孫志清 李艷 鄧?yán)蚍?/p>

摘要：安全審計(jì)是一種有效的安全監(jiān)督和風(fēng)險(xiǎn)自識(shí)別的手段，也是當(dāng)前各大企事業(yè)集團(tuán)研究的熱點(diǎn)問(wèn)題，本文對(duì)安全審計(jì)現(xiàn)狀、問(wèn)題和發(fā)展趨勢(shì)進(jìn)行了分析，提出的基于行為的安全審計(jì)模式，經(jīng)過(guò)實(shí)踐證明行之有效，可為同行提供借鑒。

關(guān)鍵詞：安全審計(jì);網(wǎng)絡(luò)安全

中圖分類號(hào)：TP391? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）16-0018-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

Abstract： Security auditing is an effective means of safety supervision and risk self-identification. It is also the study of major military industry groups. This paper analyzes the status， problems and development trends of security audits， and proposes a behavior-based security audit model， which has been proven to be effective and can provide reference for peers.

Key words： security audit; network security

1 背景介紹

安全審計(jì)技術(shù)在現(xiàn)代安全防護(hù)體系中占有重要地位[1]，是對(duì)網(wǎng)絡(luò)用戶的行為進(jìn)行管理，對(duì)計(jì)算機(jī)的工作過(guò)程進(jìn)行詳盡的跟蹤，記錄用戶的活動(dòng)，記錄系統(tǒng)管理，監(jiān)控捕捉各種安全事件，維護(hù)管理審計(jì)記錄和審計(jì)日志[2]。根據(jù)國(guó)家標(biāo)準(zhǔn)的要求，企事業(yè)內(nèi)部網(wǎng)絡(luò)須定期開(kāi)展安全審計(jì)工作，其實(shí)施的目標(biāo)主要有：

（1）掌握網(wǎng)絡(luò)當(dāng)前的安全運(yùn)行狀態(tài)，包括資產(chǎn)統(tǒng)計(jì)、變更情況等;

（2）對(duì)用戶及管理員的操作進(jìn)行事后的追蹤分析;

（3）分析并判斷安全防護(hù)體系運(yùn)行的有效性，識(shí)別安全短板，控制安全風(fēng)險(xiǎn);

（4）識(shí)別、追蹤和定位發(fā)生的安全事件。

2 網(wǎng)絡(luò)安全審計(jì)的現(xiàn)狀

當(dāng)前需要高安全的企事業(yè)內(nèi)網(wǎng)的包括安全審計(jì)主要依托各類安全產(chǎn)品開(kāi)展?？梢苑譃椋褐鳈C(jī)審計(jì)、網(wǎng)絡(luò)審計(jì)、違規(guī)外聯(lián)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、入侵審計(jì)、輸入輸出審計(jì)、業(yè)務(wù)審計(jì)、配置審計(jì)等等。各類安全審計(jì)技術(shù)的常見(jiàn)功能項(xiàng)如下：

[序號(hào) 審計(jì)產(chǎn)品 主要功能 1 主機(jī)審計(jì) 提供企事業(yè)內(nèi)網(wǎng)的終端安全管理功能，主要支持Windows操作系統(tǒng)類型。包含客戶機(jī)和服務(wù)器的審計(jì)?？蓪徲?jì)終端的外設(shè)接入、軟件安裝、進(jìn)程運(yùn)行等內(nèi)容。 2 網(wǎng)絡(luò)審計(jì) 網(wǎng)絡(luò)審計(jì)和入侵檢測(cè)的融合度非常高，但是一般而言，除了入侵行為審計(jì)，網(wǎng)絡(luò)審計(jì)主要提供原始日志審計(jì)。 3 違規(guī)外聯(lián)審計(jì) 提供終端或服務(wù)器違規(guī)鏈接互聯(lián)網(wǎng)的審計(jì)。 4 數(shù)據(jù)庫(kù)審計(jì) 包括數(shù)據(jù)庫(kù)自帶審計(jì)功能或第三方獨(dú)立的審計(jì)，記錄數(shù)據(jù)庫(kù)操作記錄。 5 入侵審計(jì) 提供網(wǎng)絡(luò)邊界的入侵審計(jì)。 6 輸入輸出審計(jì) 記錄數(shù)據(jù)輸入輸出時(shí)的審批、導(dǎo)出、打印等操作。 7 業(yè)務(wù)審計(jì) 用戶登錄、業(yè)務(wù)操作、文件傳輸?shù)葘徲?jì)。 8 配置審計(jì) 審計(jì)管理員更改網(wǎng)絡(luò)、安全設(shè)備、應(yīng)用授權(quán)等的配置操作。 ]

3 網(wǎng)絡(luò)安全審計(jì)面臨的關(guān)鍵問(wèn)題

隨著信息安全攻防對(duì)抗愈加激烈，軍工認(rèn)證標(biāo)準(zhǔn)對(duì)高安全企事業(yè)內(nèi)網(wǎng)安全審計(jì)提出了更高的要求。涉及審計(jì)的內(nèi)容，審計(jì)發(fā)現(xiàn)問(wèn)題的閉環(huán)管理，審計(jì)報(bào)告質(zhì)量等具體的檢查要求。面對(duì)嚴(yán)苛的審計(jì)要求，傳統(tǒng)依托安全產(chǎn)品開(kāi)展審計(jì)工作的模式面臨諸多問(wèn)題

（1）缺乏追蹤分析的關(guān)鍵數(shù)據(jù)源，難以有效識(shí)別和定位問(wèn)題。

傳統(tǒng)的安全審計(jì)工作基本依托各自獨(dú)立運(yùn)行的審計(jì)功能，雖然提供了多個(gè)視角的審計(jì)數(shù)據(jù)，但審計(jì)缺乏統(tǒng)一的策略，導(dǎo)致審計(jì)數(shù)據(jù)分散，存在大量的冗余信息，有效數(shù)據(jù)非常稀少。以主機(jī)審計(jì)的違規(guī)外設(shè)告警分析為例，接收到告警后，往往缺乏信息進(jìn)一步判斷用戶是無(wú)意識(shí)的誤差，還是有意的企圖繞過(guò)安全措施？是不允許使用介質(zhì)的終端接入了U盤(pán)？是允許使用介質(zhì)的終端使用了非注冊(cè)的介質(zhì)？再以入侵檢測(cè)的SQL注入告警為例，接收到告警后由于難以捕獲時(shí)間和空間維度匹配的流量信息，導(dǎo)致難以進(jìn)一步判斷是正常的業(yè)務(wù)行為，還是真實(shí)的攻擊行為？是有規(guī)律的行為，還是隨機(jī)的行為，是否是APT攻擊等。解決不了上述問(wèn)題，導(dǎo)致安全審計(jì)工作流于表面，只能解決有無(wú)的問(wèn)題。

（2）人工處理的速度遠(yuǎn)遠(yuǎn)低于網(wǎng)絡(luò)產(chǎn)生日志的速度

根據(jù)統(tǒng)計(jì)，一個(gè)近千個(gè)終端的網(wǎng)絡(luò)安全管理人員，平均每個(gè)月要面對(duì)近萬(wàn)條入侵檢測(cè)告警，近千條主審告警，同時(shí)還有大量的防火墻日志和應(yīng)用系統(tǒng)日志。當(dāng)前提供的各類自動(dòng)化審計(jì)工具，基本只能做到數(shù)據(jù)的自動(dòng)收集，但很難做到與網(wǎng)絡(luò)業(yè)務(wù)環(huán)境高度匹配的審計(jì)分析策略。導(dǎo)致大部分日志仍然需求人工處理，然而機(jī)器產(chǎn)生日志的速度遠(yuǎn)超過(guò)人能處理的能力，使得管理人員被海量告警信息淹沒(méi)，無(wú)法看到真正的違規(guī)和風(fēng)險(xiǎn)。

（3）安全審計(jì)缺乏全流程的管理

當(dāng)前很多企事業(yè)內(nèi)網(wǎng)的安全審計(jì)管理僅僅停留在技術(shù)層面，沒(méi)有做到管理與技術(shù)融合，更做不到與業(yè)務(wù)相互融合。安全審計(jì)發(fā)現(xiàn)的問(wèn)題，缺乏暢通的上報(bào)處置機(jī)制，缺乏領(lǐng)導(dǎo)的關(guān)注，往往積壓到保密檢查、資格認(rèn)證前期進(jìn)行集中式的整改，嚴(yán)重打壓了審計(jì)工作者的信心和積極性。由于缺乏制度、機(jī)制和流程的保障，導(dǎo)致審計(jì)工作推進(jìn)難、審計(jì)數(shù)據(jù)難以獲取等問(wèn)題，嚴(yán)重制約著審計(jì)工作的提升。

4 網(wǎng)絡(luò)安全審計(jì)的關(guān)鍵技術(shù)

通常安全審計(jì)系統(tǒng)由審計(jì)控制臺(tái)和審計(jì)Agent組成。審計(jì)控制臺(tái)使整個(gè)審計(jì)系統(tǒng)的數(shù)據(jù)進(jìn)行集中存儲(chǔ)和管理，通?；跀?shù)據(jù)庫(kù)平臺(tái)，采用數(shù)據(jù)庫(kù)方式進(jìn)行審計(jì)數(shù)據(jù)管理和系統(tǒng)控制，提供給管理員用于對(duì)審計(jì)數(shù)據(jù)進(jìn)行查閱，對(duì)審計(jì)系統(tǒng)進(jìn)行規(guī)則設(shè)置，實(shí)現(xiàn)報(bào)警功能的界面軟件。審計(jì)Agent是直接同被審計(jì)網(wǎng)絡(luò)和系統(tǒng)連接的部件，不同的審計(jì)Agent完成不同的功能。審計(jì)Agent將報(bào)警數(shù)據(jù)和需要記錄的數(shù)據(jù)自動(dòng)報(bào)送到審計(jì)控制臺(tái)，進(jìn)行統(tǒng)一的管理。

目前各類審計(jì)系統(tǒng)使用的關(guān)鍵技術(shù)主要有：

[序號(hào) 關(guān)鍵技術(shù) 技術(shù)特點(diǎn)及優(yōu)缺點(diǎn)分析 1 基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全審計(jì)技術(shù) 網(wǎng)絡(luò)通過(guò)改變單元狀態(tài)，改變連接權(quán)值，加入一個(gè)連接或者移去它們來(lái)指示一個(gè)事件異常。這種技術(shù)的主要不足是神經(jīng)網(wǎng)絡(luò)不能為它們找到的任何異常提供解釋，導(dǎo)致用戶無(wú)法確認(rèn)事故的責(zé)任人。 2 基于專家系統(tǒng)的網(wǎng)絡(luò)安全審計(jì)技術(shù) 許多早期經(jīng)典的安全審計(jì)模型都是采用專家系統(tǒng)，比如DIDS（ 分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)） 和CMDS 就采用了由美國(guó)國(guó)家航空和宇宙航行局開(kāi)發(fā)的CLIPS 系統(tǒng)。這種技術(shù)的優(yōu)點(diǎn)是把系統(tǒng)的控制推理從問(wèn)題解決的描述中分離出去。這個(gè)特性允許用戶使用類似if-then 規(guī)則輸入異常行為信息，然后輸入事實(shí)，系統(tǒng)根據(jù)輸入信息評(píng)估這些事實(shí)。這個(gè)過(guò)程不需要用戶理解系統(tǒng)內(nèi)部功能，但需要在審計(jì)系統(tǒng)運(yùn)行之前，編寫(xiě)規(guī)則代碼，這是一個(gè)非常耗時(shí)的工作。 3 基于代理的網(wǎng)絡(luò)安全審計(jì)技術(shù) 代理可以被看作是在網(wǎng)絡(luò)中執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體。該系統(tǒng)通常分布式的運(yùn)行在網(wǎng)絡(luò)的主機(jī)上，其中監(jiān)視器是審計(jì)系統(tǒng)的關(guān)鍵功能模塊，一旦出現(xiàn)故障，可能產(chǎn)生不同的安全審計(jì)結(jié)果。當(dāng)前軍工網(wǎng)絡(luò)的主機(jī)監(jiān)控、違規(guī)外聯(lián)監(jiān)控等均采用此類技術(shù)。 4 基于免疫系統(tǒng)的網(wǎng)絡(luò)安全審計(jì)技術(shù) 這種技術(shù)的提出主要由于生物免疫系統(tǒng)和計(jì)算機(jī)系統(tǒng)保護(hù)機(jī)制之間有著相似性。免疫系統(tǒng)通過(guò)識(shí)別異?；蛘咭郧拔闯霈F(xiàn)的特征來(lái)確定入侵，其本質(zhì)就是“自我/非自我”的決定能力。但是這種技術(shù)不能處理包括種族條件、身份偽裝和策略違背等違規(guī)行為。 5 基于白名單的網(wǎng)絡(luò)安全審計(jì)技術(shù) 這種技術(shù)的提出主要是通過(guò)檢測(cè)軟件的運(yùn)行態(tài)行為，并通過(guò)建立白名單的形式，對(duì)非列表內(nèi)的行為進(jìn)行告警。這種技術(shù)的優(yōu)點(diǎn)是應(yīng)對(duì)未知威脅的能力強(qiáng)，但往往由于無(wú)法準(zhǔn)確匹配業(yè)務(wù)環(huán)境導(dǎo)致過(guò)高的誤報(bào)率。通常需要配合其他審計(jì)軟件共同使用。 ]

5 安全審計(jì)的發(fā)展趨勢(shì)

未來(lái)的安全審計(jì)必將呈現(xiàn)以下趨勢(shì)：

（1）安全審計(jì)平臺(tái)化

隨著軍工內(nèi)部網(wǎng)絡(luò)跨域互聯(lián)、多業(yè)務(wù)并行等需要，對(duì)安全審計(jì)提出了多源數(shù)據(jù)關(guān)聯(lián)分析、綜合分析的需求，為了實(shí)現(xiàn)對(duì)歷史日志的細(xì)粒度的，深入化的分析，必須建立安全審計(jì)的平臺(tái)，用于整合分散在網(wǎng)絡(luò)中各類安全數(shù)據(jù)。

（2）更加重視內(nèi)部威脅的持續(xù)監(jiān)測(cè)

老牌安全公司邁克菲表示，43%的數(shù)據(jù)泄露都是內(nèi)部人干的。ISF信息安全論壇則將內(nèi)部人所致數(shù)據(jù)泄露的比例定在了54%。無(wú)論你覺(jué)得哪個(gè)數(shù)字靠譜，邪惡的內(nèi)部人員都是真實(shí)存在的問(wèn)題[3]。然而傳統(tǒng)的安全防護(hù)往往對(duì)內(nèi)部威脅的防護(hù)效果不佳，原因是內(nèi)部威脅行為通常隱藏在正常的業(yè)務(wù)操作中，難以通過(guò)簡(jiǎn)單的規(guī)則來(lái)發(fā)現(xiàn)，面對(duì)內(nèi)部威脅，必須要基于長(zhǎng)期的，全方位的持續(xù)監(jiān)測(cè)能力，在足夠的數(shù)據(jù)支撐的前提下，再綜合利用統(tǒng)計(jì)、自動(dòng)化、智能化等方式來(lái)識(shí)別可疑行為。

（3）安全審計(jì)工作的標(biāo)準(zhǔn)化

隨著自動(dòng)化和智能化審計(jì)技術(shù)的發(fā)展，提出了高質(zhì)量審計(jì)數(shù)據(jù)的要求，這也為安全審計(jì)標(biāo)準(zhǔn)化工作提出了需求，同時(shí)起到了技術(shù)牽引的作用。安全審計(jì)工作的標(biāo)準(zhǔn)化，涉及數(shù)據(jù)標(biāo)準(zhǔn)化、流程標(biāo)準(zhǔn)化以及分析規(guī)則標(biāo)準(zhǔn)化等。

6 基于行為的安全審計(jì)模式

以行為作為橋梁，是提高安全審計(jì)效率，提升安全審計(jì)準(zhǔn)確性的有效手段。如下圖所示：

在執(zhí)行審計(jì)工作時(shí)，從正反兩個(gè)維度設(shè)置審計(jì)項(xiàng)，正方向通過(guò)總結(jié)、提取、分析日志正常的行為列表，配合用戶屬性（管理員、普通用戶、離崗離職等），結(jié)合正常數(shù)據(jù)的統(tǒng)計(jì)量來(lái)識(shí)別明顯的異常，例如離崗離職人員大量擺出文件、管理員頻繁變更安全產(chǎn)品配置、某個(gè)應(yīng)用出現(xiàn)了從未使用過(guò)的IP等;反方向通過(guò)梳理國(guó)家標(biāo)準(zhǔn)、安全策略中命令禁止的行為和狀態(tài)，例如安裝虛擬機(jī)、ghost、及時(shí)通訊軟件，違規(guī)打印，非管理員機(jī)器登錄，涉密機(jī)連接手機(jī)等。通過(guò)明確的違規(guī)列表，明確回答各期的審計(jì)情況。

該審計(jì)模式通過(guò)實(shí)踐運(yùn)行的驗(yàn)證，在各期的審計(jì)工作中可以高效的發(fā)現(xiàn)用戶明確的不合規(guī)行為，并能夠及時(shí)地識(shí)別出異常的行為。且監(jiān)測(cè)的行為可以很好地轉(zhuǎn)化軟件可觀察的狀態(tài)，從而可以很好地利用自動(dòng)化工作實(shí)現(xiàn)基于行為的周期性安全審計(jì)。

7 總結(jié)

安全審計(jì)是一種有效的安全監(jiān)督和風(fēng)險(xiǎn)自識(shí)別的有效手段，也是當(dāng)前各大軍工集團(tuán)研究的熱點(diǎn)問(wèn)題，值得從管理和技術(shù)層面進(jìn)行更深入的研究，本文提出的基于行為的安全審計(jì)模式，僅僅是從用戶監(jiān)管角度找到了一種切實(shí)可行的方式，但是對(duì)于安全審計(jì)期望的網(wǎng)絡(luò)安全狀態(tài)的全面掌控，仍有很多工作可以做。同時(shí)目前的基于行為的審計(jì)主要依賴于審計(jì)人員領(lǐng)域知識(shí)和工作經(jīng)驗(yàn)來(lái)梳理正反行為列表，不能準(zhǔn)確定位未知的威脅。

參考文獻(xiàn)：

[1] 丁文超， 冷冰， 許杰，等. 大數(shù)據(jù)環(huán)境下的安全審計(jì)系統(tǒng)框架[J]. 通信技術(shù)， 2016， 49（7）：909-914.

[2] 劉國(guó)城.基于過(guò)程的電子政務(wù)云安全審計(jì)模式研究[J]. 新疆大學(xué)學(xué)報(bào)（哲學(xué)·人文社會(huì)科學(xué)漢文版）， 2016， 44（1）：28-35.

[3] https：//baijiahao.baidu.com/s？id=1596725259308624015&wfr=spider&for=pc

【通聯(lián)編輯：梁書(shū)】