記者看到過這樣一則新聞：方某曾是某超市分店資訊組組長，他利用職務(wù)之便，設(shè)計非法軟件程序，進入超市收銀系統(tǒng)的數(shù)據(jù)庫，通過修改超市收銀系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)信息，每天將超市銷售記錄的20%營業(yè)款自動刪除，并將收入轉(zhuǎn)存入自己的賬戶。

　　類似的新聞其實有不少，根據(jù)最新的統(tǒng)計資料，在給企業(yè)造成嚴重后果的攻擊中，有70％是來自于組織中的內(nèi)部人員。防病毒、防火墻、UTM、IPS等設(shè)備雖然能抵御來自外部的攻擊，對于內(nèi)部攻擊卻無能為力。因此，針對內(nèi)部各信息系統(tǒng)進行安全審計已成為企業(yè)內(nèi)控、信息系統(tǒng)安全風(fēng)險控制不可或缺的關(guān)鍵手段。網(wǎng)絡(luò)信息系統(tǒng)在綜合運用防護工具、檢測工具的同時，必須通過安全審計收集、分析、評估安全信息，掌握安全狀態(tài)，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統(tǒng)調(diào)整到“最安全”和“最低風(fēng)險”的狀態(tài)。

　　五大功能

　　網(wǎng)御神州高級產(chǎn)品經(jīng)理葉蓬向記者介紹，企業(yè)內(nèi)的審計對象包括：主機、設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)庫、業(yè)務(wù)、終端、用戶等等。有的審計產(chǎn)品只針對一種對象進行審計，有的審計產(chǎn)品則對多種對象綜合進行審計。但無論是何種審計產(chǎn)品，從產(chǎn)品功能組成上都應(yīng)該包括：

　　信息采集功能就是能夠通過某種技術(shù)手段獲取需要審計的數(shù)據(jù)，例如日志、網(wǎng)絡(luò)數(shù)據(jù)包等。對于該功能的考察，關(guān)鍵是其采集信息的手段種類；采集信息的范圍；采集信息的粒度（細致程度）。如果采用數(shù)據(jù)包審計技術(shù)的話，網(wǎng)絡(luò)協(xié)議抓包和分析引擎就顯得尤為重要。如果采用日志審計技術(shù)的話，日志歸一化技術(shù)則是考察廠家基本功和專業(yè)能力的手段。

　　信息分析功能對于采集到的信息進行分析、審計。這是審計產(chǎn)品的核心，審計效果好壞直接由此體現(xiàn)出來。在實現(xiàn)信息分析的技術(shù)方面，簡單的技術(shù)可以是基于數(shù)據(jù)庫的信息查詢和比較，復(fù)雜的技術(shù)則包括實時關(guān)聯(lián)分析引擎技術(shù)，采用基于規(guī)則的審計，基于統(tǒng)計的審計，以及時序的審計算法等等。

　　信息存儲功能對于采集到的原始信息，以及審計后的信息都要進行保存?zhèn)洳?，并可以作為取證的依據(jù)。在該功能的實現(xiàn)上，關(guān)鍵點包括海量信息存儲技術(shù)，以及審計信息安全保護技術(shù)。

　　信息展示功能包括審計結(jié)果展示界面、統(tǒng)計分析報表功能、告警響應(yīng)功能、設(shè)備聯(lián)動功能等等。這部分功能是審計效果的最直接體現(xiàn)，是各個廠家各顯神通的地方。

　　產(chǎn)品自身安全性和可審計性功能審計產(chǎn)品自身必須是安全的，包括要確保審計數(shù)據(jù)的完整性、機密性和有效性，對審計系統(tǒng)的訪問要安全。此外，所有針對審計產(chǎn)品的訪問和操作也要記錄日志，并且能夠被審計。

　　不同行業(yè) 多樣需求

　　目前，各個行業(yè)都逐漸開始重視安全審計。由于行業(yè)的特性不同，不同的行業(yè)對審計的需求差別很大。

　　綠盟科技產(chǎn)品市場經(jīng)理蒲新宇表示，不同行業(yè)的用戶對于審計信息類型的關(guān)注點存在一定差異。政府、運營商、金融客戶及中小企業(yè)客戶，對安全審計均提出了基于自身業(yè)務(wù)及安全建設(shè)要求的安全審計需求。例如：從政策合規(guī)角度來看，政府用戶主要關(guān)注滿足“信息系統(tǒng)安全等級保護”、“涉密信息系統(tǒng)分級保護”等政策要求的安全合規(guī)審計。

　　通過和大量用戶的交流，葉蓬對行業(yè)用戶的需求有更詳細的劃分。

　　對于一般的企業(yè)而言，目前比較大量的審計需求是對企業(yè)內(nèi)部用戶上網(wǎng)行為的審計。上網(wǎng)行為管理具有大量安全審計的技術(shù)特征，從這個角度看，可以算做安全審計產(chǎn)品。同時，上網(wǎng)行為管理產(chǎn)品又不僅僅是審計，更重要的是用戶上網(wǎng)行為的統(tǒng)計、分析、控制?？刂疲褪峭ㄟ^事先定義好的策略，制用戶上網(wǎng)行為?？刂瓢l(fā)生在審計之前。一旦做好控制，后面的審計就不存在了。當然，審計可以為控制策略提供建議。另外，未來上網(wǎng)行為管理的方向應(yīng)該是行為分析和統(tǒng)計。這是一種管理學(xué)思路的必然發(fā)展，技術(shù)手段不是解決企業(yè)辦公效率和防范信息泄漏的必殺技，必須在管理思路上有所突破。

　　對于政府部門和事業(yè)單位而言，由于他們的業(yè)務(wù)系統(tǒng)十分重要，承載了單位關(guān)鍵的應(yīng)用和數(shù)據(jù)，因此，對業(yè)務(wù)系統(tǒng)的審計顯得十分重要。這類客戶需要審計內(nèi)部用戶訪問業(yè)務(wù)系統(tǒng)的各種行為，防止針對核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的違規(guī)訪問，防止信息泄漏。

　　對于金融、電信類客戶而言，除了需要對業(yè)務(wù)系統(tǒng)進行審計之外，還需要針對運維人員進行主機操作審計。由于這類客戶具有龐大的主機和服務(wù)器機群，上面運行了各種各樣的核心應(yīng)用。同時，這類客戶的系統(tǒng)運維人員數(shù)量多、崗位職責也多。不僅有本單位正式職工，還有第三方駐場工程師和外包運維人員，管理較為復(fù)雜。因此，對這些運維人員進行審計，審計他們針對主機系統(tǒng)的各種訪問和操作行為就顯得十分重要。

　　對于政府、事業(yè)單位，以及金融電信行業(yè)，最典型的一類需求就是針對這些單位的數(shù)據(jù)庫系統(tǒng)進行審計。就在前不久，國家頒布實施了刑法第七修正案，其中第二百五十三條明確規(guī)定：單位如果泄露或非法獲取公民個人信息，將被判處罰金，并追究直接負責的主管人員和其他直接責任人員的刑事責任。例如之前經(jīng)常見諸于報端的醫(yī)患信息泄漏事件，刑法的出臺就對醫(yī)療單位的重要數(shù)據(jù)保護提出了法律上的要求。

　　對于具有涉密性質(zhì)的單位，以及安全要求等級高的部門，還會需要終端安全審計類產(chǎn)品，對單位職工的終端進行嚴格的安全審計。

　　我國第一部《企業(yè)內(nèi)部控制基本規(guī)范》是中國會計審計領(lǐng)域的一項重大改革舉措，也給安全審計帶來了深遠的影響。有人將《企業(yè)內(nèi)部控制基本規(guī)范》稱作是中國版的SOX法案，可見對它的期待有多么高。雖然該規(guī)范還不能稱作是完整意義上的法案，而只是規(guī)范性文件，但是它對于國內(nèi)企業(yè)，尤其是大企業(yè)的公司治理、風(fēng)險控制、IT內(nèi)控，包括信息系統(tǒng)安全審計都起到了極大的推進作用。

　　實際上，不僅是《企業(yè)內(nèi)部控制基本規(guī)范》，包括之前國家大力開展的等級化保護建設(shè)工作，以及證券、金融、保險等行業(yè)頒布的各項風(fēng)險和內(nèi)控指引、要求等，都在努力構(gòu)建一個從嚴的企業(yè)管控外部環(huán)境。作為這種外部壓力的傳導(dǎo)，企業(yè)的IT內(nèi)控和審計自然擺到了各大企業(yè)信息部門的桌面上。

　　葉蓬說：“可以肯定，未來企業(yè)用戶，尤其是大型企業(yè)用戶，會不斷加強IT內(nèi)控，并催生對信息系統(tǒng)安全審計的技術(shù)、產(chǎn)品和相關(guān)解決方案的需求，帶動國內(nèi)安全審計市場的迅速增長。”

　　我們可以對比國外安全審計市場，當美國頒布SOX法案及相關(guān)行業(yè)的法案之后，Gartner和IDC紛紛對安全審計市場進行深入分析，并創(chuàng)造出了一個名為GRC（Governance, Risk Management, and Compliance）的IT細分市場。與此同時，各路安全廠商，例如SIEM（Security Information and Event Management）廠家、NBA（Network Behavior Analysis）廠家和IAM（Identity and Access Management）廠家等，都從自身技術(shù)特點出發(fā)，推出了各種類型的安全審計產(chǎn)品，介入該市場，力求分一杯羹。

　　審計技術(shù)與時俱進

　　“隨著國內(nèi)外企業(yè)安全內(nèi)控政策、安全審計技術(shù)體系日益完善，用戶需求將更加理性、全面，審計需求將更加務(wù)實。安全審計技術(shù)發(fā)展將呈現(xiàn)明確的政策合規(guī)審計、企業(yè)內(nèi)控管理、數(shù)據(jù)風(fēng)險控制的特點。”蒲新宇對記者說。具體特點包括：

　　政策合規(guī)審計安全審計技術(shù)將更加緊密地與“信息系統(tǒng)安全等級保護”、“企業(yè)信息內(nèi)部控制基本規(guī)范”、“SOX法案”等政策要求相結(jié)合，依據(jù)ISO/IEC17799、ITIL、COBIT、COSO等標準，提供更符合企事業(yè)單位政策合規(guī)管理需要的安全審計功能，輸出細粒度的合規(guī)審計報告。例如：企業(yè)信息內(nèi)控審計報告、SOX審計報告等，幫助用戶提升審計力度，降低人工審計工作量，有效控制了信息安全風(fēng)險。

　　基于賬號的網(wǎng)絡(luò)安全審計網(wǎng)絡(luò)安全審計技術(shù)將逐步與身份認證管理技術(shù)結(jié)合，實現(xiàn)基于賬號的網(wǎng)絡(luò)安全審計，相比傳統(tǒng)的基于IP、MAC地址等用戶身份的審計判定手段，將能夠更加準確的追蹤定位到人，全面提升審計對象身份的可靠性。

　　專業(yè)的數(shù)據(jù)庫安全審計數(shù)據(jù)庫已成為廣大企業(yè)的數(shù)據(jù)核心資產(chǎn)，其重要性毋庸置疑。近年來，在各行業(yè)中頻繁發(fā)生企業(yè)數(shù)據(jù)庫的重要敏感數(shù)據(jù)被篡改牟利、泄密事件，已經(jīng)引起各方面的廣泛高度重視。數(shù)據(jù)庫安全審計技術(shù)作為數(shù)據(jù)庫安全的重要監(jiān)測手段，將越來越受到政府、金融、電信等用戶重視。為了進一步提高數(shù)據(jù)庫審計的完整性和準確性，須追根溯源，從源頭抓起。需要安全廠商與數(shù)據(jù)庫廠商加強技術(shù)合作，共同推動完善數(shù)據(jù)庫安全審計技術(shù)。

　　葉蓬認為，未來安全審計產(chǎn)品在技術(shù)層面具有以下幾個發(fā)展趨勢。

　　高性能審計技術(shù)由于大企業(yè)、金融和電信客戶需求走強，審計的范圍和規(guī)模越來越大，對審計產(chǎn)品的處理性能提出了更高的要求。高性能審計技術(shù)是必然的發(fā)展趨勢。例如：高性能的日志采集技術(shù)、海量日志存儲技術(shù)、借助硬件加速的高性能網(wǎng)絡(luò)協(xié)議分析功能，DPI與DFI更好結(jié)合的技術(shù)。

　　單一審計產(chǎn)品將向綜合審計類產(chǎn)品演進未來，一個安全審計產(chǎn)品將能夠同時審計多種對象、多種協(xié)議。綜合審計產(chǎn)品將占據(jù)大部分市場。而單一審計產(chǎn)品也仍然會存在，但是會做的更加精細化，并且去滿足特定行業(yè)用戶的特定需求。因此，異構(gòu)的日志歸一化技術(shù)、跨對象的關(guān)聯(lián)分析引擎技術(shù)將得到極大地發(fā)展和應(yīng)用。

　　事前審計從審計的實效性上，當前的安全審計產(chǎn)品偏重于事中、事后審計，未來將會出現(xiàn)針對事前審計的產(chǎn)品，例如配置基線審核、系統(tǒng)策略稽核等。

　　安全審計與一體化安全集中管理產(chǎn)品的融合對于較大規(guī)模的客戶而言，安全審計系統(tǒng)是超越現(xiàn)有安全設(shè)備的一類產(chǎn)品，在客戶的信息安全體系建設(shè)中，位于安全設(shè)備和安全防護之上，是面向整個IT環(huán)境的一類審計系統(tǒng)。因此，未來大型客戶的安全審計系統(tǒng)將逐步與企業(yè)的一體化安全集中管理系統(tǒng)融合，成為管理系統(tǒng)的一個組成部分。

　　虛擬化技術(shù)已逐漸應(yīng)用于企業(yè)網(wǎng)絡(luò)的各個層面，如服務(wù)器虛擬化、操作系統(tǒng)虛擬化、桌面虛擬化、應(yīng)用虛擬化、存儲虛擬化等。因此，如何在虛擬化環(huán)境中較好地實現(xiàn)安全審計也十分重要。蒲新宇介紹說，目前，安全審計技術(shù)已可實現(xiàn)對虛擬機的操作系統(tǒng)審計；通過監(jiān)測分析虛擬機的網(wǎng)絡(luò)通信數(shù)據(jù)包，實現(xiàn)針對虛擬機的網(wǎng)絡(luò)審計。隨著虛擬技術(shù)的不斷發(fā)展，相信安全審計技術(shù)將隨著虛擬化技術(shù)的發(fā)展共同進步。