李佳華 彭雅

摘要：毋庸置疑，信息數(shù)據(jù)是企業(yè)核心業(yè)務(wù)開展過(guò)程中最具有戰(zhàn)略性的資產(chǎn)，是企業(yè)構(gòu)建和發(fā)展競(jìng)爭(zhēng)力的關(guān)鍵，這些信息需要被保護(hù)起來(lái)，以防止競(jìng)爭(zhēng)者和其他非法者獲取。本文通過(guò)用戶對(duì)應(yīng)用系統(tǒng)的行為軌跡進(jìn)行審計(jì)，豐富的審計(jì)數(shù)據(jù)來(lái)源和分析規(guī)則算法模型，多維度的數(shù)據(jù)分析，使行為審計(jì)工作卓有成效，變被動(dòng)為主動(dòng)，通過(guò)提前主動(dòng)預(yù)防式的工作，快速降低通訊信息詐騙涉案涉訴量。

關(guān)鍵詞：信息;審計(jì);行為;風(fēng)險(xiǎn);泄露

中圖分類號(hào)：TP311? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）26-0243-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

在數(shù)據(jù)驅(qū)動(dòng)的DT時(shí)代，企業(yè)積累起來(lái)的海量數(shù)據(jù)成了不可或缺的寶貴資產(chǎn)，以數(shù)據(jù)進(jìn)行決策，以數(shù)據(jù)資產(chǎn)進(jìn)行價(jià)值變現(xiàn)，運(yùn)用海量數(shù)據(jù)來(lái)分析業(yè)務(wù)、客戶行為和供用鏈，以此制定戰(zhàn)略的能力，成為企業(yè)增強(qiáng)洞察力、驅(qū)動(dòng)業(yè)務(wù)持續(xù)發(fā)展的重要武器。

然而，企業(yè)信息數(shù)據(jù)觸點(diǎn)多，大數(shù)據(jù)產(chǎn)業(yè)鏈各個(gè)生態(tài)環(huán)節(jié)平臺(tái)、接口、應(yīng)用、網(wǎng)絡(luò)、終端等都可能流轉(zhuǎn)和存放數(shù)據(jù)信息，海量的數(shù)據(jù)和日志缺乏針對(duì)性防護(hù)手段，應(yīng)用、終端、網(wǎng)絡(luò)等前臺(tái)出口無(wú)有效審計(jì)方式，發(fā)生了數(shù)據(jù)泄露事件后，無(wú)法形成安全事件，也無(wú)法進(jìn)行關(guān)聯(lián)分析、溯源、責(zé)任到人。因此，針對(duì)各種泄露途徑，對(duì)異常用戶進(jìn)行偵測(cè)、發(fā)現(xiàn)和告警，便成為當(dāng)務(wù)之急。為有效解決企業(yè)大數(shù)據(jù)安全問(wèn)題，需要構(gòu)建一套基于應(yīng)用系統(tǒng)的業(yè)務(wù)行為審計(jì)平臺(tái)，對(duì)業(yè)務(wù)數(shù)據(jù)和用戶進(jìn)行監(jiān)控審計(jì)，及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄露行為，同時(shí)也解決人工安全監(jiān)管的低效、耗時(shí)、審計(jì)面狹窄等痛點(diǎn)。

1 審計(jì)目標(biāo)

1.1 信息泄漏可溯源

對(duì)敏感信息全生命周期（生成、存儲(chǔ)、使用、共享、銷毀）進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)發(fā)生敏感信息泄露時(shí)，能夠?qū)π孤缎畔⑦M(jìn)行溯源（能夠還原出什么時(shí)間、什么人、在什么地方、通過(guò)什么方式泄露了什么數(shù)據(jù)），并自動(dòng)固定證據(jù)。

1.2 異常操作可實(shí)時(shí)監(jiān)控并處理

對(duì)賬號(hào)、行為、時(shí)段、操作等異常行為可實(shí)時(shí)審計(jì)、監(jiān)控和分析;對(duì)經(jīng)梳理確定的違規(guī)操作可預(yù)警并處理。

1.3 賬號(hào)權(quán)限可管可控

從員工崗位與賬號(hào)、權(quán)限制度設(shè)計(jì)，系統(tǒng)賬號(hào)及權(quán)限的管理與執(zhí)行落地，及時(shí)審計(jì)、監(jiān)控和發(fā)現(xiàn)賬號(hào)共用、未實(shí)名、高危越權(quán);非涉敏賬號(hào)對(duì)敏感數(shù)據(jù)操作未脫敏隔離等違規(guī)問(wèn)題，及時(shí)審計(jì)和監(jiān)控賬號(hào)權(quán)限的申請(qǐng)及變更流程和實(shí)際賬號(hào)權(quán)限開通情況不符等違規(guī)情況。

需要辨識(shí)所有用戶及系統(tǒng)管理員的真實(shí)身份，完整記錄包含應(yīng)用系統(tǒng)用戶及數(shù)據(jù)庫(kù)管理員等所有用戶的數(shù)據(jù)使用行為痕跡，協(xié)助IT系統(tǒng)做好「人事時(shí)地物」5W證據(jù)保存，達(dá)到應(yīng)用關(guān)聯(lián)審計(jì)的目的。在不更改或少更改應(yīng)用系統(tǒng)及不影響數(shù)據(jù)庫(kù)系統(tǒng)性能的前提下，提供數(shù)據(jù)庫(kù)全程自動(dòng)化審計(jì)、追蹤和保護(hù)，達(dá)到信息審計(jì)的層層防護(hù)與交互監(jiān)控。

2 信息安全審計(jì)——業(yè)務(wù)場(chǎng)景分析

2.1 信息泄露場(chǎng)景分析

1）敏感信息

個(gè)人用戶信息：如身份證、手機(jī)、郵箱、住址等;

商機(jī)信息：寬帶到期續(xù)費(fèi)、合約到期續(xù)費(fèi)、月度鎖定寬帶計(jì)費(fèi)用戶續(xù)費(fèi);

企業(yè)風(fēng)險(xiǎn)信息：月度寬帶高風(fēng)險(xiǎn)流失、營(yíng)業(yè)網(wǎng)點(diǎn)超轄區(qū)經(jīng)營(yíng)、高危賬號(hào)權(quán)限;

資金類信息：風(fēng)險(xiǎn)預(yù)存金、傭金、一次性費(fèi)用等。

2）泄露途徑

2.2 異常操作場(chǎng)景分析

異常操作是指對(duì)前臺(tái)應(yīng)用、后臺(tái)指令集、接口流轉(zhuǎn)數(shù)據(jù)、終端輸出數(shù)據(jù)等，按照關(guān)鍵命令、關(guān)鍵賬號(hào)、關(guān)鍵參數(shù)、關(guān)鍵數(shù)據(jù)操作等，進(jìn)行實(shí)時(shí)審計(jì)、監(jiān)控和分析，及時(shí)發(fā)現(xiàn)異常時(shí)間、異常IP登錄、異常賬號(hào)變更、異常敏感信息變更及查詢等違規(guī)操作，并預(yù)警和處理。

1）對(duì)敏感信息進(jìn)行大量、高頻的操作。

例如：高頻率連續(xù)輸單、高頻率查詢敏感信息、高頻率更改業(yè)務(wù)數(shù)據(jù)、高頻積分調(diào)整、高頻積分兌換等操作。例如：BSS受理中心查詢客戶信息。

2）對(duì)非營(yíng)業(yè)時(shí)段、非工作時(shí)段進(jìn)行敏感信息查詢、更改、刪除等操作。

例如：批量業(yè)務(wù)查詢、批量客戶信息查詢。 在非工作時(shí)間對(duì)網(wǎng)格、EDC、BSS受理中心等系統(tǒng)進(jìn)行敏感信息查詢、導(dǎo)出等操作。

3）在未經(jīng)授權(quán)從前臺(tái)或后臺(tái)導(dǎo)出敏感信息（涉及敏感信息的數(shù)據(jù)文件、報(bào)表、表單等）、導(dǎo)出敏感信息超過(guò)授權(quán)范圍等異常行為;例如：從網(wǎng)格和EDC系統(tǒng)導(dǎo)出寬帶續(xù)費(fèi)情況日?qǐng)?bào)等。

4）非正常授權(quán)、非正常區(qū)域等超出常規(guī)和歷史的異常業(yè)務(wù)場(chǎng)景。例如：營(yíng)業(yè)網(wǎng)點(diǎn)超轄區(qū)范圍進(jìn)行寬帶到期續(xù)費(fèi)、移動(dòng)合約到期續(xù)費(fèi)，風(fēng)險(xiǎn)預(yù)存金套取、一次性費(fèi)用轉(zhuǎn)出、套取傭金等。

5）通過(guò)對(duì)VPN數(shù)據(jù)中的IP、時(shí)間、用戶名等緯度，重點(diǎn)發(fā)現(xiàn)對(duì)VPN賬戶暴力破解、異常登錄等異常行為。防止外部攻擊和信息泄露到外網(wǎng)。

2.3 賬號(hào)權(quán)限場(chǎng)景分析

賬號(hào)權(quán)限異常是指賬號(hào)借用、賬號(hào)共用、賬號(hào)未實(shí)名制、特殊權(quán)限非授權(quán)使用、賬號(hào)權(quán)限未審批、低權(quán)限賬號(hào)訪問(wèn)高權(quán)限業(yè)務(wù)、賬號(hào)長(zhǎng)期未使用突然使用、同一賬號(hào)同時(shí)段多IP登錄、同IP多賬號(hào)登錄、賬號(hào)繞行、賬號(hào)復(fù)用行為等異常行為。

1）同一賬號(hào)多IP地址登錄，存在一人賬號(hào)被多人使用。如IT系統(tǒng)前端超級(jí)管理員賬號(hào)（高危權(quán)限）在一周共有近40個(gè)IP地址登陸系統(tǒng)，部分IP地址為同網(wǎng)段IP，存在一人賬號(hào)多人使用的問(wèn)題。

2）賬號(hào)信息未完整記錄姓名、身份證、工作單位、崗位、手機(jī)等相關(guān)信息。

3）IT系統(tǒng)未對(duì)高風(fēng)險(xiǎn)操作（如指批量導(dǎo)入、導(dǎo)出、查詢、修改、刪除等操作）未管理到位，存在普通權(quán)限操作人員濫用高危權(quán)限違規(guī)獲取、篡改數(shù)據(jù)，且未完整留痕，泄漏數(shù)據(jù)等風(fēng)險(xiǎn).如普通營(yíng)業(yè)員（原無(wú)查看敏感信息權(quán)限），頻繁免密查看敏感信息。

4）對(duì)高風(fēng)險(xiǎn)操作（如指批量導(dǎo)入、導(dǎo)出、查詢、修改、刪除等操作）未進(jìn)行留痕和審計(jì)稽核。如未對(duì)批量拆機(jī)、批量受理等操作進(jìn)行操作后留痕稽核。

5）臨時(shí)性批量信息數(shù)據(jù)傳遞過(guò)程沒(méi)有進(jìn)行加密、脫敏處理，使用過(guò)程未進(jìn)行防打印或使用人水印等安全措施，保存過(guò)程未對(duì)數(shù)據(jù)文件設(shè)置使用有效期限制。存在數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

6）IT系統(tǒng)未完整記錄前端應(yīng)用賬號(hào)登錄、查詢、導(dǎo)出等日志，未進(jìn)行相關(guān)審計(jì)。如僅記錄登錄日志，無(wú)批量數(shù)據(jù)導(dǎo)出日志。

7）非正常授權(quán)高危賬號(hào)，超常規(guī)操作。如系統(tǒng)未對(duì)高風(fēng)險(xiǎn)操作（如指批量導(dǎo)入、導(dǎo)出、查詢、修改、刪除等操作）未進(jìn)行審批。如對(duì)數(shù)據(jù)庫(kù)表進(jìn)行手工數(shù)據(jù)更新、數(shù)據(jù)刪除操作未進(jìn)行操作前審批與操作后稽核流程。

8）臨時(shí)性事項(xiàng)開通的各類賬號(hào)未及時(shí)關(guān)閉，長(zhǎng)期未登陸未使用的賬號(hào)未注銷。

3 系統(tǒng)架構(gòu)設(shè)計(jì)

3.1 系統(tǒng)架構(gòu)

系統(tǒng)采用主流的大數(shù)據(jù)混合平臺(tái)架構(gòu)，主要包括：數(shù)據(jù)源系統(tǒng)、數(shù)據(jù)獲取層、數(shù)據(jù)存儲(chǔ)層以及上層應(yīng)用層和訪問(wèn)接口層。自動(dòng)化審計(jì)可基于日志、流量分析等，常用日志需通過(guò)采集、處理（格式規(guī)范化，以及分類、過(guò)濾，歸并等）、存儲(chǔ)、分析展現(xiàn)實(shí)現(xiàn)。 日志不完善部分，可補(bǔ)充流量分析。

3.2 數(shù)據(jù)采集

3.2.1日志采集

數(shù)據(jù)源系統(tǒng)數(shù)據(jù)的種類多樣性以及量大、快速實(shí)時(shí)性，涉及的部分有網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)以及一些中間件等，必須先進(jìn)行日志的規(guī)范化，將日志按照統(tǒng)一標(biāo)準(zhǔn)分類，并根據(jù)相關(guān)先驗(yàn)規(guī)則進(jìn)行過(guò)濾，然后歸并處理，最后將日志存儲(chǔ)轉(zhuǎn)發(fā)，提供上分進(jìn)行自動(dòng)化日志分析，并展示輸出相應(yīng)的日志審計(jì)報(bào)表。

審計(jì)平臺(tái)將大量采集日志，通過(guò)對(duì)異常行為特征建立場(chǎng)景模型，設(shè)計(jì)實(shí)現(xiàn)關(guān)聯(lián)算法對(duì)行為進(jìn)行分析，輸出告警事件等一系列分析結(jié)果。

3.2.2 流量采集

由應(yīng)用協(xié)議采集探針、元數(shù)據(jù)采集器及應(yīng)用威脅分析增強(qiáng)功能模塊三部分組成：

應(yīng)用協(xié)議采集探針：針對(duì)指定應(yīng)用協(xié)議提供解析及分發(fā)功能，一方面與元數(shù)據(jù)采集器聯(lián)動(dòng)，實(shí)現(xiàn)原始流量數(shù)據(jù)采集及解析存儲(chǔ)功能，另一方面可共享鏡像其他安全類設(shè)備進(jìn)行后續(xù)分析;

元數(shù)據(jù)采集器：與應(yīng)用協(xié)議采集探針聯(lián)動(dòng)，采集解析后的指定協(xié)議原始鏡像數(shù)據(jù)，完成流量數(shù)據(jù)深度解析工作，并提供大數(shù)據(jù)平臺(tái)數(shù)據(jù)共享接口;

應(yīng)用威脅分析增強(qiáng)功能模塊：與元數(shù)據(jù)采集器聯(lián)動(dòng)，針對(duì)會(huì)話日志、HTTP日志及DNS日志進(jìn)行深度分析，提供針隱蔽通信監(jiān)測(cè)、設(shè)備行為基線、異常訪問(wèn)流量監(jiān)測(cè)等安全事件的深度威脅分析能力。

3.3 系統(tǒng)層級(jí)

對(duì)各類安全數(shù)據(jù)的采集、處理、匯聚、存儲(chǔ)、檢索能力，并向上提供數(shù)據(jù)展現(xiàn)。

采集、處理： 不同數(shù)據(jù)源，因格式的不一致、不完整等問(wèn)題，需要對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換和加工、過(guò)濾、清洗和存儲(chǔ)。

分析：可采用分析引擎、分析場(chǎng)景、分析輸出的分別定義，依據(jù)不同安全場(chǎng)景需求進(jìn)行分析檢測(cè)。

匯聚展現(xiàn)：將分析、處理、整合的數(shù)據(jù)根據(jù)不同業(yè)務(wù)場(chǎng)景需求進(jìn)行可視化的呈現(xiàn)，同時(shí)提供智能搜索、審計(jì)、監(jiān)控等所需數(shù)據(jù)。

3.4技術(shù)要點(diǎn)

3.4.1高性能機(jī)器學(xué)習(xí)

專門構(gòu)建的機(jī)器學(xué)習(xí)算法產(chǎn)生較少的誤報(bào)提供廣泛的覆蓋并產(chǎn)生高度可信的結(jié)果，這有助于事件響應(yīng)和尋找威脅。

3.4.2異常抑制與評(píng)分

通過(guò)應(yīng)用自定義分?jǐn)?shù)確定檢測(cè)到異常的優(yōu)先級(jí)，并抑制觸發(fā)的異常，以獲得更高的保真度威脅。

3.4.3上下文感知技術(shù)

對(duì)用戶、終端、文件、應(yīng)用和其他實(shí)體構(gòu)建上下文的接口。以用戶上下文的組件為核心實(shí)現(xiàn)驅(qū)動(dòng)或關(guān)聯(lián)數(shù)據(jù)，實(shí)現(xiàn)行為分析和異常檢測(cè)等功能。

3.4.4多維度行為基線

以部門、個(gè)人、資產(chǎn)、資產(chǎn)群等為單位建立多維度行為基線，關(guān)聯(lián)用戶與資產(chǎn)的行為，用機(jī)器學(xué)習(xí)算法和預(yù)定義規(guī)則找出嚴(yán)重偏離基線的異常行為。

3.4.5風(fēng)險(xiǎn)行為回溯

提供基于用戶的調(diào)查分析工具，全面掌握用戶信息和行為軌跡，讓異常用戶無(wú)所遁形。

4 結(jié)束語(yǔ)

開展業(yè)務(wù)系統(tǒng)操作行為審計(jì)，對(duì)違規(guī)行為進(jìn)行調(diào)查取證，追根溯源。滿足企業(yè)內(nèi)部審計(jì)要求以及法律政策監(jiān)管的合規(guī)性要求。根據(jù)不同的業(yè)務(wù)場(chǎng)景、不同的分析方法選取不同的挖掘算法，識(shí)別違規(guī)的業(yè)務(wù)操作。利用大數(shù)據(jù)技術(shù)，提高違規(guī)行為識(shí)別的精準(zhǔn)度。圍繞風(fēng)險(xiǎn)態(tài)勢(shì)感知，指導(dǎo)安全審計(jì)工作方向。

參考文獻(xiàn)：

[1] 殷存舉.淺析網(wǎng)絡(luò)環(huán)境下的個(gè)人隱私泄露防護(hù)措施[J].電腦知識(shí)與技術(shù)，2018（14）：45-47.

[2] 崔英波，胡治寰.淺談當(dāng)今我國(guó)高校內(nèi)部審計(jì)存在的問(wèn)題與對(duì)策[J].中國(guó)管理信息化，2017（3）.

[3] 張紅英，陳東.中國(guó)內(nèi)部審計(jì)準(zhǔn)則——闡釋與應(yīng)用[M].上海：立信會(huì)計(jì)出版社，2017（1）.

[4] 王海兵，董倩，楊?yuàn)?企業(yè)內(nèi)部控制審計(jì)信息化風(fēng)險(xiǎn)與應(yīng)對(duì)策略研究[J].會(huì)計(jì)之友，2015（9）：57-61.

[5] 湯建榮，徐靈.大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計(jì)：機(jī)遇、挑戰(zhàn)與方法[J].電腦知識(shí)與技術(shù)，2018，14（17）：18-19.

【通聯(lián)編輯：唐一東】