深入SOC2.0系列（3）：安全审计与安全管理平台的融合

核心提示： （１）设备审计（Device Audit）：对网络设备、安全设备等各种设备的操作和行为进行审计；（２）主机审计（Host Audit）：审计针对主机（服务器）的各种操作和行为；（３）终端审计（Endpoint Audit）：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计；（４）

（１）　设备审计（Device Audit）：对网络设备、安全设备等各种设备的操作和行为进行审计；

（２）　主机审计（Host Audit）：审计针对主机（服务器）的各种操作和行为；

（３）　终端审计（Endpoint Audit）：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计；

（４）　网络审计（Network Audit）：对网络中各种访问、操作的审计，例如telnet操作、FTP操作，等等；

（５）　数据库审计（Database Audit）：对数据库行为和操作、甚至操作的内容进行审计；

（６）　业务系统审计（Business Behavior Audit）：对业务IT支撑系统的操作、行为、内容的审计；

（７）　用户行为审计（User Behavior Audit）：对企业和组织的人进行审计，包括上网行为审计、运维操作审计。

有的审计产品针对上述一种对象进行审计，还有的产品综合上述多种审计对象。

从审计采用的技术手段维度来看，为了实现审计目标，通常采用以下几种审计技术手段：

（１）　基于日志分析的安全审计技术（Log Analysis Based Audit Technology）

一种通过采集被审计或被保护对象运行过程中产生的日志，进行汇总、归一化和关联分析，实现安全审计的目标的技术。这种审计技术具有最大的普适性，是最基本、最经济实用的审计方式，能够对最大范围的IT资源对象实施审计，并应对大部分的审计需求。在国家等级化保护技术要求中、以及行业内控规范和指引中都明确提及了这种审计方式。该日志审计类产品在市场上也最为常见。

（２）　基于本机代理的安全审计技术（Host Agent Based Audit Technology）

一种通过在被审计或者被保护对象（称为“宿主”）之上运行一个特定的软件代码，获取审计所需的信息，然后将信息发送给审计管理端进行综合分析，实现审计目标的技术。作为这种技术应用的扩展，采用该技术的审计产品通常还具有对宿主的反向控制功能，改变宿主的运行状态，使得其符合既定的安全策略。这种审计技术的审计粒度十分细致，多用于对主机和终端等设备进行审计。目前市场上常见的服务器加固与审计系统、终端安全审计系统都采用这种技术。