深入SOC2.0 安全審計(jì)與安管平臺(tái)融合

2013-10-22 10:20:35 Net硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對(duì)加強(qiáng)內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升，安全審計(jì)技術(shù)和產(chǎn)品得到了廣泛的應(yīng)用。現(xiàn)在，客戶已經(jīng)認(rèn)識(shí)到單一的安全審計(jì)產(chǎn)品無(wú)法滿足實(shí)際要求，需要一套

機(jī)和服務(wù)器、終端、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、應(yīng)用和業(yè)務(wù)系統(tǒng)審計(jì)，以及IT資源的使用者——人。對(duì)于審計(jì)產(chǎn)品而言，被審計(jì)對(duì)象也可以看作是被保護(hù)對(duì)象。據(jù)此，可以分為：

　　（１）設(shè)備審計(jì)（Device Audit）：對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備等各種設(shè)備的操作和行為進(jìn)行審計(jì)；

　　（２）主機(jī)審計(jì)（Host Audit）：審計(jì)針對(duì)主機(jī)（服務(wù)器）的各種操作和行為；

　　（３）終端審計(jì)（Endpoint Audit）：對(duì)終端設(shè)備（PC、打印機(jī)）等的操作和行為進(jìn)行審計(jì)，包括預(yù)配置審計(jì)；

　　（４）網(wǎng)絡(luò)審計(jì)（Network Audit）：對(duì)網(wǎng)絡(luò)中各種訪問(wèn)、操作的審計(jì)，例如telnet操作、FTP操作，等等；

　　（５）數(shù)據(jù)庫(kù)審計(jì)（Database Audit）：對(duì)數(shù)據(jù)庫(kù)行為和操作、甚至操作的內(nèi)容進(jìn)行審計(jì)；

　　（６）業(yè)務(wù)系統(tǒng)審計(jì)（Business Behavior Audit）：對(duì)業(yè)務(wù)IT支撐系統(tǒng)的操作、行為、內(nèi)容的審計(jì)；

　　（７）用戶行為審計(jì)（User Behavior Audit）：對(duì)企業(yè)和組織的人進(jìn)行審計(jì)，包括上網(wǎng)行為審計(jì)、運(yùn)維操作審計(jì)。

　　有的審計(jì)產(chǎn)品針對(duì)上述一種對(duì)象進(jìn)行審計(jì)，還有的產(chǎn)品綜合上述多種審計(jì)對(duì)象。

　　從審計(jì)采用的技術(shù)手段維度來(lái)看，為了實(shí)現(xiàn)審計(jì)目標(biāo)，通常采用以下幾種審計(jì)技術(shù)手段：

　　（１）基于日志分析的安全審計(jì)技術(shù)（Log Analysis Based Audit Technology）

　　一種通過(guò)采集被審計(jì)或被保護(hù)對(duì)象運(yùn)行過(guò)程中產(chǎn)生的日志，進(jìn)行匯總、歸一化和關(guān)聯(lián)分析，實(shí)現(xiàn)安全審計(jì)的目標(biāo)的技術(shù)。這種審計(jì)技術(shù)具有最大的普適性，是最基本、最經(jīng)濟(jì)實(shí)用的審計(jì)方式，能夠?qū)ψ畲蠓秶腎T資源對(duì)象實(shí)施審計(jì)，并應(yīng)對(duì)大部分的審計(jì)需求。在國(guó)家等級(jí)化保護(hù)技術(shù)要求中、以及行業(yè)內(nèi)控規(guī)范和指引中都明確提及了這種審計(jì)方式。該日志審計(jì)類產(chǎn)品在市場(chǎng)上也最為常見。

　　（２）基于本機(jī)代理的安全審計(jì)技術(shù)（Host Agent Based Audit Technology）

　　一種通過(guò)在被審計(jì)或者被保護(hù)對(duì)象（稱為“宿主”）之上運(yùn)行一個(gè)特定的軟件代碼，獲取審計(jì)所需的信息，然后將信息發(fā)送給審計(jì)管理端進(jìn)行綜合分析，實(shí)現(xiàn)審計(jì)目標(biāo)的技術(shù)。作為這種技術(shù)應(yīng)用的擴(kuò)展，采用該技術(shù)的審計(jì)產(chǎn)品通常還具有對(duì)宿主的反向控制功能，改變宿主的運(yùn)行狀態(tài)，使得其符合既定的安全策略。這種審計(jì)技術(shù)的審計(jì)粒度十分細(xì)致，多用于對(duì)主機(jī)和終端等設(shè)備進(jìn)行審計(jì)。目前市場(chǎng)上常見的服務(wù)器加固與審計(jì)系統(tǒng)、終端安全審計(jì)系統(tǒng)都采用這種技術(shù)。

　　（３）基于遠(yuǎn)程代理的安全審計(jì)技術(shù)（Remote Agent Based Audit Technology）

　　一種通過(guò)一個(gè)獨(dú)立的審計(jì)代理端對(duì)被審計(jì)對(duì)象或者保護(hù)對(duì)象（宿主）發(fā)出遠(yuǎn)程的腳本或者指令，獲取宿主的審計(jì)信息，并提交給審計(jì)管理端進(jìn)行分析，實(shí)現(xiàn)安全審計(jì)目標(biāo)的技術(shù)。這種方式與基于本機(jī)代理的技術(shù)最大的區(qū)別就在于不需要安裝宿主代理，只需要開放遠(yuǎn)程腳本或者指令的通訊接口及其帳號(hào)口令。當(dāng)然，這種審計(jì)技術(shù)的審計(jì)粒度受限于遠(yuǎn)程腳本的能力。目前市場(chǎng)上常見的產(chǎn)品有基于漏洞掃描的審計(jì)系統(tǒng)、WEB安全審計(jì)系統(tǒng)、或者基線配置審核系統(tǒng)。

　　（４）基于網(wǎng)絡(luò)協(xié)議分析的安全審計(jì)技術(shù)（Network Protocol Analysis Based Audit Technology）

　　一種通過(guò)采集被審計(jì)對(duì)象或者被保護(hù)對(duì)象在網(wǎng)絡(luò)環(huán)境下與其他網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行通訊過(guò)程中產(chǎn)生的網(wǎng)絡(luò)通訊報(bào)文，進(jìn)行協(xié)議分析（包括應(yīng)用層協(xié)議分析），實(shí)現(xiàn)審計(jì)目標(biāo)的技術(shù)。由于現(xiàn)在用戶基本都實(shí)現(xiàn)了網(wǎng)絡(luò)互聯(lián)互通，并且該技術(shù)對(duì)被審計(jì)對(duì)象的要求較低，對(duì)網(wǎng)絡(luò)環(huán)境影響較小，因而得到了廣泛的應(yīng)用，多應(yīng)用于對(duì)IT資源的核心基礎(chǔ)設(shè)施（設(shè)備、主機(jī)、應(yīng)用和業(yè)務(wù)等）和用戶行為進(jìn)行審計(jì)。該審計(jì)類型根據(jù)具體技術(shù)原理的不同，又可以分為若干種子類型，包括基于旁路偵聽（Sniffer-based）的網(wǎng)絡(luò)協(xié)議分析技術(shù)、基于代理（Proxy-based）的網(wǎng)絡(luò)協(xié)議分析技術(shù)，等等。目前市場(chǎng)上常見的產(chǎn)品有NBA（Network Behavior Audit，網(wǎng)絡(luò)行為審計(jì)）類產(chǎn)品、用戶上網(wǎng)行為審計(jì)類產(chǎn)品，以及某些WEB應(yīng)用防火墻（WAF）。

　　3安全審計(jì)產(chǎn)品選型過(guò)程

　　通過(guò)對(duì)安全審計(jì)技術(shù)和產(chǎn)品的分析，我們不難發(fā)現(xiàn)，客戶為了實(shí)現(xiàn)安全審計(jì)的目標(biāo)，首先要將需求進(jìn)行分解，對(duì)應(yīng)到一組審計(jì)對(duì)象之上，然后選取最合適的技術(shù)手段，從而選定適當(dāng)?shù)膶徲?jì)產(chǎn)品。這也是審計(jì)產(chǎn)品選型的推薦過(guò)程。

上一頁(yè) 1 2 3 4 5 6 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊