安全審計趨勢分析：將安全審計與安全管理平臺融合

【序】安全審計是近來國內比較熱門的技術和市場。這個比較古老的市場如今又火了起來，用Gartner的hyper cycle來講的話，應該代表正在進入成熟期了。很巧，再次發表於TT安全以前，也就是昨天（2010年3月30日），我在一個地方給你們作了一個《安全審計技術與應用》的培訓。培訓內容的藍本就是這個文章。我再次整理這個稿子後，想強調一下文中說起的安全審計的技術和產品選型的過程：1）肯定目標；2）需求分解，即經過具體的需求分解，肯定要審計哪些對象，每種對象要審計哪些內容；3）審計的技術手段選擇；4）產品選型。我後續會再整理一下那個幻燈片，而後放上來與你們一齊分享。

　　隨着企業和組織安全防護不斷向縱深發展、對增強內部安全的重視、以及內控與合規性要求的不斷提高，安全審計技術和產品獲得了普遍的應用。如今，客戶已經認識到單一的安全審計產品沒法知足實際要求，須要一套體系化的安全審計平臺，以及將這個審計平臺與安全管理平臺進行整合。做爲本系列的第三篇文章，將詳細闡述SOC2.0是如何將安全審計體系與安全管理平臺整合到一塊兒的。
　　1 安全審計的定義和組成
　　安全審計，本文專指IT安全審計，是一套對IT系統及其應用進行量化檢查與評估的技術和過程。安全審計經過對IT系統中相關信息的收集、分析和報告，來斷定現有IT安全控制的有效性，檢查IT系統的誤用和濫用行爲，驗證當前安全策略的合規性，獲取犯罪和違規的證據，確認必要的記錄被文檔化，以及檢測網絡異常和***。
　　根據GB/T20945-2007《信息安全技術——信息系統安全審計產品技術要求和評價方法》，安全審計被定義爲對信息系統的各類事件及行爲實行監測、信息採集、分析並針對特定事件及行爲採起相應比較動做。信息系統安全審計產品爲評估信息系統的安全性和風險、完善安全策略的制定提供審計數據和審計服務支撐，從而達到保障信息系統正常運行的目的。同時，信息系統安全審計產品對信息系統各組成要素進行事件採集，將採集數據進行自動綜合和系統分析，可以提升信息系統安全管理的效率。
　　對於一款安全審計產品，從產品功能組成上應該包括如下幾個部分：
　　(1)信息採集功能：產品可以經過某種技術手段獲取須要審計的數據，例如日誌，網絡數據包等。對於該功能，關鍵在於採集信息的手段種類、採集信息的範圍、採集信息的粒度(細緻程度)。若是採用數據包審計技術，網絡協議抓包和分析引擎顯得尤其重要;若是採用日誌審計技術，日誌歸一化技術則是體現產品專業能力的地方;若是採用宿主代理審計技術，代理程序對宿主的兼容性、影響性是很關鍵的環節。
　　(2)信息分析功能：是指對於採集上來的信息進行分析、審計。這是審計產品的核心，審計效果好壞直接由此體現出來。在實現信息分析的技術上，簡單的技術能夠是基於數據庫的信息查詢和比較;複雜的技術則包括實時關聯分析引擎技術，採用基於規則的審計、基於統計的審計、基於時序的審計，以及基於人工智能的審計算法，等等。
　　(3)信息存儲功能：對於採集到原始信息，以及審計後的信息都要進行保存，備查，並能夠做爲取證的依據。在該功能的實現上，關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。
　　(4)信息展現功能：包括審計結果展現界面、統計分析報表功能、告警響應功能、設備聯動功能，等等。這部分功能是審計效果的最直接體現，審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。
　　(5)產品自身安全性和可審計×××：審計產品自身必須是安全的，包括要確保審計數據的完整性、機密性和有效性，對審計系統的訪問要安全。此外，全部針對審計產品的訪問和操做也要記錄日誌，而且可以被審計。
　　2 安全審計技術分析
　　當前，隨着企業和組織安全防護不斷向縱深發展、對增強內部安全的重視、以及內控與合規性要求的不斷提高，安全審計技術和產品獲得了普遍的應用。一方面，企業和組織對安全的建設思路已經開始從以防外爲主的策略，逐步轉爲以防內爲主、內外兼顧的策略，安全審計技術和產品成爲安全防護縱深的延伸和安全體系建設中的必要一環，大量地應用於防範內部違規和內部用戶行爲異常。另外一方面，政府、行業對IT治理、IT內控和IT風險管理的日益重視極大地促進了安全審計的發展。目前推出的一些國際、國家、行業的內控和審計相關的法律、法規、標準等，都直接或者間接地對某些行業或企業提出了須要配備安全審計產品的要求。
　　國內的安全審計產品根據被審計對象和審計採用的技術手段兩個維度，能夠劃分爲不一樣的產品類型。
　　從被審計對象的維度來看，IT環境的各類IT資源都可以成爲被審計對象，自底向上依次能夠包括網絡和安全設備、主機和服務器、終端、網絡、數據庫、應用和業務系統審計，以及IT資源的使用者——人。對於審計產品而言，被審計對象也能夠看做是被保護對象。據此，能夠分爲：
　　(1) 設備審計(Device Audit)：對網絡設備、安全設備等各類設備的操做和行爲進行審計;
　　(2) 主機審計(Host Audit)：審計針對主機(服務器)的各類操做和行爲;
　　(3) 終端審計(Endpoint Audit)：對終端設備(PC、打印機)等的操做和行爲進行審計，包括預配置審計;
　　(4) 網絡審計(NetworkAudit)：對網絡中各類訪問、操做的審計，例如telnet操做、FTP操做，等等;
　　(5) 數據庫審計(Database Audit)：對數據庫行爲和操做、甚至操做的內容進行審計;
　　(6) 業務系統審計(Business Behavior. Audit)：對業務IT支撐系統的操做、行爲、內容的審計;
　　(7) 用戶行爲審計(User BehaviorAudit)：對企業和組織的人進行審計，包括上網行爲審計、運維操做審計。
　　有的審計產品針對上述一種對象進行審計，還有的產品綜合上述多種審計對象。
　　從審計採用的技術手段維度來看，爲了實現審計目標，一般採用如下幾種審計技術手段：
　　(1) 基於日誌分析的安全審計技術(Log Analysis Based Audit Technology)
　　一種經過採集被審計或被保護對象運行過程當中產生的日誌，進行彙總、歸一化和關聯分析，實現安全審計的目標的技術。這種審計技術具備最大的普適性，是最基本、最經濟實用的審計方式，可以對最大範圍的IT資源對象實施審計，並應對大部分的審計需求。在國家等級化保護技術要求中、以及行業內控規範和指引中都明確說起了這種審計方式。該日誌審計類產品在市場上也最爲常見。
　　(2) 基於本機代理的安全審計技術(Host Agent Based Audit Technology)
　　一種經過在被審計或者被保護對象(稱爲「宿主」)之上運行一個特定的軟件代碼，獲取審計所需的信息，而後將信息發送給審計管理端進行綜合分析，實現審計目標的技術。做爲這種技術應用的擴展，採用該技術的審計產品一般還具備對宿主的反向控制功能，改變宿主的運行狀態，使得其符合既定的安全策略。這種審計技術的審計粒度十分細緻，多用於對主機和終端等設備進行審計。目前市場上常見的服務器加固與審計系統、終端安全審計系統都採用這種技術。
　　(3) 基於遠程代理的安全審計技術(Remote Agent Based Audit Technology)
　　一種經過一個獨立的審計代理端對被審計對象或者保護對象(宿主)發出遠程的腳本或者指令，獲取宿主的審計信息，並提交給審計管理端進行分析，實現安全審計目標的技術。這種方式與基於本機代理的技術最大的區別就在於不須要安裝宿主代理，只須要開放遠程腳本或者指令的通信接口及其賬號口令。固然，這種審計技術的審計粒度受限於遠程腳本的能力。目前市場上常見的產品有基於漏洞掃描的審計系統、WEB安全審計系統、或者基線配置審覈系統。
　　(4) 基於網絡協議分析的安全審計技術(Network Protocol Analysis Based AuditTechnology)
　　一種經過採集被審計對象或者被保護對象在網絡環境下與其餘網絡節點進行通信過程當中產生的網絡通信報文，進行協議分析(包括應用層協議分析)，實現審計目標的技術。因爲如今用戶基本都實現了網絡互聯互通，而且該技術對被審計對象的要求較低，對網絡環境影響較小，於是獲得了普遍的應用，多應用於對IT資源的核心基礎設施(設備、主機、應用和業務等)和用戶行爲進行審計。該審計類型根據具體技術原理的不一樣，又能夠分爲若干種子類型，包括基於旁路偵聽(Sniffer-based)的網絡協議分析技術、基於代理(Proxy-based)的網絡協議分析技術，等等。目前市場上常見的產品有NBA(Network BehaviorAudit，網絡行爲審計)類產品、用戶上網行爲審計類產品，以及某些WEB應用防火牆(WAF)。
　　3 安全審計產品選型過程
　　經過對安全審計技術和產品的分析，咱們不難發現，客戶爲了實現安全審計的目標，首先要將需求進行分解，對應到一組審計對象之上，而後選取最合適的技術手段，從而選定適當的審計產品。這也是審計產品選型的推薦過程。
　　審計對象和審計技術手段已經詳細闡述過，這裏，審計目標就是 IT安全審計定義中的目標，包括：
 

• 　　斷定現有IT安全控制的有效性;
• 　　檢查IT系統的誤用和濫用行爲;
• 　　驗證當前安全策略的合規性;
• 　　獲取犯罪和違規的證據;
• 　　確認必要的記錄被文檔化;
• 　　檢測網絡異常和***。

　　針對不一樣的審計目標，審計需求分解會不同，進而審計對象和技術的選擇也會有所不一樣。對於不一樣的審計對象，每種審計手段都各有利弊。
　　日誌審計具備最普遍的適用性，可以對各種審計對象進行審計，審計目標可以覆蓋國家等級化保護、IT內控指引和規範的大部分要求，實現大部分客戶的大部分審計目標。同時，日誌審計的技術實現代價較小，對網絡系統影響不大，後期維護代價適中。於是通常建議用戶構建安全審計體系首先從日誌審計開始。日誌審計最主要的缺陷在於有時候沒法得到被審計對象的日誌信息，從而沒法進行後續分析。
　　基於網絡協議分析的審計技術多用於對網絡、數據庫和應用系統，以及用戶行爲進行審計。該技術具備對被審計對象無影響的特色，可是須要購買專門的審計設備和系統，須要專門的維護。該技術最主要的缺陷在於通常沒法審計加密信息，或者爲了審計加密信息而不得不改變網絡結構，進而增長影響網絡性能的風險。此外，在審計用戶上網行爲的過程當中，須要不斷地更新應用協議解析庫，存在一個被動升級的過程。目前，該技術的變種較多，具體實現技術手段也都各異。
　　基於本機代理的審計技術較爲固定，基本上就用於對主機服務器和終端的審計之上。該技術的缺陷就是須要安裝代理，須要考慮代理的兼容性和對主機或者終端的自身運行影響性。此外，代理的升級和維護也是一個難點，具備較高的維護代價。通常用於有較高安全需求的場合。
　　基於遠程代理的審計技術使用範圍也較廣，可適用於對關鍵基礎設施的審計，而且對被審計對象基本無影響。可是，該技術實現的審計目標較窄，集中於對審計對象的漏洞審計，以及對審計對象的配置基線進行稽覈。
　　審計對象與審計技術實現方式的通常對應關係以下圖所示：
 

4 安全審計須要體系化的審計模型
　　隨着對審計的日益重視，客戶部署了愈來愈多的單一型安全審計產品。如今，客戶已經認識到，要在企業和組織中實現有效的安全審計，依靠某一類安全審計產品每每是不夠的。這些審計系統從各自的角度對特定的信息對象進行審計，雖然專業，可是卻增長了運維和審計人員的工做量，同時審計系統之間缺少必要的信息交換。客戶須要創建一個安全審計的體系，以及一套體系化的安全審計平臺。經過前面安全審計產品選型過程的分析，也能夠看出來，每種審計技術和產品都有其適用性，有利有弊，須要根據安全目標進行綜合考量。爲此，客戶須要一個統一安全審計的架構和模型。
　　統一安全審計架構應該是一個點面結合的綜合審計模型。面是指統一審計平臺和日誌審計，是統一安全審計的基礎和基本組成，包括用戶的統一操做界面。須要強調的是，日誌審計因爲其普適性而成爲統一安全審計的基礎平臺的一部分。
　　點做爲面的補充，針對更高安全審計要求的安全域進行有針對性的審計，成爲專項審計，而且要無縫的融入到面之中。典型的點審計(專項審計)有：
　　(1) 針對業務系統安全域的加強性審計：主機和服務器審計、數據庫審計、應用和業務審計;
　　(2) 針對網絡區域的加強性審計：網絡審計、設備審計;
　　(3) 針對辦公區域用戶上網行爲的審計;
　　(4) 針對終端區域操做的審計;
　　在這個審計模型中，日誌審計是核心。統一安全審計模型以下圖所示：

在運用統一安全審計模型的時候，客戶首先搭建起一個可擴展的安全審計基礎平臺，並創建起日誌審計體系及其審計用戶界面。此時，審計的功能和目標沒必要太多，重點放在對最普遍的IT資源採集日誌，進行基礎性審計之上。因爲日誌審計能力所限，對於一些重要的安全區域須要採用加強的專項審計機制，例如對網絡區域的審計、對辦公區域的審計、對業務核心系統區域的審計，等等。每類專項審計都採用具備專門技術的審計產品，例如基於本機代理的終端安全審計產品，基於網絡協議分析的數據庫審計產品和用戶上網行爲審計產品，等等。每類專項審計產品都必須實現統一安全審計基礎平臺的互聯。最基本的互聯就是各個專項審計產品可以將他們的審計結果以告警或者日誌的形式發送給審計基礎平臺，由基礎審計平臺上的日誌審計模塊經過關聯分析和告警給客戶進行統一的展現，並經過基礎平臺向各個專項審計產品下發控制指令，由各個專項審計產品執行控制指令，阻斷或者抑制違規行爲。
　　5 將安全審計與安全管理平臺(SOC)進行整合
　　經過對安全審計進行統一建模，咱們能夠發現，這個統一安全審計模型與安全管理平臺(SOC)架構具有自然的類似性，他們都具備信息的採集、分析、存儲和展現等功能組成，他們都強調對全網IT資源進行一體化的監控與審計。
　　同時，對於已經或者即將創建統一安全管理平臺(SOC)的用戶而言，爲了避免增長安全體系的複雜性，須要將安全審計的需求與SOC需求一併進行統籌考慮。
　　在論述網絡管理與安全管理融合的文章中，咱們已經分析了SOC2.0的統一管理模型，以下圖所示：

圖：SOC2.0的統一管理模型

對比兩個模型，能夠發現，本質上，統一安全審計模型就是統一管理平臺 (SOC2.0)的一個縱向子集，只是更加關注於審計這個功能維度而已。此外，因爲SOC2.0模型自己具有可裁剪性，於是這種融合也具備了可行性。以下圖所示，展現了統一安全審計在SOC2.0中的映射關係：

　圖：安全審計與安全管理平臺的融合　　經過安全審計與安全管理平臺的融合，使得安全審計體系的建設與安全管理體系的建設目標達成了一致，有助於企業總體安全體系的造成和完善。對於客戶而言，下一代的安全管理平臺(SOC2.0)始終是IT管理的終極管理平臺、一體化的平臺。
　　此外，藉助統一安全審計體系與SOC2.0的整合，傳統的對象安全審計提高到了業務安全審計的層面，更加體現出了統一安全審計給客戶的價值。例如，藉助SOC2.0的關聯分析引擎和業務規則描述語言，用戶能夠定義以下的業務審計規則，並真正得以執行：

SOC2.0基於規則的關聯分析引擎可以將業務規則描述轉化爲針對具體資產對象的審計規則，並根據從專項的日誌審計產品、終端審計產品、數據庫審計產品和應用審計產品中收集上來的信息進行關聯分析，進行審計規則匹配，發現違規行爲並進行告警和響應。

【後記】對於安全審計與安全管理的融合其實在去年我就得出了這個論斷，可是一直沒有時間進行系統化的論述。今年，我將安全審計的技術和產品體系進行了梳理，爲這篇文章的成稿打下了基礎。在此，我要感謝咱們TEAM的每個成員，他們的聰明才智使我對安全審計和安全管理有了更深入的認識，也但願讀者可以從中得出本身對於安全審計的如今和未來的理解。