偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

安全審計與安全管理平臺的融合

安全
本文將詳細(xì)闡述SOC2.0是如何將安全審計體系與安全管理平臺整合到一起的,并以網(wǎng)御神州SecFox安全管理與審計解決方案做為示例。

【51CTO.com 綜合消息】隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對加強(qiáng)內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升,安全審計技術(shù)和產(chǎn)品得到了廣泛的應(yīng)用?,F(xiàn)在,客戶已經(jīng)認(rèn)識到單一的安全審計產(chǎn)品無法滿足實際要求,需要一套體系化的安全審計平臺,以及將這個審計平臺與安全管理平臺進(jìn)行整合。作為本系列的第三篇文章,將詳細(xì)闡述SOC2.0是如何將安全審計體系與安全管理平臺整合到一起的,并以網(wǎng)御神州SecFox安全管理與審計解決方案做為示例。

1安全審計的定義和組成

安全審計,本文專指IT安全審計,是一套對IT系統(tǒng)及其應(yīng)用進(jìn)行量化檢查與評估的技術(shù)和過程。安全審計通過對IT系統(tǒng)中相關(guān)信息的收集、分析和報告,來判定現(xiàn)有IT安全控制的有效性,檢查IT系統(tǒng)的誤用和濫用行為,驗證當(dāng)前安全策略的合規(guī)性,獲取犯罪和違規(guī)的證據(jù),確認(rèn)必要的記錄被文檔化,以及檢測網(wǎng)絡(luò)異常和入侵。

根據(jù)GB/T 20945-2007《信息安全技術(shù)——信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和評價方法》,安全審計被定義為對信息系統(tǒng)的各種事件及行為實行監(jiān)測、信息采集、分析并針對特定事件及行為采取相應(yīng)比較動作。信息系統(tǒng)安全審計產(chǎn)品為評估信息系統(tǒng)的安全性和風(fēng)險、完善安全策略的制定提供審計數(shù)據(jù)和審計服務(wù)支撐,從而達(dá)到保障信息系統(tǒng)正常運(yùn)行的目的。同時,信息系統(tǒng)安全審計產(chǎn)品對信息系統(tǒng)各組成要素進(jìn)行事件采集,將采集數(shù)據(jù)進(jìn)行自動綜合和系統(tǒng)分析,能夠提高信息系統(tǒng)安全管理的效率。

對于一款安全審計產(chǎn)品,從產(chǎn)品功能組成上應(yīng)該包括以下幾個部分:

(1) 信息采集功能:產(chǎn)品能夠通過某種技術(shù)手段獲取需要審計的數(shù)據(jù),例如日志,網(wǎng)絡(luò)數(shù)據(jù)包等。對于該功能,關(guān)鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度(細(xì)致程度)。如果采用數(shù)據(jù)包審計技術(shù),網(wǎng)絡(luò)協(xié)議抓包和分析引擎顯得尤為重要;如果采用日志審計技術(shù),日志歸一化技術(shù)則是體現(xiàn)產(chǎn)品專業(yè)能力的地方;如果采用宿主代理審計技術(shù),代理程序?qū)λ拗鞯募嫒菪?、影響性是很關(guān)鍵的環(huán)節(jié)。

(2) 信息分析功能:是指對于采集上來的信息進(jìn)行分析、審計。這是審計產(chǎn)品的核心,審計效果好壞直接由此體現(xiàn)出來。在實現(xiàn)信息分析的技術(shù)上,簡單的技術(shù)可以是基于數(shù)據(jù)庫的信息查詢和比較;復(fù)雜的技術(shù)則包括實時關(guān)聯(lián)分析引擎技術(shù),采用基于規(guī)則的審計、基于統(tǒng)計的審計、基于時序的審計,以及基于人工智能的審計算法,等等。

(3) 信息存儲功能:對于采集到原始信息,以及審計后的信息都要進(jìn)行保存,備查,并可以作為取證的依據(jù)。在該功能的實現(xiàn)上,關(guān)鍵點包括海量信息存儲技術(shù)、以及審計信息安全保護(hù)技術(shù)。

(4) 信息展示功能:包括審計結(jié)果展示界面、統(tǒng)計分析報表功能、告警響應(yīng)功能、設(shè)備聯(lián)動功能,等等。這部分功能是審計效果的最直接體現(xiàn),審計結(jié)果的可視化能力和告警響應(yīng)的方式、手段都是該功能的關(guān)鍵。

(5) 產(chǎn)品自身安全性和可審計性功能:審計產(chǎn)品自身必須是安全的,包括要確保審計數(shù)據(jù)的完整性、機(jī)密性和有效性,對審計系統(tǒng)的訪問要安全。此外,所有針對審計產(chǎn)品的訪問和操作也要記錄日志,并且能夠被審計。 #p#

2安全審計技術(shù)分析

當(dāng)前,隨著企業(yè)和組織安全防御不斷向縱深發(fā)展、對加強(qiáng)內(nèi)部安全的重視、以及內(nèi)控與合規(guī)性要求的不斷提升,安全審計技術(shù)和產(chǎn)品得到了廣泛的應(yīng)用。一方面,企業(yè)和組織對安全的建設(shè)思路已經(jīng)開始從以防外為主的策略,逐步轉(zhuǎn)為以防內(nèi)為主、內(nèi)外兼顧的策略,安全審計技術(shù)和產(chǎn)品成為安全防御縱深的延伸和安全體系建設(shè)中的必要一環(huán),大量地應(yīng)用于防范內(nèi)部違規(guī)和內(nèi)部用戶行為異常。另一方面,政府、行業(yè)對IT治理、IT內(nèi)控和IT風(fēng)險管理的日益重視極大地促進(jìn)了安全審計的發(fā)展。目前推出的一些國際、國家、行業(yè)的內(nèi)控和審計相關(guān)的法律、法規(guī)、標(biāo)準(zhǔn)等,都直接或者間接地對某些行業(yè)或企業(yè)提出了需要配備安全審計產(chǎn)品的要求。

國內(nèi)的安全審計產(chǎn)品根據(jù)被審計對象和審計采用的技術(shù)手段兩個維度,可以劃分為不同的產(chǎn)品類型。

從被審計對象的維度來看,IT環(huán)境的各種IT資源都能夠成為被審計對象,自底向上依次可以包括網(wǎng)絡(luò)和安全設(shè)備、主機(jī)和服務(wù)器、終端、網(wǎng)絡(luò)、數(shù)據(jù)庫、應(yīng)用和業(yè)務(wù)系統(tǒng)審計,以及IT資源的使用者——人。對于審計產(chǎn)品而言,被審計對象也可以看作是被保護(hù)對象。據(jù)此,可以分為:

(1) 設(shè)備審計(Device Audit):對網(wǎng)絡(luò)設(shè)備、安全設(shè)備等各種設(shè)備的操作和行為進(jìn)行審計;

(2) 主機(jī)審計(Host Audit):審計針對主機(jī)(服務(wù)器)的各種操作和行為;

(3) 終端審計(Endpoint Audit):對終端設(shè)備(PC、打印機(jī))等的操作和行為進(jìn)行審計,包括預(yù)配置審計;

(4)網(wǎng)絡(luò)審計(Network Audit):對網(wǎng)絡(luò)中各種訪問、操作的審計,例如telnet操作、FTP操作,等等;

(5) 數(shù)據(jù)庫審計(Database Audit):對數(shù)據(jù)庫行為和操作、甚至操作的內(nèi)容進(jìn)行審計;

(6) 業(yè)務(wù)系統(tǒng)審計(Business Behavior Audit):對業(yè)務(wù)IT支撐系統(tǒng)的操作、行為、內(nèi)容的審計;

(7) 用戶行為審計(User Behavior Audit):對企業(yè)和組織的人進(jìn)行審計,包括上網(wǎng)行為審計、運(yùn)維操作審計。

有的審計產(chǎn)品針對上述一種對象進(jìn)行審計,還有的產(chǎn)品綜合上述多種審計對象。

從審計采用的技術(shù)手段維度來看,為了實現(xiàn)審計目標(biāo),通常采用以下幾種審計技術(shù)手段:

(1) 基于日志分析的安全審計技術(shù)(Log Analysis Based Audit Technology)

一種通過采集被審計或被保護(hù)對象運(yùn)行過程中產(chǎn)生的日志,進(jìn)行匯總、歸一化和關(guān)聯(lián)分析,實現(xiàn)安全審計的目標(biāo)的技術(shù)。這種審計技術(shù)具有最大的普適性,是最基本、最經(jīng)濟(jì)實用的審計方式,能夠?qū)ψ畲蠓秶腎T資源對象實施審計,并應(yīng)對大部分的審計需求。在國家等級化保護(hù)技術(shù)要求中、以及行業(yè)內(nèi)控規(guī)范和指引中都明確提及了這種審計方式。該日志審計類產(chǎn)品在市場上也最為常見。

(2) 基于本機(jī)代理的安全審計技術(shù)(Host Agent Based Audit Technology)

一種通過在被審計或者被保護(hù)對象(稱為“宿主”)之上運(yùn)行一個特定的軟件代碼,獲取審計所需的信息,然后將信息發(fā)送給審計管理端進(jìn)行綜合分析,實現(xiàn)審計目標(biāo)的技術(shù)。作為這種技術(shù)應(yīng)用的擴(kuò)展,采用該技術(shù)的審計產(chǎn)品通常還具有對宿主的反向控制功能,改變宿主的運(yùn)行狀態(tài),使得其符合既定的安全策略。這種審計技術(shù)的審計粒度十分細(xì)致,多用于對主機(jī)和終端等設(shè)備進(jìn)行審計。目前市場上常見的服務(wù)器加固與審計系統(tǒng)、終端安全審計系統(tǒng)都采用這種技術(shù)。

(3) 基于遠(yuǎn)程代理的安全審計技術(shù)(Remote Agent Based Audit Technology)

一種通過一個獨(dú)立的審計代理端對被審計對象或者保護(hù)對象(宿主)發(fā)出遠(yuǎn)程的腳本或者指令,獲取宿主的審計信息,并提交給審計管理端進(jìn)行分析,實現(xiàn)安全審計目標(biāo)的技術(shù)。這種方式與基于本機(jī)代理的技術(shù)最大的區(qū)別就在于不需要安裝宿主代理,只需要開放遠(yuǎn)程腳本或者指令的通訊接口及其帳號口令。當(dāng)然,這種審計技術(shù)的審計粒度受限于遠(yuǎn)程腳本的能力。目前市場上常見的產(chǎn)品有基于漏洞掃描的審計系統(tǒng)、WEB安全審計系統(tǒng)、或者基線配置審核系統(tǒng)。

(4)基于網(wǎng)絡(luò)協(xié)議分析的安全審計技術(shù)(Network Protocol Analysis Based Audit Technology)

一種通過采集被審計對象或者被保護(hù)對象在網(wǎng)絡(luò)環(huán)境下與其他網(wǎng)絡(luò)節(jié)點進(jìn)行通訊過程中產(chǎn)生的網(wǎng)絡(luò)通訊報文,進(jìn)行協(xié)議分析(包括應(yīng)用層協(xié)議分析),實現(xiàn)審計目標(biāo)的技術(shù)。由于現(xiàn)在用戶基本都實現(xiàn)了網(wǎng)絡(luò)互聯(lián)互通,并且該技術(shù)對被審計對象的要求較低,對網(wǎng)絡(luò)環(huán)境影響較小,因而得到了廣泛的應(yīng)用,多應(yīng)用于對IT資源的核心基礎(chǔ)設(shè)施(設(shè)備、主機(jī)、應(yīng)用和業(yè)務(wù)等)和用戶行為進(jìn)行審計。該審計類型根據(jù)具體技術(shù)原理的不同,又可以分為若干種子類型,包括基于旁路偵聽(Sniffer-based)的網(wǎng)絡(luò)協(xié)議分析技術(shù)、基于代理(Proxy-based)的網(wǎng)絡(luò)協(xié)議分析技術(shù),等等。目前市場上常見的產(chǎn)品有NBA(Network Behavior Audit,網(wǎng)絡(luò)行為審計)類產(chǎn)品、用戶上網(wǎng)行為審計類產(chǎn)品,以及某些WEB應(yīng)用防火墻(WAF)。 #p#

3安全審計產(chǎn)品選型過程

通過對安全審計技術(shù)和產(chǎn)品的分析,我們不難發(fā)現(xiàn),客戶為了實現(xiàn)安全審計的目標(biāo),首先要將需求進(jìn)行分解,對應(yīng)到一組審計對象之上,然后選取最合適的技術(shù)手段,從而選定適當(dāng)?shù)膶徲嫯a(chǎn)品。這也是審計產(chǎn)品選型的推薦過程。

審計對象和審計技術(shù)手段已經(jīng)詳細(xì)闡述過,這里,審計目標(biāo)就是IT安全審計定義中的目標(biāo),包括: 

◆判定現(xiàn)有IT安全控制的有效性; 

◆檢查IT系統(tǒng)的誤用和濫用行為; 

◆驗證當(dāng)前安全策略的合規(guī)性; 

◆獲取犯罪和違規(guī)的證據(jù); 

◆確認(rèn)必要的記錄被文檔化;

◆檢測網(wǎng)絡(luò)異常和入侵。

針對不同的審計目標(biāo),審計需求分解會不一樣,進(jìn)而審計對象和技術(shù)的選擇也會有所不同。對于不同的審計對象,每種審計手段都各有利弊。

日志審計具有最廣泛的適用性,能夠?qū)Ω黝悓徲媽ο筮M(jìn)行審計,審計目標(biāo)能夠覆蓋國家等級化保護(hù)、IT內(nèi)控指引和規(guī)范的大部分要求,實現(xiàn)大部分客戶的大部分審計目標(biāo)。同時,日志審計的技術(shù)實現(xiàn)代價較小,對網(wǎng)絡(luò)系統(tǒng)影響不大,后期維護(hù)代價適中。因而一般建議用戶構(gòu)建安全審計體系首先從日志審計開始。日志審計最主要的缺陷在于有時候無法獲得被審計對象的日志信息,從而無法進(jìn)行后續(xù)分析。

基于網(wǎng)絡(luò)協(xié)議分析的審計技術(shù)多用于對網(wǎng)絡(luò)、數(shù)據(jù)庫和應(yīng)用系統(tǒng),以及用戶行為進(jìn)行審計。該技術(shù)具有對被審計對象無影響的特點,但是需要購買專門的審計設(shè)備和系統(tǒng),需要專門的維護(hù)。該技術(shù)最主要的缺陷在于一般無法審計加密信息,或者為了審計加密信息而不得不改變網(wǎng)絡(luò)結(jié)構(gòu),進(jìn)而增加影響網(wǎng)絡(luò)性能的風(fēng)險。此外,在審計用戶上網(wǎng)行為的過程中,需要不斷地更新應(yīng)用協(xié)議解析庫,存在一個被動升級的過程。目前,該技術(shù)的變種較多,具體實現(xiàn)技術(shù)手段也都各異。

基于本機(jī)代理的審計技術(shù)較為固定,基本上就用于對主機(jī)服務(wù)器和終端的審計之上。該技術(shù)的缺陷就是需要安裝代理,需要考慮代理的兼容性和對主機(jī)或者終端的自身運(yùn)行影響性。此外,代理的升級和維護(hù)也是一個難點,具有較高的維護(hù)代價。一般用于有較高安全需求的場合。

基于遠(yuǎn)程代理的審計技術(shù)使用范圍也較廣,可適用于對關(guān)鍵基礎(chǔ)設(shè)施的審計,并且對被審計對象基本無影響。但是,該技術(shù)實現(xiàn)的審計目標(biāo)較窄,集中于對審計對象的漏洞審計,以及對審計對象的配置基線進(jìn)行稽核。

審計對象與審計技術(shù)實現(xiàn)方式的一般對應(yīng)關(guān)系如下圖所示: 

 
圖1  審計對象與審計技術(shù)的一般性對應(yīng)關(guān)系

 #p#

4安全審計需要體系化的審計模型

隨著對審計的日益重視,客戶部署了越來越多的單一型安全審計產(chǎn)品。現(xiàn)在,客戶已經(jīng)認(rèn)識到,要在企業(yè)和組織中實現(xiàn)有效的安全審計,依靠某一類安全審計產(chǎn)品往往是不夠的。這些審計系統(tǒng)從各自的角度對特定的信息對象進(jìn)行審計,雖然專業(yè),但是卻增加了運(yùn)維和審計人員的工作量,同時審計系統(tǒng)之間缺乏必要的信息交換??蛻粜枰⒁粋€安全審計的體系,以及一套體系化的安全審計平臺。通過前面安全審計產(chǎn)品選型過程的分析,也可以看出來,每種審計技術(shù)和產(chǎn)品都有其適用性,有利有弊,需要根據(jù)安全目標(biāo)進(jìn)行綜合考量。為此,客戶需要一個統(tǒng)一安全審計的架構(gòu)和模型。

統(tǒng)一安全審計架構(gòu)應(yīng)該是一個點面結(jié)合的綜合審計模型。面是指統(tǒng)一審計平臺和日志審計,是統(tǒng)一安全審計的基礎(chǔ)和基本組成,包括用戶的統(tǒng)一操作界面。需要強(qiáng)調(diào)的是,日志審計由于其普適性而成為統(tǒng)一安全審計的基礎(chǔ)平臺的一部分。

點作為面的補(bǔ)充,針對更高安全審計要求的安全域進(jìn)行有針對性的審計,成為專項審計,并且要無縫的融入到面之中。 典型的點審計(專項審計)有:

(1) 針對業(yè)務(wù)系統(tǒng)安全域的增強(qiáng)性審計:主機(jī)和服務(wù)器審計、數(shù)據(jù)庫審計、應(yīng)用和業(yè)務(wù)審計;

(2) 針對網(wǎng)絡(luò)區(qū)域的增強(qiáng)性審計:網(wǎng)絡(luò)審計、設(shè)備審計;

(3) 針對辦公區(qū)域用戶上網(wǎng)行為的審計;

(4) 針對終端區(qū)域操作的審計;

在這個審計模型中,日志審計是核心。統(tǒng)一安全審計模型如下圖所示: 

 
圖2  統(tǒng)一安全審計模型

在運(yùn)用統(tǒng)一安全審計模型的時候,客戶首先搭建起一個可擴(kuò)展的安全審計基礎(chǔ)平臺,并建立起日志審計體系及其審計用戶界面。此時,審計的功能和目標(biāo)不必太多,重點放在對最廣泛的IT資源采集日志,進(jìn)行基礎(chǔ)性審計之上。由于日志審計能力所限,對于一些重要的安全區(qū)域需要采用增強(qiáng)的專項審計機(jī)制,例如對網(wǎng)絡(luò)區(qū)域的審計、對辦公區(qū)域的審計、對業(yè)務(wù)核心系統(tǒng)區(qū)域的審計,等等。每類專項審計都采用具有專門技術(shù)的審計產(chǎn)品,例如基于本機(jī)代理的終端安全審計產(chǎn)品,基于網(wǎng)絡(luò)協(xié)議分析的數(shù)據(jù)庫審計產(chǎn)品和用戶上網(wǎng)行為審計產(chǎn)品,等等。每類專項審計產(chǎn)品都必須實現(xiàn)統(tǒng)一安全審計基礎(chǔ)平臺的互聯(lián)。最基本的互聯(lián)就是各個專項審計產(chǎn)品能夠?qū)⑺麄兊膶徲嫿Y(jié)果以告警或者日志的形式發(fā)送給審計基礎(chǔ)平臺,由基礎(chǔ)審計平臺上的日志審計模塊通過關(guān)聯(lián)分析和告警給客戶進(jìn)行統(tǒng)一的展示,并通過基礎(chǔ)平臺向各個專項審計產(chǎn)品下發(fā)控制指令,由各個專項審計產(chǎn)品執(zhí)行控制指令,阻斷或者抑制違規(guī)行為。 #p#

5將安全審計與安全管理平臺(SOC)進(jìn)行整合

通過對安全審計進(jìn)行統(tǒng)一建模,我們可以發(fā)現(xiàn),這個統(tǒng)一安全審計模型與安全管理平臺(SOC)架構(gòu)具備天然的相似性,他們都具有信息的采集、分析、存儲和展示等功能組成,他們都強(qiáng)調(diào)對全網(wǎng)IT資源進(jìn)行一體化的監(jiān)控與審計。

同時,對于已經(jīng)或者即將建立統(tǒng)一安全管理平臺(SOC)的用戶而言,為了不增加安全體系的復(fù)雜性,需要將安全審計的需求與SOC需求一并進(jìn)行統(tǒng)籌考慮。

在本系列文章的第二篇,我們已經(jīng)分析了SOC2.0的統(tǒng)一管理模型,如下圖所示: 

 
圖3   SOC2.0的統(tǒng)一管理模型

對比兩個模型,可以發(fā)現(xiàn),本質(zhì)上,統(tǒng)一安全審計模型就是統(tǒng)一管理平臺(SOC2.0)的一個縱向子集,只是更加關(guān)注于審計這個功能維度而已。此外,由于SOC2.0模型本身具備可裁剪性,因而這種融合也具有了可行性。如下圖所示,展示了統(tǒng)一安全審計在SOC2.0中的映射關(guān)系: 

 
圖4   安全審計與安全管理平臺的融合

通過安全審計與安全管理平臺的融合,使得安全審計體系的建設(shè)與安全管理體系的建設(shè)目標(biāo)達(dá)成了一致,有助于企業(yè)整體安全體系的形成和完善。對于客戶而言,下一代的安全管理平臺(SOC2.0)始終是IT管理的終極管理平臺、一體化的平臺。

此外,借助統(tǒng)一安全審計體系與SOC2.0的整合,傳統(tǒng)的對象安全審計提升到了業(yè)務(wù)安全審計的層面,更加體現(xiàn)出了統(tǒng)一安全審計給客戶的價值。例如,借助SOC2.0的關(guān)聯(lián)分析引擎和業(yè)務(wù)規(guī)則描述語言,用戶可以定義如下的業(yè)務(wù)審計規(guī)則,并真正得以執(zhí)行:

 
圖5

SOC2.0基于規(guī)則的關(guān)聯(lián)分析引擎能夠?qū)I(yè)務(wù)規(guī)則描述轉(zhuǎn)化為針對具體資產(chǎn)對象的審計規(guī)則,并根據(jù)從專項的日志審計產(chǎn)品、終端審計產(chǎn)品、數(shù)據(jù)庫審計產(chǎn)品和應(yīng)用審計產(chǎn)品中收集上來的信息進(jìn)行關(guān)聯(lián)分析,進(jìn)行審計規(guī)則匹配,發(fā)現(xiàn)違規(guī)行為并進(jìn)行告警和響應(yīng)。 #p#

6實例分析:網(wǎng)御神州SecFox安全管理與審計解決方案

網(wǎng)御神州根據(jù)用戶的需求,以及自身在安全管理與審計領(lǐng)域的長期積累,在SOC2.0的代表性產(chǎn)品SecFox-UMS統(tǒng)一管理系統(tǒng)的基礎(chǔ)上提出了SecFox統(tǒng)一安全審計解決方案。該解決方案能夠?qū)θW(wǎng)各種對象和行為進(jìn)行審計,同時充分考慮到審計的針對性和可行性,并提供給用戶一套統(tǒng)一的審計中心和審計界面。

欲獲取更多關(guān)于網(wǎng)御神州SecFox安全管理與審計系統(tǒng)技術(shù)、產(chǎn)品、解決方案的信息,請訪問網(wǎng)御神州安全管理官方網(wǎng)站:http://www.legendsec.com/newsec.php?up=3&cid=3

SecFox統(tǒng)一安全審計解決方案包括四個部分:日志審計、網(wǎng)絡(luò)行為審計、終端審計和統(tǒng)一安全審計平臺。

1)日志審計

日志審計是整個綜合安全審計解決方案的核心和基礎(chǔ)。IT網(wǎng)絡(luò)中大部分的設(shè)備和系統(tǒng)都能夠產(chǎn)生日志,這些日志能夠反映網(wǎng)絡(luò)、訪問者,以及設(shè)備或系統(tǒng)自身的操作和行為。網(wǎng)神SecFox-LAS日志審計系統(tǒng)能夠?qū)⑦@些日志統(tǒng)一的收集起來,進(jìn)行歸一化和關(guān)聯(lián)分析,實現(xiàn)全網(wǎng)IT環(huán)境的集中安全審計。通過SecFox-LAS日志審計系統(tǒng),用戶能夠?qū)崿F(xiàn)大部分的安全審計目標(biāo)。 

 
圖6

2)網(wǎng)絡(luò)行為審計

對于用戶IT網(wǎng)絡(luò)中比較重要的區(qū)域,或者關(guān)鍵的業(yè)務(wù)系統(tǒng),僅僅借助系統(tǒng)日志進(jìn)行審計是不充分的,有時候也是不可行的。例如某些業(yè)務(wù)系統(tǒng)本身沒有日志記錄功能,或者某些業(yè)務(wù)系統(tǒng)由于其自身重要性不能運(yùn)行日志采集器,等等。此外,針對網(wǎng)絡(luò)中用戶訪問互聯(lián)網(wǎng)的行為,通過傳統(tǒng)的日志審計手段也遠(yuǎn)遠(yuǎn)不夠。此時,可以通過網(wǎng)絡(luò)硬件探測器的形式對這些業(yè)務(wù)系統(tǒng)和用戶的操作行為進(jìn)行審計。網(wǎng)絡(luò)硬件探測器采用旁路部署(共享Hub/交換機(jī)端口鏡像/網(wǎng)絡(luò)分接TAP)的方式放置在交換機(jī)旁邊,偵聽并分析網(wǎng)絡(luò)訪問操作的指令,并轉(zhuǎn)化為操作日志送到SecFox-LAS管理中心進(jìn)行統(tǒng)一審計。SecFox-LAS自帶網(wǎng)絡(luò)硬件探測器,用戶也可以使用專門的網(wǎng)神SecFox-NBA(Network Behavior Analysis)網(wǎng)絡(luò)行為審計設(shè)備,他們的工作原理相同。

根據(jù)部署位置的不同,SecFox-NBA網(wǎng)絡(luò)行為審計系統(tǒng)分為兩種類型:

(1)SecFox-NBA(業(yè)務(wù)審計型)部署在關(guān)鍵業(yè)務(wù)系統(tǒng)區(qū)域,對業(yè)務(wù)行為進(jìn)行網(wǎng)絡(luò)審計,包括對業(yè)務(wù)系統(tǒng)所在的主機(jī)、數(shù)據(jù)庫、應(yīng)用中間件、關(guān)鍵網(wǎng)絡(luò)和安全設(shè)備、網(wǎng)絡(luò)流量等的審計。通過部署SecFox-NBA(業(yè)務(wù)審計型)能夠有效地防止針對業(yè)務(wù)系統(tǒng)的違規(guī)操作和行為,保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)機(jī)器核心數(shù)據(jù)的安全。

(2)SecFox-NBA(上網(wǎng)審計型)則部署在互聯(lián)網(wǎng)出口處,對網(wǎng)絡(luò)中所有訪問Internet互聯(lián)網(wǎng)的用戶行為和內(nèi)容進(jìn)行審計,包括網(wǎng)頁瀏覽、即時通訊、網(wǎng)絡(luò)聊天、網(wǎng)絡(luò)音視頻、郵件、P2P、股票、游戲等。通過部署SecFox-NBA(上網(wǎng)審計型)能夠有效地規(guī)范企事業(yè)單位職工的上網(wǎng)行為,提高互聯(lián)網(wǎng)使用效率,防止違規(guī)和信息泄漏。 

 
圖7

SecFox-NBA網(wǎng)絡(luò)行為審計系統(tǒng)既可以單獨(dú)部署和使用,也可以與SecFox-LAS日志審計系統(tǒng)配套使用。SecFox-NBA可以將所有安全審計日志發(fā)送到SecFox-LAS進(jìn)行統(tǒng)一安全審計。

3)終端審計

大量的研究和實踐表明,大部分的安全問題都出現(xiàn)在用戶網(wǎng)絡(luò)內(nèi)部,而其中網(wǎng)絡(luò)內(nèi)部的終端是最薄弱的環(huán)節(jié)。不僅因為終端的數(shù)量相對較大,而且因為這些終端設(shè)備的使用者安全意識較為薄弱,且較難規(guī)范化管理。為此,對于一些安全保障要求較高的單位,可以在內(nèi)部用戶區(qū)域部署專門的終端安全審計系統(tǒng)。網(wǎng)神SecFox-EPS(Endpoint Protection System)終端安全管理系統(tǒng)能夠有效地對網(wǎng)絡(luò)內(nèi)部的所有Windows終端設(shè)備進(jìn)行集中統(tǒng)一的管理,包括資產(chǎn)管理、軟件分發(fā)、補(bǔ)丁升級、統(tǒng)一安全策略管理、移動存儲介質(zhì)管理、接入控制等。

SecFox-EPS終端安全管理系統(tǒng)包括終端管理中心和運(yùn)行在被管理Windows終端設(shè)備上的安全代理,所有的管理功能都通過管理中心控制安全代理來實現(xiàn)。 

 
圖8

SecFox-EPS既能夠單獨(dú)部署和使用,也可以與SecFox-LAS日志審計系統(tǒng)配套使用。SecFox-EPS管理端可以將所有安全審計日志發(fā)送到SecFox-LAS進(jìn)行統(tǒng)一安全審計。

4)統(tǒng)一安全審計

用戶為了實現(xiàn)IT網(wǎng)絡(luò)的全面安全審計而部署的日志審計、網(wǎng)絡(luò)行為審計和終端審計系統(tǒng)不是彼此割裂的,而能夠統(tǒng)一為一個整體。在SecFox統(tǒng)一安全審計解決方案中,網(wǎng)御神州將SecFox-LAS升格為統(tǒng)一安全審計中心,將SecFox-NBA網(wǎng)絡(luò)行為審計系統(tǒng)和SecFox-EPS終端審計系統(tǒng)的審計信息統(tǒng)一送到SecFox-LAS日志審計系統(tǒng),與SecFox-LAS收集到的其它網(wǎng)絡(luò)中各種IT資源的日志信息一起進(jìn)行歸一化和關(guān)聯(lián)分析處理,統(tǒng)一的進(jìn)行可視化展現(xiàn)、審計和存儲。如果用戶有更多的功能需求,例如要實現(xiàn)面向業(yè)務(wù)的安全審計,也可以由SecFox-UMS統(tǒng)一管理系統(tǒng)擔(dān)當(dāng)這個統(tǒng)一的安全審計中心。SecFox-LAS日志審計系統(tǒng)相當(dāng)于SecFox-UMS的一個專注于統(tǒng)一安全審計的簡化版。 

 
圖9

5)統(tǒng)一規(guī)劃、分布實施

借助網(wǎng)神SecFox統(tǒng)一安全審計解決方案,用戶能夠真正建立起一套針對全網(wǎng)IT資源的安全審計體系。根據(jù)用戶需求的不同階段,該方案可以做到統(tǒng)一規(guī)劃、分步實施,有針對、有重點,逐步實現(xiàn)統(tǒng)一安全審計。

7小結(jié)

安全審計與安全管理的融合是未來發(fā)展的必然,這是客戶需求決定的,也是技術(shù)發(fā)展的必然選擇。兩者的結(jié)合能夠使得客戶的安全體系建設(shè)目標(biāo)和過程更加清晰明了,對安全管理平臺帶來的價值回報也有了一種具體體現(xiàn)——用于實現(xiàn)統(tǒng)一安全審計。

8關(guān)于網(wǎng)御神州的安全管理平臺

網(wǎng)御神州安全管理團(tuán)隊根據(jù)長期以來在安全管理領(lǐng)域的深入研究,結(jié)合來自客戶的需求與市場的現(xiàn)狀,提出了具有完全自主知識產(chǎn)權(quán)的、面向業(yè)務(wù)的網(wǎng)神SecFox安全管理與審計產(chǎn)品理念,尤其強(qiáng)調(diào)網(wǎng)絡(luò)管理、安全管理與運(yùn)維管理的一體化,為政府、軍隊、公安、稅務(wù)、電力、保險、電信、金融、交通、醫(yī)療、制造、廣電等各個領(lǐng)域的客戶提供全面的安全運(yùn)營保障平臺。網(wǎng)御神州建立了專門的安全管理研發(fā)和實施隊伍——SOC事業(yè)部,在國內(nèi)市場突飛猛進(jìn),取得了令人矚目的市場成就。在CCID2008年和2009年《中國信息安全產(chǎn)品市場研究年度報告》中網(wǎng)御神州連續(xù)兩年位居安全管理(SOC)市場第一名,成為了中國安全管理市場的領(lǐng)導(dǎo)廠商。

責(zé)任編輯:許鳳麗 來源: 51CTO.com
相關(guān)推薦

2012-04-25 14:11:00

Hillstone安全審計

2011-11-17 17:08:58

2009-06-30 09:51:20

2015-07-31 09:27:56

安全編碼代碼審計Python

2012-03-13 13:44:01

Hillstone網(wǎng)絡(luò)安全

2012-04-24 18:39:10

HillstoneHSA

2024-05-06 13:36:41

2012-04-25 14:15:50

2017-11-08 06:07:02

2013-09-12 09:20:45

云安全審計云安全審計

2009-07-02 19:24:50

安全管理Windows審計

2009-06-26 13:35:50

安全審計信息安全吉大正元

2013-06-05 09:51:04

2013-01-30 17:19:48

2022-08-02 11:08:55

網(wǎng)絡(luò)安全云安全審計

2011-05-16 13:09:18

2017-02-09 10:30:51

FaradayIPEIDE

2013-07-23 21:35:59

2012-05-23 17:35:29

2017-03-31 14:23:20

點贊
收藏

51CTO技術(shù)棧公眾號