安全审计系统的功能设计及其技术要求

摘 要： 安全审计通过收集、分析、评估安全信息、掌握安全状态，确保信息系统稳定运行。从安全审计系统的必要性出发，分析功能模块及特点，介绍系统的实现机制。

关键词： 安全审计；网络审计；数据库审计；运维审计

中图分类号：TP393.08 文献标识码：A 文章编号：1671－7597（2012）0210106－01

随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。即使部署了防火墙、防病毒、入侵检测系统等网络安全产品，制定了严格安全策略、了多项管理制度，各种网络安全事件任然有增无减，根据CERT的年度研究报告显示，高达50%以上的数据破坏是由内部人员造成的，内部人员对自己的信息系统非常熟悉，又位于防火墙的后端，对数据库系统的误操作或者蓄意的破坏会对企业造成恶劣的影响以及重大损失，无法定责，不方便管理。安全审计通过收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，将系统调整到“最安全”和“最低风险”的状态。

1 什么是安全审计系统

安全审计系统是在一个特定的企事业单位的网络环境下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。能够规范员工上网行为、提高工作效率、防止企业机密资料外泄，帮助管理者发现潜在的威胁，减少人为因素和管理缺失造成的关键业务停顿造成的损失。帮助您对IT安全事件进行有效监控、协调并迅速做出响应。对潜在的攻击者起到展慑和替告的作用，对于己经发生的系统破坏行为提供有效的追究证据。

2 安全审计系统功能

安全审计系统由审计主机以及探测器组成，采用旁路方式进行审计，不在网络中串联设备，不破坏网络结构，不影响正常业务的运行，也不会影响到网络性能，通过HTTPS方式对主机进行管理。系统主要由以下功能模块组成：

1）网络审计模块：防止非法内连和外连，负责网络通信系统的审计，在加强内外部网络信息控制监管的同时，为避免相关信息外泄及事后的追溯取证提供了有效的技术支撑。

2）操作系统审计模块：对重要服务器主机操作系统的审计，记录操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。用户即可通过操作日志查看详细操作指令，也可通过录像回放查看详细的操作过程

3）数据库审计模块：对重要数据库操作的审计，对信息系统中各类数据库系统的用户访问行为进行实时采集、实时分析，用户登录、登出数据库，对数据表内容做插入、删除、修改等操作，记录内容可以精确回放SQL 操作语句。详细记录每次操作的发生时间、数据库类型、数据库名、表名、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。

4）主机审计模块：主要负责对网络重要区域的客户机进行审计， 包括对终端系统安装了哪些不安全软件的审计，并设置终端系统的权限等，在配合网络行为控制与审计策略的配置实施过程中起到基础性的作用。

5）应用审计模块：主要负责重要服务器主机的应用平台软件，以及重要应用系统进行审计。监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，形成清晰的记录。

6）运维审计模块：主要负责监控系统管理员及第三方运维人员（代维/原厂工程师）系统操作时的审计，对于所有远程访问目标设备的会话连接，实现同步过程监视，运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中，包括vi、smit以及图形化的RDP、VNC、X11等操作，管理员可以根据需要随时切断违规操作会话。记录访问者和被访问者的IP/MAC地址，访问时间等信息。

3 安全审计系统特点

安全审计系统实现功能模块，具有如下特点：

3.1 细粒度的操作内容审计（深度协议分析）

采用协议识别和智能关联技术，可对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等关键信息进行监测、还原；从链路层到应用层对协议进行深度分析，根据内容自动识别各个连接的应用协议类型。保障审计的准确性。为管理机构进行事后追查、取证分析提供有力技术支撑。

3.2 全面的网络行为审计（精准的网络行为实时监控）

安全审计系统可对网络行为，如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等，提供全面的行为监控，支持全面的行为审计、支持目前常见的各种网络应用，方便事后追查取证；在旁路部署模式下可实现较强的网络行为控制功能，包括对网页浏览、电子邮件服务器、即时通讯、P2P下载、流媒体、在线游戏等应用的控制。

3.3 日志规则库

自带基于日志内容分析的专家规则库，针对日志源数据进行实时等级划分，智能分析日志信息中所反映出的诸如设备故障、配置错误、系统警告、应用程序出错、传播违规违法信息、数据库敏感操作等信息，并能及时通过邮件或短信方式通知管理员。规则库能够定时自动升级，应对新增的安全风险。

3.4 综合流量分析

安全审计系统可对网络流量进行综合分析，为网络带宽资源的管理提供可靠策略支持；通过传统安全手段与安全审计技术相结合，在功能上互相协调、补充，构建一个立体的保障管理体系。

3.5 可靠的安全保障能力

自身的安全性高，不易遭受攻击，在操作系统级对系统各支撑引擎进行了修改和全面优化定制，全面防止攻击与劫持，提升系统整体性能的同时保障自身系统级安全。对关键审计数据的存储和传输进行加密防护，利用数据防篡改、防删除技术；严格访问权限、审计权限控制体系达到系统级安全防护，旁路部署保障对网络性能完全没有影响，保证网络无单点故障，优先保障用户网络级安全，是上网机构在内网和互联网过程中最可信赖的安全工具。

3.6 高效的事件定位能力

系统运行日志数据大致可分为两类：结构化数据和非结构化数据，结构化数据主要包括行为日志和报警日志等，而非结构化数据则主要包括内容审计数据。通过使用先进的全文检索引擎，实现高效的事件定位能力。

3.7 良好的扩展性设计，部署灵活

支持分级部署、集中管理，满足不同规模网络的使用和管理需求；对于单台设备无法处理的超大流量环境或含有分支机构的分布式环境，系统支持高扩展性的多台设备分布式部署方案，通过多台设备对超大的流量或各分支机构分而治之，又由统一的管理平台实现对整个网络的透明、统一的管理。

3.8 多种报表

全面详细的审计信息，丰富可定制的报表系统，系统根据历史审计日志数据进行统计可产生丰富详细和直观的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。能够从上网对象、时间、分类、目标等多个维度对网络活动进行查询分析，并以柱状图，饼图，曲线图，折线图等形式来体现排名、结构、趋势等上网概况，使管理者对所掌握的数据有清晰直观的认识。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存，并支持自定义的周期性报表自动生成和订阅。日志可以按照要求保留90天以上，归档的日志可通过各种组合条件进行在线查询，也可以远程备份到异地进行离线查看。

综上所述，安全审计作为一门新的信息安全技术，能够对整个计算机信息系统进行监控，如实记录系统内发生的任何事件，可以有效掌握网络安全状态，预防敏感信息外泄，实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位，为整体安全策略的制定提供权威可靠的支持，从而为信息安全提供了有力的保障。

参考文献：

[1]张世永，信息安全审计技术的发展和应用[J].电信科学，2003（12）.

[2]韦成府、吴旭、张华，网络行为安全审计系统Web应用的设计与实现[J].现代图书情报技术，2009（02）.

[3]章剑林、李班、丁勇，企业网站的安全风险和安全审计技术研究[J].浙江理工大学学报，2008（05）.

[4]万国根、秦志光、刘锦德，网络内容安全分析及审计技术研究[J].计算机应用研究，2004（01）.

[5]周洪昊、张剡、柏文阳，安全审计系统的设计与实现[J].计算机应用研究，2004（07）.