时间:2022-11-27 12:37:38
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全审计,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1利用网络及安全治理的漏洞窥探用户口令或电子帐号,冒充合法用户作案,篡改磁性介质记录窃取资产。
2利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏企业的信息系统。
3建立在计算机网络基础上的电子商贸使贸易趋向“无纸化”,越来越多的经济业务的原始记录以电子凭证的方式存在和传递。不法之徒通过改变电子货币帐单、银行结算单及其它帐单,就有可能将公私财产的所有权进行转移。
计算机网络带来会计系统的开放与数据共享,而开放与共享的基础则是安全。企业一方面通过网络开放自己,向全世界推销自己的形象和产品,实现电子贸易、电子信息交换,但也需要守住自己的商业秘密、治理秘密和财务秘密,而其中已实现了电子化且具有货币价值的会计秘密、理财秘密是最重要的。我们有必要为它创造一个安全的环境,抵抗来自系统内外的各种干扰和威协,做到该开放的放开共享,该封闭的要让黑客无奈。
一、网络安全审计及基本要素
安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和治理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
没有网络安全,就没有网络世界。任何一个建立网络环境计算机会计系统的机构,都会对系统的安全提出要求,在运行和维护中也都会从自己的角度对安全作出安排。那么系统是否安全了呢?这是一般人心中无数也最不放心的问题。应该肯定,一个系统运行的安全与否,不能单从双方当事人的判定作出结论,而必须由第三方的专业审计人员通过审计作出评价。因为安全审计人员不但具有专门的安全知识,而且具有丰富的安全审计经验,只有他们才能作出客观、公正、公平和中立的评价。
安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据详细的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。
安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,非凡是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业治理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判定。
二、网络安全审计的程序安全
审计程序是安全监督活动的详细规程,它规定安全审计工作的详细内容、时间安排、详细的审计方法和手段。与其它审计一样,安全审计主要包括三个阶段:审计预备阶段、实施阶段以及终结阶段。
安全审计预备阶段需要了解审计对象的详细情况、安全目标、企业的制度、结构、一般控制和应用控制情况,并对安全审计工作制订出详细的工作计划。在这一阶段,审计人员应重点确定审计对象的安全要求、审计重点、可能的漏洞及减少漏洞的各种控制措施。
1了解企业网络的基本情况。例如,应该了解企业内部网的类型、局域网之间是否设置了单向存取限制、企业网与Internet的联接方式、是否建立了虚拟专用网(VPN)?
2了解企业的安全控制目标。安全控制目标一般包括三个方面:第一,保证系统的运转正常,数据的可靠完整;第二,保障数据的有效备份与系统的恢复能力;第三,对系统资源使用的授权与限制。当然安全控制目标因企业的经营性质、规模的大小以及治理当局的要求而有所差异。
3了解企业现行的安全控制情况及潜在的漏洞。审计人员应充分取得目前企业对网络环境的安全保密计划,了解所有有关的控制对上述的控制目标的实现情况,系统还有哪些潜在的漏洞。
安全审计实施阶段的主要任务是对企业现有的安全控制措施进行测试,以明确企业是否为安全采取了适当的控制措施,这些措施是否发挥着作用。审计人员在实施环节应充分利用各种技术工具产品,如网络安全测试产品、网络监视产品、安全审计分析器。
安全审计终结阶段应对企业现存的安全控制系统作出评价,并提出改进和完善的方法和其他意见。安全审计终结的评价,按系统的完善程度、漏洞的大小和存在问题的性质可以分为三个等级:危险、不安全和基本安全。危险是指系统存在毁灭性数据丢失隐患(如缺乏合理的数据备份机制与有效的病毒防范措施)和系统的盲目开放性(如有意和无意用户常常能闯入系统,对系统数据进行查阅或删改)。不安全是指系统尚存在一些较常见的问题和漏洞,如系统缺乏监控机制和数据检测手段等。基本安全是指各个企业网络应达到的目标,其大漏洞仅限于不可预见或罕预见性、技术极限性以及穷举性等,其他小问题发生时不影响系统运行,也不会造成大的损失,且具有随时发现问题并纠正的能力。
三、网络安全审计的主要测试
测试是安全审计实施阶段的主要任务,一般应包括对数据通讯、硬件系统、软件系统、数据资源以及安全产品的测试。
下面是对网络环境会计信息系统的主要测试。
1数据通讯的控制测试数据通讯控制的总目标是数据通道的安全与完整。详细说,能发现和纠正设备的失灵,避免数据丢失或失真,能防止和发现来自Internet及内部的非法存取操作。为了达到上述控制目标,审计人员应执行以下控制测试:(1)抽取一组会计数据进行传输,检查由于线路噪声所导致数据失真的可能性。(2)检查有关的数据通讯记录,证实所有的数据接收是有序及正确的。(3)通过假设系统外一个非授权的进入请求,测试通讯回叫技术的运行情况。(4)检查密钥治理和口令控制程序,确认口令文件是否加密、密钥存放地点是否安全。(5)发送一测试信息测试加密过程,检查信息通道上在各不同点上信息的内容。(6)检查防火墙是否控制有效。防火墙的作用是在Internet与企业内部网之间建立一道屏障,其有效性主要包括灵活性以及过滤、分离、报警等方面的能力。例如,防火墙应具有拒绝任何不正确的申请者的过滤能力,只有授权用户才能通过防火墙访问会计数据。
2硬件系统的控制测试硬件控制测试的总目标是评价硬件的各项控制的适当性与有效性。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。审计人员应确定实物安全控制措施是否适当、在处理日常运作及部件失灵中操作员是否作出了适当的记录与定期分析、硬件的灾害恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整。
3软件系统的控制测试软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。对软件系统的测试主要包括:(1)检查软件产品是否从正当途径购买,审计人员应对购买订单进行抽样审查。(2)检查防治病毒措施,是否安装有防治病毒软件、使用外来软盘之前是否检查病毒。(3)证实只有授权的软件才安装到系统里。
4数据资源的控制测试数据控制目标包括两方面:一是数据备份,为恢复被丢失、损坏或扰的数据,系统应有足够备份;二是个人应当经授权限制性地存取所需的数据,未经授权的个人不能存取数据库。审计测试应检查是否提供了双硬盘备份、动态备份、业务日志备份等功能,以及在日常工作中是否真正实施了这些功能。根据系统的授权表,检查存取控制的有效性。
5系统安全产品的测试随着网络系统安全的日益重要,各种用于保障网络安全的软、硬件产品应运而生,如VPN、防火墙、身份认证产品、CA产品等等。企业将在不断发展的安全产品市场上购买各种产品以保障系统的安全,安全审计机构应对这些产品是否有效地使用并发挥其应有的作用进行测试与作出评价。例如,检查安全产品是否经过认证机构或公安部部门的认征,产品的销售商是否具有销售许可证产品的安全保护功能是否发挥作用。
四、应该建立内部安全审计制度
一、开展基层央行信息安全审计的难点
1.信息系统运行环境复杂。一是随着央行电子化业务快速发展,基层央行科技工作量越来越大,目前绝大多数行人均已超过了一台电脑,所使用的各种业务信息系统达三、四十个以上,且软件系统频繁升级,各种“补丁”不断。二是目前基层央行使用的各业务系统有总行统一开发,也有自主开发的,由于各业务系统开发环境不一致,涉及操作系统、数据库多,增加了运行维护难度,并且部分设备老化严重,存在一定风险隐患。基层行科技人员除要办理自身业务工作外,还负责各部门系统安装和升级、日常管理及维护、网络安全、病毒防范、安全培训等,使得信息安全检查、系统风险评估工作较难有效开展,客观上就给基层央行信息安全内部审计带来了一定的难点。
2.部门业务系统难以适应信息安全审计需要。基层央行所使用的业务系统几乎都没有预置审计接口和审计用户,连简单的数据查询都需要通过被审计对象提取,同时由于信息量大,再加上内审部门缺乏相应的技术审计手段与审计力量,用有限的人工方法查找海量的电子化信息,不仅效率低,而且要想筛选出有价值的线索如同“大海捞针”。
3.信息安全审计技术落后。央行内部审计在信息安全审计方面除合规性审计外,还对信息系统、网络安全、机房环境开展风险导向性的事前审计,但由于基层央行现有审计技术的局限性,大多数内审人员对信息安全管理知识了解较少,开展审计时边学边审,导致审计证据较难获取,难以充分发挥信息系统审计的真正作用,大大影响了审计效果。另外,由于内审部门和人员不能及时介入系统的研发、推广、培训,导致对系统了解较少,再加上大部分系统都由总行开发,基层央行难以独立开展高质量的信息系统审计项目,从而制约了信息安全审计开展的深度和广度。
4.信息安全审计力量薄弱。目前基层央行审计人员数量和知识结构远远不能满足信息安全审计的要求,能熟练掌握计算机专业知识及业务知识的人员偏少,仅停留在简单的机械式的运用层面,更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多,大多内审人员对信息安全审计的特点、方法和存在的风险缺乏深入了解和掌握,无法有效地开展相关审计工作。
二、加强基层央行信息安全审计的对策
1.建立央行信息系统审计标准与规范。结合央行实际,确立央行信息系统审计标准与规范,进一步明确信息安全审计的技术角色,强化信息系统审计的技术特色。同时,推广先进的审计技术,建立科学的信息安全审计模式。
2.提高计算机辅助审计软件的实用性、针对性。一是各业务部门在业务系统建设开发中要针对不同的审计需求,预留审计访问接口,注意把握好数据转出分析模块的设计思路,使审计中获取的电子数据可以作为审计证据使用,以降低审计风险。二是内审部门要介入业务处理系统开发、应用及相关制约机制设立的全过程,对系统业务处理的合法合规性、安全可靠性、可维护性、可审计性及制约机制的完善性进行分析、评价,尽可能地提高系统效率,降低风险。
3.强化科技管理。一是以针对性和时效性、便于操作为出发点,建立健全各项科技管理制度,做到有章可循。二是重视科技实体建设,科学合理投入资金,保证硬件设施安全。三是加强科技力量,充实科技人员,将科技管理与维护岗位分离,实现岗位互相约束、监督,强化信息安全检查、系统风险评估等工作。四是加大信息安全培训力度。通过组织开展岗位业务技能训练和业务达标活动,提升全员的整体科技素质、计算机安全意识和业务技术操作水平,逐步消除对科技人员的过分依赖。
4.改变传统审计方法。由上级行集中研发、业务及审计部门力量,统一制定资源管理、软件程序、数据完整性及系统维护等审计模型,开发信息安全审计系统,对网络安全、运行环境审计等各类风险因素进行评估,量化确定各类风险的大小,提高审计效率。
5.培养信息安全审计专业人才。一是整合人力资源,将审计业务、央行业务和计算机专业知识娴熟的复合型人才充实到内审队伍,调整知识和专业结构。二是加大对现有审计人员信息技术的培训力度,利用互联网的便利性实施网上培训,辅之以岗位练兵、以查代训、自学等方式,让内审人员及时掌握央行各类信息系统发展的趋势和信息风险的一般规律,使信息技术真正成为基层央行实施业务监督和风险控制的有力工具。三是做好现有审计系统的普及工作,使内审人员人人会操作,个个会应用,提高内审工作效率。
(作者单位:人民银行赣州市中心支行)
关键词: 安全审计;网络审计;数据库审计;运维审计
中图分类号:TP393.08 文献标识码:A 文章编号:1671-7597(2012)0210106-01
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。即使部署了防火墙、防病毒、入侵检测系统等网络安全产品,制定了严格安全策略、了多项管理制度,各种网络安全事件任然有增无减,根据CERT的年度研究报告显示,高达50%以上的数据破坏是由内部人员造成的,内部人员对自己的信息系统非常熟悉,又位于防火墙的后端,对数据库系统的误操作或者蓄意的破坏会对企业造成恶劣的影响以及重大损失,无法定责,不方便管理。安全审计通过收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,将系统调整到“最安全”和“最低风险”的状态。
1 什么是安全审计系统
安全审计系统是在一个特定的企事业单位的网络环境下,为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取,而运用各种技术手段实时监控网络环境中的网络行为、通信内容,以便集中收集、分析、报警、处理的一种技术手段。能够规范员工上网行为、提高工作效率、防止企业机密资料外泄,帮助管理者发现潜在的威胁,减少人为因素和管理缺失造成的关键业务停顿造成的损失。帮助您对IT安全事件进行有效监控、协调并迅速做出响应。对潜在的攻击者起到展慑和替告的作用,对于己经发生的系统破坏行为提供有效的追究证据。
2 安全审计系统功能
安全审计系统由审计主机以及探测器组成,采用旁路方式进行审计,不在网络中串联设备,不破坏网络结构,不影响正常业务的运行,也不会影响到网络性能,通过HTTPS方式对主机进行管理。系统主要由以下功能模块组成:
1)网络审计模块:防止非法内连和外连,负责网络通信系统的审计,在加强内外部网络信息控制监管的同时,为避免相关信息外泄及事后的追溯取证提供了有效的技术支撑。
2)操作系统审计模块:对重要服务器主机操作系统的审计,记录操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。用户即可通过操作日志查看详细操作指令,也可通过录像回放查看详细的操作过程
3)数据库审计模块:对重要数据库操作的审计,对信息系统中各类数据库系统的用户访问行为进行实时采集、实时分析,用户登录、登出数据库,对数据表内容做插入、删除、修改等操作,记录内容可以精确回放SQL 操作语句。详细记录每次操作的发生时间、数据库类型、数据库名、表名、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。
4)主机审计模块:主要负责对网络重要区域的客户机进行审计, 包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等,在配合网络行为控制与审计策略的配置实施过程中起到基础性的作用。
5)应用审计模块:主要负责重要服务器主机的应用平台软件,以及重要应用系统进行审计。监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,形成清晰的记录。
6)运维审计模块:主要负责监控系统管理员及第三方运维人员(代维/原厂工程师)系统操作时的审计,对于所有远程访问目标设备的会话连接,实现同步过程监视,运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中,包括vi、smit以及图形化的RDP、VNC、X11等操作,管理员可以根据需要随时切断违规操作会话。记录访问者和被访问者的IP/MAC地址,访问时间等信息。
3 安全审计系统特点
安全审计系统实现功能模块,具有如下特点:
3.1 细粒度的操作内容审计(深度协议分析)
采用协议识别和智能关联技术,可对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等关键信息进行监测、还原;从链路层到应用层对协议进行深度分析,根据内容自动识别各个连接的应用协议类型。保障审计的准确性。为管理机构进行事后追查、取证分析提供有力技术支撑。
3.2 全面的网络行为审计(精准的网络行为实时监控)
安全审计系统可对网络行为,如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等,提供全面的行为监控,支持全面的行为审计、支持目前常见的各种网络应用,方便事后追查取证;在旁路部署模式下可实现较强的网络行为控制功能,包括对网页浏览、电子邮件服务器、即时通讯、P2P下载、流媒体、在线游戏等应用的控制。
3.3 日志规则库
自带基于日志内容分析的专家规则库,针对日志源数据进行实时等级划分,智能分析日志信息中所反映出的诸如设备故障、配置错误、系统警告、应用程序出错、传播违规违法信息、数据库敏感操作等信息,并能及时通过邮件或短信方式通知管理员。规则库能够定时自动升级,应对新增的安全风险。
3.4 综合流量分析
安全审计系统可对网络流量进行综合分析,为网络带宽资源的管理提供可靠策略支持;通过传统安全手段与安全审计技术相结合,在功能上互相协调、补充,构建一个立体的保障管理体系。
3.5 可靠的安全保障能力
自身的安全性高,不易遭受攻击,在操作系统级对系统各支撑引擎进行了修改和全面优化定制,全面防止攻击与劫持,提升系统整体性能的同时保障自身系统级安全。对关键审计数据的存储和传输进行加密防护,利用数据防篡改、防删除技术;严格访问权限、审计权限控制体系达到系统级安全防护,旁路部署保障对网络性能完全没有影响,保证网络无单点故障,优先保障用户网络级安全,是上网机构在内网和互联网过程中最可信赖的安全工具。
3.6 高效的事件定位能力
系统运行日志数据大致可分为两类:结构化数据和非结构化数据,结构化数据主要包括行为日志和报警日志等,而非结构化数据则主要包括内容审计数据。通过使用先进的全文检索引擎,实现高效的事件定位能力。
3.7 良好的扩展性设计,部署灵活
支持分级部署、集中管理,满足不同规模网络的使用和管理需求;对于单台设备无法处理的超大流量环境或含有分支机构的分布式环境,系统支持高扩展性的多台设备分布式部署方案,通过多台设备对超大的流量或各分支机构分而治之,又由统一的管理平台实现对整个网络的透明、统一的管理。
3.8 多种报表
全面详细的审计信息,丰富可定制的报表系统,系统根据历史审计日志数据进行统计可产生丰富详细和直观的报表,包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。能够从上网对象、时间、分类、目标等多个维度对网络活动进行查询分析,并以柱状图,饼图,曲线图,折线图等形式来体现排名、结构、趋势等上网概况,使管理者对所掌握的数据有清晰直观的认识。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存,并支持自定义的周期性报表自动生成和订阅。日志可以按照要求保留90天以上,归档的日志可通过各种组合条件进行在线查询,也可以远程备份到异地进行离线查看。
综上所述,安全审计作为一门新的信息安全技术,能够对整个计算机信息系统进行监控,如实记录系统内发生的任何事件,可以有效掌握网络安全状态,预防敏感信息外泄,实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位,为整体安全策略的制定提供权威可靠的支持,从而为信息安全提供了有力的保障。
参考文献:
[1]张世永,信息安全审计技术的发展和应用[J].电信科学,2003(12).
[2]韦成府、吴旭、张华,网络行为安全审计系统Web应用的设计与实现[J].现代图书情报技术,2009(02).
[3]章剑林、李班、丁勇,企业网站的安全风险和安全审计技术研究[J].浙江理工大学学报,2008(05).
关键词:电力系统;网络安全;安全审计;网络监控
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2008)25-1391-03
The Design and Realization of Network Security Audit and Monitoring System
LIU Chan-juan
(Ludong University Department of Computer Science & Technology, Yantai 264025, China)
Abstract: This paper presents a whole design of network security audit and monitoring system, including the design of monitoring module in Proxy and network capability, etc. And it also proposes the implement flow of these function models including the implement flow of security audit model and network monitoring model, it also gives the design and realization of IP address peculate model and monitoring module in Proxy. This system has greatly improved the level of safety management of network through the practice for an application case and has obtain good actual effect.
Key words: Electrical Power System; Network Security; Audit; Network Monitoring
1 引言
在物理容灾方面, 电力系统目前的防护措施已较为完善, 而在对黑客攻击与网络化病毒的防护方面, 特别是黑客攻击, 虽然已建立了初步的防护体系, 但由于电力系统数据网络在建设和管理中缺乏有效的指导, 同时也因黑客技术的不断发展, 在这方面还远远不能达到应有的效果。因此, 如何优化已有的系统软件和安全产品, 如何建立多层次的安全防护体系, 仍是电力数据网络发展中必须面对的重要问题[1]。保证电力数据网的稳定性、安全性和保密性,需要研究多层次的审计和监控手段,研发高效的网络安全审计与监控技术,研制自己的功能较完备的网络安全监控与审计系统,这是十分有意义的,所以展开对此课题的研究有重要的实用价值。
2 系统的总体设计
在系统开发初期阶段,经过反复调研,分析系统应用的软硬件环境,跟踪相关领域的研究情况,最后本系统确定了基于Unix系统平台,以B/S(Brower/Server)为开发模式,利用SNMP(简单网络管理协议)进行网络监控,运用Unix平台下的C语言的开发监控程序,利用Oracle OCI调用接口进行数据库操纵,结合PHP语言进行数据的网络的整体开发模式和方法[2]。网络安全审计和监控技术有两部分含义:系统安全审计与网络监控。系统的功能需求可归纳为两大部分:即基于日志形式的安全审计部分及基于SNMP的网络监控部分。
3 系统主要模块的设计
3.1 IP地址盗用模块的设计
在本模块开发初始,考虑到由于IP地址盗用只能发生在同一子网(Subnet)中,而网络中以太网卡MAC地址全球唯一不能改变,故通过绑定同一子网中的IP和以太网卡MAC地址便可区分合法用户与非法用户[3]。系统分四步:首先是建立一张IP地址和MAC地址的对应表,对应表中记录了合法用户的IP地址和MAC地址的对应关系。其次运行监测程序,监测子网中的各个IP地址对应的MAC地址是否与先前建立的对应表中的对应情况一致。若相同,说明合法用户正在使用。若发现不一致,说明非法用户正在盗用合法用户的IP地址,此时系统产生报警,记录非法用户的盗用信息。第三步运行阻断程序,对非法用户进行攻击。采用地址分辨协议ARP(Address Resolution Protocol)伪造技术,向非法用户主机发送ARP Spoofing攻击包,断开非法用户主机的网络连接,禁止其继续使用网络。最后是将监测的盗用信息进行网上,这样管理员可以随时通过浏览器查看IP盗用情况。
IP地址盗用监控模块功能结构见图1。数据采集模块利用UCD-SNMP网管软件,通过编写程序,每隔固定时间间隔向路由器等网络设备采集数据,并将采集数据传送给数据处理模块。数据处理模块包括数据分析模块和阻断模块两个子模块。数据分析子模块负责接收来自的数据,分析是否存在IP盗用情况,若存在则产生报警信息,随之调用阻断子模块,对非法用户进行攻击,阻止其继续使用网络。数据模块包括报警信息入库模块和数据浏览模块。入库模块完成盗用信息的存储入库,而浏览模块提供给管理员一个可视界面,用来浏览和管理报警信息,了解网络的使用情况。
3.2 服务器监控模块设计
在具备专线接入的大型局域网中,一般都采取服务器的方式接入Internet。采用服务器形式接入Internet的好处显而易见:可以充分利用现有IP实现更多用户同时访问Internet,但相应的各种各样的问题也随之到来:网络用户增多了,如何对内部用户访问外部网络情况进行统计,如何对网络用户访问的内容进行审计和监察,如何对网络流量进行统计及对数据流向进行监控,以及服务器本身服务情况统计等等。这些问题的出现,直接引出了服务器的监控问题。
在该模块设计时,根据实际需求,设计了该模块的主要功能包括三个部分:
1) 今日访问情况统计:包括最常访问网站统计,用户点击率统计,服务器访问率统计和访问成功和失败情况统计。
2) 客户机监控:包括客户机访问统计,客户机流量统计和客户机访问网站统计。
3) 服务器性能分析:包括服务响应码分析及服务传输时间统计。
为实现上述功能,结合具体的Unix平台,具体设计出了服务器监控模块的功能结构图,如图2所示,主要包含三个方面的功能:日志采集,日志分析及信息三部分。
■
图2 服务器监控功能结构图
4 系统的实现
4.1 系统功能模型的实现流程
本系统设计的主体功能包括两大部分:安全审计模型和网络监控模型。系统的安全审计功能主要基于系统的各种日志信息,如系统日志,用户操作记帐日志,服务器日志等。通过编制数据采集程序采集相关的日志信息,同时利用数据分析程序对审计跟踪文件的信息进行分析处理,经过审计得到计算机系统或网络是否受到攻击或非法访问,并对采集的审计数据进行入库操作,保留安全审计结果,同时利用保存的统计数据绘出各种统计分析图表,最终通过构建Web服务器,将审计结果进行网络,提供给用户直观的浏览界面[4],方面管理员进行综合分析和审计,提高网络管理水平。系统中安全审计模型图如图3所示。
■
图3 安全审计模型图
在本模块开发过程中,首先要做的就是网络数据的采集,经过采集模块得到的数据经通信模块传送给分析过滤模块,经过分析和过滤得到相应的统计数据,同时将统计数据保存到数据库,以方便做数据的纵向分析比较,最后用Web数据方式将监控结果和统计分析情况到网络。网络监控功能模型如图4所示。
■
图4 网络监控模型图
4.2 IP地址盗用监控模块的实现
本模块的数据采集程序是基于UCD-SNMP软件开发平台开发的。UCD-SNMP开发平台提供了非常多封装好的库函数和链接库,这使得程序的开发得到极大方便。在IP盗用监控过程中,程序的主要任务是采集当前网络中处于活动状态的IP地址信息,包括IP地址和以太网卡MAC地址,并将他们绑定在一起,与登记的合法IP和MAC地址对相比较,作为判定IP是否合法的标准。
程序通过SNMP协议定期访问被管设备,取得当前网络中IP使用情况。通过访问设备的MIB(ManagementInformationBase)中IP接口组的IpNetToMediaPhysAddress对象值,获得当前网络中活动主机的IP地址和MAC地址的对应关系,而后将得到的信息发送到数据处理程序。系统中程序实现数据处理的算法流程图如图5所示。
当程序采集到数据后,就将数据传送给数据分析处理模块。数据分析模块负责接收和分析程序返回的数据,并将数据和合法IP和MAC对应表比较,判断是否存在IP地址盗用,此时存在多种情况。经过分析模块的分析,对于IP盗用情况,系统会自动产生报警信息,包括盗用者的原始IP和注册登记信息(在其完成网络登记的情况下)、盗用者主机网卡MAC地址,被盗用主机的IP地址、MAC地址及主机登记信息。这些数据应该妥善的保存起来,并提供给网络管理员查阅,方便其查找盗用IP者起到威慑作用。数据存储入库程序采用C语言结合Oracle OCI(Oracle Call Interface)接口,在UNIX平成了盗用信息的收集和入库工作,将盗用信息存储在Oracle数据库中,为数据的网络做铺垫[5]。
4.3 服务器监控模块的实现
在模块的实现过程中,主要利用队列技术实现高速缓冲区的设计,同时用FIFO(First In First Out)机制来控制对缓冲区的访问,使得日志写入和入库读取高速缓冲区不发生冲突。对于服务器的监控无外乎两个方面的内容,对用户访问网络的统计和对服务器本身服务的监控。本模块中,对日志的分析过程是通过对数据库的查询分析得到的,通过PHP语言,利用复杂的SQL语句操纵数据库,实现数据的统计与分析,最终将结果返回给管理员。
5 结束语
电力营销管理信息系统的不安全因素是由计算机系统的脆弱性以及人为因素造成的。从系统的结构、系统资源与实施及运行环境来分析,实施一个安全的电力营销管理信息系统,需要通过管理手段将人为破坏因素降到最小,通过技术手段降低自然因素对系统的危害。
参考文献:
[1] 姚小兰, 李保奎, 董宁, 等. 网络安全管理与技术防护[M]. 北京:北京理工大学出版,2002.
[2] Peter Kuo. 最新UNIX开发使用手册[M]. 北京:机械工业出版社,2000.
[3] Hansen, Lesley. Network Infrastructure Security[J]. Network Security,1999,12(6):57-61.
关键词:区块链技术;食品安全审计;信息化;框架构建
现阶段我国的食品安全依旧存在比较突出的隐患,食品安全风险的识别与防控具有复杂性、差异性等特点,食品安全治理仍存在比较大的难度。作为风险防控的重要手段,食品安全审计近几年得到快速发展,但在信息化技术水平、流程体系以及数据完备性等方面还存在较多问题,尤其是在数据获取的真实性和完整性上存在较大的难度。区块链具有去中心化、独立性、安全性与匿名性等特点,利用其智能合约、共识机制、非对称加密、分布式账本等技术,可有效保障审计数据的质量与可追溯[1],同时还有助于风险的及时捕捉、人力资源的节省以及审计效果的提升等。因此,分析探讨区块链技术在食品安全审计中的应用具有重要的现实意义。对于食品工业来说,审计与食品质量标准在食品安全的保障中起到的作用都是不可或缺的,例如:评估管理系统,获得某些食品安全和质量标准的认证,评估场所和产品的条件,确认法律合规性等等[2]。审计应用于食品安全治理,最早是在西方国家产生的,由此也逐渐衍生出一项新领域的审计———食品安全审计。国内学者将食品安全审计界定为:“一套集成本审核分析、质量管理机制考察和企业产品质量状况核算评价为一体的科学方法”[3]。该领域的研究在国内起步较晚,大致开始于在三鹿奶粉事件发生以后,并且集中在乳品行业,食品安全审计的具体实施也基本是由政府有关部门主持进行,且审计对象主要聚焦在大型企业[4]。目前,就我国已有的食品安全审计案例来看,还存在中小型企业审计不够到位、审计依据标准不够明确、审计数据不够安全可靠以及在专业审计人才与方法上存在欠缺等问题。因此,亟需新技术、新方法的引入和应用。近几年,随着区块链技术的发展,学者们开展了其在许多领域和场景应用的研究。区块链在审计领域的应用也得到了越来越多的重视,相关的研究如:基于区块链技术构建实施审计框架[5-6]、区块链技术在企业联网审计中的应用[7-8]、区块链技术在金融审计中的应用[9-11]以及区块链审计在政府治理中的应用等等[12-13]。在具体的审计模式探索中,毕秀玲等[14]提出要大力推进“审计智能+”的建设,在5G、区块链、大数据与人工智能等技术的支持下,提高审计信息化的水平。传统审计过程中所面临成本、效率、质量、安全性等问题恰恰可以通过区块链技术进行有效解决[15]。房巧玲等[16]便提出了基于双链架构的混合审计模式,即智能审计程序与人工审计程序相结合的模式。从目前已有的研究来看,还尚未见有关区块链技术在食品安全审计中应用的研究。基于此,文章首先根据区块链技术的工作原理与优势点,分三个层次构建起区块链技术在食品安全审计中应用的逻辑框架。其次结合传统审计工作,通过技术代入,进一步阐述区块链技术下的食品安全审计工作的大致流程。最后,充分考虑当前区块链技术在运用中所面临的各种问题,提出相关的建议以及未来发展的展望。
1区块链技术在食品安全审计中的应用逻辑
1.1区块链的工作原理
区块链是在一种基于分布式系统思想形成的网状结构,在这个网状结构中,信息存储上链主要有以下流程:当某个节点有新的数据信息录入,该节点将会把信息网络中的其他节点进行广播,其他节点在接收信息以后会对其内容的真实性、完整性以及可靠性进行检验,检验无误后该信息将被储存在一个区块中,经过随机Hash算法得出Hash值,该过程可以视为一种单向的加密手段,不仅可以将复杂无章的数据信息转换为固定长度的字符代码,而且其破解的困难程度也保证了数据的不可篡改性。此时,全网将基于共识机制对该区块内数据进行审查,审查通过以后该区块将被正式存入区块链的主链中,相应的数据也将被打上时间戳标记,更新复制保存到每个节点里[17],如图1所示。
1.2区块链技术在食品安全审计中应用的逻辑
区块链作为一项颠覆性技术,在各个领域加速应用。将区块链技术应用到审计领域,这种模式被称为区块链审计。而在区块链审计的定义上,徐超等[18]提出广义和狭义之分,广义上指在审计领域应用区块链技术,而狭义上则包含了区块链审计和审计区块链这两种方式,二者的审计对象不同,具有本质上的区别。在区块链审计过程中,审计人员基于信息系统对一般控制和应用控制进行测试,通过借助发挥区块链技术的优势性,对各类业务执行自动化审计和持续审计等行为[19],具体包括:对数据的真实性、时效性以及可靠性进行审计;对系统设置、共识机制以及智能合约等进行审计;对区块链技术所涉及的系统节点等安全性进行审计[20]。事实上,区块链可以分为三个层次:协议层、应用层和访问层,它们相互独立又不可分割,构成了区块链技术在食品安全审计领域的运用逻辑,如图2所示。协议层(又称基础层)是基于共识机制展开运行的,通过共识机制来保障每个节点的数据是真实一致可靠的。在利用分布式数据存储、加密算法、网络编程以及时间戳等技术的基础上,对食品供应链上所涉及到的各个环节、各个企业的各类信息进行收集与记录,如食品生产过程中的原料配比情况、添加剂的使用量情况,食品物流环节的负责方信息、车次时间以及冷链条件情况,食品交易过程中经销商情况以及流入消费者的时间地点等信息[21]。企业彼此间的信息验证以及共识算法记账使得审计需要的众多数据信息能够公开透明、不易篡改,也有助于扩大审计工作的覆盖面。对于应用层而言,智能合约的存在使得区块链在没有人工控制以及第三方干预的情况下,能够按照网络编程出的代码进行自主运行,有助于明确执行标准,大大提高了审计的效率以及数据的收集分类等重复性工作,在预先设置的程序代码中,一旦触发相应的条件和标准,将会作出各类分析行为,这样一来,审计人员通过区块链技术就可以对食品质量安全实现实时监控、及时预测和灵活预警[22]。就访问层来看,无论是通过个人计算机(personalcom-puter,PC)端还是移动终端,借助区块链技术的可编程性采用公钥与私钥授权的机制,能够实现数据的安全独立便捷获取。同时,时间戳技术有助于保障数据的安全性,使审计工作的的可靠性和便利性能够得到进一步优化。
1.3区块链技术在食品安全审计中应用的优势
对于食品行业来说,信任机制的构建对于品牌形象的树立是十分关键的,而品牌形象的优劣将直接影响企业的生存甚至是行业的兴衰。在这种情况下,通过审计去发现问题、解决问题,并实现信息的公开、透明、可追溯将有助于信任的构建。而区块链技术在审计中运用的优势,将有效推动信任机制的形成。首先,去中心化的优势使得在整个食品供应链上所有企业都可以分别作为一个节点,分布式数据储存技术的应用,使得众多企业在信息的记录和储存上互相监督、互相利用,具有更加安全、更加便捷、更加透明的优点。同时,每个审计项目由指定的审计组执行审计,每个审计组也相当于区块链的一个节点,若干个审计组节点组成分布式节点组织结构,相当于一个分布式账本。于是审计的范围变得更加广泛,所涉及的审计对象也更加的全面而具体,不需要非得围绕核心企业实施审计,解决了审计范围的局限性问题,有助于提高食品安全审计结果的质量。其次,交易可追溯性、数据透明性的优势使得信息在供应链上变得更加可靠、真实。在供应商的选择、企业内部控制执行的有效性等等方面具有督促作用。例如,就已有的食品安全审计案例呈现的结果来看,存在如下问题:企业不能持续保持生产条件、食品安全管理制度等落实不到位、企业自身的检验能力不足、生产信息记录的不完整甚至伪造记录以及不合格品和变质食品的及时处置问题等。在区块链技术的帮助下追溯系统将会不断完善[23],对于存在的这些问题也会更加具有约束和威慑作用。在现实中,已有具体的应用案例,如2017年7月沃尔玛、京东、国际商业机器(internationalbusinessmachines,IBM)公司和清华大学共同组成了区块链联盟,在产品的地产、批号、生产厂家、到期日期以及运输细节等各种详细信息的获取上,可以实现从天数到秒数的速度提升,这将极大地提升审计实施的效率。最后,可编程性则发挥了信息技术的优势,相比于传统审计中的人工操作,信息技术的应用将会使得审计的流程更加严谨、更加快捷。食品安全审计过程中,涉及到的质量标准、规范等十分复杂,对于不同品类食品的特殊性质、不同添加剂的使用规定等所涉及的知识更加多样和复杂[24],利用计算机编程技术,则可通过代码的编写,将有关审计标准、审计法规等进行定义,在区块链中实现数据信息的智能运行。在既定的规则和协议下,区块链可以实现数据的自动采集、传递与存储,高安全性、高透明性使得审计效率大大提升。德勤会计师事务所的Rubix平台就是通过将自动化技术和区块链技术相结合,在提升工作效率的同时,又能达到降低成本等作用[25]。同样,沃尔玛也将区块链技术应用于食品供应链管理之中,并取得了一定的理想成效[26]。
2区块链技术下食品安全审计的流程
区块链技术下的食品安全审计流程是在传统审计流程的基础上,通过融入区块链技术,对审计流程进行重塑,保证审计大环节不变,即审计准备阶段、审计实施阶段以及审计报告阶段,但细节更加优化、效率更高,如图3所示。
2.1审计准备
在审计准备阶段需要先对审计信息和数据等进行预处理,通过数据的采集、传输与存储,利用区块链中各个节点所达成的共识机制,实现数据的真实性、完整性与一致性。在这个过程中,通过对被审计食品行业的相关标准、企业会计准则的选取情况、企业的性质以及监管环境等的了解,对相关获取信息进行更新记录,并利用时间戳技术,相当于会计记账中的连续编号机制,对新产生的区块做上时间标记,充分保证了数据在一定时间内是可追溯的、可验证的以及完整的。
2.2审计实施
在审计实施阶段,面对食品供应链本身的环节的多样性与复杂性,区块链应用平台会及时向各个节点的企业、账项往来银行以及其他关联方进行信息的检查与考证,并将结果进行实时反馈。在对某一生产、加工业务或者交易进行审查以后,将问题点进行汇总与分析。在审计过程中,同时需要伴随着数据清洗、数据挖掘、可视化操作、实时处理、风险识别与评估以及重要性水平的确定等技术支撑,也需要借助传感器、物联网、射频识别以及CPS/GPS等审计工具[21],因此,这将对专业人才的技术水平有着较高的要求。
2.3审计报告
在传统审计流程的收尾阶段,需要对整个审计流程所记录的工作底稿以及证据信息进行整理与汇总,并出具最终的审计报告、发表审计意见。而在区块链技术的应用下,审计人员通过对数据信息的系统建模进行智能化自主分析,并且能够做到对审计结果的实时记录、对被审计企业进行随时随地的监控,还可以根据审计主体的不同以及审计要求的变化,随时出具定制化的审计报告,大大提高了审计结果的质量以及需求度的满足程度。
3区块链技术在食品安全审计应用中面临的问题
3.1技术问题
现阶段,无论是国家、社会还是具体的个人,对于审计的水平和质量要求越来越高。监督再到上市公司的财报结果公开,处处离不开审计的参与,审计也逐渐在越来越多的领域发挥作用,例如:领导干部经济责任审计、自然资源资产审计、信息科技审计以及本文所探讨的食品安全审计等领域。在食品安全上,任何小的风险都不容忽视,这对于审计的执行是一项不小的挑战,尽管区块链技术在效率和质量等方面对食品安全审计有着很大的帮助,但在海量的信息面前,区块链的复杂度也急速增加,无论是从硬件上还是软件上,对计算机的算法处理能力、存储能力以及硬件配置有着越来越严苛的要求。因此,进一步提高硬件的可靠性以及软件的适配性是技术层面需要持续努力的方向。
3.2安全问题
区块链技术尽管有着Hash值非对称加密算法、时间戳等技术的支持,但安全性问题依旧是区块链技术在发展中不容小视的关键问题。随着黑客技术的不断进化,以往的51%攻击成本已经不再具有很强的约束性,这对于审计工作是一项不小的潜在威胁。在区块链共识机制的基础上,很多企业将自己的关键性信息乃至核心机密都进行了上链操作,而黑客的行为将会对企业们造成重大损失甚至致命冲击。这就说明不存在一劳永逸的保障,各项技术需要在不断的挑战和威胁中,始终保持高度的预警态势,在面对不法分子的各种花样攻击时,能够做出迅速、有效的反应,这就需要相关信息技术人员不断提升其专业水平和素质。
3.3监管问题
事实上,尽管区块链技术中的分布式数据储存技术使得数据的记录、存储与读取更加便捷、安全,但其却弱化了国家对于交易情况的监督,对于现有的监管体系具有一定的冲击。区块链技术还在逐渐发展走向成熟,在食品安全审计领域的应用也将处于不断探索的阶段,有关监管的法律法规仍需进一步的完善与明确,如果真的出现监管漏洞,那必然影响该技术的健康、稳定与向好发展。因此,在技术不断进步的同时,国家相关部门的法律与监管体系也要完善跟进,二者相辅相成,为技术作用的充分发挥保驾护航。
4结语
[关键词]学校;网络安全;审计
doi:10.3969/j.issn.1673 - 0194.2016.04.041
[中图分类号]F239.1;TP393.18 [文献标识码]A [文章编号]1673-0194(2016)04-00-02
随着我国互联网技术的快速发展,基础的网络设施得到进一步完善,互联网在各企事业单位中得到充分利用。近几年,学校投入大量人力、物力、财力进行信息化建设,利用网络来管理校园工作、信息,提高了学校的工作效率。在信息系统快速发展的同时,网络管理的安全问题日益突出。因为学校的工作人员除了利用网络办公外,还有利用网络购物等一些与办公无关的行为,这之间可能有意无意地泄露了学校的机密,学校很难追查是谁泄密的。因此,如果对网络不进行监管,网络安全问题将成为学校的效率的杀手,并给学校带来很多麻烦。
1 网络审计功能特性概述
1.1 机器分组管理
网络审计可以实现对局域网内IP地址和机器名的搜索,并对搜索到的机器信息进行分组管理。自动分组功能可实现对指定IP段机器的自动分组,可生成多级树形结构的组织架构,针对不同级别来进行分组管理。
1.2 上网人员控制
网络审计支持12种认证和识别方式,包括邮箱认证、AD域认证、本地Web认证等,可以设定部分或全部机器须用账号上网,通过对账号的分组管理,可实现在同一机器上不同用户具有不同的上网活动权限。
1.3 丰富的策略分配机制
网络审计支持针对组织全局和部分的控制,支持对组织内用户账号、IP、MAC、分组的策略分配根据上网人员的账号或机器及上机范围来对其网络活动权限进行控制。
1.4 全系列娱乐应用封堵
网络审计系统支持对魔兽世界、QQ游戏等近百个市场上主流的网络游戏,大智慧、指南针等二十几个财经股票软件,以及MSN、QQ等常用的即时通讯工具进行实时的封堵,保障组织人员的工作学习效率。
1.5 针对关键字的封堵控制
网络审计支持针对内容关键字的各种应用封堵,包括文件传输、远程登陆、邮件收发、即时通讯等,支持针对用户名的关键字模糊匹配,支持对文件传输的文件类型以及文件内容关键字进行封堵控制,支持邮件内容、标题、附件名、附件内容以及发送、抄送、暗送的地址进行关键字封堵,保障组织内部的敏感信息不外泄。
1.6 URL地址关键字过滤
根据上网请求,对URL中的关键字进行智能模糊匹配过滤,与关键字匹配的网址将被限制访问。
1.7 流量封堵控制
网络审计支持对用户的日、周、月流量进行上网控制,支持对上行、下行流量进行分别统计控制,用户在每日、周、月流量限额用完后将无法正常上网,控制组织内用户的外网访问流量。
1.8 用户自定义协议控制
对于系统未知的协议类型和网络应用,用户可根据自己的需要,添加相应的协议特征实现对自定义协议的审计和控制。
1.9 审计网络行为
系统的网络数据包通过捕获来分析,不仅可以还原完整原始信息协议,还可以准确地记录关键信息的网络访问。网络审计系统支持几乎所有的网络行为的审计,能识别所有常用网络协议的应用,支持对几乎所有网络搜索引擎关键字的审计,支持对网页登录、聊天工具登录、网络游戏登录等应用登录的账号审计。
1.10 深度内容审计
网络审计系统可获取邮件、论坛发帖、聊天记录等所有内容,支持所有Web邮件、SMTP/POP3邮件的内容和附件审计,支持对热点论坛、博客、微博的发帖、留言等的内容及附件审计,支持对网页聊天室、MSN、飞信等聊天工具的聊天内容审计。
1.11 敏感信息告警
网络审计系统可设置行为报警策略和内容关键字审计策略,对触发敏感信息的网络行为进行行为告警处理,对触发敏感内容关键字的论坛发帖、网络聊天、邮件收发等行为进行相应报警处理,支持邮箱和短信的报警方式。
1.12 报表统计与数据分析
网络审计系统支持对用户、行为、关键字、流量及趋势等的数据统计,生成报表及数据分析和展示。通过数据的柱形统计图清晰明了地展现出组织内用户的网络行为情况,IT决策人员通过图形情况了解用户上网行为趋势、了解组织带宽利用分布,可以提出整改网络带宽方案作为参考之用。
2 网络审计部署概述
网络审计系统部署通过分布式部署和串接部署这两种方式进行灵活的结合,如果在不同的网络的环境,可以实现不同的管理模式以及不同的目的控制。下面简单地介绍3种典型的部署方案及其示意图。
2.1 单台旁路铜纤镜像
第一种部署方案是单台旁路铜纤镜像,用户的交换机必须对端口镜像进行支持,它们之间的连接必须以铜缆为介质,这是它的适用环境。该方案主要用于简单的学校和企业的二层和三层网络,审计设备主要是从交换机的镜像端口获取数据,并且该方案旁路部署接入的是最有代表的方案。该方案对原有网络的性能没有影响,而且部署简单、容易维护,如图1所示。
图1 单台旁路铜纤镜像
2.2 单台旁路光纤镜像
第二种部署方案是单台旁路光纤镜像,它适用的环境是用户的交换机必须支持端口的镜像,它们之间必须以光纤作为介质来连接。该方案是审计设备使用光纤作为介质来用于端口镜像最典型的方案,它主要用在学校及企业的二层或三层网络上,和第一种方案一样都是通过镜像端口来获取数据,获取的数据要使用相应的协议对它进行还原分析。该方案部署方便且简单,维护也非常容易,对原来的网络没有影响,如图2所示。
2.3 光纤网络双链路分光
第三种部署方案是光纤网络双链路分光,用户使用的交换机不能用来做端口镜像,必须具备2个或以上,并且独立的物理网络,还有就是在一个逻辑的网络中,使用具有核心功能的两台交换机建立一个均衡或热备的网络,通过上面描述的条件才能使用该方案。该方案是在对千兆线路解决的情况下,交换机不能做端口镜像的时候采用的分光的方案,该分光器采用双向的链路对两组分别进行分光,然后使用4个光口捕获审计数据,并对获得的数据进行还原及更深层次地分析。该方案使用一台审计设备可以同时捕获一个很冗余或两个不通的网络数据,此方案是光纤部署最典型的方案,如图3所示。
图2 单台旁路光纤镜像
图3 光纤网络双链路分光
3 结 语
本文介绍了网络审计系统的功能特性及其部署方式,网络审计系统主要包括上网人的控制、全面的网络行为审计、深度内容审计、敏感信息告警等功能;部署方式主要介绍了单台旁路铜纤镜像、单台旁路光纤镜像及光纤网络双链路分光等三种部署方式。学校安装审计系统和使用设计系统,能帮助管理人员对学校上网的人员进行审计、记录及分析,使管理员有针对性地对网络进行管理。
主要参考文献
[1]郝占军.网络流量分析与预测模型研究[D].兰州:西北师范大学,2011.
[2]凌波,柳景超,张志祥.基于Windows终端信息过滤的网络访问控制研究[J].计算机工程与设计,2011(1).
[3]邓小榕,陈龙,王国胤.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).
【关键词】网络安全 审计 态势预测
目前网络已经在各行业中被广泛地普及,人们对网络的依赖日益增加。然而网络攻击事件却也是愈发频繁。面对大量的病毒入侵,传统的防火墙、入侵检测等技术逐渐呈现出疲态,已满足不了现阶段的网络安全防御需求。
1 网络安全审计技术
1.1 网络安全审计系统的问题
1.1.1 日志格式无法兼容
不同厂商的系统产生的日志格式一般是无法兼容的,这就对集中网络安全事件进行分析,增加了难度。
1.1.2 日志数据管理困难
日志的数据会随着时间不断地增加,但日志容量有限,一旦超出容量,数据不能轻易地处理掉。
1.1.3 日志数据集中分析困难
如果攻击者针对多个网络进行攻击,由于日志不能兼容,就只能单个进行分析,这样不仅工作量大,而且很难发现攻击者的踪迹。
1.1.4 缺少数据分析和统计报表自动生成机制
日志数据每天都会有所增加,工作内容过多,管理者就只能一个个查看下去,所以数据分析和统计报表的自动生成机制是必要的,能够最大程度减少管理者的工作量。
1.2 网络安全审计系统的主要功能
1.2.1 采集日志数据类型多样化
如入侵检测日志、防火墙系统日志、操作系统日志、应用和服务系统日志等。
1.2.2 多种日志统一管理
便于将采集的各种复杂的日志格式转化为统一日志格式,实现多种日志信息的统一管理目标。
1.2.3 日志查询
可以支持大部分查询方式对网络的日志记录信息进行查询,并将信息以报表的形式显示。
1.2.4 入侵检测
利用多种相关规则对网络产生的日志和报警信息进行分析,能够有效地检测出较为隐蔽的安全事件。
1.2.5 集中管理
审计系统建立统一的集中管理平台,将日志数据库、日志、安全审计中心集中起来进行管理。
1.2.6 安全事件响应机制
根据事件类型,可以选择相应的报警响应方式。
1.2.7 实时监控网络动态
对有的特定设备可以实施监控到日志内容、网络行为等。
1.2.8 安全分析报告自动生成
通过分析数据库中的日志数据、网络安全性,自动输出分析报告。
2 网络安全态势预测技术
2.1 网络安全态势预测技术的作用
大数据时代互联网可以利用光纤、无线网络接入终端、服务器设备,实现信息化系统共享数据、传输的目的。但随着科技不断发展,网络面临的攻击力度和方式愈发强了,以致网络随时面临着病毒的侵入。然而网络安全事件发生动态不明,所以需要采用态势预测措施,其通过分析过去以及现在网络安全事件的走势,预测未来网络安全事件的走势,以此协助安全管理人员作出正确的判断。目前,态势预测技术属于网络安全防御手段中最有效的技术之一,其采用了先进的分析技术,能够随时对不确定的信息进行统计,建立科学、高效的网络安全态势预测趋势图,进而彰显安全态势预测的实用性。
2.2 网络安全态势预测技术的研究
态势预测技术的效果获得了国内外许多学者的认可,目前已经在很多领域中广泛的应用和研究,从而延伸出许多态势预测技术,其中最为关键的技术有自回归移动平均模型、神经网络预测模型。
2.2.1 自回归移动平均模型
自回归移动平均模型体现方式是非常常用的随机序列构建而成的模型,其建模过程包括序列检验、序列处理、模型识别、参数估计以及模型检验。识别序列中存在的相关性以及只通过数学模型详细记录序列的连续性是自回归移动平均模型的主要目标。在执行自回归移动平均模型中,序列检验主要针对数据的随机性和平稳性进行检测;序列处理通常采用差分运算法、函数变换方法、周期差分法等对序列进行处理;常用的参数估计方法有矩估计、最小二乘估计等;模型检验的目的是为了检验参数的序列类型,若是属于白噪声序列,则可以通过检验。自回归移动平均模型在应用过程中,需要存在态势序列满足平稳性假设的条件,但要完成这个条件极为困难,所以限制了该模型的使用范围。
2.2.2 神经网络预测模型
神经网络采用学习算法模仿正常的网络数据行为,能够利用模仿数据提取查询相关正常数据,并储存在网络数据库里,方便识别不正常的数据行为,所以神经网络预测模型是一种网络安全态势预测算法,且非常具有有效性。神经网络能够训练数据学习的自主性、自适应性,且能够区分正常数据以及掌握最流行的网络攻击行为特征,进而掌握正常的安全事件行为模式。完成训练后,神经网络可以对网络事件行为特征进行分析和识别,并记录行为特征的变化,从而检验出可能存在的异常行为。由此可见,神经网络可以在训练时通过调整神经网络参数权值实现分布式存储、并行处理和容错的能力,其还具有较强的适应能力和非常强的抗干扰能力。神经网络在网络安全审计系统应用过程中,存在一些问题,如样本数据获取困难、检验精度对神经网络训练次数的依赖性强等。
3 结语
态势预测技术作为新兴的网络安全防御技术,可以通过分析过去以及现在安全事件走势,进而预测未来一定时期网络安全事件的走势。而安全审计系统虽然存在一些需要考虑的问题,但其具有很好的兼容性,能与其他防御系统联合运用,以此配合态势预测技术,必定能够协助安全管理员解决问题,从而降低网络攻击次数。
参考文献
[1]薛丽敏,李忠,蓝湾湾.基于在线学习RBFNN的网络安全态势预测技术研究[J].信息网络安全,2016(04):23-30.
[2]郑士芹.大数据时代网络安全态势预测关键技术探讨[J].黑龙江科技信息,2015(32):204.
作者简介
黄瑜帅(1982-),男,广东省惠州市人。硕士研究生学历。现供职于惠州市公安局网络警察支队(惠州市电子数据检验鉴定中心)。
一、信息安全概况
随着信息技术的飞速发展,金融机构生产、使用和共享的信息呈现几何增长的态势,信息传递的方式和渠道急剧增加,在为金融机构带来收益和效率的同时,也使信息安全问题更加凸显。在全球范围内,信息安全事件频发,给银行和客户造成经济损失的同时,也带来了巨大的声誉损失。如何有效提升信息安全管理水平,成为银行关注的焦点。信息安全审计作为信息安全保障工作中的重要一环,能够促进信息安全控制措施的落实,规范信息安全管理,提高全员信息安全意识,从而有利于保持和持续改进银行信息安全能力和水平。
根据当前的信息安全管理体系国家标准GB/T22080-2008(等同采用ISO/IEC27001:2005),信息安全保障工作从整体看应包括四个阶段:一是规划和建设阶段(Plan,简称“P阶段”);二是实施和运行阶段(Do,简称“D阶段”);三是监视和评审阶段(Check,简称“C阶段”);四是保持和改进(Act,简称“A阶段”)。这四个阶段按顺序循环往复,从而使信息安全得到持续改进。这种方法也被称为“PDCA循环”,如图1所示。
经过近十几年的努力,金融行业信息安全保障工作已经普遍走过了“P阶段”和“D阶段”,金融行业的信息安全需求已基本明确,满足信息安全需求的基础设施也基本具备。经过大范围的规划建设,各金融机构已经建立了相对完备的信息安全软硬件环境,初步形成了信息安全保障体系。尽管如此,作为关系国计民生的重要基础产业,金融行业对信息安全有着更高的要求,也面临着更大的信息安全风险挑战。近年来,金融行业频繁发生的信息安全事件表明,金融行业信息安全保障工作还存在很多缺陷和不足。导致这一局面的因素很多,其中一个重要的原因就是大家普遍重视信息安全的建设和运行,而忽视了信息安全工作的检查和改进。从整体上看,金融行业信息安全保障工作已经走过“P阶段”和“D阶段”,尚未进入“C阶段”和“A阶段”,还没有形成完整的基于“PDCA”过程方法的持续改进机制。接下来金融行业信息安全工作的重心应该转向检查和改进。信息安全审计是“C阶段”的主要手段。它利用传统财务审计和审计工作的规范与严谨,结合信息和保密技术的工具与手段,对金融机构信息安全工作的成效和不足给出客观、确定的审计结论,并根据审计结果,对金融机构的信息安全保障工作提出改进措施、给出合理化建议。
为了对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等主要方面提出高标准、高要求,满足商业银行信息科技风险管理的需要,银监会2009年了《商业银行信息科技风险管理指引》,其中第六十五条规定:“商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。”
二、国内外信息安全审计现状
(一)国外信息安全审计发展与现状
在建立信息安全审计制度,开展信息安全审计研究方面,美国走在了世界前列。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEMAUDIT)概念。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(ISACA),总部设在美国芝加哥。自1978年以来,由ISACA发起的注册信息系统审计师(CISA)认证计划已经成为涵盖信息系统审计、控制与安全等专业领域的被广泛认可的标准。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人。
1999年,美国国家审计署(GAO)《联邦信息系统控制审计手册》(第一版),为美国联邦政府实施信息安全审计提供基本准则和方法。2001年,GAO《联邦信息系统安全审计管理的计划指南》,用于为美国联邦政府实施信息安全审计提供具体指导;2009年,GAO《联邦信息系统控制审计手册》(第二版),该手册成为现阶段美国联邦政府实施信息安全审计的事实标准。
近年来,美国通过立法赋予信息安全审计新的意义,并对企业实施信息安全审计产生重大影响。2002年,美国安然公司和世通财务欺诈案爆发后,美国国会和政府紧急通过了《萨班斯——奥克斯利法案》(Sarbanes-OxleyAct,简称萨班斯法案)。萨班斯法案第302条款和第404条款明确要求“,通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制,而信息安全审计正是IT系统内部控制的核心。”2006年底生效的《巴塞尔新资本协议(》BaselII),要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备,迫使各银行必须做好风险控管,而这一“金融作业风险”的防范也正是需要业务信息安全审计为依托。
近一段时期,以美国、加拿大、澳大利亚为主的西方国家,针对不同的组织机构,以不同的信息安全审计方式,卓有成效地开展了包括信息系统计划与技术构架、信息安全保护与灾难恢复、软件系统开发、获得、实施及维护、商业流程评估及风险管理等方面的信息安全审计。
具体来说,针对各类企业的信息安全审计,采取了以内部审计为主,从关注安全向关注业务目标过渡,一般控制审计与应用控制审计相结合的方式;针对政府机构的信息安全审计,强调外部审计与政府内部审计结合,融入绩效预算管理体系,关注系统最终效果。
在亚洲,日本的信息安全审计始于20世纪80年代。1983年,通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年,东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。
(二)我国信息安全审计发展与现状
近年来,我国的信息安全审计日益受到重视,审计署以及一些大型国有银行也相继开展了信息安全方面的审计工作。信息系统审计规范的研究和制定方面,我国已建成了一套比较成熟规范的法规、准则体系,但在信息系统及信息安全审计方面,虽有《内部审计具体准则第28号——信息系统审计》(中国内部审计协会2008年)以及审计署对信息系统审计相关法规、准则的规划及研究,但尚未形成系统的法规、准则和技术标准体系。
三、金融行业信息安全审计组织与实施
金融行业的信息安全审计(InformationSecurityAudit),是指金融机构为了掌握其信息安全保障工作的有效性,根据事先确定的审计依据,在规定的审计范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。金融机构可以单独实施信息安全审计,也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。审计的工作流程和内容大致包括六个方面的活动(如图2所示)。
1.确定审计目的和范围。金融机构实施信息安全审计,首先要明确审计目的,确定审计范围。审计目的是信息安全审计工作的出发点。审计目的可以从满足监管部门的要求、满足信息安全国际国内标准的要求、满足机构自身信息安全工作要求等合规性方面考虑。明确了审计目的,然后要确定审计范围。审计范围是影响审计工作量的一个重要因素。确定审计范围,可以从组织机构考虑,如仅对个别部门实施审计,或者在组织全部范围实施审计;也可以从业务和系统角度考虑,如仅对核心系统实施审计,或者仅对信贷业务实施审计等。
2.明确审计依据。审计依据就像一把“尺子”,审计人员用它来衡量信息安全工作的“长短”。审计目的不同,审计依据就可能不同,如表1中所示。
3.组建审计组。审计组是具体实施信息安全审计工作的基本组织单位,应由审计组长和审计员组成。管理良好的审计组是信息安全审计工作顺利实施并达成审计目的的保障。审计组长应由金融机构内部审计部门的管理者任命。负责编制审计方案和审计计划,选择审计员,管理审计小组,与被审计对象沟通等。审计组长应具备较强的项目管理能力,熟悉被审计对象的业务和系统,了解被审计对象面临的信息安全风险和常用的风险控制措施。审计员应选择责任心强、公正、独立、熟悉业务的人员担任,避免审计员与被审计对象存在利害关系,以免影响审计结果的公正性。正式实施信息安全审计前,应对审计组成员进行培训。
4.实施现场审计。审计准备工作就绪后,则可以实施现场审计。现场审计是一项复杂的系统工程,具有较强的不确定性。因此,现场审计应根据事先编制的审计方案和审计计划执行,审计过程中还要做好变更控制。现场审计往往由首次会议开始,至末次会议结束。在首次会议上,审计组长应向被审计单位阐明此次审计的目的、范围、依据和审计计划,并提出需要被审计单位配合的事项。末次会议上,审计组长向被审计单位说明审计发现,报告审计初步结果,并与被审计单位就初步审计结果达成一致。现场审计方法通常包括:现场访谈、审阅文件、查看记录、系统检查和测试等。在系统检查和测试过程中,可能需要相关的审计工具,如系统漏洞扫描器、数据库安全审计系统、桌面终端配置检查工具、网络安全检查工具、恶意软件扫描器等。现场审计过程中,应做好文档化工作。对所发现的审计证据应进行详细记录,并与被审计单位人员进行现场确认。现场审计应注意方式方法,就意见不一致的问题先做好记录,避免现场与被审计单位人员发生争执。
关键词:数据库;安全审计;安全插件
中图分类号:TP311.13
数据库系统信息规模化发展势头强劲,数据库的应用日益广泛,涉及到铜矿产业方方面面,给公司带来了实实在在的收益,同时也深刻反映了公司对信息系统的巨大依赖性,对产业研究和生产起到了重要的引导作用,当今数据库的安全问题变得尤为重要。
1 数据库安全总体架构
1.1 数据库系统设计思路
数据库安全系统的重点是解决安全审计和安全插件问题,对来自网络和本地的用户对数据库的操作行为进行审计,及时识别和发现其中是否对数据库系统构成威胁,系统提出了用安全插件来提高数据库安全性的设计方案。安全插件采用阻断非法用户访问进入系统来保障数据库信息的安全性和可控性。
1.2 数据库系统设计目标
(1)高安全性:对于一些重要的机密的数据,足够的加密强度,在共享环境下保证数据所有者的安全。
(2)统一审计:对日志数据库进行统一审计、客户端访问数据库集中控制;事后可以整合信息分析导致数据库出现异常的一系列行为,追踪攻击者的来源提供依据。
(3)权限管理:将管理权限集中管理,由系统安全审计引擎统一进行设置、解析。
1.3 方案总体设计
数据库安全系统总体构架见图1
图1
数据库安全审计系统是通过以网络审计为主,兼容数据库本地审计的方式。数据库审计监管系统将从网上采集到的信息包发送到前台审计监管平台上的数据库日志,通过后台的审计监管服务器对数据包进行分析,为管理者和系统管理员提供及时、准确、详细的数据异动信息,发现工作中的越权、违规、过失、恶意篡改等操作反馈在审计监管管理平台上,实现对数据库系统安全状况的全面审计,从而保障数据库的安全.
安全插件是在数据库管理系统外的安全防护罩,登陆数据库系统的用户访问应用服务器时,系统自动弹出提示,用户按照提示安装安全插件。安全插件截获数据库各种访问接口的访问请求,对用户访问控制进行安全审核,将允许访问的命令送到数据库管理系统,系统插件自动对用户访问行为做出安全级别的评价,根据安全级别评价的提示对用户进行认证和监控控制。如果系统发现非法用户的指令,则安全插件将自动切断用户对数据库的。
1.4 数据库系统技术路线
数据库安全系统是采用自主研发安全插件与数据库安全审计,并与传统系统相结合的路线,解决支路安全设备的阻断问题。
(1)系统安全插件可自动获取用户的IP地址、MAC、PC名以及操作系统类别和系统软件等信息,监控中心发出指令,防止非授权的用户访问数据库系统。安全插件具有超高安全性,卸载、删除安全插件系统将自动弹出预警提示,防止非法操作破坏系统的安全性。
(2)解决旁路安全产品的阻断问题
本系统采用数据库审计系统和安全插件的技术,可以成功解决旁路安全设备的阻断问题。即在用户访问数据库前假设个“关卡”,所有要访问数据库的操作都需先经过审计监控系统,只有审计监控系统授权才能够对数据库进行访问。安全插件接收监控系统的指令,阻止非授权的用户对数据库服务器的访问。与数据库审计系统进行联动,对数据库用户的越权访问进行阻断和报警。
(3)系统集成与安全审计和安全插件的联合应用
数据库系统安全创新之处在于:数据库集成与安全审计和安全插件管理系统相结合,做到系统兼容、风格一致、界面协调。集成后的系统操作界面由两部分组成:数据库审计子系统和数据库用户管理子系统,两个子系统相得益彰,用户操作快捷,方便系统管理。
(4)系统的联动
通过数据库系统管理平成前、后台审计的安全策略和若干审计引擎设置相结合的管理方式,操作简便快捷和安全性高。审计引擎作为数据库安全的重要组成部分与审计监管系统联动,对个别服务器终端作相应的共享。
1.5 数据库系统功能实现
(1)支持对SQL Server、Oracle、informix、MYSQL数据库类型的审计监控分析。
(2)系统提供用户需要配置条件。不同性质的用户可按一定的范围对特定主机和特定网段进行监控,从而保证用户能够按照自己的需求实施监控。
(3)系统支持数据库服务器的事件统计、安全报警功能。
(4)数据库系统可生成安全报表:直观、简洁、丰富。
(5)系统采用多级用户管理体系,包括系统管理员、普通管理员、一般用户三种权限用户,不同级别的用户之间彼此制衡,保证了系统安全性和可控性.
2 系统应用效果
自数据库安全系统运行以来,自动提示用户安装的安全插件近70多个,能够对保护的数据库服务器的访问进行审计和监控。数据库安全系统对于科研和生产发挥了巨大的作用,取得了很好的效果。
数据库安全系统的实施较好地解决了信息资源的安全问题和可控问题,主要体现在以下四个方面:
(1)在数据库系统的外网增加了一道安全屏障,实时监控分析,拦截非法用户的入侵,通过数据库系统审计平台管理,有效防止重要数据的破坏和泄漏。
控制非法用户对数据库系统强行的访问,全面记录用户对数据库的所有操作行为,通过系统安全插件提前预警,杜绝用户违规操作的问题。
数据库系统提供用户查询权限范围内的数据信息,通过日志列表查询和事件列表查询,对每条事件信息进行审计,监控分析用户的具体操作行为是否对数据库系统构成威胁,并且导出系统原始数据为管理人员全面掌握数据库资源安全使用情况提供科学的依据.
可按时间周期来评定系统审计事件的强、中、弱三个级别的数量,以及日志数和会话的信息。
3 结语
数据库安全系统伴随着网络的更高层次利用,需要进一步加强信息资源安全审计和监控,数据库系统安全管理是一项长期而艰巨的工作。信息安全是涉及公司产业发展和公司安全的重大问题。数据库安全系统部署了审计数据处理中心、安全管理系统控制台、多台数据库审计系统、及大量的数据库安全插件,保障数据库信息的有效性和合法性。规范了用户访问行为,加强了安全审计、风险级别评价工作,从而更有力保障数据库系统的安全。
参考文献:
[1]王永祥.论企业数据安全保护方案[J].网络安全技术与应用,2011(61):13-14.
在审计文件访问策略中,可以根据需要选择多种安全审计策略,即可以告诉操作系统,在发生哪些操作时将访问的信息记录到安全日志中,包括访问人员、访问者的电脑、访问时间、进行了什么操作等等。如果将全部的访问操作都记录在日志中,那么日志的容量会变得很大,反而不易于后续的维护与管理。为此。系统管理员在设置审计文件访问策略时,往往需要选择一些特定的事件,以减少安全访问日志的容量。为了达到这个目的,下面的一些建议各位系统管理员可以参考一下。
1 最少访问操作原则
在Windows 7中,将这个访问操作分得很细,如修改权限、更改所有者等十多种访问操作。虽然系统管理员需要花一定的时间去考虑该选择哪些操作或者进行相关的设置,但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问操作之后,就可以得到最少的审核记录。简单地说,“产生的审核记录最少而且可以涵盖用户的安全需求”这个目标更容易实现。因为在实际工作中,往往只需要对特定的操作进行审计即可,如只对用户更改文件内容或者访问文件等少部分操作进行审计即可,而不需要对全部操作进行审计。如此产生的审计记录就会少得多,同时,用户的安全需求也得以实现。
2 失败操作优先选择
对于任何的操作,系统都分为成功与失败两种情况。在大部分情况下,为了收集用户非法访问的信息,只需要让系统记录失败事件即可。如某个用户,其只能够只读访问某个共享文件,此时管理员就可以给这个文件设置一个安全访问策略,当用户尝试更改这个文件时会将这一信息记录下来。而对于其他的操作,如正常访问时则不会记录相关的信息。这也可以大幅度地减少安全审计记录。所以笔者建议,一般情况下只要启用失败事件即可。在其不能够满足需求的情况下,才考虑同时启用成功事件记录。此时,一些合法用户合法访问文件的信息也会被记录下来。需要注意的是,安全日志中的内容可能会成倍地增加。在Windows 7操作系统中可以通过刷新的方式来过滤日志的内容,如可以按“失败事件”,让系统只列出那些失败的记录,以减少系统管理员的阅读量。
3 如何利用蜜糖策略收集非法访问者的信息?
在实际工作中,系统管理员还可以采用一些蜜糖策略来收集非法访问者的信息。什么叫做蜜糖策略呢?其实就是在网络上放点“蜜糖”,吸引一些想偷“蜜”的“蜜蜂”,并将其信息记录下来。如可以在网络的共享文件上,设置一些看似比较重要的文件,然后在这些文件上设置审计访问策略。如此,就可以成功地收集那些不怀好意的非法入侵者。不过这样收集起来的信息,往往不能够作为证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在着一些“不安分子”,老是试图访问一些未经授权的文件,或者对某些文件进行越权操作,如恶意更改或者删除文件等等。知己知彼,才能够百战百胜。收集了这些信息之后,系统管理员才可以采取对应的措施。如加强对这个用户的监控,或者检查一下这个用户的主机是否已经成为了别人的肉鸡等等。总之,系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者,以防止其做出更加严重的破坏。
4 文件替换并不会影响原有的审计访问策略
如上图中,有一个叫做捕获的图片文件,为其设置了文件级别的安全审计访问,没有在其文件夹“新建文件夹”上设置任何的安全审计访问策略。此时,笔者如果将某个相同的文件(文件名相同且没有设置任何的安全审计访问策略)复制到这个文件夹中,注意此时将这个没有设置任何安全审计访问策略的文件复制过去之后,因为同名会将原先的文件覆盖掉。但是,此时这个安全审计访问策略就转移到新复制过去的那个文件上了。换句话说,现在新的文件有了原来被覆盖掉的那个文件的安全审计访问权限。这是一个很奇怪的现象,笔者也是在无意之中发现的。不知道这是Windows 7操作系统的一个漏洞呢,还是其故意这么设置的?这有待微软操作系统的开发者来解释了。
在公安网中,信息资源大整合、高共享的发展趋势加大了应用系统的安全风险。通过调研,主要发现以下几个现状:(1)信息泄露事件发生的主要原因在于内部工作人员的违规操作,通过数据剽窃、越权访问、拍照传输等途径获取内部业务数据,造成了数据的泄露。(2)公安网部分重要应用系统存储有大量公民个人信息、业务敏感信息和警务工作秘密。这些系统在网络结构、应用架构、开发语言、数据存储等方面都不尽相同,是一个典型的异构环境,采用哪些方式对这些应用系统实施有效的安全审计和监测,是需要重点研究和考虑的。(3)业务系统存在遭受入侵攻击,损失重要的数据后,却没有相应的记录和防范的风险。(4)业务系统中往往记录的访问者只是一个IP和系统自身的用户信息,缺乏同警员PKI信息的联动,无法把审计结果落实到具体人员。经过金盾工程一期、二期的建设,公安信息通信网已经基本构建了较为完善的安全保障体系,但尚未形成全程全网的综合安全审计能力。在公安网内,对重要应用系统的安全审计目前主要采用两种方式:第一种方式是改造各应用系统,完善/增强其审计模块。采用这种方式,存在建设周期长和审计信息不完整两个缺陷。第二种方式是部署专用网关级审计设备。采用这种方式,存在的缺陷是:审计信息不完整和难以获取应用者真实身份信息。通过审计网关仅仅只能记录应用者的IP地址,其真实身份信息(如警员姓名、编号、身份证号码等)无法审计。因此,构建公安信息网终端用户行为审计与数据分析系统有如下必要性:(1)是贯彻落实信息系统安全等级保护等国家政策和技术标准的必然要求。(2)是保障公安重要业务信息系统安全稳定运行的必然要求。(3)是保障公安信息通信网敏感数据安全的必然要求。监测公安网人口数据等敏感信息的查询、下载等行为,保障数据的合法使用,防止数据滥用,比如个人隐私信息泄露。(4)是查处公安信息通信网网络违规行为的必然要求。规范化的网络违规行为查处,需要合法、完整的记录网络访问行为。(5)是突破安全孤岛形成综合安全运行与管控能力的必然要求。通过采集公安信息网终端用户对各类应用系统访问的日志和报警信息,进行归一化处理和关联分析,才能更加全面、及时、准确的发现入侵和违规行为,才能提供更加详实的事后追查线索和证据。(6)是实现公安信息通信网安全风险管控的基础,可提供辅助决策,改进安全管理。
2公安网应用系统解决方案
安全审计是信息系统安全保障工作的重要一环,针对当前公安网内存在的内部工作人员干私活、业务信息泄露、业务系统越权访问等违规案事件,可通过对应用系统访问行为的审计、监测、分析等方法,帮助安全管理员及时发现对公安应用系统的异常、违规甚至违法的访问行为,并且在一旦发生安全事故后,能快速追踪定位和取证,从而进一步保障公安业务数据的安全。公安网应用审计系统是保障公安网数据安全的重要方式,系统以海量、详细的应用行为监测数据作为基础,结合通信深度分析、人机行为判定、上下文语义解析等安全技术,实现对公安网主要应用行为的统一、综合、智能化安全审计和监管。
3系统的设计与实现
系统以审计现有的业务系统为核心,以应用系统的使用过程、系统日志为数据来源,通过综合的数据分析识别入侵攻击、越权访问、数据滥用等行为,记录应用系统使用全过程,并且在事故发生后快速定位和取证。从功能上来分可以分为三个层次:数据采集层:为系统提供基础数据来源,以期对上层数据分析中对于整个数据流转的支持。通过各种数据采集手段,采集用户业务和上层数据处理需要的基础数据。数据存储和数据分析层:数据存储和数据分析层是系统最核心的功能。采用大数据方式实现大量审计数据的存储和分析。审计日志的存储和分析的框架采用的是ApacheHadoop。一个能够让用户轻松架构和使用的分布式计算平台。可以轻松地在其上开发和运行处理海量数据的应用程序。其按位存储和处理数据的能力,计算分配在集群上,通过扩展集群中计算机数来扩展计算能力;能够在节点间动态的移动数据,保证节点的饿动态平衡;自动保存数据的多个副本,并能自动重新分配失败任务等特性使得其具有高可靠性、高可扩展性、高可用性、高性能、高容错性以及低成本的优点。用户交互层:在用户交换层,除了提供基础的对于核心处理的审计日志的查询外,还提供工具支持用户对审计进行人工的分析挖掘。
4系统功能描述
4.1工作台
将用户在系统上需要待办的任务推荐给用户。包括:对推荐应用系统的注册管理和审计配置;对应用系统中未命名应用的注册等。将应用系统进行推荐注册,对推荐应用系统的注册管理和审计配置,对应用系统中未命名的应用进行注册。
4.2应用注册管理
应用系统作为待审计的目标对象,系统提供对应用系统的细致管理。除了支持用户手动添加、导入应用系统列表外,支持应用系统的自动发现和注册管理。
4.3应用审计
提供对审计日志查询和统计分析,管理员可基于此进行审计日志的分析。
4.4应用告警
配置告警策略,在进行审计的同时会根据告警策略对满足告警规则的某些特征产生告警。
4.5统计分析
分别以访问时间、被访问的应用系统、访问源终端、访问的关键内容为主要维度,提供统计总览、统计趋势、访问排名、统计列表集中统计方式。并对应用系统访问行为、应用异常行为进行深度挖掘分析。
4.6配置管理
对系统的基础信息进行配置管理,包括应用系统白名单配置、审计策略配置、用户权限管理、系统类型字典的查看等。
5系统效能
(1)实现对主要应用系统数据应用安全的综合监管,而不依赖于各应用系统自身的审计日志。系统实现对公安信息网内重要应用系统,如综合查询系统、情报信息综合应用平台、人口信息系统、出入境人员/证件信息系统、机动车/驾驶人信息系统等的有效安全审计和监测,不需要这些系统开放日志接口即可实施细致化、智能化的应用安全审计、监测和管理。(2)实现与公安PKI/PMI数字证书有机融合。将数据应用行为直接定位到人,而不仅仅只是访问者的计算机网络地址。(3)实现与现有“公安信息网安全管理平台”安全监管流程的无缝对接。实现非法数据访问、违规数据窃取等行为的第一时间发现,并纳入到安全管理平台的统一监管流程中,实现应急响应。(4)实现对应用系统、网站站点、模块、栏目关联分析功能,提供直观易读的数据应用描述。数据应用安全监测的结果不仅仅只是冗长的URL地址,还包括应用系统名称和所访问的各模块、子栏目,以及各应用系统的关键数据点等。(5)提供对海量数据应用安全的统计分析数据,为安全管理者提供进一步优化、调整、提升各应用系统的安全性能的有利依据。总体来说:一方面,准确识别公安网内每一个应用行为的5个’W’——谁(WHO),在什么时间(WHEN),访问过什么业务系统(WHATsystem),获取过什么数据(WHATdata),采用何种方式处理过这些数据(WHATway);另一方面,要实现对异常应用行为的有效处置和应急响应。
参考文献
TSOC-SA3基于分布式节点计算机制,使用自主知识产权的非关系型数据库CupidDB,具有高可靠性的分布式、全文索引、实时格式化数据搜索和原始数据关键字搜索等功能。系统融合多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的合理调配,帮助用户进行基于日志的综合审计和日志全生命周期管理,从而最大化地保障网络、主机和应用系统安全机制的有效性。
融合大数据技术的日志管理技术架构
系统采用了国内领先的高性能日志采集范式化技术、大数据分布式存储与索引、流式集中事件及情境关联分析,从产品技术架构的层面,进行了系统性的设计,使系统真正成为一款能够支撑持续海量日志管理的系统。
第一,日志采集层面使用了异步通信、高速缓存、日志范式化流水线和消息中间件技术,对海量异构日志进行持续不断高速的采集,使用户能够采集并预处理网络中大规模审计对象的日志。
第二,日志存储方面,针对大数据日志,系统采用了具有自主知识产权的分布式非关系型数据库CupidDB从根本上消除了使用传统关系型数据库的日志审计系统的性能瓶颈,弥补了数据存储、数据索引、数据搜索和数据备份的不足,使日志审计系统真正迈向了大数据时代。对数据进行分片和副本,将分片和副本保存在不同的分布式节点上,同时对数据进行全文索引,通过分布式节点的增加实现对TB/PB级日志数据的保存,并可将数据以文件系统方式保存在各节点上,实现了存储和分析的水平弹性扩展,满足用户存储长期日志数据的要求。
第三,日志分析层面包括实时流式分析、交互式分析、全文检索、历史数据回放、批处理分析等多种先进技术。
第四,流式分析采用内存实时计算、复杂事件处理(Complex Event Process,CEP)技术结合日志相关的各类情境数据进行实时监控和关联分析,帮助用户及时发现安全异常,快速关联出安全隐患。
第五,历史数据回放提供了历史数据检测的功能,方便安全审计员对保存在系统中的海量数据进行回放,通过高速回放技术为用户重现历史安全场景。
第六,批处理分析使用了数据抽取、数据聚合等技术,能够对TB级日志快速生成报表,满足安全审计员生成各类安全日报、周报和月报等需求。
灵活强大的交互式查询
系统使用了大数据交互式查询技术,满足安全审计员的日常工作需要。安全审计员可以通过自定义的仪表盘同日志审计所存储的所有日志进行交互,实时查询数据,查询时间缩短到秒级。系统支持任意嵌套查询,并可随意回退,通过仪表板可视化处理数据,真正做到所见即所查。系统可将查询条件保存为策略,支持策略的导入导出,供后期使用,为安全审计员工作提供便利。安全审计员通过仪表板可任意选择需要显示的字段和信息,并可对查询结果随时进行统计分析、可视化分析,包括地理定位、多维分析、TopN分析,支持关键字和正则表达式的全文检索。系统的交互式分析功能为安全审计和分析人员在进行安全事件调查和威胁分析时提供了一个强有力的武器。
混合式检索技术
系统提供混合检索技术,其特点就是不仅提供了基于范式化后的格式数据内容的实时关联分析和统计报表,同时还提供强大的全文搜索功能。混合式检索技术包括通过对范化后的字段值进行全部日志记录的搜索,其功能基本等同于传统关系库中的SQL查询,查询出包含搜索值的所有的日志记录,并分行显示。同时,系统支持全文检索技术,它不局限于几种或几十种固定的字段,不需要指定数据的格式,可以结合时间与关键词进行搜索,实时展现搜索结果,并对关键字进行高亮显示。全文检索在使用上就和Google一样直观易用,用户可以输入关键词或正则表达式进行任意搜索,提供即时的在线查询。混合式检索技术使系统在事件检索上做到了灵活与高效。
威胁情报采集与利用
随着信息技术的不断发展和应用,攻击变得越来越隐蔽和难以发现,诸如APT之类的攻击很难被发现和防止,层出不穷的数据泄露事件和攻击对组织的声誉和财产乃至国家安全造成了十分恶劣的影响。大多数组织没有足够的人员、时间、资金和精力来应对威胁。因此,威胁情报在频繁受到攻击的高风险的重点行业大型企业和政府事业单位中,将会明显提升关联分析的准确性和目标性,帮助组织有效发现隐藏的威胁。
因此,系统集成了威胁情报的功能,可提供通过导入或者主动自动抓取的方式获取内外部相关威胁情报信息并利用于关联分析和实时监测。用户可根据自己的需要和行业特点通过系统从公开的网络威胁情报源和自己的情报来源获取情报并将其保存入系统威胁情报库,针对安全事件进行关联分析,帮助安全管理人员弥补传统安全防护体系架构针对APT等新兴攻击应对乏力的缺陷。
合规管理与分析
