RSA enVision实现综合审计

IT审计并非新鲜的概念，然而，很多人并不了解IT审计的内涵，以为仅仅是日志审计，或者仅仅是安全审计。EMC信息安全事业部RSA中国区资深技术顾问冯崇彪认为，IT审计包含了太多的内容，任何“以点盖面”的解释都不全面，用户需了解审计的全部内容，从而选择适合的、实现综合审计的技术和产品。

冯崇彪介绍，各行各业对审计都有需求，一方面是为了企业的内控；另一方面是外部审计的需求，如合规审计、法规遵从等。因此，审计不仅仅包括对信息安全的审计，而是一个综合的概念。归纳起来，IT审计有两个重点方向：一个为IT日志审计，这就是常规的对各种网络及安全设备产生的日志进行审计；另一个是对用户行为审计，比如网络中的用户在做哪些事情？回溯整个过程后能否作为举证使用？

这两方面实现起来都不容易，因为网络中产生的日志包括主机、网络、应用、存储、安全、数据库等六大类，如何将这些日志关联起来、发现并确定安全的越界行为，是一个非常复杂的过程，需要许多独特的技术，这是考验审计产品的重要指标。从用户的业务层面上可以看出，用户业务对审计产品有三个层次的需求：第一个层次是对日志进行管理；第二个层次是保证安全地运维；第三个层次是满足内控和外审的需求。

EMC信息安全事业部RSA的RSA enVision正是可满足上述三类审计需求的安全审计解决方案。它实际上提供了一种技术手段来帮助用户快速地将网络中的设备日志集中到一起并实现关联，保证安全运维、简化合规审计。其最大的特色是可以提供各种各样的关联规则和合规报表，且报表可定制；其次是能把实时的事件威胁转换成可执行的数据，创建一个闭环的事件处理流程。

“比如，发生了安全事件，负责人会进行闭环处理，先批注事件，然后由具体做事的人进行处理，处理完之后他再批示处理到什么阶段，直到这个事件处理完为止，然后进行报告。” 冯崇彪介绍。这样做的好处是不仅报告日志，还能完整地实现安全事件的处理。最后，该方案可将结果以邮件或短信的方式及时通知到每一个人，实现综合审计的目标。