安全审计产品选型过程
3 安全审计产品选型过程
通过对安全审计技术和产品的分析,我们不难发现,客户为了实现安全审计的目标,首先要将需求进行分解,对应到一组审计对象之上,然后选取最合适的技术手段,从而选定适当的审计产品。这也是审计产品选型的推荐过程。
审计对象和审计技术手段已经详细阐述过,这里,审计目标就是IT安全审计定义中的目标,包括:
l 判定现有IT安全控制的有效性;
l 检查IT系统的误用和滥用行为;
l 验证当前安全策略的合规性;
l 获取犯罪和违规的证据;
l 确认必要的记录被文档化;
l 检测网络异常和入侵。
针对不同的审计目标,审计需求分解会不一样,进而审计对象和技术的选择也会有所不同。对于不同的审计对象,每种审计手段都各有利弊。
日志审计具有最广泛的适用性,能够对各类审计对象进行审计,审计目标能够覆盖国家等级化保护、IT内控指引和规范的大部分要求,实现大部分客户的大部分审计目标。同时,日志审计的技术实现代价较小,对网络系统影响不大,后期维护代价适中。因而一般建议用户构建安全审计体系首先从日志审计开始。日志审计最主要的缺陷在于有时候无法获得被审计对象的日志信息,从而无法进行后续分析。
基于网络协议分析的审计技术多用于对网络、数据库和应用系统,以及用户行为进行审计。该技术具有对被审计对象无影响的特点,但是需要购买专门的审计设备和系统,需要专门的维护。该技术最主要的缺陷在于一般无法审计加密信息,或者为了审计加密信息而不得不改变网络结构,进而增加影响网络性能的风险。此外,在审计用户上网行为的过程中,需要不断地更新应用协议解析库,存在一个被动升级的过程。目前,该技术的变种较多,具体实现技术手段也都各异。
基于本机代理的审计技术较为固定,基本上就用于对主机服务器和终端的审计之上。该技术的缺陷就是需要安装代理,需要考虑代理的兼容性和对主机或者终端的自身运行影响性。此外,代理的升级和维护也是一个难点,具有较高的维护代价。一般用于有较高安全需求的场合。
基于远程代理的审计技术使用范围也较广,可适用于对关键基础设施的审计,并且对被审计对象基本无影响。但是,该技术实现的审计目标较窄,集中于对审计对象的漏洞审计,以及对审计对象的配置基线进行稽核。
审计对象与审计技术实现方式的一般对应关系如下图所示:
图:审计对象与审计技术的一般性对应关系
网友评论