信息網(wǎng)絡(luò)中安全審計與監(jiān)控系統(tǒng)的設(shè)計與應(yīng)用

張 哲

（南陽師范學(xué)院軟件學(xué)院，河南 南陽 473061）

隨著計算機(jī)技術(shù)、信息技術(shù)不斷推陳出新，各類威脅到網(wǎng)絡(luò)信息安全的因素越來越多，雖然防火墻與外部檢測技術(shù)等能夠在某種程度上防止網(wǎng)絡(luò)的外部入侵，保護(hù)數(shù)據(jù)信息不受侵犯［1］。但也會因入侵技術(shù)的更新和漏洞的長期存在而無法徹底保障網(wǎng)絡(luò)處于安全狀態(tài)。因此，在現(xiàn)有技術(shù)的基礎(chǔ)上，通過引入安全審計系統(tǒng)對用戶的網(wǎng)絡(luò)行為加以記錄，對網(wǎng)絡(luò)安全隱患給出評判具有重要的現(xiàn)實(shí)意義。

1 網(wǎng)絡(luò)安全審計的必要性

1.1 提高企業(yè)數(shù)據(jù)安全管理績效

近年來，我國信息化程度不斷加深，尤其新媒體技術(shù)和自媒體技術(shù)的出現(xiàn)，企業(yè)信息的網(wǎng)絡(luò)化、無邊界化趨勢越來越明顯，也使得網(wǎng)絡(luò)信息安全問題不斷突顯。在這種情況下，無論是企業(yè)本身還是參與網(wǎng)絡(luò)信息提供和維護(hù)的第三方，在端口和信息通道內(nèi)都加強(qiáng)了對信息安全策略的部署，無論是信息的控制還是數(shù)據(jù)的授權(quán)，都在大量管理制度和規(guī)則下運(yùn)行。即便如此，與網(wǎng)絡(luò)信息安全相關(guān)的各類故障還是不斷出現(xiàn)，甚至?xí)o企業(yè)的網(wǎng)絡(luò)運(yùn)營和實(shí)際經(jīng)營都造成了消極影響。但是，當(dāng)我們對信息安全漏洞進(jìn)行分析和查驗(yàn)時發(fā)現(xiàn)，一些嚴(yán)重的信息安全問題之所以會由于不合規(guī)、不合法而給利益相關(guān)者造成經(jīng)濟(jì)損失，其中一個重要原因便是一些內(nèi)部“合法”用戶的“非法”操作。這是因?yàn)椋瑢τ谝话愕木W(wǎng)絡(luò)信息或者數(shù)據(jù)，借助防火墻、防病毒軟件、反入侵系統(tǒng)等都能夠解決，在一定程度上能夠保證信息安全。可是一旦內(nèi)部人員在缺乏監(jiān)管的情況下進(jìn)行違規(guī)操作，就會使在信息外部建立起來的防線無能為力［2］。一項最新的調(diào)查顯示，企業(yè)內(nèi)部人員是對企業(yè)網(wǎng)絡(luò)信息進(jìn)行攻擊最為嚴(yán)重也最難防范的。在這種情況下，亟須提高企業(yè)的內(nèi)部審計能力，對內(nèi)部用戶的誤用、濫用信息行為進(jìn)行審計和監(jiān)管，對那些可能或者已經(jīng)造成各種安全事故的人員，在要求其協(xié)助網(wǎng)管人員找出原因外，還對其按照相關(guān)法律法規(guī)進(jìn)行嚴(yán)肅處理，以杜絕此類事件再次發(fā)生。

1.2 提高網(wǎng)絡(luò)運(yùn)維績效

當(dāng)前，在網(wǎng)絡(luò)環(huán)境中構(gòu)建統(tǒng)一的安全審計平臺，提高網(wǎng)絡(luò)運(yùn)維績效，是十分必要的。在這一平臺之上，能夠?qū)χ匾O(shè)備系統(tǒng)的安全信息進(jìn)行統(tǒng)一監(jiān)管，以便能夠在海量數(shù)據(jù)中挖掘出有價值的信息，使信息的獲取和使用更加有效。可見，提高網(wǎng)絡(luò)信息的可靠性和真實(shí)性，借助網(wǎng)絡(luò)信息安全審計提供網(wǎng)絡(luò)運(yùn)維管理績效，是網(wǎng)絡(luò)化運(yùn)營需要認(rèn)真思考的問題［3］。實(shí)際上，信息的安全防御是信息安全審計的一種，都是要在信息生產(chǎn)的源頭對其進(jìn)行管理和監(jiān)控，并對可能對信息安全造成威脅的因素加以防范。而即便在信息源頭未能做到完全的安全防范，在事后也可以借助各種技術(shù)手段及時分析安全防御系統(tǒng)中可能存在的各類漏洞。甚至能夠在安全防御的過程中，對非法操作行為和動作進(jìn)行還原，使違法、違規(guī)用戶的不當(dāng)操作暴露出來，為認(rèn)定其非法行為提供真實(shí)有效的客觀證據(jù)。因此，對網(wǎng)絡(luò)信息進(jìn)行安全審計是一項復(fù)雜的系統(tǒng)工程，不但要規(guī)范網(wǎng)絡(luò)、主機(jī)以及數(shù)據(jù)庫的訪問行為，還要對用戶的使用習(xí)慣、信息內(nèi)容形成和改變進(jìn)行監(jiān)控和審計，以便有效地完成對各類信息的監(jiān)管，提高信息質(zhì)量，為企事業(yè)單位的信息運(yùn)用和網(wǎng)絡(luò)運(yùn)營提供安全保障。

1.3 提高網(wǎng)絡(luò)信息安全性

在網(wǎng)絡(luò)空間中，有以下安全問題值得用戶關(guān)注并予以重視：①通過訪問控制機(jī)制強(qiáng)化對網(wǎng)絡(luò)信息進(jìn)行安全審計和信息監(jiān)控是十分必要的，這種做法不但能提高網(wǎng)絡(luò)信息的安全性，還能在訪問控制的作用下，限制外來用戶對關(guān)鍵資源的訪問，以保證非法用戶對信息或數(shù)據(jù)的入侵，同時也能對合法用戶的行為進(jìn)行規(guī)范，防止因操作不當(dāng)而造成破壞［4］。需要注意的，訪問控制系統(tǒng)不但界定了訪問主體還界定了訪問，其目的在于檢測與防止系統(tǒng)中的非法訪問。而借助對訪問控制機(jī)制的管理和設(shè)計，能在很大程度上實(shí)現(xiàn)對網(wǎng)絡(luò)信息的安全審計，使網(wǎng)絡(luò)信息處在安全狀態(tài)；②雖然網(wǎng)絡(luò)是開放的，但網(wǎng)絡(luò)數(shù)據(jù)卻具有私有性，只有在被授權(quán)的情況下才能讓非用戶或者原始使用者訪問，否則將被控制在不可見的范圍。為了實(shí)現(xiàn)這一點(diǎn)，就需要進(jìn)行網(wǎng)絡(luò)安全管理，包括網(wǎng)絡(luò)安全審計，通過信息加密，比如加密關(guān)鍵字或者授權(quán)機(jī)制、訪問控制等。為了提高網(wǎng)絡(luò)信息安全水平，還要維護(hù)與檢查安全日志；③提高網(wǎng)絡(luò)信息安全性，為社會組織的網(wǎng)絡(luò)化行為提供安全保障，除了要對現(xiàn)實(shí)中傳輸?shù)男畔⑦M(jìn)行安全審查外，對網(wǎng)絡(luò)中傳輸?shù)男畔⒁惨M(jìn)行安全審計，通過對網(wǎng)絡(luò)操作行為的監(jiān)控，評判信息的安全等級，有針對性地對網(wǎng)絡(luò)加以控制。

2 信息時代網(wǎng)絡(luò)安全審計的關(guān)鍵技術(shù)與監(jiān)控范疇

在網(wǎng)絡(luò)信息安全審計的過程中，為了最大限度地提高審計效果，不但需要借助多種信息、網(wǎng)絡(luò)和計算機(jī)技術(shù)，還應(yīng)進(jìn)一步界定網(wǎng)絡(luò)審計的監(jiān)控范圍，使網(wǎng)絡(luò)信息安全審計能夠在更為廣闊的領(lǐng)域得到應(yīng)用。

2.1 網(wǎng)絡(luò)安全審計的關(guān)鍵技術(shù)

在前文的分析中可知，在當(dāng)前網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)信息安全的直接威脅主要來自網(wǎng)絡(luò)內(nèi)部，要建立切實(shí)有效的監(jiān)督體制，對有破壞信息安全傾向的員工進(jìn)行監(jiān)督，以保障信息安全。為了實(shí)現(xiàn)這個目標(biāo)，除了要在制度上加以制約外，還應(yīng)借助以下網(wǎng)絡(luò)安全審計技術(shù)：①基于代理的網(wǎng)絡(luò)安全審計技術(shù)。借助該技術(shù)構(gòu)建起來的信息安全系統(tǒng)以網(wǎng)絡(luò)主機(jī)為載體，以分布式方式運(yùn)行。這一技術(shù)雖然能夠很好地防范信息安全威脅，但是由于監(jiān)視器是這一信息系統(tǒng)的核心模塊，需要高度保護(hù)，一旦出現(xiàn)故障，就會引發(fā)其他轉(zhuǎn)發(fā)器都陷入被動境地，無法正常提交結(jié)果；②基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全審計技術(shù)。數(shù)據(jù)挖掘是近幾年被廣泛采用的信息安全技術(shù)，以此為基礎(chǔ)建立起來的網(wǎng)絡(luò)安全審計系統(tǒng)能夠借助數(shù)據(jù)挖掘技術(shù)或者大數(shù)據(jù)技術(shù)，以大量日志行為為樣本，對數(shù)據(jù)中體現(xiàn)出來的行為進(jìn)行描述、判斷與比較，特征模型，并最終對用戶行為特征和行為結(jié)果進(jìn)行界定；③基于神經(jīng)網(wǎng)絡(luò)的審計技術(shù)。神經(jīng)網(wǎng)絡(luò)是計算機(jī)應(yīng)用領(lǐng)域中廣泛采用的技術(shù)，該關(guān)鍵技術(shù)的使用能夠改變網(wǎng)絡(luò)單元狀態(tài)，使連接權(quán)值處在動態(tài)之中，一旦加入一個連接或者移去一個連接，就能夠向管理者指示出現(xiàn)了事件異常，需要果斷采取行動保證信息安全。單純使用該技術(shù)所產(chǎn)生的作用是十分有限的。一般情況下，要將多種技術(shù)配合使用，以便能對出現(xiàn)的異常情況做出解釋，這對確認(rèn)用戶或者事故責(zé)任人是有明顯幫助的；④借助專家系統(tǒng)構(gòu)建的網(wǎng)絡(luò)安全審計技術(shù)。該技術(shù)較于其他技術(shù)能夠?qū)⑿畔⑾到y(tǒng)的控制推理獨(dú)立出來，使問題的解決能夠借助輸入的信息。為了評估這些事實(shí)，在運(yùn)行審計系統(tǒng)之前，需要編寫規(guī)則代碼，而這也恰是能夠有效防范網(wǎng)絡(luò)信息安全威脅的有效手段。

2.2 網(wǎng)絡(luò)信息安全審計的監(jiān)控范疇

2.2.1 信息安全審計方法。經(jīng)驗(yàn)表明，一些網(wǎng)絡(luò)信息安全審計系統(tǒng)可以借助遠(yuǎn)程登錄完成對服務(wù)器的管理和對應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的記錄等，用戶的操作行為和操作習(xí)慣會在服務(wù)器上留下痕跡。該類安全審計一般要按照以下步驟進(jìn)行：采集對被審計單位的相關(guān)信息數(shù)據(jù)，以保證數(shù)據(jù)的全面性與完整性；對采集到的數(shù)據(jù)信息進(jìn)行綜合分析與處理，使之能夠轉(zhuǎn)換成對于審計工作對應(yīng)的數(shù)據(jù)形式；借助計算機(jī)審計軟件完成對審計數(shù)據(jù)的復(fù)核。按照業(yè)內(nèi)的經(jīng)驗(yàn)，在網(wǎng)絡(luò)信息安全審計的設(shè)計過程中，需要將數(shù)據(jù)采集環(huán)節(jié)作為整個審計工作的前提與基礎(chǔ)，是其中的核心環(huán)節(jié)，否則，將無法保證數(shù)據(jù)的完整性、全面性和準(zhǔn)確性以及及時性，后面的審計工作也就無法正常開展。一般而言，借助互聯(lián)網(wǎng)進(jìn)行審計數(shù)據(jù)的采集主要有直接讀取數(shù)據(jù)和記住數(shù)據(jù)庫連接件讀取兩種方式，它們之間具有相似性。按照這兩種方式完成數(shù)據(jù)采集，一旦其中一方數(shù)據(jù)的存儲格式改變，就應(yīng)及時對數(shù)據(jù)采集全部存儲格式進(jìn)行調(diào)整。這樣就會導(dǎo)致數(shù)據(jù)采集效率和效果受到影響，降低信息安全審計的靈活性。因此，在實(shí)際操作中，要保證數(shù)據(jù)存儲格式的一致性，防止審計低效。

2.2.2 信息安全審計設(shè)備。在網(wǎng)絡(luò)信息安全審計中，只要將需要管理的網(wǎng)絡(luò)設(shè)備（比如出口路由器、核心交換機(jī)、匯聚交換機(jī)與接入交換機(jī)等）添加到相關(guān)安全審計系統(tǒng)之中，就能夠獲得發(fā)送過來的SNMP數(shù)據(jù)包。隨后，信息安全審計系統(tǒng)就會對數(shù)據(jù)包依據(jù)事件的等級和重要性予以分類，以便在后續(xù)的查詢和使用中更加方便。實(shí)際上，網(wǎng)絡(luò)的信息安全設(shè)備種類繁多，具體操作方法也大同小異。只要按照不同廠商設(shè)備的設(shè)置步驟和原則，開啟對應(yīng)的SNMP功能之后，將相關(guān)設(shè)備添加到網(wǎng)絡(luò)中安全審計系統(tǒng)之后，就能夠進(jìn)行相關(guān)操作。當(dāng)然，在這一過程中，要對串聯(lián)在網(wǎng)絡(luò)中的設(shè)備予以重點(diǎn)關(guān)注，要保證甚至能夠允許SNMP數(shù)據(jù)包通過。由此可以看出，借助安全設(shè)備實(shí)現(xiàn)對網(wǎng)絡(luò)信息的監(jiān)控和審計，能夠?yàn)榫W(wǎng)絡(luò)信息安全提供必要保障。當(dāng)然，由于監(jiān)控信息會不斷更新，加之由于海量數(shù)據(jù)造成的壓力，要依照實(shí)際需求確定監(jiān)控信息可以被記錄，以便能夠縮小記錄范圍，為信息安全審計提供更有價值、更具針對性的數(shù)據(jù)。

2.2.3 信息安全審計流程。通過指派權(quán)限，設(shè)備管理員能夠更為直觀和真實(shí)地了解對應(yīng)設(shè)備的操作過程。如果在這一過程中出現(xiàn)了故障，可以對應(yīng)地分析和查找問題，找到解決問題的途徑。此外，網(wǎng)絡(luò)信息系統(tǒng)的類別較多，以不同平臺或者中間件定制開發(fā)的系統(tǒng)也不盡相同。在這種情況下，就需要以信息手冊為藍(lán)本，在與開發(fā)人員進(jìn)行溝通之后，確定開放日志接口，并將其納入到網(wǎng)絡(luò)信息安全審計的范疇。

3 網(wǎng)絡(luò)信息安全審計監(jiān)控系統(tǒng)的設(shè)計與應(yīng)用

3.1 網(wǎng)絡(luò)信息安全審計系統(tǒng)的運(yùn)行設(shè)計

當(dāng)前，網(wǎng)絡(luò)信息安全審計系統(tǒng)經(jīng)常使用兩個端口，其主要任務(wù)便是對聯(lián)入局域網(wǎng)系統(tǒng)的核心部位交換機(jī)與服務(wù)器進(jìn)行數(shù)據(jù)和信息交換。而為了更好地收集與存放信息安全審計數(shù)據(jù)，無論是系統(tǒng)日志還是安全審計系統(tǒng)的安全管控中心，都要設(shè)在同一服務(wù)器之上。這樣一來，基于網(wǎng)絡(luò)的信息安全審計系統(tǒng)就能夠在搜集安全審計系統(tǒng)內(nèi)部數(shù)據(jù)的同時，按照要求從相關(guān)子系統(tǒng)模塊中獲取數(shù)據(jù)，以保證各個系統(tǒng)內(nèi)的信息實(shí)現(xiàn)共享，提高信息安全審計的效率。具體審計運(yùn)行范式如圖1所示。

3.2 網(wǎng)絡(luò)信息安全審計系統(tǒng)的實(shí)現(xiàn)

圖1 網(wǎng)絡(luò)信息安全審計運(yùn)行范式

網(wǎng)絡(luò)信息安全審計系統(tǒng)不但是一個能夠幫助企業(yè)完成內(nèi)部經(jīng)濟(jì)管理與效益控制的系統(tǒng)，社會組織還能借助網(wǎng)絡(luò)安全監(jiān)控體系，實(shí)現(xiàn)對網(wǎng)絡(luò)操作對象的實(shí)時監(jiān)控，保證網(wǎng)絡(luò)操作中相關(guān)文件與數(shù)據(jù)的安全。這一審計系統(tǒng)的工作原理為：①借助網(wǎng)絡(luò)文件監(jiān)控能夠?qū)崿F(xiàn)消息的安全傳遞，借助標(biāo)簽維護(hù)可實(shí)現(xiàn)對安全標(biāo)簽的及時、正確處理；②借助多線程技術(shù)，構(gòu)建網(wǎng)絡(luò)信息安全監(jiān)控系統(tǒng)的驅(qū)動程序消息控制模塊，實(shí)現(xiàn)對驅(qū)動程序的全程監(jiān)視，并保證信息接收與發(fā)送過程處在安全保護(hù)之中；③借助系統(tǒng)程序中的文件對用戶進(jìn)程中的相關(guān)文件操作予以過濾、監(jiān)視和攔截，以保證網(wǎng)絡(luò)數(shù)據(jù)訪問處在全面審核與嚴(yán)格控制之中，使網(wǎng)絡(luò)環(huán)境中文件的安全得到保障。

3.3 網(wǎng)絡(luò)信息安全審計系統(tǒng)的實(shí)際應(yīng)用

通常而言，網(wǎng)絡(luò)信息安全審計系統(tǒng)的實(shí)際應(yīng)用需要在動態(tài)管理的狀態(tài)下進(jìn)行。只有這樣，才能在投入使用之后，完全、精準(zhǔn)地記錄用戶的網(wǎng)上操作行為，也能對數(shù)據(jù)庫服務(wù)器的運(yùn)行予以全面監(jiān)控。比如，一旦企業(yè)員工通過“合法手段”對業(yè)務(wù)系統(tǒng)的安全性造成了威脅，那么這類“非法操作”等網(wǎng)絡(luò)行為就會被記錄和禁止。這是因?yàn)橛脩舻南嚓P(guān)行為能夠映射到網(wǎng)絡(luò)信息安全審計系統(tǒng)之中，管理者能夠借此對用戶信息和相關(guān)操作進(jìn)行快速定位，在極短的時間內(nèi)就能夠查出事故責(zé)任人，為信息安全運(yùn)行和非法行為的處置都提供極大便利。此外，基于先進(jìn)技術(shù)建立起來的網(wǎng)絡(luò)信息安全審計系統(tǒng)，還可以在全局層面上監(jiān)視網(wǎng)絡(luò)安全狀況，對出現(xiàn)的任何問題都能夠予以有效把控，對那些可能造成企業(yè)重大變故或者機(jī)密、核心信息的外泄行為，能夠借助網(wǎng)絡(luò)信息實(shí)時動態(tài)監(jiān)控系統(tǒng)做出積極反應(yīng)。

［1］付曉坤.網(wǎng)絡(luò)安全審計技術(shù)的運(yùn)用［J］.中國水運(yùn)，2013（9）：50-51.

［2］張文穎.探討網(wǎng)絡(luò)安全中安全審計與監(jiān)控系統(tǒng)的設(shè)計與實(shí)現(xiàn)［J］.電腦知識與技術(shù)，2013（16）：37-38.

［3］伍閩敏.建設(shè)企業(yè)計算機(jī)網(wǎng)絡(luò)安全審計系統(tǒng)的必要性及其技術(shù)要求［J］.信息安全與技術(shù)，2011（12）：34-36.

［4］劉慧蓉.網(wǎng)絡(luò)安全審計系統(tǒng)的應(yīng)用研究［J］.中國教育技術(shù)裝備，2013（6）：28-29.