◆關(guān)澤武歐陽(yáng)可萃

（1.中國(guó)南方電網(wǎng)有限責(zé)任公司 廣東 510623；2.北京啟明星辰信息安全技術(shù)有限公司 廣東 510620）

基于審計(jì)平臺(tái)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全可視化的研究

◆關(guān)澤武1歐陽(yáng)可萃2

（1.中國(guó)南方電網(wǎng)有限責(zé)任公司 廣東 510623；2.北京啟明星辰信息安全技術(shù)有限公司 廣東 510620）

隨著企業(yè)信息化的不斷發(fā)展，企業(yè)對(duì)網(wǎng)絡(luò)技術(shù)的依賴逐日加深。與此同時(shí)，提高企業(yè)網(wǎng)絡(luò)安全性也迫在眉睫。通過(guò)審計(jì)平臺(tái)，可以有效確保企業(yè)網(wǎng)絡(luò)安全。因此，本文主要介紹了審計(jì)平臺(tái)的概念、審計(jì)平臺(tái)的作用、系統(tǒng)組成以及系統(tǒng)功能。為企業(yè)構(gòu)建審計(jì)平臺(tái)提供一些參考。

網(wǎng)絡(luò)安全；審計(jì)平臺(tái)；可視化

0 引言

隨著信息技術(shù)的發(fā)展，企業(yè)對(duì)信息化的投資越來(lái)越大，應(yīng)用系統(tǒng)的規(guī)模也逐步擴(kuò)大，企業(yè)通過(guò)應(yīng)用系統(tǒng)在獲得便利的同時(shí)，針對(duì)企業(yè)信息化網(wǎng)絡(luò)、信息系統(tǒng)的攻擊層出不窮，利用的技術(shù)手段復(fù)雜多變，給企業(yè)網(wǎng)絡(luò)帶來(lái)了難以估量的安全隱患。根據(jù)國(guó)內(nèi)知名網(wǎng)絡(luò)安全廠商360公司發(fā)布《2014中國(guó)個(gè)人電腦上網(wǎng)安全報(bào)告》可看出，2014年，360互聯(lián)網(wǎng)安全中心均每天88.8萬(wàn)個(gè)截獲新增惡意程序樣本，全年共截獲3.24億個(gè)新增惡意程序樣本。360安全衛(wèi)士和360殺毒共攔截572.7億次惡意程序攻擊，平均每天攔截約1.57億次惡意程序攻擊。以上攔截?cái)?shù)據(jù)說(shuō)明，國(guó)內(nèi)互聯(lián)網(wǎng)“不安全”。因此，保障網(wǎng)絡(luò)安全已經(jīng)刻不容緩。

然而，企業(yè)傳統(tǒng)的網(wǎng)絡(luò)安全體系建設(shè)只注重于網(wǎng)絡(luò)邊界的安全，重點(diǎn)建設(shè)針對(duì)外部網(wǎng)絡(luò)向企業(yè)內(nèi)網(wǎng)攻擊的防護(hù)措施。長(zhǎng)期以來(lái)，企業(yè)的網(wǎng)絡(luò)安全狀況、安全防護(hù)水平無(wú)法得到客觀的體現(xiàn)，缺乏對(duì)企業(yè)網(wǎng)絡(luò)安全治理提供數(shù)據(jù)支撐依據(jù)。因此，需要借助技術(shù)手段對(duì)企業(yè)網(wǎng)絡(luò)的安全狀況進(jìn)行審計(jì)和評(píng)估，并提供可視化視圖直觀展現(xiàn)，從而實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的全面安全監(jiān)督。

1 安全審計(jì)平臺(tái)及作用

所謂安全審計(jì)是：針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理平臺(tái)。它通過(guò)對(duì)內(nèi)外部人員訪問(wèn)企業(yè)網(wǎng)絡(luò)、信息系統(tǒng)的行為進(jìn)行解析、分析、記錄、匯報(bào)，用于幫助企業(yè)的網(wǎng)絡(luò)安全管理部門事前規(guī)劃預(yù)防，事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)，事后合規(guī)報(bào)告、事故追蹤溯源，同時(shí)加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)（數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的正常運(yùn)營(yíng)。安全審計(jì)平臺(tái)通過(guò)記錄行為分析，獲取相應(yīng)的電子證據(jù)，并對(duì)相關(guān)信息進(jìn)行分析處理、評(píng)價(jià)審查，對(duì)突發(fā)事件還能進(jìn)行報(bào)警響應(yīng)，或者有選擇性和針對(duì)性地對(duì)其中的對(duì)象進(jìn)行審計(jì)跟蹤,找出安全事故的原因，并做出進(jìn)一步的處理，從而保障企業(yè)網(wǎng)絡(luò)安全。

眾所周知，沒(méi)有任何的一種技術(shù)可以確保絕對(duì)的網(wǎng)絡(luò)安全，即使是理論上足夠安全，也不能保證在執(zhí)行過(guò)程中能夠準(zhǔn)確無(wú)誤的實(shí)施。因此，在完成必要的基礎(chǔ)安全防護(hù)體系構(gòu)建后，需要同步構(gòu)建審計(jì)平臺(tái)。安全審計(jì)平臺(tái)作為一個(gè)獨(dú)立的軟件,和基礎(chǔ)安全產(chǎn)品(如防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)等)互相協(xié)調(diào)、補(bǔ)充,保護(hù)網(wǎng)絡(luò)的整體安全。

基于安全審計(jì)平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)安全狀況的可視化，對(duì)企業(yè)的網(wǎng)絡(luò)安全有以下幾點(diǎn)價(jià)值：

1.1 提供有效的追查證據(jù)，威懾網(wǎng)絡(luò)犯罪人員

盡管審計(jì)平臺(tái)對(duì)于網(wǎng)絡(luò)攻擊、竊密等行為無(wú)法進(jìn)行有效阻止。但是審計(jì)平臺(tái)能有效記錄用戶的活動(dòng)，對(duì)于突發(fā)事件還能進(jìn)行報(bào)警和相應(yīng)。通過(guò)審計(jì)平臺(tái)可以有效的記錄系統(tǒng)時(shí)間，為事后的分析和舉證提供了有效的證據(jù)，這也給網(wǎng)絡(luò)犯罪行為提供了取證的基礎(chǔ)，所以網(wǎng)絡(luò)犯罪者畏懼審計(jì)平臺(tái)而不敢輕易嘗試。

1.2 監(jiān)視網(wǎng)絡(luò)違規(guī)行為

由于企業(yè)網(wǎng)絡(luò)中，許多文件不能隨意查看、刪除、篡改或者拷貝，因此可以通過(guò)審計(jì)系統(tǒng)，對(duì)訪問(wèn)活動(dòng)或者試圖訪問(wèn)活動(dòng)進(jìn)行監(jiān)控，并形成訪問(wèn)日志，該日志詳細(xì)記錄了訪問(wèn)或者試圖訪問(wèn)的設(shè)備、時(shí)間等相關(guān)，并將該記錄以短信或者郵件等方式通知到系統(tǒng)管理員。

1.3 保障操作系統(tǒng)及應(yīng)用系統(tǒng)可靠性

審計(jì)平臺(tái)可以收集操作系統(tǒng)或者應(yīng)用系統(tǒng)產(chǎn)生的所有訪問(wèn)或者試圖訪問(wèn)的活動(dòng)，如系統(tǒng)日志、報(bào)警消息、操作記錄等。管理員可以通過(guò)這些日志發(fā)現(xiàn)系統(tǒng)性能上的不足，從而優(yōu)化系統(tǒng)。

2 安全審計(jì)平臺(tái)數(shù)據(jù)的可視化內(nèi)容

上文所述，安全審計(jì)平臺(tái)是企業(yè)網(wǎng)絡(luò)安全管理中重要的一環(huán)。從網(wǎng)絡(luò)安全管理的需求分析，安全審計(jì)平臺(tái)需提供網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞、訪問(wèn)記錄、木馬病毒、安全風(fēng)險(xiǎn)等數(shù)據(jù)的可視化，各項(xiàng)數(shù)據(jù)的可視化需求如下表：

表1 數(shù)據(jù)可視化需求表

安全審計(jì)平臺(tái)對(duì)可視化的安全數(shù)據(jù)及展現(xiàn)方式應(yīng)結(jié)合企業(yè)安全管理部門不同角色人員對(duì)于安全管理工作的切身需要進(jìn)行設(shè)計(jì)。就上述數(shù)據(jù)的可視化，安全審計(jì)系統(tǒng)需提供如下的可視化展現(xiàn)方式：

2.1 全局監(jiān)視儀表板

監(jiān)視儀表板可以在一個(gè)屏幕中看到不同設(shè)備類型、不同安全區(qū)域的實(shí)時(shí)日安全狀態(tài)曲線、統(tǒng)計(jì)圖，以及網(wǎng)絡(luò)整體運(yùn)行態(tài)勢(shì)、待處理告警信息等。通過(guò)自定義儀表板，按需設(shè)計(jì)儀表板顯示的內(nèi)容和布局，可以為不同角色的使用者建立不同維度的儀表板。

2.2 實(shí)時(shí)審計(jì)視圖

企業(yè)的信息安全審計(jì)員根據(jù)內(nèi)置或者自定義的實(shí)時(shí)監(jiān)視策略，從被審計(jì)信息的的任意維度實(shí)時(shí)觀測(cè)安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來(lái)源定位。審計(jì)員可以實(shí)時(shí)監(jiān)視防火墻、IDS、防病毒、網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用的高危安全事件；可以實(shí)時(shí)監(jiān)視各個(gè)部門、各個(gè)安全域、各個(gè)業(yè)務(wù)系統(tǒng)的重點(diǎn)安全事件；可以實(shí)時(shí)監(jiān)視全網(wǎng)的違規(guī)登錄事件、配置變更事件、針對(duì)關(guān)鍵服務(wù)器的入侵攻擊事件。

2.3 審計(jì)信息統(tǒng)計(jì)視圖

信息安全審計(jì)人員根據(jù)內(nèi)置或者自定義的統(tǒng)計(jì)策略，從多個(gè)維度實(shí)時(shí)進(jìn)行安全事件統(tǒng)計(jì)分析，并以柱圖、餅圖、堆積圖等形式進(jìn)行可視化的展示。審計(jì)員可以查看一段時(shí)間內(nèi)的主機(jī)流量排行、主機(jī)登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問(wèn)用戶排行。

3 安全審計(jì)平臺(tái)的原理設(shè)計(jì)

為實(shí)現(xiàn)網(wǎng)絡(luò)安全狀況的可視化，安全審計(jì)平臺(tái)需具備數(shù)據(jù)獲取、數(shù)據(jù)解析、數(shù)據(jù)響應(yīng)等業(yè)務(wù)流程，業(yè)務(wù)流程基于審計(jì)策略實(shí)現(xiàn)，最終通過(guò)可視化界面展現(xiàn)企業(yè)信息網(wǎng)絡(luò)的安全狀況，安全審計(jì)平臺(tái)結(jié)構(gòu)示意如下：

圖1 安全審計(jì)平臺(tái)結(jié)構(gòu)圖

3.1 數(shù)據(jù)獲取

數(shù)據(jù)獲取模塊主要是通過(guò)監(jiān)聽技術(shù)、內(nèi)核過(guò)濾技術(shù)等獲取原始信息數(shù)據(jù)，即源事件信息，是審計(jì)平臺(tái)原始數(shù)據(jù)的來(lái)源，數(shù)據(jù)的來(lái)源包括審計(jì)對(duì)象系統(tǒng)日志、網(wǎng)絡(luò)行為的流量數(shù)據(jù)包等信息。獲取的數(shù)據(jù)包必須準(zhǔn)確、完整，并交給其他模塊使用，這是保障審計(jì)結(jié)果準(zhǔn)確、完整的核心。

3.2 數(shù)據(jù)解析

數(shù)據(jù)包處理模塊中最為核心的是協(xié)議分析，協(xié)議分析主要是將數(shù)據(jù)采集模塊獲得的數(shù)據(jù)包，根據(jù)其報(bào)頭的信息，判斷其所屬的協(xié)議，然后對(duì)不同協(xié)議的傳輸方式、報(bào)文內(nèi)容、協(xié)議格式等重組、還原，最后將用戶操作的數(shù)據(jù)包傳給數(shù)據(jù)審計(jì)模塊。

3.3 數(shù)據(jù)響應(yīng)

事件響應(yīng)模塊是對(duì)審計(jì)模塊做出相應(yīng)的反應(yīng)，或警告，或強(qiáng)制切斷 TCP連接，將數(shù)據(jù)庫(kù)的分析結(jié)果及時(shí)存儲(chǔ)在數(shù)據(jù)庫(kù)，并以短信或者郵件的形式通知到系統(tǒng)管理員，以便及時(shí)采取措施。

3.4 審計(jì)策略管理

該模塊首先要制定規(guī)則。授權(quán)管理員制定規(guī)則庫(kù)，并在系統(tǒng)使用過(guò)程中，不斷添加新的規(guī)則。系統(tǒng)根據(jù)規(guī)則定義的格式，將獲取的數(shù)據(jù)與規(guī)則庫(kù)進(jìn)行匹配，系統(tǒng)將會(huì)自動(dòng)與結(jié)構(gòu)做出相應(yīng)，并將審計(jì)后的結(jié)果形成審計(jì)日志。規(guī)則庫(kù)是否完善、正確是決定數(shù)據(jù)審計(jì)模塊的關(guān)鍵因素。

4 安全審計(jì)平臺(tái)的功能規(guī)劃

在上文中，提出基于安全審計(jì)平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)安全可視化對(duì)企業(yè)的價(jià)值以及可視化的內(nèi)容，并對(duì)安全審計(jì)平臺(tái)的可視化的技術(shù)原理進(jìn)行了設(shè)計(jì)，基于此，整理對(duì)安全審計(jì)平臺(tái)功能規(guī)劃，為企業(yè)網(wǎng)絡(luò)安全狀況可視化提供應(yīng)用支撐。

4.1 監(jiān)視網(wǎng)絡(luò)違規(guī)行為

安全審計(jì)平臺(tái)要實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)傳輸?shù)膬?nèi)容，根據(jù)平臺(tái)規(guī)則庫(kù)的相關(guān)規(guī)則，實(shí)時(shí)監(jiān)測(cè)系統(tǒng)用戶的活動(dòng)，結(jié)合規(guī)則判斷出網(wǎng)絡(luò)安全事件，包括非法訪問(wèn)、內(nèi)部違規(guī)、系統(tǒng)入侵等行為。當(dāng)一個(gè)違規(guī)事件多次出現(xiàn)或者集中出現(xiàn)，安全審計(jì)平臺(tái)借助的智能事件關(guān)聯(lián)分析技術(shù)，提供實(shí)時(shí)不間斷地對(duì)所有多次出現(xiàn)的違規(guī)事件進(jìn)行安全事件關(guān)聯(lián)分析，來(lái)確保系統(tǒng)的安全。

4.2 收集系統(tǒng)產(chǎn)生的審計(jì)數(shù)據(jù)

收集系統(tǒng)數(shù)據(jù)主要是一種取證功能，該功能主要用于收集審計(jì)所需要的源事件信息。為了確保審計(jì)結(jié)果的準(zhǔn)確性，必須做到收集的信息準(zhǔn)確、完整，應(yīng)該建立防止審計(jì)的相關(guān)信息被黑客刪除或者意外丟失，做好足夠的備份工作。所收集的數(shù)據(jù)主要包括設(shè)備的報(bào)警信息、操作記錄、被審計(jì)的系統(tǒng)日志等。

4.3 實(shí)時(shí)報(bào)警

實(shí)時(shí)報(bào)警功能主要是為了授權(quán)管理員及時(shí)響應(yīng)并處理系統(tǒng)存在的問(wèn)題。當(dāng)審計(jì)平臺(tái)檢測(cè)到網(wǎng)絡(luò)違規(guī)行為或者一場(chǎng)行為時(shí)，系統(tǒng)應(yīng)該根據(jù)預(yù)設(shè)的報(bào)警方式報(bào)警，以便提醒授權(quán)管理員及時(shí)處理異常情況。根據(jù)事件級(jí)別不同報(bào)警方式不同，可以是短信、郵件甚至是聲音，以確保授權(quán)管理員能及時(shí)發(fā)現(xiàn)。

4.4 審計(jì)數(shù)據(jù)維護(hù)及權(quán)限控制

該功能必須具備審計(jì)數(shù)據(jù)安全存儲(chǔ)、權(quán)限管理等功能。因?yàn)樗械膶徲?jì)事件都保存在審計(jì)平臺(tái)，授權(quán)管理員必須根據(jù)用戶的級(jí)別劃分權(quán)限從而加密。從而不同的用戶可以根據(jù)自己的權(quán)限獲取不同的查詢、刪除、審查、管理、維護(hù)等功能，從而獲取不同的資料。另外，該功能還必須具備防止審計(jì)數(shù)據(jù)丟失的功能。確保其不備惡意修改、刪除、非法訪問(wèn)、復(fù)制或者拷貝。以確保審計(jì)的準(zhǔn)確性。

4.5 規(guī)則制定

根據(jù)用戶的不同需求，系統(tǒng)管理員制定不同的審計(jì)規(guī)則來(lái)運(yùn)作，從而使得審計(jì)平臺(tái)更加符合系統(tǒng)的要求。通過(guò)審計(jì)規(guī)則，對(duì)審計(jì)內(nèi)容實(shí)現(xiàn)統(tǒng)一的輸出內(nèi)容，如事件日期、事件、事件類型、主題標(biāo)識(shí)、執(zhí)行結(jié)果、活動(dòng)主體等與此有關(guān)的審計(jì)信息。

5 結(jié)束語(yǔ)

在高度信息化的今天，各大企業(yè)都將網(wǎng)絡(luò)安全問(wèn)題納為信息部門的工作重點(diǎn)，并逐步投入大量的硬件設(shè)備，這為建設(shè)安全的網(wǎng)絡(luò)提供了保障。但是，眾所周知，網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的體現(xiàn)，需要不斷的監(jiān)視并完善，而審計(jì)平臺(tái)可以對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)審計(jì)、建立有效的評(píng)估，對(duì)安全狀況提供可視化視圖。因此，各大企業(yè)應(yīng)該結(jié)合自己的系統(tǒng)實(shí)際情況，積極主動(dòng)建立安全審計(jì)平臺(tái)，并將其不斷優(yōu)化，構(gòu)建完善的網(wǎng)絡(luò)安全審計(jì)體系。

[1]趙霞.網(wǎng)絡(luò)安全防護(hù)技術(shù)淺析.科技創(chuàng)新導(dǎo)報(bào)，2010.

[2]姚志東.一種網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).北京郵電大學(xué)碩士論文，2009.

[3]姜華.網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008.

[4]任從容.網(wǎng)絡(luò)安全問(wèn)題的探討[J].科技創(chuàng)新導(dǎo)報(bào)，2008.

[5]王嘉磊.加強(qiáng)網(wǎng)絡(luò)安全審計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理[J].信息系統(tǒng)工程，2008.

[6]朱學(xué)全.論析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2008.