深入SOC2.0系列（3）：安全审计与安全管理平台的融合

核心提示： （１）针对业务系统安全域的增强性审计：主机和服务器审计、数据库审计、应用和业务审计； （２）针对网络区域的增强性审计：网络审计、设备审计；（３）针对办公区域用户上网行为的审计； （４）针对终端区域操作的审计；在这个审计模型中，日志审计是核心，深入SOC2.0系列（3）：安全审计与安全管理平台的融

（１）　针对业务系统安全域的增强性审计：主机和服务器审计、数据库审计、应用和业务审计；

（２）　针对网络区域的增强性审计：网络审计、设备审计；

（３）　针对办公区域用户上网行为的审计；

（４）　针对终端区域操作的审计；

在这个审计模型中，日志审计是核心。统一安全审计模型如下图所示：

图：统一安全审计模型

在运用统一安全审计模型的时候，客户首先搭建起一个可扩展的安全审计基础平台，并建立起日志审计体系及其审计用户界面。此时，审计的功能和目标不必太多，重点放在对最广泛的IT资源采集日志，进行基础性审计之上。由于日志审计能力所限，对于一些重要的安全区域需要采用增强的专项审计机制，例如对网络区域的审计、对办公区域的审计、对业务核心系统区域的审计，等等。每类专项审计都采用具有专门技术的审计产品，例如基于本机代理的终端安全审计产品，基于网络协议分析的数据库审计产品和用户上网行为审计产品，等等。每类专项审计产品都必须实现统一安全审计基础平台的互联。最基本的互联就是各个专项审计产品能够将他们的审计结果以告警或者日志的形式发送给审计基础平台，由基础审计平台上的日志审计模块通过关联分析和告警给客户进行统一的展示，并通过基础平台向各个专项审计产品下发控制指令，由各个专项审计产品执行控制指令，阻断或者抑制违规行为。

5　将安全审计与安全管理平台（SOC）进行整合

通过对安全审计进行统一建模，我们可以发现，这个统一安全审计模型与安全管理平台（SOC）架构具备天然的相似性，他们都具有信息的采集、分析、存储和展示等功能组成，他们都强调对全网IT资源进行一体化的监控与审计。