网站首页  词典首页

请输入您要查询的论文:

 

标题 高安全企业内网安全审计发展趋势与审计模式研究
范文

    孙志清 李艳 邓莉凡

    

    

    

    摘要:安全审计是一种有效的安全监督和风险自识别的手段,也是当前各大企事业集团研究的热点问题,本文对安全审计现状、问题和发展趋势进行了分析,提出的基于行为的安全审计模式,经过实践证明行之有效,可为同行提供借鉴。

    关键词:安全审计;网络安全

    中图分类号:TP391? ?文献标识码:A

    文章编号:1009-3044(2019)16-0018-02

    开放科学(资源服务)标识码(OSID):

    Abstract: Security auditing is an effective means of safety supervision and risk self-identification. It is also the study of major military industry groups. This paper analyzes the status, problems and development trends of security audits, and proposes a behavior-based security audit model, which has been proven to be effective and can provide reference for peers.

    Key words: security audit; network security

    1 背景介绍

    安全审计技术在现代安全防护体系中占有重要地位[1],是对网络用户的行为进行管理,对计算机的工作过程进行详尽的跟踪,记录用户的活动,记录系统管理,监控捕捉各种安全事件,维护管理审计记录和审计日志[2]。根据国家标准的要求,企事业内部网络须定期开展安全审计工作,其实施的目标主要有:

    (1)掌握网络当前的安全运行状态,包括资产统计、变更情况等;

    (2)对用户及管理员的操作进行事后的追踪分析;

    (3)分析并判断安全防护体系运行的有效性,识别安全短板,控制安全风险;

    (4)识别、追踪和定位发生的安全事件。

    2 网络安全审计的现状

    当前需要高安全的企事业内网的包括安全审计主要依托各类安全产品开展。可以分为:主机审计、网络审计、违规外联审计、数据库审计、入侵审计、输入输出审计、业务审计、配置审计等等。各类安全审计技术的常见功能项如下:

    [序号 审计产品 主要功能 1 主机审计 提供企事业内网的终端安全管理功能,主要支持Windows操作系统类型。包含客户机和服务器的审计。可审计终端的外设接入、软件安装、进程运行等内容。 2 网络审计 网络审计和入侵检测的融合度非常高,但是一般而言,除了入侵行为审计,网络审计主要提供原始日志审计。 3 违规外联审计 提供终端或服务器违规链接互联网的审计。 4 数据库审计 包括数据库自带审计功能或第三方独立的审计,记录数据库操作记录。 5 入侵审计 提供网络边界的入侵审计。 6 输入输出审计 记录数据输入输出时的审批、导出、打印等操作。 7 业务审计 用户登录、业务操作、文件传输等审计。 8 配置审计 审计管理员更改网络、安全设备、应用授权等的配置操作。 ]

    3 网络安全审计面临的关键问题

    隨着信息安全攻防对抗愈加激烈,军工认证标准对高安全企事业内网安全审计提出了更高的要求。涉及审计的内容,审计发现问题的闭环管理,审计报告质量等具体的检查要求。面对严苛的审计要求,传统依托安全产品开展审计工作的模式面临诸多问题

    (1)缺乏追踪分析的关键数据源,难以有效识别和定位问题。

    传统的安全审计工作基本依托各自独立运行的审计功能,虽然提供了多个视角的审计数据,但审计缺乏统一的策略,导致审计数据分散,存在大量的冗余信息,有效数据非常稀少。以主机审计的违规外设告警分析为例,接收到告警后,往往缺乏信息进一步判断用户是无意识的误差,还是有意的企图绕过安全措施?是不允许使用介质的终端接入了U盘?是允许使用介质的终端使用了非注册的介质?再以入侵检测的SQL注入告警为例,接收到告警后由于难以捕获时间和空间维度匹配的流量信息,导致难以进一步判断是正常的业务行为,还是真实的攻击行为?是有规律的行为,还是随机的行为,是否是APT攻击等。解决不了上述问题,导致安全审计工作流于表面,只能解决有无的问题。

    (2)人工处理的速度远远低于网络产生日志的速度

    根据统计,一个近千个终端的网络安全管理人员,平均每个月要面对近万条入侵检测告警,近千条主审告警,同时还有大量的防火墙日志和应用系统日志。当前提供的各类自动化审计工具,基本只能做到数据的自动收集,但很难做到与网络业务环境高度匹配的审计分析策略。导致大部分日志仍然需求人工处理,然而机器产生日志的速度远超过人能处理的能力,使得管理人员被海量告警信息淹没,无法看到真正的违规和风险。

    (3)安全审计缺乏全流程的管理

    当前很多企事业内网的安全审计管理仅仅停留在技术层面,没有做到管理与技术融合,更做不到与业务相互融合。安全审计发现的问题,缺乏畅通的上报处置机制,缺乏领导的关注,往往积压到保密检查、资格认证前期进行集中式的整改,严重打压了审计工作者的信心和积极性。由于缺乏制度、机制和流程的保障,导致审计工作推进难、审计数据难以获取等问题,严重制约着审计工作的提升。

    4 网络安全审计的关键技术

    通常安全审计系统由审计控制台和审计Agent组成。审计控制台使整个审计系统的数据进行集中存储和管理,通常基于数据库平台,采用数据库方式进行审计数据管理和系统控制,提供给管理员用于对审计数据进行查阅,对审计系统进行规则设置,实现报警功能的界面软件。审计Agent是直接同被审计网络和系统连接的部件,不同的审计Agent完成不同的功能。审计Agent将报警数据和需要记录的数据自动报送到审计控制台,进行统一的管理。

    目前各类审计系统使用的关键技术主要有:

    [序号 关键技术 技术特点及优缺点分析 1 基于神经网络的网络安全审计技术 网络通过改变单元状态,改变连接权值,加入一个连接或者移去它们来指示一个事件异常。这种技术的主要不足是神经网络不能为它们找到的任何异常提供解释,导致用户无法确认事故的责任人。 2 基于专家系统的网络安全审计技术 许多早期经典的安全审计模型都是采用专家系统,比如DIDS( 分布式网络入侵检测系统) 和CMDS 就采用了由美国国家航空和宇宙航行局开发的CLIPS 系统。这种技术的优点是把系统的控制推理从问题解决的描述中分离出去。这个特性允许用户使用类似if-then 规则输入异常行为信息,然后输入事实,系统根据输入信息评估这些事实。这个过程不需要用户理解系统内部功能,但需要在审计系统运行之前,编写规则代码,这是一个非常耗时的工作。 3 基于代理的网络安全审计技术 代理可以被看作是在网络中执行某项特定监视任务的软件实体。该系统通常分布式的运行在网络的主机上,其中监视器是审计系统的关键功能模块,一旦出现故障,可能产生不同的安全审计结果。当前军工网络的主机监控、违规外联监控等均采用此类技术。 4 基于免疫系统的网络安全审计技术 这种技术的提出主要由于生物免疫系统和计算机系统保护机制之间有着相似性。免疫系统通过识别异常或者以前未出现的特征来确定入侵,其本质就是“自我/非自我”的决定能力。但是这种技术不能处理包括种族条件、身份伪装和策略违背等违规行为。 5 基于白名单的网络安全审计技术 这种技术的提出主要是通过检测软件的运行态行为,并通过建立白名单的形式,对非列表内的行为进行告警。这种技术的优点是应对未知威胁的能力强,但往往由于无法准确匹配业务环境导致过高的误报率。通常需要配合其他审计软件共同使用。 ]

    5 安全审计的发展趋势

    未来的安全审计必将呈现以下趋势:

    (1)安全审计平台化

    随着军工内部网络跨域互联、多业务并行等需要,对安全审计提出了多源数据关联分析、综合分析的需求,为了实现对历史日志的细粒度的,深入化的分析,必须建立安全审计的平台,用于整合分散在网络中各类安全数据。

    (2)更加重视内部威胁的持续监测

    老牌安全公司迈克菲表示,43%的数据泄露都是内部人干的。ISF信息安全论坛则将内部人所致数据泄露的比例定在了54%。无论你觉得哪个数字靠谱,邪恶的内部人员都是真实存在的问题[3]。然而传统的安全防护往往对内部威胁的防护效果不佳,原因是内部威胁行为通常隐藏在正常的业务操作中,难以通过简单的规则来发现,面对内部威胁,必须要基于长期的,全方位的持续监测能力,在足够的数据支撑的前提下,再综合利用统计、自动化、智能化等方式来识别可疑行为。

    (3)安全审计工作的标准化

    随着自动化和智能化审计技术的发展,提出了高质量审计数据的要求,这也为安全审计標准化工作提出了需求,同时起到了技术牵引的作用。安全审计工作的标准化,涉及数据标准化、流程标准化以及分析规则标准化等。

    6 基于行为的安全审计模式

    以行为作为桥梁,是提高安全审计效率,提升安全审计准确性的有效手段。如下图所示:

    在执行审计工作时,从正反两个维度设置审计项,正方向通过总结、提取、分析日志正常的行为列表,配合用户属性(管理员、普通用户、离岗离职等),结合正常数据的统计量来识别明显的异常,例如离岗离职人员大量摆出文件、管理员频繁变更安全产品配置、某个应用出现了从未使用过的IP等;反方向通过梳理国家标准、安全策略中命令禁止的行为和状态,例如安装虚拟机、ghost、及时通讯软件,违规打印,非管理员机器登录,涉密机连接手机等。通过明确的违规列表,明确回答各期的审计情况。

    该审计模式通过实践运行的验证,在各期的审计工作中可以高效的发现用户明确的不合规行为,并能够及时地识别出异常的行为。且监测的行为可以很好地转化软件可观察的状态,从而可以很好地利用自动化工作实现基于行为的周期性安全审计。

    7 总结

    安全审计是一种有效的安全监督和风险自识别的有效手段,也是当前各大军工集团研究的热点问题,值得从管理和技术层面进行更深入的研究,本文提出的基于行为的安全审计模式,仅仅是从用户监管角度找到了一种切实可行的方式,但是对于安全审计期望的网络安全状态的全面掌控,仍有很多工作可以做。同时目前的基于行为的审计主要依赖于审计人员领域知识和工作经验来梳理正反行为列表,不能准确定位未知的威胁。

    参考文献:

    [1] 丁文超, 冷冰, 许杰,等. 大数据环境下的安全审计系统框架[J]. 通信技术, 2016, 49(7):909-914.

    [2] 刘国城.基于过程的电子政务云安全审计模式研究[J]. 新疆大学学报(哲学·人文社会科学汉文版), 2016, 44(1):28-35.

    [3] https://baijiahao.baidu.com/s?id=1596725259308624015&wfr=spider&for=pc

    【通联编辑:梁书】
随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2025/3/15 16:14:53