网络审计
时间:10-02
整理:3721RD
点击:
信息系统的安全防护是一个高速发展的交叉学科,涉及到信息系统的管理方式、技术手段和人员行为等诸多方面。在技术防护方式上,最显著的一个转变就是由网络边缘型防护转变为以信息、数据为核心的内网防护,其中最具代表性、最活跃的领域就是网络系统综合审计监管。由于审计监管直接涉及网络的核心机密,国家在相关规定中对使用国外产品提出了明确的限制性政策。2003年前后,国内厂家开始从事该领域的开发研究,市场上出现了一些产品。这个阶段,信息系统的审计监管不论是在理论形态上还是在技术成熟度上都处于起步阶段,业内没有统一的国家标准或行业标准,研发企业大多处于自发状态,很多产品甚至保留着工程项目的特征。这些年对信息系统的审计监管的安全需求在提高,研发企业与终端用户之间的交流明显加强,研发企业在不同用户身上积累了较为丰富的需求内容,所采用的技术也逐渐完善、成熟。截止目前,国内在信息系统审计监管领域从事研发的单位已经比较多,具有一定影响力的产品也有十几种。目前市场上存在各种审计监管类产品,从用户的角度来看,这些产品存在诸多不尽如人意的地方。归根结底是企业、厂商对用户的需求不能准确把握,用户分类众多,需求各异。那么,用户的需求又有哪些呢?1.审计监管对象是用户行为广义的信息系统包含服务器、网络节点计算机、笔记本计算机、网络设备、存储设备、移动介质、自动化办公设备、通信线缆,甚至包括与系统相关的管理人员、用户。一般来说,审计监管系统的主要作用是对网络中用户的行为进行审计,本质上是要知道“什么时候发生了什么事,是谁干的”问题。从技术角度说,就是对用户在网络中的动作进行记录、审查,所以要以用户的行为作为核心对象。对单机的监管一直以来是管理和技术两方面都较有难度的问题。为了简化对全系统的管理,保持审计数据的统一格式,要求审计监管系统具有针对单机的特定设计。这种设计以摆渡方式分发策略、传递日志数据,能够与网络中系统保持一致,并对数据进行提取和分析,产生综合报告。2.完善角色设计和权限划分信息系统在管理角色设计上要符合国家的有关规定,至少要设计管理和审计两种角色。管理角色完成系统配置、策略制定分发的任务,审计角色完成对管理角色操作行为审计和用户操作行为审计的任务。出于对任务的需要,审计角色应当可以查看管理角色所做的系统配置状态、策略情况,但不能修改。相应地,审计角色在对审计数据进行清空、删除、编辑等动作时,需要管理角色的允许,以两把钥匙保证数据的可信性。审计监管系统一般由服务端、客户端、管理端组成,C/S模式居多。在系统管理上应采用分布式管理模式,同时要加入权限分级的设计,实现不同级别的管理角色有不同的管理范畴或管理区域。为了提高管理的安全性要求,可以限定管理计算机的IP地址等特征参数。3.使用用户身份认证模块审计监管系统要做到对网络环境中用户行为的审计,就需要把虚拟的账号与真实人员的身份一一对应,以避免假冒身份。一般说来,这个过程采用替换操作系统身份认证模块的方式实现。在众多的技术中以PKI体系为核心的,带证书USB KEY的技术相对成熟稳定,便于与信息系统中其他应用接口;同时其安全强度大,用户操作简便。4.灵活的策略管理、分发中心策略管理相当于审计监管系统的大脑。它设计的成败直接关系系统的易用性和功能性。先进的设计应当把策略与目标分离,可以实现计算机、账号、人员、设备的灵活组合,这样可以由用户根据需要定制出细粒度非常好的管理模版。在策略分发上要具有针对用户组、单个用户的能力,上下级策略要有继承和覆盖的逻辑关系。策略的下发以客户端主动获取为上,这样便于在防火墙遍地的网络中部署客户端。当然,为了兼顾系统反应速度,需要在获取时间上做好权衡。策略应当设计成可以单独导出备份,另外在传递上可以离线传递。5.获取客户端状态获取客户端的软硬件信息是监管的基础,一般来说包含设备信息、软件安装信息、进程信息、账号信息、网络连接状态信息等。其中需要特别指出的是,截取用户计算机操作界面、获取敲键信息等属于明令禁止的行为。6.监管控制客户端外设审计监管在一定程度体现在对用户计算机外设、进程、窗口、程序等的控制上。对安全信息系统而言,与其他无关网络物理隔离是最高定律。对存在外联能力的设备,如Modem、红外线设备、无线网卡设备、蓝牙设备等需要在默认状态下禁止使用。对这类设备的控制能力也是审计监管系统的一个基础。这个控制应当稳定、可靠,在计算机正常模式和安全模式下都有效,能够抵抗用户的违规启用动作。7.管理控制移动存储介质优盘、移动硬盘、MP3、智能手机等移动存储介质的普及对信息系统的安全带来巨大的隐患,通过部署审计监管系统可以实现对移动存储介质的注册、管理功能,并发挥两个作用,一是没注册的介质禁止或限制使用,二是注册的介质不可以在没装审计软件的计算机上使用。前者采用集中对介质进行注册的方式,注册后的介质在高级格式化后依然有效;后者依靠采用适当的加密过程,保证数据在离开客户端环境后无法解密,这种加密/解密的过程对用户而言是透明的,其底层可采用PKI证书中的公钥/私钥方式。系统应有对介质的管理界面,可以注销或启用注册的介质。要做到管理移动存储介质对各种数据操作的记录和审计。必要时可以配置策略,允许备份拷贝到移动介质上的文件以加密的形式保存,在启用一套合法的流程后可以打开该文件,以备审查。对移动介质的控制较好的是结合安全区域的设计,即支持安全域的划分,并且能够定义移动介质策略的有效范围。8.坚强的系统自身安全性设计审计监管系统自身要具有足够的安全性,服务器上的数据要采取必要的安全措施,尤其日志信息应具有良好的抗毁能力;客户端的进程、文件、注册表应隐藏,设置守护进程或采用重启机制,防止用户的恶意中止。9. 通用性良好的数据存储模式安全信息系统的审计日志保存期可能较长,要保证数据以通用的数据格式存储,即使脱离软件系统本身,也有办法读取数据。避免日志数据对软件系统的绝对依赖。10.产生准确的审计信息审计监管系统最根本的作用就是生成并获取审计信息,这包括用户违规信息、移动介质文件操作信息、打印机操作行为、网络访问痕迹等等。所产生的信息要求准确、明晰,既要不漏审又要不产生多余的垃圾信息。这个要求看起来简单,但难做好。11.生成数据提取、挖掘和报表审计数据产生后应可以方便地查询,可以灵活定义组合查询的各种条件,如时间段、IP地址、账号、操作类型等等。为了方便起见,安全信息系统的审计系统应具备数据挖掘、统计的能力,可以根据需要产生某种报表;可以对相关事件进行一定程度的关联分析,统计某类型数据、某安全域范围或某用户的审计信息,可以由管理员定制、产生审计报告。报告的格式形式、包含的内容项目可以相对灵活地定制。12.具有良好性能、兼容性、稳定性审计监管系统尤其是客户端软件应具有良好的兼容性、稳定性,可以在Windows XP、Windows Servers2000、等系统中运行,不与常用的各类工具软件、应用软件冲突,软件占用的系统资源较低,不影响用户正常使用计算机。框架设计如上所述,审计监管系统功能要求很复杂,没有一个统一的、合理的框架设计是不可行的。要使整个系统功能满足设计需求,有必要采用一体化的设计、合理规划功能模块之间的内在关系,保证系统在功能增长后逻辑依然井然有序,模块之间关系不乱,性能和稳定性不受影响。在需求分析的基础上,可以对审计监管系统的技术框架规划如附图所示。框架图以比较宏观的方式表述了审计监管系统的总体功能需要和主要组成部分,以及各组件之间的逻辑关系。从框架图中可以看出策略管理中心在整个系统中处于核心地位,由它实现系统中各部件的沟通,它是一个系统设计的灵魂所在。好的策略管理、分配模式可实现用户、账号、计算机、设备之间的高度灵活配置组合,能够完成想得到的精细控制,满足不同用户的安全需求。在实际设计中策略应完全独立于将应用到的目标对象,可以借鉴Windows域组策略的实现模式。综合审计系统客户端组件中PKI公钥/私钥体系是实现安全域划分或计算机分组、数据加/解密、身份认证和访问控制的基础,而且还是系统自身安全性的一个保障,如可以采用证书技术在管理端、服务端、客户端之间进行身份鉴别和数据传输加密。在安全域和设备控制的共同作用下可以实现对移动存储介质的有效管理,实现用户需要的双向管理要求。在综合审计系统中最具技术挑战性的是对获取的数据进行提炼、分析、统计、汇总,最终形成用户需要的各种报表,这个功能的强弱往往可以反映出设计人员对审计本质的认识程度和开发队伍的技术实力。由上述可见,安全信息系统对综合审计监管的技术需求是很复杂的,它与一般的商业范畴系统审计有很大的不同,需要业内企业、厂商与用户共同分析需求、规划管理流程和操作流程。在产品上需要有一个科学、合理、完善的技术框架基础,以模块的方式实现各种复杂的功能,达到保证信息系统安全的最终目标。什么是信息系统审计?信息系统审计(IS audit)目前还没有公认通用的定义。1985年,日本通产省情报处理开发协会信息系统审计委员会认为:信息系统审计是由独立于审计对象的信息系统审计师,站在客观的立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。”这一定义既包括信息系统的外部审计的鉴证目标——即对被审计单位的信息系统保护资产安全及数据完整的鉴证,又包含内部审计的管理目标——即不仅包括被审计信息系统保护资产安全及数据完整,而且包括信息系统的有效性目标。信息系统审计监管技术发展新方向信息系统审计监管技术的发展趋势将会朝着标准化、技术综合化、与信息系统管理方式深度关联化等几个方向发展。标准化是指信息系统审计在监管的基础项目中逐渐形成,针对每个项目可对比的技术指标逐渐统一的过程。例如,对目标计算机敏感外设的禁用、限制性使用能力已经成为监管系统的一个基本要求。为了实现审计监管的能力,审计监管系统与网络中其他安全技术的关联越来越紧密。在更大程度上审计监管会更加以其他技术为基础,审计监管本身的技术更加趋于综合化,将和其他技术贯穿在同一主线。例如,为了实现对用户行为的审计,需要有效地区别用户,这就需要用户身份认证系统的支持;为了审计用户行为是否越权,需要有效地区分用户的权限,就这需要用户访问控制系统的支持。信息系统的安全程度在很大程度上取决于对系统的管理方式。这个方式是否有效、合理,是否能够做到管理闭环将决定系统的安全级别,同时也标志着系统管理的成熟度。随着系统管理方式趋于安全化,信息系统的审计监管系统的功能也逐渐强大,将逐渐成为一个管理中心。其他大量的安全技术、管理流程、操作步骤将以它为核心,这个系统的重要性将显著提高,它与整个信息系统的管理方式更加紧密地结合在一起。