綜合審計與責任分析系統關鍵技術與設計原理

周春楠

（億陽安全技術有限公司 北京 100093）

1 引言

隨著行業、企業信息化建設的進一步深入，網絡結構日趨完善，業務能力快速增強，業務數據越來越集中，隨之而來的數據風險日益突出。如果政府、行業、事業單位、企業的關鍵業務數據被惡意篡改、破壞或重要機密數據外泄，都會造成不可估計的損失。

要保護這些數據，需要使用審計系統、身份和訪問管理系統等應用安全產品，跟蹤分析誰訪問了數據庫、操作了重要數據、復制了機密文件等。建設綜合審計與責任分析系統，將獲得全面的安全日志和事件場景回放，增強日志的管理、網絡和信息系統的監控、安全事件的行為取證和責任分析，提高業務系統和重要數據的安全保障能力。

2 系統概述

綜合審計與責任分析系統對網絡設備、安全設備、主機、操作系統、應用系統、數據庫操作等進行數據采集取證，為安全事件的追溯提供有效的證據，有效結合用戶認證和訪問授權模塊，實現責任分析功能，構建可控的企業內部安全機制。該系統是集網絡行為分析、日志分析、堡壘主機、數據關聯分析、用戶認證、用戶行為取證、安全事件責任分析為一體的產品，系統以保護客戶關鍵業務數據、財務數據、商業資料等機密信息為中心，滿足了企業客戶內部數據審計取證和監控的需求，通過網絡數據流、主機日志、數據庫、堡壘主機等多種途徑采集取證、監控和記錄企業工作人員操作這些重要數據的行為和后果，同時也記錄非授權人員企圖操作這些重要數據的行為。根據這些行為的取證和分析，構建可控的企業內部數據安全，為完善企業內部相關安全制度提供強有力的保障。

綜合審計與責任分析系統對局域網、廣域網和互聯網上的系統、應用和設備的日志進行實時采集、集中存儲、實時分析、事后分析、異常報警，同時支持分布式、跨平臺的統一智能化日志管理，可以對各類網絡設備、安全設備、操作系統、Web服務中間件、數據庫和其他應用進行全面的日志管理，集合了網絡行為審計、主機審計、數據庫審計、堡壘主機審計等多種審計源，集中收集、分析信息系統中所有的日志，解決了“日志分布散、管理難”的問題。通過采用關聯分析算法，解決了“日志查詢難”的問題，使管理員把精力集中在最值得關心的日志上，時刻了解信息系統的運行狀況，對事故進行快速響應。另外，由于采用了“實時收集，隔離備份”的機制，黑客無法完全刪除入侵日志。遇到特殊安全事件和系統故障時，能確保日志完好和不被篡改，協助快速定位相關日志，并以此為依據進行事件回放、行為追溯、故障恢復和責任分析。

綜合審計與責任分析系統是功能強大的智能化日志管理設備。一方面，可以隨時了解整個信息系統的日志吞吐情況，在實時的日志分析中及時發現安全漏洞和非法訪問行為，通過告警模塊以聲音、E-mail、手機短信息等方式及時通知管理員；另一方面，在事后分析和報表中提供多種運行分析報告，方便系統管理員從日志類型、特征、數量、內容中全面分析信息系統的運行狀況，及時發現安全漏洞和非法訪問行為，為系統今后的戰略規劃提供依據。

3 各審計系統比較及本系統優勢

3.1 各審計系統比較

當前國際、國內信息安全領域中，審計系統大多為單獨審計數據來源的產品，功能相對簡單，沒有行為舉證、責任分析等功能，同時，審計系統、堡壘主機系統、身份認證和訪問管理系統、責任分析系統等產品一般相互獨立，沒有實現這些產品和技術的融合。

現在國內外審計系統的主要技術和產品介紹如下。

（1）抓取分組分析型網絡審計產品

抓取分組分析型網絡審計產品通過偵聽并抓取信道中的IP數據分組，根據相關網絡協議分析數據分組，從中發現網絡中的違規行為和異常操作，記錄存儲，為各種TCP網絡服務系統提供日志審計功能，對重要的網絡服務在IP層進行保護，可作為獨立的產品單獨部署。

根據產品的功能和部署位置，抓取分組分析型網絡審計產品可分為上網行為管理與審計產品、基于網絡行為的業務審計產品。前者部署在互聯網出口處，多在交換機上旁路偵聽，截獲數據報文，進行采集、分析，審計內部用戶訪問互聯網的內容和行蹤，阻斷在特定地點和時間不宜訪問的互聯網內容，預防或記錄用戶的違規和違法行為，防止內部信息泄漏，記錄相關行為以供查詢和舉證。基于國情，國內這種基于抓取分組分析的上網行為管理與審計產品較多。

后者部署在核心業務安全域的交換機處，旁路偵聽數據流，采集、解析數據分組，審計記錄用戶對主機、系統、應用、數據庫的操作行為，保護網絡中重要的業務系統，預防或記錄用戶的違規行為。

（2）流量分析型網絡審計產品

流量分析型網絡審計產品通過收集網絡設備的各種日志，借助異常流量分析技術分析網絡中的流量，發現網絡中的異常和違規行為。一般網管廠商根據網絡設備日志管理，研發出流量分析型網絡審計產品。

（3）主機審計產品

主機審計產品對局域網、廣域網上的網絡設備、操作系統、應用系統、Web服務器、中間件和其他應用等的日志進行采集、分析、集中存儲、異常報警、事后查詢。應用系統、操作系統等日志源對象，可以通過安裝專用代理（agent）的方式采集日志。

（4）數據庫審計產品

數據庫審計產品監控和記錄所有對數據庫的操作，保障信息系統核心數據得到規范存儲、規范操作，對數據庫異常操作或違規操作進行記錄、追蹤、報警，降低可能的安全風險，防范數據庫信息泄露、非法修改等危險。一般支持對 Oracle、SQL Server、Sybase、IBM DB2 等多種關系型數據庫的審計，能規避SQL注入、Oracle目錄遍歷攻擊、Oracle拒絕服務攻擊、SQL緩沖區溢出攻擊、SQL函數漏洞攻擊等破壞性風險。

審計分析：詳細審計分析所有客戶端對生產數據庫訪問的記錄，包括客戶端的IP地址、MAC地址、計算機名、目的地址、客戶端程序名、數據庫名、表名、操作方式、操作內容、返回成功與否等。

數據采集過濾：可通過操作源IP地址、操作源MAC地址、計算機名、程序名、生產數據庫名、生產數據庫用戶名、操作內容、表名等設定過濾規則。

數據存儲：可自定義審計數據保留天數，滿足各相關法規對審計數據保留天數的要求；可自定義存儲空間閾值，超過閾值則自動刪除最老的歷史數據，避免無磁盤空間可用，從而造成系統故障。

3.2 本系統的特點和優勢

本系統融合了各種審計系統、身份和訪問管理系統、責任舉證和分析系統的功能，在國內產品中處于先進水平，其支撐系統已成功應用于中國移動通信集團公司的黑龍江、北京、湖北、貴州、山東、浙江、上海、陜西等16個省市分公司以及老撾電信、PICC、廣安門醫院等多個單位。本系統的技術特點和優勢如下。

（1）實現了全面信息的采集，支持多種日志形式并存，綜合實現了網絡行為審計、主機日志審計、數據庫審計、應用系統審計、堡壘主機審計。本系統由于融合了日志、網絡分組、網絡流量、數據庫等多種審計源，相比其他單一的審計產品，綜合審計與責任分析系統的覆蓋范圍更廣，且具有更強的網絡報文分析引擎，可以包容更多的網絡協議。

如果僅是基于主機審計（HBA），只能通過采集日志獲取人員行為，而由于主機日志來自各種復雜而龐大的設備，可能導致配置和管理成本過高，此時配合使用網絡行為審計（NBA）就可以彌補。一般容易配置和管理的主機可以優先使用HBA，其他設備和系統可以使用NBA。

同理，如果僅是具有NBA，就不能審計矢量圖形協議（RDP和xWindow），此時就需要用主機審計彌補這個不足。所以說，主機審計和網絡審計是相輔相成、相互補充的，也是本系統優勢的體現。

（2）具有堡壘主機功能，實現對相關信息系統的保護。堡壘主機扮演著看門者的職責，所有對網絡設備和服務器的請求都要從這扇“大門”經過。因此堡壘主機能夠攔截非法訪問和惡意攻擊，阻斷、過濾掉所有對目標設備的非法訪問行為。

（3）實現綜合審計、堡壘主機、身份管理、身份認證、訪問授權等產品的融合，是集數據采集、協議解析、身份驗證、集中取證、事件關聯分析、訪問權限控制各種技術于一體的新型產品，是應用安全產業的重要發展方向。本系統可實現實名制身份認證、綜合審計、責任分析，能夠將企業內部人員、廠商人員和其他業務相關人員的操作行為關聯分析到具體人員。如使用身份令牌（token），當使用令牌的人員通過登錄獲取相應訪問權限時，本系統就能夠跟蹤該人員對生產數據的操作，能夠為責任分析工作提供支持，追查事故等。

（4）采用專用硬件加速審計速度。

（5）底層采用通用接口，支持第三方安全軟件，實現跨平臺、跨區域的日志接入。

（6）采用標準的XML進行用戶信息同企業各種資源的同步。

（7）廣 泛支持 主流商 業 數 據庫，如 Oracle、Sybase、Informix、SQL Server、DB2、Taradata 主流版本，支持以上數據庫的各種客戶端和訪問方式，包括CLI、ODBC、JDBC等；還支持常用非主流數據庫，如MySQL、PostgreSQL等。

廣泛支持SQL語句規范，還支持各個商業數據庫自定義的SQL命令，支持的SQL命令分類如數據定義（DDL）、數據操作（DML）、數據控制（DCL）、數據檢索和事務命令。

（8）具有豐富的審計自動報表，審計數據直接滿足《薩班斯—奧克斯利法案》的相關規定和流程要求。

（9）支持各種應用系統，支持B/S結構和C/S結構并存。可以同時接入C/S系統、B/S系統、各種網元、主機、網絡設備和網絡安全設備日志數據，進行綜合審計、行為取證、監控管理。

4 綜合審計與責任分析系統技術和設計

4.1 系統設計技術路線

針對安全產品的特點，本系統的技術路線是：

·采用J2EE框架及技術；

·采用面向對象的設計技術；

·采用輕量目錄服務協議技術，對其進行繼承以及擴展；

·采用跨系統的Web Services接口；

·采用系統發展模式，貫徹全過程整體最優的技術路線；

·基于分層、低耦合軟件結構設計；

·采用基于角色的訪問控制 （role-based policies access control，RBAC）模型。

4.2 系統結構

本產品基于多層、低耦合的系統設計，實現了數據標準化、數據聚合、數據關聯、數據分析、實時報警、責任分析等功能，支持分布式、跨平臺部署。系統自下而上分為3個層次，分別是采集層、數據層、應用層，如圖1所示。

（1）采集層

負責集中收集各類日志，自動記錄每一次操作的必要信息，準確記錄何人、何時、何地進行了何種操作。通過網絡監聽方式采集用戶操作行為，包括登錄、應用程序操作、數據庫操作、FTP、發送E-mail等；安全設備、網絡設備的日志通過Syslog發送給審計系統；通過 FTP、Server LOG等方式采集核心網、傳輸網、數據網等網元產生的日志；通過 SNMP、Syslog、HTTP等數據網絡協議采集常見的數據設備日志；應用系統、操作系統等其他日志源對象，可以通過安裝專用代理的方式采集日志，并發送給審計系統。

（2）數據層

通過分布式運行環境對外提供協議解析、設備解析配置、臨時緩存文件區、數據過濾、數據標準化、數據篩選、數據聚合、數據關聯、告警配置、日志數據庫等服務。日志數據的存儲主要分為關系型和對象型數據庫兩種類型，適用于不同的應用場合，存儲海量數據的事件數據庫是關系型的，而策略數據庫是對象型的，便于策略的分發與同步。各模塊的具體功能介紹見表1。

表1 各模塊的具體功能

圖1 系統總體結構

（3）應用層

應用層直接面向管理員和系統用戶，在這個層次，管理人員制定安全策略，查詢關心的日志信息，監控安全態勢，完成應急響應、取證和責任分析、報表輸出。

4.3 系統功能

綜合審計與責任分析系統根據用戶的實際工作需要，提供了強大的功能，將繁瑣的日志管理和分析工作變得簡單。該產品的主要功能如圖2所示，具體介紹如下。

·網絡審計：對網絡數據進行協議還原和分析，支持HTTP、POP3、SMTP、FTP、Telnet、Rlogin、RSH 等網絡通信協議。

·主機審計：對各種網絡設備、安全設備、主機系統、應用系統的日志進行采集并進行標準化處理。

·數據庫審計：對主流數據庫的操作進行取證。支持數據庫打開審計選項方式審計和網絡監聽方式取證，以更好地貼近用戶的需求。

·堡壘主機：提供標準的Telnet、SSH和FTP文件傳輸代理服務；兼容各類UNIX平臺和網絡設備，支持各種標準的Telnet、SSH、FTP客戶端，兼容大多數終端類型，如 Xterm、VT100、VT200、Ansi、Dec、Linux等。

·集中取證：通過對各種日志的采集進行日志的整理和保存，包括事件的定義、事件處理知識庫等功能。

·責任分析：綜合事件關聯模型、關聯引擎、事件重放、責任舉證。

·分布式消息中間件：提供良好的分布式部署環境，支持異步消息通信機制、P2P協議、SSL加密技術及數據流壓縮技術，以適應各種網絡環境的需要。

·網絡拓撲圖：顯示審計系統服務器、采集引擎的在

線情況。

·系統狀態圖：審計系統服務器的性能實時監測，包括CPU使用情況、內存使用情況、網絡負載情況、硬盤使用情況。

·規則告警：對滿足規則管理中所定義規則的日志進行呈現。

·用戶認證：用戶認證系統，支持多種認證方式；也可以通過第三方CA或4A系統進行用戶身份的識別、系統準入。

·用戶管理：進行基于角色的用戶管理，通過身份的確認和規則的下發，對用戶的權限進行嚴謹的控制。用戶屬性包括名稱、角色、口令、聯系方式（固定電話、移動電話、E-mail）、用戶描述信息；用戶角色屬性包括名稱、權限、角色描述信息。

·資源管理：對網絡中被管理的全部設備進行分組分類，通過自身類型、使用日志對象類型、主要用途、重要性進行劃分。

·探測器管理：為收集滿足條件的日志信息而對探測器進行包括名稱、探測器IP地址、目的IP地址、目的端口、是否在線、發送方式（不發送、實時發送、周期發送）、發送周期、刪除等的配置管理。

·告警信息：配置短信、郵件等告警方式，以便在產生告警信息時及時通知管理員。

4.4 多種審計日志管理和查詢

系統能采集、管理、查詢多種審計日志，包括主機審計日志、網絡審計日志、堡壘主機日志、數據庫審計日志、系統日志和關鍵操作。管理員可以查詢到各種日志信息。

·主機審計日志：主機、網絡設備、安全設備等通過Syslog、SNMP方式傳送給審計系統的日志。根據起止時間、設備類型、場所、重要程度、自定義參數進行查詢。

·網絡審計日志：網絡行為日志。根據用戶名稱、IP地址、操作命令、起止時間進行查詢。

·堡壘主機日志：堡壘主機命令行操作審計日志。

·數據庫日志：數據庫訪問操作日志，根據用戶名稱、IP地址、操作命令、起止時間進行查詢。

·系統日志：對審計系統本身操作的日志。根據操作人員的用戶名稱、起止時間、日志重要程度（高、中、低3個等級）進行查詢，也可以根據日志的描述信息進行模糊查詢。

4.5 堡壘主機

堡壘主機是一種被加固的可以防御進攻的計算機，具備堅強的安全防護能力，用來實現用戶訪問控制、用戶命令過濾（阻斷）、生成命令日志、回放用戶會話過程。

當用戶登錄網絡設備和主機時，需要先登錄訪問堡壘主機，由堡壘主機進行認證登錄，用戶需通過堡壘主機登錄網絡設備，所有訪問流量均經過堡壘主機，因此堡壘主機可以實現對訪問內容的詳細審計。在部署堡壘主機時，需配合網絡的安全設置，使得對網絡設備的訪問只能經由堡壘主機跳轉，從而確保審計的不可繞過性。

堡壘主機還具備圖形終端審計功能，能夠對多平臺的多種終端操作進行審計，如Windows平臺遠程桌面（RDP）形式的圖形終端操作。

圖2 綜合審計與責任分析系統功能架構

4.6 安全事件責任

當使用身份令牌或數字證書等的人員通過登錄獲取相應訪問權限時，系統就能夠跟蹤該人員對生產數據的操作，能夠為責任分析工作提供支持，通過審計記錄、關聯分析和事件分析等功能，認定安全事件的責任人。

通過關聯分析用戶身份管理中的主賬號、IP地址等，實現用戶實名審計跟蹤。企業或事業單位用戶通過堡壘主機的實名制認證后，身份管理模塊向網絡審計服務器發送包含該用戶主賬號等信息的消息，網絡審計服務器將消息中的主賬號（可關聯個人身份證等實名制信息）和審計服務器的原日志包中的用戶名、IP地址等信息進行關聯，這樣即使用戶使用root、administrator等非實名制的賬號登入應用系統，網絡審計服務器也能關聯分析出訪問操作用戶的實名，實現用戶實名審計跟蹤。

圖3 綜合審計與責任分析系統部署

對越權訪問、違反企業安全策略等行為進行采集取證，實現電子證據（數據電文）的存儲和查詢功能；實現了控制臺擊鍵操作信息的過程回放功能；在發布軟件的支持下實現RDP操作的過程回放功能；實現了網絡行為（Telent、SSH等）的過程回放功能。最終通過與用戶認證、授權系統模塊的結合，實現從操作到自然人映射的責任分析功能。

5 系統網絡部署

本系統的企業級網絡部署如圖3所示。

6 結束語

總之，綜合審計與責任分析系統具有全面的安全日志采集、關聯分析、查詢舉證、安全告警、事件場景回放、責任分析等功能。支持統一的身份管理、授權管理和訪問控制策略下發，將安全事件的行為取證與用戶關聯起來，具有良好的證據收集和責任分析功能，保護了關鍵業務數據、財務數據、商業資料等機密信息，滿足了企事業單位內部數據審計、員工操作審計和信息系統監控的需求，極大地提高了信息資產風險的防范能力，提高了信息系統業務和數據的安全性。

1 ISO 10181-7:1996.信息安全框架 信息技術開放系統互連開放系統安全框架第7部分：安全跟蹤和告警框架,1996

2 QB-Y-049-2013.中國移動通信企業標準：中國移動業務支撐網安全管理平臺技術規范V2.0.0.中國移動集團公司，2013