盛憲鋒，焦文彬，杜義華

（中國(guó)科學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)信息中心ARP中心，北京100864）

0 引 言

對(duì)于信息系統(tǒng)的安全防范主要有網(wǎng)絡(luò)安全、系統(tǒng)安全和使用安全，網(wǎng)絡(luò)安全可以通過(guò)建立VPN邏輯內(nèi)網(wǎng)、添加防火墻設(shè)備和安全審計(jì)設(shè)備等技術(shù)方法解決；系統(tǒng)安全可以通過(guò)系統(tǒng)漏洞補(bǔ)丁升級(jí)、啟用系統(tǒng)內(nèi)部的安全訪問策略等實(shí)現(xiàn)；而在內(nèi)部信息系統(tǒng)的實(shí)際使用過(guò)程中，有70%以上的安全威脅源自于內(nèi)部人員的非法訪問或內(nèi)部人員攻擊，因此隨著業(yè)務(wù)系統(tǒng)的深入推廣應(yīng)用，系統(tǒng)的內(nèi)部使用安全更應(yīng)該特別關(guān)注和解決。本文提出了一種基于分布式信息系統(tǒng)的內(nèi)部監(jiān)控審計(jì)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)，解決了對(duì)分布式系統(tǒng)的統(tǒng)一安全管理和實(shí)現(xiàn)了對(duì)內(nèi)部信息系統(tǒng)的安全事件的監(jiān)控審計(jì)。

1 監(jiān)控審計(jì)平臺(tái)設(shè)計(jì)目標(biāo)

分布式信息系統(tǒng)內(nèi)部監(jiān)控審計(jì)平臺(tái)主要完成對(duì)信息系統(tǒng)的內(nèi)部監(jiān)控審計(jì)功能，并將各個(gè)分布式系統(tǒng)的監(jiān)控審計(jì)信息進(jìn)行匯總分析，使得安全管理中心能夠及時(shí)了解和掌握各個(gè)分布式系統(tǒng)的安全狀況、系統(tǒng)運(yùn)行情況。

該平臺(tái)主要完成的功能及目標(biāo)如下：①實(shí)現(xiàn)數(shù)據(jù)庫(kù)監(jiān)控審計(jì)功能；②實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)監(jiān)控審計(jì)功能；③實(shí)現(xiàn)系統(tǒng)日志分析功能；④實(shí)現(xiàn)審計(jì)分析功能，進(jìn)行數(shù)據(jù)庫(kù)操作統(tǒng)計(jì)，報(bào)警統(tǒng)計(jì)，登錄統(tǒng)計(jì)等統(tǒng)計(jì)分析功能；⑤實(shí)現(xiàn)報(bào)表功能，對(duì)審計(jì)結(jié)果、統(tǒng)計(jì)數(shù)據(jù)等進(jìn)行報(bào)表生成和輸出功能；⑥實(shí)現(xiàn)預(yù)警功能，對(duì)于系統(tǒng)的異常事件進(jìn)行短信郵件預(yù)警。

2 監(jiān)控審計(jì)平臺(tái)設(shè)計(jì)方案

2.1 總體方案設(shè)計(jì)

在各分布式業(yè)務(wù)系統(tǒng)上部署監(jiān)控審計(jì)系統(tǒng)，對(duì)分布式系統(tǒng)的數(shù)據(jù)庫(kù)、應(yīng)用和系統(tǒng)日志進(jìn)行監(jiān)控審計(jì)，審計(jì)信息經(jīng)采集、過(guò)濾、轉(zhuǎn)換存儲(chǔ)在本地監(jiān)控審計(jì)數(shù)據(jù)庫(kù)中，同時(shí)將本地審計(jì)信息通過(guò)數(shù)據(jù)交換平臺(tái)定期交換至監(jiān)控審計(jì)信息匯總數(shù)據(jù)庫(kù)中，供安全管理中心統(tǒng)計(jì)分析使用，并提供短信和郵件預(yù)警功能?？傮w架構(gòu)設(shè)計(jì)如圖1所示。

2.2 分布式監(jiān)控審計(jì)系統(tǒng)設(shè)計(jì)

分布式監(jiān)控審計(jì)系統(tǒng)主要實(shí)現(xiàn)本地的信息系統(tǒng)安全使用和監(jiān)控審計(jì)功能，分為應(yīng)用系統(tǒng)監(jiān)控審計(jì)、數(shù)據(jù)庫(kù)監(jiān)控審計(jì)和系統(tǒng)日志監(jiān)控3個(gè)層次。應(yīng)用系統(tǒng)的監(jiān)控審計(jì)主要完成對(duì)本地業(yè)務(wù)系統(tǒng)應(yīng)用用戶的登錄、系統(tǒng)訪問、業(yè)務(wù)操作等的監(jiān)控審計(jì)，審計(jì)信息經(jīng)過(guò)濾轉(zhuǎn)換保存在本地監(jiān)控審計(jì)數(shù)據(jù)庫(kù)中；數(shù)據(jù)庫(kù)監(jiān)控審計(jì)主要實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)核心用戶或敏感用戶的操作審計(jì)功能，包括對(duì)數(shù)據(jù)庫(kù)表、字段等數(shù)據(jù)庫(kù)對(duì)象操作和數(shù)據(jù)庫(kù)對(duì)象授權(quán)、數(shù)據(jù)庫(kù)日常管理的監(jiān)控審計(jì)；系統(tǒng)日志的監(jiān)控審計(jì)主要通過(guò)對(duì)應(yīng)用系統(tǒng)的日志、數(shù)據(jù)庫(kù)系統(tǒng)的日志和操作系統(tǒng)的日志進(jìn)行分析處理，并將監(jiān)控信息經(jīng)過(guò)濾轉(zhuǎn)換保存在審計(jì)系統(tǒng)數(shù)據(jù)庫(kù)中。同時(shí)提供對(duì)本地系統(tǒng)安全管理員提供監(jiān)控審計(jì)信息的查詢分析功能，通過(guò)預(yù)警規(guī)則的設(shè)置，提供預(yù)警功能。具體功能設(shè)計(jì)如圖2所示。

2.2.1 數(shù)據(jù)庫(kù)監(jiān)控審計(jì)

數(shù)據(jù)庫(kù)監(jiān)控審計(jì)主要實(shí)現(xiàn)用戶進(jìn)行數(shù)據(jù)庫(kù)進(jìn)行操作時(shí)，操作行為的審計(jì)。即什么人在什么時(shí)間什么地點(diǎn)對(duì)什么數(shù)據(jù)進(jìn)行過(guò)什么操作等?？梢允褂貌僮饔脩?、對(duì)象、時(shí)間和行為對(duì)其進(jìn)行描述，如表1所示。

本分布式業(yè)務(wù)系統(tǒng)使用的都是Oracle數(shù)據(jù)庫(kù)，其自身支持?jǐn)?shù)據(jù)的標(biāo)準(zhǔn)審計(jì)、觸發(fā)器審計(jì)和細(xì)粒度審計(jì)。標(biāo)準(zhǔn)審計(jì)功能開啟時(shí)可以實(shí)現(xiàn)數(shù)據(jù)庫(kù)用戶對(duì)數(shù)據(jù)庫(kù)操作的語(yǔ)句審計(jì)、權(quán)限操作審計(jì)和數(shù)據(jù)庫(kù)對(duì)象操作審計(jì)，并把審計(jì)結(jié)果自動(dòng)寫入到AUDMYM表中；使用觸發(fā)器主要實(shí)現(xiàn)基于內(nèi)容的審計(jì)，Oracle可以進(jìn)行數(shù)據(jù)操作和數(shù)據(jù)定義觸發(fā)器設(shè)置，還可以進(jìn)行數(shù)據(jù)庫(kù)事件的觸發(fā)器操作，如系統(tǒng)的登錄、退出、啟動(dòng)、關(guān)閉操作，基于觸發(fā)器的審計(jì)不必修改應(yīng)用程序，對(duì)應(yīng)用系統(tǒng)提供透明式的審計(jì)方法；細(xì)粒度審可以實(shí)現(xiàn)基于策略的審計(jì)，如對(duì)滿足某些控制條件下的審計(jì)，還可單獨(dú)對(duì)列值進(jìn)行審計(jì)。

表1 數(shù)據(jù)庫(kù)監(jiān)控審計(jì)內(nèi)容

2.2.2 系統(tǒng)應(yīng)用監(jiān)控審計(jì)

系統(tǒng)應(yīng)用的監(jiān)控審計(jì)主要實(shí)現(xiàn)應(yīng)用系統(tǒng)用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問操作監(jiān)控，因?yàn)槿粘５牟樵儾僮鲗?duì)系統(tǒng)基本不造成影響，故主要監(jiān)控的為對(duì)核心業(yè)務(wù)的增加修改等處理操作和比較消耗系統(tǒng)資源的大型事務(wù)性操作的監(jiān)控。對(duì)于應(yīng)用系統(tǒng)的監(jiān)控審計(jì)需要根據(jù)具體應(yīng)用系統(tǒng)需求而定，需要對(duì)業(yè)務(wù)表關(guān)聯(lián)性進(jìn)行分析，整理出可監(jiān)控內(nèi)容。

2.2.3 系統(tǒng)日志監(jiān)控審計(jì)

系統(tǒng)日志的監(jiān)控主要實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)正常運(yùn)行影響最大的幾類日志文件監(jiān)控分析，如操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)alter日志、應(yīng)用系統(tǒng)log日志等。通過(guò)對(duì)以上日志文件的分析監(jiān)控，從中提取出對(duì)于系統(tǒng)正常運(yùn)行和監(jiān)控的有價(jià)值的信息，進(jìn)行監(jiān)控審計(jì)，并對(duì)可疑行為予以告警。

2.2.4 監(jiān)控審計(jì)信息處理存儲(chǔ)

本地?cái)?shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)和系統(tǒng)日志等收集到的監(jiān)控審計(jì)信息經(jīng)信息過(guò)濾、轉(zhuǎn)換等保存在本地監(jiān)控審計(jì)數(shù)據(jù)庫(kù)中，為本地系統(tǒng)安全管理員提供在線分析查詢功能和重要安全事件的短信和郵件預(yù)警功能。

2.3 數(shù)據(jù)交換平臺(tái)設(shè)計(jì)

數(shù)據(jù)交換平臺(tái)實(shí)現(xiàn)將各個(gè)分布式數(shù)據(jù)庫(kù)監(jiān)控審計(jì)信息匯總至安全管理中心數(shù)據(jù)庫(kù)的功能，本方案使用開源消息中間件ActiveMQ進(jìn)行監(jiān)控審計(jì)數(shù)據(jù)交換平臺(tái)的搭建，其實(shí)現(xiàn)如圖3所示。ActiveMQ是由Apache組織發(fā)布的開源的企業(yè)級(jí)通用消息中間件，完全支持JMS1.1和J2EE 1.4規(guī)范的JMS Provider實(shí)現(xiàn)。本平臺(tái)中采用點(diǎn)對(duì)點(diǎn)發(fā)布方式，來(lái)確認(rèn)數(shù)據(jù)交換的準(zhǔn)確性和完整性。將每一個(gè)分布式監(jiān)控審計(jì)數(shù)據(jù)庫(kù)作為一個(gè)發(fā)送方，并部署MQ客戶端，將數(shù)據(jù)庫(kù)中監(jiān)控審計(jì)數(shù)據(jù)通過(guò)提取、分包和封裝發(fā)送給Active MQ服務(wù)端，服務(wù)端再將消息發(fā)送至安全管理中心接收方的監(jiān)控審計(jì)匯總數(shù)據(jù)庫(kù)端，由MQ客戶端負(fù)責(zé)消息的接收分析提取信息，經(jīng)整理后寫入監(jiān)控審計(jì)匯總數(shù)據(jù)庫(kù)，從而完成分布式數(shù)據(jù)的監(jiān)控審計(jì)數(shù)據(jù)交換匯總功能。

圖3 數(shù)據(jù)交換平臺(tái)架構(gòu)

2.4 信息展示平臺(tái)設(shè)計(jì)

信息展示部分主要實(shí)現(xiàn)對(duì)匯總監(jiān)控審計(jì)信息的動(dòng)態(tài)查詢、多維統(tǒng)計(jì)分析，以及靜態(tài)動(dòng)態(tài)報(bào)表的展示等功能。方便于對(duì)各分布式系統(tǒng)的安全運(yùn)行狀況監(jiān)控和決策分析。

2.5 預(yù)警功能設(shè)計(jì)

平臺(tái)的預(yù)警功能主要通過(guò)郵件預(yù)警和短信預(yù)警方式實(shí)現(xiàn)，郵件預(yù)警通過(guò)調(diào)用Javamail接口實(shí)現(xiàn)，Javamail是Sun公司提供的一套完整的用于讀取、編寫和發(fā)送郵件的API，利用它可以實(shí)現(xiàn)類似Outlook、Foxmail等郵件客戶端的程序。Javamail隱藏了郵件底層的各種復(fù)雜操作，對(duì)郵件的特定協(xié)議提供了支持，如smtp，pop3，imap，mime等，簡(jiǎn)化了編寫郵件程序的操作。短信預(yù)警通過(guò)調(diào)用短信網(wǎng)關(guān)接口實(shí)現(xiàn)。

3 監(jiān)控審計(jì)平臺(tái)實(shí)現(xiàn)

監(jiān)控審計(jì)平臺(tái)由監(jiān)控審計(jì)數(shù)據(jù)的功能處理模塊和規(guī)則庫(kù)、監(jiān)控審計(jì)數(shù)據(jù)庫(kù)組成。具體功能處理模塊有數(shù)據(jù)采集模塊、數(shù)據(jù)過(guò)濾模塊、數(shù)據(jù)處理模塊、規(guī)則設(shè)計(jì)模塊、數(shù)據(jù)分析模塊、數(shù)據(jù)展示模塊、系統(tǒng)版本控制模塊和預(yù)警模塊等，如圖4所示。

圖4 監(jiān)控審計(jì)平臺(tái)邏輯框架

3.1 數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊主要實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)、業(yè)務(wù)數(shù)據(jù)庫(kù)和系統(tǒng)日志等不同數(shù)據(jù)源監(jiān)控審計(jì)數(shù)據(jù)的信息收集功能，針對(duì)不同的數(shù)據(jù)源進(jìn)行數(shù)據(jù)采集時(shí)，會(huì)根據(jù)規(guī)則庫(kù)中相應(yīng)采集策略進(jìn)行數(shù)據(jù)的收集工作，然后將收集信息傳遞給數(shù)據(jù)過(guò)濾模塊進(jìn)行過(guò)濾處理。

應(yīng)用系統(tǒng)的監(jiān)控審計(jì)主要采集信息有登錄系統(tǒng)信息、對(duì)不同業(yè)務(wù)的訪問處理情況以及應(yīng)用系統(tǒng)核心業(yè)務(wù)的流程狀態(tài)信息等內(nèi)容，具體審計(jì)范圍根據(jù)規(guī)則庫(kù)中應(yīng)用系統(tǒng)審計(jì)策略而定。對(duì)于業(yè)務(wù)數(shù)據(jù)庫(kù)系統(tǒng)的審計(jì)信息主要為數(shù)據(jù)庫(kù)用戶的登錄信息以及對(duì)數(shù)據(jù)庫(kù)對(duì)象的操作審計(jì)記錄，具體用戶范圍和審計(jì)對(duì)象范圍也由規(guī)則庫(kù)中數(shù)據(jù)庫(kù)審計(jì)策略而定。系統(tǒng)日志的審計(jì)監(jiān)控信息收集，首先要對(duì)操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)alter日志、應(yīng)用系統(tǒng)log日志格式進(jìn)行分析，對(duì)有效內(nèi)容進(jìn)行提取采集，系統(tǒng)日志有效信息的特征碼也將在規(guī)則庫(kù)中進(jìn)行維護(hù)。

數(shù)據(jù)采集方式有兩種，即實(shí)時(shí)采集方式和周期采集方式。實(shí)時(shí)采集方式以數(shù)據(jù)庫(kù)觸發(fā)器形式實(shí)現(xiàn)，實(shí)時(shí)捕捉監(jiān)控審計(jì)對(duì)象的操作記錄。周期采集方式即以執(zhí)行計(jì)劃或執(zhí)行任務(wù)方式，定期對(duì)系統(tǒng)日志等監(jiān)控對(duì)象進(jìn)行分析處理，獲取監(jiān)控信息，時(shí)間采集周期將根據(jù)具體審計(jì)要求在規(guī)則庫(kù)中制定。

3.2 數(shù)據(jù)過(guò)濾模塊

由于信息系統(tǒng)的應(yīng)用系統(tǒng)訪問、數(shù)據(jù)庫(kù)用戶訪問及系統(tǒng)日志記錄量都比較大，并非所有審計(jì)信息都對(duì)系統(tǒng)造成危害，影響系統(tǒng)安全。因此審計(jì)監(jiān)控系統(tǒng)需要對(duì)以上的事件進(jìn)行過(guò)濾處理，將合法操作和可能對(duì)系統(tǒng)造成危害的操作進(jìn)行過(guò)濾，只將威脅系統(tǒng)使用安全的事件進(jìn)行保留，提交給數(shù)據(jù)轉(zhuǎn)換模塊處理，其他正常日志信息直接做過(guò)濾處理，提高后期分析效率。

3.3 數(shù)據(jù)轉(zhuǎn)換模塊

經(jīng)過(guò)數(shù)據(jù)過(guò)濾模塊收集到的監(jiān)控信息，存入監(jiān)控審計(jì)數(shù)據(jù)庫(kù)前需要進(jìn)行數(shù)據(jù)轉(zhuǎn)換操作，將監(jiān)控審計(jì)信息轉(zhuǎn)換成為數(shù)據(jù)庫(kù)記錄格式的數(shù)據(jù)進(jìn)行存儲(chǔ)，對(duì)于某些信息還需要調(diào)用規(guī)則庫(kù)中的轉(zhuǎn)換規(guī)則進(jìn)行信息轉(zhuǎn)換，如經(jīng)過(guò)對(duì)系統(tǒng)日志分析得出某個(gè)時(shí)間段服務(wù)正常運(yùn)行的給予 “正常運(yùn)行”狀態(tài)轉(zhuǎn)換，若是系統(tǒng)日志有嚴(yán)重錯(cuò)誤信息的給予 “系統(tǒng)運(yùn)行警告”轉(zhuǎn)換，系統(tǒng)服務(wù)異常終止的給予 “系統(tǒng)宕機(jī)”轉(zhuǎn)換等。

3.4 規(guī)則設(shè)計(jì)模塊

通過(guò)規(guī)則設(shè)計(jì)模塊，對(duì)規(guī)則庫(kù)中的策略進(jìn)行設(shè)置維護(hù)，主要維護(hù)信息有數(shù)據(jù)采集模塊中的數(shù)據(jù)庫(kù)采集策略、應(yīng)用系統(tǒng)采集策略和系統(tǒng)日志分析采集策略，數(shù)據(jù)過(guò)濾模塊中的過(guò)濾策略、過(guò)濾條件等，數(shù)據(jù)轉(zhuǎn)換模塊中監(jiān)控審計(jì)信息轉(zhuǎn)換策略等。

3.5 數(shù)據(jù)分析模塊

該模塊對(duì)保存在監(jiān)控審計(jì)數(shù)據(jù)庫(kù)中的信息數(shù)據(jù)進(jìn)行分析，根據(jù)設(shè)定閾值進(jìn)行處理，在審計(jì)系統(tǒng)中，可以對(duì)事件分析的結(jié)果分為3個(gè)級(jí)別：一般警告、事務(wù)性警告和嚴(yán)重警告。

3.6 系統(tǒng)版本控制模塊

分布式業(yè)務(wù)系統(tǒng)的版本升級(jí)和系統(tǒng)功能優(yōu)化及問題解決都是通過(guò)業(yè)務(wù)系統(tǒng)補(bǔ)丁的方式實(shí)現(xiàn)，系統(tǒng)版本控制模塊可以監(jiān)控各業(yè)務(wù)系統(tǒng)的補(bǔ)丁記錄維護(hù)表，監(jiān)控應(yīng)用系統(tǒng)的補(bǔ)丁操作是否完整，還可以細(xì)粒度監(jiān)控核心業(yè)務(wù)數(shù)據(jù)表、視圖、存儲(chǔ)過(guò)程等是否完整，以及表的字段是否完整等，從而能夠?qū)崟r(shí)掌握各分布式系統(tǒng)的部署版本情況和補(bǔ)丁維護(hù)情況，保障系統(tǒng)版本的一致性。

3.7 數(shù)據(jù)展示和預(yù)警模塊

數(shù)據(jù)展示模塊完成對(duì)審計(jì)信息數(shù)據(jù)的報(bào)表輸出和系統(tǒng)查詢等展示功能，實(shí)現(xiàn)監(jiān)控審計(jì)信息的查詢統(tǒng)計(jì)分析等功能。并對(duì)達(dá)到預(yù)警條件的信息進(jìn)行郵件和短信預(yù)警操作。

3.8 規(guī)則庫(kù)和監(jiān)控審計(jì)數(shù)據(jù)庫(kù)

規(guī)則庫(kù)記錄規(guī)則設(shè)計(jì)模塊設(shè)置維護(hù)的規(guī)則策略信息，主要有數(shù)據(jù)采集模塊中的數(shù)據(jù)庫(kù)采集策略、應(yīng)用系統(tǒng)采集策略和系統(tǒng)日志分析采集策略，數(shù)據(jù)過(guò)濾模塊中的過(guò)濾策略、過(guò)濾條件等，數(shù)據(jù)轉(zhuǎn)換模塊中監(jiān)控審計(jì)信息轉(zhuǎn)換策略等。監(jiān)控審計(jì)數(shù)據(jù)庫(kù)記錄各分布式業(yè)務(wù)系統(tǒng)具體的監(jiān)控審計(jì)信息。

4 規(guī)則庫(kù)配置策略

規(guī)則庫(kù)配置的原理為設(shè)置一個(gè)或多個(gè)條件，當(dāng)滿足這些條件時(shí)將會(huì)觸發(fā)一個(gè)或多個(gè)操作。規(guī)則通常包括兩個(gè)部分，即一組條件和在此條件下執(zhí)行的動(dòng)作，其實(shí)施過(guò)程統(tǒng)一表現(xiàn)為對(duì)條件的檢測(cè)以及在條件成立時(shí)的動(dòng)作執(zhí)行?？梢允褂卯a(chǎn)生式規(guī)則表示法對(duì)規(guī)則庫(kù)中的規(guī)則進(jìn)行配置和維護(hù)。

4.1 產(chǎn)生式規(guī)則表示法

產(chǎn)生式規(guī)則常用于表示具有因果關(guān)系的知識(shí)，其基本形式是“IFPTHENQ”，其中P代表一組前提或狀態(tài)，Q代表若干結(jié)論或動(dòng)作，其含義是如果前提P得以滿足，即為 “真”，則可得出結(jié)論Q或Q所規(guī)定的動(dòng)作。

產(chǎn)生式規(guī)則可用以下公式表示

式中：m，n＞1，k＝1，2，…，r。Rk——第K條規(guī)則，Ck——第K條規(guī)則的結(jié)論。

4.2 審計(jì)規(guī)則庫(kù)推理

基于產(chǎn)生式系統(tǒng)的推理方式一般分為正向推理、反向推理和雙向推理。本系統(tǒng)規(guī)則庫(kù)的推理機(jī)制使用的是正向推理方式，又稱為數(shù)據(jù)驅(qū)動(dòng)方式，即從已知事實(shí)出發(fā)，通過(guò)規(guī)則庫(kù)求得結(jié)論。具體過(guò)程為將檢測(cè)到的當(dāng)前事件和規(guī)則庫(kù)中的規(guī)則進(jìn)行匹配，若匹配不成功繼續(xù)進(jìn)行下一個(gè)事件的檢測(cè)，若匹配成功則執(zhí)行匹配規(guī)則，直至全部匹配完成，如圖5所示。

圖5 規(guī)則庫(kù)推理機(jī)制

例如，已知事實(shí)E“應(yīng)用系統(tǒng)啟動(dòng)日志無(wú)報(bào)錯(cuò)信息”，規(guī)則庫(kù)規(guī)則R“應(yīng)用系統(tǒng)啟動(dòng)日志無(wú)報(bào)錯(cuò)信息－＞應(yīng)用啟動(dòng)正?！保瑒t結(jié)果C“應(yīng)用啟動(dòng)正?！北槐４嫒氡O(jiān)控審計(jì)數(shù)據(jù)庫(kù)中。

5 結(jié)束語(yǔ)

本文提出了一種基于分布式業(yè)務(wù)系統(tǒng)的內(nèi)部監(jiān)控審計(jì)平臺(tái)技術(shù)解決方案，實(shí)現(xiàn)了對(duì)于分布式業(yè)務(wù)系統(tǒng)的應(yīng)用審計(jì)監(jiān)控、數(shù)據(jù)庫(kù)用戶操作審計(jì)監(jiān)控和系統(tǒng)日志審計(jì)監(jiān)控功能，解決了目前防火墻、入侵檢測(cè)、網(wǎng)絡(luò)審計(jì)等網(wǎng)絡(luò)安全監(jiān)控設(shè)備無(wú)法處理的系統(tǒng)內(nèi)部使用監(jiān)控問題。并建設(shè)了基于產(chǎn)生式規(guī)則表示法的規(guī)則庫(kù)，通過(guò)規(guī)則庫(kù)中的規(guī)則策略，對(duì)采集、過(guò)濾、轉(zhuǎn)換、分析等過(guò)程中的監(jiān)控審計(jì)數(shù)據(jù)進(jìn)行處理，并保存在監(jiān)控審計(jì)數(shù)據(jù)庫(kù)中。然后通過(guò)院所數(shù)據(jù)交換平臺(tái)將所級(jí)分布式監(jiān)控審計(jì)數(shù)據(jù)庫(kù)中的信息數(shù)據(jù)匯聚到院安全管理中心，以提供對(duì)全院分布式系統(tǒng)的安全監(jiān)控和統(tǒng)計(jì)分析和統(tǒng)計(jì)報(bào)表展示。本技術(shù)方案還提供了對(duì)嚴(yán)重級(jí)別的監(jiān)控?cái)?shù)據(jù)郵件和短信預(yù)警功能。

［1］CAO Hui，WANG Qingqing，MA Yizhong，et al.New database security auditing system ［J］.Computer Engineering and Applications，2007，43 （5）：163－165 （in Chinese）. ［曹暉，王青青，馬義忠，等.一種新型的數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng) ［J］.計(jì)算機(jī)工程與應(yīng)用，2007，43 （5）：163－165.］

［2］QIU Haisheng.Design and application of database auditing and inside security mornitoring for telecom enterprise［D］.Beijing：Beijing University of Posts and Telecommunications，2009 （in Chinese）.［裘海生.電信企業(yè)數(shù)據(jù)庫(kù)審計(jì)及內(nèi)部安全監(jiān)控系統(tǒng)的設(shè)計(jì)與應(yīng)用 ［D］.北京：北京郵電大學(xué)，2009.］

［3］Susan Henczel.The information audit as a first step towards effective knowledge management：An opportunity for the special librarian ［J］.INSPEL，2000，34 （3／4）：210－226.

［4］HUANG Chen，HU Hongyun，JIANG Andong，et al.Design and implementation of distributed security audit system ［J］.Computer Engineering and Design，2007，28 （4）：811－813 （in Chinese）.［黃晨，胡紅云，蔣安東，等.分布式安全審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2007，28 （4）：811－813.］

［5］WEI Lifeng，CHEN Songzheng.Design and implementation of secure audit system in Kylin ［J］.Computer Engineering and Design，2010，31 （15）：3339－3341 （in Chinese）.［魏立峰，陳松鄭.Kylin安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) ［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2010，31 （15）：3339－3341.］

［6］Common Criteria Recognition Agreement （CCRA）.Common criteria for information technology security evaluation（Version 2.3）［S］.2005.

［7］The apache fundation.Apache ActiveMQ ［EB／OL］.http：／／activemq.apache.org／，2006.

［8］DAI Jun，ZHU Xiaomin.Design and implementation of an asynchronous message bus based on ActiveMQ ［J］.Computer System Applications，2010，19 （8）：254－258 （in Chinese）.［戴俊，朱曉民.基于ActiveMQ的異步消息總線的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)系統(tǒng)應(yīng)用，2010，19 （8）：254－258.］

［9］ZHANG Y，LIAO J X，ZHANG T Y，et al.A novel method for the short message or multimedia message synchronization ［C］.Bucharest，Romania：Proc of IEEE International Conference on Wireless and Mobile Communications，2006：29－31.

［10］Nigel Deakin.JSR 914：JavaTM message service（JMS）API［EB／OL］.http：／／jcp.org／en／jsr／detail？id＝914，2003.

［11］The Apache Fundation.Apache ActiveMQ ［EB／OL］.http：／／activemq.apache.org／，2006.

［12］ZHANG Y，LIAO J X，ZHANG T Y，et al.A novel method for the short message or multimedia message synchronization［C］.Bucharest，Romania：Proc of IEEE International Conference on Wireless and Mobile Communications 2006：29－31.

［13］PAN Linglin.Application of expert system based on generative formula ［J］.Computer Technology and Development，2007，17 （5）：66－68（in Chinese）.［潘玲琳.基于產(chǎn)生式規(guī)則的專家系統(tǒng)的研究實(shí)現(xiàn) ［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2007，17 （5）：66－68.］

［14］LAO Juan.Realization and improvement of the production rule in relation data base［J］.Micro Computer Information，2007，23 （7－3）：195－197 （in Chinese）.［勞眷.對(duì)產(chǎn)生式規(guī)則關(guān)系數(shù)據(jù)庫(kù)的實(shí)現(xiàn)與改進(jìn) ［J］.微計(jì)算機(jī)信息，2007，23 （7－3）：195－197.］

［15］HUANG Wulan.A new reasoning tree structure based on production rule［J］.Microelectronics ＆Computer，2007，24 （4）：76－78（in Chinese）.［黃務(wù)蘭.一種新的基于產(chǎn)生式規(guī)則的推理樹結(jié)構(gòu) ［J］.微電子學(xué)與計(jì)算機(jī)，2007，24 （4）：76－78.］

［16］TIAN Xingyan，DENG Zhe.Research on the single produce formula on L－system ［J］.Control ＆ Automation，2010，26 （51）：14－16（in Chinese）.［田興彥，鄧哲.基于L－系統(tǒng)中單規(guī)則產(chǎn)生式的研究 ［J］.微計(jì)算機(jī)信息，2010，26 （51）：14－16.］