基于審計平臺實現企業網絡安全可視化的研究

◆關澤武歐陽可萃

（1.中國南方電網有限責任公司 廣東 510623；2.北京啟明星辰信息安全技術有限公司 廣東 510620）

基于審計平臺實現企業網絡安全可視化的研究

◆關澤武1歐陽可萃2

（1.中國南方電網有限責任公司 廣東 510623；2.北京啟明星辰信息安全技術有限公司 廣東 510620）

隨著企業信息化的不斷發展，企業對網絡技術的依賴逐日加深。與此同時，提高企業網絡安全性也迫在眉睫。通過審計平臺，可以有效確保企業網絡安全。因此，本文主要介紹了審計平臺的概念、審計平臺的作用、系統組成以及系統功能。為企業構建審計平臺提供一些參考。

網絡安全；審計平臺；可視化

0 引言

隨著信息技術的發展，企業對信息化的投資越來越大，應用系統的規模也逐步擴大，企業通過應用系統在獲得便利的同時，針對企業信息化網絡、信息系統的攻擊層出不窮，利用的技術手段復雜多變，給企業網絡帶來了難以估量的安全隱患。根據國內知名網絡安全廠商360公司發布《2014中國個人電腦上網安全報告》可看出，2014年，360互聯網安全中心均每天88.8萬個截獲新增惡意程序樣本，全年共截獲3.24億個新增惡意程序樣本。360安全衛士和360殺毒共攔截572.7億次惡意程序攻擊，平均每天攔截約1.57億次惡意程序攻擊。以上攔截數據說明，國內互聯網“不安全”。因此，保障網絡安全已經刻不容緩。

然而，企業傳統的網絡安全體系建設只注重于網絡邊界的安全，重點建設針對外部網絡向企業內網攻擊的防護措施。長期以來，企業的網絡安全狀況、安全防護水平無法得到客觀的體現，缺乏對企業網絡安全治理提供數據支撐依據。因此，需要借助技術手段對企業網絡的安全狀況進行審計和評估，并提供可視化視圖直觀展現，從而實現企業網絡的全面安全監督。

1 安全審計平臺及作用

所謂安全審計是：針對業務環境下的網絡操作行為進行細粒度審計的合規性管理平臺。它通過對內外部人員訪問企業網絡、信息系統的行為進行解析、分析、記錄、匯報，用于幫助企業的網絡安全管理部門事前規劃預防，事中實時監視、違規行為響應，事后合規報告、事故追蹤溯源，同時加強內外部網絡行為監管、促進核心資產（數據庫、服務器、網絡設備等）的正常運營。安全審計平臺通過記錄行為分析，獲取相應的電子證據，并對相關信息進行分析處理、評價審查，對突發事件還能進行報警響應，或者有選擇性和針對性地對其中的對象進行審計跟蹤,找出安全事故的原因，并做出進一步的處理，從而保障企業網絡安全。

眾所周知，沒有任何的一種技術可以確保絕對的網絡安全，即使是理論上足夠安全，也不能保證在執行過程中能夠準確無誤的實施。因此，在完成必要的基礎安全防護體系構建后，需要同步構建審計平臺。安全審計平臺作為一個獨立的軟件,和基礎安全產品(如防火墻、入侵檢測系統、漏洞掃描系統等)互相協調、補充,保護網絡的整體安全。

基于安全審計平臺實現網絡安全狀況的可視化，對企業的網絡安全有以下幾點價值：

1.1 提供有效的追查證據，威懾網絡犯罪人員

盡管審計平臺對于網絡攻擊、竊密等行為無法進行有效阻止。但是審計平臺能有效記錄用戶的活動，對于突發事件還能進行報警和相應。通過審計平臺可以有效的記錄系統時間，為事后的分析和舉證提供了有效的證據，這也給網絡犯罪行為提供了取證的基礎，所以網絡犯罪者畏懼審計平臺而不敢輕易嘗試。

1.2 監視網絡違規行為

由于企業網絡中，許多文件不能隨意查看、刪除、篡改或者拷貝，因此可以通過審計系統，對訪問活動或者試圖訪問活動進行監控，并形成訪問日志，該日志詳細記錄了訪問或者試圖訪問的設備、時間等相關，并將該記錄以短信或者郵件等方式通知到系統管理員。

1.3 保障操作系統及應用系統可靠性

審計平臺可以收集操作系統或者應用系統產生的所有訪問或者試圖訪問的活動，如系統日志、報警消息、操作記錄等。管理員可以通過這些日志發現系統性能上的不足，從而優化系統。

2 安全審計平臺數據的可視化內容

上文所述，安全審計平臺是企業網絡安全管理中重要的一環。從網絡安全管理的需求分析，安全審計平臺需提供網絡攻擊、系統漏洞、訪問記錄、木馬病毒、安全風險等數據的可視化，各項數據的可視化需求如下表：

表1 數據可視化需求表

安全審計平臺對可視化的安全數據及展現方式應結合企業安全管理部門不同角色人員對于安全管理工作的切身需要進行設計。就上述數據的可視化，安全審計系統需提供如下的可視化展現方式：

2.1 全局監視儀表板

監視儀表板可以在一個屏幕中看到不同設備類型、不同安全區域的實時日安全狀態曲線、統計圖，以及網絡整體運行態勢、待處理告警信息等。通過自定義儀表板，按需設計儀表板顯示的內容和布局，可以為不同角色的使用者建立不同維度的儀表板。

2.2 實時審計視圖

企業的信息安全審計員根據內置或者自定義的實時監視策略，從被審計信息的的任意維度實時觀測安全事件的走向，并可以進行事件調查、鉆取，并進行事件行為分析和來源定位。審計員可以實時監視防火墻、IDS、防病毒、網絡設備、主機和應用的高危安全事件；可以實時監視各個部門、各個安全域、各個業務系統的重點安全事件；可以實時監視全網的違規登錄事件、配置變更事件、針對關鍵服務器的入侵攻擊事件。

2.3 審計信息統計視圖

信息安全審計人員根據內置或者自定義的統計策略，從多個維度實時進行安全事件統計分析，并以柱圖、餅圖、堆積圖等形式進行可視化的展示。審計員可以查看一段時間內的主機流量排行、主機登錄失敗次數排行、活躍病毒排行、網絡設備故障排行、最多訪問用戶排行。

3 安全審計平臺的原理設計

為實現網絡安全狀況的可視化，安全審計平臺需具備數據獲取、數據解析、數據響應等業務流程，業務流程基于審計策略實現，最終通過可視化界面展現企業信息網絡的安全狀況，安全審計平臺結構示意如下：

圖1 安全審計平臺結構圖

3.1 數據獲取

數據獲取模塊主要是通過監聽技術、內核過濾技術等獲取原始信息數據，即源事件信息，是審計平臺原始數據的來源，數據的來源包括審計對象系統日志、網絡行為的流量數據包等信息。獲取的數據包必須準確、完整，并交給其他模塊使用，這是保障審計結果準確、完整的核心。

3.2 數據解析

數據包處理模塊中最為核心的是協議分析，協議分析主要是將數據采集模塊獲得的數據包，根據其報頭的信息，判斷其所屬的協議，然后對不同協議的傳輸方式、報文內容、協議格式等重組、還原，最后將用戶操作的數據包傳給數據審計模塊。

3.3 數據響應

事件響應模塊是對審計模塊做出相應的反應，或警告，或強制切斷 TCP連接，將數據庫的分析結果及時存儲在數據庫，并以短信或者郵件的形式通知到系統管理員，以便及時采取措施。

3.4 審計策略管理

該模塊首先要制定規則。授權管理員制定規則庫，并在系統使用過程中，不斷添加新的規則。系統根據規則定義的格式，將獲取的數據與規則庫進行匹配，系統將會自動與結構做出相應，并將審計后的結果形成審計日志。規則庫是否完善、正確是決定數據審計模塊的關鍵因素。

4 安全審計平臺的功能規劃

在上文中，提出基于安全審計平臺實現網絡安全可視化對企業的價值以及可視化的內容，并對安全審計平臺的可視化的技術原理進行了設計，基于此，整理對安全審計平臺功能規劃，為企業網絡安全狀況可視化提供應用支撐。

4.1 監視網絡違規行為

安全審計平臺要實時監測網絡傳輸的內容，根據平臺規則庫的相關規則，實時監測系統用戶的活動，結合規則判斷出網絡安全事件，包括非法訪問、內部違規、系統入侵等行為。當一個違規事件多次出現或者集中出現，安全審計平臺借助的智能事件關聯分析技術，提供實時不間斷地對所有多次出現的違規事件進行安全事件關聯分析，來確保系統的安全。

4.2 收集系統產生的審計數據

收集系統數據主要是一種取證功能，該功能主要用于收集審計所需要的源事件信息。為了確保審計結果的準確性，必須做到收集的信息準確、完整，應該建立防止審計的相關信息被黑客刪除或者意外丟失，做好足夠的備份工作。所收集的數據主要包括設備的報警信息、操作記錄、被審計的系統日志等。

4.3 實時報警

實時報警功能主要是為了授權管理員及時響應并處理系統存在的問題。當審計平臺檢測到網絡違規行為或者一場行為時，系統應該根據預設的報警方式報警，以便提醒授權管理員及時處理異常情況。根據事件級別不同報警方式不同，可以是短信、郵件甚至是聲音，以確保授權管理員能及時發現。

4.4 審計數據維護及權限控制

該功能必須具備審計數據安全存儲、權限管理等功能。因為所有的審計事件都保存在審計平臺，授權管理員必須根據用戶的級別劃分權限從而加密。從而不同的用戶可以根據自己的權限獲取不同的查詢、刪除、審查、管理、維護等功能，從而獲取不同的資料。另外，該功能還必須具備防止審計數據丟失的功能。確保其不備惡意修改、刪除、非法訪問、復制或者拷貝。以確保審計的準確性。

4.5 規則制定

根據用戶的不同需求，系統管理員制定不同的審計規則來運作，從而使得審計平臺更加符合系統的要求。通過審計規則，對審計內容實現統一的輸出內容，如事件日期、事件、事件類型、主題標識、執行結果、活動主體等與此有關的審計信息。

5 結束語

在高度信息化的今天，各大企業都將網絡安全問題納為信息部門的工作重點，并逐步投入大量的硬件設備，這為建設安全的網絡提供了保障。但是，眾所周知，網絡安全是一個動態的體現，需要不斷的監視并完善，而審計平臺可以對系統進行實時審計、建立有效的評估，對安全狀況提供可視化視圖。因此，各大企業應該結合自己的系統實際情況，積極主動建立安全審計平臺，并將其不斷優化，構建完善的網絡安全審計體系。

[1]趙霞.網絡安全防護技術淺析.科技創新導報，2010.

[2]姚志東.一種網絡安全審計系統的設計與實現.北京郵電大學碩士論文，2009.

[3]姜華.網絡安全審計系統的研究與實現[J].計算機工程與設計，2008.

[4]任從容.網絡安全問題的探討[J].科技創新導報，2008.

[5]王嘉磊.加強網絡安全審計實現網絡安全管理[J].信息系統工程，2008.

[6]朱學全.論析網絡安全風險[J].內蒙古科技與經濟，2008.