概述

 信息安全審計的必要性

隨著政府、企事業(yè)單位等各類組織的信息化程度不斷提高，對信息系統(tǒng)的依賴程度也隨之增加，如何保障信息系統(tǒng)安全是所有單位都十分關(guān)注的一個問題。當(dāng)前，大部分組織都已對信息安全系統(tǒng)進(jìn)行了基本的安全防護(hù)，如實(shí)施防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)等。然而，信息系統(tǒng)維護(hù)過程中依然還面臨著諸多的困難及風(fēng)險， 如：

ü  系統(tǒng)運(yùn)維風(fēng)險：由于操作系統(tǒng)、硬件、應(yīng)用程序等故障或配置錯誤導(dǎo)致系統(tǒng)異常運(yùn)行，服務(wù)中斷。這些異常行為往往會事先在系統(tǒng)及各類日志中有所反映，如果缺乏有效的日志審計手段，就無法及時發(fā)現(xiàn)這些安全隱患。

ü  網(wǎng)絡(luò)資源濫用：大部分企業(yè)對員工的上網(wǎng)行為都不進(jìn)行直接控制，因此員工不適當(dāng)或?yàn)E用公司網(wǎng)絡(luò)資源的行為時有發(fā)生，如進(jìn)行BT下載、觀看在線電影、網(wǎng)上聊天以及訪問非法網(wǎng)站的相關(guān)行為等等，這不僅是對公司管理制度的挑戰(zhàn)，更使企業(yè)在國家相關(guān)法律法規(guī)的符合性上存在隱患，也容易造成企業(yè)資料泄密等后果。

ü  應(yīng)用及數(shù)據(jù)風(fēng)險：企業(yè)中各類應(yīng)用系統(tǒng)在對外服務(wù)的同時將面臨各種用戶訪問行為造成的信息安全風(fēng)險，包括用戶非授權(quán)訪問、管理員誤操作、黑客惡意破壞等等，必須實(shí)行有效的安全審計手段。

ü  安全事件定位風(fēng)險：最為嚴(yán)重和突出的現(xiàn)象是會出現(xiàn)大量的安全事件，一個標(biāo)準(zhǔn)的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)采用缺省的策略，在一個百兆的鏈接上每天可能產(chǎn)生超過千萬數(shù)量的事件，海量的數(shù)據(jù)常常讓我們的安全產(chǎn)品變得沒有任何意義，即使經(jīng)過調(diào)整和優(yōu)化的策略，也充斥著無意義數(shù)據(jù)和誤報。

ü  國家法律法規(guī)要求：《網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等，都對企業(yè)的日志保存有明確的要求。

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》對于二級以上信息系統(tǒng)，在網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全等基本要求中明確要求進(jìn)行安全審計。而日志審計是符合這些要求的基本手段。

《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部82號令）第八條要求具備“記錄、跟蹤網(wǎng)絡(luò)運(yùn)行狀態(tài)，監(jiān)測、記錄用戶各種信息、網(wǎng)絡(luò)安全事件等安全審計功能”。

《商業(yè)銀行內(nèi)部控制指引》第一百二十六條指出“商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序等均當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計的需要”。

《銀行業(yè)信息科技風(fēng)險管理指引》 第二十七條要求銀行業(yè)應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。

《保險公司信息系統(tǒng)安全管理指引（試行）》第四十四條要求“對主機(jī)系統(tǒng)進(jìn)行審 計，妥善管理并及時分析處理審計記錄。對重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應(yīng)進(jìn)行重點(diǎn)審計”。

《網(wǎng)絡(luò)安全法》第三章網(wǎng)絡(luò)運(yùn)行安全中第一節(jié)一般規(guī)定的第三條要求“采取記錄、跟蹤網(wǎng)絡(luò)運(yùn)行狀態(tài)，監(jiān)測、記錄網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存網(wǎng)絡(luò)日志”。

1.2 信息安全審計目標(biāo)

從信息安全風(fēng)險管理角度來看，針對各類系統(tǒng)的運(yùn)行日志、數(shù)據(jù)庫操作行為、網(wǎng)絡(luò)訪問行為的審計系統(tǒng)是信息安全保障體系中不可或缺的一部分，綜合審計系統(tǒng)的目標(biāo)包括：

（1）有效整合現(xiàn)有信息安全產(chǎn)品，形成統(tǒng)一的安全事件管理平臺；

（2）通過全面的日志及行為分析彌補(bǔ)現(xiàn)有各類技術(shù)產(chǎn)品在威脅分析發(fā)現(xiàn)方面的不足；

（3）為安全事故的責(zé)任追查、故障定位提供有力的技術(shù)手段。

產(chǎn)品介紹

 產(chǎn)品概述

網(wǎng)絡(luò)訪問行為審計系統(tǒng)是北京冠程科技有限公司自主研發(fā)的擁有自主知識產(chǎn)權(quán)的專業(yè)信息安全審計產(chǎn)品，系統(tǒng)通過監(jiān)測及采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問行為、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲和管理，結(jié)合豐富的日志統(tǒng)計匯總及綜合分析功能，實(shí)現(xiàn)對信息系統(tǒng)整體安全狀況的全面審計。

網(wǎng)絡(luò)訪問行為審計系統(tǒng)專注于對信息系統(tǒng)中各類主機(jī)、數(shù)據(jù)庫、流量、應(yīng)用和設(shè)備的安全事件、用戶行為、系統(tǒng)狀態(tài)的實(shí)時采集、實(shí)時分析、異常報警、集中存儲和事后分析，是支持分布式、跨平臺的統(tǒng)一智能化日志綜合管理及審計設(shè)備，可以對各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、WEB服務(wù)、中間件、數(shù)據(jù)庫、流量和其它應(yīng)用進(jìn)行全面的安全審計。

網(wǎng)絡(luò)訪問行為審計系統(tǒng)可以幫助企業(yè)管理員隨時了解整個IT系統(tǒng)的運(yùn)行情況，通過實(shí)時的日志分析及時發(fā)現(xiàn)系統(tǒng)異常和非法訪問行為；另一方面，通過事后分析和豐富的報表系統(tǒng)，管理員可以方便高效地對信息系統(tǒng)進(jìn)行有針對性的安全審計。遇到特殊安全事件和系統(tǒng)故障，網(wǎng)絡(luò)訪問行為審計系統(tǒng)可以確保日志完整性和可用性，協(xié)助管理員進(jìn)行故障快速定位，并提供客觀依據(jù)進(jìn)行追查和恢復(fù)。

 功能架構(gòu)

   采用組件式平臺架構(gòu)，實(shí)現(xiàn)了分層的邏輯架構(gòu)，包括：審計數(shù)據(jù)源層、數(shù)據(jù)采集層、實(shí)時分析層、存儲層、業(yè)務(wù)分析層、可視化展示層和用戶管理層。如下圖所示：

  審計數(shù)據(jù)源層

審計數(shù)據(jù)源層是指審計數(shù)據(jù)源對象，包括各類型的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、終端PC、視頻設(shè)備等能產(chǎn)生相關(guān)日志的設(shè)備和信息系統(tǒng)。 審計對象須開放接口才可以收集到日志，如果審計對象開放的接口是私有協(xié)議，系統(tǒng)可以通過定制開發(fā)協(xié)議的方式進(jìn)行支持。

  數(shù)據(jù)采集層

數(shù)據(jù)采集層分為日志數(shù)據(jù)采集、數(shù)據(jù)庫數(shù)據(jù)采集、流量數(shù)據(jù)采集，日志采集層利用Syslog、Snmp Trap、Jdbc、本地文件、Sftp/Ftp遠(yuǎn)程采集文件、Sniffer、Agent方式進(jìn)行采集，從審計對象獲取元數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行范式化、分類、過濾、歸并，統(tǒng)一推送到業(yè)務(wù)層進(jìn)行分析、存儲。 流量、數(shù)據(jù)庫采集層通過交換機(jī)端口鏡像獲取網(wǎng)絡(luò)流量，對網(wǎng)絡(luò)流量進(jìn)行校驗(yàn)，重組，還原，解析。從而進(jìn)一步分析網(wǎng)絡(luò)中的用戶行為。

  實(shí)時分析層

通過大數(shù)據(jù)分析技術(shù)對實(shí)時采集過來的日志和流量進(jìn)行實(shí)時的數(shù)據(jù)分析，把采集過來的非結(jié)構(gòu)化的數(shù)據(jù)轉(zhuǎn)換成結(jié)構(gòu)化的數(shù)據(jù)；通過高性能海量數(shù)據(jù)存儲代理將數(shù)據(jù)進(jìn)行快速存儲；通過分布式查詢引擎實(shí)現(xiàn)快速查詢；通過數(shù)據(jù)聚合引擎實(shí)現(xiàn)數(shù)據(jù)抽取。

  存儲層

采集層接收日志和流量數(shù)據(jù)，經(jīng)過大數(shù)據(jù)實(shí)時分析后，系統(tǒng)會把日志和流量數(shù)據(jù)存儲在時時大數(shù)據(jù)全文搜索Elasticsearch中。經(jīng)過一段時間后，數(shù)據(jù)會進(jìn)行歸檔處理，把數(shù)據(jù)存儲在Hadoop中，作為離線數(shù)據(jù)庫存儲。通過Hadoop技術(shù)，可以很方便的查詢到離線歸檔數(shù)據(jù)。

 業(yè)務(wù)分析層

業(yè)務(wù)分析層對采集過來的在線數(shù)據(jù)或者離線數(shù)據(jù)，首先根據(jù)業(yè)務(wù)模型進(jìn)行生成業(yè)務(wù)規(guī)則模型，然后分析引擎會根據(jù)規(guī)則進(jìn)行關(guān)聯(lián)分析，觸發(fā)規(guī)則，生成告警記錄。同時系統(tǒng)引入了機(jī)器學(xué)習(xí)，對在線數(shù)據(jù)和離線數(shù)據(jù)實(shí)時不間斷的進(jìn)行分析，發(fā)現(xiàn)異常行為。

  可視化展示層

面向系統(tǒng)的使用者，提供一個圖形化的顯示界面，展現(xiàn)安全審計系統(tǒng)的各功能模塊，提供性能監(jiān)控、安全預(yù)警、業(yè)務(wù)分析、事件溯源、合規(guī)報表等功能。

  用戶管理層

根據(jù)使用用戶的管理和不用場景的需求，對系統(tǒng)進(jìn)行權(quán)限管理、組件管理、報表管理及其他相關(guān)配置的管理。

 橫向擴(kuò)展

網(wǎng)絡(luò)訪問行為審計系統(tǒng)系統(tǒng)產(chǎn)品的后臺采用的是大數(shù)據(jù)全文搜索技術(shù)Elasticsearch，Elasticsearch具有非常多的大數(shù)據(jù)處理的優(yōu)點(diǎn)：

橫向可擴(kuò)展性：只需要增加一臺服務(wù)器，啟動Elasticsearch進(jìn)程就可以并入集群；

分片機(jī)制提供更好的分布性：同一個索引分成多個分片（sharding），這點(diǎn)類似于HDFS的塊機(jī)制；分而治之的方式來提升處理效率；

 高可用：提供復(fù)制（replica）機(jī)制，一個分片可以設(shè)置多個復(fù)制，使得某臺服務(wù)器在宕機(jī)的情況下，集群仍舊可以照常運(yùn)行，并會把服務(wù)器宕機(jī)丟失的數(shù)據(jù)信息復(fù)制恢復(fù)到其他可用節(jié)點(diǎn)上；

在研發(fā)產(chǎn)品的時候，對Elasticsearch進(jìn)行了徹底的封裝，只需要在配置文件中增加簡單配置就可完成系統(tǒng)的橫向擴(kuò)展能力。