论IT安全审计与安全管理平台的融合

互联网 | 编辑: 杨剑锋 2009-09-14 12:00:00转载-投稿 一键看全文

安全审计产品选型过程 

3      安全审计产品选型过程

通过对安全审计技术和产品的分析,我们不难发现,客户为了实现安全审计的目标,首先要将需求进行分解,对应到一组审计对象之上,然后选取最合适的技术手段,从而选定适当的审计产品。这也是审计产品选型的推荐过程。

审计对象和审计技术手段已经详细阐述过,这里,审计目标就是IT安全审计定义中的目标,包括:

l         判定现有IT安全控制的有效性;

l         检查IT系统的误用和滥用行为;

l         验证当前安全策略的合规性;

l         获取犯罪和违规的证据;

l         确认必要的记录被文档化;

l         检测网络异常和入侵。

针对不同的审计目标,审计需求分解会不一样,进而审计对象和技术的选择也会有所不同。对于不同的审计对象,每种审计手段都各有利弊。

日志审计具有最广泛的适用性,能够对各类审计对象进行审计,审计目标能够覆盖国家等级化保护、IT内控指引和规范的大部分要求,实现大部分客户的大部分审计目标。同时,日志审计的技术实现代价较小,对网络系统影响不大,后期维护代价适中。因而一般建议用户构建安全审计体系首先从日志审计开始。日志审计最主要的缺陷在于有时候无法获得被审计对象的日志信息,从而无法进行后续分析。

基于网络协议分析的审计技术多用于对网络、数据库和应用系统,以及用户行为进行审计。该技术具有对被审计对象无影响的特点,但是需要购买专门的审计设备和系统,需要专门的维护。该技术最主要的缺陷在于一般无法审计加密信息,或者为了审计加密信息而不得不改变网络结构,进而增加影响网络性能的风险。此外,在审计用户上网行为的过程中,需要不断地更新应用协议解析库,存在一个被动升级的过程。目前,该技术的变种较多,具体实现技术手段也都各异。

基于本机代理的审计技术较为固定,基本上就用于对主机服务器和终端的审计之上。该技术的缺陷就是需要安装代理,需要考虑代理的兼容性和对主机或者终端的自身运行影响性。此外,代理的升级和维护也是一个难点,具有较高的维护代价。一般用于有较高安全需求的场合。

基于远程代理的审计技术使用范围也较广,可适用于对关键基础设施的审计,并且对被审计对象基本无影响。但是,该技术实现的审计目标较窄,集中于对审计对象的漏洞审计,以及对审计对象的配置基线进行稽核。

审计对象与审计技术实现方式的一般对应关系如下图所示:

图:审计对象与审计技术的一般性对应关系

提示:试试键盘 “← →” 可以实现快速翻页 

一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑