隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)信息的安全越來(lái)越引起世界各國(guó)的重視，防病毒產(chǎn)品、防火墻、入侵檢測(cè)、漏洞掃描等安全產(chǎn)品都得到了廣泛的應(yīng)用，但是這些信息安全產(chǎn)品都是為了防御外部的入侵和竊取。隨著對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和技術(shù)的發(fā)展，發(fā)現(xiàn)由于內(nèi)部人員造成的泄密或入侵事件占了很大的比例，所以防止內(nèi)部的非法違規(guī)行為應(yīng)該與抵御外部的入侵同樣地受到重視，要做到這點(diǎn)就需要在網(wǎng)絡(luò)中實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的使用進(jìn)行審計(jì)。

　　在當(dāng)今的網(wǎng)絡(luò)中各種審計(jì)系統(tǒng)已經(jīng)有了初步的應(yīng)用，例如：數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用程序?qū)徲?jì)以及網(wǎng)絡(luò)信息審計(jì)等，但是，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，功能相對(duì)單一的審計(jì)產(chǎn)品有一定的局限性，并且對(duì)審計(jì)信息的綜合分析和綜合管理能力遠(yuǎn)遠(yuǎn)不夠。功能完整、管理統(tǒng)一，跨地區(qū)、跨網(wǎng)段、集中管理才是綜合審計(jì)系統(tǒng)最終的發(fā)展目標(biāo)。

　　本文對(duì)涉密信息系統(tǒng)中安全審計(jì)系統(tǒng)的概念、內(nèi)容、實(shí)現(xiàn)原理、存在的問(wèn)題、以及今后的發(fā)展方向做出了討論。

　　二、什么是安全審計(jì)

　　國(guó)內(nèi)通常對(duì)計(jì)算機(jī)信息安全的認(rèn)識(shí)是要保證計(jì)算機(jī)信息系統(tǒng)中信息的機(jī)密性、完整性、可控性、可用性和不可否認(rèn)性(抗抵賴)，簡(jiǎn)稱“五性”。安全審計(jì)是這“五性”的重要保障之一，它對(duì)計(jì)算機(jī)信息系統(tǒng)中的所有網(wǎng)絡(luò)資源(包括數(shù)據(jù)庫(kù)、主機(jī)、操作系統(tǒng)、安全設(shè)備等)進(jìn)行安全審計(jì)，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。安全審計(jì)如同銀行的監(jiān)控系統(tǒng)，不論是什么人進(jìn)出銀行，都進(jìn)行如實(shí)登記，并且每個(gè)人在銀行中的行動(dòng)，乃至一個(gè)茶杯的挪動(dòng)都被如實(shí)的記錄，一旦有突發(fā)事件可以快速的查閱進(jìn)出記錄和行為記錄，確定問(wèn)題所在，以便采取相應(yīng)的處理措施。

　　近幾年，涉密系統(tǒng)規(guī)模不斷擴(kuò)大，系統(tǒng)中使用的設(shè)備也逐漸增多，每種設(shè)備都帶有自己的審計(jì)模塊，另外還有專門(mén)針對(duì)某一種網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的審計(jì)系統(tǒng)，如：操作系統(tǒng)的審計(jì)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、應(yīng)用程序?qū)徲?jì)系統(tǒng)等，但是都無(wú)法做到對(duì)計(jì)算機(jī)信息系統(tǒng)全面的安全審計(jì)，另外審計(jì)數(shù)據(jù)格式不統(tǒng)一、審計(jì)分析規(guī)則無(wú)法統(tǒng)一定制也給系統(tǒng)的全面綜合審計(jì)造成了一定的困難。如果在當(dāng)前的系統(tǒng)條件下希望全面掌握信息系統(tǒng)的運(yùn)行情況，就需要對(duì)每種設(shè)備的審計(jì)模塊熟練操作，并且結(jié)合多種專用審計(jì)產(chǎn)品才能夠做到。

　　為了能夠方便地對(duì)整個(gè)計(jì)算機(jī)信息系統(tǒng)進(jìn)行審計(jì)，就需要設(shè)計(jì)綜合的安全審計(jì)系統(tǒng)。它的目標(biāo)是通過(guò)數(shù)據(jù)挖掘和數(shù)據(jù)倉(cāng)庫(kù)等技術(shù)，實(shí)現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中對(duì)網(wǎng)絡(luò)設(shè)備、終端、數(shù)據(jù)資源等進(jìn)行監(jiān)控和管理，在必要時(shí)通過(guò)多種途徑向管理員發(fā)出警告或自動(dòng)采取排錯(cuò)措施，并且能夠?qū)v史審計(jì)數(shù)據(jù)進(jìn)行分析、處理和追蹤。主要作用有以下幾個(gè)方面：

　　1. 對(duì)潛在的攻擊者起到震懾和警告的作用;

　　2. 對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù);

　　3. 為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞;

　　4. 為系統(tǒng)管理員提供系統(tǒng)的統(tǒng)計(jì)日志，使系統(tǒng)管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)和加強(qiáng)的地方。

　　三、涉密信息系統(tǒng)安全審計(jì)包括的內(nèi)容

　　《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中定義的計(jì)算機(jī)信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。涉密計(jì)算機(jī)信息系統(tǒng)(以下簡(jiǎn)稱“涉密信息系統(tǒng)”)在《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》中定義為：采集、存儲(chǔ)、處理、傳遞、輸出國(guó)家秘密信息的計(jì)算機(jī)信息系統(tǒng)。所以針對(duì)涉密信息系統(tǒng)的安全審計(jì)的內(nèi)容就應(yīng)該針對(duì)涉密信息系統(tǒng)的每一個(gè)方面，應(yīng)該對(duì)計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))，以及對(duì)信息的采集、加工、存儲(chǔ)、傳輸和檢索等方面進(jìn)行審計(jì)。

　　具體來(lái)說(shuō)，應(yīng)該對(duì)一個(gè)涉密信息系統(tǒng)中的以下內(nèi)容進(jìn)行安全審計(jì)：

　　被審計(jì)資源安全審計(jì)內(nèi)容

　　網(wǎng)絡(luò)通信系統(tǒng)網(wǎng)絡(luò)流量中典型協(xié)議分析、識(shí)別、判斷和記錄，Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文件共享等的檢測(cè)，流量監(jiān)測(cè)以及對(duì)異常流量的識(shí)別和報(bào)警、網(wǎng)絡(luò)設(shè)備運(yùn)行的監(jiān)測(cè)等。

　　重要服務(wù)器主機(jī)操作系統(tǒng)系統(tǒng)啟動(dòng)、運(yùn)行情況，管理員登錄、操作情況，系統(tǒng)配置更改(如注冊(cè)表、配置文件、用戶系統(tǒng)等)以及病毒或蠕蟲(chóng)感染、資源消耗情況的審計(jì)，硬盤(pán)、CPU、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進(jìn)程、操作系統(tǒng)安全日志、系統(tǒng)內(nèi)部事件、對(duì)重要文件的訪問(wèn)等。

　　重要服務(wù)器主機(jī)應(yīng)用平臺(tái)軟件重要應(yīng)用平臺(tái)進(jìn)程的運(yùn)行、Web Server、Mail Server、Lotus、Exchange Server、中間件系統(tǒng)、健康狀況(響應(yīng)時(shí)間等)等。

　　重要數(shù)據(jù)庫(kù)操作數(shù)據(jù)庫(kù)進(jìn)程運(yùn)轉(zhuǎn)情況、繞過(guò)應(yīng)用軟件直接操作數(shù)據(jù)庫(kù)的違規(guī)訪問(wèn)行為、對(duì)數(shù)據(jù)庫(kù)配置的更改、數(shù)據(jù)備份操作和其他維護(hù)管理操作、對(duì)重要數(shù)據(jù)的訪問(wèn)和更改、數(shù)據(jù)完整性等的審計(jì)。

　　重要應(yīng)用系統(tǒng)辦公自動(dòng)化系統(tǒng)、公文流轉(zhuǎn)和操作、網(wǎng)頁(yè)完整性、相關(guān)業(yè)務(wù)系統(tǒng)(包括業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)情況、用戶開(kāi)設(shè)/中止等重要操作、授權(quán)更改操作、數(shù)據(jù)提交/處理/訪問(wèn)/發(fā)布操作、業(yè)務(wù)流程等內(nèi)容)等。

　　重要網(wǎng)絡(luò)區(qū)域的客戶機(jī)病毒感染情況、通過(guò)網(wǎng)絡(luò)進(jìn)行的文件共享操作、文件拷貝/打印操作、通過(guò)Modem擅自連接外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運(yùn)行等的審計(jì)

　　四、安全審計(jì)系統(tǒng)使用的關(guān)鍵技術(shù)

　　根據(jù)在涉密信息系統(tǒng)中要進(jìn)行安全審計(jì)的內(nèi)容，我們可以從技術(shù)上分為以下幾個(gè)模塊：

　　1.網(wǎng)絡(luò)審計(jì)模塊：主要負(fù)責(zé)網(wǎng)絡(luò)通信系統(tǒng)的審計(jì);

　　2.操作系統(tǒng)審計(jì)模塊：主要負(fù)責(zé)對(duì)重要服務(wù)器主機(jī)操作系統(tǒng)的審計(jì);

　　3.數(shù)據(jù)庫(kù)審計(jì)模塊：主要負(fù)責(zé)對(duì)重要數(shù)據(jù)庫(kù)操作的審計(jì);

　　4.主機(jī)審計(jì)模塊：主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)進(jìn)行審計(jì);

　　5.應(yīng)用審計(jì)模塊：主要負(fù)責(zé)重要服務(wù)器主機(jī)的應(yīng)用平臺(tái)軟件，以及重要應(yīng)用系統(tǒng)進(jìn)行審計(jì)。

　　還需要配備一個(gè)數(shù)據(jù)庫(kù)系統(tǒng)，負(fù)責(zé)以上審計(jì)模塊生成的審計(jì)數(shù)據(jù)的存儲(chǔ)、檢索、數(shù)據(jù)分析等操作，另外，還需要設(shè)計(jì)一個(gè)統(tǒng)一管理平臺(tái)模塊，負(fù)責(zé)接收各審計(jì)模塊發(fā)送的審計(jì)數(shù)據(jù)，存入數(shù)據(jù)庫(kù)，以及向?qū)徲?jì)模塊發(fā)布審計(jì)規(guī)則。如下圖所示：

安全審計(jì)

 

　　安全審計(jì)系統(tǒng)中應(yīng)解決如下的關(guān)鍵技術(shù)：

　　1.網(wǎng)絡(luò)監(jiān)聽(tīng)：

　　是安全審計(jì)的基礎(chǔ)技術(shù)之一。它應(yīng)用于網(wǎng)絡(luò)審計(jì)模塊，安裝在網(wǎng)絡(luò)通信系統(tǒng)的數(shù)據(jù)匯聚點(diǎn)，通過(guò)抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行典型協(xié)議分析、識(shí)別、判斷和記錄，Telnet、HTTP、Email、FTP、網(wǎng)上聊天、文件共享等的檢測(cè)，流量監(jiān)測(cè)以及對(duì)異常流量的識(shí)別和報(bào)警、網(wǎng)絡(luò)設(shè)備運(yùn)行的監(jiān)測(cè)等，另外也可以進(jìn)行數(shù)據(jù)庫(kù)網(wǎng)絡(luò)操作的審計(jì)。

　　2.內(nèi)核驅(qū)動(dòng)技術(shù)：

　　是主機(jī)審計(jì)模塊、操作系統(tǒng)審計(jì)模塊的核心技術(shù)，它可以做到和操作系統(tǒng)的無(wú)縫連接，可以方便的對(duì)硬盤(pán)、CPU、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進(jìn)程、文件拷貝/打印操作、通過(guò)Modem擅自連接外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運(yùn)行等進(jìn)行審計(jì)。

　　3.應(yīng)用系統(tǒng)審計(jì)數(shù)據(jù)讀取技術(shù)：

　　大多數(shù)的多用戶操作系統(tǒng)(Windows、UNIX等)、正規(guī)的大型軟件(數(shù)據(jù)庫(kù)系統(tǒng)等)、多數(shù)安全設(shè)備(防火墻、防病毒軟件等)都有自己的審計(jì)功能，日志通常用于檢查用戶的登錄、分析故障、進(jìn)行收費(fèi)管理、統(tǒng)計(jì)流量、檢查軟件運(yùn)行情況和調(diào)試軟件，系統(tǒng)或設(shè)備的審計(jì)日志通常可以用作二次開(kāi)發(fā)的基礎(chǔ)，所以如何讀取多種系統(tǒng)和設(shè)備的審計(jì)日志將是解決操作系統(tǒng)審計(jì)模塊、數(shù)據(jù)庫(kù)審計(jì)模塊、應(yīng)用審計(jì)模塊的關(guān)鍵所在。

　　4.完善的審計(jì)數(shù)據(jù)分析技術(shù)：

　　審計(jì)數(shù)據(jù)的分析是一個(gè)安全審計(jì)系統(tǒng)成敗的關(guān)鍵，分析技術(shù)應(yīng)該能夠根據(jù)安全策略對(duì)審計(jì)數(shù)據(jù)具備評(píng)判異常和違規(guī)的能力，分為實(shí)時(shí)分析和事后分析：

　　實(shí)時(shí)分析：提供或獲取審計(jì)數(shù)據(jù)的設(shè)備和軟件應(yīng)該具備預(yù)分析能力，并能夠進(jìn)行第一道篩選;

　　事后分析：統(tǒng)一管理平臺(tái)模塊對(duì)記錄在數(shù)據(jù)庫(kù)中的審計(jì)記錄進(jìn)行事后分析，包括統(tǒng)計(jì)分析和數(shù)據(jù)挖掘。

　　五、安全審計(jì)系統(tǒng)應(yīng)該注意的問(wèn)題

　　安全審計(jì)系統(tǒng)的設(shè)計(jì)應(yīng)該注意以下幾個(gè)問(wèn)題：

　　1.審計(jì)數(shù)據(jù)的安全：

　　在審計(jì)數(shù)據(jù)的獲取、傳輸、存儲(chǔ)過(guò)程中都應(yīng)該注意安全問(wèn)題，同樣要保證審計(jì)信息的“五性”。在審計(jì)數(shù)據(jù)獲取過(guò)程中應(yīng)該防止審計(jì)數(shù)據(jù)的丟失，應(yīng)該在獲取后盡快傳輸?shù)浇y(tǒng)一管理平臺(tái)模塊，經(jīng)過(guò)濾后存入數(shù)據(jù)庫(kù)，如果沒(méi)有連接到管理平臺(tái)模塊，則應(yīng)該在本地進(jìn)行存儲(chǔ)，待連接后再發(fā)送至管理平臺(tái)模塊，并且應(yīng)該采取措施防止審計(jì)功能被繞過(guò);在傳輸過(guò)程中應(yīng)該防止審計(jì)數(shù)據(jù)被截獲、篡改、丟失等，可以采用加密算法以及數(shù)字簽名方式進(jìn)行控制;在審計(jì)數(shù)據(jù)存儲(chǔ)時(shí)應(yīng)注意數(shù)據(jù)庫(kù)的加密，防止數(shù)據(jù)庫(kù)溢出，當(dāng)數(shù)據(jù)庫(kù)發(fā)生異常時(shí)，有相應(yīng)的應(yīng)急措施，而且應(yīng)該在進(jìn)行審計(jì)數(shù)據(jù)讀取時(shí)加入身份鑒別機(jī)制，防止非授權(quán)的訪問(wèn)。

　　2.審計(jì)數(shù)據(jù)的獲取

　　首先要把握和控制好數(shù)據(jù)的來(lái)源，比如來(lái)自網(wǎng)絡(luò)的數(shù)據(jù)截取;來(lái)自系統(tǒng)、網(wǎng)絡(luò)、防火墻、中間件等系統(tǒng)的日志;通過(guò)嵌入模塊主動(dòng)收集的系統(tǒng)內(nèi)部信息;通過(guò)網(wǎng)絡(luò)主動(dòng)訪問(wèn)獲取的信息;來(lái)自應(yīng)用系統(tǒng)或安全系統(tǒng)的審計(jì)數(shù)據(jù)等。有數(shù)據(jù)源的要積極獲取;沒(méi)有數(shù)據(jù)源的要設(shè)法生成數(shù)據(jù)。對(duì)收集的審計(jì)數(shù)據(jù)性質(zhì)也要分清哪些是已經(jīng)經(jīng)過(guò)分析和判斷的數(shù)據(jù)，哪些是沒(méi)有分析的原始數(shù)據(jù)，要做出不同的處理。

　　另外，應(yīng)該設(shè)計(jì)公開(kāi)統(tǒng)一的日志讀取API，使應(yīng)用系統(tǒng)或安全設(shè)備開(kāi)發(fā)時(shí)，就可以將審計(jì)日志按照日志讀取API的模式進(jìn)行設(shè)計(jì)，方便日后的審計(jì)數(shù)據(jù)獲取。

　　3.管理平臺(tái)分級(jí)控制

　　由于涉密信息系統(tǒng)的迅速發(fā)展，系統(tǒng)規(guī)模也在不斷擴(kuò)大，所以在安全審計(jì)設(shè)計(jì)的初期就應(yīng)該考慮分布式、跨網(wǎng)段，能夠進(jìn)行分級(jí)控制的問(wèn)題。也就是說(shuō)一個(gè)涉密信息系統(tǒng)中可能存在多個(gè)統(tǒng)一管理平臺(tái)，各自管理一部分審計(jì)模塊，管理平臺(tái)之間是平行關(guān)系或上下級(jí)關(guān)系，平級(jí)之間不能互相管理，上級(jí)可以向下級(jí)發(fā)布審計(jì)規(guī)則，下級(jí)根據(jù)審計(jì)規(guī)則向上級(jí)匯報(bào)審計(jì)數(shù)據(jù)。這樣能夠根據(jù)網(wǎng)絡(luò)規(guī)模及安全域的劃分靈活的進(jìn)行擴(kuò)充和改變，也有利于整個(gè)安全審計(jì)系統(tǒng)的管理，減輕網(wǎng)絡(luò)的通信負(fù)擔(dān)。

　　4.易于升級(jí)維護(hù)

　　安全審計(jì)系統(tǒng)應(yīng)該采用模塊設(shè)計(jì)，這樣有利于審計(jì)系統(tǒng)的升級(jí)和維護(hù)。

　　專家預(yù)測(cè)，安全審計(jì)系統(tǒng)在2003年是最熱門(mén)的信息安全技術(shù)之一。國(guó)內(nèi)很多信息安全廠家都在進(jìn)行相關(guān)技術(shù)的研究，有的已經(jīng)推出了成型的產(chǎn)品，另一方面，相關(guān)的安全審計(jì)標(biāo)準(zhǔn)也在緊鑼密鼓的制定當(dāng)中，看來(lái)一個(gè)安全審計(jì)的春天已經(jīng)離我們?cè)絹?lái)越近了。

　　但是信息系統(tǒng)的安全從來(lái)都是一個(gè)相對(duì)的概念，只有相對(duì)的安全，而沒(méi)有絕對(duì)的安全。安全也是一個(gè)動(dòng)態(tài)發(fā)展的過(guò)程，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，安全審計(jì)還有很多值得關(guān)注的問(wèn)題，如：

　　1. 網(wǎng)絡(luò)帶寬由現(xiàn)在的100兆會(huì)增加到1G，安全審計(jì)如何對(duì)千兆網(wǎng)絡(luò)進(jìn)行審計(jì)就是值得關(guān)注的問(wèn)題;

　　2. 當(dāng)前還沒(méi)有一套為各信息安全廠商承認(rèn)的安全審計(jì)接口標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的制定與應(yīng)用將會(huì)使安全審計(jì)跨上一個(gè)新的臺(tái)階;

　　3. 現(xiàn)在的安全審計(jì)都建立在TCP/IP協(xié)議之上，如果有系統(tǒng)不采用此協(xié)議，那么如何進(jìn)行安全審計(jì)。

　　六、小結(jié)

　　安全審計(jì)作為一門(mén)新的信息安全技術(shù)，能夠?qū)φ麄€(gè)計(jì)算機(jī)信息系統(tǒng)進(jìn)行監(jiān)控，如實(shí)記錄系統(tǒng)內(nèi)發(fā)生的任何事件，一個(gè)完善的安全審計(jì)系統(tǒng)可以根據(jù)一定的安全策略記錄和分析歷史操作事件及數(shù)據(jù)，有效的記錄攻擊事件的發(fā)生，提供有效改進(jìn)系統(tǒng)性能和的安全性能的依據(jù)。本文從安全審計(jì)的概念、在涉密信息系統(tǒng)中需要審計(jì)的內(nèi)容、安全審計(jì)的關(guān)鍵技術(shù)及安全審計(jì)系統(tǒng)應(yīng)該注意的問(wèn)題等幾個(gè)方面討論了安全審計(jì)在涉密信息系統(tǒng)中的應(yīng)用。安全審計(jì)系統(tǒng)應(yīng)該全面地對(duì)整個(gè)涉密信息系統(tǒng)中的網(wǎng)絡(luò)、主機(jī)、應(yīng)用程序、數(shù)據(jù)庫(kù)及安全設(shè)備等進(jìn)行審計(jì)，同時(shí)支持分布式跨網(wǎng)段審計(jì)，集中統(tǒng)一管理，可對(duì)審計(jì)數(shù)據(jù)進(jìn)行綜合的統(tǒng)計(jì)與分析，從而可以更有效的防御外部的入侵和內(nèi)部的非法違規(guī)操作，最終起到保護(hù)機(jī)密信息和資源的作用。