圖:審計對象與審計技術的一般性對應關系
4 安全審計需要體系化的審計模型
隨著對審計的日益重視,客戶部署了越來越多的單一型安全審計產(chǎn)品。現(xiàn)在,客戶已經(jīng)認識到,要在企業(yè)和組織中實現(xiàn)有效的安全審計,依靠某一類安全 審計產(chǎn)品往往是不夠的。這些審計系統(tǒng)從各自的角度對特定的信息對象進行審計,雖然專業(yè),但是卻增加了運維和審計人員的工作量,同時審計系統(tǒng)之間缺乏必要的 信息交換??蛻粜枰⒁粋€安全審計的體系,以及一套體系化的安全審計平臺。通過前面安全審計產(chǎn)品選型過程的分析,也可以看出來,每種審計技術和產(chǎn)品都有 其適用性,有利有弊,需要根據(jù)安全目標進行綜合考量。為此,客戶需要一個統(tǒng)一安全審計的架構和模型。
統(tǒng)一安全審計架構應該是一個點面結(jié)合的綜合審計模型。面是指統(tǒng)一審計平臺和日志審計,是統(tǒng)一安全審計的基礎和基本組成,包括用戶的統(tǒng)一操作界面。需要強調(diào)的是,日志審計由于其普適性而成為統(tǒng)一安全審計的基礎平臺的一部分。
點作為面的補充,針對更高安全審計要求的安全域進行有針對性的審計,成為專項審計,并且要無縫的融入到面之中。 典型的點審計(專項審計)有:
(1) 針對業(yè)務系統(tǒng)安全域的增強性審計:主機和服務器審計、數(shù)據(jù)庫審計、應用和業(yè)務審計;
(2) 針對網(wǎng)絡區(qū)域的增強性審計:網(wǎng)絡審計、設備審計;
(3) 針對辦公區(qū)域用戶上網(wǎng)行為的審計;
(4) 針對終端區(qū)域操作的審計;
在這個審計模型中,日志審計是核心。統(tǒng)一安全審計模型如下圖所示:
圖:統(tǒng)一安全審計模型
在運用統(tǒng)一安全審計模型的時候,客戶首先搭建起一個可擴展的安全審計基礎平臺,并建立起日志審計體系及其審計用戶界面。此時,審計的功能和目標 不必太多,重點放在對最廣泛的IT資源采集日志,進行基礎性審計之上。由于日志審計能力所限,對于一些重要的安全區(qū)域需要采用增強的專項審計機制,例如對 網(wǎng)絡區(qū)域的審計、對辦公區(qū)域的審計、對業(yè)務核心系統(tǒng)區(qū)域的審計,等等。每類專項審計都采用具有專門技術的審計產(chǎn)品,例如基于本機代理的終端安全審計產(chǎn)品, 基于網(wǎng)絡協(xié)議分析的數(shù)據(jù)庫審計產(chǎn)品和用戶上網(wǎng)行為審計產(chǎn)品,等等。每類專項審計產(chǎn)品都必須實現(xiàn)統(tǒng)一安全審計基礎平臺的互聯(lián)。最基本的互聯(lián)就是各個專項審計 產(chǎn)品能夠?qū)⑺麄兊膶徲嫿Y(jié)果以告警或者日志的形式發(fā)送給審計基礎平臺,由基礎審計平臺上的日志審計模塊通過關聯(lián)分析和告警給客戶進行統(tǒng)一的展示,并通過基礎 平臺向各個專項審計產(chǎn)品下發(fā)控制指令,由各個專項審計產(chǎn)品執(zhí)行控制指令,阻斷或者抑制違規(guī)行為。
5 將安全審計與安全管理平臺(SOC)進行整合
通過對安全審計進行統(tǒng)一建模,我們可以發(fā)現(xiàn),這個統(tǒng)一安全審計模型與安全管理平臺(SOC)架構具備天然的相似性,他們都具有信息的采集、分析、存儲和展示等功能組成,他們都強調(diào)對全網(wǎng)IT資源進行一體化的監(jiān)控與審計。
同時,對于已經(jīng)或者即將建立統(tǒng)一安全管理平臺(SOC)的用戶而言,為了不增加安全體系的復雜性,需要將安全審計的需求與SOC需求一并進行統(tǒng)籌考慮。
在本系列文章的第二篇,我們已經(jīng)分析了SOC2.0的統(tǒng)一管理模型,如下圖所示:
圖:SOC2.0的統(tǒng)一管理模型
對比兩個模型,可以發(fā)現(xiàn),本質(zhì)上,統(tǒng)一安全審計模型就是統(tǒng)一管理平臺(SOC2.0)的一個縱向子集,只是更加關注于審計這個功能維度而已。此 外,由于SOC2.0模型本身具備可裁剪性,因而這種融合也具有了可行性。如下圖所示,展示了統(tǒng)一安全審計在SOC2.0中的映射關系:
圖:安全審計與安全管理平臺的融合
通過安全審計與安全管理平臺的融合,使得安全審計體系的建設與安全管理體系的建設目標達成了一致,有助于企業(yè)整體安全體系的形成和完善。對于客戶而言,下一代的安全管理平臺(SOC2.0)始終是IT管理的終極管理平臺、一體化的平臺。
此外,借助統(tǒng)一安全審計體系與SOC2.0的整合,傳統(tǒng)的對象安全審計提升到了業(yè)務安全審計的層面,更加體現(xiàn)出了統(tǒng)一安全審計給客戶的價值。例如,借助SOC2.0的關聯(lián)分析引擎和業(yè)務規(guī)則描述語言,用戶可以定義如下的業(yè)務審計規(guī)則,并真正得以執(zhí)行:
SOC2.0基于規(guī)則的關聯(lián)分析引擎能夠?qū)I(yè)務規(guī)則描述轉(zhuǎn)化為針對具體資產(chǎn)對象的審計規(guī)則,并根據(jù)從專項的日志審計產(chǎn)品、終端審計產(chǎn)品、數(shù)據(jù)庫審計產(chǎn)品和應用審計產(chǎn)品中收集上來的信息進行關聯(lián)分析,進行審計規(guī)則匹配,發(fā)現(xiàn)違規(guī)行為并進行告警和響應。
6 實例分析:網(wǎng)御神州SecFox安全管理與審計解決方案
網(wǎng)御神州根據(jù)用戶的需求,以及自身在安全管理與審計領域的長期積累,在SOC2.0的代表性產(chǎn)品SecFox-UMS統(tǒng)一管理系統(tǒng)的基礎上提出 了SecFox統(tǒng)一安全審計解決方案。該解決方案能夠?qū)θW(wǎng)各種對象和行為進行審計,同時充分考慮到審計的針對性和可行性,并提供給用戶一套統(tǒng)一的審計中 心和審計界面。
欲獲取更多關于網(wǎng)御神州SecFox安全管理與審計系統(tǒng)技術、產(chǎn)品、解決方案的信息,請訪問網(wǎng)御神州安全管理官方網(wǎng)站:http://www.legendsec.com/newsec.php?up=3&cid=3。
SecFox統(tǒng)一安全審計解決方案包括四個部分:日志審計、網(wǎng)絡行為審計、終端審計和統(tǒng)一安全審計平臺。
1) 日志審計
日志審計是整個綜合安全審計解決方案的核心和基礎。IT網(wǎng)絡中大部分的設備和系統(tǒng)都能夠產(chǎn)生日志,這些日志能夠反映網(wǎng)絡、訪問者,以及設備或系 統(tǒng)自身的操作和行為。網(wǎng)神SecFox-LAS日志審計系統(tǒng)能夠?qū)⑦@些日志統(tǒng)一的收集起來,進行歸一化和關聯(lián)分析,實現(xiàn)全網(wǎng)IT環(huán)境的集中安全審計。通過 SecFox-LAS日志審計系統(tǒng),用戶能夠?qū)崿F(xiàn)大部分的安全審計目標。
2) 網(wǎng)絡行為審計
對于用戶IT網(wǎng)絡中比較重要的區(qū)域,或者關鍵的業(yè)務系統(tǒng),僅僅借助系統(tǒng)日志進行審計是不充分的,有時候也是不可行的。例如某些業(yè)務系統(tǒng)本身沒有 日志記錄功能,或者某些業(yè)務系統(tǒng)由于其自身重要性不能運行日志采集器,等等。此外,針對網(wǎng)絡中用戶訪問互聯(lián)網(wǎng)的行為,通過傳統(tǒng)的日志審計手段也遠遠不夠。 此時,可以通過網(wǎng)絡硬件探測器的形式對這些業(yè)務系統(tǒng)和用戶的操作行為進行審計。網(wǎng)絡硬件探測器采用旁路部署(共享Hub/交換機端口鏡像/網(wǎng)絡分接 TAP)的方式放置在交換機旁邊,偵聽并分析網(wǎng)絡訪問操作的指令,并轉(zhuǎn)化為操作日志送到SecFox-LAS管理中心進行統(tǒng)一審計。SecFox-LAS 自帶網(wǎng)絡硬件探測器,用戶也可以使用專門的網(wǎng)神SecFox-NBA(Network Behavior Analysis)網(wǎng)絡行為審計設備,他們的工作原理相同。
根據(jù)部署位置的不同,SecFox-NBA網(wǎng)絡行為審計系統(tǒng)分為兩種類型:
(1) SecFox-NBA(業(yè)務審計型)部署在關鍵業(yè)務系統(tǒng)區(qū)域,對業(yè)務行為進行網(wǎng)絡審計,包括對業(yè)務系統(tǒng)所在的主機、數(shù)據(jù)庫、應用中間件、關鍵網(wǎng)絡和安全設 備、網(wǎng)絡流量等的審計。通過部署SecFox-NBA(業(yè)務審計型)能夠有效地防止針對業(yè)務系統(tǒng)的違規(guī)操作和行為,保護關鍵業(yè)務系統(tǒng)機器核心數(shù)據(jù)的安全。
(2) SecFox-NBA(上網(wǎng)審計型)則部署在互聯(lián)網(wǎng)出口處,對網(wǎng)絡中所有訪問Internet互聯(lián)網(wǎng)的用戶行為和內(nèi)容進行審計,包括網(wǎng)頁瀏覽、即時通訊、 網(wǎng)絡聊天、網(wǎng)絡音視頻、郵件、P2P、股票、游戲等。通過部署SecFox-NBA(上網(wǎng)審計型)能夠有效地規(guī)范企事業(yè)單位職工的上網(wǎng)行為,提高互聯(lián)網(wǎng)使 用效率,防止違規(guī)和信息泄漏。
SecFox-NBA網(wǎng)絡行為審計系統(tǒng)既可以單獨部署和使用,也可以與SecFox-LAS日志審計系統(tǒng)配套使用。SecFox-NBA可以將所有安全審計日志發(fā)送到SecFox-LAS進行統(tǒng)一安全審計。
3) 終端審計
大量的研究和實踐表明,大部分的安全問題都出現(xiàn)在用戶網(wǎng)絡內(nèi)部,而其中網(wǎng)絡內(nèi)部的終端是最薄弱的環(huán)節(jié)。不僅因為終端的數(shù)量相對較大,而且因為這 些終端設備的使用者安全意識較為薄弱,且較難規(guī)范化管理。為此,對于一些安全保障要求較高的單位,可以在內(nèi)部用戶區(qū)域部署專門的終端安全審計系統(tǒng)。網(wǎng)神 SecFox-EPS(Endpoint Protection System)終端安全管理系統(tǒng)能夠有效地對網(wǎng)絡內(nèi)部的所有Windows終端設備進行集中統(tǒng)一的管理,包括資產(chǎn)管理、軟件分發(fā)、補丁升級、統(tǒng)一安全策略 管理、移動存儲介質(zhì)管理、接入控制等。
SecFox-EPS終端安全管理系統(tǒng)包括終端管理中心和運行在被管理Windows終端設備上的安全代理,所有的管理功能都通過管理中心控制安全代理來實現(xiàn)。
SecFox-EPS既能夠單獨部署和使用,也可以與SecFox-LAS日志審計系統(tǒng)配套使用。SecFox-EPS管理端可以將所有安全審計日志發(fā)送到SecFox-LAS進行統(tǒng)一安全審計。
4) 統(tǒng)一安全審計
用戶為了實現(xiàn)IT網(wǎng)絡的全面安全審計而部署的日志審計、網(wǎng)絡行為審計和終端審計系統(tǒng)不是彼此割裂的,而能夠統(tǒng)一為一個整體。在SecFox統(tǒng)一 安全審計解決方案中,網(wǎng)御神州將SecFox-LAS升格為統(tǒng)一安全審計中心,將SecFox-NBA網(wǎng)絡行為審計系統(tǒng)和SecFox-EPS終端審計系 統(tǒng)的審計信息統(tǒng)一送到SecFox-LAS日志審計系統(tǒng),與SecFox-LAS收集到的其它網(wǎng)絡中各種IT資源的日志信息一起進行歸一化和關聯(lián)分析處 理,統(tǒng)一的進行可視化展現(xiàn)、審計和存儲。如果用戶有更多的功能需求,例如要實現(xiàn)面向業(yè)務的安全審計,也可以由SecFox-UMS統(tǒng)一管理系統(tǒng)擔當這個統(tǒng) 一的安全審計中心。SecFox-LAS日志審計系統(tǒng)相當于SecFox-UMS的一個專注于統(tǒng)一安全審計的簡化版。
5) 統(tǒng)一規(guī)劃、分布實施
借助網(wǎng)神SecFox統(tǒng)一安全審計解決方案,用戶能夠真正建立起一套針對全網(wǎng)IT資源的安全審計體系。根據(jù)用戶需求的不同階段,該方案可以做到統(tǒng)一規(guī)劃、分步實施,有針對、有重點,逐步實現(xiàn)統(tǒng)一安全審計。
7 小結(jié)
安全審計與安全管理的融合是未來發(fā)展的必然,這是客戶需求決定的,也是技術發(fā)展的必然選擇。兩者的結(jié)合能夠使得客戶的安全體系建設目標和過程更加清晰明了,對安全管理平臺帶來的價值回報也有了一種具體體現(xiàn)–用于實現(xiàn)統(tǒng)一安全審計。
8 關于網(wǎng)御神州的安全管理平臺
網(wǎng)御神州安全管理團隊根據(jù)長期以來在安全管理領域的深入研究,結(jié)合來自客戶的需求與市場的現(xiàn)狀,提出了具有完全自主知識產(chǎn)權的、面向業(yè)務的網(wǎng)神SecFox安全管理與審計產(chǎn)品理念,尤其強調(diào)網(wǎng)絡管理、安全管理與運維管理的一體化,為政府、軍隊、公安、稅務、電力、保險、電信、金融、交通、醫(yī)療、制造、廣電等各個領域的客戶提供全面的安全運營保障平臺。網(wǎng)御神州建立了專門的安全管理研發(fā)和實施隊伍–SOC事業(yè)部,在國內(nèi)市場突飛猛進,取得了令人矚目的市場成就。在CCID2008年和2009年《中國信息安全產(chǎn)品市場研究年度報告》中網(wǎng)御神州連續(xù)兩年位居安全管理(SOC)市場第一名,成為了中國安全管理市場的領導廠商。