信息安全審計技術在現實工作中的應用

吉林省統計局數據管理中心 張 楠

信息安全審計技術在現實工作中的應用

吉林省統計局數據管理中心 張 楠

內部人員對機密文件、敏感信息的竊取和泄漏，在互聯網上發布和訪問非法內容，以及在工作時間利用工作網絡進行與工作無關的活動屢見不鮮。政府機構、企業網絡或網站、個人網絡用戶深受其害。

信息安全審計；檢測

1.引言

隨著互聯網的發展， 網絡逐漸成為完成業務工作不可或缺的手段，很多政府、銀行、企業紛紛將核心業務基于網絡來實現。然而，網絡的不斷普及帶來了大量的安全問題。目前全球數據泄密事件53.7%的是由于人為疏忽造成，15.8%是由內部惡意竊密，23.3%是由于黑客等外部攻擊行為造成，7.2%是由于意外造成的數據丟失。根據IDC數據顯示，內部泄密事件從46%上升到了67%，而病毒入侵從20%，下降到5%。

2.信息安全審計定義及作用

2.1信息安全審計定義

信息安全審計是針對網絡用戶行為進行管理[1]，綜合運用網絡數據包獲取、協議分析、信息處理、不良流量阻斷等技術實現對網絡信息內容傳播的有效監管。它能夠幫助用戶對網絡進行動態實時監控，記錄網絡中發生的一切，尋找非法和違規行為，為用戶提供事后取證手段。

2.2信息安全審計的作用

跟蹤檢測。以旁路、透明的方式實時對進出內部網絡的電子郵件和傳輸信息等進行數據截取和還原，并可根據用戶需求對通信內容進行審計，提供敏感關鍵詞檢索和標記功能，從而防止內部網絡敏感信息的泄漏以及非法信息的傳播。

取證監控。還原系統的相關協議，完整記錄各種信息的起始地址和使用者，識別誰訪問了系統，訪問時間，確定是否有網絡攻擊的情況，確定問題和攻擊源，為調查取證提供第一手的資料。

3.其他安全產品安全審計方面的缺陷

防火墻只是內外部網絡之間建立起隔離，控制外部對受保護網絡的訪問，通過控制穿越防火墻的數據流來屏蔽內部網絡的敏感信息以及阻擋來自外部的威脅。

入侵檢測對網絡中的數據包進行監測，對一些有入侵嫌疑的包進行報警，準實時性較強，但采用的數據分析算法不能過于復雜，通常只是對單個數據包或者一小段時間內的數據包進行簡單分析判斷，誤報率和漏報率較高。

漏洞掃描、防病毒等設備主要發現網絡、應用軟件、操作系統的邏輯缺陷和錯誤，提早防范網絡、系統被非法入侵、攻擊；發現處理病毒。

4.信息安全審計系統的分類

主機審計：審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶；審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；統一安全策略，實現集中審計等。

網絡審計：應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；應能夠根據記錄數據進行分析，并生成審計報表；應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

數據庫審計：審計對數據庫的操作行為，如增、刪、改等，發現各種非法、違規操作。

業務審計：對業務系統的操作行為進行審計，如提交、修改業務數據等，滿足管理部門運維管理和風險內控需要。

日至審計：審計網絡設備、安全設備、應用系統、操作系統的日志，發現安全事件，保存證據。

5.信息安全審計系統的設計

主流的信息安全審計系統分為探針引擎和管理應用平臺兩部分組成[2]。

探針引擎的主要功能: 監聽網絡數據，并將數據臨時保存。將不同的數據流匯聚，形成一個應用鏈接；根據設定的規則，對采集的數據進行初步過濾，并對采集的數據進行協議分析，提取內容信息。如在Smtp，pop3協議中，提取郵件體和附件；將采集后的數據按規定格式存儲和傳輸。根據需要，進行傳輸加密。

管理應用平臺是由web管理平臺+控制中心+數據庫組成的三層結構。

WEB管理控制平臺主要功能：業務邏輯展現，系統管理、日志管理、策略管理、報表管理、查詢統計分析。

控制中心主要功能：文件中心主要是用于系統報警原始文件存儲、文件讀取；統計中心主要是用于定期對系統關鍵詞報警信息、行為日志數據、網絡流量數據、系統操作行為進行分類統計；數據中心主要是實現數據庫與探針引擎之間的橋梁，實現策略下發、探針引擎接入控制、數據轉存功能。

數據庫主要功能：用于結構化數據的存儲。

6.信息安全審計技術在工作中的基本應用

HTTP敏感信息檢測：HTTP協議的網頁瀏覽、網頁發帖監測，記錄中標網頁的URL、瀏覽時間、源IP、目的IP、源端口、目的端口以及源、目的MAC地址，并還原、保存原始網頁文件到本地磁盤。通過IP地址、域名、時間范圍、協議類型等組合查詢查看報警信息并輸出報表，通過“查看文件”鏈接查看原始瀏覽網頁文件內容，通過“查看詳細”鏈接監測報警信息的數據來源、報警協議類型、文件存放路徑等信息。

郵件敏感信息檢測：SMTP，POP3中的敏感信息監測，記錄中標網頁的信息摘要、、接收用戶、發送用戶、IP地址，并還原、保存原始郵件到本地磁盤，系統默認收、發郵件端口分別為110、25。可以通過接收用戶名、發送用戶名、時間范圍、IP地址查詢條件檢索郵件敏感信息并輸出報表，通過“查看文件”鏈接打開查看原始郵件主題、正文內容，通過“查看詳細”鏈接監測報警信息的數據來源、報警協議類型、文件存放路徑等信息。

IP流量監測：監測IP主機數據流向、流量大小，按總計流量從高到低排序，并可清零流量重新統計。

數據庫日志檢測：監控并記錄用戶對數據庫服務器的讀、寫、查詢、添加、修改以及刪除等操作日志記錄，并記錄數據庫服務器及操作用戶的IP、登錄用戶名、MAC地址、操作時間等信息。

7.結語

如何保證網絡行為、信息內容的合規性、合法性、健康性已成為網絡安全研究領域中的熱點問題。信息安全審計技術是對網絡行為進行檢測與防范，也是對信息系統建設的重要補充，將繼續在信息安全中發揮重要的作用。

[1]胡品輝.安全審計技術在地方財政信息系統中的應用[D].廣東工業大學.2008.

[2]張楠.某部門網絡安全管理方案的設計與實施[D].長春工業大學.2016.

張楠，吉林省統計局數管中心工程師，主要從事網絡和信息安全方面的工作。