在众多的安全产品中,与经常被提起的防火墙、UTM、Web安全等产品相比,安全审计产品始终默默无闻,似乎它并不太受到人们的重视。不过,这种情况正在慢慢转变。
记者看到过这样一则新闻:方某曾是某超市分店资讯组组长,他利用职务之便,设计非法软件程序,进入超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市销售记录的20%营业款自动删除,并将收入转存入自己的账户。
类似的新闻其实有不少,根据最新的统计资料,在给企业造成严重后果的攻击中,有70%是来自于组织中的内部人员。防病毒、防火墙、UTM、IPS等设备虽然能抵御来自外部的攻击,对于内部攻击却无能为力。因此,针对内部各信息系统进行安全审计已成为企业内控、信息系统安全风险控制不可或缺的关键手段。网络信息系统在综合运用防护工具、检测工具的同时,必须通过安全审计收集、分析、评估安全信息,掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。
五大功能
网御神州高级产品经理叶蓬向记者介绍,企业内的审计对象包括:主机、设备、网络、数据库、业务、终端、用户等等。有的审计产品只针对一种对象进行审计,有的审计产品则对多种对象综合进行审计。但无论是何种审计产品,从产品功能组成上都应该包括:
信息采集功能就是能够通过某种技术手段获取需要审计的数据,例如日志、网络数据包等。对于该功能的考察,关键是其采集信息的手段种类;采集信息的范围;采集信息的粒度(细致程度)。如果采用数据包审计技术的话,网络协议抓包和分析引擎就显得尤为重要。如果采用日志审计技术的话,日志归一化技术则是考察厂家基本功和专业能力的手段。
信息分析功能对于采集到的信息进行分析、审计。这是审计产品的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术方面,简单的技术可以是基于数据库的信息查询和比较,复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计,基于统计的审计,以及时序的审计算法等等。
信息存储功能对于采集到的原始信息,以及审计后的信息都要进行保存备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术,以及审计信息安全保护技术。
信息展示功能包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能等等。这部分功能是审计效果的最直接体现,是各个厂家各显神通的地方。
产品自身安全性和可审计性功能审计产品自身必须是安全的,包括要确保审计数据的完整性、机密性和有效性,对审计系统的访问要安全。此外,所有针对审计产品的访问和操作也要记录日志,并且能够被审计。
不同行业 多样需求
目前,各个行业都逐渐开始重视安全审计。由于行业的特性不同,不同的行业对审计的需求差别很大。
绿盟科技产品市场经理蒲新宇表示,不同行业的用户对于审计信息类型的关注点存在一定差异。政府、运营商、金融客户及中小企业客户,对安全审计均提出了基于自身业务及安全建设要求的安全审计需求。例如:从政策合规角度来看,政府用户主要关注满足“信息系统安全等级保护”、“涉密信息系统分级保护”等政策要求的安全合规审计。
通过和大量用户的交流,叶蓬对行业用户的需求有更详细的划分。
对于一般的企业而言,目前比较大量的审计需求是对企业内部用户上网行为的审计。上网行为管理具有大量安全审计的技术特征,从这个角度看,可以算做安全审计产品。同时,上网行为管理产品又不仅仅是审计,更重要的是用户上网行为的统计、分析、控制。控制,就是通过事先定义好的策略,制用户上网行为。控制发生在审计之前。一旦做好控制,后面的审计就不存在了。当然,审计可以为控制策略提供建议。另外,未来上网行为管理的方向应该是行为分析和统计。这是一种管理学思路的必然发展,技术手段不是解决企业办公效率和防范信息泄漏的必杀技,必须在管理思路上有所突破。
对于政府部门和事业单位而言,由于他们的业务系统十分重要,承载了单位关键的应用和数据,因此,对业务系统的审计显得十分重要。这类客户需要审计内部用户访问业务系统的各种行为,防止针对核心业务系统和数据的违规访问,防止信息泄漏。
对于金融、电信类客户而言,除了需要对业务系统进行审计之外,还需要针对运维人员进行主机操作审计。由于这类客户具有庞大的主机和服务器机群,上面运行了各种各样的核心应用。同时,这类客户的系统运维人员数量多、岗位职责也多。不仅有本单位正式职工,还有第三方驻场工程师和外包运维人员,管理较为复杂。因此,对这些运维人员进行审计,审计他们针对主机系统的各种访问和操作行为就显得十分重要。
对于政府、事业单位,以及金融电信行业,最典型的一类需求就是针对这些单位的数据库系统进行审计。就在前不久,国家颁布实施了刑法第七修正案,其中第二百五十三条明确规定:单位如果泄露或非法获取公民个人信息,将被判处罚金,并追究直接负责的主管人员和其他直接责任人员的刑事责任。例如之前经常见诸于报端的医患信息泄漏事件,刑法的出台就对医疗单位的重要数据保护提出了法律上的要求。
对于具有涉密性质的单位,以及安全要求等级高的部门,还会需要终端安全审计类产品,对单位职工的终端进行严格的安全审计。
我国第一部《企业内部控制基本规范》是中国会计审计领域的一项重大改革举措,也给安全审计带来了深远的影响。有人将《企业内部控制基本规范》称作是中国版的SOX法案,可见对它的期待有多么高。虽然该规范还不能称作是完整意义上的法案,而只是规范性文件,但是它对于国内企业,尤其是大企业的公司治理、风险控制、IT内控,包括信息系统安全审计都起到了极大的推进作用。
实际上,不仅是《企业内部控制基本规范》,包括之前国家大力开展的等级化保护建设工作,以及证券、金融、保险等行业颁布的各项风险和内控指引、要求等,都在努力构建一个从严的企业管控外部环境。作为这种外部压力的传导,企业的IT内控和审计自然摆到了各大企业信息部门的桌面上。
叶蓬说:“可以肯定,未来企业用户,尤其是大型企业用户,会不断加强IT内控,并催生对信息系统安全审计的技术、产品和相关解决方案的需求,带动国内安全审计市场的迅速增长。”
我们可以对比国外安全审计市场,当美国颁布SOX法案及相关行业的法案之后,Gartner和IDC纷纷对安全审计市场进行深入分析,并创造出了一个名为GRC(Governance, Risk Management, and Compliance)的IT细分市场。与此同时,各路安全厂商,例如SIEM(Security Information and Event Management)厂家、NBA(Network Behavior Analysis)厂家和IAM(Identity and Access Management)厂家等,都从自身技术特点出发,推出了各种类型的安全审计产品,介入该市场,力求分一杯羹。
审计技术与时俱进
“随着国内外企业安全内控政策、安全审计技术体系日益完善,用户需求将更加理性、全面,审计需求将更加务实。安全审计技术发展将呈现明确的政策合规审计、企业内控管理、数据风险控制的特点。”蒲新宇对记者说。具体特点包括:
政策合规审计安全审计技术将更加紧密地与“信息系统安全等级保护”、“企业信息内部控制基本规范”、“SOX法案”等政策要求相结合,依据ISO/IEC17799、ITIL、COBIT、COSO等标准,提供更符合企事业单位政策合规管理需要的安全审计功能,输出细粒度的合规审计报告。例如:企业信息内控审计报告、SOX审计报告等,帮助用户提升审计力度,降低人工审计工作量,有效控制了信息安全风险。
基于账号的网络安全审计网络安全审计技术将逐步与身份认证管理技术结合,实现基于账号的网络安全审计,相比传统的基于IP、MAC地址等用户身份的审计判定手段,将能够更加准确的追踪定位到人,全面提升审计对象身份的可靠性。
专业的数据库安全审计数据库已成为广大企业的数据核心资产,其重要性毋庸置疑。近年来,在各行业中频繁发生企业数据库的重要敏感数据被篡改牟利、泄密事件,已经引起各方面的广泛高度重视。数据库安全审计技术作为数据库安全的重要监测手段,将越来越受到政府、金融、电信等用户重视。为了进一步提高数据库审计的完整性和准确性,须追根溯源,从源头抓起。需要安全厂商与数据库厂商加强技术合作,共同推动完善数据库安全审计技术。
叶蓬认为,未来安全审计产品在技术层面具有以下几个发展趋势。
高性能审计技术由于大企业、金融和电信客户需求走强,审计的范围和规模越来越大,对审计产品的处理性能提出了更高的要求。高性能审计技术是必然的发展趋势。例如:高性能的日志采集技术、海量日志存储技术、借助硬件加速的高性能网络协议分析功能,DPI与DFI更好结合的技术。
单一审计产品将向综合审计类产品演进未来,一个安全审计产品将能够同时审计多种对象、多种协议。综合审计产品将占据大部分市场。而单一审计产品也仍然会存在,但是会做的更加精细化,并且去满足特定行业用户的特定需求。因此,异构的日志归一化技术、跨对象的关联分析引擎技术将得到极大地发展和应用。
事前审计从审计的实效性上,当前的安全审计产品偏重于事中、事后审计,未来将会出现针对事前审计的产品,例如配置基线审核、系统策略稽核等。
安全审计与一体化安全集中管理产品的融合对于较大规模的客户而言,安全审计系统是超越现有安全设备的一类产品,在客户的信息安全体系建设中,位于安全设备和安全防护之上,是面向整个IT环境的一类审计系统。因此,未来大型客户的安全审计系统将逐步与企业的一体化安全集中管理系统融合,成为管理系统的一个组成部分。
虚拟化技术已逐渐应用于企业网络的各个层面,如服务器虚拟化、操作系统虚拟化、桌面虚拟化、应用虚拟化、存储虚拟化等。因此,如何在虚拟化环境中较好地实现安全审计也十分重要。蒲新宇介绍说,目前,安全审计技术已可实现对虚拟机的操作系统审计;通过监测分析虚拟机的网络通信数据包,实现针对虚拟机的网络审计。随着虚拟技术的不断发展,相信安全审计技术将随着虚拟化技术的发展共同进步。