網(wǎng)絡(luò)審計監(jiān)管急需統(tǒng)一框架

申請免費試用、咨詢電話：400-8352-114

信息系統(tǒng)的安全防護(hù)是一個高速發(fā)展的交叉學(xué)科，涉及到信息系統(tǒng)的管理方式、技術(shù)手段和人員行為等諸多方面。在技術(shù)防護(hù)方式上，最顯著的一個轉(zhuǎn)變就是由網(wǎng)絡(luò)邊緣型防護(hù)轉(zhuǎn)變?yōu)橐孕畔?、?shù)據(jù)為核心的內(nèi)網(wǎng)防護(hù)，其中最具代表性、最活躍的領(lǐng)域就是網(wǎng)絡(luò)系統(tǒng)綜合審計監(jiān)管。

由于審計監(jiān)管直接涉及網(wǎng)絡(luò)的核心機(jī)密，國家在相關(guān)規(guī)定中對使用國外產(chǎn)品提出了明確的限制性政策。2003年前后，國內(nèi)廠家開始從事該領(lǐng)域的開發(fā)研究，市場上出現(xiàn)了一些產(chǎn)品。這個階段，信息系統(tǒng)的審計監(jiān)管不論是在理論形態(tài)上還是在技術(shù)成熟度上都處于起步階段，業(yè)內(nèi)沒有統(tǒng)一的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，研發(fā)企業(yè)大多處于自發(fā)狀態(tài)，很多產(chǎn)品甚至保留著工程項目的特征。

這些年對信息系統(tǒng)的審計監(jiān)管的安全需求在提高，研發(fā)企業(yè)與終端用戶之間的交流明顯加強(qiáng)，研發(fā)企業(yè)在不同用戶身上積累了較為豐富的需求內(nèi)容，所采用的技術(shù)也逐漸完善、成熟。截止目前，國內(nèi)在信息系統(tǒng)審計監(jiān)管領(lǐng)域從事研發(fā)的單位已經(jīng)比較多，具有一定影響力的產(chǎn)品也有十幾種。

用戶需求分析

目前市場上存在各種審計監(jiān)管類產(chǎn)品，從用戶的角度來看，這些產(chǎn)品存在諸多不盡如人意的地方。歸根結(jié)底是企業(yè)、廠商對用戶的需求不能準(zhǔn)確把握，用戶分類眾多，需求各異。那么，用戶的需求又有哪些呢？

1.審計監(jiān)管對象是用戶行為

廣義的信息系統(tǒng)包含服務(wù)器、網(wǎng)絡(luò)節(jié)點計算機(jī)、筆記本計算機(jī)、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、移動介質(zhì)、自動化辦公設(shè)備、通信線纜，甚至包括與系統(tǒng)相關(guān)的管理人員、用戶。一般來說，審計監(jiān)管系統(tǒng)的主要作用是對網(wǎng)絡(luò)中用戶的行為進(jìn)行審計，本質(zhì)上是要知道“什么時候發(fā)生了什么事，是誰干的”問題。從技術(shù)角度說，就是對用戶在網(wǎng)絡(luò)中的動作進(jìn)行記錄、審查，所以要以用戶的行為作為核心對象。

對單機(jī)的監(jiān)管一直以來是管理和技術(shù)兩方面都較有難度的問題。為了簡化對全系統(tǒng)的管理，保持審計數(shù)據(jù)的統(tǒng)一格式，要求審計監(jiān)管系統(tǒng)具有針對單機(jī)的特定設(shè)計。這種設(shè)計以擺渡方式分發(fā)策略、傳遞日志數(shù)據(jù)，能夠與網(wǎng)絡(luò)中系統(tǒng)保持一致，并對數(shù)據(jù)進(jìn)行提取和分析，產(chǎn)生綜合報告。

2.完善角色設(shè)計和權(quán)限劃分

信息系統(tǒng)在管理角色設(shè)計上要符合國家的有關(guān)規(guī)定，至少要設(shè)計管理和審計兩種角色。管理角色完成系統(tǒng)配置、策略制定分發(fā)的任務(wù)，審計角色完成對管理角色操作行為審計和用戶操作行為審計的任務(wù)。出于對任務(wù)的需要，審計角色應(yīng)當(dāng)可以查看管理角色所做的系統(tǒng)配置狀態(tài)、策略情況，但不能修改。相應(yīng)地，審計角色在對審計數(shù)據(jù)進(jìn)行清空、刪除、編輯等動作時，需要管理角色的允許，以兩把鑰匙保證數(shù)據(jù)的可信性。

審計監(jiān)管系統(tǒng)一般由服務(wù)端、客戶端、管理端組成，C/S模式居多。在系統(tǒng)管理上應(yīng)采用分布式管理模式，同時要加入權(quán)限分級的設(shè)計，實現(xiàn)不同級別的管理角色有不同的管理范疇或管理區(qū)域。為了提高管理的安全性要求，可以限定管理計算機(jī)的IP地址等特征參數(shù)。

3.使用用戶身份認(rèn)證模塊

審計監(jiān)管系統(tǒng)要做到對網(wǎng)絡(luò)環(huán)境中用戶行為的審計，就需要把虛擬的賬號與真實人員的身份一一對應(yīng)，以避免假冒身份。一般說來，這個過程采用替換操作系統(tǒng)身份認(rèn)證模塊的方式實現(xiàn)。在眾多的技術(shù)中以PKI體系為核心的，帶證書USB KEY的技術(shù)相對成熟穩(wěn)定，便于與信息系統(tǒng)中其他應(yīng)用接口；同時其安全強(qiáng)度大，用戶操作簡便。

4.靈活的策略管理、分發(fā)中心

策略管理相當(dāng)于審計監(jiān)管系統(tǒng)的大腦。它設(shè)計的成敗直接關(guān)系系統(tǒng)的易用性和功能性。先進(jìn)的設(shè)計應(yīng)當(dāng)把策略與目標(biāo)分離，可以實現(xiàn)計算機(jī)、賬號、人員、設(shè)備的靈活組合，這樣可以由用戶根據(jù)需要定制出細(xì)粒度非常好的管理模版。在策略分發(fā)上要具有針對用戶組、單個用戶的能力，上下級策略要有繼承和覆蓋的邏輯關(guān)系。策略的下發(fā)以客戶端主動獲取為上，這樣便于在防火墻遍地的網(wǎng)絡(luò)中部署客戶端。

當(dāng)然，為了兼顧系統(tǒng)反應(yīng)速度，需要在獲取時間上做好權(quán)衡。策略應(yīng)當(dāng)設(shè)計成可以單獨導(dǎo)出備份，另外在傳遞上可以離線傳遞。

5.獲取客戶端狀態(tài)

獲取客戶端的軟硬件信息是監(jiān)管的基礎(chǔ)，一般來說包含設(shè)備信息、軟件安裝信息、進(jìn)程信息、賬號信息、網(wǎng)絡(luò)連接狀態(tài)信息等。其中需要特別指出的是,截取用戶計算機(jī)操作界面、獲取敲鍵信息等屬于明令禁止的行為。

6.監(jiān)管控制客戶端外設(shè)

審計監(jiān)管在一定程度體現(xiàn)在對用戶計算機(jī)外設(shè)、進(jìn)程、窗口、程序等的控制上。對安全信息系統(tǒng)而言，與其他無關(guān)網(wǎng)絡(luò)物理隔離是最高定律。對存在外聯(lián)能力的設(shè)備，如Modem、紅外線設(shè)備、無線網(wǎng)卡設(shè)備、藍(lán)牙設(shè)備等需要在默認(rèn)狀態(tài)下禁止使用。對這類設(shè)備的控制能力也是審計監(jiān)管系統(tǒng)的一個基礎(chǔ)。這個控制應(yīng)當(dāng)穩(wěn)定、可靠，在計算機(jī)正常模式和安全模式下都有效，能夠抵抗用戶的違規(guī)啟用動作。

7.管理控制移動存儲介質(zhì)

優(yōu)盤、移動硬盤、MP3、智能手機(jī)等移動存儲介質(zhì)的普及對信息系統(tǒng)的安全帶來巨大的隱患，通過部署審計監(jiān)管系統(tǒng)可以實現(xiàn)對移動存儲介質(zhì)的注冊、管理功能，并發(fā)揮兩個作用，一是沒注冊的介質(zhì)禁止或限制使用，二是注冊的介質(zhì)不可以在沒裝審計軟件的計算機(jī)上使用。前者采用集中對介質(zhì)進(jìn)行注冊的方式，注冊后的介質(zhì)在高級格式化后依然有效;后者依靠采用適當(dāng)?shù)募用苓^程，保證數(shù)據(jù)在離開客戶端環(huán)境后無法解密，這種加密/解密的過程對用戶而言是透明的，其底層可采用PKI證書中的公鑰/私鑰方式。系統(tǒng)應(yīng)有對介質(zhì)的管理界面，可以注銷或啟用注冊的介質(zhì)。

要做到管理移動存儲介質(zhì)對各種數(shù)據(jù)操作的記錄和審計。必要時可以配置策略，允許備份拷貝到移動介質(zhì)上的文件以加密的形式保存，在啟用一套合法的流程后可以打開該文件，以備審查。

對移動介質(zhì)的控制較好的是結(jié)合安全區(qū)域的設(shè)計，即支持安全域的劃分，并且能夠定義移動介質(zhì)策略的有效范圍。

8.堅強(qiáng)的系統(tǒng)自身安全性設(shè)計

審計監(jiān)管系統(tǒng)自身要具有足夠的安全性，服務(wù)器上的數(shù)據(jù)要采取必要的安全措施，尤其日志信息應(yīng)具有良好的抗毀能力；客戶端的進(jìn)程、文件、注冊表應(yīng)隱藏，設(shè)置守護(hù)進(jìn)程或采用重啟機(jī)制，防止用戶的惡意中止。

9. 通用性良好的數(shù)據(jù)存儲模式

安全信息系統(tǒng)的審計日志保存期可能較長，要保證數(shù)據(jù)以通用的數(shù)據(jù)格式存儲，即使脫離軟件系統(tǒng)本身，也有辦法讀取數(shù)據(jù)。避免日志數(shù)據(jù)對軟件系統(tǒng)的絕對依賴。

10.產(chǎn)生準(zhǔn)確的審計信息

審計監(jiān)管系統(tǒng)最根本的作用就是生成并獲取審計信息，這包括用戶違規(guī)信息、移動介質(zhì)文件操作信息、打印機(jī)操作行為、網(wǎng)絡(luò)訪問痕跡等等。所產(chǎn)生的信息要求準(zhǔn)確、明晰，既要不漏審又要不產(chǎn)生多余的垃圾信息。這個要求看起來簡單，但難做好。

11.生成數(shù)據(jù)提取、挖掘和報表

審計數(shù)據(jù)產(chǎn)生后應(yīng)可以方便地查詢，可以靈活定義組合查詢的各種條件，如時間段、IP地址、賬號、操作類型等等。為了方便起見，安全信息系統(tǒng)的審計系統(tǒng)應(yīng)具備數(shù)據(jù)挖掘、統(tǒng)計的能力，可以根據(jù)需要產(chǎn)生某種報表；可以對相關(guān)事件進(jìn)行一定程度的關(guān)聯(lián)分析，統(tǒng)計某類型數(shù)據(jù)、某安全域范圍或某用戶的審計信息，可以由管理員定制、產(chǎn)生審計報告。報告的格式形式、包含的內(nèi)容項目可以相對靈活地定制。

12.具有良好性能、兼容性、穩(wěn)定性

審計監(jiān)管系統(tǒng)尤其是客戶端軟件應(yīng)具有良好的兼容性、穩(wěn)定性，可以在Windows XP、Windows Servers2000、等系統(tǒng)中運行，不與常用的各類工具軟件、應(yīng)用軟件沖突，軟件占用的系統(tǒng)資源較低，不影響用戶正常使用計算機(jī)。
 
框架設(shè)計

如上所述，審計監(jiān)管系統(tǒng)功能要求很復(fù)雜，沒有一個統(tǒng)一的、合理的框架設(shè)計是不可行的。要使整個系統(tǒng)功能滿足設(shè)計需求，有必要采用一體化的設(shè)計、合理規(guī)劃功能模塊之間的內(nèi)在關(guān)系，保證系統(tǒng)在功能增長后邏輯依然井然有序，模塊之間關(guān)系不亂，性能和穩(wěn)定性不受影響。

在需求分析的基礎(chǔ)上，可以對審計監(jiān)管系統(tǒng)的技術(shù)框架規(guī)劃如附圖所示。

框架圖以比較宏觀的方式表述了審計監(jiān)管系統(tǒng)的總體功能需要和主要組成部分，以及各組件之間的邏輯關(guān)系。

從框架圖中可以看出策略管理中心在整個系統(tǒng)中處于核心地位，由它實現(xiàn)系統(tǒng)中各部件的溝通，它是一個系統(tǒng)設(shè)計的靈魂所在。好的策略管理、分配模式可實現(xiàn)用戶、賬號、計算機(jī)、設(shè)備之間的高度靈活配置組合，能夠完成想得到的精細(xì)控制，滿足不同用戶的安全需求。在實際設(shè)計中策略應(yīng)完全獨立于將應(yīng)用到的目標(biāo)對象，可以借鑒Windows域組策略的實現(xiàn)模式。

綜合審計系統(tǒng)客戶端組件中PKI公鑰/私鑰體系是實現(xiàn)安全域劃分或計算機(jī)分組、數(shù)據(jù)加/解密、身份認(rèn)證和訪問控制的基礎(chǔ)，而且還是系統(tǒng)自身安全性的一個保障，如可以采用證書技術(shù)在管理端、服務(wù)端、客戶端之間進(jìn)行身份鑒別和數(shù)據(jù)傳輸加密。

在安全域和設(shè)備控制的共同作用下可以實現(xiàn)對移動存儲介質(zhì)的有效管理，實現(xiàn)用戶需要的雙向管理要求。

在綜合審計系統(tǒng)中最具技術(shù)挑戰(zhàn)性的是對獲取的數(shù)據(jù)進(jìn)行提煉、分析、統(tǒng)計、匯總，最終形成用戶需要的各種報表，這個功能的強(qiáng)弱往往可以反映出設(shè)計人員對審計本質(zhì)的認(rèn)識程度和開發(fā)隊伍的技術(shù)實力。

由上述可見，安全信息系統(tǒng)對綜合審計監(jiān)管的技術(shù)需求是很復(fù)雜的，它與一般的商業(yè)范疇系統(tǒng)審計有很大的不同，需要業(yè)內(nèi)企業(yè)、廠商與用戶共同分析需求、規(guī)劃管理流程和操作流程。在產(chǎn)品上需要有一個科學(xué)、合理、完善的技術(shù)框架基礎(chǔ)，以模塊的方式實現(xiàn)各種復(fù)雜的功能，達(dá)到保證信息系統(tǒng)安全的最終目標(biāo)。
 
什么是信息系統(tǒng)審計？

信息系統(tǒng)審計（IS audit）目前還沒有公認(rèn)通用的定義。1985年，日本通產(chǎn)省情報處理開發(fā)協(xié)會信息系統(tǒng)審計委員會認(rèn)為：信息系統(tǒng)審計是由獨立于審計對象的信息系統(tǒng)審計師，站在客觀的立場上，對以計算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查、評價，向有關(guān)人員提出問題與勸告，追求系統(tǒng)的有效利用和故障排除，使系統(tǒng)更加健全。國際信息系統(tǒng)審計領(lǐng)域的權(quán)威專家Ron Weber將它定義為“收集并評估證據(jù)以判斷一個計算機(jī)系統(tǒng)（信息系統(tǒng)）是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時最經(jīng)濟(jì)地使用資源?！边@一定義既包括信息系統(tǒng)的外部審計的鑒證目標(biāo)——即對被審計單位的信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整的鑒證，又包含內(nèi)部審計的管理目標(biāo)——即不僅包括被審計信息系統(tǒng)保護(hù)資產(chǎn)安全及數(shù)據(jù)完整，而且包括信息系統(tǒng)的有效性目標(biāo)。

信息系統(tǒng)審計監(jiān)管技術(shù)發(fā)展新方向

信息系統(tǒng)審計監(jiān)管技術(shù)的發(fā)展趨勢將會朝著標(biāo)準(zhǔn)化、技術(shù)綜合化、與信息系統(tǒng)管理方式深度關(guān)聯(lián)化等幾個方向發(fā)展。

標(biāo)準(zhǔn)化是指信息系統(tǒng)審計在監(jiān)管的基礎(chǔ)項目中逐漸形成，針對每個項目可對比的技術(shù)指標(biāo)逐漸統(tǒng)一的過程。例如，對目標(biāo)計算機(jī)敏感外設(shè)的禁用、限制性使用能力已經(jīng)成為監(jiān)管系統(tǒng)的一個基本要求。

為了實現(xiàn)審計監(jiān)管的能力，審計監(jiān)管系統(tǒng)與網(wǎng)絡(luò)中其他安全技術(shù)的關(guān)聯(lián)越來越緊密。在更大程度上審計監(jiān)管會更加以其他技術(shù)為基礎(chǔ)，審計監(jiān)管本身的技術(shù)更加趨于綜合化，將和其他技術(shù)貫穿在同一主線。例如，為了實現(xiàn)對用戶行為的審計，需要有效地區(qū)別用戶，這就需要用戶身份認(rèn)證系統(tǒng)的支持；為了審計用戶行為是否越權(quán)，需要有效地區(qū)分用戶的權(quán)限，就這需要用戶訪問控制系統(tǒng)的支持。

信息系統(tǒng)的安全程度在很大程度上取決于對系統(tǒng)的管理方式。這個方式是否有效、合理，是否能夠做到管理閉環(huán)將決定系統(tǒng)的安全級別，同時也標(biāo)志著系統(tǒng)管理的成熟度。隨著系統(tǒng)管理方式趨于安全化，信息系統(tǒng)的審計監(jiān)管系統(tǒng)的功能也逐漸強(qiáng)大，將逐漸成為一個管理中心。其他大量的安全技術(shù)、管理流程、操作步驟將以它為核心，這個系統(tǒng)的重要性將顯著提高，它與整個信息系統(tǒng)的管理方式更加緊密地結(jié)合在一起。(ccw)