深入SOC2.0系列（3）：安全审计与安全管理平台的融合

核心提示： 只有业务系统A的中间件X可以以middle帐号24×7访问核心数据库服务器；……SOC2.0基于规则的关联分析引擎能够将业务规则描述转化为针对具体资产对象的审计规则，并根据从专项的日志审计产品、终端审计产品、数据库审计产品和应用审计产品中收集上来的信息进行

只有业务系统A的中间件X可以以middle帐号24×7访问核心数据库服务器；

……

SOC2.0基于规则的关联分析引擎能够将业务规则描述转化为针对具体资产对象的审计规则，并根据从专项的日志审计产品、终端审计产品、数据库审计产品和应用审计产品中收集上来的信息进行关联分析，进行审计规则匹配，发现违规行为并进行告警和响应。

6　实例分析：网御神州SecFox安全管理与审计解决方案

网御神州根据用户的需求，以及自身在安全管理与审计领域的长期积累，在SOC2.0的代表性产品SecFox-UMS统一管理系统的基础上提出了 SecFox统一安全审计解决方案。该解决方案能够对全网各种对象和行为进行审计，同时充分考虑到审计的针对性和可行性，并提供给用户一套统一的审计中心和审计界面。

SecFox统一安全审计解决方案包括四个部分：日志审计、网络行为审计、终端审计和统一安全审计平台。

1)　日志审计

日志审计是整个综合安全审计解决方案的核心和基础。IT网络中大部分的设备和系统都能够产生日志，这些日志能够反映网络、访问者，以及设备或系统自身的操作和行为。网神SecFox-LAS日志审计系统能够将这些日志统一的收集起来，进行归一化和关联分析，实现全网IT环境的集中安全审计。通过 SecFox-LAS日志审计系统，用户能够实现大部分的安全审计目标。

2)　网络行为审计

对于用户IT网络中比较重要的区域，或者关键的业务系统，仅仅借助系统日志进行审计是不充分的，有时候也是不可行的。例如某些业务系统本身没有日志记录功能，或者某些业务系统由于其自身重要性不能运行日志采集器，等等。此外，针对网络中用户访问互联网的行为，通过传统的日志审计手段也远远不够。此时，可以通过网络硬件探测器的形式对这些业务系统和用户的操作行为进行审计。网络硬件探测器采用旁路部署（共享Hub/交换机端口镜像/网络分接TAP）的方式放置在交换机旁边，侦听并分析网络访问操作的指令，并转化为操作日志送到SecFox-LAS管理中心进行统一审计。 SecFox-LAS自带网络硬件探测器，用户也可以使用专门的网神SecFox-NBA（Network Behavior Analysis）网络行为审计设备，他们的工作原理相同。