大云網(wǎng) 信息安全系統(tǒng)安全正文

深入SOC2.0 安全審計(jì)與安管平臺(tái)融合

2013-10-22 10:20:35 Net硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

審計(jì)對(duì)象和審計(jì)技術(shù)手段已經(jīng)詳細(xì)闡述過，這里，審計(jì)目標(biāo)就是IT安全審計(jì)定義中的目標(biāo)，包括：

　　判定現(xiàn)有IT安全控制的有效性；

　　檢查IT系統(tǒng)的誤用和濫用行為；

　　驗(yàn)證當(dāng)前安全策略的合規(guī)性；

　　獲取犯罪和違規(guī)的證據(jù)；

　　確認(rèn)必要的記錄被文檔化；

　　檢測(cè)網(wǎng)絡(luò)異常和入侵。

　　針對(duì)不同的審計(jì)目標(biāo)，審計(jì)需求分解會(huì)不一樣，進(jìn)而審計(jì)對(duì)象和技術(shù)的選擇也會(huì)有所不同。對(duì)于不同的審計(jì)對(duì)象，每種審計(jì)手段都各有利弊。

隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對(duì)加強(qiáng)內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升，安全審計(jì)技術(shù)和產(chǎn)品得到了廣泛的應(yīng)用?，F(xiàn)在，客戶已經(jīng)認(rèn)識(shí)到單一的安全審計(jì)產(chǎn)品無法滿足實(shí)際要求，需要一套體系化的安全審計(jì)平臺(tái)，以及將這個(gè)審計(jì)平臺(tái)與安全管理平臺(tái)進(jìn)行整合。作為本系列的第三篇文章，將詳細(xì)闡述SOC2.0是如何將安全審計(jì)體系與安全管理平臺(tái)整合到一起的，并以網(wǎng)御神州SecFox安全管理與審計(jì)解決方案做為示例。

　　1安全審計(jì)的定義和組成

　　安全審計(jì)，本文專指IT安全審計(jì)，是一套對(duì)IT系統(tǒng)及其應(yīng)用進(jìn)行量化檢查與評(píng)估的技術(shù)和過程。安全審計(jì)通過對(duì)IT系統(tǒng)中相關(guān)信息的收集、分析和報(bào)告，來判定現(xiàn)有IT安全控制的有效性，檢查IT系統(tǒng)的誤用和濫用行為，驗(yàn)證當(dāng)前安全策略的合規(guī)性，獲取犯罪和違規(guī)的證據(jù)，確認(rèn)必要的記錄被文檔化，以及檢測(cè)網(wǎng)絡(luò)異常和入侵。

　　根據(jù)GB/T 20945-2007《信息安全技術(shù)——信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和評(píng)價(jià)方法》，安全審計(jì)被定義為對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測(cè)、信息采集、分析并針對(duì)特定事件及行為采取相應(yīng)比較動(dòng)作。信息系統(tǒng)安全審計(jì)產(chǎn)品為評(píng)估信息系統(tǒng)的安全性和風(fēng)險(xiǎn)、完善安全策略的制定提供審計(jì)數(shù)據(jù)和審計(jì)服務(wù)支撐，從而達(dá)到保障信息系統(tǒng)正常運(yùn)行的目的。同時(shí)，信息系統(tǒng)安全審計(jì)產(chǎn)品對(duì)信息系統(tǒng)各組成要素進(jìn)行事件采集，將采集數(shù)據(jù)進(jìn)行自動(dòng)綜合和系統(tǒng)分析，能夠提高信息系統(tǒng)安全管理的效率。

　　對(duì)于一款安全審計(jì)產(chǎn)品，從產(chǎn)品功能組成上應(yīng)該包括以下幾個(gè)部分：

　?。ǎ保┬畔⒉杉δ埽寒a(chǎn)品能夠通過某種技術(shù)手段獲取需要審計(jì)的數(shù)據(jù)，例如日志，網(wǎng)絡(luò)數(shù)據(jù)包等。對(duì)于該功能，關(guān)鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（細(xì)致程度）。如果采用數(shù)據(jù)包審計(jì)技術(shù)，網(wǎng)絡(luò)協(xié)議抓包和分析引擎顯得尤為重要；如果采用日志審計(jì)技術(shù)，日志歸一化技術(shù)則是體現(xiàn)產(chǎn)品專業(yè)能力的地方；如果采用宿主代理審計(jì)技術(shù)，代理程序?qū)λ拗鞯募嫒菪浴⒂绊懶允呛荜P(guān)鍵的環(huán)節(jié)。

　　（２）信息分析功能：是指對(duì)于采集上來的信息進(jìn)行分析、審計(jì)。這是審計(jì)產(chǎn)品的核心，審計(jì)效果好壞直接由此體現(xiàn)出來。在實(shí)現(xiàn)信息分析的技術(shù)上，簡(jiǎn)單的技術(shù)可以是基于數(shù)據(jù)庫的信息查詢和比較；復(fù)雜的技術(shù)則包括實(shí)時(shí)關(guān)聯(lián)分析引擎技術(shù)，采用基于規(guī)則的審計(jì)、基于統(tǒng)計(jì)的審計(jì)、基于時(shí)序的審計(jì)，以及基于人工智能的審計(jì)算法，等等。

　?。ǎ常┬畔⒋鎯?chǔ)功能：對(duì)于采集到原始信息，以及審計(jì)后的信息都要進(jìn)行保存，備查，并可以作為取證的依據(jù)。在該功能的實(shí)現(xiàn)上，關(guān)鍵點(diǎn)包括海量信息存儲(chǔ)技術(shù)、以及審計(jì)信息安全保護(hù)技術(shù)。

　　（４）信息展示功能：包括審計(jì)結(jié)果展示界面、統(tǒng)計(jì)分析報(bào)表功能、告警響應(yīng)功能、設(shè)備聯(lián)動(dòng)功能，等等。這部分功能是審計(jì)效果的最直接體現(xiàn)，審計(jì)結(jié)果的可視化能力和告警響應(yīng)的方式、手段都是該功能的關(guān)鍵。

　?。ǎ担┊a(chǎn)品自身安全性和可審計(jì)性功能：審計(jì)產(chǎn)品自身必須是安全的，包括要確保審計(jì)數(shù)據(jù)的完整性、機(jī)密性和有效性，對(duì)審計(jì)系統(tǒng)的訪問要安全。此外，所有針對(duì)審計(jì)產(chǎn)品的訪問和操作也要記錄日志，并且能夠被審計(jì)。

　　2安全審計(jì)技術(shù)分析

當(dāng)前，隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對(duì)加強(qiáng)內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升，安全審計(jì)技術(shù)和產(chǎn)品得到了廣泛的應(yīng)用。一方面，企業(yè)和組織對(duì)安全的建設(shè)思路已經(jīng)開始從以防外為主的策略，逐步轉(zhuǎn)為以防內(nèi)為主、內(nèi)外兼顧的策略，安全審計(jì)技術(shù)和產(chǎn)品成為安全防御縱深的延伸和安全體系建設(shè)中的必要一環(huán)，大量地應(yīng)用于防范內(nèi)部違規(guī)和內(nèi)部用戶行為異常。另一方面，

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊