安全审计的定义和组成
随着企业和组织安全防御不断向纵深发展、对加强内部安全的重视、以及内控与合规性要求的不断提升,安全审计技术和产品得到了广泛的应用。现在,客户已经认识到单一的安全审计产品无法满足实际要求,需要一套体系化的安全审计平台,以及将这个审计平台与安全管理平台进行整合。作为本系列的第三篇文章,将详细阐述SOC2.0是如何将安全审计体系与安全管理平台整合到一起的,并以网御神州SecFox安全管理与审计解决方案做为示例。
1 安全审计的定义和组成
安全审计,本文专指IT安全审计,是一套对IT系统及其应用进行量化检查与评估的技术和过程。安全审计通过对IT系统中相关信息的收集、分析和报告,来判定现有IT安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略的合规性,获取犯罪和违规的证据,确认必要的记录被文档化,以及检测网络异常和入侵。
根据GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》,安全审计被定义为对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应比较动作。信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行的目的。同时,信息系统安全审计产品对信息系统各组成要素进行事件采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管理的效率。
对于一款安全审计产品,从产品功能组成上应该包括以下几个部分:
(1) 信息采集功能:产品能够通过某种技术手段获取需要审计的数据,例如日志,网络数据包等。对于该功能,关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。如果采用数据包审计技术,网络协议抓包和分析引擎显得尤为重要;如果采用日志审计技术,日志归一化技术则是体现产品专业能力的地方;如果采用宿主代理审计技术,代理程序对宿主的兼容性、影响性是很关键的环节。
(2) 信息分析功能:是指对于采集上来的信息进行分析、审计。这是审计产品的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计、基于时序的审计,以及基于人工智能的审计算法,等等。
(3) 信息存储功能:对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。
(4) 信息展示功能:包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。
(5) 产品自身安全性和可审计性功能:审计产品自身必须是安全的,包括要确保审计数据的完整性、机密性和有效性,对审计系统的访问要安全。此外,所有针对审计产品的访问和操作也要记录日志,并且能够被审计。
网友评论