深入SOC2.0系列（3）：安全审计与安全管理平台的融合

审计对象和审计技术手段已经详细阐述过，这里，审计目标就是IT安全审计定义中的目标，包括：

　判定现有IT安全控制的有效性；

　检查IT系统的误用和滥用行为；

　验证当前安全策略的合规性；

　获取犯罪和违规的证据；

　确认必要的记录被文档化；

　检测网络异常和入侵。

针对不同的审计目标，审计需求分解会不一样，进而审计对象和技术的选择也会有所不同。对于不同的审计对象，每种审计手段都各有利弊。

日志审计具有最广泛的适用性，能够对各类审计对象进行审计，审计目标能够覆盖国家等级化保护、IT内控指引和规范的大部分要求，实现大部分客户的大部分审计目标。同时，日志审计的技术实现代价较小，对网络系统影响不大，后期维护代价适中。因而一般建议用户构建安全审计体系首先从日志审计开始。日志审计最主要的缺陷在于有时候无法获得被审计对象的日志信息，从而无法进行后续分析。

基于网络协议分析的审计技术多用于对网络、数据库和应用系统，以及用户行为进行审计。该技术具有对被审计对象无影响的特点，但是需要购买专门的审计设备和系统，需要专门的维护。该技术最主要的缺陷在于一般无法审计加密信息，或者为了审计加密信息而不得不改变网络结构，进而增加影响网络性能的风险。此外，在审计用户上网行为的过程中，需要不断地更新应用协议解析库，存在一个被动升级的过程。目前，该技术的变种较多，具体实现技术手段也都各异。

基于本机代理的审计技术较为固定，基本上就用于对主机服务器和终端的审计之上。该技术的缺陷就是需要安装代理，需要考虑代理的兼容性和对主机或者终端的自身运行影响性。此外，代理的升级和维护也是一个难点，具有较高的维护代价。一般用于有较高安全需求的场合。