì),雖然專業(yè)�����,但是卻增加了運(yùn)維和審計(jì)人員的工作量����,同時(shí)審計(jì)系統(tǒng)之間缺乏必要的 信息交換?���?蛻粜枰⒁粋€(gè)安全審計(jì)的體系,以及一套體系化的安全審計(jì)平臺(tái)����。通過前面安全審計(jì)產(chǎn)品選型過程的分析���,也可以看出來��,每種審計(jì)技術(shù)和產(chǎn)品都有 其適用性��,有利有弊���,需要根據(jù)安全目標(biāo)進(jìn)行綜合考量��。為此����,客戶需要一個(gè)統(tǒng)一安全審計(jì)的架構(gòu)和模型����。
統(tǒng)一安全審計(jì)架構(gòu)應(yīng)該是一個(gè)點(diǎn)面結(jié)合的綜合審計(jì)模型。面是指統(tǒng)一審計(jì)平臺(tái)和日志審計(jì)�,是統(tǒng)一安全審計(jì)的基礎(chǔ)和基本組成,包括用戶的統(tǒng)一操作界面����。需要強(qiáng)調(diào)的是,日志審計(jì)由于其普適性而成為統(tǒng)一安全審計(jì)的基礎(chǔ)平臺(tái)的一部分��。
點(diǎn)作為面的補(bǔ)充��,針對(duì)更高安全審計(jì)要求的安全域進(jìn)行有針對(duì)性的審計(jì),成為專項(xiàng)審計(jì)�����,并且要無縫的融入到面之中����。 典型的點(diǎn)審計(jì)(專項(xiàng)審計(jì))有:
(1) 針對(duì)業(yè)務(wù)系統(tǒng)安全域的增強(qiáng)性審計(jì):主機(jī)和服務(wù)器審計(jì)、數(shù)據(jù)庫(kù)審計(jì)���、應(yīng)用和業(yè)務(wù)審計(jì);
(2) 針對(duì)網(wǎng)絡(luò)區(qū)域的增強(qiáng)性審計(jì):網(wǎng)絡(luò)審計(jì)��、設(shè)備審計(jì);
(3) 針對(duì)辦公區(qū)域用戶上網(wǎng)行為的審計(jì);
(4) 針對(duì)終端區(qū)域操作的審計(jì);
在這個(gè)審計(jì)模型中����,日志審計(jì)是核心��。統(tǒng)一安全審計(jì)模型如下圖所示:
圖:統(tǒng)一安全審計(jì)模型
在運(yùn)用統(tǒng)一安全審計(jì)模型的時(shí)候�,客戶首先搭建起一個(gè)可擴(kuò)展的安全審計(jì)基礎(chǔ)平臺(tái),并建立起日志審計(jì)體系及其審計(jì)用戶界面���。此時(shí)����,審計(jì)的功能和目標(biāo) 不必太多���,重點(diǎn)放在對(duì)最廣泛的IT資源采集日志����,進(jìn)行基礎(chǔ)性審計(jì)之上�����。由于日志審計(jì)能力所限�,對(duì)于一些重要的安全區(qū)域需要采用增強(qiáng)的專項(xiàng)審計(jì)機(jī)制,例如對(duì) 網(wǎng)絡(luò)區(qū)域的審計(jì)���、對(duì)辦公區(qū)域的審計(jì)�、對(duì)業(yè)務(wù)核心系統(tǒng)區(qū)域的審計(jì)��,等等��。每類專項(xiàng)審計(jì)都采用具有專門技術(shù)的審計(jì)產(chǎn)品��,例如基于本機(jī)代理的終端安全審計(jì)產(chǎn)品��, 基于網(wǎng)絡(luò)協(xié)議分析的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品和用戶上網(wǎng)行為審計(jì)產(chǎn)品����,等等����。每類專項(xiàng)審計(jì)產(chǎn)品都必須實(shí)現(xiàn)統(tǒng)一安全審計(jì)基礎(chǔ)平臺(tái)的互聯(lián)��。最基本的互聯(lián)就是各個(gè)專項(xiàng)審計(jì) 產(chǎn)品能夠?qū)⑺麄兊膶徲?jì)結(jié)果以告警或者日志的形式發(fā)送給審計(jì)基礎(chǔ)平臺(tái)����,由基礎(chǔ)審計(jì)平臺(tái)上的日志審計(jì)模塊通過關(guān)聯(lián)分析和告警給客戶進(jìn)行統(tǒng)一的展示,并通過基礎(chǔ) 平臺(tái)向各個(gè)專項(xiàng)審計(jì)產(chǎn)品下發(fā)控制指令��,由各個(gè)專項(xiàng)審計(jì)產(chǎn)品執(zhí)行控制指令�,阻斷或者抑制違規(guī)行為。
5 將安全審計(jì)與安全管理平臺(tái)(SOC)進(jìn)行整合
通過對(duì)安全審計(jì)進(jìn)行統(tǒng)一建模���,我們可以發(fā)現(xiàn)�,這個(gè)統(tǒng)一安全審計(jì)模型與安全管理平臺(tái)(SOC)架構(gòu)具備天然的相似性�,他們都具有信息的采集、分析���、存儲(chǔ)和展示等功能組成����,他們都強(qiáng)調(diào)對(duì)全網(wǎng)IT資源進(jìn)行一體化的監(jiān)控與審計(jì)。
同時(shí)��,對(duì)于已經(jīng)或者即將建立統(tǒng)一安全管理平臺(tái)(SOC)的用戶而言���,為了不增加安全體系的復(fù)雜性,需要將安全審計(jì)的需求與SOC需求一并進(jìn)行統(tǒng)籌考慮�����。
在本系列文章的第二篇�,我們已經(jīng)分析了SOC2.0的統(tǒng)一管理模型,如下圖所示:
圖:SOC2.0的統(tǒng)一管理模型
對(duì)比兩個(gè)模型����,可以發(fā)現(xiàn),本質(zhì)上��,統(tǒng)一安全審計(jì)模型就是統(tǒng)一管理平臺(tái)(SOC2.0)的一個(gè)縱向子集����,只是更加關(guān)注于審計(jì)這個(gè)功能維度而已。此 外��,由于SOC2.0模型本身具備可裁剪性�,因而這種融合也具有了可行性�。如下圖所示�����,展示了統(tǒng)一安全審計(jì)在SOC2.0中的映射關(guān)系:
圖:安全審計(jì)與安全管理平臺(tái)的融合
通過安全審計(jì)與安全管理平臺(tái)的融合���,使得安全審計(jì)體系的建設(shè)與安全管理體系的建設(shè)目標(biāo)達(dá)成了一致���,有助于企業(yè)整體安全體系的形成和完善。對(duì)于客戶而言����,下一代的安全管理平臺(tái)(SOC2.0)始終是IT管理的終極管理平臺(tái)、一體化的平臺(tái)����。
此外,借助統(tǒng)一安全審計(jì)體系與SOC2.0的整合�����,傳統(tǒng)的對(duì)象安全審計(jì)提升到了業(yè)務(wù)安全審計(jì)的層面���,更加體現(xiàn)出了統(tǒng)一安全審計(jì)給客戶的價(jià)值���。例如���,借助SOC2.0的關(guān)聯(lián)分析引擎和業(yè)務(wù)規(guī)則描述語言,用戶可以定義如下的業(yè)務(wù)審計(jì)規(guī)則����,并真正得以執(zhí)行:
SOC2.0基于規(guī)則的關(guān)聯(lián)分析引擎能夠?qū)I(yè)務(wù)規(guī)則描述轉(zhuǎn)化為針對(duì)具體資產(chǎn)對(duì)象的審計(jì)規(guī)則����,并根據(jù)從專項(xiàng)的日志審計(jì)產(chǎn)品、終端審計(jì)產(chǎn)品�、數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品和應(yīng)用審計(jì)產(chǎn)品中收集上來的信息進(jìn)行關(guān)聯(lián)分析,進(jìn)行審計(jì)規(guī)則匹配�����,發(fā)現(xiàn)違規(guī)行為并進(jìn)行告警和響應(yīng)�����。
6 實(shí)例分析:網(wǎng)御神州SecFox安全管理與審計(jì)解決方案
網(wǎng)御神州根據(jù)用戶的需求�����,以及自身在安全管理與審計(jì)領(lǐng)域的長(zhǎng)期積累����,在SOC2.0的代表性產(chǎn)品SecFox-UMS統(tǒng)一管理系統(tǒng)的基礎(chǔ)上提出 了SecFox統(tǒng)一安全審計(jì)解決方案。該解決方案能夠?qū)θW(wǎng)各種對(duì)象和行為進(jìn)行審計(jì)����,同時(shí)充分考慮到審計(jì)的針對(duì)性和可行性,并提供給用戶一套統(tǒng)一的審計(jì)中 心和審計(jì)界面��。
欲獲取更多關(guān)于網(wǎng)御神州SecFox安全管理與審計(jì)系統(tǒng)技術(shù)���、產(chǎn)品�、解決方案的信息�,請(qǐng)?jiān)L問網(wǎng)御神州安全管理官方網(wǎng)站:http://www.legendsec.com/newsec.php?up=3&cid=3。
SecFox統(tǒng)一安全審計(jì)解決方案包括四個(gè)部分:日志審計(jì)��、網(wǎng)絡(luò)行為審計(jì)�����、終端審計(jì)和統(tǒng)一安全審計(jì)平臺(tái)�����。
1) 日志審計(jì)
日志審計(jì)是整個(gè)綜合安全審計(jì)解決方案的核心和基礎(chǔ)。IT網(wǎng)絡(luò)中大部分的設(shè)備和系統(tǒng)都能夠產(chǎn)生日志����,這些日志能夠反映網(wǎng)絡(luò)、訪問者�,以及設(shè)備或系 統(tǒng)自身的操作和行為。網(wǎng)神SecFox-LAS日志審計(jì)系統(tǒng)能夠?qū)⑦@些日志統(tǒng)一的收集起來����,進(jìn)行歸一化和關(guān)聯(lián)分析,實(shí)現(xiàn)全網(wǎng)IT環(huán)境的集中安全審計(jì)�����。通過 SecFox-LAS日志審計(jì)系統(tǒng)���,用戶能夠?qū)崿F(xiàn)大部分的安全審計(jì)目標(biāo)。
2) 網(wǎng)絡(luò)行為審計(jì)
對(duì)于用戶IT網(wǎng)絡(luò)中比較重要的區(qū)域�����,或者關(guān)鍵的業(yè)務(wù)系統(tǒng)����,僅僅借助系統(tǒng)日志進(jìn)行審計(jì)是不充分的��,有時(shí)候也是不可行的�。例如某些業(yè)務(wù)系統(tǒng)本身沒有 日志記錄功能�,或者某些業(yè)務(wù)系統(tǒng)由于其自身重要性不能運(yùn)行日志采集器,等等����。此外,針對(duì)網(wǎng)絡(luò)中用戶訪問互聯(lián)網(wǎng)的行為���,通過傳統(tǒng)的日志審計(jì)手段也遠(yuǎn)遠(yuǎn)不夠��。 此時(shí)�����,可以通過網(wǎng)絡(luò)硬件探測(cè)器的形式對(duì)這些業(yè)務(wù)系統(tǒng)和用戶的操作行為進(jìn)行審計(jì)��。網(wǎng)絡(luò)硬件探測(cè)器采用旁路部署(共享Hub/交換機(jī)端口鏡像/網(wǎng)絡(luò)分接 TAP)的方式放置在交換機(jī)旁邊��,偵聽并分析網(wǎng)絡(luò)訪問操作的指令��,并轉(zhuǎn)化為操作日志送到SecFox-LAS管理中心進(jìn)行統(tǒng)一審計(jì)��。SecFox-LAS 自帶網(wǎng)絡(luò)硬件探測(cè)器��,用戶也可以使用專門的網(wǎng)神SecFox-NBA(Network Behavior Analysis)網(wǎng)絡(luò)行為審計(jì)設(shè)備����,他們的工作原理相同。
根據(jù)部署位置的不同�����,SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)分為兩種類型:
(1) SecFox-NBA(業(yè)務(wù)審計(jì)型)部署在關(guān)鍵業(yè)務(wù)系統(tǒng)區(qū)域���,對(duì)業(yè)務(wù)行為進(jìn)行網(wǎng)絡(luò)審計(jì)���,包括對(duì)業(yè)務(wù)系統(tǒng)所在的主機(jī)、數(shù)據(jù)庫(kù)�����、應(yīng)用中間件�����、關(guān)鍵網(wǎng)絡(luò)和安全設(shè) 備��、網(wǎng)絡(luò)流量等的審計(jì)�����。通過部署SecFox-NBA(業(yè)務(wù)審計(jì)型)能夠有效地防止針對(duì)業(yè)務(wù)系統(tǒng)的違規(guī)操作和行為�����,保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)機(jī)器核心數(shù)據(jù)的安全�����。
(2) SecFox-NBA(上網(wǎng)審計(jì)型)則部署在互聯(lián)網(wǎng)出口處���,對(duì)網(wǎng)絡(luò)中所有訪問Internet互聯(lián)網(wǎng)的用戶行為和內(nèi)容進(jìn)行審計(jì)����,包括網(wǎng)頁(yè)瀏覽����、即時(shí)通訊、 網(wǎng)絡(luò)聊天��、網(wǎng)絡(luò)音視頻��、郵件、P2P��、股票�、游戲等。通過部署SecFox-NBA(上網(wǎng)審計(jì)型)能夠有效地規(guī)范企事業(yè)單位職工的上網(wǎng)行為�����,提高互聯(lián)網(wǎng)使 用效率�,防止違規(guī)和信息泄漏。
SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)既可以單獨(dú)部署和使用�,也可以與SecFox-LAS日志審計(jì)系統(tǒng)配套使用。SecFox-NBA可以將所有安全審計(jì)日志發(fā)送到SecFox-LAS進(jìn)行統(tǒng)一安全審計(jì)����。
3) 終端審計(jì)
大量的研究和實(shí)踐表明,大部分的安全問題都出現(xiàn)在用戶網(wǎng)絡(luò)內(nèi)部�,而其中網(wǎng)絡(luò)內(nèi)部的終端是最薄弱的環(huán)節(jié)。不僅因?yàn)榻K端的數(shù)量相對(duì)較大�����,而且因?yàn)檫@ 些終端設(shè)備的使用者安全意識(shí)較為薄弱�����,且較難規(guī)范化管理��。為此�����,對(duì)于一些安全保障要求較高的單位����,可以在內(nèi)部用戶區(qū)域部署專門的終端安全審計(jì)系統(tǒng)。網(wǎng)神 SecFox-EPS(Endpoint Protection System)終端安全管理系統(tǒng)能夠有效地對(duì)網(wǎng)絡(luò)內(nèi)部的所有Windows終端設(shè)備進(jìn)行集中統(tǒng)一的管理����,包括資產(chǎn)管理、軟件分發(fā)���、補(bǔ)丁升級(jí)��、統(tǒng)一安全策略 管理��、移動(dòng)存儲(chǔ)介質(zhì)管理���、接入控制等。
SecFox-EPS終端安全管理系統(tǒng)包括終端管理中心和運(yùn)行在被管理Windows終端設(shè)備上的安全代理�����,所有的管理功能都通過管理中心控制安全代理來實(shí)現(xiàn)。
SecFox-EPS既能夠單獨(dú)部署和使用�����,也可以與SecFox-LAS日志審計(jì)系統(tǒng)配套使用��。SecFox-EPS管理端可以將所有安全審計(jì)日志發(fā)送到SecFox-LAS進(jìn)行統(tǒng)一安全審計(jì)�。
4) 統(tǒng)一安全審計(jì)
用戶為了實(shí)現(xiàn)IT網(wǎng)絡(luò)的全面安全審計(jì)而部署的日志審計(jì)、網(wǎng)絡(luò)行為審計(jì)和終端審計(jì)系統(tǒng)不是彼此割裂的�,而能夠統(tǒng)一為一個(gè)整體。在SecFox統(tǒng)一 安全審計(jì)解決方案中����,網(wǎng)御神州將SecFox-LAS升格為統(tǒng)一安全審計(jì)中心,將SecFox-NBA網(wǎng)絡(luò)行為審計(jì)系統(tǒng)和SecFox-EPS終端審計(jì)系 統(tǒng)的審計(jì)信息統(tǒng)一送到SecFox-LAS日志審計(jì)系統(tǒng)�,與SecFox-LAS收集到的其它網(wǎng)絡(luò)中各種IT資源的日志信息一起進(jìn)行歸一化和關(guān)聯(lián)分析處 理,統(tǒng)一的進(jìn)行可視化展現(xiàn)�����、審計(jì)和存儲(chǔ)���。如果用戶有更多的功能需求���,例如要實(shí)現(xiàn)面向業(yè)務(wù)的安全審計(jì),也可以由SecFox-UMS統(tǒng)一管理系統(tǒng)擔(dān)當(dāng)這個(gè)統(tǒng) 一的安全審計(jì)中心���。SecFox-LAS日志審計(jì)系統(tǒng)相當(dāng)于SecFox-UMS的一個(gè)專注于統(tǒng)一安全審計(jì)的簡(jiǎn)化版��。
5) 統(tǒng)一規(guī)劃���、分布實(shí)施
借助網(wǎng)神SecFox統(tǒng)一安全審計(jì)解決方案,用戶能夠真正建立起一套針對(duì)全網(wǎng)IT資源的安全審計(jì)體系�����。根據(jù)用戶需求的不同階段�,該方案可以做到統(tǒng)一規(guī)劃、分步實(shí)施�,有針對(duì)、有重點(diǎn)��,逐步實(shí)現(xiàn)統(tǒng)一安全審計(jì)�。
7 小結(jié)
安全審計(jì)與安全管理的融合是未來發(fā)展的必然,這是客戶需求決定的�,也是技術(shù)發(fā)展的必然選擇。兩者的結(jié)合能夠使得客戶的安全體系建設(shè)目標(biāo)和過程更加清晰明了�����,對(duì)安全管理平臺(tái)帶來的價(jià)值回報(bào)也有了一種具體體現(xiàn)–用于實(shí)現(xiàn)統(tǒng)一安全審計(jì)。
8 關(guān)于網(wǎng)御神州的安全管理平臺(tái)
網(wǎng)御神州安全管理團(tuán)隊(duì)根據(jù)長(zhǎng)期以來在安全管理領(lǐng)域的深入研究����,結(jié)合來自客戶的需求與市場(chǎng)的現(xiàn)狀,提出了具有完全自主知識(shí)產(chǎn)權(quán)的��、面向業(yè)務(wù)的網(wǎng)神SecFox安全管理與審計(jì)產(chǎn)品理念���,尤其強(qiáng)調(diào)網(wǎng)絡(luò)管理��、安全管理與運(yùn)維管理的一體化��,為政府�、軍隊(duì)�����、公安���、稅務(wù)��、電力����、保險(xiǎn)、電信����、金融���、交通�����、醫(yī)療�、制造���、廣電等各個(gè)領(lǐng)域的客戶提供全面的安全運(yùn)營(yíng)保障平臺(tái)���。網(wǎng)御神州建立了專門的安全管理研發(fā)和實(shí)施隊(duì)伍–SOC事業(yè)部,在國(guó)內(nèi)市場(chǎng)突飛猛進(jìn)�,取得了令人矚目的市場(chǎng)成就。在CCID2008年和2009年《中國(guó)信息安全產(chǎn)品市場(chǎng)研究年度報(bào)告》中網(wǎng)御神州連續(xù)兩年位居安全管理(SOC)市場(chǎng)第一名�,成為了中國(guó)安全管理市場(chǎng)的領(lǐng)導(dǎo)廠商。
