◆關(guān)澤武歐陽可萃

（1.中國南方電網(wǎng)有限責任公司 廣東 510623；2.北京啟明星辰信息安全技術(shù)有限公司 廣東 510620）

基于審計平臺實現(xiàn)企業(yè)網(wǎng)絡(luò)安全可視化的研究

◆關(guān)澤武1歐陽可萃2

（1.中國南方電網(wǎng)有限責任公司 廣東 510623；2.北京啟明星辰信息安全技術(shù)有限公司 廣東 510620）

隨著企業(yè)信息化的不斷發(fā)展，企業(yè)對網(wǎng)絡(luò)技術(shù)的依賴逐日加深。與此同時，提高企業(yè)網(wǎng)絡(luò)安全性也迫在眉睫。通過審計平臺，可以有效確保企業(yè)網(wǎng)絡(luò)安全。因此，本文主要介紹了審計平臺的概念、審計平臺的作用、系統(tǒng)組成以及系統(tǒng)功能。為企業(yè)構(gòu)建審計平臺提供一些參考。

網(wǎng)絡(luò)安全；審計平臺；可視化

0 引言

隨著信息技術(shù)的發(fā)展，企業(yè)對信息化的投資越來越大，應(yīng)用系統(tǒng)的規(guī)模也逐步擴大，企業(yè)通過應(yīng)用系統(tǒng)在獲得便利的同時，針對企業(yè)信息化網(wǎng)絡(luò)、信息系統(tǒng)的攻擊層出不窮，利用的技術(shù)手段復雜多變，給企業(yè)網(wǎng)絡(luò)帶來了難以估量的安全隱患。根據(jù)國內(nèi)知名網(wǎng)絡(luò)安全廠商360公司發(fā)布《2014中國個人電腦上網(wǎng)安全報告》可看出，2014年，360互聯(lián)網(wǎng)安全中心均每天88.8萬個截獲新增惡意程序樣本，全年共截獲3.24億個新增惡意程序樣本。360安全衛(wèi)士和360殺毒共攔截572.7億次惡意程序攻擊，平均每天攔截約1.57億次惡意程序攻擊。以上攔截數(shù)據(jù)說明，國內(nèi)互聯(lián)網(wǎng)“不安全”。因此，保障網(wǎng)絡(luò)安全已經(jīng)刻不容緩。

然而，企業(yè)傳統(tǒng)的網(wǎng)絡(luò)安全體系建設(shè)只注重于網(wǎng)絡(luò)邊界的安全，重點建設(shè)針對外部網(wǎng)絡(luò)向企業(yè)內(nèi)網(wǎng)攻擊的防護措施。長期以來，企業(yè)的網(wǎng)絡(luò)安全狀況、安全防護水平無法得到客觀的體現(xiàn)，缺乏對企業(yè)網(wǎng)絡(luò)安全治理提供數(shù)據(jù)支撐依據(jù)。因此，需要借助技術(shù)手段對企業(yè)網(wǎng)絡(luò)的安全狀況進行審計和評估，并提供可視化視圖直觀展現(xiàn)，從而實現(xiàn)企業(yè)網(wǎng)絡(luò)的全面安全監(jiān)督。

1 安全審計平臺及作用

所謂安全審計是：針對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進行細粒度審計的合規(guī)性管理平臺。它通過對內(nèi)外部人員訪問企業(yè)網(wǎng)絡(luò)、信息系統(tǒng)的行為進行解析、分析、記錄、匯報，用于幫助企業(yè)的網(wǎng)絡(luò)安全管理部門事前規(guī)劃預(yù)防，事中實時監(jiān)視、違規(guī)行為響應(yīng)，事后合規(guī)報告、事故追蹤溯源，同時加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進核心資產(chǎn)（數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的正常運營。安全審計平臺通過記錄行為分析，獲取相應(yīng)的電子證據(jù)，并對相關(guān)信息進行分析處理、評價審查，對突發(fā)事件還能進行報警響應(yīng)，或者有選擇性和針對性地對其中的對象進行審計跟蹤,找出安全事故的原因，并做出進一步的處理，從而保障企業(yè)網(wǎng)絡(luò)安全。

眾所周知，沒有任何的一種技術(shù)可以確保絕對的網(wǎng)絡(luò)安全，即使是理論上足夠安全，也不能保證在執(zhí)行過程中能夠準確無誤的實施。因此，在完成必要的基礎(chǔ)安全防護體系構(gòu)建后，需要同步構(gòu)建審計平臺。安全審計平臺作為一個獨立的軟件,和基礎(chǔ)安全產(chǎn)品(如防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等)互相協(xié)調(diào)、補充,保護網(wǎng)絡(luò)的整體安全。

基于安全審計平臺實現(xiàn)網(wǎng)絡(luò)安全狀況的可視化，對企業(yè)的網(wǎng)絡(luò)安全有以下幾點價值：

1.1 提供有效的追查證據(jù)，威懾網(wǎng)絡(luò)犯罪人員

盡管審計平臺對于網(wǎng)絡(luò)攻擊、竊密等行為無法進行有效阻止。但是審計平臺能有效記錄用戶的活動，對于突發(fā)事件還能進行報警和相應(yīng)。通過審計平臺可以有效的記錄系統(tǒng)時間，為事后的分析和舉證提供了有效的證據(jù)，這也給網(wǎng)絡(luò)犯罪行為提供了取證的基礎(chǔ)，所以網(wǎng)絡(luò)犯罪者畏懼審計平臺而不敢輕易嘗試。

1.2 監(jiān)視網(wǎng)絡(luò)違規(guī)行為

由于企業(yè)網(wǎng)絡(luò)中，許多文件不能隨意查看、刪除、篡改或者拷貝，因此可以通過審計系統(tǒng)，對訪問活動或者試圖訪問活動進行監(jiān)控，并形成訪問日志，該日志詳細記錄了訪問或者試圖訪問的設(shè)備、時間等相關(guān)，并將該記錄以短信或者郵件等方式通知到系統(tǒng)管理員。

1.3 保障操作系統(tǒng)及應(yīng)用系統(tǒng)可靠性

審計平臺可以收集操作系統(tǒng)或者應(yīng)用系統(tǒng)產(chǎn)生的所有訪問或者試圖訪問的活動，如系統(tǒng)日志、報警消息、操作記錄等。管理員可以通過這些日志發(fā)現(xiàn)系統(tǒng)性能上的不足，從而優(yōu)化系統(tǒng)。

2 安全審計平臺數(shù)據(jù)的可視化內(nèi)容

上文所述，安全審計平臺是企業(yè)網(wǎng)絡(luò)安全管理中重要的一環(huán)。從網(wǎng)絡(luò)安全管理的需求分析，安全審計平臺需提供網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞、訪問記錄、木馬病毒、安全風險等數(shù)據(jù)的可視化，各項數(shù)據(jù)的可視化需求如下表：

表1 數(shù)據(jù)可視化需求表

安全審計平臺對可視化的安全數(shù)據(jù)及展現(xiàn)方式應(yīng)結(jié)合企業(yè)安全管理部門不同角色人員對于安全管理工作的切身需要進行設(shè)計。就上述數(shù)據(jù)的可視化，安全審計系統(tǒng)需提供如下的可視化展現(xiàn)方式：

2.1 全局監(jiān)視儀表板

監(jiān)視儀表板可以在一個屏幕中看到不同設(shè)備類型、不同安全區(qū)域的實時日安全狀態(tài)曲線、統(tǒng)計圖，以及網(wǎng)絡(luò)整體運行態(tài)勢、待處理告警信息等。通過自定義儀表板，按需設(shè)計儀表板顯示的內(nèi)容和布局，可以為不同角色的使用者建立不同維度的儀表板。

2.2 實時審計視圖

企業(yè)的信息安全審計員根據(jù)內(nèi)置或者自定義的實時監(jiān)視策略，從被審計信息的的任意維度實時觀測安全事件的走向，并可以進行事件調(diào)查、鉆取，并進行事件行為分析和來源定位。審計員可以實時監(jiān)視防火墻、IDS、防病毒、網(wǎng)絡(luò)設(shè)備、主機和應(yīng)用的高危安全事件；可以實時監(jiān)視各個部門、各個安全域、各個業(yè)務(wù)系統(tǒng)的重點安全事件；可以實時監(jiān)視全網(wǎng)的違規(guī)登錄事件、配置變更事件、針對關(guān)鍵服務(wù)器的入侵攻擊事件。

2.3 審計信息統(tǒng)計視圖

信息安全審計人員根據(jù)內(nèi)置或者自定義的統(tǒng)計策略，從多個維度實時進行安全事件統(tǒng)計分析，并以柱圖、餅圖、堆積圖等形式進行可視化的展示。審計員可以查看一段時間內(nèi)的主機流量排行、主機登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問用戶排行。

3 安全審計平臺的原理設(shè)計

為實現(xiàn)網(wǎng)絡(luò)安全狀況的可視化，安全審計平臺需具備數(shù)據(jù)獲取、數(shù)據(jù)解析、數(shù)據(jù)響應(yīng)等業(yè)務(wù)流程，業(yè)務(wù)流程基于審計策略實現(xiàn)，最終通過可視化界面展現(xiàn)企業(yè)信息網(wǎng)絡(luò)的安全狀況，安全審計平臺結(jié)構(gòu)示意如下：

圖1 安全審計平臺結(jié)構(gòu)圖

3.1 數(shù)據(jù)獲取

數(shù)據(jù)獲取模塊主要是通過監(jiān)聽技術(shù)、內(nèi)核過濾技術(shù)等獲取原始信息數(shù)據(jù)，即源事件信息，是審計平臺原始數(shù)據(jù)的來源，數(shù)據(jù)的來源包括審計對象系統(tǒng)日志、網(wǎng)絡(luò)行為的流量數(shù)據(jù)包等信息。獲取的數(shù)據(jù)包必須準確、完整，并交給其他模塊使用，這是保障審計結(jié)果準確、完整的核心。

3.2 數(shù)據(jù)解析

數(shù)據(jù)包處理模塊中最為核心的是協(xié)議分析，協(xié)議分析主要是將數(shù)據(jù)采集模塊獲得的數(shù)據(jù)包，根據(jù)其報頭的信息，判斷其所屬的協(xié)議，然后對不同協(xié)議的傳輸方式、報文內(nèi)容、協(xié)議格式等重組、還原，最后將用戶操作的數(shù)據(jù)包傳給數(shù)據(jù)審計模塊。

3.3 數(shù)據(jù)響應(yīng)

事件響應(yīng)模塊是對審計模塊做出相應(yīng)的反應(yīng)，或警告，或強制切斷 TCP連接，將數(shù)據(jù)庫的分析結(jié)果及時存儲在數(shù)據(jù)庫，并以短信或者郵件的形式通知到系統(tǒng)管理員，以便及時采取措施。

3.4 審計策略管理

該模塊首先要制定規(guī)則。授權(quán)管理員制定規(guī)則庫，并在系統(tǒng)使用過程中，不斷添加新的規(guī)則。系統(tǒng)根據(jù)規(guī)則定義的格式，將獲取的數(shù)據(jù)與規(guī)則庫進行匹配，系統(tǒng)將會自動與結(jié)構(gòu)做出相應(yīng)，并將審計后的結(jié)果形成審計日志。規(guī)則庫是否完善、正確是決定數(shù)據(jù)審計模塊的關(guān)鍵因素。

4 安全審計平臺的功能規(guī)劃

在上文中，提出基于安全審計平臺實現(xiàn)網(wǎng)絡(luò)安全可視化對企業(yè)的價值以及可視化的內(nèi)容，并對安全審計平臺的可視化的技術(shù)原理進行了設(shè)計，基于此，整理對安全審計平臺功能規(guī)劃，為企業(yè)網(wǎng)絡(luò)安全狀況可視化提供應(yīng)用支撐。

4.1 監(jiān)視網(wǎng)絡(luò)違規(guī)行為

安全審計平臺要實時監(jiān)測網(wǎng)絡(luò)傳輸?shù)膬?nèi)容，根據(jù)平臺規(guī)則庫的相關(guān)規(guī)則，實時監(jiān)測系統(tǒng)用戶的活動，結(jié)合規(guī)則判斷出網(wǎng)絡(luò)安全事件，包括非法訪問、內(nèi)部違規(guī)、系統(tǒng)入侵等行為。當一個違規(guī)事件多次出現(xiàn)或者集中出現(xiàn)，安全審計平臺借助的智能事件關(guān)聯(lián)分析技術(shù)，提供實時不間斷地對所有多次出現(xiàn)的違規(guī)事件進行安全事件關(guān)聯(lián)分析，來確保系統(tǒng)的安全。

4.2 收集系統(tǒng)產(chǎn)生的審計數(shù)據(jù)

收集系統(tǒng)數(shù)據(jù)主要是一種取證功能，該功能主要用于收集審計所需要的源事件信息。為了確保審計結(jié)果的準確性，必須做到收集的信息準確、完整，應(yīng)該建立防止審計的相關(guān)信息被黑客刪除或者意外丟失，做好足夠的備份工作。所收集的數(shù)據(jù)主要包括設(shè)備的報警信息、操作記錄、被審計的系統(tǒng)日志等。

4.3 實時報警

實時報警功能主要是為了授權(quán)管理員及時響應(yīng)并處理系統(tǒng)存在的問題。當審計平臺檢測到網(wǎng)絡(luò)違規(guī)行為或者一場行為時，系統(tǒng)應(yīng)該根據(jù)預(yù)設(shè)的報警方式報警，以便提醒授權(quán)管理員及時處理異常情況。根據(jù)事件級別不同報警方式不同，可以是短信、郵件甚至是聲音，以確保授權(quán)管理員能及時發(fā)現(xiàn)。

4.4 審計數(shù)據(jù)維護及權(quán)限控制

該功能必須具備審計數(shù)據(jù)安全存儲、權(quán)限管理等功能。因為所有的審計事件都保存在審計平臺，授權(quán)管理員必須根據(jù)用戶的級別劃分權(quán)限從而加密。從而不同的用戶可以根據(jù)自己的權(quán)限獲取不同的查詢、刪除、審查、管理、維護等功能，從而獲取不同的資料。另外，該功能還必須具備防止審計數(shù)據(jù)丟失的功能。確保其不備惡意修改、刪除、非法訪問、復制或者拷貝。以確保審計的準確性。

4.5 規(guī)則制定

根據(jù)用戶的不同需求，系統(tǒng)管理員制定不同的審計規(guī)則來運作，從而使得審計平臺更加符合系統(tǒng)的要求。通過審計規(guī)則，對審計內(nèi)容實現(xiàn)統(tǒng)一的輸出內(nèi)容，如事件日期、事件、事件類型、主題標識、執(zhí)行結(jié)果、活動主體等與此有關(guān)的審計信息。

5 結(jié)束語

在高度信息化的今天，各大企業(yè)都將網(wǎng)絡(luò)安全問題納為信息部門的工作重點，并逐步投入大量的硬件設(shè)備，這為建設(shè)安全的網(wǎng)絡(luò)提供了保障。但是，眾所周知，網(wǎng)絡(luò)安全是一個動態(tài)的體現(xiàn)，需要不斷的監(jiān)視并完善，而審計平臺可以對系統(tǒng)進行實時審計、建立有效的評估，對安全狀況提供可視化視圖。因此，各大企業(yè)應(yīng)該結(jié)合自己的系統(tǒng)實際情況，積極主動建立安全審計平臺，并將其不斷優(yōu)化，構(gòu)建完善的網(wǎng)絡(luò)安全審計體系。

[1]趙霞.網(wǎng)絡(luò)安全防護技術(shù)淺析.科技創(chuàng)新導報，2010.

[2]姚志東.一種網(wǎng)絡(luò)安全審計系統(tǒng)的設(shè)計與實現(xiàn).北京郵電大學碩士論文，2009.

[3]姜華.網(wǎng)絡(luò)安全審計系統(tǒng)的研究與實現(xiàn)[J].計算機工程與設(shè)計，2008.

[4]任從容.網(wǎng)絡(luò)安全問題的探討[J].科技創(chuàng)新導報，2008.

[5]王嘉磊.加強網(wǎng)絡(luò)安全審計實現(xiàn)網(wǎng)絡(luò)安全管理[J].信息系統(tǒng)工程，2008.

[6]朱學全.論析網(wǎng)絡(luò)安全風險[J].內(nèi)蒙古科技與經(jīng)濟，2008.