信息安全審計系統的架構設計

◆林 迅

（福富軟件 福建 350001）

信息安全審計系統的架構設計

◆林 迅

（福富軟件 福建 350001）

信息安全審計系統采用分布式部署方式，分為網絡審計設備和審計管理中心兩大部分，通過基于業務運維行為、上網行為和網絡應用行為的審計，實現基于用戶網絡行為的全面多維度審計，本文通過介紹信息安全審計系統的體系架構、通過分析數據流圖設計來闡述該系統的設計原理。

行為審計；特征碼識別；管理中心

0 引言

信息安全是一個動態的過程，在為自身業務提供高效的網絡運營平臺同時，日趨復雜的IT業務系統與不同背景業務用戶的行為也給網絡帶來潛在的威脅，如內部業務數據、重要敏感文件通過電子郵件、遠程終端訪問（TELNET、FTP）等方式被纂改、泄露和竊取；訪問非法網站、發布非法言論等違規上網行為泛濫；嚴重破壞政府、企業的信息系統安全。

隨著業務系統訪問、網絡應用行為日益頻繁，我們可能經常遇到以下情況：

（1）員工隨意通過網絡共享文件夾、文件上傳下載、EMAIL等方式，發送重要敏感信息、業務數據，導致信息外泄事件發生；

（2）員工在論壇發表敏感信息、傳播非法言論，造成惡劣社會影響；

（3）等級保護要求。公安部國家電子政務等級保護、國家保密局BMB17-2006號文件中要求政府、涉密單位必須對涉密信息、業務系統相關的網絡行為進行安全審計和管理。

根據調查數據顯示，大多數企業雖然已經采用一定的網絡安全手段（如防火墻、入侵檢測等）和管理措施，但是上述安全事件發生后，卻仍然無法進行及時告警響應、準確定位事件源頭。如何有效監控業務系統訪問行為和敏感信息傳播是當前迫切需要解決的問題。

因此，信息安全審計系統正是在這樣的背景下產生的，為保障業務系統和網絡信息數據不受來自用戶的破壞、泄密、竊取，運用各種手段實時監控網絡環境中的網絡行為、通信內容，以便收集、分析報警、處理的一種手段。

1 系統體系架構

信息安全審計系統，通過網絡審計設備，對用戶上網行為進行數據采集、集中管理與分析，實現信息采集、檢測、監控與響應等管理過程。該系統體系架構如圖1所示：

圖1 信息安全審計系統體系架構

系統從總體架構上可分為審計設備、數據采集模塊、數據庫模塊、綜合管理模塊、外部接口層模塊，管理門戶模塊等。

（1）審計設備

網絡審計設備能夠針對局域網內用戶訪問互聯網的行為進行分析，為內網用戶提供安全監控和防護。網絡審計設備能夠針對內網用戶使用互聯網的上網行為進行實時的管理和有效的控制。采用協議識別，特征檢測和智能關聯分析技術，全面檢測網絡數據包，及時發現違反安全策略的事件并實時告警記錄。

（2）數據采集模塊

通過協議中介層從網絡設備、安全設備、主機、應用系統等數據來源采集各種安全信息，并進行格式規范化處理，為數據庫的統一管理做好準備。

（3）數據庫模塊

數據庫模塊將接收不同的數據采集模塊的數據，并把海量的數據進行合理的分類歸并、優化匯總。通過預先分配足夠的大小和合適的增長幅度在一個對象建立的時候要根據應用充分地計算他們的大小，減少存儲結構擴展。

（4）綜合管理模塊

綜合管理模塊具備日志查詢、報表統計、權限管理、系統管理等功能，方便信息安全監管人員有效地管理每一臺網關設備，適合在任何IP可達地點遠程管理。

（5）管理門戶模塊

實現統一的圖形化管理界面，系統實現了信息采集、監控、分析、維護、管理和展示，針對敏感數據實時監控，多方式告警。管理門戶即管理中心服務器，具有系統監控和日志管理功能，可以集中管理多臺設備，滿足不同管理模式的需要，多用戶多權限管理，提供針對網絡正常行為和異常行為的全面行為檢測手段，實現安全數據的整體挖掘，關聯分析管理。

2 數據流圖設計

信息安全審計系統的設計方法采用“結構分析法”，采用自頂向下，逐步求精，其基本思想是“分解”和“抽象”，我們借助“數據流圖（Data Flow Diagram）”來設計系統，它從數據傳遞和加工角度，以圖形方式來表達系統的邏輯功能、直觀的體現數據在系統內部的邏輯流向和邏輯變換過程。

圖2 頂層——數據流圖

數據流圖設計分為“頂層——數據流圖”（圖2）和“底層——數據流圖”（圖3）。“頂層——數據流圖”體現了信息安全審計系統的數據處理流程：內網用戶訪問互聯網的數據包經過網絡審計系統，被系統捕獲后還原數據流量，并進行全面數據分析與監測，實現了基于用戶網絡行為的全面多維度審計。網絡審計系統所產生的日志通過互聯網實時傳送到審計管理中心，通過集中匯總、分類索引的方式存儲于龐大的數據庫系統之中，安全管理員只要通過web控制臺，就能輕松的連接管理中心，查看日志數據，報表信息，系統配置以及下發管理策略。

圖3 底層——數據流圖

“底層——數據流圖”主要體現了信息安全審計系統的核心設計思想，內網用戶訪問互聯網的數據信息被捕包引擎分流，再傳送至數據包重組引擎，它可以根據數據的IP地址、端口類型、協議類型進行分類重組，還原單個用戶訪問互聯網的行為，這些網絡行為根據協議的類型進行分類再傳送至特征碼關聯分析引擎，該引擎可以分析不同類型的協議，依據互聯網常見的特征碼進行自學習，然后識別用戶的上網行為，如瀏覽網頁信息，論壇信息，email內容，ftp操作指令，telnet操作指令，IM用戶在線情況等，這些信息最終以日志的形式記錄在系統文件中，采用隊列的方式管理日志信息，確保日志不會丟失，并且利用UDP協議發送到管理中心進行存儲。網絡審計設備還具備通信客戶端功能，實時與審計管理中心交互，等待管理中心下發策略，如自動升級系統，開啟關閉審計系統等策略。

3 結束語

信息安全審計系統能有效的掌握局域網內部的信息安全狀態，預防敏感涉密信息外泄，實現對內部網絡信息的整體智能關聯分析、跟蹤定位。而如何不斷完善支持更多的應用程序的識別分析，最大程度的保障互聯網的信息安全，如何創建智能防御機制，及時、準確的發現潛在的未知威脅，是未來信息安全審計發展的方向之一。

[1]薩默維爾．軟件工程．機械工業出版社，2011．

[2]王夢龍．網絡信息安全原理與技術．中國鐵道出版社，2009．

[3]安德森．信息安全工程（第2版）．清華大學出版社，2012．