信息安全審計與時俱進

2014-11-08 21:52:16 大云網　點擊量：評論 (0)

　在眾多的安全產品中，與經常被提起的防火墻、UTM、Web安全等產品相比，安全審計產品始終默默無聞，似乎它并不太受到人們的重視。不過，這種情況正在慢慢轉變。　　記者看到過這樣一則新聞：方某曾是某超市分店

　在眾多的安全產品中，與經常被提起的防火墻、UTM、Web安全等產品相比，安全審計產品始終默默無聞，似乎它并不太受到人們的重視。不過，這種情況正在慢慢轉變。

　　記者看到過這樣一則新聞：方某曾是某超市分店資訊組組長，他利用職務之便，設計非法軟件程序，進入超市收銀系統的數據庫，通過修改超市收銀系統的數據庫數據信息，每天將超市銷售記錄的20%營業款自動刪除，并將收入轉存入自己的賬戶。

　　類似的新聞其實有不少，根據最新的統計資料，在給企業造成嚴重后果的攻擊中，有70％是來自于組織中的內部人員。防病毒、防火墻、UTM、IPS等設備雖然能抵御來自外部的攻擊，對于內部攻擊卻無能為力。因此，針對內部各信息系統進行安全審計已成為企業內控、信息系統安全風險控制不可或缺的關鍵手段。網絡信息系統在綜合運用防護工具、檢測工具的同時，必須通過安全審計收集、分析、評估安全信息，掌握安全狀態，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統調整到“最安全”和“最低風險”的狀態。

　　五大功能

　　網御神州高級產品經理葉蓬向記者介紹，企業內的審計對象包括：主機、設備、網絡、數據庫、業務、終端、用戶等等。有的審計產品只針對一種對象進行審計，有的審計產品則對多種對象綜合進行審計。但無論是何種審計產品，從產品功能組成上都應該包括：

　　信息采集功能就是能夠通過某種技術手段獲取需要審計的數據，例如日志、網絡數據包等。對于該功能的考察，關鍵是其采集信息的手段種類；采集信息的范圍；采集信息的粒度（細致程度）。如果采用數據包審計技術的話，網絡協議抓包和分析引擎就顯得尤為重要。如果采用日志審計技術的話，日志歸一化技術則是考察廠家基本功和專業能力的手段。

　　信息分析功能對于采集到的信息進行分析、審計。這是審計產品的核心，審計效果好壞直接由此體現出來。在實現信息分析的技術方面，簡單的技術可以是基于數據庫的信息查詢和比較，復雜的技術則包括實時關聯分析引擎技術，采用基于規則的審計，基于統計的審計，以及時序的審計算法等等。

　　信息存儲功能對于采集到的原始信息，以及審計后的信息都要進行保存備查，并可以作為取證的依據。在該功能的實現上，關鍵點包括海量信息存儲技術，以及審計信息安全保護技術。

　　信息展示功能包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能等等。這部分功能是審計效果的最直接體現，是各個廠家各顯神通的地方。

　　產品自身安全性和可審計性功能審計產品自身必須是安全的，包括要確保審計數據的完整性、機密性和有效性，對審計系統的訪問要安全。此外，所有針對審計產品的訪問和操作也要記錄日志，并且能夠被審計。

　　不同行業多樣需求

　　目前，各個行業都逐漸開始重視安全審計。由于行業的特性不同，不同的行業對審計的需求差別很大。

　　綠盟科技產品市場經理蒲新宇表示，不同行業的用戶對于審計信息類型的關注點存在一定差異。政府、運營商、金融客戶及中小企業客戶，對安全審計均提出了基于自身業務及安全建設要求的安全審計需求。例如：從政策合規角度來看，政府用戶主要關注滿足“信息系統安全等級保護”、“涉密信息系統分級保護”等政策要求的安全合規審計。

　　通過和大量用戶的交流，葉蓬對行業用戶的需求有更詳細的劃分。

　　對于一般的企業而言，目前比較大量的審計需求是對企業內部用戶上網行為的審計。上網行為管理具有大量安全審計的技術特征，從這個角度看，可以算做安全審計產品。同時，上網行為管理產品又不僅僅是審計，更重要的是用戶上網行為的統計、分析、控制。控制，就是通過事先定義好的策略，制用戶上網行為。控制發生在審計之前。一旦做好控制，后面的審計就不存在了。當然，審計可以為控制策略提供建議。另外，未來上網行為管理的方向應該是行為分析和統計。這是一種管理學思路的必然發展，技術手段不是解決企業辦公效率和防范信息泄漏的必殺技，必須在管理思路上有所突破。

　　對于政府部門和事業單位而言，由于他們的業務系統十分重要，承載了單位關鍵的應用和數據，因此，對業務系統的審計顯得十分重要。這類客戶需要審計內部用戶訪問業務系統的各種行為，防止針對核心業務系統和數據的違規訪問，防止信息泄漏。

　　對于金融、電信類客戶而言，除了需要對業務系統進行審計之外，還需要針對運維人員進行主機操作審計。由于這類客戶具有龐大的主機和服務器機群，上面運行了各種各樣的核心應用。同時，這類客戶的系統運維人員數量多、崗位職責也多。不僅有本單位正式職工，還有第三方駐場工程師和外包運維人員，管理較為復雜。因此，對這些運維人員進行審計，審計他們針對主機系統的各種訪問和操作行為就顯得十分重要。

　　對于政府、事業單位，以及金融電信行業，最典型的一類需求就是針對這些單位的數據庫系統進行審計。就在前不久，國家頒布實施了刑法第七修正案，其中第二百五十三條明確規定：單位如果泄露或非法獲取公民個人信息，將被判處罰金，并追究直接負責的主管人員和其他直接責任人員的刑事責任。例如之前經常見諸于報端的醫患信息泄漏事件，刑法的出臺就對醫療單位的重要數據保護提出了法律上的要求。

　　對于具有涉密性質的單位，以及安全要求等級高的部門，還會需要終端安全審計類產品，對單位職工的終端進行嚴格的安全審計。

　　我國第一部《企業內部控制基本規范》是中國會計審計領域的一項重大改革舉措，也給安全審計帶來了深遠的影響。有人將《企業內部控制基本規范》稱作是中國版的SOX法案，可見對它的期待有多么高。雖然該規范還不能稱作是完整意義上的法案，而只是規范性文件，但是它對于國內企業，尤其是大企業的公司治理、風險控制、IT內控，包括信息系統安全審計都起到了極大的推進作用。

　　實際上，不僅是《企業內部控制基本規范》，包括之前國家大力開展的等級化保護建設工作，以及證券、金融、保險等行業頒布的各項風險和內控指引、要求等，都在努力構建一個從嚴的企業管控外部環境。作為這種外部壓力的傳導，企業的IT內控和審計自然擺到了各大企業信息部門的桌面上。

　　葉蓬說：“可以肯定，未來企業用戶，尤其是大型企業用戶，會不斷加強IT內控，并催生對信息系統安全審計的技術、產品和相關解決方案的需求，帶動國內安全審計市場的迅速增長。”

　　我們可以對比國外安全審計市場，當美國頒布SOX法案及相關行業的法案之后，Gartner和IDC紛紛對安全審計市場進行深入分析，并創造出了一個名為GRC（Governance, Risk Management, and Compliance）的IT細分市場。與此同時，各路安全廠商，例如SIEM（Security Information and Event Management）廠家、NBA（Network Behavior Analysis）廠家和IAM（Identity and Access Management）廠家等，都從自身技術特點出發，推出了各種類型的安全審計產品，介入該市場，力求分一杯羹。

　　審計技術與時俱進

　　“隨著國內外企業安全內控政策、安全審計技術體系日益完善，用戶需求將更加理性、全面，審計需求將更加務實。安全審計技術發展將呈現明確的政策合規審計、企業內控管理、數據風險控制的特點。”蒲新宇對記者說。具體特點包括：

　　政策合規審計安全審計技術將更加緊密地與“信息系統安全等級保護”、“企業信息內部控制基本規范”、“SOX法案”等政策要求相結合，依據ISO/IEC17799、ITIL、COBIT、COSO等標準，提供更符合企事業單位政策合規管理需要的安全審計功能，輸出細粒度的合規審計報告。例如：企業信息內控審計報告、SOX審計報告等，幫助用戶提升審計力度，降低人工審計工作量，有效控制了信息安全風險。

　　基于賬號的網絡安全審計網絡安全審計技術將逐步與身份認證管理技術結合，實現基于賬號的網絡安全審計，相比傳統的基于IP、MAC地址等用戶身份的審計判定手段，將能夠更加準確的追蹤定位到人，全面提升審計對象身份的可靠性。

　　專業的數據庫安全審計數據庫已成為廣大企業的數據核心資產，其重要性毋庸置疑。近年來，在各行業中頻繁發生企業數據庫的重要敏感數據被篡改牟利、泄密事件，已經引起各方面的廣泛高度重視。數據庫安全審計技術作為數據庫安全的重要監測手段，將越來越受到政府、金融、電信等用戶重視。為了進一步提高數據庫審計的完整性和準確性，須追根溯源，從源頭抓起。需要安全廠商與數據庫廠商加強技術合作，共同推動完善數據庫安全審計技術。

　　葉蓬認為，未來安全審計產品在技術層面具有以下幾個發展趨勢。

　　高性能審計技術由于大企業、金融和電信客戶需求走強，審計的范圍和規模越來越大，對審計產品的處理性能提出了更高的要求。高性能審計技術是必然的發展趨勢。例如：高性能的日志采集技術、海量日志存儲技術、借助硬件加速的高性能網絡協議分析功能，DPI與DFI更好結合的技術。

　　單一審計產品將向綜合審計類產品演進未來，一個安全審計產品將能夠同時審計多種對象、多種協議。綜合審計產品將占據大部分市場。而單一審計產品也仍然會存在，但是會做的更加精細化，并且去滿足特定行業用戶的特定需求。因此，異構的日志歸一化技術、跨對象的關聯分析引擎技術將得到極大地發展和應用。

　　事前審計從審計的實效性上，當前的安全審計產品偏重于事中、事后審計，未來將會出現針對事前審計的產品，例如配置基線審核、系統策略稽核等。

　　安全審計與一體化安全集中管理產品的融合對于較大規模的客戶而言，安全審計系統是超越現有安全設備的一類產品，在客戶的信息安全體系建設中，位于安全設備和安全防護之上，是面向整個IT環境的一類審計系統。因此，未來大型客戶的安全審計系統將逐步與企業的一體化安全集中管理系統融合，成為管理系統的一個組成部分。

　　虛擬化技術已逐漸應用于企業網絡的各個層面，如服務器虛擬化、操作系統虛擬化、桌面虛擬化、應用虛擬化、存儲虛擬化等。因此，如何在虛擬化環境中較好地實現安全審計也十分重要。蒲新宇介紹說，目前，安全審計技術已可實現對虛擬機的操作系統審計；通過監測分析虛擬機的網絡通信數據包，實現針對虛擬機的網絡審計。隨著虛擬技術的不斷發展，相信安全審計技術將隨著虛擬化技術的發展共同進步。