安全审计系统设计与实现综述

1功能设计

功能设计如下：1)审计信息记录模块。通过提供通用的审计信息记录接口，完成云平台上用户操作的日志信息的标准化处理，并存储到审计数据库的功能，该模块使得系统具有良好的可移植性。2)审计信息签名模块。日志信息处理后存储至审计数据库中时，在审计信息中加入两次签名——元组签名和分片签名，以保护审计数据库自身的安全和审计信息的完整性、完备性。3)审计信息管理模块。实现通过Web管理页面对审计信息进行浏览、删除、导出等操作，为审计人员提供便利的审计信息分析和管理。审计管理员可在审计信息管理平台上下发已制定的审计策略，筛选出可疑事件信息。

2工作流程

2.1审计信息记录流程

审计信息记录是对云平台上用户的操作信息进行获取、分类、存储至审计数据库中的一个过程(见图2)。审计信息记录的流程如下：1)当云平台上的用户使用正确的账号口令登录云平台系统后，便可进行日常的操作行为，例如修改密码、数据的上传和下载、用户之间数据的传递、启动并使用一个远程软件等。云平台通过日志采集引擎采集到日志信息，并向审计信息记录模块发起审计服务请求。2)在众多的用户日常操作行为中，找出审计重点关注的事件及属性，划分平台事件类型，即对审计事件分类。这样的好处是：筛选出重要的平台事件，使得审计更加有效；将来若扩展系统，添加关联分析模块，可直接对审计数据库中的事件分类信息审计事件分析，而不是对冗长杂乱的日志信息分析，提高了关联分析的效率。例如：将平台事件分为以下4类，并确定相关属性如下：①用户事件，表示用户的各种基本操作行为，包括用户登录和注销、密码修改、个人信息修改等事件，需要记录的信息有用户名、登录IP、操作时间、操作是否成功。②数据传输，表示用户对文件等数据的传输行为，包括上传数据开始和结束，下载数据开始和结束、删除数据，重命名数据事件，需要记录的信息有用户名、登录IP、操作(上传、下载、删除、重命名)时间等。③软件使用，表示用户启动了某一个远程软件的行为，需要记录的信息有用户名、操作时间、软件是否启动成功。④工程计算，表示用户提交了一个工程计算作业的行为，需要记录的信息有用户名、作业名、操作时间、提交操作是否成功等。对平台事件的分类和属性确定可以根据云平台的具体用途确定。将4类信息的处理作为4个审计记录接口，这4个接口相互独立，能够并行处理来自云平台的海量日志信息，对用户事件、数据传输、软件使用、工程计算4类事件进行记录。将审计记录接口在WebServices服务上，后，当WebServices收到请求后，就可以完成审计信息接口的功能。3)日志信息经过处理后，发送至数据库访问接口，数据库访问接口会将数据写入审计数据库。至此，审计信息记录的流程完成。

2.2审计信息签名流程

审计信息记录模块使用4个不同的接口分别接收4类用户日志信息数据，并将其发送给数据库访问接口，由其通过数字签名技术完成对日志信息的安全存储，主要包括对日志信息进行元组签名和分片签名。数字签名，简称签名，是一种基于对称密码或非对称密码(公钥密码体制)的算法。大部分签名算法都是基于非对称密码体制实现的，常见的数字签名方法如RSA、DSA等。签名具有以下几个特征：签名是可信的、不可伪造的、不可重用的；签名的文件是不可篡改的；签名是不可抵赖的[8]。(1)元组签名数据库访问接口接收审计数据，对其接收到的每一条数据，将其各记录项合并成一段连续的数据，根据MD5算法计算该段数据的MD5值，作为该条日志信息的唯一元组签名项，具体流程如图3所示。随后将计算出的元组签名项与该条日志信息的各记录项存储到审计信息数据库中，通过数据库访问接口，完成日志信息的存储操作。(2)分片签名每当审计数据库中插入100条数据时，对这100条数据进行签名，将签名保存在一张签名表中，即完成对文件的分片加密(见图4)。将数字签名应用到审计数据库中，原因是审计数据库对数据的安全性有较高的需求。审计数据库中的数据需要保证每个元组都是来自真实的审计日志，数据的完整性正是利用数字签名这些特征来确保查询结果来自真实的原始数据，没有任何篡改。当审计数据库受到安全威胁攻击时，要能够验证该攻击的真实性。审计数据库采用了对元组签名而不是对其加密是因为：加密能够保证数据库的机密性，但是对审计查询工作时进行模糊匹配、多表查询造成了很大的困难，同时，响应时间的加大和解密时间的增多，都影响了系统的可用性。审计数据库签名的粒度有4种：元组属性值、元组、字段、表。为了保证数据完整性，采用对元组签名和分片签名的方法。在审计数据库中的数据以明文形式存储，当怀疑审计数据的有效性时，即可检查审计数据库返回的是不是审计日志的原始数据。通过重新计算该元组MD5的值，如果当前的签名和该元组里的签名对比，若两个MD5的值不相同，则说明该元组已被篡改，是不可信的，用户和管理员可拒绝接受该元组信息。由于对元组的签名只能保证该元组是可信的，没有随意地篡改数据，但是不能保证日志信息的连续性，即数据没有被删除和添加。通过分片签名的方法，可以保证所有数据的完整性。

2.3审计信息管理流程

审计信息管理主要为云平台管理人员以可视化界面的形式提供信息审查的平台，为其进行审计信息的浏览、导出、删除等管理操作提供方便快捷的操作途径。(1)审计信息浏览通过审计信息管理模块与数据库访问模块的交互，能够将存储在安全审计数据库中的审计信息取出并在浏览器中展示，管理人员能够从浏览器中获取云环境下各主机所对应用户的行为操作描述，便于对云平台的安全状况进行审查和评价，及时发现云平台安全性威胁行为。管理员也可根据相应的审计策略给出审计信息的筛选条件，找出可疑信息。(2)审计信息导出对当前用户日志信息记录表以文件形式导出，并加密保存在本地，实现对云平台日志信息的永久性保存，同时保证了其安全性。(3)审计信息删除管理人员能够通过用户界面操作删除用户日志信息，通过审计信息管理模块与数据库访问模块，将存储在安全审计数据库中的该条记录删除。用户界面的设计是为了帮助管理人员或专业机构了解整个云平台上用户日常行为操作的具体内容，及时发现威胁安全的用户操作，实时维护整个云平台的系统安全与数据安全。用户界面不对管理人员提供主动增加用户日志信息及修改用户日志信息的功能。

3性能测试

3.1安全性测试

安全审计系统具有较强的安全保障，具体体现在以下两个方面：1)审计数据库自身的安全保护。对安全审计系统进行访问控制，由专门的审计管理员负责审计数据库的管理、审计策略的下发、审计信息的分析、审计数据库信息的备份和故障恢复等操作，其他人员无权执行上述操作。2)审计数据的完整性安全保护。日志信息在经过审计接口进行存储时，需经过信息分类、格式标准化、签名处理。元组数据的签名确保了单条数据的完整性，分片数据的签名确保了整个审计数据库的审计数据来自连续的审计日志信息。双重签名机制能够确保审计数据完整性的安全保护，同时也能够让平台用户信服于审计结果的准确性。在测试过程中，随机选取审计数据库中1条测试数据，统计其元组签名以及被划分到片(100条数据)后得到的分片签名，然后修改该条测试数据的内容，再次得到以上两组签名，并进行比对，实验结果如表1所示。安全性测试结果表明，当审计数据库中的某一条数据被非法修改时，通过比对分片签名是否改变，可以确定具体被修改的数据在哪一片中，进一步比对元组签名是否改变，便可以确定被修改数据的具置。

3.2算法效率测试

安全审计系统通过双重签名机制保障安全性的同时，也应具备良好的运行速度。而分片签名是基于100条数据进行的签名算法，其执行效率将影响到安全审计系统的整体执行效率。在排除系统其他操作的情况下，针对分片签名计算进行速度估算测试，测试结果如表2所示。算法效率测试结果表明，当同时插入10000条数据时，需要进行100次分片签名算法，签名计算操作仍然耗时较短，考虑到实际运行环境中，同一时间插入的数据均远小于10000条，可以认为签名算法在运行效率上不会影响安全审计系统的整体运行率。

4进一步研究工作

下一步的研究重点将是在本方案的基础上实现以下两点，来提高审计系统的审计能力和审计效率。(1)审计系统中关联分析、报警功能的实现关联分析(AssociationAnalysis)是指在数据记录的数据项之间挖掘关联关系，某些数据项的出现预示着该记录中其他一些数据项出现的可能。进一步研究关联分析方法对审计信息进行关联分析，以发现攻击的规律和趋势，甚至是预测即将发生的攻击。在审计系统中添加报警功能，并可由审计管理员自定义报警策略及响应措施，当发现云平台有严重的侵害事件发生时，即可启动响应措施，对平台进行保护。(2)研究分析审计数据完整性保护措施方案本方案采用了基于简单签名的数据完整性保护措施。这种方法实现比较简单，能够保证数据的完整性。但是签名数量较多时就会给系统带来较大的时间和空间开销。文献[9]提出了完整性审计方法，即通过在需要委托的数据库中插入少量的伪造元组来验证审计数据库的完整性。文献[10]提出了双重加密方法，这种方法是一种低耗费的可证明安全性的双重加密方法，能够保证实现数据元组的完整性认证。因此，可以对不同的审计数据完整性保护措施方案进行对比分析，根据具体云平台的功能总数、用户量选择合适的方案。

5结语

目前云平台在取得不断发展的同时也得到了大量的推广，导致用户日益增多，云平台的安全问题已经成为时下重要的课题。在对不同用户的日常操作行为进行采集、分析、处理与存储等技术进行研究的基础上，设计云平台上的安全审计系统，对当前云计算环境下实现对用户日志的安全审计及管理提出解决的思路与可行性路线，能够基本满足管理人员对用户系统的安全情况进行审查与评价。考虑到云平台下的网络拓扑规模的增大，安全审计问题的复杂性也不断增加，对更加完备的安全审计体系的研究仍需继续探索。

作者：孔丹 马兆丰 蒋铭 单位：北京邮电大学信息安全中心北京国泰信安科技有限公司