大云網信息安全系統安全正文

深入SOC2.0 安全審計與安管平臺融合

2013-10-22 10:20:35 Net硅谷動力　點擊量：評論 (0)

隨著企業和組織安全防御不斷向縱深發展、對加強內部安全的重視、以及內控與合規性要求的不斷提升，安全審計技術和產品得到了廣泛的應用。現在，客戶已經認識到單一的安全審計產品無法滿足實際要求，需要一套

析技術、基于代理（Proxy-based）的網絡協議分析技術，等等。目前市場上常見的產品有NBA（Network Behavior Audit，網絡行為審計）類產品、用戶上網行為審計類產品，以及某些WEB應用防火墻（WAF）。

　　3安全審計產品選型過程

　　通過對安全審計技術和產品的分析，我們不難發現，客戶為了實現安全審計的目標，首先要將需求進行分解，對應到一組審計對象之上，然后選取最合適的技術手段，從而選定適當的審計產品。這也是審計產品選型的推薦過程。

　　審計對象和審計技術手段已經詳細闡述過，這里，審計目標就是IT安全審計定義中的目標，包括：

　　判定現有IT安全控制的有效性；

　　檢查IT系統的誤用和濫用行為；

　　驗證當前安全策略的合規性；

　　獲取犯罪和違規的證據；

　　確認必要的記錄被文檔化；

　　檢測網絡異常和入侵。

　　針對不同的審計目標，審計需求分解會不一樣，進而審計對象和技術的選擇也會有所不同。對于不同的審計對象，每種審計手段都各有利弊。

對比兩個模型，可以發現，本質上，統一安全審計模型就是統一管理平臺（SOC2.0）的一個縱向子集，只是更加關注于審計這個功能維度而已。此外，由于SOC2.0模型本身具備可裁剪性，因而這種融合也具有了可行性。如下圖所示，展示了統一安全審計在SOC2.0中的映射關系：

　　圖：安全審計與安全管理平臺的融合

　　通過安全審計與安全管理平臺的融合，使得安全審計體系的建設與安全管理體系的建設目標達成了一致，有助于企業整體安全體系的形成和完善。對于客戶而言，下一代的安全管理平臺（SOC2.0）始終是IT管理的終極管理平臺、一體化的平臺。

　　此外，借助統一安全審計體系與SOC2.0的整合，傳統的對象安全審計提升到了業務安全審計的層面，更加體現出了統一安全審計給客戶的價值。例如，借助SOC2.0的關聯分析引擎和業務規則描述語言，用戶可以定義如下的業務審計規則，并真正得以執行：

　　所有業務系統A的維護終端群只能在工作時間以維護人員帳號集的身份訪問業務系統A的核心數據庫服務器機群；

　　只有業務系統A的中間件X可以以middle帳號24×7訪問核心數據庫服務器；

　　……

　　SOC2.0基于規則的關聯分析引擎能夠將業務規則描述轉化為針對具體資產對象的審計規則，并根據從專項的日志審計產品、終端審計產品、數據庫審計產品和應用審計產品中收集上來的信息進行關聯分析，進行審計規則匹配，發現違規行為并進行告警和響應。

　　6實例分析：網御神州SecFox安全管理與審計解決方案

　　網御神州根據用戶的需求，以及自身在安全管理與審計領域的長期積累，在SOC2.0的代表性產品SecFox-UMS統一管理系統的基礎上提出了SecFox統一安全審計解決方案。該解決方案能夠對全網各種對象和行為進行審計，同時充分考慮到審計的針對性和可行性，并提供給用戶一套統一的審計中心和審計界面。

　　SecFox統一安全審計解決方案包括四個部分：日志審計、網絡行為審計、終端審計和統一安全審計平臺。

　　1）日志審計

　　日志審計是整個綜合安全審計解決方案的核心和基礎。IT網絡中大部分的設備和系統都能夠產生日志，這些日志能夠反映網絡、訪問者，以及設備或系統自身的操作和行為。網神SecFox-LAS日志審計系統能夠將這些日志統一的收集起來，進行歸一化和關聯分析，實現全網IT環境的集中安全審計。通過SecFox-LAS日志審計系統，用戶能夠實現大部分的安全審計目標。

　　2）網絡行為審計

對于用戶IT網絡中比較重要的區域，或者關鍵的業務系統，僅僅借助系統日志進行審計是不充分的，有時候也是不可行的。例如某些業務系統本身沒有日志記錄功能，或者某些業務系統由于其自身重要性不能運行日志采集器，等等。此外，針對網絡中用戶訪問互聯網的行為，通過傳統的日志審計手段也遠遠不夠。此時，可以通過網絡硬件探測器的形式對這些業務系統和用戶的操作行為進行審計。網絡硬件探測器采用旁路部署（共享Hub/交換機端口鏡像/網絡分接TAP）的方式放置在交換機旁邊，偵聽并分析網絡訪問操作的