周春楠

（億陽安全技術(shù)有限公司 北京 100093）

1 引言

隨著行業(yè)、企業(yè)信息化建設(shè)的進(jìn)一步深入，網(wǎng)絡(luò)結(jié)構(gòu)日趨完善，業(yè)務(wù)能力快速增強(qiáng)，業(yè)務(wù)數(shù)據(jù)越來越集中，隨之而來的數(shù)據(jù)風(fēng)險(xiǎn)日益突出。如果政府、行業(yè)、事業(yè)單位、企業(yè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)被惡意篡改、破壞或重要機(jī)密數(shù)據(jù)外泄，都會(huì)造成不可估計(jì)的損失。

要保護(hù)這些數(shù)據(jù)，需要使用審計(jì)系統(tǒng)、身份和訪問管理系統(tǒng)等應(yīng)用安全產(chǎn)品，跟蹤分析誰訪問了數(shù)據(jù)庫(kù)、操作了重要數(shù)據(jù)、復(fù)制了機(jī)密文件等。建設(shè)綜合審計(jì)與責(zé)任分析系統(tǒng)，將獲得全面的安全日志和事件場(chǎng)景回放，增強(qiáng)日志的管理、網(wǎng)絡(luò)和信息系統(tǒng)的監(jiān)控、安全事件的行為取證和責(zé)任分析，提高業(yè)務(wù)系統(tǒng)和重要數(shù)據(jù)的安全保障能力。

2 系統(tǒng)概述

綜合審計(jì)與責(zé)任分析系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)操作等進(jìn)行數(shù)據(jù)采集取證，為安全事件的追溯提供有效的證據(jù)，有效結(jié)合用戶認(rèn)證和訪問授權(quán)模塊，實(shí)現(xiàn)責(zé)任分析功能，構(gòu)建可控的企業(yè)內(nèi)部安全機(jī)制。該系統(tǒng)是集網(wǎng)絡(luò)行為分析、日志分析、堡壘主機(jī)、數(shù)據(jù)關(guān)聯(lián)分析、用戶認(rèn)證、用戶行為取證、安全事件責(zé)任分析為一體的產(chǎn)品，系統(tǒng)以保護(hù)客戶關(guān)鍵業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、商業(yè)資料等機(jī)密信息為中心，滿足了企業(yè)客戶內(nèi)部數(shù)據(jù)審計(jì)取證和監(jiān)控的需求，通過網(wǎng)絡(luò)數(shù)據(jù)流、主機(jī)日志、數(shù)據(jù)庫(kù)、堡壘主機(jī)等多種途徑采集取證、監(jiān)控和記錄企業(yè)工作人員操作這些重要數(shù)據(jù)的行為和后果，同時(shí)也記錄非授權(quán)人員企圖操作這些重要數(shù)據(jù)的行為。根據(jù)這些行為的取證和分析，構(gòu)建可控的企業(yè)內(nèi)部數(shù)據(jù)安全，為完善企業(yè)內(nèi)部相關(guān)安全制度提供強(qiáng)有力的保障。

綜合審計(jì)與責(zé)任分析系統(tǒng)對(duì)局域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)上的系統(tǒng)、應(yīng)用和設(shè)備的日志進(jìn)行實(shí)時(shí)采集、集中存儲(chǔ)、實(shí)時(shí)分析、事后分析、異常報(bào)警，同時(shí)支持分布式、跨平臺(tái)的統(tǒng)一智能化日志管理，可以對(duì)各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、Web服務(wù)中間件、數(shù)據(jù)庫(kù)和其他應(yīng)用進(jìn)行全面的日志管理，集合了網(wǎng)絡(luò)行為審計(jì)、主機(jī)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、堡壘主機(jī)審計(jì)等多種審計(jì)源，集中收集、分析信息系統(tǒng)中所有的日志，解決了“日志分布散、管理難”的問題。通過采用關(guān)聯(lián)分析算法，解決了“日志查詢難”的問題，使管理員把精力集中在最值得關(guān)心的日志上，時(shí)刻了解信息系統(tǒng)的運(yùn)行狀況，對(duì)事故進(jìn)行快速響應(yīng)。另外，由于采用了“實(shí)時(shí)收集，隔離備份”的機(jī)制，黑客無法完全刪除入侵日志。遇到特殊安全事件和系統(tǒng)故障時(shí)，能確保日志完好和不被篡改，協(xié)助快速定位相關(guān)日志，并以此為依據(jù)進(jìn)行事件回放、行為追溯、故障恢復(fù)和責(zé)任分析。

綜合審計(jì)與責(zé)任分析系統(tǒng)是功能強(qiáng)大的智能化日志管理設(shè)備。一方面，可以隨時(shí)了解整個(gè)信息系統(tǒng)的日志吞吐情況，在實(shí)時(shí)的日志分析中及時(shí)發(fā)現(xiàn)安全漏洞和非法訪問行為，通過告警模塊以聲音、E-mail、手機(jī)短信息等方式及時(shí)通知管理員；另一方面，在事后分析和報(bào)表中提供多種運(yùn)行分析報(bào)告，方便系統(tǒng)管理員從日志類型、特征、數(shù)量、內(nèi)容中全面分析信息系統(tǒng)的運(yùn)行狀況，及時(shí)發(fā)現(xiàn)安全漏洞和非法訪問行為，為系統(tǒng)今后的戰(zhàn)略規(guī)劃提供依據(jù)。

3 各審計(jì)系統(tǒng)比較及本系統(tǒng)優(yōu)勢(shì)

3.1 各審計(jì)系統(tǒng)比較

當(dāng)前國(guó)際、國(guó)內(nèi)信息安全領(lǐng)域中，審計(jì)系統(tǒng)大多為單獨(dú)審計(jì)數(shù)據(jù)來源的產(chǎn)品，功能相對(duì)簡(jiǎn)單，沒有行為舉證、責(zé)任分析等功能，同時(shí)，審計(jì)系統(tǒng)、堡壘主機(jī)系統(tǒng)、身份認(rèn)證和訪問管理系統(tǒng)、責(zé)任分析系統(tǒng)等產(chǎn)品一般相互獨(dú)立，沒有實(shí)現(xiàn)這些產(chǎn)品和技術(shù)的融合。

現(xiàn)在國(guó)內(nèi)外審計(jì)系統(tǒng)的主要技術(shù)和產(chǎn)品介紹如下。

（1）抓取分組分析型網(wǎng)絡(luò)審計(jì)產(chǎn)品

抓取分組分析型網(wǎng)絡(luò)審計(jì)產(chǎn)品通過偵聽并抓取信道中的IP數(shù)據(jù)分組，根據(jù)相關(guān)網(wǎng)絡(luò)協(xié)議分析數(shù)據(jù)分組，從中發(fā)現(xiàn)網(wǎng)絡(luò)中的違規(guī)行為和異常操作，記錄存儲(chǔ)，為各種TCP網(wǎng)絡(luò)服務(wù)系統(tǒng)提供日志審計(jì)功能，對(duì)重要的網(wǎng)絡(luò)服務(wù)在IP層進(jìn)行保護(hù)，可作為獨(dú)立的產(chǎn)品單獨(dú)部署。

根據(jù)產(chǎn)品的功能和部署位置，抓取分組分析型網(wǎng)絡(luò)審計(jì)產(chǎn)品可分為上網(wǎng)行為管理與審計(jì)產(chǎn)品、基于網(wǎng)絡(luò)行為的業(yè)務(wù)審計(jì)產(chǎn)品。前者部署在互聯(lián)網(wǎng)出口處，多在交換機(jī)上旁路偵聽，截獲數(shù)據(jù)報(bào)文，進(jìn)行采集、分析，審計(jì)內(nèi)部用戶訪問互聯(lián)網(wǎng)的內(nèi)容和行蹤，阻斷在特定地點(diǎn)和時(shí)間不宜訪問的互聯(lián)網(wǎng)內(nèi)容，預(yù)防或記錄用戶的違規(guī)和違法行為，防止內(nèi)部信息泄漏，記錄相關(guān)行為以供查詢和舉證?；趪?guó)情，國(guó)內(nèi)這種基于抓取分組分析的上網(wǎng)行為管理與審計(jì)產(chǎn)品較多。

后者部署在核心業(yè)務(wù)安全域的交換機(jī)處，旁路偵聽數(shù)據(jù)流，采集、解析數(shù)據(jù)分組，審計(jì)記錄用戶對(duì)主機(jī)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)的操作行為，保護(hù)網(wǎng)絡(luò)中重要的業(yè)務(wù)系統(tǒng)，預(yù)防或記錄用戶的違規(guī)行為。

（2）流量分析型網(wǎng)絡(luò)審計(jì)產(chǎn)品

流量分析型網(wǎng)絡(luò)審計(jì)產(chǎn)品通過收集網(wǎng)絡(luò)設(shè)備的各種日志，借助異常流量分析技術(shù)分析網(wǎng)絡(luò)中的流量，發(fā)現(xiàn)網(wǎng)絡(luò)中的異常和違規(guī)行為。一般網(wǎng)管廠商根據(jù)網(wǎng)絡(luò)設(shè)備日志管理，研發(fā)出流量分析型網(wǎng)絡(luò)審計(jì)產(chǎn)品。

（3）主機(jī)審計(jì)產(chǎn)品

主機(jī)審計(jì)產(chǎn)品對(duì)局域網(wǎng)、廣域網(wǎng)上的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)、Web服務(wù)器、中間件和其他應(yīng)用等的日志進(jìn)行采集、分析、集中存儲(chǔ)、異常報(bào)警、事后查詢。應(yīng)用系統(tǒng)、操作系統(tǒng)等日志源對(duì)象，可以通過安裝專用代理（agent）的方式采集日志。

（4）數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品

數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品監(jiān)控和記錄所有對(duì)數(shù)據(jù)庫(kù)的操作，保障信息系統(tǒng)核心數(shù)據(jù)得到規(guī)范存儲(chǔ)、規(guī)范操作，對(duì)數(shù)據(jù)庫(kù)異常操作或違規(guī)操作進(jìn)行記錄、追蹤、報(bào)警，降低可能的安全風(fēng)險(xiǎn)，防范數(shù)據(jù)庫(kù)信息泄露、非法修改等危險(xiǎn)。一般支持對(duì) Oracle、SQL Server、Sybase、IBM DB2 等多種關(guān)系型數(shù)據(jù)庫(kù)的審計(jì)，能規(guī)避SQL注入、Oracle目錄遍歷攻擊、Oracle拒絕服務(wù)攻擊、SQL緩沖區(qū)溢出攻擊、SQL函數(shù)漏洞攻擊等破壞性風(fēng)險(xiǎn)。

審計(jì)分析：詳細(xì)審計(jì)分析所有客戶端對(duì)生產(chǎn)數(shù)據(jù)庫(kù)訪問的記錄，包括客戶端的IP地址、MAC地址、計(jì)算機(jī)名、目的地址、客戶端程序名、數(shù)據(jù)庫(kù)名、表名、操作方式、操作內(nèi)容、返回成功與否等。

數(shù)據(jù)采集過濾：可通過操作源IP地址、操作源MAC地址、計(jì)算機(jī)名、程序名、生產(chǎn)數(shù)據(jù)庫(kù)名、生產(chǎn)數(shù)據(jù)庫(kù)用戶名、操作內(nèi)容、表名等設(shè)定過濾規(guī)則。

數(shù)據(jù)存儲(chǔ)：可自定義審計(jì)數(shù)據(jù)保留天數(shù)，滿足各相關(guān)法規(guī)對(duì)審計(jì)數(shù)據(jù)保留天數(shù)的要求；可自定義存儲(chǔ)空間閾值，超過閾值則自動(dòng)刪除最老的歷史數(shù)據(jù)，避免無磁盤空間可用，從而造成系統(tǒng)故障。

3.2 本系統(tǒng)的特點(diǎn)和優(yōu)勢(shì)

本系統(tǒng)融合了各種審計(jì)系統(tǒng)、身份和訪問管理系統(tǒng)、責(zé)任舉證和分析系統(tǒng)的功能，在國(guó)內(nèi)產(chǎn)品中處于先進(jìn)水平，其支撐系統(tǒng)已成功應(yīng)用于中國(guó)移動(dòng)通信集團(tuán)公司的黑龍江、北京、湖北、貴州、山東、浙江、上海、陜西等16個(gè)省市分公司以及老撾電信、PICC、廣安門醫(yī)院等多個(gè)單位。本系統(tǒng)的技術(shù)特點(diǎn)和優(yōu)勢(shì)如下。

（1）實(shí)現(xiàn)了全面信息的采集，支持多種日志形式并存，綜合實(shí)現(xiàn)了網(wǎng)絡(luò)行為審計(jì)、主機(jī)日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用系統(tǒng)審計(jì)、堡壘主機(jī)審計(jì)。本系統(tǒng)由于融合了日志、網(wǎng)絡(luò)分組、網(wǎng)絡(luò)流量、數(shù)據(jù)庫(kù)等多種審計(jì)源，相比其他單一的審計(jì)產(chǎn)品，綜合審計(jì)與責(zé)任分析系統(tǒng)的覆蓋范圍更廣，且具有更強(qiáng)的網(wǎng)絡(luò)報(bào)文分析引擎，可以包容更多的網(wǎng)絡(luò)協(xié)議。

如果僅是基于主機(jī)審計(jì)（HBA），只能通過采集日志獲取人員行為，而由于主機(jī)日志來自各種復(fù)雜而龐大的設(shè)備，可能導(dǎo)致配置和管理成本過高，此時(shí)配合使用網(wǎng)絡(luò)行為審計(jì)（NBA）就可以彌補(bǔ)。一般容易配置和管理的主機(jī)可以優(yōu)先使用HBA，其他設(shè)備和系統(tǒng)可以使用NBA。

同理，如果僅是具有NBA，就不能審計(jì)矢量圖形協(xié)議（RDP和xWindow），此時(shí)就需要用主機(jī)審計(jì)彌補(bǔ)這個(gè)不足。所以說，主機(jī)審計(jì)和網(wǎng)絡(luò)審計(jì)是相輔相成、相互補(bǔ)充的，也是本系統(tǒng)優(yōu)勢(shì)的體現(xiàn)。

（2）具有堡壘主機(jī)功能，實(shí)現(xiàn)對(duì)相關(guān)信息系統(tǒng)的保護(hù)。堡壘主機(jī)扮演著看門者的職責(zé)，所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇“大門”經(jīng)過。因此堡壘主機(jī)能夠攔截非法訪問和惡意攻擊，阻斷、過濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問行為。

（3）實(shí)現(xiàn)綜合審計(jì)、堡壘主機(jī)、身份管理、身份認(rèn)證、訪問授權(quán)等產(chǎn)品的融合，是集數(shù)據(jù)采集、協(xié)議解析、身份驗(yàn)證、集中取證、事件關(guān)聯(lián)分析、訪問權(quán)限控制各種技術(shù)于一體的新型產(chǎn)品，是應(yīng)用安全產(chǎn)業(yè)的重要發(fā)展方向。本系統(tǒng)可實(shí)現(xiàn)實(shí)名制身份認(rèn)證、綜合審計(jì)、責(zé)任分析，能夠?qū)⑵髽I(yè)內(nèi)部人員、廠商人員和其他業(yè)務(wù)相關(guān)人員的操作行為關(guān)聯(lián)分析到具體人員。如使用身份令牌（token），當(dāng)使用令牌的人員通過登錄獲取相應(yīng)訪問權(quán)限時(shí)，本系統(tǒng)就能夠跟蹤該人員對(duì)生產(chǎn)數(shù)據(jù)的操作，能夠?yàn)樨?zé)任分析工作提供支持，追查事故等。

（4）采用專用硬件加速審計(jì)速度。

（5）底層采用通用接口，支持第三方安全軟件，實(shí)現(xiàn)跨平臺(tái)、跨區(qū)域的日志接入。

（6）采用標(biāo)準(zhǔn)的XML進(jìn)行用戶信息同企業(yè)各種資源的同步。

（7）廣 泛支持 主流商 業(yè) 數(shù) 據(jù)庫(kù)，如 Oracle、Sybase、Informix、SQL Server、DB2、Taradata 主流版本，支持以上數(shù)據(jù)庫(kù)的各種客戶端和訪問方式，包括CLI、ODBC、JDBC等；還支持常用非主流數(shù)據(jù)庫(kù)，如MySQL、PostgreSQL等。

廣泛支持SQL語句規(guī)范，還支持各個(gè)商業(yè)數(shù)據(jù)庫(kù)自定義的SQL命令，支持的SQL命令分類如數(shù)據(jù)定義（DDL）、數(shù)據(jù)操作（DML）、數(shù)據(jù)控制（DCL）、數(shù)據(jù)檢索和事務(wù)命令。

（8）具有豐富的審計(jì)自動(dòng)報(bào)表，審計(jì)數(shù)據(jù)直接滿足《薩班斯—奧克斯利法案》的相關(guān)規(guī)定和流程要求。

（9）支持各種應(yīng)用系統(tǒng)，支持B/S結(jié)構(gòu)和C/S結(jié)構(gòu)并存。可以同時(shí)接入C/S系統(tǒng)、B/S系統(tǒng)、各種網(wǎng)元、主機(jī)、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備日志數(shù)據(jù)，進(jìn)行綜合審計(jì)、行為取證、監(jiān)控管理。

4 綜合審計(jì)與責(zé)任分析系統(tǒng)技術(shù)和設(shè)計(jì)

4.1 系統(tǒng)設(shè)計(jì)技術(shù)路線

針對(duì)安全產(chǎn)品的特點(diǎn)，本系統(tǒng)的技術(shù)路線是：

·采用J2EE框架及技術(shù)；

·采用面向?qū)ο蟮脑O(shè)計(jì)技術(shù)；

·采用輕量目錄服務(wù)協(xié)議技術(shù)，對(duì)其進(jìn)行繼承以及擴(kuò)展；

·采用跨系統(tǒng)的Web Services接口；

·采用系統(tǒng)發(fā)展模式，貫徹全過程整體最優(yōu)的技術(shù)路線；

·基于分層、低耦合軟件結(jié)構(gòu)設(shè)計(jì)；

·采用基于角色的訪問控制 （role-based policies access control，RBAC）模型。

4.2 系統(tǒng)結(jié)構(gòu)

本產(chǎn)品基于多層、低耦合的系統(tǒng)設(shè)計(jì)，實(shí)現(xiàn)了數(shù)據(jù)標(biāo)準(zhǔn)化、數(shù)據(jù)聚合、數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)分析、實(shí)時(shí)報(bào)警、責(zé)任分析等功能，支持分布式、跨平臺(tái)部署。系統(tǒng)自下而上分為3個(gè)層次，分別是采集層、數(shù)據(jù)層、應(yīng)用層，如圖1所示。

（1）采集層

負(fù)責(zé)集中收集各類日志，自動(dòng)記錄每一次操作的必要信息，準(zhǔn)確記錄何人、何時(shí)、何地進(jìn)行了何種操作。通過網(wǎng)絡(luò)監(jiān)聽方式采集用戶操作行為，包括登錄、應(yīng)用程序操作、數(shù)據(jù)庫(kù)操作、FTP、發(fā)送E-mail等；安全設(shè)備、網(wǎng)絡(luò)設(shè)備的日志通過Syslog發(fā)送給審計(jì)系統(tǒng)；通過 FTP、Server LOG等方式采集核心網(wǎng)、傳輸網(wǎng)、數(shù)據(jù)網(wǎng)等網(wǎng)元產(chǎn)生的日志；通過 SNMP、Syslog、HTTP等數(shù)據(jù)網(wǎng)絡(luò)協(xié)議采集常見的數(shù)據(jù)設(shè)備日志；應(yīng)用系統(tǒng)、操作系統(tǒng)等其他日志源對(duì)象，可以通過安裝專用代理的方式采集日志，并發(fā)送給審計(jì)系統(tǒng)。

（2）數(shù)據(jù)層

通過分布式運(yùn)行環(huán)境對(duì)外提供協(xié)議解析、設(shè)備解析配置、臨時(shí)緩存文件區(qū)、數(shù)據(jù)過濾、數(shù)據(jù)標(biāo)準(zhǔn)化、數(shù)據(jù)篩選、數(shù)據(jù)聚合、數(shù)據(jù)關(guān)聯(lián)、告警配置、日志數(shù)據(jù)庫(kù)等服務(wù)。日志數(shù)據(jù)的存儲(chǔ)主要分為關(guān)系型和對(duì)象型數(shù)據(jù)庫(kù)兩種類型，適用于不同的應(yīng)用場(chǎng)合，存儲(chǔ)海量數(shù)據(jù)的事件數(shù)據(jù)庫(kù)是關(guān)系型的，而策略數(shù)據(jù)庫(kù)是對(duì)象型的，便于策略的分發(fā)與同步。各模塊的具體功能介紹見表1。

表1 各模塊的具體功能

圖1 系統(tǒng)總體結(jié)構(gòu)

（3）應(yīng)用層

應(yīng)用層直接面向管理員和系統(tǒng)用戶，在這個(gè)層次，管理人員制定安全策略，查詢關(guān)心的日志信息，監(jiān)控安全態(tài)勢(shì)，完成應(yīng)急響應(yīng)、取證和責(zé)任分析、報(bào)表輸出。

4.3 系統(tǒng)功能

綜合審計(jì)與責(zé)任分析系統(tǒng)根據(jù)用戶的實(shí)際工作需要，提供了強(qiáng)大的功能，將繁瑣的日志管理和分析工作變得簡(jiǎn)單。該產(chǎn)品的主要功能如圖2所示，具體介紹如下。

·網(wǎng)絡(luò)審計(jì)：對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行協(xié)議還原和分析，支持HTTP、POP3、SMTP、FTP、Telnet、Rlogin、RSH 等網(wǎng)絡(luò)通信協(xié)議。

·主機(jī)審計(jì)：對(duì)各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的日志進(jìn)行采集并進(jìn)行標(biāo)準(zhǔn)化處理。

·數(shù)據(jù)庫(kù)審計(jì)：對(duì)主流數(shù)據(jù)庫(kù)的操作進(jìn)行取證。支持?jǐn)?shù)據(jù)庫(kù)打開審計(jì)選項(xiàng)方式審計(jì)和網(wǎng)絡(luò)監(jiān)聽方式取證，以更好地貼近用戶的需求。

·堡壘主機(jī)：提供標(biāo)準(zhǔn)的Telnet、SSH和FTP文件傳輸代理服務(wù)；兼容各類UNIX平臺(tái)和網(wǎng)絡(luò)設(shè)備，支持各種標(biāo)準(zhǔn)的Telnet、SSH、FTP客戶端，兼容大多數(shù)終端類型，如 Xterm、VT100、VT200、Ansi、Dec、Linux等。

·集中取證：通過對(duì)各種日志的采集進(jìn)行日志的整理和保存，包括事件的定義、事件處理知識(shí)庫(kù)等功能。

·責(zé)任分析：綜合事件關(guān)聯(lián)模型、關(guān)聯(lián)引擎、事件重放、責(zé)任舉證。

·分布式消息中間件：提供良好的分布式部署環(huán)境，支持異步消息通信機(jī)制、P2P協(xié)議、SSL加密技術(shù)及數(shù)據(jù)流壓縮技術(shù)，以適應(yīng)各種網(wǎng)絡(luò)環(huán)境的需要。

·網(wǎng)絡(luò)拓?fù)鋱D：顯示審計(jì)系統(tǒng)服務(wù)器、采集引擎的在

線情況。

·系統(tǒng)狀態(tài)圖：審計(jì)系統(tǒng)服務(wù)器的性能實(shí)時(shí)監(jiān)測(cè)，包括CPU使用情況、內(nèi)存使用情況、網(wǎng)絡(luò)負(fù)載情況、硬盤使用情況。

·規(guī)則告警：對(duì)滿足規(guī)則管理中所定義規(guī)則的日志進(jìn)行呈現(xiàn)。

·用戶認(rèn)證：用戶認(rèn)證系統(tǒng)，支持多種認(rèn)證方式；也可以通過第三方CA或4A系統(tǒng)進(jìn)行用戶身份的識(shí)別、系統(tǒng)準(zhǔn)入。

·用戶管理：進(jìn)行基于角色的用戶管理，通過身份的確認(rèn)和規(guī)則的下發(fā)，對(duì)用戶的權(quán)限進(jìn)行嚴(yán)謹(jǐn)?shù)目刂?。用戶屬性包括名稱、角色、口令、聯(lián)系方式（固定電話、移動(dòng)電話、E-mail）、用戶描述信息；用戶角色屬性包括名稱、權(quán)限、角色描述信息。

·資源管理：對(duì)網(wǎng)絡(luò)中被管理的全部設(shè)備進(jìn)行分組分類，通過自身類型、使用日志對(duì)象類型、主要用途、重要性進(jìn)行劃分。

·探測(cè)器管理：為收集滿足條件的日志信息而對(duì)探測(cè)器進(jìn)行包括名稱、探測(cè)器IP地址、目的IP地址、目的端口、是否在線、發(fā)送方式（不發(fā)送、實(shí)時(shí)發(fā)送、周期發(fā)送）、發(fā)送周期、刪除等的配置管理。

·告警信息：配置短信、郵件等告警方式，以便在產(chǎn)生告警信息時(shí)及時(shí)通知管理員。

4.4 多種審計(jì)日志管理和查詢

系統(tǒng)能采集、管理、查詢多種審計(jì)日志，包括主機(jī)審計(jì)日志、網(wǎng)絡(luò)審計(jì)日志、堡壘主機(jī)日志、數(shù)據(jù)庫(kù)審計(jì)日志、系統(tǒng)日志和關(guān)鍵操作。管理員可以查詢到各種日志信息。

·主機(jī)審計(jì)日志：主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等通過Syslog、SNMP方式傳送給審計(jì)系統(tǒng)的日志。根據(jù)起止時(shí)間、設(shè)備類型、場(chǎng)所、重要程度、自定義參數(shù)進(jìn)行查詢。

·網(wǎng)絡(luò)審計(jì)日志：網(wǎng)絡(luò)行為日志。根據(jù)用戶名稱、IP地址、操作命令、起止時(shí)間進(jìn)行查詢。

·堡壘主機(jī)日志：堡壘主機(jī)命令行操作審計(jì)日志。

·數(shù)據(jù)庫(kù)日志：數(shù)據(jù)庫(kù)訪問操作日志，根據(jù)用戶名稱、IP地址、操作命令、起止時(shí)間進(jìn)行查詢。

·系統(tǒng)日志：對(duì)審計(jì)系統(tǒng)本身操作的日志。根據(jù)操作人員的用戶名稱、起止時(shí)間、日志重要程度（高、中、低3個(gè)等級(jí)）進(jìn)行查詢，也可以根據(jù)日志的描述信息進(jìn)行模糊查詢。

4.5 堡壘主機(jī)

堡壘主機(jī)是一種被加固的可以防御進(jìn)攻的計(jì)算機(jī)，具備堅(jiān)強(qiáng)的安全防護(hù)能力，用來實(shí)現(xiàn)用戶訪問控制、用戶命令過濾（阻斷）、生成命令日志、回放用戶會(huì)話過程。

當(dāng)用戶登錄網(wǎng)絡(luò)設(shè)備和主機(jī)時(shí)，需要先登錄訪問堡壘主機(jī)，由堡壘主機(jī)進(jìn)行認(rèn)證登錄，用戶需通過堡壘主機(jī)登錄網(wǎng)絡(luò)設(shè)備，所有訪問流量均經(jīng)過堡壘主機(jī)，因此堡壘主機(jī)可以實(shí)現(xiàn)對(duì)訪問內(nèi)容的詳細(xì)審計(jì)。在部署堡壘主機(jī)時(shí)，需配合網(wǎng)絡(luò)的安全設(shè)置，使得對(duì)網(wǎng)絡(luò)設(shè)備的訪問只能經(jīng)由堡壘主機(jī)跳轉(zhuǎn)，從而確保審計(jì)的不可繞過性。

堡壘主機(jī)還具備圖形終端審計(jì)功能，能夠?qū)Χ嗥脚_(tái)的多種終端操作進(jìn)行審計(jì)，如Windows平臺(tái)遠(yuǎn)程桌面（RDP）形式的圖形終端操作。

圖2 綜合審計(jì)與責(zé)任分析系統(tǒng)功能架構(gòu)

4.6 安全事件責(zé)任

當(dāng)使用身份令牌或數(shù)字證書等的人員通過登錄獲取相應(yīng)訪問權(quán)限時(shí)，系統(tǒng)就能夠跟蹤該人員對(duì)生產(chǎn)數(shù)據(jù)的操作，能夠?yàn)樨?zé)任分析工作提供支持，通過審計(jì)記錄、關(guān)聯(lián)分析和事件分析等功能，認(rèn)定安全事件的責(zé)任人。

通過關(guān)聯(lián)分析用戶身份管理中的主賬號(hào)、IP地址等，實(shí)現(xiàn)用戶實(shí)名審計(jì)跟蹤。企業(yè)或事業(yè)單位用戶通過堡壘主機(jī)的實(shí)名制認(rèn)證后，身份管理模塊向網(wǎng)絡(luò)審計(jì)服務(wù)器發(fā)送包含該用戶主賬號(hào)等信息的消息，網(wǎng)絡(luò)審計(jì)服務(wù)器將消息中的主賬號(hào)（可關(guān)聯(lián)個(gè)人身份證等實(shí)名制信息）和審計(jì)服務(wù)器的原日志包中的用戶名、IP地址等信息進(jìn)行關(guān)聯(lián)，這樣即使用戶使用root、administrator等非實(shí)名制的賬號(hào)登入應(yīng)用系統(tǒng)，網(wǎng)絡(luò)審計(jì)服務(wù)器也能關(guān)聯(lián)分析出訪問操作用戶的實(shí)名，實(shí)現(xiàn)用戶實(shí)名審計(jì)跟蹤。

圖3 綜合審計(jì)與責(zé)任分析系統(tǒng)部署

對(duì)越權(quán)訪問、違反企業(yè)安全策略等行為進(jìn)行采集取證，實(shí)現(xiàn)電子證據(jù)（數(shù)據(jù)電文）的存儲(chǔ)和查詢功能；實(shí)現(xiàn)了控制臺(tái)擊鍵操作信息的過程回放功能；在發(fā)布軟件的支持下實(shí)現(xiàn)RDP操作的過程回放功能；實(shí)現(xiàn)了網(wǎng)絡(luò)行為（Telent、SSH等）的過程回放功能。最終通過與用戶認(rèn)證、授權(quán)系統(tǒng)模塊的結(jié)合，實(shí)現(xiàn)從操作到自然人映射的責(zé)任分析功能。

5 系統(tǒng)網(wǎng)絡(luò)部署

本系統(tǒng)的企業(yè)級(jí)網(wǎng)絡(luò)部署如圖3所示。

6 結(jié)束語

總之，綜合審計(jì)與責(zé)任分析系統(tǒng)具有全面的安全日志采集、關(guān)聯(lián)分析、查詢舉證、安全告警、事件場(chǎng)景回放、責(zé)任分析等功能。支持統(tǒng)一的身份管理、授權(quán)管理和訪問控制策略下發(fā)，將安全事件的行為取證與用戶關(guān)聯(lián)起來，具有良好的證據(jù)收集和責(zé)任分析功能，保護(hù)了關(guān)鍵業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、商業(yè)資料等機(jī)密信息，滿足了企事業(yè)單位內(nèi)部數(shù)據(jù)審計(jì)、員工操作審計(jì)和信息系統(tǒng)監(jiān)控的需求，極大地提高了信息資產(chǎn)風(fēng)險(xiǎn)的防范能力，提高了信息系統(tǒng)業(yè)務(wù)和數(shù)據(jù)的安全性。

1 ISO 10181-7:1996.信息安全框架 信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第7部分：安全跟蹤和告警框架,1996

2 QB-Y-049-2013.中國(guó)移動(dòng)通信企業(yè)標(biāo)準(zhǔn)：中國(guó)移動(dòng)業(yè)務(wù)支撐網(wǎng)安全管理平臺(tái)技術(shù)規(guī)范V2.0.0.中國(guó)移動(dòng)集團(tuán)公司，2013