网络安全审计系统(精选8篇)
司法信息安全方向王立鹏1 传统安全审计系统的历史
传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中,其审计的重点也是本主机的用户行为和系统调用。在随后的20年间,其他的各个操作系统也有了自己的安全审计工具,如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。常用安全措施的不足和基于网络的安全审计系统的出现
近几年来,随着开放系统Internet的飞速发展和电子商务的口益普及,网络安全和信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。
2.1防火墙技术的不足
防火墙技术是发展时间最长,也是当今防止网络人侵行为的最主要手段之一,主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术,但是由于防火墙技术自身存在的一些缺陷,使其越来越难以完全满足当前网络安全防护的要求。包过滤型防火墙如只实现了粗粒度的访问控制,一般只是基于IP地址和服务端口,对网络数据包中其他内容的检查极少,再加上其规则的配置和管理极其复杂,要求管理员对网络安全攻击有较深人的了解,因此在黑客猖撅的开放Internet系统中显得越来越难以使用。而代理网关防火墙虽然可以将内部用户和外界隔离开来,从外部只能看到代理服务器而看不到内部任何资源,但它没有从根本上改变包过滤技术的缺陷,而且在对应用的支持和速度方面也不能令人满意
2.2入侵检测技术的不足
人侵检测技术是防火墙技术的合理补充,能够对各种黑客人侵行为进行识别,扩展了网络管理员的安全管理能力。一般来说,人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。
目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。
基于主机的IDS来源于系统的审计日志,它和传统基于主机的审计系统一样一 般只能检测发生在本主机上面的人侵行为。
基于网络的IDS系统对网络中的数据包进行监测,对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性„准实时性),它能在出现攻击的时候发出警告,让管理人员在在第一时间了解到攻击行为的发生,并作出相应措施,以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要,因此决定了其采用的数据分析算法不能过于复杂,也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析,所以现在大
多数人侵检测系统只是对单个数据包或者一小段时间内的数据包进行简单分析,从而作出判断,这样势必会产生较高的误报率和漏报率,一般只有20%攻击行为被IDS发现也就不足为奇了。虽然国内外普遍对人侵检测技术都有很高的评价,但是随着黑客技术的发展,一些人侵检测系统本身的缺陷也为人们所了解。一些黑客利用某些分布式技术,在同一时刻向某个人侵检测系统发送大量垃圾数据包,使得人侵检测系统来不及处理而过载,直到发生丢包现象。黑客在此时发动攻击,人侵相关的网络活动被淹没在大量的嘈声之中,使得人侵检测无法检测出包含人侵模式的网络信息,这样一来黑客就达到了逃避人侵检测的目的。
2.3基于网络的安全审计系统
在这种情况下,基于网络安全审计系统孕育而生。基于网络的安全审计系统在近几年刚刚起步,尚处在探索阶段,其审计重点也在网络的访问行为和网络中的各种数据。对此有比较深人研究的也只是少数几个高校或者科研机构,其中以Purdue大学的NASHIS系统较为著名。
一般的基于网络的安全审计系统作为一个完整安全框架中的一个必要环节,一般处在人侵检测系统之后,作为对防火墙系统和人侵检测系统的一个补充,其功能:首先它能够检测出某些特殊的IDS无法检测的人侵行为(比如时间跨度很大的长期的攻击特征);其次它可以对人侵行为进行记录并可以在任何时间对其进行再现以达到取证的目的;最后它可以用来提取一些未知的或者未被发现的人侵行为模式等。
图1安全审计在整个安全体系中的位置
与传统的人侵检测系统相比,安全审计系统并没有实时性的要求,因此可以对海量的历史数据进行分析,并且采用的分析方法也可以更加复杂和精细。一般来说,网络安全审计系统能够发现的攻击种类大大高于人侵检测系统,而且误报率也没有人侵检测系统那样的高。3 基于网络的安全审计系统的常用实现方法
3.1基于规则库的方法
基于规则库的安全审计方法就是将已知的攻击行为进行特征提取,把这些特征用脚本语言等方法进行描述后放人规则库中,当进行安全审计时,将收集到网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等),从而发现可能的网络攻击行为。这种方法和某些防火墙和防病毒软件的技术思路类似,检测的准确率都相当高,可以通过最简单的匹配方法过滤掉大量的网络数据信息,对于使用特定黑客工具进行的网络攻击特别有效。比如发现目的端口为139以及含有DOB标志的数据包,一般肯定是Winnuke攻击数据包。而且规则库可以从互连网上下载和升级(如。.cert.org等站点都可以提供各种最新攻击数据库),使得系统的可扩充性非常好。
但是其不足之处在于这些规则一般只针对已知攻击类型或者某类特定的攻击软件,当出现新的攻击软件或者攻击软件进行升级之后,就容易产生漏报。
例如,著名的Back Orifice后门软件在90年代末非常流行,当时人们会发现攻击的端口
是31337,因此31337这个古怪的端口便和 Back Orifice联系在了一起。但不久之后,聪明的Back Orifice作者把这个源端口换成了80这个常用的Web服务器端口,这样一来便逃过了很多安全系统的检查。
此外,虽然对于大多数黑客来说,一般都只使用网络上别人写的攻击程序,但是越来越多的黑客已经开始学会分析和修改别人写的一些攻击程序,这样一来,对同一个攻击程序就会出现很多变种,其简单的通用特征就变得不十分明显,特别规则库的编写变得非常困难。综上所述,基于规则库的安全审计方法有其自身的局限性。对于某些特征十分明显的网络攻击数据包,该技术的效果非常之好;但是对于其他一些非常容易产生变种的网络攻击行为(如Backdoo:等),规则库就很难用完全满足要求了。
3.2基于数理统计的方法
数理统计方法就是首先给对象创建一个统计量的描述,比如一个网络流量的平均值、方差等等,统计出正常情况下这些特征量的数值,然后用来对实际网络数据包的情况进行比较,当发现实际值远离正常数值时,就可以认为是潜在的攻击发生。
对于著名syn flooding攻击来说,攻击者的目的是不想完成正常的TCP 次握手所建立起来的连接,从而让等待建立这一特定服务的连接数量超过系统所限制的数量,这样就可以使被攻击系统无法建立关于该服务的新连接。很显然,要填满一个队列,一般要在一段时间内不停地发送SYN连接请求,根据各个系统的不同,一般在每分钟 10-20,或者更多。显然,在一分钟从同一个源地址发送来20个以上的SYN连接请求是非常不正常的,我们完全可以通过设置每分钟同一源地址的SYN连接数量这个统计量来判别攻击行为的发生。但是,数理统计的最大问题在于如何设定统计量的“阂值”,也就是正常数值和非正常数值的分界点,这往往取决于管理员的经验,不可避免地容易产生误报和漏报基于网络安全审计系统的新方法:有学习能力的数据挖掘
上述的两种方法已经得到了广泛的应用,而且也获得了比较大的成功,但是它最大的缺陷在于已知的人侵模式必须被手工编码,它不能适用于任何未知的人侵模式。因此最近人们开始越来越关注带有学习能力的数据挖掘方法。
4.1数据挖掘简介及其优点
数据挖掘是一个比较完整地分析大量数据的过程,它一般包括数据准各、数据预处理、建立挖掘模型模型评估和解释等,它是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型。
数据挖掘这个课题现在有了许多成熟的算法,比如决策树、神经元网络、K个最近邻居(K一NN),聚类关联规则和序惯模型、时间序列分析器、粗糙集等。应用这些成熟的算法可以尽量减少手工和经验的成分而且通过学习可以检测出一些未被手工编码的特征因此十分适用于网络安全审计系统。
4.2有学习能力的数据挖掘在基于网络的安全审计系统中的应用
我们采用有学习能力的数据挖掘方法,实现了一般网络安全审计系统的框架原型。该系统的主要思想是从“正常”的网络通讯数据中发现“正常”的网络通讯模式。并和常规的一些攻击规则库进行关联分析,达到检测网络人侵行为的目的。在本系统之巾,主要采用了三种比较成熟的数据挖掘算法,这三个算法和我们的安全审计系统都有着十分密切的关系:
分类算法 该算法主要将数据影射到事先定义的一个分类之中。这个算法的结果是产生一个以决策树或者规则形式存在“判别器”。理想安全审计系统一般先收集足够多的“正常”或者“非正常”的被市计数据,然后用一个算法去产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为而哪些是可疑或者人侵行为。而这个“判别器”就是我们系统中“分析引擎”的一个主要部分。
相关性分析 主要用来决定数据库里的各个域之间的相互关系。找出被审计数据间的相互关联将为决定整个安全审计系统的特征集提供很重要的依据。
时间序列分析 该算法用来建立本系统的时间顺序标准模型。这个算法帮助我们理解审计事件的时间序列一般是如何产生的,这些所获得常用时间标准模型可以用来定义网络事件是否正常。
整个系统的工作流程如图2所示
图2 系统工作流程图
首先,系统从数据的采集点介采集数据,将数据进行处理后放入被审计数据库,通过执行安全审计引擎读人规则库来发现人侵事件,将人侵时rbi记录到人侵时间数据库,而将正常网络数据的访问放人正常网络数据库,并通过数据挖掘来提取正常的访问模式。最后通过旧的规则库、人侵事件以及正常访间模式来获得最新的规则库。可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定。
我们实现的原型系统的框图由图3所示。
图3 系统结构框图
上面我们所见到的系统整体框架图中,在通过对正常网络通讯数据集的学习后,可以获得正常访问模式,这个过程就采用了数据挖掘技术,从海量的正常数据中半自动地提取正常访间模式,可以减少人为的知觉和经验的参与,减少了误报出现的可能性。此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应,这也是传统方法无法实现的。总 结
关键词:网络信息审计系统,内容审计,模式匹配,BM算法
(一) 信息审计系统的应用模式
信息审计系统实际上是这样一种应用模式, 即数据的采集和过滤、数据的分析处理以及相应的系统响应和动作, 具体的功能模块包括用于数据采集的探针Probe, 数据过滤用的过滤器Filter以及用于数据分析处理和触发系统响应动作的分析器Analyser。信息审计系统应用模式如图1所示。
基于这种应用模式的处理流程, 可以适应很多种应用的需求, 如网络管理、分布式信息采集和挖掘、应用监管、入侵检测和信息审计等。本文就是这种应用模式在网络信息内容审计方面的一个应用。
(二) 系统设计
本系统通过预先设置的关键字, 对捕获报文的内容进行扫描匹配。当报文内容中具有关键字这样的敏感信息, 则进行报警, 产生日志, 如果是TCP协议的网络连接, 可以实时进行协议阻断。系统的软件结构由审计监控工作站和审计分析中心两部分组成, 如图2所示。
审计监控工作站主要由以下几个部分组成:1.网络报文捕获模块。模块主要进行网络报文的捕获和过滤, 并把捕获的报文递交给报文协议分析审计引擎模块。其中对报文的捕获和过滤通过调用WinPcap库来实现。2.报文协议分析审计引擎模块。模块对捕获的报文进行协议分析;用预设的关键字对TCP协议和UDP协议的报文内容进行审计;根据审计结果和审计规则调用TCP协议阻断、应用层报文重组和日志生成等模块进行相应的处理。3.TCP协议阻断模块。当对报文内容进行关键字审计违规时, 可以按用户的审计规则调用本模块阻断当前这个TCP协议的连接。它的实现方式是通过伪造一个正确的FIN报文发给通信双方。4.日志生成模块。主要生成各类日志记录写于到本地数据库中, 比如报警日志等。5.应用层报文重组模块。模块可以把应用层协议 (HTTP、FTP、SMTP、POP3等) 传递的报文进行重组还原成相应的文件, 比如把一次SMTP协议发送过程的报文重组还原成为一个Outlook的邮件文件。这样就可以更直观监控应用层协议传递的内容, 但同时会增加系统开销。6.本地查询维护模块。模块主要提供对本地数据库的日志记录和应用层报文重组形成的还原文件的查询维护。7.管理配置模块。模块主要是实现关键字、审计规则的配置和数据同步客户端的启动。它既可以在本地进行管理配置的设置, 也可以从网络接收审计分析中心下达的管理配置信息。8.数据同步客户端模块。模块主要按配置要求把本地相应的日志记录或者还原文件同步上传到审计分析中心。
审计分析中心主要由以下几个部分组成:1.数据同步服务器端模块。模块接收各个审计监控工作站同步上传的日志记录或还原文件, 再导入到中心数据库中。2.查询维护模块。模块主要提供对中心数据库的日志记录和还原文件的查询和维护。3.管理配置模块。模块可调用查询维护模块对中心数据库的数据进行查询分析和维护;另外它还可以根据自定义的协议, 对各个审计监控工作站的关键字、日志记录同步规则进行配置, 实现对各个审计监控工作站的集中管理。
本系统主要应用在对网络传输内容比较敏感的企事业单位内部, 比如政府安全部门, 军工企业等。审计监控工作站和审计分析中心都运行在操作系统为Windows2000/XP的PC机上。在企事业单位的内部局域网里, 审计监控工作站被分别部署在局域网汇聚层上的各个关键路由器或三层交换机的镜像端口上。这样它就可以对经过该设备的所有流量进行审计。多个这样的审计监控工作站协同合作, 就可以实现对整个局域网全面的信息审计。审计分析中心则被部署在内部局域网的服务器区, 与各个审计监控工作站进行数据的交互。
(三) 简化的BM算法
1. BM算法思想
给定模式串P=P1 P2…Pm, 长度为m;正文串T=T1 T2…Tn, 长度为n;模式串和正文串中可能出现字符的集合为ω, 现在我们来讨论BM算法思想。在BM算法每一轮的模式匹配中, 模式串的字符都是从右向左依次与正文串对应字符进行匹配, 如果模式串的字符全部匹配则匹配成功;否则当第一次出现模式串的字符与正文串对应字符不匹配时, 一轮匹配失败, 马上结束这一轮匹配。算法首先将模式串P与正文串T在开始位置对齐, 开始一轮模式匹配, 如果模式串匹配成功, 整个匹配结束;否则一轮匹配失败, 需要右移模式串, 开始新一轮的匹配;直到一轮匹配成功或连续进行的每一轮匹配都失败模式串连续右移越过正文串末尾时, 整个匹配也结束。
BM算法思想最重要的是如何确定一轮匹配失败时模式串的右移量, 现在我们就一般情况来讨论。如图3所示, 模式串一轮匹配失败, 假设这轮匹配是从正文串位置i开始, 匹配失败的位置在模式串的j处, 此时正文串的位置相应为i-m+j, 该位置的正文串字符Ti-m+j即为坏字符。根据已匹配的结果有子串u=Pj+1 Pj+2…Pm=Ti-m+j+1 Ti-m+j+2…Ti (当j=m时, 子串u不存在) 。此时, BM算法将按以下方式进行坏字符移动和好后缀移动的处理。
坏字符移动定义坏字符Ti-m+j在子串P1P2…Pm-ı中最后出现的位置的值为k。当一轮匹配失败的位置不是在P的最后一个字符时, 如果坏字符Ti-m+j在子串P1P2…Pm-ı中没有出现 (则k=0) , 此时坏字符移动如图3所示, 模式串P右移跳过坏字符Ti-m+j, 在它的下一个位置对齐, 模式串的右移量为j=j–k;如果坏字符Ti-m+j在子串Pı…Pm-ı中最后出现的位置在j的左边 (则k≠0且k
当一轮匹配失败的位置在P最后一个字符时, 此时j=m, 坏字符Ti-m+j也就是Ti。如果坏字符Ti在子串P1P2…Pm-ı中没有出现 (则k=0) , 此时坏字符移动让模式串P右移跳过Ti, 在Ti+1处对齐, 模式串的右移量为m=j-k;否则坏字符Ti在子串P1P2…Pm-ı中出现 (则k≠0) , 此时坏字符移动让模式串P右移, 使子串P1P2…Pm-ı中最后出现的Ti与坏字符Ti对齐, 模式串的右移量为m–k=j-k。所以当一轮匹配失败的位置在P最后一个字符时, 坏字符移动的模式串右移量为j-k。
(2) 好后缀移动
好后缀移动只在子串u存在时才进行。它先从匹配失败的位置j往前, 在P中找前导字符等于Ti-m+j的子串u。存在这样的子串u, 则好后缀移动如图6所示。如果不存在这样的子串u, 则在子串u的后缀中找与模式串P的前缀相同的最长子串v。存在这样的v, 则好后缀移动如图7所示。否则不存在这样的u和v, 好后缀移动如图8所示, 整个模式串右移滑过当前位置, 在Ti+1处对齐, 再开始新的一轮模式串匹配。
综合上面的分析, 当一轮匹配失败时, 模式串的右移量是这样获得:当失败的位置在模式串最后一个字符时, BM算法只进行坏字符移动, 模式串右移量为j-k;当失败的位置不在模式串最后一个字符时, 模式串右移量为坏字符移动的右移量Max (j-k, 1) 和好后缀移动的右移量的最大值。
2. BM算法的简化
从上面的分析, 传统的BM算法还是很复杂的, 尤其是好后缀移动。但在本系统的实际应用环境中, 根据对系统常用的关键字集及中文特点的分析, 我们认为可以抛弃如图6那样的好后缀移动。因为在我们常设的关键字中, 例如“可行性分析”, 出现相同的字或词组的概率非常小;而且这些关键字绝大部分都是3~6个字, 比较短。所以当匹配失败时, 我们认为出现如图6那样的好后缀的概率很小, 可以不考虑这种好后缀移动。
另外在实际的网络流量中, 正文串和模式串中可能出现字符的集合ω的空间至少包括26个英文字母的大小写、数字0~9及标点符号等。在中文环境下, ω的空间则更大。因为ω的空间比较大, 模式串匹配失败时, 如图7和图8那样产生两个字符或两个字符以上的子串u的概率也是非常小的 (假设ω空间大小为100, 则这个概率为1-0.99-0.01*0.99=0.0001) , 所以也可以不考虑这类情况。那么, 在系统实际应用中, 我们可以只考虑匹配失败位置在模式串的最后一个字符和倒数第二个字符时两种情况, 好后缀移动就只在后一种情况时才进行。此时子串u只有一个字符, 如图7和图8那样的好后缀移动就类似于匹配失败在模式串最后一个字符的坏字符移动。因此, 此时如图7和图8这样的好后缀移动是可以借助坏字符移动方式来实现。
基于上面的分析, 在系统的实际应用中, 对传统的BM算法进行了简化, 不再另外进行如图6、7、8这样的好后缀移动, 并且改进坏字符移动的判断位置。简化的BM算法思想是这样:当模式串P的一轮从正文串T位置i起“返前”的从右向左的匹配失败时, 因为模式串至少右移一位, 那么我们就以正文串位置i+1的字符Ti+1来判断模式串下次匹配右移距离;当模式串P中没有字符Ti+1, 模式串则右移越过Ti+1在字符Ti+2处对齐;当P中有Ti+1字符, 模式串则右移, 让P中最后出现的Ti+1与正文串i+1位置的字符Ti+1对齐;再开始模式串新一轮从右向左的匹配, 直到一轮模式匹配成功或连续进行的每一轮匹配都失败模式串连续右移越过正文串末尾时, 整个匹配也结束。
简化的BM算法实现依赖一个辅助的坏字符移动表bm[]。对于任意字符x, 其值属于集合Σ→{0, 1, 2, ···, 255}。对于模式串P, bm[x]的定义如下:
其中bm[x]定义中的k是字符x在P中最后出现的位置的值。当模式串P的一轮从正文串T位置i起“返前”的从右向左的匹配失败时, 下一轮匹配模式串的右移量可以直接通过bm[Ti+1]获得。
3. 算法分析比较
当一轮匹配失败的位置在模式串最后一个字符时, 传统的BM算法以Ti来判断模式串右移量;而简化的BM算法以字符Ti+1来判断模式串右移量, 在理论上, 这可以带来多一步的位移。当坏字符出现在倒数第二位时, 传统的BM算法需要以字符Ti-1获得坏字符移动的距离和以字符Ti获得好后缀移动的距离, 再取两者的最大值作为模式串右移的距离;而简化的BM算法只一次以字符Ti+1来判断模式串右移量, 在理论上, Ti+1比Ti-1和Ti可获得更大的步长, 而且它比传统的BM算法至少还少了一次坏字符移动量和好后缀移动量取最大值的比较。
通过对随机捕获网络报文进行大量的测试, 发现简化的BM算法的审计速度比传统的BM算法普遍能提高3%~10%。下面是我们用广西建设职业技术学院主页上学院简介对算法做的一个测试。根据文献的测量数据, 互联网上的平均IP分组长度为404.5字节。去掉IP分组头部和TCP或UDP报文头部, 实际报文内容平均长度不会大于380个字节。我们取稍坏一点情况, 用学院简介的前400个字节来进行测试。测试PC的CPU为Celeron2.93G, 内存为1G, 操作系统为Windows XP。表1给出了具体的测试数据。
从实验的测试数据我们可以看到, 在字符比较总次数和匹配时间开销上, 简化BM算法比传统BM算法都要理想。而且我们可以发现匹配失败的位置都是发生在模式串的倒数两位。
(四) 结束语
本文介绍了信息审计系统的应用模式。按照这种应用模式, 设计了一个应用于内容审计的网络信息审计系统。文中对常用于内容审计的BM算法进行了深入分析, 再结合系统的应用环境和特点, 对BM算法进行了简化。实验证明这样的简化可以提高系统的审计速度。因为BM算法是单模式的匹配算法, 那么模式匹配的总时间随着关键字的增多而线性增长。根据有关文献的分析结果, 在峰值流量为100Mbps的网络环境里, 当我们的关键字超过20个时, 审计监控工作站的审计速度就会产成比较大的丢包率。本系统下一步的工作就是结合对多模式匹配算法的研究, 提高系统在多关键字审计时的速度。
参考文献
[1]Boyer R S, Moore J S.A Fast String Searching Algorithm[J].Communications of ACM, 1977, 20 (10) :762-772.
[2]Agilent Technologies.JTC003Mixed Packet Size Throughput[EB/OL].http://advanced.comms.agilent.com/n2x/docs/journal/JTC_003.html.
一个完整信息安全保障体系,应该由预警、防护、监控、应急响应、灾难恢复等系统组成。审计系统是整个监控和预警体系的关键组成部分,做好安全审计工作,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。
审计系统组成要素
信息系统的运行由一系列的人员行为和系统行为组成,信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。
全面采集。审计信息的采集过程是整个审计体系的基础。采集过程应侧重于采集方式的灵活性及采集对象的全面性。审计系统应提供多种信息采集方式对审计信息源进行数据采集,对电力系统而言,审计系统应尽量避免在主机中安装软件,串接设备方式进行采集,而应尽量通过系统自身的日志协议(如syslog协议)、旁路(如端口镜像)等更安全的方式进行。电力公司信息系统中包含有各种各样的设备,服务器系统、路由器、交换机、工作站、终端等硬件设备;各类数据库、电力应用系统、中间件、OA、WEB等软件应用系统以及管理员的维护系统、普通用户的业务操作行为、上网行为等等人员的访问行为,审计系统应该通过不同方式灵活实现对上述相关系统日志和行为的采集。
采集过程还应保障信息源的客观性,不应篡改信息的原有属性。
实时监控。利用审计系统对采集到的日志信息、行为信息进行实时分析。通过审计系统的实时监控、告警功能,定制符合电力信息系统安全需求的规则库,规则库内容应涵盖各类操作系统、网络设备、人员操作规范等范围。实时监控还应该对每台设备的日志量进行监控,对日志量剧增、剧减等情况进行提醒。
审计分析。安全审计分析是整个信息安全体系的核心组成部分之一,电力系统应该利用审计系统对网络、应用的运行情况、企业内部信息安全制度的执行情况进行周期性审计。周期性的审计是整个审计系统发挥作用的关键,没有周期性的审计,就无法及时发现信息系统中存在的安全隐患。
实施审计系统的意义
保障数据的客观性。使用第三方审计产品对各类信息系统组成要素、人员行为进行安全审计,可以避免完全由技术人员进行手工审计带来因数据恶意篡改、人为疏忽而造成数据变化,从而保证审计数据源的客观性。
保障数据的安全性。信息系统的日志、行为记录默认状态下分散存储在各主机、应用系统当中。 一旦主机操作黑客破坏,或者磁盘损坏等意外事件都有可能导致数据丢失或破坏。第三方专业审计系统在设计、开发时对安全性、可靠性均做了充分设计,可以有效地保障数据的安全性,避免上述情况的发生。
提高审计工作效率。信息安全审计工作在没有专业审计系统的情况下是一项繁重的工作,技术人员要面对数个甚至数十个主机、数据库、设备的海量日志,依靠人力根本无法完成周期性的日志审计工作,工作量的巨大直接导致目前日志分析工作都是在出现安全事件之后,有针对性的进行事后分析。
依赖于专业化的审计系统,电力信息系统可以将所有系统的运行日志均集中到审计系统中,利用审计系统高效的检索功能及自动化的审计功能帮助审计人员进行日常审计工作,从而大大减轻审计人员的工作负担,而且能够增加审计的准确性,避免了人为失误。
落实安全管理规范。在未部署审计系统之前,由于缺乏对维护人员操作的监控能力,大量的操作规范无法真正落到实处,如无法实现对telnet、ssh、RDP等维护协议的指令还原就无法知道维护人员每次维护时在操作系统内部输入了何种指令。在部署审计系统之后,通过对维护人员操作指令的定期审计,指出维护人员操作的不当或违规之处,经过一段时间的运行,就能逐步树立维护人员良好的操作习惯,避免由于人员疏忽造成的安全事故。
另外,通过审计系统也能检测维护人员是否按照信息安全管理规范对信息系统进行维护,如定期修改密码、定期备份关键数据等等。
作为信息安全体系建设的一个重要环节,日志综合审计系统在电力系统中比不可少;通过日志安全审计系统的运用,不仅能提高员工工作效率,规范维护人员良好的工作习惯,也能及时发现信息系统中潜在的安全隐患,在满足合规要求的同时,真正提高了信息系统的安全性。
一个的会计数据,听着老同志对重大经济违规案件查出过程的讲述,我常常思索:在环境复杂下,审计人不畏艰辛,用汗水铺路,用成果回报,制止了国有资产不被流失。维护了社会经济秩序,保证了党和国家的惠民政策的落实,为之感到任重道远。是为了人民的利益、为了国家的利益,审计人用稳健的步伐,筑起审计监督、永不溃决的堤坝,一身正气,两袖清风、你手里拿着的不只是一份审计报告:那是一份沉甸甸的爱、那是一份沉甸甸的责任,有领导的信任和企盼、那里有人民大众的呼声。
自从成为审计队伍的一员,就选择了一份沉甸甸的责任,以一颗忠诚之心查错纠弊、规范管理。这份忠诚不仅仅是为人处事的诚信、热忱,更多的则是对法律的信仰、对职业的敬仰、对事实的追求、对人民的深情、对党和国家的忠诚。它彰显着(来源:好范文 http:///)审计人应有的职业品格,它含着审计人特有的价值!
自从成为审计队伍的一员,就选择了刚直和坚持。法律和事实千钧之重,即使相关单位百般掩饰、敷衍推托,甚至使用糖衣炮弹,都将刚直不阿,不徇私情,坚持原则,敢于担当,依靠财务资料,依据财经法规,采取有效的审计技术方法,凭借审计业务,怀着为经济建设保驾护航的拳拳之心,对审计结果做出客观公正的评价和处理。
自从成为审计队伍的一员,深知没有自身的高素质,就没有审计的高质量,没有一双火眼金睛,就无法洞察秋毫。基础在账里,功夫在账外,以“求索不止的执着,提高素养,增长才干。
自从成为审计队伍的一员,就选择了艰苦和清贫。但是,艰苦,并不能抛弃“一片冰心在玉壶的追求;清贫,并不能磨灭“贫贱不能移的心志。相反的,在艰苦和清贫中,却铸造着一方经济运行的规范和健康,捍卫着国家财经法律法规的尊严,保护着国家和人民的利益,抒写着审计人生……
光阴荏苒,我怀揣梦想、憧憬未来,有幸成为审计的一员,我骄傲我光荣,同时也感到一种沉甸甸的责任。
作为一名审计人,十几年的工作经历使我逐步认定了一个信念,选择了审计,就是选择了奉献;选择了奉献,就是选择了无怨无悔。在很多人的眼中,审计是一项琐碎机械,甚至呆板的工作。审计是一项平凡的工作,但是
在平凡的工作中成就不平凡的事业,就得需要良好职业道德情操,过硬的业务技术,吃苦耐劳的精神。
作为一名审计人,要为自己所从事的审计工作——蕴含沉甸甸责任的审计劳动而感到光荣和自豪。数字代表着成绩、成绩代表着光荣,那种无以名状的自豪感更加真切、更加生动,同时也在为全国的审计人而致敬——我们是光荣的审计人,同时也深深地感受到审计工作的光荣使命、感受到审计劳动的价值,以及通过审计工作这个载体所展示的审计人的价值。
做一名真正的审计人,我们就要敬业。敬业就是要我们热爱审计,踏实肯干,不断学习,不断进取。前面审计的道路尽管很崎岖,需要烈日下我们顶着酷暑下乡,需要暴风雨中我们迎着狂风深入单位。但是,为了审计工作,我们无怨无悔。真正的审计人,便是那不怕苦不怕累日益进取的敬业精神。
曾几何时,儿童们随口吟诵的道德规范与我们渐行渐远,在这个充满金钱物质诱惑的世界面前,有的人不以荣为荣:把服务群众视为“爱逞能,把辛勤劳动视为“没本事,把诚实守信视为“老古板,把艰苦奋斗视为“老保守……这种完全颠倒的荣辱观、是非观就像瘟疫一样在我们的社会上蔓延开来。看吧!那一张张查证,汇集着我们忠于职守的赤诚,那一串串数字,展示着我们为国守财的辛劳。有多少节假日是在工作中度过的,数不清;有多少次废寝忘食,夜以继日,加班加点,记不清。
团队,是时下对一个运动中的单位的简称,团队精神是指这个单位的内在精神气质和外在动力。北京奥运,中国团队历经磨砺,终于傲立世界金牌榜首。事实无可争辩地证明了团队精神是我们取得胜利的根本保证。
审计是一个特殊职能部门,可以形象地把它比喻为经济战线的“排雷兵。试想,身处雷阵之中,团
队精神该如何重要!二十年的风雨兼程,我见证了国家计划经济向市场经济转型的伟大历史变革,也经历了**审计事业从探索起步到巩固的发展历程,更是亲历了审计团队精神让我们克服了一个又一个困难(来源:好范文 http:///),最终完成任务的过程。这种精神着重表现在:第一,是对内的向心力和对外的张力。1988年在对某收费单位进行审计中,被审计单位设置障碍,拖延隐瞒拒不提供有关财务资料,审计一时陷入被动。为打击对方的气焰,局支部统一思想,分组行动,从外围取证,一举查出该单位私设“小金库10多万元,审计金额收缴,有关责任人受到处理,在全县引起震动,扩大了审计影响;第二,是分工和协作。省厅抽调各县5-6人组成审计组分赴全省各地,我局因工作只能安排3人,更大的困难是省厅临时通知被审计地区另有一个县级建制的农场也要我们审计,相当于一个审计组要承担两个审计组的工作量,怎么办?全员动手,初始分工,最后协作,经过两个整月的日日夜夜,终于圆满地完成省厅交办的任务,我县审计组被省厅评为先进集体,受到通报表彰;第三,是一种默契。90年代初在对某银行审计时,被审计单位业务负责人无理取闹,拒不接受审计,在审计组负责人义正词言与之争执时,审计组其他同志迅速找到该行主要负责人反映情况,争被审计单位领导支持,对业务负责人批评教育,使审计工作得以顺利进行;第四,是关怀和体谅。团队工作时是集体!大家相互间是同志、是领导、是下属;休闲时象家庭,是长辈、是兄弟、是姐妹。工作时严肃紧张,休闲时团结活泼。但无论环境和角色怎样转换,团队精神将关怀和体谅贯穿始终,最后带来的是团队的互动。
本论文将主要针对网络安全中安全审计模块和安全监控系统的应用与设计展开讨论, 以期找到能够有效的可供借鉴和指导的网络安全构建设计手段, 并和广大同行分享。
1 网络安全概述
安全性一直是网络的薄弱环节之一, 而用户对网络安全的要求又相当高, 因此网络安全管理非常重要。网络中主要有以下几大安全问题:网络数据的私有性 (保护网络数据不被侵入者非法获得) , 授权 (防止侵入者在网络上发送错误信息) , 访问控制 (控制对网络资源的访问) 。相应地, 网络安全管理应包括对加密和加密关键字、授权机制、访问控制的管理, 另外还要维护和检查安全日志, 包括:创建、删除、控制安全服务和机制;与安全相关信息的分布;与安全相关事件的报告等。
要实现对网络信息的安全保障, 关键是要实现对网络中传输的信息进行安全审计, 同时对网络操作实施可行的监控, 因此需要借助于访问控制机制来增强对网络信息的安全审计与监控, 提高网络信息的安全性。访问控制就是通过某种途径显式地限制对关键资源的访问。防止因非法用户的侵入或合法用户的不慎操作所造成的破坏。访问控制系统一般包括:主体、客体和安全访问规则。访问控制机制制定了哪些主体能够访问客体, 访问权限有多大, 其目的是为了检测和防止系统中未经授权的访问。通过对访问控制机制的管理与设计, 能够有效的实现对网络信息的安全审计和网络操作的监控, 提高网络信息的安全性。
2 网络安全审计与监控系统的设计
2.1 网络安全审计设计
在进行面向网络数据信息的计算机审计时, 一般需要经历一下几个步骤:首先, 采集被审计单位的数据;然后, 根据对这些数据的分析和理解, 将其转换成审计软件所需的数据形式;最后, 运用计算机审计软件对这些数据进行复核。在这个过程中, 采集被审计单位的数据是进行计算机审计的首要前提。数据采集的标准是真实、完整、有效, 且尽量少受被审计单位数据格式的影响。通常数据采集有三种方式:直接读取数据的方式、数据库连接件读取数据的方式和文件传输读取数据的方式。
对于直接读取数据的方式, 通常采用审计软件访问被审计数据库;数据库连接件方式也需要直接与被审计数据库相连, 这两种力式都需要跟被审计单位数据连接。采用这两个方式, 一方面, 需要对双方的数据存储格式要有透彻的了解, 而一旦某一方的数据存储格式发生变化, 需要重新协调确认数据交换格式, 增大了数据导出的难度, 因为在每次导出数据时需要对应具体的数据项, 同时降低了数据采集时的灵活性;另一方面, 直接与被审计单位数据库连接, 可能会影响对方的安全和数据库速度, 干扰了对方正常的业务工作。以文件传输的方式, 只需提供给被审计单位第三力数据格式, 由对方导出指定格式的数据, 这样, 避免了与对方数据库的直接连接, 而且也不需要了解对方数据库结构, 就能够直接获得了审计系统需要的数据, 从而实现了对网络数据信息的安全审计。
2.2 网络安全监控设计
网络安全监控中的核心就是要对网络操作的对象———文件进行安全监控, 而文件监控模块可以通过Widows文件过滤驱动程序拦截用户进程对文件的操作, 加载强制访问控制模块进行审核, 决定用户进程是否可以访问文件或者以何种方式访问文件, 因此, 网络文件安全监控是实现网络安全监控的核心模块。
网络文件监控控制程序主要实现对文件系统过滤驱动程序的图形化视图控制、监视消息的显示、攻击主机IP地址追踪、Socket接口等功能, 具体而言, 可以从以下几个角度进行分析。
1) Driver Message Controller负责和驱动程序通信, 启动一个线程监听驱动程序发送过来的消息;
2) 标签维护模块实现了主客体安全标签的添加、删除、清空等操作, 监视消息显示模块主要用于显示文件访问日志;
3) Sniffer模块对流经本机网卡的所有IP包进行截获, 保存一定数量的最新IP包, 记录接收到IP包的时间戳, 为实现对攻击主机IP地址的追踪准备数据;
4) Socket Controller实现了控制程序的Socket接口。
驱动程序消息控制模块主要由CDriver Msg Controller类实现, 实现了对驱动程序监视消息的接收和发送控制:
1) 接收驱动程序消息CDriver Msg Controller类使用多线程技术实现对驱动程序监视消息的实时监听, 并对监控消息进行处理, 调用Sniffer模块进行入侵主机信息的追踪。监听线程使用异步Device IoControl调用实现监听;
2) 发送控制消息提供一个统一的控制接口, 将控制信息发送到驱动程序, 控制信息包括添加访问规则、删除访问规则、清空访问规则、开始监听、停止监听等。
3 结语
随着Internet的运用愈加广泛, 网络安全和信息安全的问题日益突出, 入侵主机通过修改相关设置入侵企业网并在网内主机上安置木马程序, 对企业网内部资源造成很大的危害, 严重影响了企业网内部资源的共享和保密性要求。论文提出的主动式网络安全监控可有效的解决本地和网络入侵以及外部非法接入的隐患, 具有较高的安全性、易用性和可扩展性, 能够为企业网提供内部安全屏障;另一方面, 通过有效的防范非法接入的措施, 可以检测并阻止非法用户接入企业网, 打造企业网外部的安全屏障, 对于保障和提高企业局域内部网络的信息安全水平具有一定的借鉴和指导意义。
摘要:针对网络信息安全性较差的现状, 从访问控制机制的角度探讨了网络安全屏障的构建, 论文在简单介绍访问控制机制的基础上, 重点从访问机制的审计与监控两个角度, 分析研究了网络中信息安全的审计与网络操作安全监控的设计应用, 给出了网络安全审计与监控实现的详细方案, 对于进一步提高企业内部局域网络的信息安全具有一定借鉴意义。
关键词:网络安全,网络审计,安全监控
参考文献
[1]刘汝悼.计算机审计技术和方法[M].北京:清华大学出版社, 2004.
[2]董刚毅.网络审计的风险与控制[J].审计理论与实践, 2002.
众所周知,审计质量是评价审计工作水平高低的标准,是会计师事务所的生命。审计质量的高低直接影响审计目标的实现,对社会经济的发展与稳定产生着直接或间接的影响。由于早期计算机应用比较简单,计算机审计业务主要关注被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计;随着信息时代的到来,网络的普及及计算机信息系统的建立为信息系统审计带来了前所未有的机遇和挑战。
一、计算机信息系统环境下对审计质量的影响
(一)审计线索的减少
审计线索,亦称“审计轨迹”,在计算机信息系统环境下,会计核算主要由计算机完成,计算机只记录最后处理结果,忽略中间处理过程,数据形成依据的记录减少。储存于磁性介质上的会计数据具有存取方便、修改与删除不留痕迹的特点,这又给审计的追踪带来重重困难。因此,计算机信息系统环境下审计线索的减少和追踪困难的增加,必定给审计质量带来重大影响。
(二)审计对象的限制
审计对象是审计监督、检查和评价的客体,具体体现为被审计单位的各项经济活动及其反映的资料。在计算机信息系统环境下,注册会计师进行审计的依据是计算机的输出信息,审计对象在此受到计算机操作人员的限制。后者完全可以只提供他们愿意被审计的信息,其他敏感性信息则极有可能被人为掩藏。这样,注册会计师处于被动地位,难以获取充足的审计证据支持其审计结论,审计质量显然要受到影响。
(三)审计内容的扩展
手工系统中,审计内容就是有关财务会计的信息,而计算机环境下的审计内容还包括会计电算化系统的开发与设计、会计软件的程序以及数据库管理系统。此外,注册会计师还应该确定系统的开发与设计方法是否合理,是否严格按照分析、设计,测试、运行、维护的步骤进行,分析是否全面、设计是否恰当、测试是否充分,会计软件执行程序是否与实际操作中的业务流程一致,数据库管理系统是否有效,会计软件是否能够予以信赖,并以会计软件处理输出的结果作为审计对象。
(四)审计方法的落后
目前,被审计单位的财务工作多采用计算机进行数据处理,会计电算化软件功能日臻完善,但是审计软件的发展远远没有跟上会计软件发展的步伐,同时大部分注册会计师对计算机信息系统还不太熟悉,绝大多数审计业务仍停留在绕过计算机进行审计的阶段。但是这种方法的运用以系统必须留有足够的、肉眼可以识别的审计线索为条件,如前文所述,审计线索缺乏是计算机环境的一个特点,因此,绕过计算机审计的方法难以保证计算机环境下的审计质量。
(五)注册会计师计算机知识的缺乏
在计算机环境下,从审计计划的制定到审计程序的确定,从审计技术的选择到审计方法的采用,都必须由注册会计师操作和指挥。这要求注册会计师不仅要有丰富的会计、财务、审计知识和技能,熟悉财经法律以及其他的审计依据,而且还应当掌握计算机知识及应用技术,掌握数据处理和管理技术;不仅要懂得审计软件的操作方法,而且还应当根据审计过程中所出现的种种问题,即时编写出各种测试、审计程序模块。
二、计算机信息系统环境下提高审计质量的对策
为了提高在计算机信息系统环境下的审计质量,在财务审计中,变绕过计算机审计为穿过计算机审计,对计算机内部数据处理的详细过程直接进行审查。内容包括以下几个方面。
(一)积极开展计算机信息系统的事前审计
通过事前审计监督,对计算机信息系统建立的内部控制的严密完善性、系统的合规合法性以及系统的可审性等进行评价,保证计算机信息系统运行以后数据处理结果的真实性和正确性,防止和减少计算机信息系统信息失真风险的发生。
(二)定期对被审系统的内部控制制度进行审计
对计算机信息系统的内部控制进行审查和评价是提高计算机信息系统环境下审计质量的有效措施之一。通过对被审计系统内部控制制度的健全性调查和实际执行情况的符合性测试,找出控制的弱点,提出强化内部控制措施,督促被审计单位完善内部控制系统。
(三)重视计算机信息系统的事后审计
通过事后审计,对计算机信息系统的电子账以及打印输出资料的真实性、合法性进行评价,防止和揭露计算机信息失真的风险。
通过以上分析,在计算机信息系统环境下审计的业务范围已经扩展到了符合性测试领域。为财务报表审计提供服务只是信息系统审计业务内容很小的一部分,与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务在不断涌现。
三、加快发展信息系统审计
信息技术的发展对中国注册会计师和会计师事务所提出了更高的要求。国际同行的业务收入中,传统审计服务的收入比例在迅速下降,风险控制服务和管理咨询服务收入的比重大大提高,而这些收入中增长的部分往往又和IT环境审计和信息系统安全审计服务有关。所以,应该从三个方面发展信息系统审计工作。
(一)内部控制环节的变化,使许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础
计算机信息系统下的内部控制虽然与手工会计系统的目标是一致的,但是与手工会计系统相比,由于计算机有自动处理的功能,内部处理的不可控制性要求采用更为严格的方法。所以在控制方式、内容、手段等方面均不同于手工会计系统的内部控制。
1.职权制审查:即从组织机构角度审查信息系统中各种人员的职责与权利、联系与牵制。
2.人员素质审查:即是否有以提高人员素质为目的的控制措施。
3.硬件及环境审查:即对存档的系统设计文本中有关硬件的资料审查。
4.运行审查:即对计算机在输入、处理、输出过程中的运行情况审查。
5.修改方式及保密措施审查:审查操作修改程序是否只有一个入口,即凭证输入口;发现错误是否采用重新输入凭证的方式加以修改;是否修改后有修改痕迹;各主要功能模块是否设置操作口令,程序是否建立保密制度。
(二)控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点
由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险也日益增长。非授权用户常常利用信息系统本身存在的脆弱性对系统进行非法访问,这种非法访问使系统中储存信息的完整性受到威胁,使信息被修改或破坏而不能继续使用,更为严重的是系统中有价值的信息被非法篡改、伪造、窃取或删改而不留任何痕迹。此外,计算机还容易受各种自然灾害和各种误操作的破坏。必须认识到信息系统的这种脆弱性,采取有效措施来保证信息系统的安全。
减少被审计单位的信息风险、提高信息系统的安全性,其中最重要的手段是系统开发审计。在信息系统开发过程中控制信息系统中的不安全因素,使信息系统减少有意的或无意的差错。目前,我国大多数企业正处于信息系统的应用及逐步完善阶段,系统开发审计应该是我国信息系统审计师的主要业务范围。
【网络安全审计系统】推荐阅读:
远程教育网络信息系统07-03
复杂系统布尔网络模型及应用05-25
网络与应用系统突发事件应急预案09-15
网络道德与网络安全07-21
城市污水泵站集中网络控制系统的防雷技术06-09
网络安全安全责任书06-26
确保网络的安全07-04
局网络安全报告05-25
网络安全知识大赛06-01
网络安全整改方案07-01
