電信企業應用系統安全行為審計的探索與研究

李佳華 彭雅

摘要：毋庸置疑，信息數據是企業核心業務開展過程中最具有戰略性的資產，是企業構建和發展競爭力的關鍵，這些信息需要被保護起來，以防止競爭者和其他非法者獲取。本文通過用戶對應用系統的行為軌跡進行審計，豐富的審計數據來源和分析規則算法模型，多維度的數據分析，使行為審計工作卓有成效，變被動為主動，通過提前主動預防式的工作，快速降低通訊信息詐騙涉案涉訴量。

關鍵詞：信息;審計;行為;風險;泄露

中圖分類號：TP311? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）26-0243-03

開放科學（資源服務）標識碼（OSID）：

在數據驅動的DT時代，企業積累起來的海量數據成了不可或缺的寶貴資產，以數據進行決策，以數據資產進行價值變現，運用海量數據來分析業務、客戶行為和供用鏈，以此制定戰略的能力，成為企業增強洞察力、驅動業務持續發展的重要武器。

然而，企業信息數據觸點多，大數據產業鏈各個生態環節平臺、接口、應用、網絡、終端等都可能流轉和存放數據信息，海量的數據和日志缺乏針對性防護手段，應用、終端、網絡等前臺出口無有效審計方式，發生了數據泄露事件后，無法形成安全事件，也無法進行關聯分析、溯源、責任到人。因此，針對各種泄露途徑，對異常用戶進行偵測、發現和告警，便成為當務之急。為有效解決企業大數據安全問題，需要構建一套基于應用系統的業務行為審計平臺，對業務數據和用戶進行監控審計，及時發現數據泄露行為，同時也解決人工安全監管的低效、耗時、審計面狹窄等痛點。

1 審計目標

1.1 信息泄漏可溯源

對敏感信息全生命周期（生成、存儲、使用、共享、銷毀）進行實時監控，當發生敏感信息泄露時，能夠對泄露信息進行溯源（能夠還原出什么時間、什么人、在什么地方、通過什么方式泄露了什么數據），并自動固定證據。

1.2 異常操作可實時監控并處理

對賬號、行為、時段、操作等異常行為可實時審計、監控和分析;對經梳理確定的違規操作可預警并處理。

1.3 賬號權限可管可控

從員工崗位與賬號、權限制度設計，系統賬號及權限的管理與執行落地，及時審計、監控和發現賬號共用、未實名、高危越權;非涉敏賬號對敏感數據操作未脫敏隔離等違規問題，及時審計和監控賬號權限的申請及變更流程和實際賬號權限開通情況不符等違規情況。

需要辨識所有用戶及系統管理員的真實身份，完整記錄包含應用系統用戶及數據庫管理員等所有用戶的數據使用行為痕跡，協助IT系統做好「人事時地物」5W證據保存，達到應用關聯審計的目的。在不更改或少更改應用系統及不影響數據庫系統性能的前提下，提供數據庫全程自動化審計、追蹤和保護，達到信息審計的層層防護與交互監控。

2 信息安全審計——業務場景分析

2.1 信息泄露場景分析

1）敏感信息

個人用戶信息：如身份證、手機、郵箱、住址等;

商機信息：寬帶到期續費、合約到期續費、月度鎖定寬帶計費用戶續費;

企業風險信息：月度寬帶高風險流失、營業網點超轄區經營、高危賬號權限;

資金類信息：風險預存金、傭金、一次性費用等。

2）泄露途徑

2.2 異常操作場景分析

異常操作是指對前臺應用、后臺指令集、接口流轉數據、終端輸出數據等，按照關鍵命令、關鍵賬號、關鍵參數、關鍵數據操作等，進行實時審計、監控和分析，及時發現異常時間、異常IP登錄、異常賬號變更、異常敏感信息變更及查詢等違規操作，并預警和處理。

1）對敏感信息進行大量、高頻的操作。

例如：高頻率連續輸單、高頻率查詢敏感信息、高頻率更改業務數據、高頻積分調整、高頻積分兌換等操作。例如：BSS受理中心查詢客戶信息。

2）對非營業時段、非工作時段進行敏感信息查詢、更改、刪除等操作。

例如：批量業務查詢、批量客戶信息查詢。 在非工作時間對網格、EDC、BSS受理中心等系統進行敏感信息查詢、導出等操作。

3）在未經授權從前臺或后臺導出敏感信息（涉及敏感信息的數據文件、報表、表單等）、導出敏感信息超過授權范圍等異常行為;例如：從網格和EDC系統導出寬帶續費情況日報等。

4）非正常授權、非正常區域等超出常規和歷史的異常業務場景。例如：營業網點超轄區范圍進行寬帶到期續費、移動合約到期續費，風險預存金套取、一次性費用轉出、套取傭金等。

5）通過對VPN數據中的IP、時間、用戶名等緯度，重點發現對VPN賬戶暴力破解、異常登錄等異常行為。防止外部攻擊和信息泄露到外網。

2.3 賬號權限場景分析

賬號權限異常是指賬號借用、賬號共用、賬號未實名制、特殊權限非授權使用、賬號權限未審批、低權限賬號訪問高權限業務、賬號長期未使用突然使用、同一賬號同時段多IP登錄、同IP多賬號登錄、賬號繞行、賬號復用行為等異常行為。

1）同一賬號多IP地址登錄，存在一人賬號被多人使用。如IT系統前端超級管理員賬號（高危權限）在一周共有近40個IP地址登陸系統，部分IP地址為同網段IP，存在一人賬號多人使用的問題。

2）賬號信息未完整記錄姓名、身份證、工作單位、崗位、手機等相關信息。

3）IT系統未對高風險操作（如指批量導入、導出、查詢、修改、刪除等操作）未管理到位，存在普通權限操作人員濫用高危權限違規獲取、篡改數據，且未完整留痕，泄漏數據等風險.如普通營業員（原無查看敏感信息權限），頻繁免密查看敏感信息。

4）對高風險操作（如指批量導入、導出、查詢、修改、刪除等操作）未進行留痕和審計稽核。如未對批量拆機、批量受理等操作進行操作后留痕稽核。

5）臨時性批量信息數據傳遞過程沒有進行加密、脫敏處理，使用過程未進行防打印或使用人水印等安全措施，保存過程未對數據文件設置使用有效期限制。存在數據泄漏風險。

6）IT系統未完整記錄前端應用賬號登錄、查詢、導出等日志，未進行相關審計。如僅記錄登錄日志，無批量數據導出日志。

7）非正常授權高危賬號，超常規操作。如系統未對高風險操作（如指批量導入、導出、查詢、修改、刪除等操作）未進行審批。如對數據庫表進行手工數據更新、數據刪除操作未進行操作前審批與操作后稽核流程。

8）臨時性事項開通的各類賬號未及時關閉，長期未登陸未使用的賬號未注銷。

3 系統架構設計

3.1 系統架構

系統采用主流的大數據混合平臺架構，主要包括：數據源系統、數據獲取層、數據存儲層以及上層應用層和訪問接口層。自動化審計可基于日志、流量分析等，常用日志需通過采集、處理（格式規范化，以及分類、過濾，歸并等）、存儲、分析展現實現。 日志不完善部分，可補充流量分析。

3.2 數據采集

3.2.1日志采集

數據源系統數據的種類多樣性以及量大、快速實時性，涉及的部分有網絡設備、主機、數據庫以及一些中間件等，必須先進行日志的規范化，將日志按照統一標準分類，并根據相關先驗規則進行過濾，然后歸并處理，最后將日志存儲轉發，提供上分進行自動化日志分析，并展示輸出相應的日志審計報表。

審計平臺將大量采集日志，通過對異常行為特征建立場景模型，設計實現關聯算法對行為進行分析，輸出告警事件等一系列分析結果。

3.2.2 流量采集

由應用協議采集探針、元數據采集器及應用威脅分析增強功能模塊三部分組成：

應用協議采集探針：針對指定應用協議提供解析及分發功能，一方面與元數據采集器聯動，實現原始流量數據采集及解析存儲功能，另一方面可共享鏡像其他安全類設備進行后續分析;

元數據采集器：與應用協議采集探針聯動，采集解析后的指定協議原始鏡像數據，完成流量數據深度解析工作，并提供大數據平臺數據共享接口;

應用威脅分析增強功能模塊：與元數據采集器聯動，針對會話日志、HTTP日志及DNS日志進行深度分析，提供針隱蔽通信監測、設備行為基線、異常訪問流量監測等安全事件的深度威脅分析能力。

3.3 系統層級

對各類安全數據的采集、處理、匯聚、存儲、檢索能力，并向上提供數據展現。

采集、處理： 不同數據源，因格式的不一致、不完整等問題，需要對數據進行轉換和加工、過濾、清洗和存儲。

分析：可采用分析引擎、分析場景、分析輸出的分別定義，依據不同安全場景需求進行分析檢測。

匯聚展現：將分析、處理、整合的數據根據不同業務場景需求進行可視化的呈現，同時提供智能搜索、審計、監控等所需數據。

3.4技術要點

3.4.1高性能機器學習

專門構建的機器學習算法產生較少的誤報提供廣泛的覆蓋并產生高度可信的結果，這有助于事件響應和尋找威脅。

3.4.2異常抑制與評分

通過應用自定義分數確定檢測到異常的優先級，并抑制觸發的異常，以獲得更高的保真度威脅。

3.4.3上下文感知技術

對用戶、終端、文件、應用和其他實體構建上下文的接口。以用戶上下文的組件為核心實現驅動或關聯數據，實現行為分析和異常檢測等功能。

3.4.4多維度行為基線

以部門、個人、資產、資產群等為單位建立多維度行為基線，關聯用戶與資產的行為，用機器學習算法和預定義規則找出嚴重偏離基線的異常行為。

3.4.5風險行為回溯

提供基于用戶的調查分析工具，全面掌握用戶信息和行為軌跡，讓異常用戶無所遁形。

4 結束語

開展業務系統操作行為審計，對違規行為進行調查取證，追根溯源。滿足企業內部審計要求以及法律政策監管的合規性要求。根據不同的業務場景、不同的分析方法選取不同的挖掘算法，識別違規的業務操作。利用大數據技術，提高違規行為識別的精準度。圍繞風險態勢感知，指導安全審計工作方向。

參考文獻：

[1] 殷存舉.淺析網絡環境下的個人隱私泄露防護措施[J].電腦知識與技術，2018（14）：45-47.

[2] 崔英波，胡治寰.淺談當今我國高校內部審計存在的問題與對策[J].中國管理信息化，2017（3）.

[3] 張紅英，陳東.中國內部審計準則——闡釋與應用[M].上海：立信會計出版社，2017（1）.

[4] 王海兵，董倩，楊娛.企業內部控制審計信息化風險與應對策略研究[J].會計之友，2015（9）：57-61.

[5] 湯建榮，徐靈.大數據環境下的電子數據審計：機遇、挑戰與方法[J].電腦知識與技術，2018，14（17）：18-19.

【通聯編輯：唐一東】