安全审计的定义和组成
2 安全审计技术分析
当前,随着企业和组织安全防御不断向纵深发展、对加强内部安全的重视、以及内控与合规性要求的不断提升,安全审计技术和产品得到了广泛的应用。一方面,企业和组织对安全的建设思路已经开始从以防外为主的策略,逐步转为以防内为主、内外兼顾的策略,安全审计技术和产品成为安全防御纵深的延伸和安全体系建设中的必要一环,大量地应用于防范内部违规和内部用户行为异常。另一方面,政府、行业对IT治理、IT内控和IT风险管理的日益重视极大地促进了安全审计的发展。目前推出的一些国际、国家、行业的内控和审计相关的法律、法规、标准等,都直接或者间接地对某些行业或企业提出了需要配备安全审计产品的要求。
国内的安全审计产品根据被审计对象和审计采用的技术手段两个维度,可以划分为不同的产品类型。
从被审计对象的维度来看,IT环境的各种IT资源都能够成为被审计对象,自底向上依次可以包括网络和安全设备、主机和服务器、终端、网络、数据库、应用和业务系统审计,以及IT资源的使用者——人。对于审计产品而言,被审计对象也可以看作是被保护对象。据此,可以分为:
(1) 设备审计(Device Audit):对网络设备、安全设备等各种设备的操作和行为进行审计;
(2) 主机审计(Host Audit):审计针对主机(服务器)的各种操作和行为;
(3) 终端审计(Endpoint Audit):对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计;
(4) 网络审计(Network Audit):对网络中各种访问、操作的审计,例如telnet操作、FTP操作,等等;
(5) 数据库审计(Database Audit):对数据库行为和操作、甚至操作的内容进行审计;
(6) 业务系统审计(Business Behavior Audit):对业务IT支撑系统的操作、行为、内容的审计;
(7) 用户行为审计(User Behavior Audit):对企业和组织的人进行审计,包括上网行为审计、运维操作审计。
有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象。
从审计采用的技术手段维度来看,为了实现审计目标,通常采用以下几种审计技术手段:
(1) 基于日志分析的安全审计技术(Log Analysis Based Audit Technology)
一种通过采集被审计或被保护对象运行过程中产生的日志,进行汇总、归一化和关联分析,实现安全审计的目标的技术。这种审计技术具有最大的普适性,是最基本、最经济实用的审计方式,能够对最大范围的IT资源对象实施审计,并应对大部分的审计需求。在国家等级化保护技术要求中、以及行业内控规范和指引中都明确提及了这种审计方式。该日志审计类产品在市场上也最为常见。
(2) 基于本机代理的安全审计技术(Host Agent Based Audit Technology)
一种通过在被审计或者被保护对象(称为“宿主”)之上运行一个特定的软件代码,获取审计所需的信息,然后将信息发送给审计管理端进行综合分析,实现审计目标的技术。作为这种技术应用的扩展,采用该技术的审计产品通常还具有对宿主的反向控制功能,改变宿主的运行状态,使得其符合既定的安全策略。这种审计技术的审计粒度十分细致,多用于对主机和终端等设备进行审计。目前市场上常见的服务器加固与审计系统、终端安全审计系统都采用这种技术。
(3) 基于远程代理的安全审计技术(Remote Agent Based Audit Technology)
一种通过一个独立的审计代理端对被审计对象或者保护对象(宿主)发出远程的脚本或者指令,获取宿主的审计信息,并提交给审计管理端进行分析,实现安全审计目标的技术。这种方式与基于本机代理的技术最大的区别就在于不需要安装宿主代理,只需要开放远程脚本或者指令的通讯接口及其帐号口令。当然,这种审计技术的审计粒度受限于远程脚本的能力。目前市场上常见的产品有基于漏洞扫描的审计系统、WEB安全审计系统、或者基线配置审核系统。
(4) 基于网络协议分析的安全审计技术(Network Protocol Analysis Based Audit Technology)
一种通过采集被审计对象或者被保护对象在网络环境下与其他网络节点进行通讯过程中产生的网络通讯报文,进行协议分析(包括应用层协议分析),实现审计目标的技术。由于现在用户基本都实现了网络互联互通,并且该技术对被审计对象的要求较低,对网络环境影响较小,因而得到了广泛的应用,多应用于对IT资源的核心基础设施(设备、主机、应用和业务等)和用户行为进行审计。该审计类型根据具体技术原理的不同,又可以分为若干种子类型,包括基于旁路侦听(Sniffer-based)的网络协议分析技术、基于代理(Proxy-based)的网络协议分析技术,等等。目前市场上常见的产品有NBA(Network Behavior Audit,网络行为审计)类产品、用户上网行为审计类产品,以及某些WEB应用防火墙(WAF)。
网友评论