安全審計(jì)技術(shù)培訓(xùn)

平安審計(jì)技術(shù)與應(yīng)用網(wǎng)御神州SOC事業(yè)部為什么需要平安審計(jì)平安審計(jì)的定義與組成平安審計(jì)技術(shù)分析平安審計(jì)產(chǎn)品選型過(guò)程綜合平安審計(jì)解決方案從平安審計(jì)平臺(tái)到平安管理平臺(tái)案例分析提綱2重要資產(chǎn)的平安狀況無(wú)法監(jiān)控主機(jī)防火墻入侵監(jiān)測(cè)系統(tǒng)IDS身份認(rèn)證姓名地址簿效勞有漏洞嗎？我們處于危險(xiǎn)中么？我下一步該做什么？發(fā)生什么了？應(yīng)用網(wǎng)絡(luò)設(shè)備殺毒用戶(hù)面臨的挑戰(zhàn)3被動(dòng)地進(jìn)行平安防御，造成混亂當(dāng)前面臨的挑戰(zhàn)4監(jiān)控和審計(jì)界面過(guò)多、手忙腳亂！當(dāng)前面臨的挑戰(zhàn)5?信息系統(tǒng)平安等級(jí)化保護(hù)根本要求?二級(jí)以上小節(jié)?企業(yè)內(nèi)部控制根本標(biāo)準(zhǔn)?及其?配套指引??互聯(lián)網(wǎng)平安保護(hù)技術(shù)措施規(guī)定?第八條相關(guān)法律法規(guī)都有平安審計(jì)的要求！為什么需要平安審計(jì)平安審計(jì)的定義與組成平安審計(jì)技術(shù)分析平安審計(jì)產(chǎn)品選型過(guò)程綜合平安審計(jì)解決方案從平安審計(jì)平臺(tái)到平安管理平臺(tái)案例分析提綱6平安審計(jì)，這里專(zhuān)指IT平安審計(jì)，是一套對(duì)IT系統(tǒng)及其應(yīng)用進(jìn)行量化檢查與評(píng)估的技術(shù)和過(guò)程。平安審計(jì)通過(guò)對(duì)IT系統(tǒng)中相關(guān)信息的收集、分析和報(bào)告，來(lái)判定現(xiàn)有IT平安控制的有效性，檢查IT系統(tǒng)的誤用和濫用行為，驗(yàn)證當(dāng)前平安策略的合規(guī)性，獲取犯罪和違規(guī)的證據(jù)，確認(rèn)必要的記錄被文檔化，以及檢測(cè)網(wǎng)絡(luò)異常和入侵平安審計(jì)的定義7對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測(cè)、信息采集、分析并針對(duì)特定事件及行為采取相應(yīng)比較動(dòng)作。信息系統(tǒng)平安審計(jì)產(chǎn)品為評(píng)估信息系統(tǒng)的平安性和風(fēng)險(xiǎn)、完善平安策略的制定提供審計(jì)數(shù)據(jù)和審計(jì)效勞支撐，從而到達(dá)保障信息系統(tǒng)正常運(yùn)行的目的。同時(shí)，信息系統(tǒng)平安審計(jì)產(chǎn)品對(duì)信息系統(tǒng)各組成要素進(jìn)行事件采集，將采集數(shù)據(jù)進(jìn)行自動(dòng)綜合和系統(tǒng)分析，能夠提高信息系統(tǒng)平安管理的效率——GB/T20945-2007?信息平安技術(shù)——信息系統(tǒng)平安審計(jì)產(chǎn)品技術(shù)要求和評(píng)價(jià)方法?平安審計(jì)的定義8信息采集功能，例如日志、網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)包：DPI、DFI日志：日志歸一化技術(shù)信息分析功能簡(jiǎn)單分析：基于數(shù)據(jù)庫(kù)的信息查詢(xún)與比較復(fù)雜分析：實(shí)時(shí)關(guān)聯(lián)分析引擎技術(shù)信息存儲(chǔ)功能海量審計(jì)信息的存儲(chǔ)信息完整性、私密性保證信息展示功能：可視化、告警、聯(lián)動(dòng)自身平安性與可審計(jì)性平安審計(jì)產(chǎn)品的功能組成9為什么需要平安審計(jì)平安審計(jì)的定義與組成平安審計(jì)技術(shù)分析平安審計(jì)產(chǎn)品選型過(guò)程綜合平安審計(jì)解決方案從平安審計(jì)平臺(tái)到平安管理平臺(tái)案例分析提綱10設(shè)備審計(jì)：對(duì)網(wǎng)絡(luò)設(shè)備、平安設(shè)備等各種設(shè)備的操作和行為進(jìn)行審計(jì)；主機(jī)審計(jì)：審計(jì)針對(duì)主機(jī)〔效勞器〕的各種操作和行為；終端審計(jì)：對(duì)終端設(shè)備〔PC、打印機(jī)〕等的操作和行為進(jìn)行審計(jì)，包括預(yù)配置審計(jì)；網(wǎng)絡(luò)審計(jì)：對(duì)網(wǎng)絡(luò)中各種訪問(wèn)、操作的審計(jì)，例如telnet操作、FTP操作、文件共享操作，等等；數(shù)據(jù)庫(kù)審計(jì)：對(duì)數(shù)據(jù)庫(kù)行為和操作、甚至操作的內(nèi)容進(jìn)行審計(jì)；業(yè)務(wù)系統(tǒng)審計(jì)：對(duì)業(yè)務(wù)IT支撐系統(tǒng)的操作、行為、內(nèi)容的審計(jì)；用戶(hù)行為審計(jì)：對(duì)企業(yè)和組織的人進(jìn)行審計(jì)，包括上網(wǎng)行為審計(jì)、運(yùn)維操作審計(jì)平安審計(jì)對(duì)象分類(lèi)11基于日志分析的平安審計(jì)技術(shù)基于本機(jī)代理的平安審計(jì)技術(shù)基于遠(yuǎn)程代理的平安審計(jì)技術(shù)基于網(wǎng)絡(luò)協(xié)議分析的平安審計(jì)技術(shù)平安審計(jì)技術(shù)類(lèi)型劃分12異構(gòu)設(shè)備和系統(tǒng)的日志信息采集事件歸一化事件關(guān)聯(lián)分析海量事件存儲(chǔ)全局平安態(tài)勢(shì)監(jiān)控平安響應(yīng)日志審計(jì)的核心技術(shù)13日志審計(jì)的核心技術(shù)之間的關(guān)系14事件采集和獲取事件歸一化事件關(guān)聯(lián)分析平安態(tài)勢(shì)監(jiān)控平安響應(yīng)主機(jī)、應(yīng)用、FW，IDS，AV，其他網(wǎng)絡(luò)和平安設(shè)備獲取將異構(gòu)的事件變成統(tǒng)一的事件格式對(duì)全網(wǎng)的日志進(jìn)行綜合審計(jì)異構(gòu)事件采集15SNMPSyslog各種協(xié)議類(lèi)型直接采集、代理采集、抓包網(wǎng)絡(luò)設(shè)備平安設(shè)備主機(jī)、效勞器數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)等等Nokia/Checkpoint日志文件數(shù)據(jù)庫(kù)事件傳感器Syslog/NetFlowSnmptrap開(kāi)放API接口WebServiceODBC事件轉(zhuǎn)發(fā)器用于跨網(wǎng)段事件采集和分布式事件采集應(yīng)用文件讀取事件源FTP第三方系統(tǒng)：網(wǎng)管、終端管理等全面的日志采集手段16OPSECLEA數(shù)據(jù)庫(kù)主機(jī)硬件采集器，旁路抓包最關(guān)鍵的是事件等級(jí)、類(lèi)型等的歸一化事件歸一化17ISSIDS日志<164>Dec07200522:18:5530:%PIX-4-106023:Denytcpsrcoutside:211.137.43.182/3158dstinside:21.7.255.217/44504/25/200503:00:10HTTPIISUnicodeEncoding#ISSFrom 62.6.180.195SPORT26712ToDPORT80ProtocolTCPPriorityHIGH"Actions:DISPLAY=Default:0,EMAIL=Default:0" EventSpecificInformation,ISSIP=194.117.10.8

設(shè)備名稱(chēng)設(shè)備地址事件類(lèi)型源IP目的IP源端口目的端口……描述ISSIDSPIXFWPIX防火墻日志62.6.180.195

8044521.7.255.217211.137.43.182DenyHTTPIISUnicodeEncoding歸一化事件267123158……………………平安事件關(guān)聯(lián)分析——外部入侵例如18平安事件關(guān)聯(lián)分析——內(nèi)部違規(guī)例如19門(mén)禁日志VPN日志OA日志用戶(hù)A進(jìn)入公司效勞器機(jī)房，通過(guò)門(mén)禁的時(shí)候打卡了，打卡信息記錄到了管理中心；用戶(hù)B在家里通過(guò)計(jì)算機(jī)使用用戶(hù)A的VPN帳號(hào)登錄公司網(wǎng)絡(luò)；登錄后，防火墻產(chǎn)生了一條VPN登錄日志，送到了管理中心；用戶(hù)B登錄OA效勞器，效勞器產(chǎn)生一條日志，送到管理中心此時(shí)，SecFox-LAS的界面顯示告警事件，說(shuō)明有一個(gè)用戶(hù)非法使用了A的帳號(hào)登錄了OA效勞器。平安態(tài)勢(shì)監(jiān)控：信息可視化20應(yīng)急響應(yīng)日志審計(jì)短信、電話告警電子郵件告警服務(wù)控制臺(tái)協(xié)同聯(lián)動(dòng)網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)第三方系統(tǒng)防火墻/UTM聯(lián)動(dòng)IDS/IPS聯(lián)動(dòng)傳統(tǒng)的日志審計(jì)注重的是日志的存儲(chǔ)、基于數(shù)據(jù)庫(kù)技術(shù)的日志查詢(xún)和統(tǒng)計(jì)問(wèn)題：缺少對(duì)不同設(shè)備產(chǎn)生的日志的關(guān)聯(lián)分析，因而難以發(fā)現(xiàn)隱藏的威脅和違規(guī)行為新型的日志審計(jì)更加注重日志實(shí)時(shí)關(guān)聯(lián)分析在內(nèi)存中進(jìn)行事件歸并事件追蹤：一查到底、及時(shí)發(fā)現(xiàn)違規(guī)和入侵更加強(qiáng)調(diào)審計(jì)的閉環(huán)：發(fā)現(xiàn)問(wèn)題后要能夠處理問(wèn)題告警聯(lián)動(dòng)日志審計(jì)的技術(shù)開(kāi)展趨勢(shì)22傳統(tǒng)的日志審計(jì)VS新型日志審計(jì)23新型日志審計(jì)多種方式大規(guī)模日志采集日志歸一化內(nèi)存中關(guān)聯(lián)分析實(shí)時(shí)分析告警日志存儲(chǔ)歷史分析、統(tǒng)計(jì)傳統(tǒng)日志審計(jì)Syslog日志采集日志分類(lèi)日志存儲(chǔ)日志查詢(xún)、統(tǒng)計(jì)告警以syslog為主；速度一般2000EPS包括syslog、Netflow、ODBC、代理、探針；高速采集，30000+EPS簡(jiǎn)單分類(lèi)，截取源/目的IP和端口、時(shí)間戳等事件映射歸一化，統(tǒng)一日志嚴(yán)重等級(jí)、日志類(lèi)型、操作類(lèi)別、意圖和結(jié)果日志存儲(chǔ)到數(shù)據(jù)庫(kù)中，明文一方面存儲(chǔ)到內(nèi)存中進(jìn)行關(guān)聯(lián)分析同時(shí)存儲(chǔ)到數(shù)據(jù)庫(kù)中，密文基于SQL語(yǔ)句查詢(xún)，簡(jiǎn)單分析時(shí)序分析、累計(jì)分析，超出SQL語(yǔ)句，可視化統(tǒng)計(jì)分析、趨勢(shì)分析、行為分析，可視化單一告警豐富告警動(dòng)作，設(shè)備聯(lián)動(dòng)、協(xié)同防御基于日志分析的平安審計(jì)技術(shù)基于本機(jī)代理的平安審計(jì)技術(shù)基于遠(yuǎn)程代理的平安審計(jì)技術(shù)基于網(wǎng)絡(luò)協(xié)議分析的平安審計(jì)技術(shù)平安審計(jì)技術(shù)類(lèi)型劃分24終端節(jié)點(diǎn)接入控制外設(shè)管理資產(chǎn)管理桌面風(fēng)險(xiǎn)管理節(jié)點(diǎn)訪問(wèn)控制終端遠(yuǎn)程協(xié)助移動(dòng)存儲(chǔ)介質(zhì)管理補(bǔ)丁更新管理.........本機(jī)代理技術(shù)：終端平安管理系統(tǒng)25管理所有入網(wǎng)設(shè)備，對(duì)違規(guī)接入設(shè)備進(jìn)行阻斷，阻止違規(guī)接入設(shè)備對(duì)系統(tǒng)資源的訪問(wèn)阻止違規(guī)接入設(shè)備對(duì)系統(tǒng)資源的訪問(wèn)，同時(shí)進(jìn)行非法接入平安審計(jì)，對(duì)違規(guī)接入進(jìn)行告警。阻斷技術(shù)：ARP欺騙方式主機(jī)防火墻方式交換機(jī)聯(lián)動(dòng)方式節(jié)點(diǎn)接入26紅外設(shè)備：允許/禁止兩種方式。藍(lán)牙設(shè)備：允許/禁止兩種方式。調(diào)制解調(diào)器：允許/禁止兩種方式。USB存儲(chǔ)設(shè)備：允許/禁止兩種方式。軟驅(qū)：允許/禁止兩種方式。光驅(qū)：允許/禁止兩種方式。串口：允許/禁止兩種方式。并口：允許/禁止兩種方式。PCMCIA設(shè)備：允許/禁止兩種方式。外設(shè)管理27設(shè)置硬件資產(chǎn)信息收集頻率，網(wǎng)絡(luò)中有多少計(jì)算機(jī)，哪些人在使用計(jì)算機(jī)，計(jì)算機(jī)是哪個(gè)部門(mén)的，一目了然；設(shè)置軟件資產(chǎn)信息收集頻率，計(jì)算機(jī)安裝的什么操作系統(tǒng)，操作系統(tǒng)的版本，安裝了哪些軟件，是否安裝了合法的防火墻，是否打全了補(bǔ)丁，同樣一目了然；硬件資產(chǎn)變化時(shí)，可以設(shè)置告警；軟件資產(chǎn)變化時(shí)，可以設(shè)置告警；……下屬單位2下屬單位1總部。。。。。。資產(chǎn)管理28通過(guò)遠(yuǎn)程協(xié)助，管理人員可以響應(yīng)遠(yuǎn)程終端計(jì)算機(jī)的協(xié)助請(qǐng)求，臨時(shí)接管遠(yuǎn)程終端計(jì)算機(jī)，進(jìn)行本地化操作。例如：開(kāi)關(guān)機(jī)、搜索可疑文件、效勞/進(jìn)程查看、系統(tǒng)配置查看、資源使用監(jiān)視等。管理人員完成維護(hù)操作后，釋放對(duì)終端計(jì)算機(jī)的接管。終端遠(yuǎn)程協(xié)助29通過(guò)移動(dòng)介質(zhì)交換的數(shù)據(jù)是密文，數(shù)據(jù)離開(kāi)應(yīng)用環(huán)境后不可用；數(shù)據(jù)交換前必須通過(guò)正確的身份認(rèn)證，包括密碼認(rèn)證或USBKEY等授權(quán)硬件的身份認(rèn)證；記錄數(shù)據(jù)交換過(guò)程的工作日志，便于以后進(jìn)行跟蹤審計(jì)；未經(jīng)授權(quán)的移動(dòng)介質(zhì)，在工作環(huán)境中不可用，只有經(jīng)過(guò)企業(yè)授權(quán)的移動(dòng)介質(zhì)才能進(jìn)入到企業(yè)的辦公環(huán)境；工作配發(fā)的移動(dòng)介質(zhì)帶出辦公環(huán)境后變?yōu)椴豢捎?。移?dòng)存儲(chǔ)介質(zhì)管理30基于日志分析的平安審計(jì)技術(shù)基于本機(jī)代理的平安審計(jì)技術(shù)基于遠(yuǎn)程代理的平安審計(jì)技術(shù)基于網(wǎng)絡(luò)協(xié)議分析的平安審計(jì)技術(shù)平安審計(jì)技術(shù)類(lèi)型劃分31漏洞掃描基線配置掃描WEB平安審計(jì)多用于事前審計(jì)基于遠(yuǎn)程代理技術(shù)的審計(jì)32基于日志分析的平安審計(jì)技術(shù)基于本機(jī)代理的平安審計(jì)技術(shù)基于遠(yuǎn)程代理的平安審計(jì)技術(shù)基于網(wǎng)絡(luò)協(xié)議分析的平安審計(jì)技術(shù)平安審計(jì)技術(shù)類(lèi)型劃分33基于網(wǎng)絡(luò)協(xié)議分析的平安審計(jì)34端口鏡像TAP分接旁路部署、即插即用，對(duì)網(wǎng)絡(luò)沒(méi)有任何影響根據(jù)具體部署位置的不同，分為兩個(gè)子類(lèi)型上網(wǎng)審計(jì)：部署在互聯(lián)網(wǎng)出口處，審計(jì)用戶(hù)使用互聯(lián)網(wǎng)的行為業(yè)務(wù)審計(jì)：部署在核心業(yè)務(wù)系統(tǒng)處，審計(jì)對(duì)核心業(yè)務(wù)系統(tǒng)的操作行為基于網(wǎng)絡(luò)協(xié)議分析的平安審計(jì)35網(wǎng)絡(luò)協(xié)議分析——上網(wǎng)審計(jì)36網(wǎng)絡(luò)行為審計(jì)——業(yè)務(wù)審計(jì)37幾個(gè)故事：高科技犯罪某移動(dòng)公司的神州行充值卡盜用事件美國(guó)TJX公司信用卡信息泄漏事件交通違章信息非法抹除事件非法竊取公司財(cái)務(wù)數(shù)據(jù)庫(kù)重要數(shù)據(jù)，CRM系統(tǒng)的重要客戶(hù)資料醫(yī)院HIS系統(tǒng)醫(yī)療信息、病患信息泄漏事件潛艇信息泄漏事件更多參見(jiàn)：當(dāng)前面臨的挑戰(zhàn)38案例：某移動(dòng)公司的神州行充值卡盜用事件39案例：美國(guó)TJX公司信用卡信息泄漏事件40案例：交通違章信息內(nèi)部違規(guī)篡改41對(duì)于非法連入內(nèi)網(wǎng)的計(jì)算機(jī)的直接入侵和內(nèi)部人員利用合法權(quán)限進(jìn)行的違規(guī)操作，沒(méi)有任何防范措施。啟示：內(nèi)部員工犯罪，非法獲取、修改數(shù)據(jù)庫(kù)中的重要數(shù)據(jù)外包人員犯罪，利用職務(wù)之便留下后門(mén)修改和偽造數(shù)據(jù)黑客攻擊，竊取核心機(jī)密當(dāng)前面臨的挑戰(zhàn)42當(dāng)前面臨的挑戰(zhàn)：刑法第七修正案全國(guó)人大常委會(huì)在今年2月28日通過(guò)了刑法修正案(七)的表決，并且從公布之日起實(shí)施。刑法修正案(七)第二百五十三條規(guī)定：國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供效勞過(guò)程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處分金。竊取、收買(mǎi)或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處分。單位犯前兩款罪的，對(duì)單位判處分金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各相應(yīng)條款的規(guī)定處分。43數(shù)據(jù)庫(kù)審計(jì)基于網(wǎng)絡(luò)協(xié)議的主機(jī)審計(jì)應(yīng)用審計(jì)流量審計(jì)業(yè)務(wù)操作實(shí)時(shí)監(jiān)控、過(guò)程回放關(guān)鍵技術(shù)44數(shù)據(jù)庫(kù)審計(jì)：審計(jì)各種數(shù)據(jù)庫(kù)系統(tǒng)45運(yùn)行平臺(tái)2000/2005/2021Oracle8/9/10DB27/8/9MySQL4.x/5.x12.5/ASE15能夠?qū)Χ喾N操作系統(tǒng)平臺(tái)〔Windows、Linux、HP-UX、Solaris、AIX〕下各個(gè)版本的SQLServer、Oracle、DB2、Sybase、MySQL等數(shù)據(jù)庫(kù)進(jìn)行審計(jì)數(shù)據(jù)庫(kù)效勞器數(shù)據(jù)庫(kù)審計(jì)：審計(jì)各種訪問(wèn)方式46SQL*PlusPL/SQLODBC/JDBCWEB應(yīng)用客戶(hù)端程序OLEDB/ADO本地操作企業(yè)管理控制臺(tái)TOADOracle操作日志TNSTNSFTP/TELNETFTP/TELNET操作行為內(nèi)容和描述用戶(hù)行為數(shù)據(jù)庫(kù)用戶(hù)的登錄、注銷(xiāo)數(shù)據(jù)定義語(yǔ)言（DDL）操作CREATE，ALTER，DROP等創(chuàng)建、修改或者刪除數(shù)據(jù)庫(kù)對(duì)象（表、索引、視圖、存儲(chǔ)過(guò)程、觸發(fā)器、域，等等）的SQL指令數(shù)據(jù)操作語(yǔ)言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于檢索或者修改數(shù)據(jù)的SQL指令數(shù)據(jù)控制語(yǔ)言（DCL）操作GRANT，REVOKE等定義數(shù)據(jù)庫(kù)用戶(hù)的權(quán)限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事務(wù)操作指令數(shù)據(jù)庫(kù)審計(jì)：審計(jì)各種操作類(lèi)型47數(shù)據(jù)庫(kù)審計(jì)的內(nèi)容可以細(xì)化到庫(kù)、表、記錄、用戶(hù)、存儲(chǔ)過(guò)程、函數(shù)，任何細(xì)小改動(dòng)都“難逃法網(wǎng)〞。審計(jì)VNC、Telnet、網(wǎng)上鄰居和定制的主機(jī)協(xié)議的登錄、注銷(xiāo)和一般操作等行為審計(jì)FTP操作行為，包括登錄、注銷(xiāo)，以及訪問(wèn)和上傳/下載的目錄及其文件名主機(jī)審計(jì)48主機(jī)FTPTELNETVNC網(wǎng)上鄰居進(jìn)行數(shù)據(jù)操作實(shí)監(jiān)控：對(duì)所有外部或是內(nèi)部用戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)和主機(jī)的各種操作行為、內(nèi)容，進(jìn)行實(shí)時(shí)監(jiān)控;對(duì)高危操作實(shí)時(shí)地阻斷，干擾攻擊或違規(guī)行為的執(zhí)行;進(jìn)行平安預(yù)警：對(duì)入侵和違規(guī)行為進(jìn)行預(yù)警和告警，并能夠指導(dǎo)管理員進(jìn)行應(yīng)急響應(yīng)處理;進(jìn)行事后調(diào)查取證：對(duì)于所有行為能夠進(jìn)行事后查詢(xún)、取證、調(diào)查分析，出具各種審計(jì)報(bào)表報(bào)告。協(xié)助責(zé)任認(rèn)定、事態(tài)評(píng)估：系統(tǒng)不光能夠記錄和定位誰(shuí)、在什么時(shí)候、通過(guò)什么方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行了什么操作，還能記錄操作的結(jié)果以及評(píng)估可能的危害程度。業(yè)務(wù)審計(jì)的作用49為什么需要平安審計(jì)平安審計(jì)的定義與組成平安審計(jì)技術(shù)分析平安審計(jì)技術(shù)和產(chǎn)品選型過(guò)程綜合平安審計(jì)解決方案從平安審計(jì)平臺(tái)到平安管理平臺(tái)案例分析提綱50確定目標(biāo)需求分解審計(jì)的技術(shù)手段選擇產(chǎn)品選型技術(shù)及其產(chǎn)品選型過(guò)程51判定現(xiàn)有IT平安控制的有效性；檢查IT系統(tǒng)的誤用和濫用行為；驗(yàn)證當(dāng)前平安策略的合規(guī)性；獲取犯罪和違規(guī)的證據(jù)；確認(rèn)必要的記錄被文檔化；檢測(cè)網(wǎng)絡(luò)異常和入侵確定目標(biāo)52通過(guò)具體的需求分解，確定要審計(jì)哪些對(duì)象，每種對(duì)象要審計(jì)哪些內(nèi)容設(shè)備審計(jì)主機(jī)審計(jì)終端審計(jì)網(wǎng)絡(luò)審計(jì)數(shù)據(jù)庫(kù)審計(jì)業(yè)務(wù)系統(tǒng)審計(jì)用戶(hù)行為審計(jì)需求分解53設(shè)備審計(jì)主機(jī)審計(jì)終端審計(jì)網(wǎng)絡(luò)審計(jì)日志協(xié)議分析本機(jī)代理應(yīng)用審計(jì)數(shù)據(jù)庫(kù)審計(jì)用戶(hù)行為審計(jì)遠(yuǎn)程代理適應(yīng)性最廣，功能覆蓋全，是安全審計(jì)的基本要求多用于網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用審計(jì)和用戶(hù)上網(wǎng)行為審計(jì)主要用于終端審計(jì)和主機(jī)審計(jì)使用范圍較廣，但主要只針對(duì)安全漏洞和配置基線進(jìn)行審計(jì)1234審計(jì)的技術(shù)手段選擇54為什么需要平安審計(jì)平安審計(jì)的定義與組成平安審計(jì)技術(shù)分析平安審計(jì)技術(shù)和產(chǎn)品選型過(guò)程綜合平安審計(jì)解決方案從平安審計(jì)平臺(tái)到平安管理平臺(tái)案例分析提綱55平安審計(jì)的開(kāi)展趨勢(shì)56平安審計(jì)開(kāi)展趨勢(shì)：統(tǒng)一平安審計(jì)57上網(wǎng)審計(jì)終端審計(jì)信息可視化、關(guān)聯(lián)分析業(yè)務(wù)審計(jì)日志審計(jì)統(tǒng)一審計(jì)Internet業(yè)務(wù)系統(tǒng)服務(wù)區(qū)網(wǎng)絡(luò)系