1 安全审计产品的分类

根据被审计的对象(主机、设备、网络、数据库、业务、终端、用户)划分,安全审计可以分为:
主机审计:审计针对主机的各种操作和行为。
设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计网络审计:对网络中各种访问、操作的审计,例如telnet操作、FTP操作,等等。数据库审计:对数据库行为和操作、甚至操作的内容进行审计业务审计:对业务操作、行为、内容的审计。
终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计。
用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象。


2 安全审计产品的基本功能

无论是何种审计产品,从产品功能组成上都应该包括:
信息采集功能:就是能够通过某种技术手段获取需要审计的数据,例如日志,网络数据包等。对于该功能的考察,关键是其采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。如果采用数据包审计技术的话,网络协议抓包和分析引擎显得尤为重要。如果采用日志审计技术的话,日志归一化技术则是考察厂家基本功和专业能力的地方。
信息分析功能:对于采集上来的信息进行分析、审计。这是审计产品的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计,以及时序的审计算法,等等。
信息存储功能:对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。
信息展示功能:包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,是各个厂家各显神通的地方。
产品自身安全性和可审计×××:审计产品自身必须是安全的,包括要确保审计数据的完整性、机密性和有效性,对审计系统的访问要安全。此外,所有针对审计产品的访问和操作也要记录日志,并且能够被审计。


3 国外安全审计市场的发展现状

IT治理、内控和风险管理的发展极大地促进了安全审计市场的发展。以美国为例,在SOX法案颁布之前,安全审计市场根本没有纳入Gartner、IDC的专项分析范畴,随着针对上市公司内控和信息披露的SOX法案的实施,以及象专门针对医疗行业的旨在保护医患隐私的HIPAA法案、针对联邦政府机构的FISMA法案、针对金融机构支付卡行业的PCI-DSS规范等的执行,美国的安全审计市场出现了爆炸式的增长。Gartner和IDC纷纷对其进行深入分析,并创造出了一个名为GRC(Governance, Risk Management, and Compliance)的IT细分市场。与此同时,各路安全厂商都从自身技术特点出发,提出了各种类型的安全审计产品,介入该市场,力求分一杯羹。例如各大SIEM(Security Information and Event Management)厂家、NBA(Network Behavior
Analysis,网络行为分析/审计)厂家和IAM(Identity and Access Management)厂家等。

4 国内安全审计市场现状和需求分析

一方面,随着安全防御建设由防外为主逐步转向以防内为主,内外兼顾,对于安全审计的需求会越来越多。另一方面,随着国家、社会对信息保护的愈加重视,各个行业对审计要求愈加严格,可看出未来几年对安全审计产品的需求会越来越多。
目前推出的一些国际、国家、行业的内控、审计标准,都对某些行业或企业提出需要具备安全审计产品的要求,因此像《企业内部控制基本规范》此类的规范对于销售安全审计产品是很有帮助的。
有人将《企业内部控制基本规范》称作是中国版的SOX法案,可见对他的期待有多么高。虽然该规范还不能称作是完整意义上的法案,而只是规范性文件,但是他对于国内企业、尤其是大企业的公司治理、风险控制、IT内控,包括信息系统安全审计都起到了极大的推进作用。
 实际上,不仅是《企业内部控制基本规范》,包括之前国家大力开展的等级化保护建设工作,以及证券、金融、保险等行业颁布的各项风险和内控指引、要求等,都在努力构建一个从严的企业管控外部环境。作为这种外部压力的传导,企业的IT内控和审计自然摆到了各大企业信息部门的桌面上。
可以肯定,未来企业用户,尤其是大型企业用户,会不断加强IT内控,并催生对信息系统安全审计的技术、产品和相关解决方案的需求,并带动国内安全审计市场的迅速增长。
目前,国内不同的行业和客户对审计的需求差别很大。
(1)对于一般的企业而言,目前比较大量的审计需求是对企业内部用户上网行为的审计。
(2)对于政府部门和事业单位而言,由于他们的业务系统十分重要,承载了单位关键的应用和数据,因此,对业务系统的审计显得十分重要。这类客户需要审计内部用户访问业务系统的各种行为,防止针对核心业务系统和数据的违规访问,防止信息泄漏。
(3)对于金融、电信类客户而言,除了需要对业务系统进行审计之外,还需要针对运维人员的主机操作审计。由于这类客户具有庞大的主机和服务器机群,上面运行了各种各样的核心应用。同时,这类客户的系统运维人员数量多、岗位职责多,不仅有本单位正式职工,还有第三方驻场工程师和外包运维人员,管理较为复杂。因此,对这些运维人员进行审计,审计他们针对主机系统的各种访问和操作行为就显得十分重要。
(4)对于具有涉密性质的单位,以及安全要求等级高的部门,还会需要终端安全审计类产品,对单位职工的终端进行严格的安全审计。
对于政府、事业单位,以及金融电信行业,最典型的一类需求就是针对这些单位的数据库系统进行审计。就在前不久,国家颁布实施了刑法第七修正案,其中第二百五十三条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信
息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息,情节严重的,依照
前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各相应条款的规定处罚”。
这也就意味着单位如果泄露或非法获取公民个人信息,将被判处罚金,并追究直接负责的主管人员和其他直接责任人员的刑事责任。

5    安全审计产品的发展趋势

未来安全审计产品在技术层面具有以下几个发展趋势:
(1)由于大企业、金融和电信客户需求走强,审计的范围和规模越来越大,对审计产品的处理性能提出了更高的要求。因为,未来高性能审计技术是发展的必然,例如高性能的日志采集技术、海量日志存储技术、借助硬件加速的高性能网络协议分析功能,更好的DPI与DFI结合的技术。
(2)单一审计产品将向综合审计类产品演进。未来,一个安全审计产品将能够同时审计多种对象、多种协议。综合审计产品将占据大部分市场。而单一审计产品也仍然会存在,但是会做的更加精细化,并且去满足特定行业用户的特定需求。因此,异构的日志归一化技术、跨对象的关联分析引擎技术将得到极大的发展和应用。
(3)从审计的实效性上,当前的安全审计产品偏重于事中、事后审计,未来将会出现针对事前审计的产品,例如配置基线审核、系统策略稽核等。
(4)安全审计与一体化安全集中管理产品的融合。对于较大规模的客户而言,安全审计系统是超越现有安全设备的一类产品,在客户的信息安全体系建设中,位于安全设备和安全防护之上,是面向整个IT环境的一类审计系统。因此,未来,大型客户的安全审计系统将逐步与企业的一体化安全集中管理系统融合,成为管理系统的一个组成部分。对此,我以后还会详细阐述。