網(wǎng)絡審計監(jiān)管急需統(tǒng)一框架

申請免費試用、咨詢電話：400-8352-114

信息系統(tǒng)的安全防護是一個高速發(fā)展的交叉學科，涉及到信息系統(tǒng)的管理方式、技術手段和人員行為等諸多方面。在技術防護方式上，最顯著的一個轉變就是由網(wǎng)絡邊緣型防護轉變?yōu)橐孕畔ⅰ?shù)據(jù)為核心的內網(wǎng)防護，其中最具代表性、最活躍的領域就是網(wǎng)絡系統(tǒng)綜合審計監(jiān)管。

由于審計監(jiān)管直接涉及網(wǎng)絡的核心機密，國家在相關規(guī)定中對使用國外產品提出了明確的限制性政策。2003年前后，國內廠家開始從事該領域的開發(fā)研究，市場上出現(xiàn)了一些產品。這個階段，信息系統(tǒng)的審計監(jiān)管不論是在理論形態(tài)上還是在技術成熟度上都處于起步階段，業(yè)內沒有統(tǒng)一的國家標準或行業(yè)標準，研發(fā)企業(yè)大多處于自發(fā)狀態(tài)，很多產品甚至保留著工程項目的特征。

這些年對信息系統(tǒng)的審計監(jiān)管的安全需求在提高，研發(fā)企業(yè)與終端用戶之間的交流明顯加強，研發(fā)企業(yè)在不同用戶身上積累了較為豐富的需求內容，所采用的技術也逐漸完善、成熟。截止目前，國內在信息系統(tǒng)審計監(jiān)管領域從事研發(fā)的單位已經(jīng)比較多，具有一定影響力的產品也有十幾種。

用戶需求分析

目前市場上存在各種審計監(jiān)管類產品，從用戶的角度來看，這些產品存在諸多不盡如人意的地方。歸根結底是企業(yè)、廠商對用戶的需求不能準確把握，用戶分類眾多，需求各異。那么，用戶的需求又有哪些呢？

1.審計監(jiān)管對象是用戶行為

廣義的信息系統(tǒng)包含服務器、網(wǎng)絡節(jié)點計算機、筆記本計算機、網(wǎng)絡設備、存儲設備、移動介質、自動化辦公設備、通信線纜，甚至包括與系統(tǒng)相關的管理人員、用戶。一般來說，審計監(jiān)管系統(tǒng)的主要作用是對網(wǎng)絡中用戶的行為進行審計，本質上是要知道“什么時候發(fā)生了什么事，是誰干的”問題。從技術角度說，就是對用戶在網(wǎng)絡中的動作進行記錄、審查，所以要以用戶的行為作為核心對象。

對單機的監(jiān)管一直以來是管理和技術兩方面都較有難度的問題。為了簡化對全系統(tǒng)的管理，保持審計數(shù)據(jù)的統(tǒng)一格式，要求審計監(jiān)管系統(tǒng)具有針對單機的特定設計。這種設計以擺渡方式分發(fā)策略、傳遞日志數(shù)據(jù)，能夠與網(wǎng)絡中系統(tǒng)保持一致，并對數(shù)據(jù)進行提取和分析，產生綜合報告。

2.完善角色設計和權限劃分

信息系統(tǒng)在管理角色設計上要符合國家的有關規(guī)定，至少要設計管理和審計兩種角色。管理角色完成系統(tǒng)配置、策略制定分發(fā)的任務，審計角色完成對管理角色操作行為審計和用戶操作行為審計的任務。出于對任務的需要，審計角色應當可以查看管理角色所做的系統(tǒng)配置狀態(tài)、策略情況，但不能修改。相應地，審計角色在對審計數(shù)據(jù)進行清空、刪除、編輯等動作時，需要管理角色的允許，以兩把鑰匙保證數(shù)據(jù)的可信性。

審計監(jiān)管系統(tǒng)一般由服務端、客戶端、管理端組成，C/S模式居多。在系統(tǒng)管理上應采用分布式管理模式，同時要加入權限分級的設計，實現(xiàn)不同級別的管理角色有不同的管理范疇或管理區(qū)域。為了提高管理的安全性要求，可以限定管理計算機的IP地址等特征參數(shù)。

3.使用用戶身份認證模塊

審計監(jiān)管系統(tǒng)要做到對網(wǎng)絡環(huán)境中用戶行為的審計，就需要把虛擬的賬號與真實人員的身份一一對應，以避免假冒身份。一般說來，這個過程采用替換操作系統(tǒng)身份認證模塊的方式實現(xiàn)。在眾多的技術中以PKI體系為核心的，帶證書USB KEY的技術相對成熟穩(wěn)定，便于與信息系統(tǒng)中其他應用接口；同時其安全強度大，用戶操作簡便。

4.靈活的策略管理、分發(fā)中心

策略管理相當于審計監(jiān)管系統(tǒng)的大腦。它設計的成敗直接關系系統(tǒng)的易用性和功能性。先進的設計應當把策略與目標分離，可以實現(xiàn)計算機、賬號、人員、設備的靈活組合，這樣可以由用戶根據(jù)需要定制出細粒度非常好的管理模版。在策略分發(fā)上要具有針對用戶組、單個用戶的能力，上下級策略要有繼承和覆蓋的邏輯關系。策略的下發(fā)以客戶端主動獲取為上，這樣便于在防火墻遍地的網(wǎng)絡中部署客戶端。

當然，為了兼顧系統(tǒng)反應速度，需要在獲取時間上做好權衡。策略應當設計成可以單獨導出備份，另外在傳遞上可以離線傳遞。

5.獲取客戶端狀態(tài)

獲取客戶端的軟硬件信息是監(jiān)管的基礎，一般來說包含設備信息、軟件安裝信息、進程信息、賬號信息、網(wǎng)絡連接狀態(tài)信息等。其中需要特別指出的是,截取用戶計算機操作界面、獲取敲鍵信息等屬于明令禁止的行為。

6.監(jiān)管控制客戶端外設

審計監(jiān)管在一定程度體現(xiàn)在對用戶計算機外設、進程、窗口、程序等的控制上。對安全信息系統(tǒng)而言，與其他無關網(wǎng)絡物理隔離是最高定律。對存在外聯(lián)能力的設備，如Modem、紅外線設備、無線網(wǎng)卡設備、藍牙設備等需要在默認狀態(tài)下禁止使用。對這類設備的控制能力也是審計監(jiān)管系統(tǒng)的一個基礎。這個控制應當穩(wěn)定、可靠，在計算機正常模式和安全模式下都有效，能夠抵抗用戶的違規(guī)啟用動作。

7.管理控制移動存儲介質

優(yōu)盤、移動硬盤、MP3、智能手機等移動存儲介質的普及對信息系統(tǒng)的安全帶來巨大的隱患，通過部署審計監(jiān)管系統(tǒng)可以實現(xiàn)對移動存儲介質的注冊、管理功能，并發(fā)揮兩個作用，一是沒注冊的介質禁止或限制使用，二是注冊的介質不可以在沒裝審計軟件的計算機上使用。前者采用集中對介質進行注冊的方式，注冊后的介質在高級格式化后依然有效;后者依靠采用適當?shù)募用苓^程，保證數(shù)據(jù)在離開客戶端環(huán)境后無法解密，這種加密/解密的過程對用戶而言是透明的，其底層可采用PKI證書中的公鑰/私鑰方式。系統(tǒng)應有對介質的管理界面，可以注銷或啟用注冊的介質。

要做到管理移動存儲介質對各種數(shù)據(jù)操作的記錄和審計。必要時可以配置策略，允許備份拷貝到移動介質上的文件以加密的形式保存，在啟用一套合法的流程后可以打開該文件，以備審查。

對移動介質的控制較好的是結合安全區(qū)域的設計，即支持安全域的劃分，并且能夠定義移動介質策略的有效范圍。

8.堅強的系統(tǒng)自身安全性設計

審計監(jiān)管系統(tǒng)自身要具有足夠的安全性，服務器上的數(shù)據(jù)要采取必要的安全措施，尤其日志信息應具有良好的抗毀能力；客戶端的進程、文件、注冊表應隱藏，設置守護進程或采用重啟機制，防止用戶的惡意中止。

9. 通用性良好的數(shù)據(jù)存儲模式

安全信息系統(tǒng)的審計日志保存期可能較長，要保證數(shù)據(jù)以通用的數(shù)據(jù)格式存儲，即使脫離軟件系統(tǒng)本身，也有辦法讀取數(shù)據(jù)。避免日志數(shù)據(jù)對軟件系統(tǒng)的絕對依賴。

10.產生準確的審計信息

審計監(jiān)管系統(tǒng)最根本的作用就是生成并獲取審計信息，這包括用戶違規(guī)信息、移動介質文件操作信息、打印機操作行為、網(wǎng)絡訪問痕跡等等。所產生的信息要求準確、明晰，既要不漏審又要不產生多余的垃圾信息。這個要求看起來簡單，但難做好。

11.生成數(shù)據(jù)提取、挖掘和報表

審計數(shù)據(jù)產生后應可以方便地查詢，可以靈活定義組合查詢的各種條件，如時間段、IP地址、賬號、操作類型等等。為了方便起見，安全信息系統(tǒng)的審計系統(tǒng)應具備數(shù)據(jù)挖掘、統(tǒng)計的能力，可以根據(jù)需要產生某種報表；可以對相關事件進行一定程度的關聯(lián)分析，統(tǒng)計某類型數(shù)據(jù)、某安全域范圍或某用戶的審計信息，可以由管理員定制、產生審計報告。報告的格式形式、包含的內容項目可以相對靈活地定制。

12.具有良好性能、兼容性、穩(wěn)定性

審計監(jiān)管系統(tǒng)尤其是客戶端軟件應具有良好的兼容性、穩(wěn)定性，可以在Windows XP、Windows Servers2000、等系統(tǒng)中運行，不與常用的各類工具軟件、應用軟件沖突，軟件占用的系統(tǒng)資源較低，不影響用戶正常使用計算機。
 
框架設計

如上所述，審計監(jiān)管系統(tǒng)功能要求很復雜，沒有一個統(tǒng)一的、合理的框架設計是不可行的。要使整個系統(tǒng)功能滿足設計需求，有必要采用一體化的設計、合理規(guī)劃功能模塊之間的內在關系，保證系統(tǒng)在功能增長后邏輯依然井然有序，模塊之間關系不亂，性能和穩(wěn)定性不受影響。

在需求分析的基礎上，可以對審計監(jiān)管系統(tǒng)的技術框架規(guī)劃如附圖所示。

框架圖以比較宏觀的方式表述了審計監(jiān)管系統(tǒng)的總體功能需要和主要組成部分，以及各組件之間的邏輯關系。

從框架圖中可以看出策略管理中心在整個系統(tǒng)中處于核心地位，由它實現(xiàn)系統(tǒng)中各部件的溝通，它是一個系統(tǒng)設計的靈魂所在。好的策略管理、分配模式可實現(xiàn)用戶、賬號、計算機、設備之間的高度靈活配置組合，能夠完成想得到的精細控制，滿足不同用戶的安全需求。在實際設計中策略應完全獨立于將應用到的目標對象，可以借鑒Windows域組策略的實現(xiàn)模式。

綜合審計系統(tǒng)客戶端組件中PKI公鑰/私鑰體系是實現(xiàn)安全域劃分或計算機分組、數(shù)據(jù)加/解密、身份認證和訪問控制的基礎，而且還是系統(tǒng)自身安全性的一個保障，如可以采用證書技術在管理端、服務端、客戶端之間進行身份鑒別和數(shù)據(jù)傳輸加密。

在安全域和設備控制的共同作用下可以實現(xiàn)對移動存儲介質的有效管理，實現(xiàn)用戶需要的雙向管理要求。

在綜合審計系統(tǒng)中最具技術挑戰(zhàn)性的是對獲取的數(shù)據(jù)進行提煉、分析、統(tǒng)計、匯總，最終形成用戶需要的各種報表，這個功能的強弱往往可以反映出設計人員對審計本質的認識程度和開發(fā)隊伍的技術實力。

由上述可見，安全信息系統(tǒng)對綜合審計監(jiān)管的技術需求是很復雜的，它與一般的商業(yè)范疇系統(tǒng)審計有很大的不同，需要業(yè)內企業(yè)、廠商與用戶共同分析需求、規(guī)劃管理流程和操作流程。在產品上需要有一個科學、合理、完善的技術框架基礎，以模塊的方式實現(xiàn)各種復雜的功能，達到保證信息系統(tǒng)安全的最終目標。
 
什么是信息系統(tǒng)審計？

信息系統(tǒng)審計（IS audit）目前還沒有公認通用的定義。1985年，日本通產省情報處理開發(fā)協(xié)會信息系統(tǒng)審計委員會認為：信息系統(tǒng)審計是由獨立于審計對象的信息系統(tǒng)審計師，站在客觀的立場上，對以計算機為核心的信息系統(tǒng)進行綜合的檢查、評價，向有關人員提出問題與勸告，追求系統(tǒng)的有效利用和故障排除，使系統(tǒng)更加健全。國際信息系統(tǒng)審計領域的權威專家Ron Weber將它定義為“收集并評估證據(jù)以判斷一個計算機系統(tǒng)（信息系統(tǒng)）是否有效做到保護資產、維護數(shù)據(jù)完整、完成組織目標，同時最經(jīng)濟地使用資源。”這一定義既包括信息系統(tǒng)的外部審計的鑒證目標——即對被審計單位的信息系統(tǒng)保護資產安全及數(shù)據(jù)完整的鑒證，又包含內部審計的管理目標——即不僅包括被審計信息系統(tǒng)保護資產安全及數(shù)據(jù)完整，而且包括信息系統(tǒng)的有效性目標。

信息系統(tǒng)審計監(jiān)管技術發(fā)展新方向

信息系統(tǒng)審計監(jiān)管技術的發(fā)展趨勢將會朝著標準化、技術綜合化、與信息系統(tǒng)管理方式深度關聯(lián)化等幾個方向發(fā)展。

標準化是指信息系統(tǒng)審計在監(jiān)管的基礎項目中逐漸形成，針對每個項目可對比的技術指標逐漸統(tǒng)一的過程。例如，對目標計算機敏感外設的禁用、限制性使用能力已經(jīng)成為監(jiān)管系統(tǒng)的一個基本要求。

為了實現(xiàn)審計監(jiān)管的能力，審計監(jiān)管系統(tǒng)與網(wǎng)絡中其他安全技術的關聯(lián)越來越緊密。在更大程度上審計監(jiān)管會更加以其他技術為基礎，審計監(jiān)管本身的技術更加趨于綜合化，將和其他技術貫穿在同一主線。例如，為了實現(xiàn)對用戶行為的審計，需要有效地區(qū)別用戶，這就需要用戶身份認證系統(tǒng)的支持；為了審計用戶行為是否越權，需要有效地區(qū)分用戶的權限，就這需要用戶訪問控制系統(tǒng)的支持。

信息系統(tǒng)的安全程度在很大程度上取決于對系統(tǒng)的管理方式。這個方式是否有效、合理，是否能夠做到管理閉環(huán)將決定系統(tǒng)的安全級別，同時也標志著系統(tǒng)管理的成熟度。隨著系統(tǒng)管理方式趨于安全化，信息系統(tǒng)的審計監(jiān)管系統(tǒng)的功能也逐漸強大，將逐漸成為一個管理中心。其他大量的安全技術、管理流程、操作步驟將以它為核心，這個系統(tǒng)的重要性將顯著提高，它與整個信息系統(tǒng)的管理方式更加緊密地結合在一起。(ccw)