安全審計產品發展示狀與趨勢分析

1 安全審計產品的分類

根據被審計的對象（主機、設備、網絡、數據庫、業務、終端、用戶）劃分，安全審計能夠分爲：
主機審計：審計針對主機的各類操做和行爲。
設備審計：對網絡設備、安全設備等各類設備的操做和行爲進行審計網絡審計：對網絡中各類訪問、操做的審計，例如telnet操做、FTP操做，等等。數據庫審計：對數據庫行爲和操做、甚至操做的內容進行審計業務審計：對業務操做、行爲、內容的審計。
終端審計：對終端設備（PC、打印機）等的操做和行爲進行審計，包括預配置審計。
用戶行爲審計：對企業和組織的人進行審計，包括上網行爲審計、運維操做審計有的審計產品針對上述一種對象進行審計，還有的產品綜合上述多種審計對象。

2 安全審計產品的基本功能

不管是何種審計產品，從產品功能組成上都應該包括：
信息採集功能：就是可以經過某種技術手段獲取須要審計的數據，例如日誌，網絡數據包等。對於該功能的考察，關鍵是其採集信息的手段種類、採集信息的範圍、 採集信息的粒度（細緻程度）。若是採用數據包審計技術的話，網絡協議抓包和分析引擎顯得尤其重要。若是採用日誌審計技術的話，日誌歸一化技術則是考察廠家 基本功和專業能力的地方。
信息分析功能：對於採集上來的信息進行分析、審計。這是審計產品的核心，審計效果好壞直接由此體現出來。在實現信息分析的技術上，簡單的技術能夠是基於數 據庫的信息查詢和比較；複雜的技術則包括實時關聯分析引擎技術，採用基於規則的審計、基於統計的審計，以及時序的審計算法，等等。
信息存儲功能：對於採集到原始信息，以及審計後的信息都要進行保存，備查，並能夠做爲取證的依據。在該功能的實現上，關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。
信息展現功能：包括審計結果展現界面、統計分析報表功能、告警響應功能、設備聯動功能，等等。這部分功能是審計效果的最直接體現，是各個廠家各顯神通的地方。
產品自身安全性和可審計×××：審計產品自身必須是安全的，包括要確保審計數據的完整性、機密性和有效性，對審計系統的訪問要安全。此外，全部針對審計產品的訪問和操做也要記錄日誌，而且可以被審計。

3 國外安全審計市場的發展示狀

IT治理、內控和風險管理的發展極大地促進了安全審計市場的發展。以美國爲例，在SOX法案頒佈以前，安全審計市場根本沒有歸入Gartner、 IDC的專項分析範疇，隨着針對上市公司內控和信息披露的SOX法案的實施，以及象專門針對醫療行業的旨在保護醫患隱私的HIPAA法案、針對聯邦政府機 構的FISMA法案、針對金融機構支付卡行業的PCI-DSS規範等的執行，美國的安全審計市場出現了爆炸式的增加。Gartner和IDC紛紛對其進行 深刻分析，並創造出了一個名爲GRC（Governance, Risk Management, and Compliance）的IT細分市場。與此同時，各路安全廠商都從自身技術特色出發，提出了各類類型的安全審計產品，介入該市場，力求分一杯羹。例如各 大SIEM（Security Information and Event Management）廠家、NBA(Network Behavior
Analysis，網絡行爲分析/審計)廠家和IAM(Identity and Access Management)廠家等。

4 國內安全審計市場現狀和需求分析

一方面，隨着安全防護建設由防外爲主逐步轉向以防內爲主，內外兼顧，對於安全審計的需求會愈來愈多。另外一方面，隨着國家、社會對信息保護的越發重視，各個行業對審計要求越發嚴格，可看出將來幾年對安全審計產品的需求會愈來愈多。
目前推出的一些國際、國家、行業的內控、審計標準，都對某些行業或企業提出須要具有安全審計產品的要求，所以像《企業內部控制基本規範》此類的規範對於銷售安全審計產品是頗有幫助的。
有人將《企業內部控制基本規範》稱做是中國版的SOX法案，可見對他的期待有多麼高。雖然該規範還不能稱做是完整意義上的法案，而只是規範性文件，可是他對於國內企業、尤爲是大企業的公司治理、風險控制、IT內控，包括信息系統安全審計都起到了極大的推動做用。
 實際上，不只是《企業內部控制基本規範》，包括以前國家大力開展的等級化保護建設工做，以及證券、金融、保險等行業頒佈的各項風險和內控指引、要求等， 都在努力構建一個從嚴的企業管控外部環境。做爲這種外部壓力的傳導，企業的IT內控和審計天然擺到了各大企業信息部門的桌面上。
能夠確定，將來企業用戶，尤爲是大型企業用戶，會不斷增強IT內控，並催生對信息系統安全審計的技術、產品和相關解決方案的需求，並帶動國內安全審計市場的迅速增加。
目前，國內不一樣的行業和客戶對審計的需求差異很大。
（1）對於通常的企業而言，目前比較大量的審計需求是對企業內部用戶上網行爲的審計。
（2）對於政府部門和事業單位而言，因爲他們的業務系統十分重要，承載了單位關鍵的應用和數據，所以，對業務系統的審計顯得十分重要。這類客戶須要審計內部用戶訪問業務系統的各類行爲，防止針對核心業務系統和數據的違規訪問，防止信息泄漏。
（3）對於金融、電信類客戶而言，除了須要對業務系統進行審計以外，還須要針對運維人員的主機操做審計。因爲這類客戶具備龐大的主機和服務器機羣，上面運 行了各類各樣的核心應用。同時，這類客戶的系統運維人員數量多、崗位職責多，不只有本單位正式職工，還有第三方駐場工程師和外包運維人員，管理較爲複雜。 所以，對這些運維人員進行審計，審計他們針對主機系統的各類訪問和操做行爲就顯得十分重要。
（4）對於具備涉密性質的單位，以及安全要求等級高的部門，還會須要終端安全審計類產品，對單位職工的終端進行嚴格的安全審計。
對於政府、事業單位，以及金融電信行業，最典型的一類需求就是針對這些單位的數據庫系統進行審計。就在前不久，國家頒佈實施了刑法第七修正案，其中第二百 五十三條明確規定「國家機關或者金融、電信、交通、教育、醫療等單位的工做人員，違反國家規定，將本單位在履行職責或者提供服務過程當中得到的公民我的信
息，出售或者非法提供給他人，情節嚴重的，處三年如下有期徒刑或者拘役，並處或者單處罰金。竊取、收買或者以其餘方法非法獲取上述信息，情節嚴重的，依照
前款的規定處罰。單位犯前兩款罪的，對單位判處罰金，並對其直接負責的主管人員和其餘直接責任人員，依照各相應條款的規定處罰」。
這也就意味着單位若是泄露或非法獲取公民我的信息，將被判處罰金，並追究直接負責的主管人員和其餘直接責任人員的刑事責任。

5    安全審計產品的發展趨勢

將來安全審計產品在技術層面具備如下幾個發展趨勢:
（1）因爲大企業、金融和電信客戶需求走強，審計的範圍和規模愈來愈大，對審計產品的處理性能提出了更高的要求。由於，將來高性能審計技術是發展的必然， 例如高性能的日誌採集技術、海量日誌存儲技術、藉助硬件加速的高性能網絡協議分析功能，更好的DPI與DFI結合的技術。
（2）單一審計產品將向綜合審計類產品演進。將來，一個安全審計產品將可以同時審計多種對象、多種協議。綜合審計產品將佔據大部分市場。而單一審計產品也 仍然會存在，可是會作的更加精細化，而且去知足特定行業用戶的特定需求。所以，異構的日誌歸一化技術、跨對象的關聯分析引擎技術將獲得極大的發展和應用。
（3）從審計的實效性上，當前的安全審計產品偏重於事中、過後審計，將來將會出現針對事前審計的產品，例如配置基線審覈、系統策略稽覈等。
（4）安全審計與一體化安全集中管理產品的融合。對於較大規模的客戶而言，安全審計系統是超越現有安全設備的一類產品，在客戶的信息安全體系建設中，位於 安全設備和安全防禦之上，是面向整個IT環境的一類審計系統。所以，將來，大型客戶的安全審計系統將逐步與企業的一體化安全集中管理系統融合，成爲管理系 統的一個組成部分。對此，我之後還會詳細闡述。