【摘要】安全审计是保障业务信息系统安全和检验操作是否符合相关标准或规范的重要安全机制。信息安全审计是对系统记录和活动的独立审查和检验。统一安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。本文讲述安全审计通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,从而,加强内外部网络行为监管,保障核心业务信息系统的正常运营。
【关键词】安全审计,系统结构,日志警告
安全审计是信息安全领域的一个重要组成部分,它包括针对计算机系统中的审计日志信息进行管理,并运用一定的审计策略,对日志信息中描述的各种操作事件或系统信息进行分析,对违反安全规则的事件进行报警和跟踪,并生成审计报告。
安全审计是一种被信任的机制,是建立可靠计算基础的一部分,同时它也是计算机系统安全机制的一个不可或缺的部分。在信息安全領域,安全审计是安全加密、身份认证、访问控制和身份鉴别等安全机制的有力补充,常被用来诊断软件系统及其依赖资源的故障、异常和违规操作。
一、现代企业信息管理与传统网络故障的主要特征
现代企业信息系统管理的一大挑战在于故障定位--检测系统问题,隔离故障源,确定合适的修复程序。故障定位技术对于减少系统中断时间和快速减轻性能降级的影响是至关重要的,然而随着软件系统复杂性的增加,这一问题变得异常困难。由于系统内组件间复杂的依赖关系,一个组件的故障可能传播到关联的组件并产生多个告警(alarm),掩盖初始的根故障。故障定位的任务是基于与故障关联的外部症状确定最可能的故障集,症状由审计日志中的告警反映出来。
基于日志审计的面向业务故障定位系统(Business-oriented Fault Localization System Based onAuditing, BFLA)是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,从而,加强内外部网络行为监管,保障业务信息系统(数据库、服务器、网络设备等)的正常运营。
传统的网络故障诊断系统仅限于演绎而缺少归纳,普遍缺少学习的能力。例如,遇到诊断错误时不能自我校正;不能通过经验改善自身的性能;不会自动获取和发现所需要的知识。因此,将机器学习的研究成果用于故障定位问题,设计具有学习能力和一定自适应能力的故障诊断算法,具有重要的科学意义。
二、安全审计的发展大致可分为四个阶段
安全审计的发展大致可分为无审计阶段,人工审计阶段,半智能审计阶段和全智能审计阶段。人工审计是只有审计员人工查看审计记录,从中发现可疑的安全入侵情况。半智能审计阶段是指计算机自动处理分析审计记录与审计员最后决策相结合。1977至1978年,美国国防部(DoD)指出了计算机安全审计的必要性,增加了计算机审计的详细程度,第一次将对系统记录的审计作为一项安全机制。1980年James P.Anderson首先提出了分析计算机审计日志以达到计算机系统安全目标的思想。1983年SRI(Stanford ResearchInstitute)用统计方法分析IBM大型机的SMF(System Management Facility)记录,标志着计算机安全审计开始向智能化发展。
安全审计研究的课题主要包含以下四个方面:一是审计内容,即确定审计的对象和审计记录的格式;二是对审计记录的分析方法,该领域旨在研究如何对海量的审计信息进行分析,从中得出有意义的结论;三是审计信息压缩,通过压缩减少审计信息占用空间的大小,其目的不仅是为了节省存储空间,更是为了提取用来进行安全管理的更高层次、更有用的信息;四是审计信息的安全存储,存放审计信息的数据库本身也存在着安全问题,其一旦被入侵者攻破,审计记录就可能被破坏,其内容可能被蓄意篡改以致基于其上的分析没有任何结果,甚至得出错误结论,或者干脆直接将审计记录清除,从而使审计系统失效。因此,需要保障审计记录安全地存储在系统中,目前主要的方法有加密、哈希保护、实时转储等。
一种通用的安全审计框架简要描述如下:在检测到一个事件后,必须决定该事件是否是安全相关事件;事件分辨者评估该事件以确定是否需要产生安全审计消息或安全报警消息;安全审计消息被转送到审计记录器;安全报警消息被转送到报警处理器进行评估和进一步采取动作。然后再被归档,并且按照规定的准则,通过选择特定的安全审计跟踪记录,该安全审计跟踪及安全审计跟踪档案都可用来编制审计报告。即:可分析安全审计跟踪,并且可生成安全审计报告或安全报警。
在统一收集审计日志数据后,由故障推理引擎来检测系统的异常和故障。专家系统、Rule-based、Casebased系统广泛用于故障定位。这些系统假定当一个故障发生时,所有相关的告警将确定性的被观察到,因此这些方法被称为确定性故障诊断。近年来,研究者逐渐认识到故障和症状之间的关系是不确定的、概率的,即故障的证据可能是含糊的、不一致的、不完全的。图论、神经网络和不确定性推理被广泛研究用于解决这种不确定性。
参考文献:
[1]GB/T 22240—2008.信息系统安全等级保护定级指南[D]
[2]国家保密技术研究所,涉密计算机信息系统的安全审计[D]
[3]韩煜. 等级保护三级信息系统设计与实现[D].北京邮电大学。2011
[4] 戴宗坤,罗万伯,唐三平等.信息系统安全【M】.北京:金城出版社,2000.245—248.347—349.
本文是河北省高等学校科学技术研究项目成果论文(项目编号:Z2014013 )。