王大為

摘 ? 要：近年來，我國大力推進(jìn)電子政務(wù)發(fā)展和行業(yè)信息化技術(shù)融合，以貫徹落實(shí)新時期推進(jìn)治理能力現(xiàn)代化、互聯(lián)信息化的指導(dǎo)思想。現(xiàn)階段，政府部門及各大行業(yè)、企事業(yè)單位基本上都實(shí)現(xiàn)了核心業(yè)務(wù)的信息化，業(yè)務(wù)信息化體現(xiàn)了工作的信息化、資產(chǎn)的信息化乃至權(quán)力的信息化。由于利益關(guān)系驅(qū)動和信息網(wǎng)絡(luò)的監(jiān)管脆弱性，重要信息系統(tǒng)的數(shù)據(jù)和操作安全受到了極大的威脅。文章將重點(diǎn)闡述利用審計(jì)產(chǎn)品結(jié)合大數(shù)據(jù)分析技術(shù)實(shí)現(xiàn)重要信息系統(tǒng)的安全監(jiān)測體系構(gòu)建方法。

關(guān)鍵詞：審計(jì)產(chǎn)品;大數(shù)據(jù)分析;重要信息系統(tǒng);監(jiān)測體系

1 ? ?信息化環(huán)境下的安全威脅

現(xiàn)階段，我國各政府部門及各大行業(yè)、企事業(yè)單位的主要業(yè)務(wù)基本上都實(shí)現(xiàn)了信息化，隨之產(chǎn)生了大量關(guān)乎國計(jì)民生的重要信息系統(tǒng)，系統(tǒng)中的核心數(shù)據(jù)因?yàn)榫哂兄匾恼?、?jīng)濟(jì)價值，成為違法分子千方百計(jì)竊取的目標(biāo)，大量非法數(shù)據(jù)采集者為了獲取利益瘋狂竊取、倒賣個人信息乃至行業(yè)、國家信息。防止、制止以非法手段盜取、修改、刪除信息系統(tǒng)數(shù)據(jù)獲取經(jīng)濟(jì)利益的違法犯罪行為發(fā)生，成為國家和各單位信息部門對信息安全審計(jì)監(jiān)察工作的一個重要職責(zé)，對重要信息數(shù)據(jù)的限制使用、保密管理工作也成為現(xiàn)代組織面臨的重要挑戰(zhàn)之一。

2 ? ?信息系統(tǒng)的安全威脅分析

信息系統(tǒng)由于其本身是服務(wù)業(yè)務(wù)、處理數(shù)據(jù)的依托，需要對內(nèi)部用戶開發(fā)業(yè)務(wù)處置、查詢和數(shù)據(jù)維護(hù)的功能。雖然很多單位在這個層面做了基于用戶類型的權(quán)限分配，但是也難以避免系統(tǒng)中存在權(quán)限較高，并能接觸到重要、全面信息數(shù)據(jù)的業(yè)務(wù)帳號的問題。此類帳號是威脅產(chǎn)生的關(guān)鍵點(diǎn)，是違規(guī)操作或利益驅(qū)動致使數(shù)據(jù)泄露、篡改、丟失的一大威脅源頭[1]。

為了方便服務(wù)大眾，我國大力推進(jìn)信息化便民服務(wù)，將原本運(yùn)行在單位內(nèi)部的信息系統(tǒng)推向互聯(lián)網(wǎng)，隨之而來的是將可能遭到外部“黑客”的覬覦。網(wǎng)絡(luò)“黑客”能夠利用這些重要信息系統(tǒng)的技術(shù)漏洞，采用各種黑客手段獲得對信息系統(tǒng)的控制權(quán)，獲取系統(tǒng)數(shù)據(jù)或者操作系統(tǒng)進(jìn)行數(shù)據(jù)篡改。現(xiàn)階段普遍還存在如下風(fēng)險和威脅，具體如下：

（1）信息大集中、易泄露且影響大。現(xiàn)在大部分單位核心業(yè)務(wù)基本都已經(jīng)進(jìn)行了信息化處理，信息數(shù)據(jù)資源大集中，大力發(fā)展大數(shù)據(jù)挖掘等新技術(shù)，大量國家重要信息、專業(yè)情報(bào)、公民隱私信息都被集中存儲、處理。這些數(shù)據(jù)在沒有較強(qiáng)防護(hù)能力的系統(tǒng)中被存儲、運(yùn)用，一旦信息遭到泄露，極易造成較大的社會影響，甚至危害到國家安全。

（2）技術(shù)能力難以應(yīng)對安全監(jiān)管要求。大部分需要依托外部力量，重要信息系統(tǒng)的開發(fā)基本都是委托外部專業(yè)軟件公司進(jìn)行，基礎(chǔ)環(huán)境建設(shè)也基本上由具有多年相關(guān)行業(yè)集成經(jīng)驗(yàn)的集成商承建。無論是軟件的維護(hù)和安全管理，還是網(wǎng)絡(luò)和信息系統(tǒng)整體安全運(yùn)維，大部分都是選擇服務(wù)外包。如此，雖然提高了管理的技術(shù)能力，但也需要承擔(dān)外部運(yùn)維人員不可控的安全風(fēng)險。

（3）雖然配備了大量的安全設(shè)備，但仍存在“信息孤島”。很多單位陸續(xù)針對應(yīng)用系統(tǒng)的信息使用行為安全管理，增加了多種的管控、審計(jì)的技術(shù)手段，諸如配置安全審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、堡壘機(jī)等設(shè)備，但此類設(shè)備都是針對某一方面進(jìn)行檢測與審計(jì)的，獨(dú)立運(yùn)行、自成系統(tǒng)，很難對發(fā)現(xiàn)的違規(guī)行為進(jìn)行追溯、定位，更不能提前定位風(fēng)險，審計(jì)類產(chǎn)品的部署形同虛設(shè)[2]。

3 ? ?構(gòu)建重要信息系統(tǒng)監(jiān)測體系的思路

對于各單位的重要信息系統(tǒng)，其對與系統(tǒng)使用行為、數(shù)據(jù)操作行為需要實(shí)現(xiàn)覆蓋系統(tǒng)全過程的行為采集。采集的內(nèi)容包括3個層面：

首先，針對信息系統(tǒng)的應(yīng)用，需要采集其應(yīng)用運(yùn)行的日志和用戶使用的日志，包括從用戶登陸系統(tǒng)開始，針對用戶ID、角色類型、所用主機(jī)信息、時間、調(diào)用模塊、使用的工作流、操作行為類型、操作內(nèi)容、操作結(jié)果、系統(tǒng)處置響應(yīng)等。

其次，針對信息系統(tǒng)的數(shù)據(jù)庫操作，需要采集其面向各應(yīng)用或中間件提供數(shù)據(jù)服務(wù)所產(chǎn)生的日志，包括發(fā)出操作請求的中間件、操作時間、數(shù)據(jù)庫操作行為（select，update，insert，delete等）、存儲過程調(diào)用等。

最后，針對信息系統(tǒng)和其對應(yīng)的數(shù)據(jù)庫運(yùn)維操作，限制其維護(hù)的途徑僅是通過堡壘機(jī)的授權(quán)操作規(guī)范管理，再通過堡壘機(jī)對信息系統(tǒng)和數(shù)據(jù)庫的維護(hù)操作進(jìn)行監(jiān)控并采集生成的日志[3]。

只有對上述3個層面的信息采集進(jìn)行統(tǒng)一規(guī)范，并通過技術(shù)手段將這些信息進(jìn)行關(guān)聯(lián)、分析，才能真正實(shí)現(xiàn)信息系統(tǒng)操作行為的集中管理、分析和追溯審計(jì)，構(gòu)建統(tǒng)一的監(jiān)測體系。主要工作如下：

（1）擬定標(biāo)準(zhǔn)，包括重要信息系統(tǒng)監(jiān)測體系對相關(guān)日志在記錄內(nèi)容、記錄格式、存留時間等方面的規(guī)范，以及重要信息系統(tǒng)監(jiān)測體系與各信息系統(tǒng)中各項(xiàng)應(yīng)用之間的接口標(biāo)準(zhǔn)等。這些標(biāo)準(zhǔn)規(guī)范用于規(guī)范上述3個層面的日志記錄與存儲，確保了系統(tǒng)的一致性。

（2）構(gòu)建系統(tǒng)，通過搭建一個對重要信息系統(tǒng)實(shí)現(xiàn)監(jiān)測的軟件平臺，來提供各信息系統(tǒng)日志安全審計(jì)與監(jiān)測的功能，即實(shí)現(xiàn)一個軟件系統(tǒng)能夠采集各信息系統(tǒng)各層面的日志數(shù)據(jù)，并對日志數(shù)據(jù)進(jìn)行查詢、統(tǒng)計(jì)以及分析，達(dá)到對重要信息系統(tǒng)進(jìn)行統(tǒng)一審計(jì)的目標(biāo)。從技術(shù)上實(shí)現(xiàn)3個層面的關(guān)聯(lián)，利用大數(shù)據(jù)分析技術(shù)，結(jié)合數(shù)學(xué)算法形成技術(shù)工具，判斷威脅的追溯結(jié)果或提供風(fēng)險預(yù)警。

（3）提供工具，通過現(xiàn)有審計(jì)產(chǎn)品的聯(lián)動，結(jié)合監(jiān)測軟件系統(tǒng)，為重要信息系統(tǒng)的技術(shù)管理人員提供一套易于操作的技術(shù)工具，不但給技術(shù)管理人員提供發(fā)現(xiàn)風(fēng)險的方法，也提供了追溯、處置威脅的工具。

4 ? ?體系架構(gòu)及實(shí)現(xiàn)

嚴(yán)格依據(jù)國家網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)安全等級保護(hù)制度等相關(guān)文件，擬定具備規(guī)范的技術(shù)體系框架和安全運(yùn)行及管理保障體系框架的監(jiān)測體系。系統(tǒng)本身安全性、穩(wěn)定性極強(qiáng)，且需要具備面向不同廠商審計(jì)類設(shè)備兼容的強(qiáng)大能力和友好的接駁性。整個平臺架構(gòu)組成分為：數(shù)據(jù)層（大數(shù)據(jù)）、操作層、應(yīng)用層，并結(jié)合圖形展示技術(shù)和大數(shù)據(jù)分析技術(shù)自成體系。

4.1 ?核心技術(shù)聚類分析

利用大數(shù)據(jù)挖掘技術(shù)，將監(jiān)測收集的3個層面整型后的日志數(shù)據(jù)塑造成一系列的“典型”或者“象征性”的抽象模型。圍繞日志數(shù)據(jù)給出的行為特征，通過添加各種關(guān)鍵屬性要素來對行為進(jìn)行描述，形成算法模型的框架，并建立算法模型。

4.2 ?核心技術(shù)威脅分析

威脅分析是系統(tǒng)利用內(nèi)置的大數(shù)據(jù)挖掘模型，對歷史日志數(shù)據(jù)給出的歷史規(guī)律進(jìn)行分析，得到威脅行為的規(guī)律，并將當(dāng)前日志數(shù)據(jù)與之進(jìn)行實(shí)時比對，當(dāng)不符合該規(guī)律時，給出預(yù)警提示。

根據(jù)業(yè)務(wù)特征建立異常操作模型，通過大量的歷史數(shù)據(jù)不斷訓(xùn)練模型，用測試數(shù)據(jù)不斷調(diào)優(yōu)，最后用于挖掘異常操作行為。

4.3 ?統(tǒng)一展示與安全處置

構(gòu)建統(tǒng)一的監(jiān)測體系，不僅是對監(jiān)測日志層面進(jìn)行技術(shù)上的整合，而且體現(xiàn)在運(yùn)行管理方面。通過建立統(tǒng)一的展示形式，將從重要信息系統(tǒng)本身的行為日志和不同的審計(jì)類設(shè)備端收集而來的日志數(shù)據(jù)進(jìn)行整合，形成從用戶登陸到最終數(shù)據(jù)庫操作完成的完整生命周期的操作記錄條目，最終通過統(tǒng)一展示的形式把這些操作展示在同一個界面圖形之中，實(shí)現(xiàn)操作行為的追根溯源。

5 ? ?結(jié)語

在各單位積極響應(yīng)國家號召、利用互聯(lián)網(wǎng)和先進(jìn)信息技術(shù)提供各種便民服務(wù)的同時，重要信息系統(tǒng)的安全威脅和風(fēng)險在不斷地被放大，一旦發(fā)生數(shù)據(jù)泄露乃至數(shù)據(jù)篡改、丟失等情況，很難利用現(xiàn)有安全設(shè)備和技術(shù)手段進(jìn)行及時、有效的處置。通過審計(jì)產(chǎn)品聯(lián)動和多源信息匯聚處理，將原來“各自為戰(zhàn)”的審計(jì)類產(chǎn)品進(jìn)行聯(lián)動，并利用大數(shù)據(jù)和聚類分析等技術(shù)，將獲取的數(shù)據(jù)進(jìn)行整合處理與聚類分析，進(jìn)行威脅實(shí)時監(jiān)測和風(fēng)險預(yù)測，利用聚類模型和知識庫得到處置建議，通過技術(shù)手段發(fā)現(xiàn)安全隱患，并及時處置。

[參考文獻(xiàn)]

[1]劉以秦，周源，謝麗容.數(shù)據(jù)黑產(chǎn)調(diào)查[J].財(cái)經(jīng)雜志，2015（5）：44-46.

[2]查成東，王長松，鞏憲鋒，等.基于改進(jìn)K-均值聚類算法的背景提取方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007（21）：5141-5143.

[3]佚名.安全監(jiān)控與審計(jì)產(chǎn)品[J].保密科學(xué)技術(shù)，2014（9）：71.