安全審計與安全管理平臺的融合
【51CTO.com 綜合消息】隨著企業和組織安全防御不斷向縱深發展、對加強內部安全的重視、以及內控與合規性要求的不斷提升,安全審計技術和產品得到了廣泛的應用。現在,客戶已經認識到單一的安全審計產品無法滿足實際要求,需要一套體系化的安全審計平臺,以及將這個審計平臺與安全管理平臺進行整合。作為本系列的第三篇文章,將詳細闡述SOC2.0是如何將安全審計體系與安全管理平臺整合到一起的,并以網御神州SecFox安全管理與審計解決方案做為示例。
1安全審計的定義和組成
安全審計,本文專指IT安全審計,是一套對IT系統及其應用進行量化檢查與評估的技術和過程。安全審計通過對IT系統中相關信息的收集、分析和報告,來判定現有IT安全控制的有效性,檢查IT系統的誤用和濫用行為,驗證當前安全策略的合規性,獲取犯罪和違規的證據,確認必要的記錄被文檔化,以及檢測網絡異常和入侵。
根據GB/T 20945-2007《信息安全技術——信息系統安全審計產品技術要求和評價方法》,安全審計被定義為對信息系統的各種事件及行為實行監測、信息采集、分析并針對特定事件及行為采取相應比較動作。信息系統安全審計產品為評估信息系統的安全性和風險、完善安全策略的制定提供審計數據和審計服務支撐,從而達到保障信息系統正常運行的目的。同時,信息系統安全審計產品對信息系統各組成要素進行事件采集,將采集數據進行自動綜合和系統分析,能夠提高信息系統安全管理的效率。
對于一款安全審計產品,從產品功能組成上應該包括以下幾個部分:
(1) 信息采集功能:產品能夠通過某種技術手段獲取需要審計的數據,例如日志,網絡數據包等。對于該功能,關鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度(細致程度)。如果采用數據包審計技術,網絡協議抓包和分析引擎顯得尤為重要;如果采用日志審計技術,日志歸一化技術則是體現產品專業能力的地方;如果采用宿主代理審計技術,代理程序對宿主的兼容性、影響性是很關鍵的環節。
(2) 信息分析功能:是指對于采集上來的信息進行分析、審計。這是審計產品的核心,審計效果好壞直接由此體現出來。在實現信息分析的技術上,簡單的技術可以是基于數據庫的信息查詢和比較;復雜的技術則包括實時關聯分析引擎技術,采用基于規則的審計、基于統計的審計、基于時序的審計,以及基于人工智能的審計算法,等等。
(3) 信息存儲功能:對于采集到原始信息,以及審計后的信息都要進行保存,備查,并可以作為取證的依據。在該功能的實現上,關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。
(4) 信息展示功能:包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能,等等。這部分功能是審計效果的最直接體現,審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。
(5) 產品自身安全性和可審計性功能:審計產品自身必須是安全的,包括要確保審計數據的完整性、機密性和有效性,對審計系統的訪問要安全。此外,所有針對審計產品的訪問和操作也要記錄日志,并且能夠被審計。 #p#
2安全審計技術分析
當前,隨著企業和組織安全防御不斷向縱深發展、對加強內部安全的重視、以及內控與合規性要求的不斷提升,安全審計技術和產品得到了廣泛的應用。一方面,企業和組織對安全的建設思路已經開始從以防外為主的策略,逐步轉為以防內為主、內外兼顧的策略,安全審計技術和產品成為安全防御縱深的延伸和安全體系建設中的必要一環,大量地應用于防范內部違規和內部用戶行為異常。另一方面,政府、行業對IT治理、IT內控和IT風險管理的日益重視極大地促進了安全審計的發展。目前推出的一些國際、國家、行業的內控和審計相關的法律、法規、標準等,都直接或者間接地對某些行業或企業提出了需要配備安全審計產品的要求。
國內的安全審計產品根據被審計對象和審計采用的技術手段兩個維度,可以劃分為不同的產品類型。
從被審計對象的維度來看,IT環境的各種IT資源都能夠成為被審計對象,自底向上依次可以包括網絡和安全設備、主機和服務器、終端、網絡、數據庫、應用和業務系統審計,以及IT資源的使用者——人。對于審計產品而言,被審計對象也可以看作是被保護對象。據此,可以分為:
(1) 設備審計(Device Audit):對網絡設備、安全設備等各種設備的操作和行為進行審計;
(2) 主機審計(Host Audit):審計針對主機(服務器)的各種操作和行為;
(3) 終端審計(Endpoint Audit):對終端設備(PC、打印機)等的操作和行為進行審計,包括預配置審計;
(4)網絡審計(Network Audit):對網絡中各種訪問、操作的審計,例如telnet操作、FTP操作,等等;
(5) 數據庫審計(Database Audit):對數據庫行為和操作、甚至操作的內容進行審計;
(6) 業務系統審計(Business Behavior Audit):對業務IT支撐系統的操作、行為、內容的審計;
(7) 用戶行為審計(User Behavior Audit):對企業和組織的人進行審計,包括上網行為審計、運維操作審計。
有的審計產品針對上述一種對象進行審計,還有的產品綜合上述多種審計對象。
從審計采用的技術手段維度來看,為了實現審計目標,通常采用以下幾種審計技術手段:
(1) 基于日志分析的安全審計技術(Log Analysis Based Audit Technology)
一種通過采集被審計或被保護對象運行過程中產生的日志,進行匯總、歸一化和關聯分析,實現安全審計的目標的技術。這種審計技術具有最大的普適性,是最基本、最經濟實用的審計方式,能夠對最大范圍的IT資源對象實施審計,并應對大部分的審計需求。在國家等級化保護技術要求中、以及行業內控規范和指引中都明確提及了這種審計方式。該日志審計類產品在市場上也最為常見。
(2) 基于本機代理的安全審計技術(Host Agent Based Audit Technology)
一種通過在被審計或者被保護對象(稱為“宿主”)之上運行一個特定的軟件代碼,獲取審計所需的信息,然后將信息發送給審計管理端進行綜合分析,實現審計目標的技術。作為這種技術應用的擴展,采用該技術的審計產品通常還具有對宿主的反向控制功能,改變宿主的運行狀態,使得其符合既定的安全策略。這種審計技術的審計粒度十分細致,多用于對主機和終端等設備進行審計。目前市場上常見的服務器加固與審計系統、終端安全審計系統都采用這種技術。
(3) 基于遠程代理的安全審計技術(Remote Agent Based Audit Technology)
一種通過一個獨立的審計代理端對被審計對象或者保護對象(宿主)發出遠程的腳本或者指令,獲取宿主的審計信息,并提交給審計管理端進行分析,實現安全審計目標的技術。這種方式與基于本機代理的技術最大的區別就在于不需要安裝宿主代理,只需要開放遠程腳本或者指令的通訊接口及其帳號口令。當然,這種審計技術的審計粒度受限于遠程腳本的能力。目前市場上常見的產品有基于漏洞掃描的審計系統、WEB安全審計系統、或者基線配置審核系統。
(4)基于網絡協議分析的安全審計技術(Network Protocol Analysis Based Audit Technology)
一種通過采集被審計對象或者被保護對象在網絡環境下與其他網絡節點進行通訊過程中產生的網絡通訊報文,進行協議分析(包括應用層協議分析),實現審計目標的技術。由于現在用戶基本都實現了網絡互聯互通,并且該技術對被審計對象的要求較低,對網絡環境影響較小,因而得到了廣泛的應用,多應用于對IT資源的核心基礎設施(設備、主機、應用和業務等)和用戶行為進行審計。該審計類型根據具體技術原理的不同,又可以分為若干種子類型,包括基于旁路偵聽(Sniffer-based)的網絡協議分析技術、基于代理(Proxy-based)的網絡協議分析技術,等等。目前市場上常見的產品有NBA(Network Behavior Audit,網絡行為審計)類產品、用戶上網行為審計類產品,以及某些WEB應用防火墻(WAF)。 #p#
3安全審計產品選型過程
通過對安全審計技術和產品的分析,我們不難發現,客戶為了實現安全審計的目標,首先要將需求進行分解,對應到一組審計對象之上,然后選取最合適的技術手段,從而選定適當的審計產品。這也是審計產品選型的推薦過程。
審計對象和審計技術手段已經詳細闡述過,這里,審計目標就是IT安全審計定義中的目標,包括:
◆判定現有IT安全控制的有效性;
◆檢查IT系統的誤用和濫用行為;
◆驗證當前安全策略的合規性;
◆獲取犯罪和違規的證據;
◆確認必要的記錄被文檔化;
◆檢測網絡異常和入侵。
針對不同的審計目標,審計需求分解會不一樣,進而審計對象和技術的選擇也會有所不同。對于不同的審計對象,每種審計手段都各有利弊。
日志審計具有最廣泛的適用性,能夠對各類審計對象進行審計,審計目標能夠覆蓋國家等級化保護、IT內控指引和規范的大部分要求,實現大部分客戶的大部分審計目標。同時,日志審計的技術實現代價較小,對網絡系統影響不大,后期維護代價適中。因而一般建議用戶構建安全審計體系首先從日志審計開始。日志審計最主要的缺陷在于有時候無法獲得被審計對象的日志信息,從而無法進行后續分析。
基于網絡協議分析的審計技術多用于對網絡、數據庫和應用系統,以及用戶行為進行審計。該技術具有對被審計對象無影響的特點,但是需要購買專門的審計設備和系統,需要專門的維護。該技術最主要的缺陷在于一般無法審計加密信息,或者為了審計加密信息而不得不改變網絡結構,進而增加影響網絡性能的風險。此外,在審計用戶上網行為的過程中,需要不斷地更新應用協議解析庫,存在一個被動升級的過程。目前,該技術的變種較多,具體實現技術手段也都各異。
基于本機代理的審計技術較為固定,基本上就用于對主機服務器和終端的審計之上。該技術的缺陷就是需要安裝代理,需要考慮代理的兼容性和對主機或者終端的自身運行影響性。此外,代理的升級和維護也是一個難點,具有較高的維護代價。一般用于有較高安全需求的場合。
基于遠程代理的審計技術使用范圍也較廣,可適用于對關鍵基礎設施的審計,并且對被審計對象基本無影響。但是,該技術實現的審計目標較窄,集中于對審計對象的漏洞審計,以及對審計對象的配置基線進行稽核。
審計對象與審計技術實現方式的一般對應關系如下圖所示:
 |
| 圖1 審計對象與審計技術的一般性對應關系 |
#p#
4安全審計需要體系化的審計模型
隨著對審計的日益重視,客戶部署了越來越多的單一型安全審計產品。現在,客戶已經認識到,要在企業和組織中實現有效的安全審計,依靠某一類安全審計產品往往是不夠的。這些審計系統從各自的角度對特定的信息對象進行審計,雖然專業,但是卻增加了運維和審計人員的工作量,同時審計系統之間缺乏必要的信息交換。客戶需要建立一個安全審計的體系,以及一套體系化的安全審計平臺。通過前面安全審計產品選型過程的分析,也可以看出來,每種審計技術和產品都有其適用性,有利有弊,需要根據安全目標進行綜合考量。為此,客戶需要一個統一安全審計的架構和模型。
統一安全審計架構應該是一個點面結合的綜合審計模型。面是指統一審計平臺和日志審計,是統一安全審計的基礎和基本組成,包括用戶的統一操作界面。需要強調的是,日志審計由于其普適性而成為統一安全審計的基礎平臺的一部分。
點作為面的補充,針對更高安全審計要求的安全域進行有針對性的審計,成為專項審計,并且要無縫的融入到面之中。 典型的點審計(專項審計)有:
(1) 針對業務系統安全域的增強性審計:主機和服務器審計、數據庫審計、應用和業務審計;
(2) 針對網絡區域的增強性審計:網絡審計、設備審計;
(3) 針對辦公區域用戶上網行為的審計;
(4) 針對終端區域操作的審計;
在這個審計模型中,日志審計是核心。統一安全審計模型如下圖所示:
 |
| 圖2 統一安全審計模型 |
在運用統一安全審計模型的時候,客戶首先搭建起一個可擴展的安全審計基礎平臺,并建立起日志審計體系及其審計用戶界面。此時,審計的功能和目標不必太多,重點放在對最廣泛的IT資源采集日志,進行基礎性審計之上。由于日志審計能力所限,對于一些重要的安全區域需要采用增強的專項審計機制,例如對網絡區域的審計、對辦公區域的審計、對業務核心系統區域的審計,等等。每類專項審計都采用具有專門技術的審計產品,例如基于本機代理的終端安全審計產品,基于網絡協議分析的數據庫審計產品和用戶上網行為審計產品,等等。每類專項審計產品都必須實現統一安全審計基礎平臺的互聯。最基本的互聯就是各個專項審計產品能夠將他們的審計結果以告警或者日志的形式發送給審計基礎平臺,由基礎審計平臺上的日志審計模塊通過關聯分析和告警給客戶進行統一的展示,并通過基礎平臺向各個專項審計產品下發控制指令,由各個專項審計產品執行控制指令,阻斷或者抑制違規行為。 #p#
5將安全審計與安全管理平臺(SOC)進行整合
通過對安全審計進行統一建模,我們可以發現,這個統一安全審計模型與安全管理平臺(SOC)架構具備天然的相似性,他們都具有信息的采集、分析、存儲和展示等功能組成,他們都強調對全網IT資源進行一體化的監控與審計。
同時,對于已經或者即將建立統一安全管理平臺(SOC)的用戶而言,為了不增加安全體系的復雜性,需要將安全審計的需求與SOC需求一并進行統籌考慮。
在本系列文章的第二篇,我們已經分析了SOC2.0的統一管理模型,如下圖所示:
 |
| 圖3 SOC2.0的統一管理模型 |
對比兩個模型,可以發現,本質上,統一安全審計模型就是統一管理平臺(SOC2.0)的一個縱向子集,只是更加關注于審計這個功能維度而已。此外,由于SOC2.0模型本身具備可裁剪性,因而這種融合也具有了可行性。如下圖所示,展示了統一安全審計在SOC2.0中的映射關系:
 |
| 圖4 安全審計與安全管理平臺的融合 |
通過安全審計與安全管理平臺的融合,使得安全審計體系的建設與安全管理體系的建設目標達成了一致,有助于企業整體安全體系的形成和完善。對于客戶而言,下一代的安全管理平臺(SOC2.0)始終是IT管理的終極管理平臺、一體化的平臺。
此外,借助統一安全審計體系與SOC2.0的整合,傳統的對象安全審計提升到了業務安全審計的層面,更加體現出了統一安全審計給客戶的價值。例如,借助SOC2.0的關聯分析引擎和業務規則描述語言,用戶可以定義如下的業務審計規則,并真正得以執行:
 |
| 圖5 |
SOC2.0基于規則的關聯分析引擎能夠將業務規則描述轉化為針對具體資產對象的審計規則,并根據從專項的日志審計產品、終端審計產品、數據庫審計產品和應用審計產品中收集上來的信息進行關聯分析,進行審計規則匹配,發現違規行為并進行告警和響應。 #p#
6實例分析:網御神州SecFox安全管理與審計解決方案
網御神州根據用戶的需求,以及自身在安全管理與審計領域的長期積累,在SOC2.0的代表性產品SecFox-UMS統一管理系統的基礎上提出了SecFox統一安全審計解決方案。該解決方案能夠對全網各種對象和行為進行審計,同時充分考慮到審計的針對性和可行性,并提供給用戶一套統一的審計中心和審計界面。
欲獲取更多關于網御神州SecFox安全管理與審計系統技術、產品、解決方案的信息,請訪問網御神州安全管理官方網站:http://www.legendsec.com/newsec.php?up=3&cid=3。
SecFox統一安全審計解決方案包括四個部分:日志審計、網絡行為審計、終端審計和統一安全審計平臺。
1)日志審計
日志審計是整個綜合安全審計解決方案的核心和基礎。IT網絡中大部分的設備和系統都能夠產生日志,這些日志能夠反映網絡、訪問者,以及設備或系統自身的操作和行為。網神SecFox-LAS日志審計系統能夠將這些日志統一的收集起來,進行歸一化和關聯分析,實現全網IT環境的集中安全審計。通過SecFox-LAS日志審計系統,用戶能夠實現大部分的安全審計目標。
 |
| 圖6 |
2)網絡行為審計
對于用戶IT網絡中比較重要的區域,或者關鍵的業務系統,僅僅借助系統日志進行審計是不充分的,有時候也是不可行的。例如某些業務系統本身沒有日志記錄功能,或者某些業務系統由于其自身重要性不能運行日志采集器,等等。此外,針對網絡中用戶訪問互聯網的行為,通過傳統的日志審計手段也遠遠不夠。此時,可以通過網絡硬件探測器的形式對這些業務系統和用戶的操作行為進行審計。網絡硬件探測器采用旁路部署(共享Hub/交換機端口鏡像/網絡分接TAP)的方式放置在交換機旁邊,偵聽并分析網絡訪問操作的指令,并轉化為操作日志送到SecFox-LAS管理中心進行統一審計。SecFox-LAS自帶網絡硬件探測器,用戶也可以使用專門的網神SecFox-NBA(Network Behavior Analysis)網絡行為審計設備,他們的工作原理相同。
根據部署位置的不同,SecFox-NBA網絡行為審計系統分為兩種類型:
(1)SecFox-NBA(業務審計型)部署在關鍵業務系統區域,對業務行為進行網絡審計,包括對業務系統所在的主機、數據庫、應用中間件、關鍵網絡和安全設備、網絡流量等的審計。通過部署SecFox-NBA(業務審計型)能夠有效地防止針對業務系統的違規操作和行為,保護關鍵業務系統機器核心數據的安全。
(2)SecFox-NBA(上網審計型)則部署在互聯網出口處,對網絡中所有訪問Internet互聯網的用戶行為和內容進行審計,包括網頁瀏覽、即時通訊、網絡聊天、網絡音視頻、郵件、P2P、股票、游戲等。通過部署SecFox-NBA(上網審計型)能夠有效地規范企事業單位職工的上網行為,提高互聯網使用效率,防止違規和信息泄漏。
 |
| 圖7 |
SecFox-NBA網絡行為審計系統既可以單獨部署和使用,也可以與SecFox-LAS日志審計系統配套使用。SecFox-NBA可以將所有安全審計日志發送到SecFox-LAS進行統一安全審計。
3)終端審計
大量的研究和實踐表明,大部分的安全問題都出現在用戶網絡內部,而其中網絡內部的終端是最薄弱的環節。不僅因為終端的數量相對較大,而且因為這些終端設備的使用者安全意識較為薄弱,且較難規范化管理。為此,對于一些安全保障要求較高的單位,可以在內部用戶區域部署專門的終端安全審計系統。網神SecFox-EPS(Endpoint Protection System)終端安全管理系統能夠有效地對網絡內部的所有Windows終端設備進行集中統一的管理,包括資產管理、軟件分發、補丁升級、統一安全策略管理、移動存儲介質管理、接入控制等。
SecFox-EPS終端安全管理系統包括終端管理中心和運行在被管理Windows終端設備上的安全代理,所有的管理功能都通過管理中心控制安全代理來實現。
 |
| 圖8 |
SecFox-EPS既能夠單獨部署和使用,也可以與SecFox-LAS日志審計系統配套使用。SecFox-EPS管理端可以將所有安全審計日志發送到SecFox-LAS進行統一安全審計。
4)統一安全審計
用戶為了實現IT網絡的全面安全審計而部署的日志審計、網絡行為審計和終端審計系統不是彼此割裂的,而能夠統一為一個整體。在SecFox統一安全審計解決方案中,網御神州將SecFox-LAS升格為統一安全審計中心,將SecFox-NBA網絡行為審計系統和SecFox-EPS終端審計系統的審計信息統一送到SecFox-LAS日志審計系統,與SecFox-LAS收集到的其它網絡中各種IT資源的日志信息一起進行歸一化和關聯分析處理,統一的進行可視化展現、審計和存儲。如果用戶有更多的功能需求,例如要實現面向業務的安全審計,也可以由SecFox-UMS統一管理系統擔當這個統一的安全審計中心。SecFox-LAS日志審計系統相當于SecFox-UMS的一個專注于統一安全審計的簡化版。
 |
| 圖9 |
5)統一規劃、分布實施
借助網神SecFox統一安全審計解決方案,用戶能夠真正建立起一套針對全網IT資源的安全審計體系。根據用戶需求的不同階段,該方案可以做到統一規劃、分步實施,有針對、有重點,逐步實現統一安全審計。
7小結
安全審計與安全管理的融合是未來發展的必然,這是客戶需求決定的,也是技術發展的必然選擇。兩者的結合能夠使得客戶的安全體系建設目標和過程更加清晰明了,對安全管理平臺帶來的價值回報也有了一種具體體現——用于實現統一安全審計。
8關于網御神州的安全管理平臺
網御神州安全管理團隊根據長期以來在安全管理領域的深入研究,結合來自客戶的需求與市場的現狀,提出了具有完全自主知識產權的、面向業務的網神SecFox安全管理與審計產品理念,尤其強調網絡管理、安全管理與運維管理的一體化,為政府、軍隊、公安、稅務、電力、保險、電信、金融、交通、醫療、制造、廣電等各個領域的客戶提供全面的安全運營保障平臺。網御神州建立了專門的安全管理研發和實施隊伍——SOC事業部,在國內市場突飛猛進,取得了令人矚目的市場成就。在CCID2008年和2009年《中國信息安全產品市場研究年度報告》中網御神州連續兩年位居安全管理(SOC)市場第一名,成為了中國安全管理市場的領導廠商。
