導(dǎo)語：信息安全審計(jì)技術(shù)在現(xiàn)實(shí)工作中的運(yùn)用一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1.引言

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)逐漸成為完成業(yè)務(wù)工作不可或缺的手段，很多政府、銀行、企業(yè)紛紛將核心業(yè)務(wù)基于網(wǎng)絡(luò)來實(shí)現(xiàn)。然而，網(wǎng)絡(luò)的不斷普及帶來了大量的安全問題。目前全球數(shù)據(jù)泄密事件53.7%的是由于人為疏忽造成，15.8%是由內(nèi)部惡意竊密，23.3%是由于黑客等外部攻擊行為造成，7.2%是由于意外造成的數(shù)據(jù)丟失。根據(jù)IDC數(shù)據(jù)顯示，內(nèi)部泄密事件從46%上升到了67%，而病毒入侵從20%，下降到5%。

2.信息安全審計(jì)定義及作用

2.1信息安全審計(jì)定義

信息安全審計(jì)是針對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行管理[1]，綜合運(yùn)用網(wǎng)絡(luò)數(shù)據(jù)包獲取、協(xié)議分析、信息處理、不良流量阻斷等技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息內(nèi)容傳播的有效監(jiān)管。它能夠幫助用戶對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)實(shí)時(shí)監(jiān)控，記錄網(wǎng)絡(luò)中發(fā)生的一切，尋找非法和違規(guī)行為，為用戶提供事后取證手段。

2.2信息安全審計(jì)的作用

跟蹤檢測(cè)。以旁路、透明的方式實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸信息等進(jìn)行數(shù)據(jù)截取和還原，并可根據(jù)用戶需求對(duì)通信內(nèi)容進(jìn)行審計(jì)，提供敏感關(guān)鍵詞檢索和標(biāo)記功能，從而防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播。取證監(jiān)控。還原系統(tǒng)的相關(guān)協(xié)議，完整記錄各種信息的起始地址和使用者，識(shí)別誰訪問了系統(tǒng)，訪問時(shí)間，確定是否有網(wǎng)絡(luò)攻擊的情況，確定問題和攻擊源，為調(diào)查取證提供第一手的資料。

3.其他安全產(chǎn)品安全審計(jì)方面的缺陷

防火墻只是內(nèi)外部網(wǎng)絡(luò)之間建立起隔離，控制外部對(duì)受保護(hù)網(wǎng)絡(luò)的訪問，通過控制穿越防火墻的數(shù)據(jù)流來屏蔽內(nèi)部網(wǎng)絡(luò)的敏感信息以及阻擋來自外部的威脅。入侵檢測(cè)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，對(duì)一些有入侵嫌疑的包進(jìn)行報(bào)警，準(zhǔn)實(shí)時(shí)性較強(qiáng)，但采用的數(shù)據(jù)分析算法不能過于復(fù)雜，通常只是對(duì)單個(gè)數(shù)據(jù)包或者一小段時(shí)間內(nèi)的數(shù)據(jù)包進(jìn)行簡(jiǎn)單分析判斷，誤報(bào)率和漏報(bào)率較高。漏洞掃描、防病毒等設(shè)備主要發(fā)現(xiàn)網(wǎng)絡(luò)、應(yīng)用軟件、操作系統(tǒng)的邏輯缺陷和錯(cuò)誤，提早防范網(wǎng)絡(luò)、系統(tǒng)被非法入侵、攻擊；發(fā)現(xiàn)處理病毒。

4.信息安全審計(jì)系統(tǒng)的分類

主機(jī)審計(jì)：審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；統(tǒng)一安全策略，實(shí)現(xiàn)集中審計(jì)等。網(wǎng)絡(luò)審計(jì)：應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。數(shù)據(jù)庫審計(jì)：審計(jì)對(duì)數(shù)據(jù)庫的操作行為，如增、刪、改等，發(fā)現(xiàn)各種非法、違規(guī)操作。業(yè)務(wù)審計(jì)：對(duì)業(yè)務(wù)系統(tǒng)的操作行為進(jìn)行審計(jì)，如提交、修改業(yè)務(wù)數(shù)據(jù)等，滿足管理部門運(yùn)維管理和風(fēng)險(xiǎn)內(nèi)控需要。日至審計(jì)：審計(jì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)的日志，發(fā)現(xiàn)安全事件，保存證據(jù)。

5.信息安全審計(jì)系統(tǒng)的設(shè)計(jì)

主流的信息安全審計(jì)系統(tǒng)分為探針引擎和管理應(yīng)用平臺(tái)兩部分組成[2]。探針引擎的主要功能:監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)，并將數(shù)據(jù)臨時(shí)保存。將不同的數(shù)據(jù)流匯聚，形成一個(gè)應(yīng)用鏈接；根據(jù)設(shè)定的規(guī)則，對(duì)采集的數(shù)據(jù)進(jìn)行初步過濾，并對(duì)采集的數(shù)據(jù)進(jìn)行協(xié)議分析，提取內(nèi)容信息。如在Smtp，pop3協(xié)議中，提取郵件體和附件；將采集后的數(shù)據(jù)按規(guī)定格式存儲(chǔ)和傳輸。根據(jù)需要，進(jìn)行傳輸加密。管理應(yīng)用平臺(tái)是由web管理平臺(tái)+控制中心+數(shù)據(jù)庫組成的三層結(jié)構(gòu)。WEB管理控制平臺(tái)主要功能：業(yè)務(wù)邏輯展現(xiàn)，系統(tǒng)管理、日志管理、策略管理、報(bào)表管理、查詢統(tǒng)計(jì)分析?？刂浦行闹饕δ埽何募行闹饕怯糜谙到y(tǒng)報(bào)警原始文件存儲(chǔ)、文件讀?。唤y(tǒng)計(jì)中心主要是用于定期對(duì)系統(tǒng)關(guān)鍵詞報(bào)警信息、行為日志數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)、系統(tǒng)操作行為進(jìn)行分類統(tǒng)計(jì)；數(shù)據(jù)中心主要是實(shí)現(xiàn)數(shù)據(jù)庫與探針引擎之間的橋梁，實(shí)現(xiàn)策略下發(fā)、探針引擎接入控制、數(shù)據(jù)轉(zhuǎn)存功能。數(shù)據(jù)庫主要功能：用于結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)。

6.信息安全審計(jì)技術(shù)在工作中的基本應(yīng)用

HTTP敏感信息檢測(cè)：HTTP協(xié)議的網(wǎng)頁瀏覽、網(wǎng)頁發(fā)帖監(jiān)測(cè)，記錄中標(biāo)網(wǎng)頁的URL、瀏覽時(shí)間、源IP、目的IP、源端口、目的端口以及源、目的MAC地址，并還原、保存原始網(wǎng)頁文件到本地磁盤。通過IP地址、域名、時(shí)間范圍、協(xié)議類型等組合查詢查看報(bào)警信息并輸出報(bào)表，通過“查看文件”鏈接查看原始瀏覽網(wǎng)頁文件內(nèi)容，通過“查看詳細(xì)”鏈接監(jiān)測(cè)報(bào)警信息的數(shù)據(jù)來源、報(bào)警協(xié)議類型、文件存放路徑等信息。郵件敏感信息檢測(cè)：SMTP，POP3中的敏感信息監(jiān)測(cè)，記錄中標(biāo)網(wǎng)頁的信息摘要、關(guān)鍵詞、接收用戶、發(fā)送用戶、IP地址，并還原、保存原始郵件到本地磁盤，系統(tǒng)默認(rèn)收、發(fā)郵件端口分別為110、25?？梢酝ㄟ^接收用戶名、發(fā)送用戶名、時(shí)間范圍、IP地址查詢條件檢索郵件敏感信息并輸出報(bào)表，通過“查看文件”鏈接打開查看原始郵件主題、正文內(nèi)容，通過“查看詳細(xì)”鏈接監(jiān)測(cè)報(bào)警信息的數(shù)據(jù)來源、報(bào)警協(xié)議類型、文件存放路徑等信息。IP流量監(jiān)測(cè)：監(jiān)測(cè)IP主機(jī)數(shù)據(jù)流向、流量大小，按總計(jì)流量從高到低排序，并可清零流量重新統(tǒng)計(jì)。數(shù)據(jù)庫日志檢測(cè)：監(jiān)控并記錄用戶對(duì)數(shù)據(jù)庫服務(wù)器的讀、寫、查詢、添加、修改以及刪除等操作日志記錄，并記錄數(shù)據(jù)庫服務(wù)器及操作用戶的IP、登錄用戶名、MAC地址、操作時(shí)間等信息。

7.結(jié)語

如何保證網(wǎng)絡(luò)行為、信息內(nèi)容的合規(guī)性、合法性、健康性已成為網(wǎng)絡(luò)安全研究領(lǐng)域中的熱點(diǎn)問題。信息安全審計(jì)技術(shù)是對(duì)網(wǎng)絡(luò)行為進(jìn)行檢測(cè)與防范，也是對(duì)信息系統(tǒng)建設(shè)的重要補(bǔ)充，將繼續(xù)在信息安全中發(fā)揮重要的作用。

作者:張楠 單位:吉林省統(tǒng)計(jì)局?jǐn)?shù)據(jù)管理中心

參考文獻(xiàn):

[1]胡品輝.安全審計(jì)技術(shù)在地方財(cái)政信息系統(tǒng)中的應(yīng)用[D].廣東工業(yè)大學(xué).2008.

[2]張楠.某部門網(wǎng)絡(luò)安全管理方案的設(shè)計(jì)與實(shí)施[D].長(zhǎng)春工業(yè)大學(xué).2016.