分類,基本功能,發展現狀,現狀需求分析,發展趨勢,
分類
根據被審計的對象(主機、設備、網路、資料庫、業務、終端、用戶)劃分,安全審計可以分為:
1. 主機審計:審計針對主機的各種操作和行為。
2. 設備審計:對網路設備、安全設備等各種設備的操作和行為進行審計
3. 網路審計:對網路中各種訪問、操作的審計,例如telnet操作、FTP操作,等等。
4. 資料庫審計:對資料庫行為和操作、甚至操作的內容進行審計業務審計:對業務操作、行為、內容的審計。
5. 終端審計:對終端設備(PC、印表機)等的操作和行為進行審計,包括預配置審計。
6. 用戶行為審計:對企業和組織的人進行審計,包括上網行為審計、運維操作審計有的審計產品針對上述一種對象進行審計,還有的產品綜合上述多種審計對象。
基本功能
無論是何種審計產品,從產品功能組成上都應該包括:
1. 信息採集功能:就是能夠通過某種技術手段獲取需要審計的數據,例如日誌,網路數據包等。對於該功能的考察,關鍵是其採集信息的手段種類、採集信息的範圍、採集信息的粒度(細緻程度)。如果採用數據包審計技術的話,網路協定抓包和分析引擎顯得尤為重要。如果採用日誌審計技術的話,日誌歸一化技術則是考察廠家基本功和專業能力的地方。
2. 信息分析功能:對於採集上來的信息進行分析、審計。這是審計產品的核心,審計效果好壞直接由此體現出來。在實現信息分析的技術上,簡單的技術可以是基於資料庫的信息查詢和比較;複雜的技術則包括實時關聯分析引擎技術,採用基於規則的審計、基於統計的審計,以及時序的審計算法,等等。
3. 信息存儲功能:對於採集到原始信息,以及審計後的信息都要進行保存,備查,並可以作為取證的依據。在該功能的實現上,關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。
4. 信息展示功能:包括審計結果展示界面、統計分析報表功能、告警回響功能、設備聯動功能,等等。這部分功能是審計效果的最直接體現,是各個廠家各顯神通的地方。
5. 產品自身安全性和可審計性功能:審計產品自身必須是安全的,包括要確保審計數據的完整性、機密性和有效性,對審計系統的訪問要安全。此外,所有針對審計產品的訪問和操作也要記錄日誌,並且能夠被審計。
發展現狀
Gartner和IDC紛紛對其進行深入分析,並創造出了一個名為GRC(Governance, Risk Management, and Compliance)的IT細分市場。與此同時,各路安全廠商都從自身技術特點出發,提出了各種類型的安全審計產品,介入該市場,力求分一杯羹。例如,國內的有LeagSoft 廠家,國外有SIEM廠家、NBA廠家等。
現狀需求分析
一方面,隨著安全防禦建設由防外為主逐步轉向以防內為主,內外兼顧,對於安全審計的需求會越來越多。另一方面,隨著國家、社會對信息保護的愈加重視,各個行業對審計要求愈加嚴格,可看出未來幾年對安全審計產品的需求會越來越多。
一些國際、國家、行業的內控、審計標準,都對某些行業或企業提出需要具備安全審計產品的要求,因此像《企業內部控制基本規範》此類的規範對於銷售安全審計產品是很有幫助的。
有人將《企業內部控制基本規範》稱作是中國版的SOX法案,可見對他的期待有多么高。雖然該規範還不能稱作是完整意義上的法案,而只是規範性檔案,但是他對於國內企業、尤其是大企業的公司治理、風險控制、IT內控,包括信息系統安全審計都起到了極大的推進作用。
實際上,不僅是《企業內部控制基本規範》,包括之前國家大力開展的等級化保護建設工作,以及證券、金融、保險等行業頒布的各項風險和內控指引、要求等,都在努力構建一個從嚴的企業管控外部環境。作為這種外部壓力的傳導,企業的IT內控和審計自然擺到了各大企業信息部門的桌面上。
可以肯定,未來企業用戶,尤其是大型企業用戶,會不斷加強IT內控,並催生對信息系統安全審計的技術、產品和相關解決方案的需求,並帶動國內安全審計市場的迅速增長。
國內不同的行業和客戶對審計的需求差別很大。
(1)對於一般的企業而言,比較大量的審計需求是對企業內部用戶上網行為的審計。
(2)對於政府部門和事業單位而言,由於他們的業務系統十分重要,承載了單位關鍵的套用和數據,因此,對業務系統的審計顯得十分重要。這類客戶需利用如UniBDP這類防泄露安全審計系統,審計內部用戶訪問業務系統的各種行為,防止針對核心業務系統和數據的違規訪問,防止信息泄漏。
(3)對於金融、電信類客戶而言,除了需要對業務系統進行審計之外,還需要針對運維人員的主機操作審計。由於這類客戶具有龐大的主機和伺服器機群,上面運行了各種各樣的核心套用。同時,這類客戶的系統運維人員數量多、崗位職責多,不僅有本單位正式職工,還有第三方駐場工程師和外包運維人員,管理較為複雜。因此,部署UniAccess 此類終端安全審計系統,對這些運維人員進行審計,審計他們針對主機系統的各種訪問和操作行為就顯得十分重要。
(4)對於具有涉密性質的單位,以及安全要求等級高的部門,還會需要終端安全審計類產品,對單位職工的終端進行嚴格的安全審計。
對於政府、事業單位,以及金融電信行業,最典型的一類需求就是針對這些單位的資料庫系統進行審計。就在前不久,國家頒布實施了刑法第七修正案,其中第二百五十三條明確規定“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人。
情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。竊取、收買或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。單位犯前兩款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各相應條款的規定處罰”。
這也就意味著單位如果泄露或非法獲取公民個人信息,將被判處罰金,並追究直接負責的主管人員和其他直接責任人員的刑事責任。
發展趨勢
未來安全審計產品在技術層面具有以下幾個發展趨勢:
(1)由於大企業、金融和電信客戶需求走強,審計的範圍和規模越來越大,對審計產品的處理性能提出了更高的要求。因為,未來高性能審計技術是發展的必然,例如高性能的日誌採集技術、海量日誌存儲技術、藉助硬體加速的高性能網路協定分析功能,更好的DPI與DFI結合的技術。
(2)單一審計產品將向綜合審計類產品演進。未來,一個安全審計產品將能夠同時審計多種對象、多種協定。綜合審計產品將占據大部分市場。而單一審計產品也仍然會存在,但是會做的更加精細化,並且去滿足特定行業用戶的特定需求。因此,異構的日誌歸一化技術、跨對象的關聯分析引擎技術將得到極大的發展和套用。
(3)從審計的實效性上,當前的安全審計產品偏重於事中、事後審計,未來將會出現針對事前審計的產品,例如配置基線審核、系統策略稽核等。
(4)安全審計與一體化安全集中管理產品的融合。對於較大規模的客戶而言,安全審計系統是超越現有安全設備的一類產品,在客戶的信息安全體系建設中,位於安全設備和安全防護之上,是面向整個IT環境的一類審計系統。因此,未來,大型客戶的安全審計系統將逐步與企業的一體化安全集中管理系統融合,成為管理系統的一個組成部分。
