您当前的位置:香港正版挂牌彩图 > 香港九龙挂牌解码特 >
香港九龙挂牌解码特
深入SOC20:安全审计与管理平台的融合www.267555.
时间: 2019-11-12

  安全审计的定义和组成安全审计,本文专指IT安全审计,是一套对IT系统及 其应用进行量化检查与评估的技术和过程。安全审计通过对IT系统中相关信息的收集、分析和报告,来判定现有IT安全控制的有效性,检查IT系统的误用和滥 用行为,验证当前安全策略的合规性,获取犯罪和违规的证据,确认必要的记录被文档化,以及检测网络异常和入侵。

  根据GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》,安全审计被定义为对信息系统的各种事件及行为实行监测、信息采集、分 析并针对特定事件及行为采取相应比较动作。信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑,从而达到 保障信息系统正常运行的目的。同时,信息系统安全审计产品对信息系统各组成要素进行事件采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管 理的效率。对于一款安全审计产品,从产品功能组成上应该包括以下几个部分:

  (1)信息采集功能:产品能够通过某种技术手段获取需要审计的数据,例如日志,网络数据包等。对于该功能,关键在 于采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。如果采用数据包审计技术,网络协议抓包和分析引擎显得尤为重要;如果采用日志审计技 术,日志归一化技术则是体现产品专业能力的地方;如果采用宿主代理审计技术,代理程序对宿主的兼容性、影响性是很关键的环节。

  (2)信息分析功能:是指对于采集上来的信息进行分析、审计。这是审计产品的核心,审计效果好坏直接由此体现出 来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审 计、基于时序的审计,以及基于人工智能的审计算法,等等。

  2安全审计技术分析当前,随着企业和组织安全防御不断向纵深发展、对加强内部安全的重视、以及内控与合规性要求 的不断提升,安全审计技术和产品得到了广泛的应用。一方面,企业和组织对安全的建设思路已经开始从以防外为主的策略,逐步转为以防内为主、内外兼顾的策 略,安全审计技术和产品成为安全防御纵深的延伸和安全体系建设中的必要一环,大量地应用于防范内部违规和内部用户行为异常。另一方面,政府、行业对IT治 理、IT内控和IT风险管理的日益重视极大地促进了安全审计的发展。目前推出的一些国际、国家、行业的内控和审计相关的法律、www.267555.com,法规、标准等,都直接或者间 接地对某些行业或企业提出了需要配备安全审计产品的要求。

  一种通过采集被审计或被保护对象运行过程中产生的日志,进行汇总、归一化和关联分析,实现安全审计的目标的技术。 这种审计技术具有最大的普适性,是最基本、最经济实用的审计方式,能够对最大范围的IT资源对象实施审计,并应对大部分的审计需求。在国家等级化保护技术 要求中、以及行业内控规范和指引中都明确提及了这种审计方式。该日志审计类产品在市场上也最为常见。

  一种通过在被审计或者被保护对象(称为“宿主”)之上运行一个特定的软件代码,获取审计所需的信息,然后将信息发 送给审计管理端进行综合分析,实现审计目标的技术。作为这种技术应用的扩展,采用该技术的审计产品通常还具有对宿主的反向控制功能,改变宿主的运行状态, 使得其符合既定的安全策略。这种审计技术的审计粒度十分细致,多用于对主机和终端等设备进行审计。目前市场上常见的服务器加固与审计系统、终端安全审计系 统都采用这种技术。

  一种通过一个独立的审计代理端对被审计对象或者保护对象(宿主)发出远程的脚本或者指令,获取宿主的审计信息,并 提交给审计管理端进行分析,实现安全审计目标的技术。这种方式与基于本机代理的技术最大的区别就在于不需要安装宿主代理,只需要开放远程脚本或者指令的通 讯接口及其帐号口令。当然,这种审计技术的审计粒度受限于远程脚本的能力。目前市场上常见的产品有基于漏洞扫描的审计系统、WEB安全审计系统、或者基线 配置审核系统。

  一种通过采集被审计对象或者被保护对象在网络环境下与其他网络节点进行通讯过程中产生的网络通讯报文,进行协议分 析(包括应用层协议分析),实现审计目标的技术。由于现在用户基本都实现了网络互联互通,并且该技术对被审计对象的要求较低,对网络环境影响较小,因而得 到了广泛的应用,多应用于对IT资源的核心基础设施(设备、主机、应用和业务等)和用户行为进行审计。该审计类型根据具体技术原理的不同,又可以分为若干 种子类型,包括基于旁路侦听(Sniffer-based)的网络协议分析技术、基于代理(Proxy-based)的网络协议分析技术,等等。目前市场 上常见的产品有NBA(Network Behavior Audit,网络行为审计)类产品、用户上网行为审计类产品,以及某些WEB应用防火墙(WAF)。

  日志审计具有最广泛的适用性,能够对各类审计对象进行审计,审计目标能够覆盖国家等级化保护、IT内控指引和规范 的大部分要求,实现大部分客户的大部分审计目标。同时,日志审计的技术实现代价较小,对网络系统影响不大,后期维护代价适中。因而一般建议用户构建安全审 计体系首先从日志审计开始。日志审计最主要的缺陷在于有时候无法获得被审计对象的日志信息,从而无法进行后续分析。

  基于网络协议分析的审计技术多用于对网络、数据库和应用系统,以及用户行为进行审计。该技术具有对被审计对象无影 响的特点,但是需要购买专门的审计设备和系统,需要专门的维护。该技术最主要的缺陷在于一般无法审计加密信息,或者为了审计加密信息而不得不改变网络结 构,进而增加影响网络性能的风险。此外,在审计用户上网行为的过程中,需要不断地更新应用协议解析库,存在一个被动升级的过程。目前,该技术的变种较多, 具体实现技术手段也都各异。

  4安全审计需要体系化的审计模型随着对审计的日益重视,客户部署了越来越多的单一型安全审计产品。现在,客户已 经认识到,要在企业和组织中实现有效的安全审计,依靠某一类安全审计产品往往是不够的。这些审计系统从各自的角度对特定的信息对象进行审计,虽然专业,但 是却增加了运维和审计人员的工作量,同时审计系统之间缺乏必要的信息交换。客户需要建立一个安全审计的体系,以及一套体系化的安全审计平台。通过前面安全 审计产品选型过程的分析,也可以看出来,每种审计技术和产品都有其适用性,有利有弊,需要根据安全目标进行综合考量。为此,客户需要一个统一安全审计的架 构和模型。

  在运用统一安全审计模型的时候,客户首先搭建起一个可扩展的安全审计基础平台,并建立起日志审计体系及其审计用户 界面。此时,审计的功能和目标不必太多,重点放在对最广泛的IT资源采集日志,进行基础性审计之上。由于日志审计能力所限,对于一些重要的安全区域需要采 用增强的专项审计机制,例如对网络区域的审计、对办公区域的审计、对业务核心系统区域的审计,等等。每类专项审计都采用具有专门技术的审计产品,例如基于 本机代理的终端安全审计产品,基于网络协议分析的数据库审计产品和用户上网行为审计产品,等等。每类专项审计产品都必须实现统一安全审计基础平台的互联。 最基本的互联就是各个专项审计产品能够将他们的审计结果以告警或者日志的形式发送给审计基础平台,由基础审计平台上的日志审计模块通过关联分析和告警给客 户进行统一的展示,并通过基础平台向各个专项审计产品下发控制指令,由各个专项审计产品执行控制指令,阻断或者抑制违规行为。

  6实例分析:网御神州SecFox安全管理与审计解决方案网御神州根据用户的需求,以及自身在安全管理与审计领 域的长期积累,在SOC2.0的代表性产品SecFox-UMS统一管理系统的基础上提出了SecFox统一安全审计解决方案。该解决方案能够对全网各种 对象和行为进行审计,同时充分考虑到审计的针对性和可行性,并提供给用户一套统一的审计中心和审计界面。

  日志审计是整个综合安全审计解决方案的核心和基础。IT网络中大部分的设备和系统都能够产生日志,这些日志能够反 映网络、访问者,以及设备或系统自身的操作和行为。网神SecFox-LAS日志审计系统能够将这些日志统一的收集起来,进行归一化和关联分析,实现全网 IT环境的集中安全审计。通过SecFox-LAS日志审计系统,用户能够实现大部分的安全审计目标。

  对于用户IT网络中比较重要的区域,或者关键的业务系统,仅仅借助系统日志进行审计是不充分的,有时候也是不可行 的。例如某些业务系统本身没有日志记录功能,或者某些业务系统由于其自身重要性不能运行日志采集器,等等。此外,针对网络中用户访问互联网的行为,通过传 统的日志审计手段也远远不够。此时,可以通过网络硬件探测器的形式对这些业务系统和用户的操作行为进行审计。网络硬件探测器采用旁路部署(共享Hub/交 换机端口镜像/网络分接TAP)的方式放置在交换机旁边,侦听并分析网络访问操作的指令,并转化为操作日志送到SecFox-LAS管理中心进行统一审 计。SecFox-LAS自带网络硬件探测器,用户也可以使用专门的网神SecFox-NBA(Network Behavior Analysis)网络行为审计设备,他们的工作原理相同。

  (1)SecFox-NBA(业务审计型)部署在关键业务系统区域,对业务行为进行网络审计,包括对业务系统所在 的主机、数据库、应用中间件、关键网络和安全设备、网络流量等的审计。通过部署SecFox-NBA(业务审计型)能够有效地防止针对业务系统的违规操作 和行为,保护关键业务系统机器核心数据的安全。

  (2)SecFox-NBA(上网审计型)则部署在互联网出口处,对网络中所有访问Internet互联网的用户 行为和内容进行审计,包括网页浏览、即时通讯、网络聊天、网络音视频、邮件、P2P、股票、游戏等。通过部署SecFox-NBA(上网审计型)能够有效 地规范企事业单位职工的上网行为,提高互联网使用效率,防止违规和信息泄漏。

  大量的研究和实践表明,大部分的安全问题都出现在用户网络内部,而其中网络内部的终端 是最薄弱的环节。不仅因为终端的数量相对较大,而且因为这些终端设备的使用者安全意识较为薄弱,且较难规范化管理。为此,对于一些安全保障要求较高的单 位,可以在内部用户区域部署专门的终端安全审计系统。网神SecFox-EPS(Endpoint Protection System)终端安全管理系统能够有效地对网络内部的所有Windows终端设备进行集中统一的管理,包括资产管理、软件分发、补丁升级、统一安全策略 管理、移动存储介质管理、接入控制等。

  用户为了实现IT网络的全面安全审计而部署的日志审计、网络行为审计和终端审计系统不是彼此割裂的,而能够统一为 一个整体。在SecFox统一安全审计解决方案中,网御神州将SecFox-LAS升格为统一安全审计中心,将SecFox-NBA网络行为审计系统和 SecFox-EPS终端审计系统的审计信息统一送到SecFox-LAS日志审计系统,与SecFox-LAS收集到的其它网络中各种IT资源的日志信 息一起进行归一化和关联分析处理,统一的进行可视化展现、审计和存储。如果用户有更多的功能需求,例如要实现面向业务的安全审计,也可以由SecFox- UMS统一管理系统担当这个统一的安全审计中心。SecFox-LAS日志审计系统相当于SecFox-UMS的一个专注于统一安全审计的简化版。

  8关于网御神州的安全管理平台网御神州安全管理团队根据长期以来在安全管理领域的深入研究,结合来自客户的需求 与市场的现状,提出了具有完全自主知识产权的、面向业务的网神SecFox安全管理与审计产品理念,尤其强调网络管理、安全管理与运维管理的一体化,为政 府、军队、公安、税务、电力、保险、电信、金融、交通、医疗、制造、广电等各个领域的客户提供全面的安全运营保障平台。网御神州建立了专门的安全管理研发 和实施队伍——SOC事业部,在国内市场突飞猛进,取得了令人瞩目的市场成就。在CCID2008年和2009年《中国信息安全产品市场研究年度报告》中 网御神州连续两年位居安全管理(SOC)市场第一名,成为了中国安全管理市场的领导厂商。


友情链接:
Copyright 2018-2021 香港正版挂牌彩图 版权所有,未经授权,禁止转载。
正版四不像| 本港台现场报码视频| 香港马会118图库| 香港正版挂牌篇| 四不像中特网| 挂牌玄机图| 管家婆| www.883111.com| 管家婆玄机| www.78234.co| 管家婆| 白小姐一码中特今晚|