記者看到過這樣一則新聞：方某曾是某超市分店資訊組組長，他利用職務(wù)之便，設(shè)計(jì)非法軟件程序，進(jìn)入超市收銀系統(tǒng)的數(shù)據(jù)庫，通過修改超市收銀系統(tǒng)的數(shù)據(jù)庫數(shù)據(jù)信息，每天將超市銷售記錄的20%營業(yè)款自動(dòng)刪除，并將收入轉(zhuǎn)存入自己的賬戶。

　　類似的新聞其實(shí)有不少，根據(jù)最新的統(tǒng)計(jì)資料，在給企業(yè)造成嚴(yán)重后果的攻擊中，有70％是來自于組織中的內(nèi)部人員。防病毒、防火墻、UTM、IPS等設(shè)備雖然能抵御來自外部的攻擊，對(duì)于內(nèi)部攻擊卻無能為力。因此，針對(duì)內(nèi)部各信息系統(tǒng)進(jìn)行安全審計(jì)已成為企業(yè)內(nèi)控、信息系統(tǒng)安全風(fēng)險(xiǎn)控制不可或缺的關(guān)鍵手段。網(wǎng)絡(luò)信息系統(tǒng)在綜合運(yùn)用防護(hù)工具、檢測工具的同時(shí)，必須通過安全審計(jì)收集、分析、評(píng)估安全信息，掌握安全狀態(tài)，制定安全策略，確保整個(gè)安全體系的完備性、合理性和適用性，才能將系統(tǒng)調(diào)整到“最安全”和“最低風(fēng)險(xiǎn)”的狀態(tài)。

　　五大功能

　　網(wǎng)御神州高級(jí)產(chǎn)品經(jīng)理葉蓬向記者介紹，企業(yè)內(nèi)的審計(jì)對(duì)象包括：主機(jī)、設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)庫、業(yè)務(wù)、終端、用戶等等。有的審計(jì)產(chǎn)品只針對(duì)一種對(duì)象進(jìn)行審計(jì)，有的審計(jì)產(chǎn)品則對(duì)多種對(duì)象綜合進(jìn)行審計(jì)。但無論是何種審計(jì)產(chǎn)品，從產(chǎn)品功能組成上都應(yīng)該包括：

　　信息采集功能就是能夠通過某種技術(shù)手段獲取需要審計(jì)的數(shù)據(jù)，例如日志、網(wǎng)絡(luò)數(shù)據(jù)包等。對(duì)于該功能的考察，關(guān)鍵是其采集信息的手段種類；采集信息的范圍；采集信息的粒度（細(xì)致程度）。如果采用數(shù)據(jù)包審計(jì)技術(shù)的話，網(wǎng)絡(luò)協(xié)議抓包和分析引擎就顯得尤為重要。如果采用日志審計(jì)技術(shù)的話，日志歸一化技術(shù)則是考察廠家基本功和專業(yè)能力的手段。

　　信息分析功能對(duì)于采集到的信息進(jìn)行分析、審計(jì)。這是審計(jì)產(chǎn)品的核心，審計(jì)效果好壞直接由此體現(xiàn)出來。在實(shí)現(xiàn)信息分析的技術(shù)方面，簡單的技術(shù)可以是基于數(shù)據(jù)庫的信息查詢和比較，復(fù)雜的技術(shù)則包括實(shí)時(shí)關(guān)聯(lián)分析引擎技術(shù)，采用基于規(guī)則的審計(jì)，基于統(tǒng)計(jì)的審計(jì)，以及時(shí)序的審計(jì)算法等等。

　　信息存儲(chǔ)功能對(duì)于采集到的原始信息，以及審計(jì)后的信息都要進(jìn)行保存?zhèn)洳椋⒖梢宰鳛槿∽C的依據(jù)。在該功能的實(shí)現(xiàn)上，關(guān)鍵點(diǎn)包括海量信息存儲(chǔ)技術(shù)，以及審計(jì)信息安全保護(hù)技術(shù)。

　　信息展示功能包括審計(jì)結(jié)果展示界面、統(tǒng)計(jì)分析報(bào)表功能、告警響應(yīng)功能、設(shè)備聯(lián)動(dòng)功能等等。這部分功能是審計(jì)效果的最直接體現(xiàn)，是各個(gè)廠家各顯神通的地方。

　　產(chǎn)品自身安全性和可審計(jì)性功能審計(jì)產(chǎn)品自身必須是安全的，包括要確保審計(jì)數(shù)據(jù)的完整性、機(jī)密性和有效性，對(duì)審計(jì)系統(tǒng)的訪問要安全。此外，所有針對(duì)審計(jì)產(chǎn)品的訪問和操作也要記錄日志，并且能夠被審計(jì)。

　　不同行業(yè) 多樣需求

　　目前，各個(gè)行業(yè)都逐漸開始重視安全審計(jì)。由于行業(yè)的特性不同，不同的行業(yè)對(duì)審計(jì)的需求差別很大。

　　綠盟科技產(chǎn)品市場經(jīng)理蒲新宇表示，不同行業(yè)的用戶對(duì)于審計(jì)信息類型的關(guān)注點(diǎn)存在一定差異。政府、運(yùn)營商、金融客戶及中小企業(yè)客戶，對(duì)安全審計(jì)均提出了基于自身業(yè)務(wù)及安全建設(shè)要求的安全審計(jì)需求。例如：從政策合規(guī)角度來看，政府用戶主要關(guān)注滿足“信息系統(tǒng)安全等級(jí)保護(hù)”、“涉密信息系統(tǒng)分級(jí)保護(hù)”等政策要求的安全合規(guī)審計(jì)。

　　通過和大量用戶的交流，葉蓬對(duì)行業(yè)用戶的需求有更詳細(xì)的劃分。

　　對(duì)于一般的企業(yè)而言，目前比較大量的審計(jì)需求是對(duì)企業(yè)內(nèi)部用戶上網(wǎng)行為的審計(jì)。上網(wǎng)行為管理具有大量安全審計(jì)的技術(shù)特征，從這個(gè)角度看，可以算做安全審計(jì)產(chǎn)品。同時(shí)，上網(wǎng)行為管理產(chǎn)品又不僅僅是審計(jì)，更重要的是用戶上網(wǎng)行為的統(tǒng)計(jì)、分析、控制。控制，就是通過事先定義好的策略，制用戶上網(wǎng)行為。控制發(fā)生在審計(jì)之前。一旦做好控制，后面的審計(jì)就不存在了。當(dāng)然，審計(jì)可以為控制策略提供建議。另外，未來上網(wǎng)行為管理的方向應(yīng)該是行為分析和統(tǒng)計(jì)。這是一種管理學(xué)思路的必然發(fā)展，技術(shù)手段不是解決企業(yè)辦公效率和防范信息泄漏的必殺技，必須在管理思路上有所突破。

　　對(duì)于政府部門和事業(yè)單位而言，由于他們的業(yè)務(wù)系統(tǒng)十分重要，承載了單位關(guān)鍵的應(yīng)用和數(shù)據(jù)，因此，對(duì)業(yè)務(wù)系統(tǒng)的審計(jì)顯得十分重要。這類客戶需要審計(jì)內(nèi)部用戶訪問業(yè)務(wù)系統(tǒng)的各種行為，防止針對(duì)核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的違規(guī)訪問，防止信息泄漏。

　　對(duì)于金融、電信類客戶而言，除了需要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行審計(jì)之外，還需要針對(duì)運(yùn)維人員進(jìn)行主機(jī)操作審計(jì)。由于這類客戶具有龐大的主機(jī)和服務(wù)器機(jī)群，上面運(yùn)行了各種各樣的核心應(yīng)用。同時(shí)，這類客戶的系統(tǒng)運(yùn)維人員數(shù)量多、崗位職責(zé)也多。不僅有本單位正式職工，還有第三方駐場工程師和外包運(yùn)維人員，管理較為復(fù)雜。因此，對(duì)這些運(yùn)維人員進(jìn)行審計(jì)，審計(jì)他們針對(duì)主機(jī)系統(tǒng)的各種訪問和操作行為就顯得十分重要。

　　對(duì)于政府、事業(yè)單位，以及金融電信行業(yè)，最典型的一類需求就是針對(duì)這些單位的數(shù)據(jù)庫系統(tǒng)進(jìn)行審計(jì)。就在前不久，國家頒布實(shí)施了刑法第七修正案，其中第二百五十三條明確規(guī)定：單位如果泄露或非法獲取公民個(gè)人信息，將被判處罰金，并追究直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員的刑事責(zé)任。例如之前經(jīng)常見諸于報(bào)端的醫(yī)患信息泄漏事件，刑法的出臺(tái)就對(duì)醫(yī)療單位的重要數(shù)據(jù)保護(hù)提出了法律上的要求。

　　對(duì)于具有涉密性質(zhì)的單位，以及安全要求等級(jí)高的部門，還會(huì)需要終端安全審計(jì)類產(chǎn)品，對(duì)單位職工的終端進(jìn)行嚴(yán)格的安全審計(jì)。

　　我國第一部《企業(yè)內(nèi)部控制基本規(guī)范》是中國會(huì)計(jì)審計(jì)領(lǐng)域的一項(xiàng)重大改革舉措，也給安全審計(jì)帶來了深遠(yuǎn)的影響。有人將《企業(yè)內(nèi)部控制基本規(guī)范》稱作是中國版的SOX法案，可見對(duì)它的期待有多么高。雖然該規(guī)范還不能稱作是完整意義上的法案，而只是規(guī)范性文件，但是它對(duì)于國內(nèi)企業(yè)，尤其是大企業(yè)的公司治理、風(fēng)險(xiǎn)控制、IT內(nèi)控，包括信息系統(tǒng)安全審計(jì)都起到了極大的推進(jìn)作用。

　　實(shí)際上，不僅是《企業(yè)內(nèi)部控制基本規(guī)范》，包括之前國家大力開展的等級(jí)化保護(hù)建設(shè)工作，以及證券、金融、保險(xiǎn)等行業(yè)頒布的各項(xiàng)風(fēng)險(xiǎn)和內(nèi)控指引、要求等，都在努力構(gòu)建一個(gè)從嚴(yán)的企業(yè)管控外部環(huán)境。作為這種外部壓力的傳導(dǎo)，企業(yè)的IT內(nèi)控和審計(jì)自然擺到了各大企業(yè)信息部門的桌面上。

　　葉蓬說：“可以肯定，未來企業(yè)用戶，尤其是大型企業(yè)用戶，會(huì)不斷加強(qiáng)IT內(nèi)控，并催生對(duì)信息系統(tǒng)安全審計(jì)的技術(shù)、產(chǎn)品和相關(guān)解決方案的需求，帶動(dòng)國內(nèi)安全審計(jì)市場的迅速增長。”

　　我們可以對(duì)比國外安全審計(jì)市場，當(dāng)美國頒布SOX法案及相關(guān)行業(yè)的法案之后，Gartner和IDC紛紛對(duì)安全審計(jì)市場進(jìn)行深入分析，并創(chuàng)造出了一個(gè)名為GRC（Governance, Risk Management, and Compliance）的IT細(xì)分市場。與此同時(shí)，各路安全廠商，例如SIEM（Security Information and Event Management）廠家、NBA（Network Behavior Analysis）廠家和IAM（Identity and Access Management）廠家等，都從自身技術(shù)特點(diǎn)出發(fā)，推出了各種類型的安全審計(jì)產(chǎn)品，介入該市場，力求分一杯羹。

　　審計(jì)技術(shù)與時(shí)俱進(jìn)

　　“隨著國內(nèi)外企業(yè)安全內(nèi)控政策、安全審計(jì)技術(shù)體系日益完善，用戶需求將更加理性、全面，審計(jì)需求將更加務(wù)實(shí)。安全審計(jì)技術(shù)發(fā)展將呈現(xiàn)明確的政策合規(guī)審計(jì)、企業(yè)內(nèi)控管理、數(shù)據(jù)風(fēng)險(xiǎn)控制的特點(diǎn)。”蒲新宇對(duì)記者說。具體特點(diǎn)包括：

　　政策合規(guī)審計(jì)安全審計(jì)技術(shù)將更加緊密地與“信息系統(tǒng)安全等級(jí)保護(hù)”、“企業(yè)信息內(nèi)部控制基本規(guī)范”、“SOX法案”等政策要求相結(jié)合，依據(jù)ISO/IEC17799、ITIL、COBIT、COSO等標(biāo)準(zhǔn)，提供更符合企事業(yè)單位政策合規(guī)管理需要的安全審計(jì)功能，輸出細(xì)粒度的合規(guī)審計(jì)報(bào)告。例如：企業(yè)信息內(nèi)控審計(jì)報(bào)告、SOX審計(jì)報(bào)告等，幫助用戶提升審計(jì)力度，降低人工審計(jì)工作量，有效控制了信息安全風(fēng)險(xiǎn)。

　　基于賬號(hào)的網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全審計(jì)技術(shù)將逐步與身份認(rèn)證管理技術(shù)結(jié)合，實(shí)現(xiàn)基于賬號(hào)的網(wǎng)絡(luò)安全審計(jì)，相比傳統(tǒng)的基于IP、MAC地址等用戶身份的審計(jì)判定手段，將能夠更加準(zhǔn)確的追蹤定位到人，全面提升審計(jì)對(duì)象身份的可靠性。

　　專業(yè)的數(shù)據(jù)庫安全審計(jì)數(shù)據(jù)庫已成為廣大企業(yè)的數(shù)據(jù)核心資產(chǎn)，其重要性毋庸置疑。近年來，在各行業(yè)中頻繁發(fā)生企業(yè)數(shù)據(jù)庫的重要敏感數(shù)據(jù)被篡改牟利、泄密事件，已經(jīng)引起各方面的廣泛高度重視。數(shù)據(jù)庫安全審計(jì)技術(shù)作為數(shù)據(jù)庫安全的重要監(jiān)測手段，將越來越受到政府、金融、電信等用戶重視。為了進(jìn)一步提高數(shù)據(jù)庫審計(jì)的完整性和準(zhǔn)確性，須追根溯源，從源頭抓起。需要安全廠商與數(shù)據(jù)庫廠商加強(qiáng)技術(shù)合作，共同推動(dòng)完善數(shù)據(jù)庫安全審計(jì)技術(shù)。

　　葉蓬認(rèn)為，未來安全審計(jì)產(chǎn)品在技術(shù)層面具有以下幾個(gè)發(fā)展趨勢。

　　高性能審計(jì)技術(shù)由于大企業(yè)、金融和電信客戶需求走強(qiáng)，審計(jì)的范圍和規(guī)模越來越大，對(duì)審計(jì)產(chǎn)品的處理性能提出了更高的要求。高性能審計(jì)技術(shù)是必然的發(fā)展趨勢。例如：高性能的日志采集技術(shù)、海量日志存儲(chǔ)技術(shù)、借助硬件加速的高性能網(wǎng)絡(luò)協(xié)議分析功能，DPI與DFI更好結(jié)合的技術(shù)。

　　單一審計(jì)產(chǎn)品將向綜合審計(jì)類產(chǎn)品演進(jìn)未來，一個(gè)安全審計(jì)產(chǎn)品將能夠同時(shí)審計(jì)多種對(duì)象、多種協(xié)議。綜合審計(jì)產(chǎn)品將占據(jù)大部分市場。而單一審計(jì)產(chǎn)品也仍然會(huì)存在，但是會(huì)做的更加精細(xì)化，并且去滿足特定行業(yè)用戶的特定需求。因此，異構(gòu)的日志歸一化技術(shù)、跨對(duì)象的關(guān)聯(lián)分析引擎技術(shù)將得到極大地發(fā)展和應(yīng)用。

　　事前審計(jì)從審計(jì)的實(shí)效性上，當(dāng)前的安全審計(jì)產(chǎn)品偏重于事中、事后審計(jì)，未來將會(huì)出現(xiàn)針對(duì)事前審計(jì)的產(chǎn)品，例如配置基線審核、系統(tǒng)策略稽核等。

　　安全審計(jì)與一體化安全集中管理產(chǎn)品的融合對(duì)于較大規(guī)模的客戶而言，安全審計(jì)系統(tǒng)是超越現(xiàn)有安全設(shè)備的一類產(chǎn)品，在客戶的信息安全體系建設(shè)中，位于安全設(shè)備和安全防護(hù)之上，是面向整個(gè)IT環(huán)境的一類審計(jì)系統(tǒng)。因此，未來大型客戶的安全審計(jì)系統(tǒng)將逐步與企業(yè)的一體化安全集中管理系統(tǒng)融合，成為管理系統(tǒng)的一個(gè)組成部分。

　　虛擬化技術(shù)已逐漸應(yīng)用于企業(yè)網(wǎng)絡(luò)的各個(gè)層面，如服務(wù)器虛擬化、操作系統(tǒng)虛擬化、桌面虛擬化、應(yīng)用虛擬化、存儲(chǔ)虛擬化等。因此，如何在虛擬化環(huán)境中較好地實(shí)現(xiàn)安全審計(jì)也十分重要。蒲新宇介紹說，目前，安全審計(jì)技術(shù)已可實(shí)現(xiàn)對(duì)虛擬機(jī)的操作系統(tǒng)審計(jì)；通過監(jiān)測分析虛擬機(jī)的網(wǎng)絡(luò)通信數(shù)據(jù)包，實(shí)現(xiàn)針對(duì)虛擬機(jī)的網(wǎng)絡(luò)審計(jì)。隨著虛擬技術(shù)的不斷發(fā)展，相信安全審計(jì)技術(shù)將隨著虛擬化技術(shù)的發(fā)展共同進(jìn)步。