◆林 迅

（福富軟件 福建 350001）

信息安全審計(jì)系統(tǒng)的架構(gòu)設(shè)計(jì)

◆林 迅

（福富軟件 福建 350001）

信息安全審計(jì)系統(tǒng)采用分布式部署方式，分為網(wǎng)絡(luò)審計(jì)設(shè)備和審計(jì)管理中心兩大部分，通過基于業(yè)務(wù)運(yùn)維行為、上網(wǎng)行為和網(wǎng)絡(luò)應(yīng)用行為的審計(jì)，實(shí)現(xiàn)基于用戶網(wǎng)絡(luò)行為的全面多維度審計(jì)，本文通過介紹信息安全審計(jì)系統(tǒng)的體系架構(gòu)、通過分析數(shù)據(jù)流圖設(shè)計(jì)來闡述該系統(tǒng)的設(shè)計(jì)原理。

行為審計(jì)；特征碼識別；管理中心

0 引言

信息安全是一個(gè)動(dòng)態(tài)的過程，在為自身業(yè)務(wù)提供高效的網(wǎng)絡(luò)運(yùn)營平臺同時(shí)，日趨復(fù)雜的IT業(yè)務(wù)系統(tǒng)與不同背景業(yè)務(wù)用戶的行為也給網(wǎng)絡(luò)帶來潛在的威脅，如內(nèi)部業(yè)務(wù)數(shù)據(jù)、重要敏感文件通過電子郵件、遠(yuǎn)程終端訪問（TELNET、FTP）等方式被纂改、泄露和竊取；訪問非法網(wǎng)站、發(fā)布非法言論等違規(guī)上網(wǎng)行為泛濫；嚴(yán)重破壞政府、企業(yè)的信息系統(tǒng)安全。

隨著業(yè)務(wù)系統(tǒng)訪問、網(wǎng)絡(luò)應(yīng)用行為日益頻繁，我們可能經(jīng)常遇到以下情況：

（1）員工隨意通過網(wǎng)絡(luò)共享文件夾、文件上傳下載、EMAIL等方式，發(fā)送重要敏感信息、業(yè)務(wù)數(shù)據(jù)，導(dǎo)致信息外泄事件發(fā)生；

（2）員工在論壇發(fā)表敏感信息、傳播非法言論，造成惡劣社會(huì)影響；

（3）等級保護(hù)要求。公安部國家電子政務(wù)等級保護(hù)、國家保密局BMB17-2006號文件中要求政府、涉密單位必須對涉密信息、業(yè)務(wù)系統(tǒng)相關(guān)的網(wǎng)絡(luò)行為進(jìn)行安全審計(jì)和管理。

根據(jù)調(diào)查數(shù)據(jù)顯示，大多數(shù)企業(yè)雖然已經(jīng)采用一定的網(wǎng)絡(luò)安全手段（如防火墻、入侵檢測等）和管理措施，但是上述安全事件發(fā)生后，卻仍然無法進(jìn)行及時(shí)告警響應(yīng)、準(zhǔn)確定位事件源頭。如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息傳播是當(dāng)前迫切需要解決的問題。

因此，信息安全審計(jì)系統(tǒng)正是在這樣的背景下產(chǎn)生的，為保障業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)信息數(shù)據(jù)不受來自用戶的破壞、泄密、竊取，運(yùn)用各種手段實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，以便收集、分析報(bào)警、處理的一種手段。

1 系統(tǒng)體系架構(gòu)

信息安全審計(jì)系統(tǒng)，通過網(wǎng)絡(luò)審計(jì)設(shè)備，對用戶上網(wǎng)行為進(jìn)行數(shù)據(jù)采集、集中管理與分析，實(shí)現(xiàn)信息采集、檢測、監(jiān)控與響應(yīng)等管理過程。該系統(tǒng)體系架構(gòu)如圖1所示：

圖1 信息安全審計(jì)系統(tǒng)體系架構(gòu)

系統(tǒng)從總體架構(gòu)上可分為審計(jì)設(shè)備、數(shù)據(jù)采集模塊、數(shù)據(jù)庫模塊、綜合管理模塊、外部接口層模塊，管理門戶模塊等。

（1）審計(jì)設(shè)備

網(wǎng)絡(luò)審計(jì)設(shè)備能夠針對局域網(wǎng)內(nèi)用戶訪問互聯(lián)網(wǎng)的行為進(jìn)行分析，為內(nèi)網(wǎng)用戶提供安全監(jiān)控和防護(hù)。網(wǎng)絡(luò)審計(jì)設(shè)備能夠針對內(nèi)網(wǎng)用戶使用互聯(lián)網(wǎng)的上網(wǎng)行為進(jìn)行實(shí)時(shí)的管理和有效的控制。采用協(xié)議識別，特征檢測和智能關(guān)聯(lián)分析技術(shù)，全面檢測網(wǎng)絡(luò)數(shù)據(jù)包，及時(shí)發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警記錄。

（2）數(shù)據(jù)采集模塊

通過協(xié)議中介層從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用系統(tǒng)等數(shù)據(jù)來源采集各種安全信息，并進(jìn)行格式規(guī)范化處理，為數(shù)據(jù)庫的統(tǒng)一管理做好準(zhǔn)備。

（3）數(shù)據(jù)庫模塊

數(shù)據(jù)庫模塊將接收不同的數(shù)據(jù)采集模塊的數(shù)據(jù)，并把海量的數(shù)據(jù)進(jìn)行合理的分類歸并、優(yōu)化匯總。通過預(yù)先分配足夠的大小和合適的增長幅度在一個(gè)對象建立的時(shí)候要根據(jù)應(yīng)用充分地計(jì)算他們的大小，減少存儲(chǔ)結(jié)構(gòu)擴(kuò)展。

（4）綜合管理模塊

綜合管理模塊具備日志查詢、報(bào)表統(tǒng)計(jì)、權(quán)限管理、系統(tǒng)管理等功能，方便信息安全監(jiān)管人員有效地管理每一臺網(wǎng)關(guān)設(shè)備，適合在任何IP可達(dá)地點(diǎn)遠(yuǎn)程管理。

（5）管理門戶模塊

實(shí)現(xiàn)統(tǒng)一的圖形化管理界面，系統(tǒng)實(shí)現(xiàn)了信息采集、監(jiān)控、分析、維護(hù)、管理和展示，針對敏感數(shù)據(jù)實(shí)時(shí)監(jiān)控，多方式告警。管理門戶即管理中心服務(wù)器，具有系統(tǒng)監(jiān)控和日志管理功能，可以集中管理多臺設(shè)備，滿足不同管理模式的需要，多用戶多權(quán)限管理，提供針對網(wǎng)絡(luò)正常行為和異常行為的全面行為檢測手段，實(shí)現(xiàn)安全數(shù)據(jù)的整體挖掘，關(guān)聯(lián)分析管理。

2 數(shù)據(jù)流圖設(shè)計(jì)

信息安全審計(jì)系統(tǒng)的設(shè)計(jì)方法采用“結(jié)構(gòu)分析法”，采用自頂向下，逐步求精，其基本思想是“分解”和“抽象”，我們借助“數(shù)據(jù)流圖（Data Flow Diagram）”來設(shè)計(jì)系統(tǒng)，它從數(shù)據(jù)傳遞和加工角度，以圖形方式來表達(dá)系統(tǒng)的邏輯功能、直觀的體現(xiàn)數(shù)據(jù)在系統(tǒng)內(nèi)部的邏輯流向和邏輯變換過程。

圖2 頂層——數(shù)據(jù)流圖

數(shù)據(jù)流圖設(shè)計(jì)分為“頂層——數(shù)據(jù)流圖”（圖2）和“底層——數(shù)據(jù)流圖”（圖3）?！绊攲印獢?shù)據(jù)流圖”體現(xiàn)了信息安全審計(jì)系統(tǒng)的數(shù)據(jù)處理流程：內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)的數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)審計(jì)系統(tǒng)，被系統(tǒng)捕獲后還原數(shù)據(jù)流量，并進(jìn)行全面數(shù)據(jù)分析與監(jiān)測，實(shí)現(xiàn)了基于用戶網(wǎng)絡(luò)行為的全面多維度審計(jì)。網(wǎng)絡(luò)審計(jì)系統(tǒng)所產(chǎn)生的日志通過互聯(lián)網(wǎng)實(shí)時(shí)傳送到審計(jì)管理中心，通過集中匯總、分類索引的方式存儲(chǔ)于龐大的數(shù)據(jù)庫系統(tǒng)之中，安全管理員只要通過web控制臺，就能輕松的連接管理中心，查看日志數(shù)據(jù)，報(bào)表信息，系統(tǒng)配置以及下發(fā)管理策略。

圖3 底層——數(shù)據(jù)流圖

“底層——數(shù)據(jù)流圖”主要體現(xiàn)了信息安全審計(jì)系統(tǒng)的核心設(shè)計(jì)思想，內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)的數(shù)據(jù)信息被捕包引擎分流，再傳送至數(shù)據(jù)包重組引擎，它可以根據(jù)數(shù)據(jù)的IP地址、端口類型、協(xié)議類型進(jìn)行分類重組，還原單個(gè)用戶訪問互聯(lián)網(wǎng)的行為，這些網(wǎng)絡(luò)行為根據(jù)協(xié)議的類型進(jìn)行分類再傳送至特征碼關(guān)聯(lián)分析引擎，該引擎可以分析不同類型的協(xié)議，依據(jù)互聯(lián)網(wǎng)常見的特征碼進(jìn)行自學(xué)習(xí)，然后識別用戶的上網(wǎng)行為，如瀏覽網(wǎng)頁信息，論壇信息，email內(nèi)容，ftp操作指令，telnet操作指令，IM用戶在線情況等，這些信息最終以日志的形式記錄在系統(tǒng)文件中，采用隊(duì)列的方式管理日志信息，確保日志不會(huì)丟失，并且利用UDP協(xié)議發(fā)送到管理中心進(jìn)行存儲(chǔ)。網(wǎng)絡(luò)審計(jì)設(shè)備還具備通信客戶端功能，實(shí)時(shí)與審計(jì)管理中心交互，等待管理中心下發(fā)策略，如自動(dòng)升級系統(tǒng)，開啟關(guān)閉審計(jì)系統(tǒng)等策略。

3 結(jié)束語

信息安全審計(jì)系統(tǒng)能有效的掌握局域網(wǎng)內(nèi)部的信息安全狀態(tài)，預(yù)防敏感涉密信息外泄，實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)信息的整體智能關(guān)聯(lián)分析、跟蹤定位。而如何不斷完善支持更多的應(yīng)用程序的識別分析，最大程度的保障互聯(lián)網(wǎng)的信息安全，如何創(chuàng)建智能防御機(jī)制，及時(shí)、準(zhǔn)確的發(fā)現(xiàn)潛在的未知威脅，是未來信息安全審計(jì)發(fā)展的方向之一。

[1]薩默維爾．軟件工程．機(jī)械工業(yè)出版社，2011．

[2]王夢龍．網(wǎng)絡(luò)信息安全原理與技術(shù)．中國鐵道出版社，2009．

[3]安德森．信息安全工程（第2版）．清華大學(xué)出版社，2012．