移動應用的安全審計機制研究

方圓　蔣明　蔡夢臣　張亮

摘 要：安全審計作為安全系統中的一個必備安全措施，與其他安全管理之間是存在密切的關聯。但是就其自身而言，其又具有不同于其他安全措施的獨特性。本文分別通過建立移動平臺和移動終端安全審計機制，能夠增強電力企業對故障、風險的預警能力和監控能力，也能夠為防護體系和企業的內部管理體系提供客觀、有效的改進依據。

關鍵詞：移動平臺；移動終端；安全審計

中圖分類號：TP309 文獻標識碼：A 文章編號：1671-2064（2018）13-0039-01

電力系統經過多年對信息系統的大力建設，已經形成了覆蓋企業經營、生產、管理諸方面的綜合管理信息系統。電力系統信息安全已經成為電力企業生產、經營和管理的重要組成部分。信息系統的安全、穩定運行是企業正常業務開展的基礎，也是涉及到社會穩定、經濟發展的大問題。

1 安全審計機制

安全審計作為安全系統中的一個必備安全措施，與其他安全管理之間是存在密切的關聯。但是就其自身而言，其又具有不同于其他安全措施的獨特性。具體表現在兩個方面：一是安全審計作為其他安全措施的補充，與系統其他安全管理之間協同合作，為整個系統的安全提供保障；二是安全審計作為系統各種安全措施的審計，即審計的審計；因此決定了安全審計需要保持一定的獨立性。但是就安全審計本身來說主要涵蓋兩個方面：第一安全審計主要是指對特定階段，對系統的安全防護能力做出評估，目的是對系統的安全現狀提供一個合理的評價。對系統內部是的各種安全措施、安全管理判斷是否合適、有效；第二指在整個系統的生命管理過程中，對系統進行一種全生命周期的審計跟蹤監控過程，其主要目的是及時發現、記錄危害系統安全的事故、事件，并查明相關事件發生的內在原因。

2 移動應用的安全審計機制

2.1 移動平臺中的安全審計機制

隨著智能電網、業務網及各支撐系統的不斷發展，各類設備產生的日志信息也越來越多。為了更好的對移動平臺進行管理，提高移動平臺安全性，以滿足審計要求，需要建立統一的日志集中管理與審計系統。移動平臺日志集中管理與審計需求主要包括：

（1）全面的日志采集需求：根據智能電網、業務網和各支撐系統中的主機、網絡設備、應用系統類型和網絡分布，采取基于各設備自身產生的日志文件的本地型日志采集方式和基于網絡流量抓取的網絡型日志采集方式，對全網設備、應用以及網絡中的各類操作進行全面的日志采集。

（2）審計記錄的規范化需求：由于全網設備種類繁多，各設備日志信息存儲格式、字段含義、通信協議差異較大。需要對采集到的各種設備日志進行歸一化處理，提取審計記錄完整信息，為后續審計分析提供依據。

（3）本地型日志審計與網絡型日志審計相結合的審計體：本地型日志，主要采用設備自身能力，記錄較為詳細的本地操作，各設備提供商可以更好地理解、確定重要操作類型、重要操作指令和關鍵詞等，然后通過多種采集機制匯總到日志集中管理與審計系統，但缺點是開啟數據庫審計等功能，會導致系統性能快速下降，尤其不適合于已建系統的審計；網絡型日志則通過網絡旁路抓包的方式獲取網絡操作，較適應于標準指令如telnet、SQL的審計，不會影響所審計的系統性能，但難以識別非標準應用軟件層面的關鍵操作。兩者互補、結合，構成移動平臺的審計體系。

（4）多維關聯分析需求：對于來自各個資源的日志信息，提供多維的關聯分析功能。面向系統用戶，將一個用戶在多個設備上的操作進行橫向關聯分析，形成以用戶為主題的操作行為審計；面向特定安全事件，對于發生在多個設備上的事件痕跡進行關聯分析，形成一個完整的事件相關操作過程的審計；從設備角度，形成本設備全部訪問情況的安全審計報告。

2.2 移動終端中的安全審計機制

審計系統為移動終端中的用戶行為或系統行為生成相應的記錄，記錄相關狀態，稱之為審計狀態。移動終端的審計可分為數據采集，審計分析，異常處理幾大部分。

（1）數據采集。移動終端可以通過讀取操作系統的日志文件，記錄用戶的操作行為，以及收集應用軟件的業務數據等方式進行采集數據。

（2）審計分析。審計分析是通過對采集的數據進行有效地處理，經過一定的分析判斷當前狀態是否正常。審計分析常用的手段是使用模式匹配算法進行數據分析。模式匹配算法是將釆集到的數據信息與提前設定好的安全規則進行比較，檢測出違反安全規則的行為和內容，模式匹配算法包括單模式匹配算法和多模式匹配算法兩種。單模式匹配顧名思義就是一次只能在文本串中匹配一個模式串，單模式匹配算法按搜索方式可以分為基于前綴搜索的方法、基于后綴搜索的方法和基于子串搜索的方法三種。多模式匹配算法區別于單模式匹配的就是可以在文本串中同時進行多個模式串匹配。

（3）異常處理。經過審計分析后，一旦判斷異常出現，就必須立刻采用有效手段去控制并解決異常，避免安全問題進一步擴大。通常的處理方式是通過沙箱隔離異常源，監控異常源的行為，對異常源的行為進行觀察，一旦異常源有明確的破壞行為就立即清除。

3 結語

綜上所述，一個完整電力安全保障體系，主要由安全預警、以及相應的監控、響應等多個部分所組成。安全審計作為整個系統特別是安全監控及預警的重要組成部分，加強安全審計的建設管理，有助于極大的提升電力企業應對網絡風險的能力；同時也可為企業內部的管理提供重要改進依據。