吉林省統(tǒng)計局?jǐn)?shù)據(jù)管理中心 張 楠

信息安全審計技術(shù)在現(xiàn)實(shí)工作中的應(yīng)用

吉林省統(tǒng)計局?jǐn)?shù)據(jù)管理中心 張 楠

內(nèi)部人員對機(jī)密文件、敏感信息的竊取和泄漏，在互聯(lián)網(wǎng)上發(fā)布和訪問非法內(nèi)容，以及在工作時間利用工作網(wǎng)絡(luò)進(jìn)行與工作無關(guān)的活動屢見不鮮。政府機(jī)構(gòu)、企業(yè)網(wǎng)絡(luò)或網(wǎng)站、個人網(wǎng)絡(luò)用戶深受其害。

信息安全審計；檢測

1.引言

隨著互聯(lián)網(wǎng)的發(fā)展， 網(wǎng)絡(luò)逐漸成為完成業(yè)務(wù)工作不可或缺的手段，很多政府、銀行、企業(yè)紛紛將核心業(yè)務(wù)基于網(wǎng)絡(luò)來實(shí)現(xiàn)。然而，網(wǎng)絡(luò)的不斷普及帶來了大量的安全問題。目前全球數(shù)據(jù)泄密事件53.7%的是由于人為疏忽造成，15.8%是由內(nèi)部惡意竊密，23.3%是由于黑客等外部攻擊行為造成，7.2%是由于意外造成的數(shù)據(jù)丟失。根據(jù)IDC數(shù)據(jù)顯示，內(nèi)部泄密事件從46%上升到了67%，而病毒入侵從20%，下降到5%。

2.信息安全審計定義及作用

2.1信息安全審計定義

信息安全審計是針對網(wǎng)絡(luò)用戶行為進(jìn)行管理[1]，綜合運(yùn)用網(wǎng)絡(luò)數(shù)據(jù)包獲取、協(xié)議分析、信息處理、不良流量阻斷等技術(shù)實(shí)現(xiàn)對網(wǎng)絡(luò)信息內(nèi)容傳播的有效監(jiān)管。它能夠幫助用戶對網(wǎng)絡(luò)進(jìn)行動態(tài)實(shí)時監(jiān)控，記錄網(wǎng)絡(luò)中發(fā)生的一切，尋找非法和違規(guī)行為，為用戶提供事后取證手段。

2.2信息安全審計的作用

跟蹤檢測。以旁路、透明的方式實(shí)時對進(jìn)出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸信息等進(jìn)行數(shù)據(jù)截取和還原，并可根據(jù)用戶需求對通信內(nèi)容進(jìn)行審計，提供敏感關(guān)鍵詞檢索和標(biāo)記功能，從而防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播。

取證監(jiān)控。還原系統(tǒng)的相關(guān)協(xié)議，完整記錄各種信息的起始地址和使用者，識別誰訪問了系統(tǒng)，訪問時間，確定是否有網(wǎng)絡(luò)攻擊的情況，確定問題和攻擊源，為調(diào)查取證提供第一手的資料。

3.其他安全產(chǎn)品安全審計方面的缺陷

防火墻只是內(nèi)外部網(wǎng)絡(luò)之間建立起隔離，控制外部對受保護(hù)網(wǎng)絡(luò)的訪問，通過控制穿越防火墻的數(shù)據(jù)流來屏蔽內(nèi)部網(wǎng)絡(luò)的敏感信息以及阻擋來自外部的威脅。

入侵檢測對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行監(jiān)測，對一些有入侵嫌疑的包進(jìn)行報警，準(zhǔn)實(shí)時性較強(qiáng)，但采用的數(shù)據(jù)分析算法不能過于復(fù)雜，通常只是對單個數(shù)據(jù)包或者一小段時間內(nèi)的數(shù)據(jù)包進(jìn)行簡單分析判斷，誤報率和漏報率較高。

漏洞掃描、防病毒等設(shè)備主要發(fā)現(xiàn)網(wǎng)絡(luò)、應(yīng)用軟件、操作系統(tǒng)的邏輯缺陷和錯誤，提早防范網(wǎng)絡(luò)、系統(tǒng)被非法入侵、攻擊；發(fā)現(xiàn)處理病毒。

4.信息安全審計系統(tǒng)的分類

主機(jī)審計：審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；統(tǒng)一安全策略，實(shí)現(xiàn)集中審計等。

網(wǎng)絡(luò)審計：應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；應(yīng)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。

數(shù)據(jù)庫審計：審計對數(shù)據(jù)庫的操作行為，如增、刪、改等，發(fā)現(xiàn)各種非法、違規(guī)操作。

業(yè)務(wù)審計：對業(yè)務(wù)系統(tǒng)的操作行為進(jìn)行審計，如提交、修改業(yè)務(wù)數(shù)據(jù)等，滿足管理部門運(yùn)維管理和風(fēng)險內(nèi)控需要。

日至審計：審計網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)的日志，發(fā)現(xiàn)安全事件，保存證據(jù)。

5.信息安全審計系統(tǒng)的設(shè)計

主流的信息安全審計系統(tǒng)分為探針引擎和管理應(yīng)用平臺兩部分組成[2]。

探針引擎的主要功能: 監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，并將數(shù)據(jù)臨時保存。將不同的數(shù)據(jù)流匯聚，形成一個應(yīng)用鏈接；根據(jù)設(shè)定的規(guī)則，對采集的數(shù)據(jù)進(jìn)行初步過濾，并對采集的數(shù)據(jù)進(jìn)行協(xié)議分析，提取內(nèi)容信息。如在Smtp，pop3協(xié)議中，提取郵件體和附件；將采集后的數(shù)據(jù)按規(guī)定格式存儲和傳輸。根據(jù)需要，進(jìn)行傳輸加密。

管理應(yīng)用平臺是由web管理平臺+控制中心+數(shù)據(jù)庫組成的三層結(jié)構(gòu)。

WEB管理控制平臺主要功能：業(yè)務(wù)邏輯展現(xiàn)，系統(tǒng)管理、日志管理、策略管理、報表管理、查詢統(tǒng)計分析。

控制中心主要功能：文件中心主要是用于系統(tǒng)報警原始文件存儲、文件讀取；統(tǒng)計中心主要是用于定期對系統(tǒng)關(guān)鍵詞報警信息、行為日志數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)、系統(tǒng)操作行為進(jìn)行分類統(tǒng)計；數(shù)據(jù)中心主要是實(shí)現(xiàn)數(shù)據(jù)庫與探針引擎之間的橋梁，實(shí)現(xiàn)策略下發(fā)、探針引擎接入控制、數(shù)據(jù)轉(zhuǎn)存功能。

數(shù)據(jù)庫主要功能：用于結(jié)構(gòu)化數(shù)據(jù)的存儲。

6.信息安全審計技術(shù)在工作中的基本應(yīng)用

HTTP敏感信息檢測：HTTP協(xié)議的網(wǎng)頁瀏覽、網(wǎng)頁發(fā)帖監(jiān)測，記錄中標(biāo)網(wǎng)頁的URL、瀏覽時間、源IP、目的IP、源端口、目的端口以及源、目的MAC地址，并還原、保存原始網(wǎng)頁文件到本地磁盤。通過IP地址、域名、時間范圍、協(xié)議類型等組合查詢查看報警信息并輸出報表，通過“查看文件”鏈接查看原始瀏覽網(wǎng)頁文件內(nèi)容，通過“查看詳細(xì)”鏈接監(jiān)測報警信息的數(shù)據(jù)來源、報警協(xié)議類型、文件存放路徑等信息。

郵件敏感信息檢測：SMTP，POP3中的敏感信息監(jiān)測，記錄中標(biāo)網(wǎng)頁的信息摘要、、接收用戶、發(fā)送用戶、IP地址，并還原、保存原始郵件到本地磁盤，系統(tǒng)默認(rèn)收、發(fā)郵件端口分別為110、25?？梢酝ㄟ^接收用戶名、發(fā)送用戶名、時間范圍、IP地址查詢條件檢索郵件敏感信息并輸出報表，通過“查看文件”鏈接打開查看原始郵件主題、正文內(nèi)容，通過“查看詳細(xì)”鏈接監(jiān)測報警信息的數(shù)據(jù)來源、報警協(xié)議類型、文件存放路徑等信息。

IP流量監(jiān)測：監(jiān)測IP主機(jī)數(shù)據(jù)流向、流量大小，按總計流量從高到低排序，并可清零流量重新統(tǒng)計。

數(shù)據(jù)庫日志檢測：監(jiān)控并記錄用戶對數(shù)據(jù)庫服務(wù)器的讀、寫、查詢、添加、修改以及刪除等操作日志記錄，并記錄數(shù)據(jù)庫服務(wù)器及操作用戶的IP、登錄用戶名、MAC地址、操作時間等信息。

7.結(jié)語

如何保證網(wǎng)絡(luò)行為、信息內(nèi)容的合規(guī)性、合法性、健康性已成為網(wǎng)絡(luò)安全研究領(lǐng)域中的熱點(diǎn)問題。信息安全審計技術(shù)是對網(wǎng)絡(luò)行為進(jìn)行檢測與防范，也是對信息系統(tǒng)建設(shè)的重要補(bǔ)充，將繼續(xù)在信息安全中發(fā)揮重要的作用。

[1]胡品輝.安全審計技術(shù)在地方財政信息系統(tǒng)中的應(yīng)用[D].廣東工業(yè)大學(xué).2008.

[2]張楠.某部門網(wǎng)絡(luò)安全管理方案的設(shè)計與實(shí)施[D].長春工業(yè)大學(xué).2016.

張楠，吉林省統(tǒng)計局?jǐn)?shù)管中心工程師，主要從事網(wǎng)絡(luò)和信息安全方面的工作。