圖:審計對象與審計技術的一般性對應關系
4 安全審計需要體系化的審計模型
隨著對審計的日益重視�����,客戶部署了越來越多的單一型安全審計產(chǎn)品。現(xiàn)在����,客戶已經(jīng)認識到��,要在企業(yè)和組織中實現(xiàn)有效的安全審計�����,依靠某一類安全 審計產(chǎn)品往往是不夠的。這些審計系統(tǒng)從各自的角度對特定的信息對象進行審計�����,雖然專業(yè)��,但是卻增加了運維和審計人員的工作量�����,同時審計系統(tǒng)之間缺乏必要的 信息交換�����?���?蛻粜枰⒁粋€安全審計的體系,以及一套體系化的安全審計平臺��。通過前面安全審計產(chǎn)品選型過程的分析��,也可以看出來,每種審計技術和產(chǎn)品都有 其適用性��,有利有弊��,需要根據(jù)安全目標進行綜合考量�����。為此�,客戶需要一個統(tǒng)一安全審計的架構和模型。
統(tǒng)一安全審計架構應該是一個點面結(jié)合的綜合審計模型��。面是指統(tǒng)一審計平臺和日志審計�����,是統(tǒng)一安全審計的基礎和基本組成�,包括用戶的統(tǒng)一操作界面。需要強調(diào)的是��,日志審計由于其普適性而成為統(tǒng)一安全審計的基礎平臺的一部分�����。
點作為面的補充��,針對更高安全審計要求的安全域進行有針對性的審計���,成為專項審計�,并且要無縫的融入到面之中��。 典型的點審計(專項審計)有:
(1) 針對業(yè)務系統(tǒng)安全域的增強性審計:主機和服務器審計����、數(shù)據(jù)庫審計、應用和業(yè)務審計;
(2) 針對網(wǎng)絡區(qū)域的增強性審計:網(wǎng)絡審計�、設備審計;
(3) 針對辦公區(qū)域用戶上網(wǎng)行為的審計;
(4) 針對終端區(qū)域操作的審計;
在這個審計模型中,日志審計是核心�����。統(tǒng)一安全審計模型如下圖所示:
圖:統(tǒng)一安全審計模型
在運用統(tǒng)一安全審計模型的時候��,客戶首先搭建起一個可擴展的安全審計基礎平臺��,并建立起日志審計體系及其審計用戶界面�。此時,審計的功能和目標 不必太多��,重點放在對最廣泛的IT資源采集日志����,進行基礎性審計之上��。由于日志審計能力所限���,對于一些重要的安全區(qū)域需要采用增強的專項審計機制,例如對 網(wǎng)絡區(qū)域的審計�����、對辦公區(qū)域的審計��、對業(yè)務核心系統(tǒng)區(qū)域的審計����,等等。每類專項審計都采用具有專門技術的審計產(chǎn)品�����,例如基于本機代理的終端安全審計產(chǎn)品�����, 基于網(wǎng)絡協(xié)議分析的數(shù)據(jù)庫審計產(chǎn)品和用戶上網(wǎng)行為審計產(chǎn)品���,等等�����。每類專項審計產(chǎn)品都必須實現(xiàn)統(tǒng)一安全審計基礎平臺的互聯(lián)�����。最基本的互聯(lián)就是各個專項審計 產(chǎn)品能夠?qū)⑺麄兊膶徲嫿Y(jié)果以告警或者日志的形式發(fā)送給審計基礎平臺�,由基礎審計平臺上的日志審計模塊通過關聯(lián)分析和告警給客戶進行統(tǒng)一的展示���,并通過基礎 平臺向各個專項審計產(chǎn)品下發(fā)控制指令�����,由各個專項審計產(chǎn)品執(zhí)行控制指令����,阻斷或者抑制違規(guī)行為�����。
5 將安全審計與安全管理平臺(SOC)進行整合
通過對安全審計進行統(tǒng)一建模����,我們可以發(fā)現(xiàn)�����,這個統(tǒng)一安全審計模型與安全管理平臺(SOC)架構具備天然的相似性����,他們都具有信息的采集���、分析�、存儲和展示等功能組成���,他們都強調(diào)對全網(wǎng)IT資源進行一體化的監(jiān)控與審計���。
同時,對于已經(jīng)或者即將建立統(tǒng)一安全管理平臺(SOC)的用戶而言�����,為了不增加安全體系的復雜性����,需要將安全審計的需求與SOC需求一并進行統(tǒng)籌考慮��。
在本系列文章的第二篇,我們已經(jīng)分析了SOC2.0的統(tǒng)一管理模型���,如下圖所示:
圖:SOC2.0的統(tǒng)一管理模型
對比兩個模型�����,可以發(fā)現(xiàn)�,本質(zhì)上�����,統(tǒng)一安全審計模型就是統(tǒng)一管理平臺(SOC2.0)的一個縱向子集��,只是更加關注于審計這個功能維度而已��。此 外�����,由于SOC2.0模型本身具備可裁剪性��,因而這種融合也具有了可行性�����。如下圖所示,展示了統(tǒng)一安全審計在SOC2.0中的映射關系:
圖:安全審計與安全管理平臺的融合
通過安全審計與安全管理平臺的融合���,使得安全審計體系的建設與安全管理體系的建設目標達成了一致��,有助于企業(yè)整體安全體系的形成和完善��。對于客戶而言����,下一代的安全管理平臺(SOC2.0)始終是IT管理的終極管理平臺����、一體化的平臺。
此外�,借助統(tǒng)一安全審計體系與SOC2.0的整合,傳統(tǒng)的對象安全審計提升到了業(yè)務安全審計的層面��,更加體現(xiàn)出了統(tǒng)一安全審計給客戶的價值����。例如,借助SOC2.0的關聯(lián)分析引擎和業(yè)務規(guī)則描述語言,用戶可以定義如下的業(yè)務審計規(guī)則���,并真正得以執(zhí)行:
SOC2.0基于規(guī)則的關聯(lián)分析引擎能夠?qū)I(yè)務規(guī)則描述轉(zhuǎn)化為針對具體資產(chǎn)對象的審計規(guī)則��,并根據(jù)從專項的日志審計產(chǎn)品����、終端審計產(chǎn)品�����、數(shù)據(jù)庫審計產(chǎn)品和應用審計產(chǎn)品中收集上來的信息進行關聯(lián)分析�����,進行審計規(guī)則匹配�����,發(fā)現(xiàn)違規(guī)行為并進行告警和響應�。
6 實例分析:網(wǎng)御神州SecFox安全管理與審計解決方案
網(wǎng)御神州根據(jù)用戶的需求��,以及自身在安全管理與審計領域的長期積累�����,在SOC2.0的代表性產(chǎn)品SecFox-UMS統(tǒng)一管理系統(tǒng)的基礎上提出 了SecFox統(tǒng)一安全審計解決方案。該解決方案能夠?qū)θW(wǎng)各種對象和行為進行審計�����,同時充分考慮到審計的針對性和可行性�,并提供給用戶一套統(tǒng)一的審計中 心和審計界面。
欲獲取更多關于網(wǎng)御神州SecFox安全管理與審計系統(tǒng)技術�����、產(chǎn)品�����、解決方案的信息���,請訪問網(wǎng)御神州安全管理官方網(wǎng)站:http://www.legendsec.com/newsec.php?up=3&cid=3���。
SecFox統(tǒng)一安全審計解決方案包括四個部分:日志審計、網(wǎng)絡行為審計�����、終端審計和統(tǒng)一安全審計平臺。
1) 日志審計
日志審計是整個綜合安全審計解決方案的核心和基礎��。IT網(wǎng)絡中大部分的設備和系統(tǒng)都能夠產(chǎn)生日志�,這些日志能夠反映網(wǎng)絡、訪問者��,以及設備或系 統(tǒng)自身的操作和行為�。網(wǎng)神SecFox-LAS日志審計系統(tǒng)能夠?qū)⑦@些日志統(tǒng)一的收集起來,進行歸一化和關聯(lián)分析�,實現(xiàn)全網(wǎng)IT環(huán)境的集中安全審計。通過 SecFox-LAS日志審計系統(tǒng)��,用戶能夠?qū)崿F(xiàn)大部分的安全審計目標����。
2) 網(wǎng)絡行為審計
對于用戶IT網(wǎng)絡中比較重要的區(qū)域�����,或者關鍵的業(yè)務系統(tǒng)���,僅僅借助系統(tǒng)日志進行審計是不充分的���,有時候也是不可行的。例如某些業(yè)務系統(tǒng)本身沒有 日志記錄功能,或者某些業(yè)務系統(tǒng)由于其自身重要性不能運行日志采集器�,等等。此外���,針對網(wǎng)絡中用戶訪問互聯(lián)網(wǎng)的行為�����,通過傳統(tǒng)的日志審計手段也遠遠不夠���。 此時,可以通過網(wǎng)絡硬件探測器的形式對這些業(yè)務系統(tǒng)和用戶的操作行為進行審計���。網(wǎng)絡硬件探測器采用旁路部署(共享Hub/交換機端口鏡像/網(wǎng)絡分接 TAP)的方式放置在交換機旁邊����,偵聽并分析網(wǎng)絡訪問操作的指令���,并轉(zhuǎn)化為操作日志送到SecFox-LAS管理中心進行統(tǒng)一審計�。SecFox-LAS 自帶網(wǎng)絡硬件探測器����,用戶也可以使用專門的網(wǎng)神SecFox-NBA(Network Behavior Analysis)網(wǎng)絡行為審計設備���,他們的工作原理相同。
根據(jù)部署位置的不同�����,SecFox-NBA網(wǎng)絡行為審計系統(tǒng)分為兩種類型:
(1) SecFox-NBA(業(yè)務審計型)部署在關鍵業(yè)務系統(tǒng)區(qū)域�,對業(yè)務行為進行網(wǎng)絡審計,包括對業(yè)務系統(tǒng)所在的主機��、數(shù)據(jù)庫�����、應用中間件�����、關鍵網(wǎng)絡和安全設 備�、網(wǎng)絡流量等的審計����。通過部署SecFox-NBA(業(yè)務審計型)能夠有效地防止針對業(yè)務系統(tǒng)的違規(guī)操作和行為,保護關鍵業(yè)務系統(tǒng)機器核心數(shù)據(jù)的安全����。
(2) SecFox-NBA(上網(wǎng)審計型)則部署在互聯(lián)網(wǎng)出口處��,對網(wǎng)絡中所有訪問Internet互聯(lián)網(wǎng)的用戶行為和內(nèi)容進行審計����,包括網(wǎng)頁瀏覽�、即時通訊、 網(wǎng)絡聊天��、網(wǎng)絡音視頻���、郵件�����、P2P�、股票����、游戲等。通過部署SecFox-NBA(上網(wǎng)審計型)能夠有效地規(guī)范企事業(yè)單位職工的上網(wǎng)行為�����,提高互聯(lián)網(wǎng)使 用效率,防止違規(guī)和信息泄漏�。
SecFox-NBA網(wǎng)絡行為審計系統(tǒng)既可以單獨部署和使用,也可以與SecFox-LAS日志審計系統(tǒng)配套使用����。SecFox-NBA可以將所有安全審計日志發(fā)送到SecFox-LAS進行統(tǒng)一安全審計。
3) 終端審計
大量的研究和實踐表明�����,大部分的安全問題都出現(xiàn)在用戶網(wǎng)絡內(nèi)部��,而其中網(wǎng)絡內(nèi)部的終端是最薄弱的環(huán)節(jié)�����。不僅因為終端的數(shù)量相對較大����,而且因為這 些終端設備的使用者安全意識較為薄弱,且較難規(guī)范化管理����。為此�����,對于一些安全保障要求較高的單位,可以在內(nèi)部用戶區(qū)域部署專門的終端安全審計系統(tǒng)�����。網(wǎng)神 SecFox-EPS(Endpoint Protection System)終端安全管理系統(tǒng)能夠有效地對網(wǎng)絡內(nèi)部的所有Windows終端設備進行集中統(tǒng)一的管理�,包括資產(chǎn)管理、軟件分發(fā)��、補丁升級����、統(tǒng)一安全策略 管理、移動存儲介質(zhì)管理�、接入控制等。
SecFox-EPS終端安全管理系統(tǒng)包括終端管理中心和運行在被管理Windows終端設備上的安全代理�����,所有的管理功能都通過管理中心控制安全代理來實現(xiàn)�����。
SecFox-EPS既能夠單獨部署和使用����,也可以與SecFox-LAS日志審計系統(tǒng)配套使用��。SecFox-EPS管理端可以將所有安全審計日志發(fā)送到SecFox-LAS進行統(tǒng)一安全審計�。
4) 統(tǒng)一安全審計
用戶為了實現(xiàn)IT網(wǎng)絡的全面安全審計而部署的日志審計����、網(wǎng)絡行為審計和終端審計系統(tǒng)不是彼此割裂的,而能夠統(tǒng)一為一個整體�����。在SecFox統(tǒng)一 安全審計解決方案中�,網(wǎng)御神州將SecFox-LAS升格為統(tǒng)一安全審計中心,將SecFox-NBA網(wǎng)絡行為審計系統(tǒng)和SecFox-EPS終端審計系 統(tǒng)的審計信息統(tǒng)一送到SecFox-LAS日志審計系統(tǒng)�,與SecFox-LAS收集到的其它網(wǎng)絡中各種IT資源的日志信息一起進行歸一化和關聯(lián)分析處 理,統(tǒng)一的進行可視化展現(xiàn)�、審計和存儲。如果用戶有更多的功能需求���,例如要實現(xiàn)面向業(yè)務的安全審計�,也可以由SecFox-UMS統(tǒng)一管理系統(tǒng)擔當這個統(tǒng) 一的安全審計中心���。SecFox-LAS日志審計系統(tǒng)相當于SecFox-UMS的一個專注于統(tǒng)一安全審計的簡化版���。
5) 統(tǒng)一規(guī)劃、分布實施
借助網(wǎng)神SecFox統(tǒng)一安全審計解決方案�����,用戶能夠真正建立起一套針對全網(wǎng)IT資源的安全審計體系�。根據(jù)用戶需求的不同階段,該方案可以做到統(tǒng)一規(guī)劃��、分步實施����,有針對、有重點��,逐步實現(xiàn)統(tǒng)一安全審計��。
7 小結(jié)
安全審計與安全管理的融合是未來發(fā)展的必然�,這是客戶需求決定的,也是技術發(fā)展的必然選擇��。兩者的結(jié)合能夠使得客戶的安全體系建設目標和過程更加清晰明了��,對安全管理平臺帶來的價值回報也有了一種具體體現(xiàn)–用于實現(xiàn)統(tǒng)一安全審計。
8 關于網(wǎng)御神州的安全管理平臺
網(wǎng)御神州安全管理團隊根據(jù)長期以來在安全管理領域的深入研究����,結(jié)合來自客戶的需求與市場的現(xiàn)狀,提出了具有完全自主知識產(chǎn)權的��、面向業(yè)務的網(wǎng)神SecFox安全管理與審計產(chǎn)品理念��,尤其強調(diào)網(wǎng)絡管理��、安全管理與運維管理的一體化����,為政府、軍隊����、公安、稅務���、電力����、保險��、電信、金融���、交通��、醫(yī)療、制造����、廣電等各個領域的客戶提供全面的安全運營保障平臺。網(wǎng)御神州建立了專門的安全管理研發(fā)和實施隊伍–SOC事業(yè)部�,在國內(nèi)市場突飛猛進,取得了令人矚目的市場成就�。在CCID2008年和2009年《中國信息安全產(chǎn)品市場研究年度報告》中網(wǎng)御神州連續(xù)兩年位居安全管理(SOC)市場第一名,成為了中國安全管理市場的領導廠商�����。
