涉密計算機信息系統(tǒng)的安全審計
一、引言 隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)信息的安全越來越引起世界各國的重視,防病毒產(chǎn)品、防火墻、入侵檢測、漏洞掃描等安全產(chǎn)品都得到了廣泛的應(yīng)用,但是這些信息安全產(chǎn)品都是為了防御外部的入侵和竊取。隨著對網(wǎng)絡(luò)
一、引言
隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)信息的安全越來越引起世界各國的重視,防病毒產(chǎn)品、防火墻、入侵檢測、漏洞掃描等安全產(chǎn)品都得到了廣泛的應(yīng)用,但是這些信息安全產(chǎn)品都是為了防御外部的入侵和竊取。隨著對網(wǎng)絡(luò)安全的認識和技術(shù)的發(fā)展,發(fā)現(xiàn)由于內(nèi)部人員造成的泄密或入侵事件占了很大的比例,所以防止內(nèi)部的非法違規(guī)行為應(yīng)該與抵御外部的入侵同樣地受到重視,要做到這點就需要在網(wǎng)絡(luò)中實現(xiàn)對網(wǎng)絡(luò)資源的使用進行審計。
在當(dāng)今的網(wǎng)絡(luò)中各種審計系統(tǒng)已經(jīng)有了初步的應(yīng)用,例如:數(shù)據(jù)庫審計、應(yīng)用程序?qū)徲嬕约熬W(wǎng)絡(luò)信息審計等,但是,隨著網(wǎng)絡(luò)規(guī)模的不斷擴大,功能相對單一的審計產(chǎn)品有一定的局限性,并且對審計信息的綜合分析和綜合管理能力遠遠不夠。功能完整、管理統(tǒng)一,跨地區(qū)、跨網(wǎng)段、集中管理才是綜合審計系統(tǒng)最終的發(fā)展目標(biāo)。
本文對涉密信息系統(tǒng)中安全審計系統(tǒng)的概念、內(nèi)容、實現(xiàn)原理、存在的問題、以及今后的發(fā)展方向做出了討論。
二、什么是安全審計
國內(nèi)通常對計算機信息安全的認識是要保證計算機信息系統(tǒng)中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴),簡稱“五性”。安全審計是這“五性”的重要保障之一,它對計算機信息系統(tǒng)中的所有網(wǎng)絡(luò)資源(包括數(shù)據(jù)庫、主機、操作系統(tǒng)、安全設(shè)備等)進行安全審計,記錄所有發(fā)生的事件,提供給系統(tǒng)管理員作為系統(tǒng)維護以及安全防范的依據(jù)。安全審計如同銀行的監(jiān)控系統(tǒng),不論是什么人進出銀行,都進行如實登記,并且每個人在銀行中的行動,乃至一個茶杯的挪動都被如實的記錄,一旦有突發(fā)事件可以快速的查閱進出記錄和行為記錄,確定問題所在,以便采取相應(yīng)的處理措施。
近幾年,涉密系統(tǒng)規(guī)模不斷擴大,系統(tǒng)中使用的設(shè)備也逐漸增多,每種設(shè)備都帶有自己的審計模塊,另外還有專門針對某一種網(wǎng)絡(luò)應(yīng)用設(shè)計的審計系統(tǒng),如:操作系統(tǒng)的審計、數(shù)據(jù)庫審計系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)、應(yīng)用程序?qū)徲嬒到y(tǒng)等,但是都無法做到對計算機信息系統(tǒng)全面的安全審計,另外審計數(shù)據(jù)格式不統(tǒng)一、審計分析規(guī)則無法統(tǒng)一定制也給系統(tǒng)的全面綜合審計造成了一定的困難。如果在當(dāng)前的系統(tǒng)條件下希望全面掌握信息系統(tǒng)的運行情況,就需要對每種設(shè)備的審計模塊熟練操作,并且結(jié)合多種專用審計產(chǎn)品才能夠做到。
為了能夠方便地對整個計算機信息系統(tǒng)進行審計,就需要設(shè)計綜合的安全審計系統(tǒng)。它的目標(biāo)是通過數(shù)據(jù)挖掘和數(shù)據(jù)倉庫等技術(shù),實現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中對網(wǎng)絡(luò)設(shè)備、終端、數(shù)據(jù)資源等進行監(jiān)控和管理,在必要時通過多種途徑向管理員發(fā)出警告或自動采取排錯措施,并且能夠?qū)v史審計數(shù)據(jù)進行分析、處理和追蹤。主要作用有以下幾個方面:
1. 對潛在的攻擊者起到震懾和警告的作用;
2. 對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù);
3. 為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志,從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞;
4. 為系統(tǒng)管理員提供系統(tǒng)的統(tǒng)計日志,使系統(tǒng)管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進和加強的地方。
三、涉密信息系統(tǒng)安全審計包括的內(nèi)容
《中華人民共和國計算機信息系統(tǒng)安全保護條例》中定義的計算機信息系統(tǒng),是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。涉密計算機信息系統(tǒng)(以下簡稱“涉密信息系統(tǒng)”)在《計算機信息系統(tǒng)保密管理暫行規(guī)定》中定義為:采集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統(tǒng)。所以針對涉密信息系統(tǒng)的安全審計的內(nèi)容就應(yīng)該針對涉密信息系統(tǒng)的每一個方面,應(yīng)該對計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò)),以及對信息的采集、加工、存儲、傳輸和檢索等方面進行審計。
具體來說,應(yīng)該對一個涉密信息系統(tǒng)中的以下內(nèi)容進行安全審計:
被審計資源安全審計內(nèi)容
網(wǎng)絡(luò)通信系統(tǒng)網(wǎng)絡(luò)流量中典型協(xié)議分析、識別、判斷和記錄,Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文件共享等的檢測,流量監(jiān)測以及對異常流量的識別和報警、網(wǎng)絡(luò)設(shè)備運行的監(jiān)測等。
重要服務(wù)器主機操作系統(tǒng)系統(tǒng)啟動、運行情況,管理員登錄、操作情況,系統(tǒng)配置更改(如注冊表、配置文件、用戶系統(tǒng)等)以及病毒或蠕蟲感染、資源消耗情況的審計,硬盤、CPU、內(nèi)存、網(wǎng)絡(luò)負載、進程、操作系統(tǒng)安全日志、系統(tǒng)內(nèi)部事件、對重要文件的訪問等。
重要服務(wù)器主機應(yīng)用平臺軟件重要應(yīng)用平臺進程的運行、Web Server、Mail Server、Lotus、Exchange Server、中間件系統(tǒng)、健康狀況(響應(yīng)時間等)等。
重要數(shù)據(jù)庫操作數(shù)據(jù)庫進程運轉(zhuǎn)情況、繞過應(yīng)用軟件直接操作數(shù)據(jù)庫的違規(guī)訪問行為、對數(shù)據(jù)庫配置的更改、數(shù)據(jù)備份操作和其他維護管理操作、對重要數(shù)據(jù)的訪問和更改、數(shù)據(jù)完整性等的審計。
重要應(yīng)用系統(tǒng)辦公自動化系統(tǒng)、公文流轉(zhuǎn)和操作、網(wǎng)頁完整性、相關(guān)業(yè)務(wù)系統(tǒng)(包括業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)情況、用戶開設(shè)/中止等重要操作、授權(quán)更改操作、數(shù)據(jù)提交/處理/訪問/發(fā)布操作、業(yè)務(wù)流程等內(nèi)容)等。
重要網(wǎng)絡(luò)區(qū)域的客戶機病毒感染情況、通過網(wǎng)絡(luò)進行的文件共享操作、文件拷貝/打印操作、通過Modem擅自連接外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運行等的審計
四、安全審計系統(tǒng)使用的關(guān)鍵技術(shù)
根據(jù)在涉密信息系統(tǒng)中要進行安全審計的內(nèi)容,我們可以從技術(shù)上分為以下幾個模塊:
1.網(wǎng)絡(luò)審計模塊:主要負責(zé)網(wǎng)絡(luò)通信系統(tǒng)的審計;
2.操作系統(tǒng)審計模塊:主要負責(zé)對重要服務(wù)器主機操作系統(tǒng)的審計;
3.數(shù)據(jù)庫審計模塊:主要負責(zé)對重要數(shù)據(jù)庫操作的審計;
4.主機審計模塊:主要負責(zé)對網(wǎng)絡(luò)重要區(qū)域的客戶機進行審計;
5.應(yīng)用審計模塊:主要負責(zé)重要服務(wù)器主機的應(yīng)用平臺軟件,以及重要應(yīng)用系統(tǒng)進行審計。
還需要配備一個數(shù)據(jù)庫系統(tǒng),負責(zé)以上審計模塊生成的審計數(shù)據(jù)的存儲、檢索、數(shù)據(jù)分析等操作,另外,還需要設(shè)計一個統(tǒng)一管理平臺模塊,負責(zé)接收各審計模塊發(fā)送的審計數(shù)據(jù),存入數(shù)據(jù)庫,以及向?qū)徲嬆K發(fā)布審計規(guī)則。如下圖所示:
安全審計
安全審計系統(tǒng)中應(yīng)解決如下的關(guān)鍵技術(shù):
1.網(wǎng)絡(luò)監(jiān)聽:
是安全審計的基礎(chǔ)技術(shù)之一。它應(yīng)用于網(wǎng)絡(luò)審計模塊,安裝在網(wǎng)絡(luò)通信系統(tǒng)的數(shù)據(jù)匯聚點,通過抓取網(wǎng)絡(luò)數(shù)據(jù)包進行典型協(xié)議分析、識別、判斷和記錄,Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文件共享等的檢測,流量監(jiān)測以及對異常流量的識別和報警、網(wǎng)絡(luò)設(shè)備運行的監(jiān)測等,另外也可以進行數(shù)據(jù)庫網(wǎng)絡(luò)操作的審計。
2.內(nèi)核驅(qū)動技術(shù):
是主機審計模塊、操作系統(tǒng)審計模塊的核心技術(shù),它可以做到和操作系統(tǒng)的無縫連接,可以方便的對硬盤、CPU、內(nèi)存、網(wǎng)絡(luò)負載、進程、文件拷貝/打印操作、通過Modem擅自連接外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運行等進行審計。
3.應(yīng)用系統(tǒng)審計數(shù)據(jù)讀取技術(shù):
大多數(shù)的多用戶操作系統(tǒng)(Windows、UNIX等)、正規(guī)的大型軟件(數(shù)據(jù)庫系統(tǒng)等)、多數(shù)安全設(shè)備(防火墻、防病毒軟件等)都有自己的審計功能,日志通常用于檢查用戶的登錄、分析故障、進行收費管理、統(tǒng)計流量、檢查軟件運行情況和調(diào)試軟件,系統(tǒng)或設(shè)備的審計日志通常可以用作二次開發(fā)的基礎(chǔ),所以如何讀取多種系統(tǒng)和設(shè)備的審計日志將是解決操作系統(tǒng)審計模塊、數(shù)據(jù)庫審計模塊、應(yīng)用審計模塊的關(guān)鍵所在。
4.完善的審計數(shù)據(jù)分析技術(shù):
審計數(shù)據(jù)的分析是一個安全審計系統(tǒng)成敗的關(guān)鍵,分析技術(shù)應(yīng)該能夠根據(jù)安全策略對審計數(shù)據(jù)具備評判異常和違規(guī)的能力,分為實時分析和事后分析:
實時分析:提供或獲取審計數(shù)據(jù)的設(shè)備和軟件應(yīng)該具備預(yù)分析能力,并能夠進行第一道篩選;
事后分析:統(tǒng)一管理平臺模塊對記錄在數(shù)據(jù)庫中的審計記錄進行事后分析,包括統(tǒng)計分析和數(shù)據(jù)挖掘。
五、安全審計系統(tǒng)應(yīng)該注意的問題
安全審計系統(tǒng)的設(shè)計應(yīng)該注意以下幾個問題:
1.審計數(shù)據(jù)的安全:
在審計數(shù)據(jù)的獲取、傳輸、存儲過程中都應(yīng)該注意安全問題,同樣要保證審計信息的“五性”。在審計數(shù)據(jù)獲取過程中應(yīng)該防止審計數(shù)據(jù)的丟失,應(yīng)該在獲取后盡快傳輸?shù)浇y(tǒng)一管理平臺模塊,經(jīng)過濾后存入數(shù)據(jù)庫,如果沒有連接到管理平臺模塊,則應(yīng)該在本地進行存儲,待連接后再發(fā)送至管理平臺模塊,并且應(yīng)該采取措施防止審計功能被繞過;在傳輸過程中應(yīng)該防止審計數(shù)據(jù)被截獲、篡改、丟失等,可以采用加密算法以及數(shù)字簽名方式進行控制;在審計數(shù)據(jù)存儲時應(yīng)注意數(shù)據(jù)庫的加密,防止數(shù)據(jù)庫溢出,當(dāng)數(shù)據(jù)庫發(fā)生異常時,有相應(yīng)的應(yīng)急措施,而且應(yīng)該在進行審計數(shù)據(jù)讀取時加入身份鑒別機制,防止非授權(quán)的訪問。
2.審計數(shù)據(jù)的獲取
首先要把握和控制好數(shù)據(jù)的來源,比如來自網(wǎng)絡(luò)的數(shù)據(jù)截取;來自系統(tǒng)、網(wǎng)絡(luò)、防火墻、中間件等系統(tǒng)的日志;通過嵌入模塊主動收集的系統(tǒng)內(nèi)部信息;通過網(wǎng)絡(luò)主動訪問獲取的信息;來自應(yīng)用系統(tǒng)或安全系統(tǒng)的審計數(shù)據(jù)等。有數(shù)據(jù)源的要積極獲取;沒有數(shù)據(jù)源的要設(shè)法生成數(shù)據(jù)。對收集的審計數(shù)據(jù)性質(zhì)也要分清哪些是已經(jīng)經(jīng)過分析和判斷的數(shù)據(jù),哪些是沒有分析的原始數(shù)據(jù),要做出不同的處理。
另外,應(yīng)該設(shè)計公開統(tǒng)一的日志讀取API,使應(yīng)用系統(tǒng)或安全設(shè)備開發(fā)時,就可以將審計日志按照日志讀取API的模式進行設(shè)計,方便日后的審計數(shù)據(jù)獲取。
3.管理平臺分級控制
由于涉密信息系統(tǒng)的迅速發(fā)展,系統(tǒng)規(guī)模也在不斷擴大,所以在安全審計設(shè)計的初期就應(yīng)該考慮分布式、跨網(wǎng)段,能夠進行分級控制的問題。也就是說一個涉密信息系統(tǒng)中可能存在多個統(tǒng)一管理平臺,各自管理一部分審計模塊,管理平臺之間是平行關(guān)系或上下級關(guān)系,平級之間不能互相管理,上級可以向下級發(fā)布審計規(guī)則,下級根據(jù)審計規(guī)則向上級匯報審計數(shù)據(jù)。這樣能夠根據(jù)網(wǎng)絡(luò)規(guī)模及安全域的劃分靈活的進行擴充和改變,也有利于整個安全審計系統(tǒng)的管理,減輕網(wǎng)絡(luò)的通信負擔(dān)。
4.易于升級維護
安全審計系統(tǒng)應(yīng)該采用模塊設(shè)計,這樣有利于審計系統(tǒng)的升級和維護。
專家預(yù)測,安全審計系統(tǒng)在2003年是最熱門的信息安全技術(shù)之一。國內(nèi)很多信息安全廠家都在進行相關(guān)技術(shù)的研究,有的已經(jīng)推出了成型的產(chǎn)品,另一方面,相關(guān)的安全審計標(biāo)準也在緊鑼密鼓的制定當(dāng)中,看來一個安全審計的春天已經(jīng)離我們越來越近了。
但是信息系統(tǒng)的安全從來都是一個相對的概念,只有相對的安全,而沒有絕對的安全。安全也是一個動態(tài)發(fā)展的過程,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,安全審計還有很多值得關(guān)注的問題,如:
1. 網(wǎng)絡(luò)帶寬由現(xiàn)在的100兆會增加到1G,安全審計如何對千兆網(wǎng)絡(luò)進行審計就是值得關(guān)注的問題;
2. 當(dāng)前還沒有一套為各信息安全廠商承認的安全審計接口標(biāo)準,標(biāo)準的制定與應(yīng)用將會使安全審計跨上一個新的臺階;
3. 現(xiàn)在的安全審計都建立在TCP/IP協(xié)議之上,如果有系統(tǒng)不采用此協(xié)議,那么如何進行安全審計。
六、小結(jié)
安全審計作為一門新的信息安全技術(shù),能夠?qū)φ麄€計算機信息系統(tǒng)進行監(jiān)控,如實記錄系統(tǒng)內(nèi)發(fā)生的任何事件,一個完善的安全審計系統(tǒng)可以根據(jù)一定的安全策略記錄和分析歷史操作事件及數(shù)據(jù),有效的記錄攻擊事件的發(fā)生,提供有效改進系統(tǒng)性能和的安全性能的依據(jù)。本文從安全審計的概念、在涉密信息系統(tǒng)中需要審計的內(nèi)容、安全審計的關(guān)鍵技術(shù)及安全審計系統(tǒng)應(yīng)該注意的問題等幾個方面討論了安全審計在涉密信息系統(tǒng)中的應(yīng)用。安全審計系統(tǒng)應(yīng)該全面地對整個涉密信息系統(tǒng)中的網(wǎng)絡(luò)、主機、應(yīng)用程序、數(shù)據(jù)庫及安全設(shè)備等進行審計,同時支持分布式跨網(wǎng)段審計,集中統(tǒng)一管理,可對審計數(shù)據(jù)進行綜合的統(tǒng)計與分析,從而可以更有效的防御外部的入侵和內(nèi)部的非法違規(guī)操作,最終起到保護機密信息和資源的作用。
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
電動車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
2017年中國新能源重點細分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢及投資前景分析【圖】
-
電力轉(zhuǎn)型是推動能源轉(zhuǎn)型的關(guān)鍵
-
湖北2017年電力運行情況:直接交易完成簽約電量351.44億千瓦時
-
河南12月全社會用電量275.86億千瓦時 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀錄 實現(xiàn)開門紅
-
微網(wǎng)工程設(shè)計解析:并網(wǎng)型微電網(wǎng)建設(shè)規(guī)模分析
-
全面解析微電網(wǎng)結(jié)構(gòu)與發(fā)展趨勢(附五大案例與經(jīng)濟效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點問題
-
安徽電力直接交易執(zhí)行、出清細則和電力市場電量結(jié)算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務(wù)的售電公司參照執(zhí)行
-
遼寧對居民電采暖用戶試行峰谷分時電價政策
-
預(yù)計南方五省區(qū)2018年用電保持中速增長:南方電網(wǎng)將多措并舉 全力保障電力供應(yīng)平穩(wěn)有序
-
財政部發(fā)布:電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場陷入僵局 大云網(wǎng)電力分析師邀您觀望