高安全企業內網安全審計發展趨勢與審計模式研究

孫志清 李艷 鄧莉凡

摘要：安全審計是一種有效的安全監督和風險自識別的手段，也是當前各大企事業集團研究的熱點問題，本文對安全審計現狀、問題和發展趨勢進行了分析，提出的基于行為的安全審計模式，經過實踐證明行之有效，可為同行提供借鑒。

關鍵詞：安全審計;網絡安全

中圖分類號：TP391? ?文獻標識碼：A

文章編號：1009-3044（2019）16-0018-02

開放科學（資源服務）標識碼（OSID）：

Abstract： Security auditing is an effective means of safety supervision and risk self-identification. It is also the study of major military industry groups. This paper analyzes the status， problems and development trends of security audits， and proposes a behavior-based security audit model， which has been proven to be effective and can provide reference for peers.

Key words： security audit; network security

1 背景介紹

安全審計技術在現代安全防護體系中占有重要地位[1]，是對網絡用戶的行為進行管理，對計算機的工作過程進行詳盡的跟蹤，記錄用戶的活動，記錄系統管理，監控捕捉各種安全事件，維護管理審計記錄和審計日志[2]。根據國家標準的要求，企事業內部網絡須定期開展安全審計工作，其實施的目標主要有：

（1）掌握網絡當前的安全運行狀態，包括資產統計、變更情況等;

（2）對用戶及管理員的操作進行事后的追蹤分析;

（3）分析并判斷安全防護體系運行的有效性，識別安全短板，控制安全風險;

（4）識別、追蹤和定位發生的安全事件。

2 網絡安全審計的現狀

當前需要高安全的企事業內網的包括安全審計主要依托各類安全產品開展。可以分為：主機審計、網絡審計、違規外聯審計、數據庫審計、入侵審計、輸入輸出審計、業務審計、配置審計等等。各類安全審計技術的常見功能項如下：

[序號 審計產品 主要功能 1 主機審計 提供企事業內網的終端安全管理功能，主要支持Windows操作系統類型。包含客戶機和服務器的審計。可審計終端的外設接入、軟件安裝、進程運行等內容。 2 網絡審計 網絡審計和入侵檢測的融合度非常高，但是一般而言，除了入侵行為審計，網絡審計主要提供原始日志審計。 3 違規外聯審計 提供終端或服務器違規鏈接互聯網的審計。 4 數據庫審計 包括數據庫自帶審計功能或第三方獨立的審計，記錄數據庫操作記錄。 5 入侵審計 提供網絡邊界的入侵審計。 6 輸入輸出審計 記錄數據輸入輸出時的審批、導出、打印等操作。 7 業務審計 用戶登錄、業務操作、文件傳輸等審計。 8 配置審計 審計管理員更改網絡、安全設備、應用授權等的配置操作。 ]

3 網絡安全審計面臨的關鍵問題

隨著信息安全攻防對抗愈加激烈，軍工認證標準對高安全企事業內網安全審計提出了更高的要求。涉及審計的內容，審計發現問題的閉環管理，審計報告質量等具體的檢查要求。面對嚴苛的審計要求，傳統依托安全產品開展審計工作的模式面臨諸多問題

（1）缺乏追蹤分析的關鍵數據源，難以有效識別和定位問題。

傳統的安全審計工作基本依托各自獨立運行的審計功能，雖然提供了多個視角的審計數據，但審計缺乏統一的策略，導致審計數據分散，存在大量的冗余信息，有效數據非常稀少。以主機審計的違規外設告警分析為例，接收到告警后，往往缺乏信息進一步判斷用戶是無意識的誤差，還是有意的企圖繞過安全措施？是不允許使用介質的終端接入了U盤？是允許使用介質的終端使用了非注冊的介質？再以入侵檢測的SQL注入告警為例，接收到告警后由于難以捕獲時間和空間維度匹配的流量信息，導致難以進一步判斷是正常的業務行為，還是真實的攻擊行為？是有規律的行為，還是隨機的行為，是否是APT攻擊等。解決不了上述問題，導致安全審計工作流于表面，只能解決有無的問題。

（2）人工處理的速度遠遠低于網絡產生日志的速度

根據統計，一個近千個終端的網絡安全管理人員，平均每個月要面對近萬條入侵檢測告警，近千條主審告警，同時還有大量的防火墻日志和應用系統日志。當前提供的各類自動化審計工具，基本只能做到數據的自動收集，但很難做到與網絡業務環境高度匹配的審計分析策略。導致大部分日志仍然需求人工處理，然而機器產生日志的速度遠超過人能處理的能力，使得管理人員被海量告警信息淹沒，無法看到真正的違規和風險。

（3）安全審計缺乏全流程的管理

當前很多企事業內網的安全審計管理僅僅停留在技術層面，沒有做到管理與技術融合，更做不到與業務相互融合。安全審計發現的問題，缺乏暢通的上報處置機制，缺乏領導的關注，往往積壓到保密檢查、資格認證前期進行集中式的整改，嚴重打壓了審計工作者的信心和積極性。由于缺乏制度、機制和流程的保障，導致審計工作推進難、審計數據難以獲取等問題，嚴重制約著審計工作的提升。

4 網絡安全審計的關鍵技術

通常安全審計系統由審計控制臺和審計Agent組成。審計控制臺使整個審計系統的數據進行集中存儲和管理，通常基于數據庫平臺，采用數據庫方式進行審計數據管理和系統控制，提供給管理員用于對審計數據進行查閱，對審計系統進行規則設置，實現報警功能的界面軟件。審計Agent是直接同被審計網絡和系統連接的部件，不同的審計Agent完成不同的功能。審計Agent將報警數據和需要記錄的數據自動報送到審計控制臺，進行統一的管理。

目前各類審計系統使用的關鍵技術主要有：

[序號 關鍵技術 技術特點及優缺點分析 1 基于神經網絡的網絡安全審計技術 網絡通過改變單元狀態，改變連接權值，加入一個連接或者移去它們來指示一個事件異常。這種技術的主要不足是神經網絡不能為它們找到的任何異常提供解釋，導致用戶無法確認事故的責任人。 2 基于專家系統的網絡安全審計技術 許多早期經典的安全審計模型都是采用專家系統，比如DIDS（ 分布式網絡入侵檢測系統） 和CMDS 就采用了由美國國家航空和宇宙航行局開發的CLIPS 系統。這種技術的優點是把系統的控制推理從問題解決的描述中分離出去。這個特性允許用戶使用類似if-then 規則輸入異常行為信息，然后輸入事實，系統根據輸入信息評估這些事實。這個過程不需要用戶理解系統內部功能，但需要在審計系統運行之前，編寫規則代碼，這是一個非常耗時的工作。 3 基于代理的網絡安全審計技術 代理可以被看作是在網絡中執行某項特定監視任務的軟件實體。該系統通常分布式的運行在網絡的主機上，其中監視器是審計系統的關鍵功能模塊，一旦出現故障，可能產生不同的安全審計結果。當前軍工網絡的主機監控、違規外聯監控等均采用此類技術。 4 基于免疫系統的網絡安全審計技術 這種技術的提出主要由于生物免疫系統和計算機系統保護機制之間有著相似性。免疫系統通過識別異常或者以前未出現的特征來確定入侵，其本質就是“自我/非自我”的決定能力。但是這種技術不能處理包括種族條件、身份偽裝和策略違背等違規行為。 5 基于白名單的網絡安全審計技術 這種技術的提出主要是通過檢測軟件的運行態行為，并通過建立白名單的形式，對非列表內的行為進行告警。這種技術的優點是應對未知威脅的能力強，但往往由于無法準確匹配業務環境導致過高的誤報率。通常需要配合其他審計軟件共同使用。 ]

5 安全審計的發展趨勢

未來的安全審計必將呈現以下趨勢：

（1）安全審計平臺化

隨著軍工內部網絡跨域互聯、多業務并行等需要，對安全審計提出了多源數據關聯分析、綜合分析的需求，為了實現對歷史日志的細粒度的，深入化的分析，必須建立安全審計的平臺，用于整合分散在網絡中各類安全數據。

（2）更加重視內部威脅的持續監測

老牌安全公司邁克菲表示，43%的數據泄露都是內部人干的。ISF信息安全論壇則將內部人所致數據泄露的比例定在了54%。無論你覺得哪個數字靠譜，邪惡的內部人員都是真實存在的問題[3]。然而傳統的安全防護往往對內部威脅的防護效果不佳，原因是內部威脅行為通常隱藏在正常的業務操作中，難以通過簡單的規則來發現，面對內部威脅，必須要基于長期的，全方位的持續監測能力，在足夠的數據支撐的前提下，再綜合利用統計、自動化、智能化等方式來識別可疑行為。

（3）安全審計工作的標準化

隨著自動化和智能化審計技術的發展，提出了高質量審計數據的要求，這也為安全審計標準化工作提出了需求，同時起到了技術牽引的作用。安全審計工作的標準化，涉及數據標準化、流程標準化以及分析規則標準化等。

6 基于行為的安全審計模式

以行為作為橋梁，是提高安全審計效率，提升安全審計準確性的有效手段。如下圖所示：

在執行審計工作時，從正反兩個維度設置審計項，正方向通過總結、提取、分析日志正常的行為列表，配合用戶屬性（管理員、普通用戶、離崗離職等），結合正常數據的統計量來識別明顯的異常，例如離崗離職人員大量擺出文件、管理員頻繁變更安全產品配置、某個應用出現了從未使用過的IP等;反方向通過梳理國家標準、安全策略中命令禁止的行為和狀態，例如安裝虛擬機、ghost、及時通訊軟件，違規打印，非管理員機器登錄，涉密機連接手機等。通過明確的違規列表，明確回答各期的審計情況。

該審計模式通過實踐運行的驗證，在各期的審計工作中可以高效的發現用戶明確的不合規行為，并能夠及時地識別出異常的行為。且監測的行為可以很好地轉化軟件可觀察的狀態，從而可以很好地利用自動化工作實現基于行為的周期性安全審計。

7 總結

安全審計是一種有效的安全監督和風險自識別的有效手段，也是當前各大軍工集團研究的熱點問題，值得從管理和技術層面進行更深入的研究，本文提出的基于行為的安全審計模式，僅僅是從用戶監管角度找到了一種切實可行的方式，但是對于安全審計期望的網絡安全狀態的全面掌控，仍有很多工作可以做。同時目前的基于行為的審計主要依賴于審計人員領域知識和工作經驗來梳理正反行為列表，不能準確定位未知的威脅。

參考文獻：

[1] 丁文超， 冷冰， 許杰，等. 大數據環境下的安全審計系統框架[J]. 通信技術， 2016， 49（7）：909-914.

[2] 劉國城.基于過程的電子政務云安全審計模式研究[J]. 新疆大學學報（哲學·人文社會科學漢文版）， 2016， 44（1）：28-35.

[3] https：//baijiahao.baidu.com/s？id=1596725259308624015&wfr=spider&for=pc

【通聯編輯：梁書】