陳樂 魏麗麗 李冠道 許敬偉

摘 ? 要：近年來，國內(nèi)外企業(yè)遭受網(wǎng)絡(luò)攻擊、信息泄露等安全事件頻發(fā)，網(wǎng)絡(luò)信息安全形勢日趨嚴(yán)峻。根據(jù)數(shù)據(jù)統(tǒng)計，企業(yè)安全事件多數(shù)是因內(nèi)部人員引發(fā)，通過對包括合作伙伴在內(nèi)的所有系統(tǒng)建設(shè)、運維等自有人員的操作審計，可以有效地預(yù)防、規(guī)避安全事件。信息系統(tǒng)在運行過程中會產(chǎn)生大量的操作數(shù)據(jù)，為了提升安全審計效率與精準(zhǔn)性，采用集中化的方式，使用關(guān)聯(lián)分析方法，基于自動化技術(shù)，研究并構(gòu)建安全審計服務(wù)體系。

關(guān)鍵詞：信息安全;安全審計;集中化;關(guān)聯(lián)分析;自動化

中圖分類號：TP301 ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A

Abstract： In recent years， domestic and foreign enterprises have been subjected to frequent network attacks， information leakage and other security incidents， and the situation of network information security has become increasingly grim. According to data statistics， most enterprise security incidents are triggered by internal personnel. It can be effective through the operation audit of all system construction， operation and maintenance personnel including partners. Prevent evasion of safety incidents. In order to improve the efficiency and accuracy of security audit， a security audit service system oriented to centralized system with centralized way and association analysis method and automation technology is studied and constructed.

Key words： information security; security audit; centralization; association analysis; automation technology

1 引言

據(jù)統(tǒng)計，2018年國內(nèi)數(shù)據(jù)泄露事件高達(dá)945次，數(shù)量達(dá)到45億條，安全攻擊層出不窮，安全態(tài)勢嚴(yán)峻[1]。近年來官方數(shù)據(jù)統(tǒng)計，在企業(yè)遭受的網(wǎng)絡(luò)信息安全攻擊事件中，70%是因內(nèi)部人員引發(fā)[2]。隨著中國移動集中化事業(yè)蓬勃發(fā)展，系統(tǒng)架構(gòu)、功能、業(yè)務(wù)復(fù)雜，所承載的信息和服務(wù)的安全性，關(guān)乎著企業(yè)的正常運轉(zhuǎn)和客戶的切身權(quán)益。當(dāng)前，形勢日趨嚴(yán)峻，將包括合作伙伴在內(nèi)的所有系統(tǒng)建設(shè)、運維人員操作納入安全審計，開展全面、及時、高效、準(zhǔn)確的安全審計工作，對于安全風(fēng)險防控意義重大[3]。

安全審計作為安全管理工作的核心部分，一直在安全建設(shè)過程中占據(jù)著重要的位置。但是，由于傳統(tǒng)審計手段存在的不足和問題，導(dǎo)致審計手段的真正效用一直未能有效地發(fā)揮[4]。傳統(tǒng)的審計手段通過日志采集等方式，獲取已經(jīng)發(fā)生的操作行為，通過審計策略來進行分析、發(fā)現(xiàn)和告警，從而針對操作人員行為進行管控，在很大程度上發(fā)揮著事后審計的效用，只能夠被動地進行事后檢測[5]。傳統(tǒng)安全審計手段需要設(shè)有專門審計管理人員進行管理和工作，且需要根據(jù)業(yè)務(wù)的變化及時調(diào)整審計策略，這樣對于人力成本消耗過高[6]。

為了加強對內(nèi)部運維人員的安全管控，及時、全面地發(fā)現(xiàn)敏感數(shù)據(jù)、權(quán)限變更、高危異常未授權(quán)操作，規(guī)避“信息泄露”等安全事件發(fā)生的風(fēng)險，需及時開展安全審計。當(dāng)前，安全審計工作存在的難點在于四個方面。

（1）操作行為數(shù)據(jù)查詢繁瑣。安全管控安全管控系統(tǒng)記錄了本部門集中化業(yè)務(wù)系統(tǒng)的操作日志規(guī)模為平均650萬條每月，操作日志分散、冗余信息多，與審計策略無法對應(yīng)，需按照系統(tǒng)、組織架構(gòu)、前臺、后臺等多方面查詢后合并匯總。

（2）行為數(shù)據(jù)檢索、分析耗時長。每個業(yè)務(wù)系統(tǒng)的安全審計策略約30項，單項策略對應(yīng)日志手工查詢后導(dǎo)出平均耗時約15分鐘（個別查詢條件較多的策略，關(guān)聯(lián)查詢導(dǎo)出時長近30分鐘），分析時長約為20分鐘。

（3）人工抽查誤差大。操作日志數(shù)據(jù)量大，人工分析存在誤差，且只能采用抽查方式，最高抽查比例為20%，分析不全面。

（4）關(guān)聯(lián)分析缺失。根據(jù)審計策略逐條審計，只能得出某一點的結(jié)論，較難發(fā)現(xiàn)隱藏異常行為;多維度、深層次、全面的人員操作行為關(guān)聯(lián)分析，才能通過行為軌跡有效判斷異常操作。

為了有效地解決自有人員不足的情況下，提升安全審計效率與精準(zhǔn)性的難題，解決數(shù)據(jù)量大、日志檢索困難、人工分析誤差大、關(guān)聯(lián)分析缺失等痛點問題，響應(yīng)集團公司大IT戰(zhàn)略規(guī)劃，充分把握集中化思路，分別從模式、技術(shù)、方法、組織方面進行了深度探索，展開了面向集中化系統(tǒng)安全審計服務(wù)體系的研究。

采用集中化方式搭建審計模型配置中心，利用自動化技術(shù)、機器學(xué)習(xí)數(shù)據(jù)訓(xùn)練思想，構(gòu)建了安全審計分析平臺，實現(xiàn)了操作行為日志的關(guān)聯(lián)分析，有效地提升了對集中化信息系統(tǒng)的安全審計效率、分析精準(zhǔn)性，實現(xiàn)了多維、全面人員操作行為分析，為集中化業(yè)務(wù)系統(tǒng)提供了安全審計服務(wù)。

2 方案研究

2.1 ?集中化審計模型配置中心

本文提出的集中化審計模型配置中心依托安全管控系統(tǒng)，將各審計目標(biāo)系統(tǒng)的眾多審計策略所對應(yīng)的日志進行了集中配置和展示，審計策略涵蓋了用戶安全、數(shù)據(jù)安全、終端安全、網(wǎng)絡(luò)安全層面，分別從異常時間登錄、VPN異常登錄、異地登錄、多IP登錄、賬號新增刪除、用戶授權(quán)、程序賬號操作、高權(quán)限賬號操作、敏感數(shù)據(jù)授權(quán)及操作、高位異常操作、繞行安全管控操作維度，配置審計報表。集中配置各系統(tǒng)月度審計、周審計、合作伙伴審計各項審計策略，將安全管控系統(tǒng)采集的操作日志整合歸類，展示審計策略對應(yīng)的全量日志，如圖1所示。

通過分類梳理審計策略，配置不同策略對應(yīng)報表的日志來源、審計規(guī)則、報表參數(shù)等，為各信息系統(tǒng)配置相應(yīng)審計報表，集中展示不同系統(tǒng)各審計策略的操作日志。這樣，可以提供靈活、深度定制化的審計策略配置服務(wù)，有效地解決了集中化業(yè)務(wù)系統(tǒng)各類審計數(shù)據(jù)檢索繁瑣、重復(fù)配置的問題，同時便于擴展到其他業(yè)務(wù)系統(tǒng)中，具有較強的可擴展性，也為實現(xiàn)日志的自動化批量下載奠定了基礎(chǔ)。

2.2 用戶行為關(guān)聯(lián)分析方法

研究方案基于機器學(xué)習(xí)數(shù)據(jù)訓(xùn)練思想[7]，將操作行為畫像在安全審計中的使用場景，以業(yè)務(wù)為主線繪制賬號操作行為畫像，實現(xiàn)了全方位分析新思路以主賬號為維度，用半年的數(shù)據(jù)進行訓(xùn)練。從登錄時間、登錄源IP、登錄目的IP、從賬號、操作動作、操作對象著手，分析某維護人員在一段時間內(nèi)的操作習(xí)慣[8]，建立某維護人員的操作習(xí)慣畫像，并縱向?qū)Ρ韧挥脩艚M內(nèi)的其他人員的行為，對該人員賬號操作行為進行360度多維、全方位分析，可深入挖掘隱藏的安全隱患[9]。

應(yīng)用場景涉及兩個方面。

（1）以業(yè)務(wù)為視角，建立個人行為畫像和全員行為特征庫，實現(xiàn)操作行為關(guān)聯(lián)分析、縱深比對，有效地發(fā)現(xiàn)隱藏異常操作。

（2）以系統(tǒng)為落地點，反向分析賬號權(quán)限、操作特征，操作對象的變更可識別賬號的權(quán)限變更，反向確認(rèn)，縮小資源、表、菜單權(quán)限，實現(xiàn)賬號權(quán)限變更及最小化配置核查，基于用戶行為關(guān)聯(lián)分析的流程如圖2所示。

以某一主賬號半年內(nèi)的操作為基礎(chǔ)訓(xùn)練集，分析該賬號使用的登錄IP、從賬號、訪問目的IP、操作時間、操作行為，建立賬號操作行為習(xí)慣，當(dāng)有操作超出行為習(xí)慣范圍時，可發(fā)出異常告警。

2.3 自動化審計平臺

集中化系統(tǒng)操作行為數(shù)據(jù)迅速增長，滿足了支撐持續(xù)增長的業(yè)務(wù)數(shù)據(jù)審計需求，基于自動化技術(shù)開發(fā)操作行為審計平臺，自由定制和規(guī)劃了各模型報表的審計流程，實現(xiàn)了行為數(shù)據(jù)全量分析，提升了安全審計效率，節(jié)約了人工成本，提高了審計精準(zhǔn)度，有效地支撐了集中化業(yè)務(wù)系統(tǒng)的審計任務(wù)。

操作行為自動化審計平臺基于Python語言開發(fā)，實現(xiàn)日志報表的批量下載，將賬號、敏感數(shù)據(jù)、操作命令等審計目標(biāo)嵌入工具，依據(jù)正則進行自動匹配，并標(biāo)識異常操作日志，對全量日志進行自動統(tǒng)計和分析。實現(xiàn)了對全量日志報表的批量下載、自動分析、結(jié)果統(tǒng)計，解決了日志獲取耗時長、人工分析效率低、誤差大的問題，可實現(xiàn)三項功能。

（1）日志批量下載：通過調(diào)用偽瀏覽器進程、使用Requests網(wǎng)絡(luò)爬蟲模塊訪問安全管控系統(tǒng)審計平臺，實現(xiàn)日志報表的批量下載。

（2）日志精準(zhǔn)分析：將定期開展的審計策略編制成腳本，將高權(quán)限賬號、敏感數(shù)據(jù)、關(guān)鍵操作命令等基礎(chǔ)數(shù)據(jù)形成特征庫，實現(xiàn)自動匹配、篩選、統(tǒng)計和分析。

（3）審計報告整理：利用Xlrd、Xlutils、Docxtpl等文檔處理模塊[10]，結(jié)合正則表達(dá)式等匹配統(tǒng)計手段，完成審計結(jié)果的統(tǒng)計工作，數(shù)據(jù)分析完成后導(dǎo)出審計報告，如圖3所示。

4 研究成果應(yīng)用效果

安全審計服務(wù)體系已為集中化系統(tǒng)的應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等提供了安全審計服務(wù)。審計工作效率、審計日志量大幅提升，并實現(xiàn)了全量日志分析及維護人員操作行為畫像，精準(zhǔn)預(yù)測異常行為。同時，助力了全網(wǎng)集中化運營業(yè)務(wù)，保障了網(wǎng)絡(luò)信息安全，并實現(xiàn)了安全審計核心能力內(nèi)化，大幅度地節(jié)約了人工成本，實現(xiàn)了“IT換人工”。

（1）以業(yè)務(wù)為主線，構(gòu)建集中化審計模型配置方案

為了滿足各類業(yè)務(wù)系統(tǒng)的安全審計需求，2018年6月自主設(shè)計并搭建集中化審計模型配置中心，可以提供靈活、深度定制化的審計策略配置服務(wù)，有效地解決了多系統(tǒng)各類審計數(shù)據(jù)檢索繁瑣、重復(fù)配置的問題。同時，具有統(tǒng)一配置、高效檢索的特點：統(tǒng)一策略配置，可擴展性強。集中化運維工作機制，提供了差異化解決方案;數(shù)據(jù)檢索高效，節(jié)約人工成本，為實現(xiàn)自動化分析提供了條件。

項目成果開發(fā)專項審計工作模塊，由逐條策略多次檢索分析，向集中配置審計模型轉(zhuǎn)變，滿足了多業(yè)務(wù)系統(tǒng)審計需求?？梢约虚_展系統(tǒng)審計工作，取締了逐條策略審計的低效模式，同時在有新增目標(biāo)審計系統(tǒng)時，可快速疊加、擴展。

（2）繪制行為畫像，實現(xiàn)行為數(shù)據(jù)全方位分析新思路

基于機器學(xué)習(xí)數(shù)據(jù)訓(xùn)練思想的操作行為畫像在安全審計中的使用場景，在公司內(nèi)首次被提出，有效地解決了安全審計工作中的難題，具有一定的創(chuàng)新性。

以主賬號為維度，用半年的數(shù)據(jù)進行訓(xùn)練。從登錄時間、登錄源IP、登錄目的IP、從賬號、操作動作、操作對象著手，建立了某維護人員的操作習(xí)慣畫像，并縱向?qū)Ρ韧挥脩艚M內(nèi)的其他人員的行為，對該人員賬號操作行為進行360度多維、全方位分析，可深入挖掘隱藏的安全隱患。

（3）建立高效、精準(zhǔn)的自動化行為數(shù)據(jù)審計處理機制

為了支撐持續(xù)增長的業(yè)務(wù)數(shù)據(jù)審計需求，基于自動化技術(shù)開發(fā)操作行為審計平臺，自由定制和規(guī)劃各模型報表的審計流程，實現(xiàn)了行為數(shù)據(jù)全量分析，節(jié)約了人工成本，提高了審計精準(zhǔn)度，有效地支撐了集中化業(yè)務(wù)系統(tǒng)的審計任務(wù)。

1）安全審計執(zhí)行效率提升70%

每月針對業(yè)支系統(tǒng)開展安全審計、全量日志的審計分析工作，需進行審計策略梳理、策略報表配置、審計日志導(dǎo)出、審計數(shù)據(jù)分析、審計問題梳理、審計問題確認(rèn)、整改復(fù)核等工作內(nèi)容。每個業(yè)務(wù)系統(tǒng)的安全審計策略約30項，單項策略對應(yīng)日志手工查詢后，導(dǎo)出平均耗時約15分鐘（個別查詢條件較多的策略，關(guān)聯(lián)查詢導(dǎo)出時長近30分鐘），分析時長約為20分鐘，附加審計結(jié)果的整理、報告編寫。原每完成一個系統(tǒng)的審計約需20人天，使用本項成果后，完成對業(yè)支系統(tǒng)全量日志的審計分析工作只需6人天，審計工作效率可提升70%，大幅度提升了安全審計員工作效率。每月完成3個系統(tǒng)的審計，所需審計工作量對比如圖4所示。

2）實現(xiàn)日志全量分析，審計日志量增加80%

使用本項研究成果前，在自有安全審計人員不足的情況下，為按時完成對大量系統(tǒng)操作行為日志的審計任務(wù)，只能采用人工抽查方式，大部分操作日志審計比例不超過20%，存在著審計不全面的問題，抽查方式易導(dǎo)致難以全量發(fā)現(xiàn)問題。本項研究成果的使用，采用自動化方式執(zhí)行操作行為日志的分析，可以將抽查優(yōu)化至全量審查，審計日志量增加80%，分析全面無遺漏。

5 結(jié)束語

隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，安全審計技術(shù)在企業(yè)網(wǎng)絡(luò)信息安全防護中的重要性日益凸顯。通過企業(yè)自有人員自主研究，搭建面向集中化系統(tǒng)的安全審計服務(wù)體系，為集中化系統(tǒng)提供高效、優(yōu)質(zhì)的服務(wù)，大幅地提升了審計員工作效率和審計精準(zhǔn)性，滿足了審計工作需求，規(guī)避了內(nèi)部人員惡意操作帶來的安全隱患，減少了因安全事故導(dǎo)致的損失，防護了客戶的信息安全，保障了用戶權(quán)益，保障了業(yè)務(wù)系統(tǒng)安全穩(wěn)定地運行，提升了公司的安全、可信形象。同時，有助于增強國有企業(yè)員工自研、自維能力，降本增效，賦予企業(yè)可持續(xù)發(fā)展新動能，有利于企業(yè)制定競爭戰(zhàn)略協(xié)助，促進企業(yè)可持續(xù)發(fā)展。

方案提出的關(guān)聯(lián)分析方法，在實際使用中仍存在著不足，尤其是在分析大量日志時存在著誤報率較高的問題，下一步將在分析算法方面做更多的探索與研究，旨在通過優(yōu)化算法來降低誤報率，進而提高審計平臺分析的精確度。

參考文獻(xiàn)

[1] 王英梅，王勝開，陳國順，程湘云，編著.信息安全風(fēng)險評估[M].北京：電子工業(yè)出版社，2007.

[2] 胡道元，閔京華，編著.網(wǎng)絡(luò)安全（第2版）[M].北京：清華大學(xué)出版社，2010.

[3] 聶君，李燕，何揚軍.企業(yè)安全建設(shè)指南：金融行業(yè)安全架構(gòu)與技術(shù)實踐[M].北京：機械工業(yè)出版社， 2019.

[4] 王晶晶.電力信息安全中網(wǎng)絡(luò)日志審計系統(tǒng)的作用[J].科技創(chuàng)新導(dǎo)報，2018，15（20）：165+167.

[5] 賈周陽，廖湘科，劉曉東，李姍姍，周書林，謝欣偉.基于機器學(xué)習(xí)的日志函數(shù)自動識別方法[J].計算機工程與科學(xué)， 2017，39（01）：111-117.

[6] 張世永.信息安全審計技術(shù)的發(fā)展和應(yīng)用[J].電信科學(xué)， 2003（12）：29-32.

[7] Yijun Yang，F(xiàn)ei Chen， Zhiwei Sun， Shulan Wang， Jianqiang Li， Jianyong Chen， Zhong Ming. Secure and Efficient Parallel Hash Function Construction and Its Application on Cloud Audit[J]. Soft Computing， 2019， Vol.23 （18）， pp.8907-8925.

[8] 蘇永東，吳晟，劉玉婷.信息安全審計系統(tǒng)在等級保護建設(shè)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（05）：129-130.

[9] 劉志宇，王曉宇，李靜，張森.一種綜合安全審計系統(tǒng)模型的研究[J].警察技術(shù)，2014（S1）：32-35.

[10] 黃晨，胡紅云，蔣安東，謝俊元.分布式安全審計系統(tǒng)設(shè)計與實現(xiàn)[J].計算機工程與設(shè)計，2007（04）：811-813.