通过对安全审计进行统一建模，我们可以发现，这个统一安全审计模型与安全管理平台(SOC)架构具备天然的相似性，他们都具有信息的采集、分析、存储和展示等功能组成，他们都强调对全网IT资源进行一体化的监控与审计。

同时，对于已经或者即将建立统一安全管理平台(SOC)的用户而言，为了不增加安全体系的复杂性，需要将安全审计的需求与SOC需求一并进行统筹考虑。

在本系列文章的第二篇，我们已经分析了SOC2.0的统一管理模型，如下图所示：

　　图：SOC2.0的统一管理模型

对比两个模型，可以发现，本质上，统一安全审计模型就是统一管理平台(SOC2.0)的一个纵向子集，只是更加关注于审计这个功能维度而已。此 外，由于SOC2.0模型本身具备可裁剪性，因而这种融合也具有了可行性。如下图所示，展示了统一安全审计在SOC2.0中的映射关系：

　　图：安全审计与安全管理平台的融合

通过安全审计与安全管理平台的融合，使得安全审计体系的建设与安全管理体系的建设目标达成了一致，有助于企业整体安全体系的形成和完善。对于客户而言，下一代的安全管理平台(SOC2.0)始终是IT管理的终极管理平台、一体化的平台。

此外，借助统一安全审计体系与SOC2.0的整合，传统的对象安全审计提升到了业务安全审计的层面，更加体现出了统一安全审计给客户的价值。例如，借助SOC2.0的关联分析引擎和业务规则描述语言，用户可以定义如下的业务审计规则，并真正得以执行：

SOC2.0基于规则的关联分析引擎能够将业务规则描述转化为针对具体资产对象的审计规则，并根据从专项的日志审计产品、终端审计产品、数据库审计产品和应用审计产品中收集上来的信息进行关联分析，进行审计规则匹配，发现违规行为并进行告警和响应。

6 实例分析：网御神州SecFox安全管理与审计解决方案

网御神州根据用户的需求，以及自身在安全管理与审计领域的长期积累，在SOC2.0的代表性产品SecFox-UMS统一管理系统的基础上提出 了SecFox统一安全审计解决方案。该解决方案能够对全网各种对象和行为进行审计，同时充分考虑到审计的针对性和可行性，并提供给用户一套统一的审计中 心和审计界面。

欲获取更多关于网御神州SecFox安全管理与审计系统技术、产品、解决方案的信息，请访问网御神州安全管理官方网站：https://www.legendsec.com/newsec.php?up=3&cid=3。

SecFox统一安全审计解决方案包括四个部分：日志审计、网络行为审计、终端审计和统一安全审计平台。

1) 日志审计

日志审计是整个综合安全审计解决方案的核心和基础。IT网络中大部分的设备和系统都能够产生日志，这些日志能够反映网络、访问者，以及设备或系 统自身的操作和行为。网神SecFox-LAS日志审计系统能够将这些日志统一的收集起来，进行归一化和关联分析，实现全网IT环境的集中安全审计。通过 SecFox-LAS日志审计系统，用户能够实现大部分的安全审计目标。

2) 网络行为审计

对于用户IT网络中比较重要的区域，或者关键的业务系统，仅仅借助系统日志进行审计是不充分的，有时候也是不可行的。例如某些业务系统本身没有 日志记录功能，或者某些业务系统由于其自身重要性不能运行日志采集器，等等。此外，针对网络中用户访问互联网的行为，通过传统的日志审计手段也远远不够。 此时，可以通过网络硬件探测器的形式对这些业务系统和用户的操作行为进行审计。网络硬件探测器采用旁路部署(共享Hub/交换机端口镜像/网络分接 TAP)的方式放置在交换机旁边，侦听并分析网络访问操作的指令，并转化为操作日志送到SecFox-LAS管理中心进行统一审计。SecFox-LAS 自带网络硬件探测器，用户也可以使用专门的网神SecFox-NBA(Network Behavior Analysis)网络行为审计设备，他们的工作原理相同。

根据部署位置的不同，SecFox-NBA网络行为审计系统分为两种类型：

(1) SecFox-NBA(业务审计型)部署在关键业务系统区域，对业务行为进行网络审计，包括对业务系统所在的主机、数据库、应用中间件、关键网络和安全设 备、网络流量等的审计。通过部署SecFox-NBA(业务审计型)能够有效地防止针对业务系统的违规操作和行为，保护关键业务系统机器核心数据的安全。

(2) SecFox-NBA(上网审计型)则部署在互联网出口处，对网络中所有访问Internet互联网的用户行为和内容进行审计，包括网页浏览、即时通讯、 网络聊天、网络音视频、邮件、P2P、股票、游戏等。通过部署SecFox-NBA(上网审计型)能够有效地规范企事业单位职工的上网行为，提高互联网使 用效率，防止违规和信息泄漏。

SecFox-NBA网络行为审计系统既可以单独部署和使用，也可以与SecFox-LAS日志审计系统配套使用。SecFox-NBA可以将所有安全审计日志发送到SecFox-LAS进行统一安全审计。

3) 终端审计

大量的研究和实践表明，大部分的安全问题都出现在用户网络内部，而其中网络内部的终端是最薄弱的环节。不仅因为终端的数量相对较大，而且因为这 些终端设备的使用者安全意识较为薄弱，且较难规范化管理。为此，对于一些安全保障要求较高的单位，可以在内部用户区域部署专门的终端安全审计系统。网神 SecFox-EPS(Endpoint Protection System)终端安全管理系统能够有效地对网络内部的所有Windows终端设备进行集中统一的管理，包括资产管理、软件分发、补丁升级、统一安全策略 管理、移动存储介质管理、接入控制等。

SecFox-EPS终端安全管理系统包括终端管理中心和运行在被管理Windows终端设备上的安全代理，所有的管理功能都通过管理中心控制安全代理来实现。

SecFox-EPS既能够单独部署和使用，也可以与SecFox-LAS日志审计系统配套使用。SecFox-EPS管理端可以将所有安全审计日志发送到SecFox-LAS进行统一安全审计。

4) 统一安全审计

用户为了实现IT网络的全面安全审计而部署的日志审计、网络行为审计和终端审计系统不是彼此割裂的，而能够统一为一个整体。在SecFox统一 安全审计解决方案中，网御神州将SecFox-LAS升格为统一安全审计中心，将SecFox-NBA网络行为审计系统和SecFox-EPS终端审计系 统的审计信息统一送到SecFox-LAS日志审计系统，与SecFox-LAS收集到的其它网络中各种IT资源的日志信息一起进行归一化和关联分析处 理，统一的进行可视化展现、审计和存储。如果用户有更多的功能需求，例如要实现面向业务的安全审计，也可以由SecFox-UMS统一管理系统担当这个统 一的安全审计中心。SecFox-LAS日志审计系统相当于SecFox-UMS的一个专注于统一安全审计的简化版。

5) 统一规划、分布实施

借助网神SecFox统一安全审计解决方案，用户能够真正建立起一套针对全网IT资源的安全审计体系。根据用户需求的不同阶段，该方案可以做到统一规划、分步实施，有针对、有重点，逐步实现统一安全审计。