淺析運(yùn)營支撐系統(tǒng)的業(yè)務(wù)安全審計(jì)實(shí)現(xiàn)機(jī)制
2007/01/26
安全審計(jì),其實(shí)應(yīng)該是信息系統(tǒng)建設(shè)中不可分割的一部分��,是信息系統(tǒng)安全建設(shè)中最關(guān)鍵的一個(gè)環(huán)節(jié)����,是信息系統(tǒng)安全運(yùn)行的“最終守護(hù)者”。
但是����,在相當(dāng)長一段時(shí)間內(nèi),運(yùn)營商將更多的注意力放在了內(nèi)外隔離�����、病毒防護(hù)���、網(wǎng)絡(luò)入侵防范等領(lǐng)域�����;在涉及信息安全建設(shè)時(shí)�����,似乎就是防火墻�、入侵檢測、病毒防護(hù)這“老三篇”���。
現(xiàn)實(shí)情況是:當(dāng)運(yùn)營商的運(yùn)營支撐系統(tǒng)變得越來越龐大,當(dāng)運(yùn)營商傳統(tǒng)的手工作業(yè)越來越多地被計(jì)算機(jī)替代����,當(dāng)運(yùn)營商越來越疏遠(yuǎn)鋼筆、紙張���、保險(xiǎn)箱�、會(huì)計(jì)賬簿���,運(yùn)營商的擔(dān)心越來越多����。同時(shí)�����,也實(shí)際出現(xiàn)了越來越多的安全事故。
誰動(dòng)了我的數(shù)據(jù)��?誰竊取了我的財(cái)富����!
這個(gè)問題一直困擾這運(yùn)營商核心業(yè)務(wù)系統(tǒng)的建設(shè)者、管理者����、使用者。
隨著“薩班斯(SOX)法案”的實(shí)施���,這個(gè)問題一下變得十分的清晰和嚴(yán)峻:內(nèi)審和內(nèi)控���!原來那個(gè)一直讓運(yùn)營商惴惴不安的威脅來自于內(nèi)部!
如果說通過實(shí)施防火墻��、入侵檢測�����、病毒防護(hù)技術(shù)使得信息系統(tǒng)具備了相當(dāng)?shù)牡钟鶃碜酝獠康耐{的能力���,那么�,當(dāng)運(yùn)營商進(jìn)一步關(guān)注“內(nèi)控”時(shí),運(yùn)營商應(yīng)該采樣什么樣的技術(shù)呢�����?
答案是“內(nèi)部管理”和“安全審計(jì)”�����,并應(yīng)當(dāng)將更多精力圍繞核心業(yè)務(wù)系統(tǒng)來展開����。
下面��,首先考察一下主流安全審計(jì)技術(shù)的基本實(shí)現(xiàn)原理����。
主流安全審計(jì)技術(shù)淺析
就目前主流安全審計(jì)產(chǎn)品的實(shí)現(xiàn)形態(tài)上來看,基本的技術(shù)有兩類:日志收集型和網(wǎng)絡(luò)探測型�����。
基于日志收集技術(shù)的審計(jì)
這是較早的�、較為傳統(tǒng)的審計(jì)方式��,主要收集并分析各種日志��。登入����、登出���、添加��、刪除�、修改��、更新等活動(dòng)�����,應(yīng)用日志����、操作系統(tǒng)日志、數(shù)據(jù)庫日志����、網(wǎng)絡(luò)設(shè)備的日志等�。網(wǎng)絡(luò)設(shè)備及防火墻日志操作系統(tǒng)/應(yīng)用系統(tǒng)日志����,Syslog類工具、安全事件收集類工具���。
基于日志收集類產(chǎn)品的工作示意圖如下:
采樣這種技術(shù)的日志審計(jì)產(chǎn)品��,有著以下幾個(gè)關(guān)鍵技術(shù):
1�����、日志信息的獲取
某些系統(tǒng)具可基于某種通用的協(xié)議����,如Syslog協(xié)議�、SNMP協(xié)議等�����,向外傳遞日志信息����;審計(jì)系統(tǒng)只要兼容這些協(xié)議�����,就可以提取到日志信息���。
某些系統(tǒng),尤其是大量的數(shù)據(jù)庫系統(tǒng)�����、應(yīng)用系統(tǒng)����,沒有支持通用的協(xié)議來向外傳遞日志信息,這就要求審計(jì)系統(tǒng)能通過某種定制的方式去獲取日志信息�����。
在某些系統(tǒng)中�,本身就沒有完善的日志信息,比如:數(shù)據(jù)庫系統(tǒng)在沒有啟動(dòng)自審計(jì)功能的情況下����,幾乎就沒有任何實(shí)質(zhì)性的審計(jì)信息,這就要求審計(jì)系統(tǒng)能通過其它方式來形成日志信息,并傳遞到審計(jì)系統(tǒng)����。
2、日志信息的格式化和歸并:
各種系統(tǒng)提供的日志信息的格式可能是千奇百怪的��,包含的內(nèi)容也沒有統(tǒng)一的標(biāo)準(zhǔn)�����,這就要求審計(jì)系統(tǒng)具備相當(dāng)?shù)募嫒菽芰��,能夠(qū)Χ喾N格式的日志信息進(jìn)行綜合的處理����。
在對原始日志信息進(jìn)行格式化處理的基礎(chǔ)上,基于一些基本的審計(jì)準(zhǔn)則����,對這些原始的信息進(jìn)行歸并處理,集中存儲到審計(jì)信息數(shù)據(jù)庫中��。
3����、基于收集的日志信息�����,建立有效的分析模型:
日志信息浩如煙海,審計(jì)系統(tǒng)必須提供一個(gè)有效的機(jī)制對這些信息進(jìn)行匹配和過濾�,如抽絲撥繭般從中分析出核心的信息,讓使用者能迅速����、直觀地獲取到他所關(guān)心的信息。
實(shí)際上�,上面談及的三個(gè)關(guān)鍵技術(shù),也是運(yùn)營商在內(nèi)控審計(jì)工作實(shí)施中�����,要對日志型審計(jì)系統(tǒng)進(jìn)行重點(diǎn)考察的三個(gè)方面���。
基于網(wǎng)絡(luò)探測技術(shù)的審計(jì)
利用Sniffer技術(shù)獲取通信數(shù)據(jù)并進(jìn)行會(huì)話重組和協(xié)議分析���,對網(wǎng)絡(luò)和應(yīng)用數(shù)據(jù)進(jìn)行記錄、回放和分析�,從中發(fā)現(xiàn)潛在威脅和事件,對于違反安全策略和規(guī)則的行為�����,根據(jù)安全策略發(fā)送Reset包主動(dòng)中斷網(wǎng)絡(luò)連接。
基于網(wǎng)絡(luò)探測類產(chǎn)品的工作示意圖如下:
采樣這種技術(shù)的網(wǎng)絡(luò)審計(jì)產(chǎn)品�,有著以下幾個(gè)關(guān)鍵技術(shù):
1、通信數(shù)據(jù)的獲取
網(wǎng)絡(luò)審計(jì)產(chǎn)品必須通過某種方式獲取原始的通信數(shù)據(jù)����,可以有兩種方式:
1) 在目標(biāo)系統(tǒng)中安裝Sniffer軟件,對通信數(shù)據(jù)進(jìn)行偵聽�����,并將偵聽來的數(shù)據(jù)傳遞給網(wǎng)絡(luò)審計(jì)產(chǎn)品進(jìn)行進(jìn)一步的分析和處理����;
2) 利用網(wǎng)絡(luò)監(jiān)聽技術(shù),直接獲取網(wǎng)絡(luò)交換機(jī)上的通信流量���,進(jìn)行分析和處理��。
目前���,絕大部分的網(wǎng)絡(luò)審計(jì)產(chǎn)品均采樣第二種方式。
2�、對各種通信協(xié)議的解析
網(wǎng)絡(luò)審計(jì)的基本原理就是通過對通信數(shù)據(jù)的重組和分析���,恢復(fù)出應(yīng)用系統(tǒng)的應(yīng)用層數(shù)據(jù)�����,然后對這些應(yīng)用數(shù)據(jù)進(jìn)行記錄����、匹配和響應(yīng),因此�����,一個(gè)網(wǎng)絡(luò)審計(jì)產(chǎn)品往往要對若干種通信協(xié)議進(jìn)行解析��,并且具備一定的協(xié)議解析的擴(kuò)展能力���,能夠針對某些特定的通信協(xié)議���,迅速地?cái)U(kuò)展支持能力。
例如��,針對Unix系統(tǒng)的常用維護(hù)協(xié)議(Telnet�����、FTP、SSH等)進(jìn)行解析��,對數(shù)據(jù)庫操作協(xié)議(SQL協(xié)議)進(jìn)行解析��,對B/S或C/S類型的業(yè)務(wù)系統(tǒng)進(jìn)行解析����。
3、提供靈活��、高效的匹配模型和方法
網(wǎng)絡(luò)審計(jì)系統(tǒng)需要面臨的幾乎是所有底層的通信數(shù)據(jù)�,這這些信息量遠(yuǎn)遠(yuǎn)高于日志審計(jì)產(chǎn)品所面臨的信息量,這就要求網(wǎng)絡(luò)審計(jì)系統(tǒng)必須提供靈活�、高效的匹配模型,在所解析恢復(fù)出來的海量的應(yīng)用數(shù)據(jù)中�����,定位關(guān)鍵的信息�����,并對這些信息進(jìn)行合理的組織和存儲���。
同樣��,上述三個(gè)關(guān)鍵技術(shù)�����,也成為運(yùn)營商考察一個(gè)網(wǎng)絡(luò)審計(jì)產(chǎn)品的三個(gè)主要方面����。
兩種審計(jì)技術(shù)的分析和比較
由于技術(shù)思路的不同���,使得日志審計(jì)產(chǎn)品和網(wǎng)絡(luò)審計(jì)產(chǎn)品在很多方面存在著區(qū)別����,下表給出了這兩類產(chǎn)品的比較和區(qū)別:
由于基于日志收集的審計(jì)系統(tǒng)原則上是基于目標(biāo)系統(tǒng)的原始日志信息進(jìn)行加工���、整理�,因此,這類審計(jì)產(chǎn)品并不會(huì)增加審計(jì)信息量���,它更關(guān)注的是如何對原有的日志信息進(jìn)行格式化和歸并����,基于某種審計(jì)分析模型��,提煉出核心的審計(jì)信息��。
從這個(gè)層面講�,基于日志收集的審計(jì)系統(tǒng)的功能難以保障系統(tǒng)的安全,而且也無法滿足事后的偵察和取證應(yīng)用�����。并且安全審計(jì)并非日志功能的簡單改進(jìn)��,也并非等同主機(jī)入侵檢測�,不能夠僅僅通過網(wǎng)絡(luò)抓包、還原就能夠達(dá)到審計(jì)效果�����。
基于網(wǎng)絡(luò)探測的審計(jì)系統(tǒng)原則上可以獲取所有的通信流量���,可以審計(jì)記錄所有用戶關(guān)心的內(nèi)容�,因此,在審計(jì)信息量方面����、審計(jì)粒度方面較基于日志收集的審計(jì)系統(tǒng)有很好的擴(kuò)充。
但是�,基于網(wǎng)絡(luò)探測的審計(jì)系統(tǒng)卻面臨如何解析多種通信協(xié)議,尤其是業(yè)務(wù)系統(tǒng)通信協(xié)議的難題���,甚至在某些情況下,這類審計(jì)系統(tǒng)顯得有些力不從心��,比如:基于Windows圖形界面����、X-Window圖形界面的操作,對這類審計(jì)系統(tǒng)而言��,就難以實(shí)現(xiàn)有效的操作審計(jì)�。
正是因?yàn)檫@兩種審計(jì)技術(shù)都存在各自的優(yōu)缺點(diǎn),因此��,出現(xiàn)了綜合采樣兩種技術(shù)的“綜合型審計(jì)”的實(shí)際安全需求�。以下將結(jié)合在運(yùn)營商支撐系統(tǒng)領(lǐng)域的一些審計(jì)項(xiàng)目經(jīng)驗(yàn)��,重點(diǎn)介紹這方面的技術(shù)實(shí)現(xiàn)���。
支撐系統(tǒng)安全審計(jì)需求
運(yùn)營商業(yè)務(wù)支撐系統(tǒng)發(fā)展至今,應(yīng)用系統(tǒng)����、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備�、操作系統(tǒng)、數(shù)據(jù)庫由諸多的供應(yīng)商提供�����,涉及多層次�����、多廠家��、多型號�����、多版本。數(shù)據(jù)方面涵蓋客戶資料�����、營業(yè)��、計(jì)費(fèi)�、客服、管理諸多方面���。在人員方面涉及各個(gè)系統(tǒng)供應(yīng)商的技術(shù)支持人員�、現(xiàn)場開發(fā)人員����,內(nèi)部系統(tǒng)管理人員�,業(yè)務(wù)系統(tǒng)的使用人員。
結(jié)合現(xiàn)狀���,以日志形式檢查操作行為已遠(yuǎn)遠(yuǎn)不能滿足關(guān)鍵業(yè)務(wù)支撐系統(tǒng)的發(fā)展需求����。對各個(gè)系統(tǒng)缺乏集中統(tǒng)一的訪問審計(jì)���,無法進(jìn)行綜合分析�,不能及時(shí)發(fā)現(xiàn)非法、違規(guī)行為��。需要通過安全審計(jì)避免計(jì)費(fèi)系統(tǒng)中的計(jì)費(fèi)信息不被非法修改�;保障核心客戶的信息是被拷貝、盜����;減少業(yè)務(wù)使用者����、系統(tǒng)管理員、供應(yīng)商越權(quán)訪問等問題��。
從實(shí)際運(yùn)維來看�����,內(nèi)部系統(tǒng)維護(hù)人員�����、集成商���、軟件開發(fā)商均需要登錄主機(jī)�����、數(shù)據(jù)庫進(jìn)行系統(tǒng)維護(hù)和故障診斷��。開發(fā)商需要通過遠(yuǎn)程登錄���、本地登錄進(jìn)行軟件系統(tǒng)的開發(fā)���、調(diào)試、故障診斷�。可能帶來如下問題:越權(quán)訪問或越權(quán)修改系統(tǒng)信息����、違規(guī)和誤操作、違反操作流程和管理規(guī)范����、內(nèi)外勾結(jié)獲取企業(yè)核心機(jī)密信息�����。
這些問題如果不能有效地解決,將給系統(tǒng)留下很大的安全隱患�。面對如此復(fù)雜的支撐系統(tǒng),運(yùn)營商最需要解決的問題就是高效的監(jiān)督和管理�。需要采用可用技術(shù)保證管理規(guī)范、操作規(guī)范的執(zhí)行力度��,加強(qiáng)內(nèi)部系統(tǒng)管理和供應(yīng)商網(wǎng)絡(luò)行為的監(jiān)督�;進(jìn)一步規(guī)避BOSS、經(jīng)分����、網(wǎng)管中面臨的來自設(shè)備層面、系統(tǒng)層面��、應(yīng)用層面�、管理層面的安全風(fēng)險(xiǎn)。
《薩班斯法案》第404條款要求進(jìn)行評價(jià)的內(nèi)部控制包括針對與會(huì)計(jì)報(bào)表中所有重要科目和信息披露相關(guān)的所有會(huì)計(jì)認(rèn)定所實(shí)施的內(nèi)部控制�����,包括:
主要交易是如何啟動(dòng)���、授權(quán)�����、記錄���、處理和報(bào)告在財(cái)務(wù)報(bào)告中���;
用以防范或找出與重要賬戶、交易種類和披露相關(guān)的錯(cuò)誤或舞弊的內(nèi)部控制措施�;
其它重要內(nèi)控措施所依賴的內(nèi)部控制,包括一般性控制�����,例如信息系統(tǒng)控制���;
非經(jīng)常性����、非系統(tǒng)交易或財(cái)務(wù)估計(jì)的內(nèi)控措施�����;
財(cái)務(wù)報(bào)表關(guān)賬和匯總過程中的內(nèi)控措施等等��。
圍繞《薩班斯法案》第404條款的基本要求��,結(jié)合運(yùn)營商的業(yè)務(wù)支撐系統(tǒng)運(yùn)維特點(diǎn)�,面向業(yè)務(wù)系統(tǒng)的安全審計(jì)系統(tǒng)一般應(yīng)具備以下功能:
針對主機(jī)、數(shù)據(jù)庫��、安全設(shè)備�、應(yīng)用多個(gè)層次的操作,UNIX命令�、數(shù)據(jù)庫SQL、安全設(shè)備Syslog�、應(yīng)用日志的細(xì)粒度審計(jì);其中BOSS所有重要操作����,特別是對財(cái)務(wù)報(bào)表有關(guān)的操作留有系統(tǒng)日志。
重要數(shù)據(jù)庫操作的審計(jì)主要包括數(shù)據(jù)庫進(jìn)程運(yùn)轉(zhuǎn)情況�、繞過應(yīng)用軟件直接操作數(shù)據(jù)庫的違規(guī)訪問行為、對數(shù)據(jù)庫配置的更改�、數(shù)據(jù)備份操作和其他維護(hù)管理、對重要數(shù)據(jù)的訪問和更改�、數(shù)據(jù)完整性等。
重要應(yīng)用系統(tǒng)的審計(jì)主要針對BOSS����、經(jīng)分、網(wǎng)管等�����。審計(jì)內(nèi)容包括:業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)情況、用戶開設(shè)/中止等重要操作��、授權(quán)更改操作����、數(shù)據(jù)提交/處理/訪問/發(fā)布操作、業(yè)務(wù)流程等內(nèi)容����。
提供審計(jì)記錄、告警���、實(shí)時(shí)阻斷多種控制措施�,對于特別關(guān)鍵的業(yè)務(wù)����、操作,提供原始記錄和審計(jì)憑證����;
提供命令查詢、會(huì)話查詢��、安全策略查詢等綜合查詢和報(bào)表,并可以通過“回放”對記錄的TCP會(huì)話進(jìn)行事后重現(xiàn)���;
多種審計(jì)/查詢手段和審計(jì)報(bào)告,能夠根據(jù)需要自行定義審計(jì)報(bào)表����,以多種方式獲取系統(tǒng)的相關(guān)審計(jì)信息。
運(yùn)行維護(hù)規(guī)范化�����、制度化�,關(guān)鍵系統(tǒng)的維護(hù)操作的運(yùn)行狀況、使用狀況可視化���。
確保原有系統(tǒng)的正常運(yùn)轉(zhuǎn)��,盡量減少對原系統(tǒng)的擾動(dòng)��,盡可能使系統(tǒng)做最小修改����,并對系統(tǒng)性能產(chǎn)生最小影響����。
因此�����,針對運(yùn)營支撐系統(tǒng)中的安全設(shè)備和網(wǎng)絡(luò)設(shè)備�、應(yīng)用系統(tǒng)和運(yùn)行狀況進(jìn)行全面的收集���、分析���、評估是保障網(wǎng)絡(luò)安全的重要手段。安全審計(jì)應(yīng)當(dāng)包括多方面��、多層次����,不是靠一套簡單產(chǎn)品就能夠全面覆蓋,需要建立實(shí)時(shí)����、集中、可視化審計(jì)�����,有效/及時(shí)的審查系統(tǒng)究竟是不是違背安全策略,并及時(shí)定位安全隱患�。
綜合業(yè)務(wù)安全審計(jì)系統(tǒng)
結(jié)合目前主流安全審計(jì)系統(tǒng)的現(xiàn)狀,可以提出“綜合審計(jì)”概念�,建立面向運(yùn)營商核心業(yè)務(wù)系統(tǒng),面向業(yè)務(wù)邏輯���、數(shù)據(jù)庫與操作命令的業(yè)務(wù)安全審計(jì)系統(tǒng)。采用的“IP數(shù)據(jù)捕獲+日志收集+定制Agent”的混合審計(jì)機(jī)制���。將審計(jì)系統(tǒng)的職能定位為業(yè)務(wù)安全審計(jì)�����,更多層面體現(xiàn)在服務(wù)于核心業(yè)務(wù)系統(tǒng)的定制化審計(jì)和報(bào)表功能��。
IP包捕獲:工作在核心交換機(jī)上�����,監(jiān)聽來自外部的遠(yuǎn)程操作系統(tǒng)����、數(shù)據(jù)庫系統(tǒng),以及BS模式的應(yīng)用層面的訪問�����,能夠記錄�����、告警��、統(tǒng)計(jì)和分析���;
日志收集:主要用于安全設(shè)備�����、網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備�����、數(shù)據(jù)庫����,能夠設(shè)備的日志����,解決直接在服務(wù)器上面��、不經(jīng)過網(wǎng)絡(luò)的訪問記錄和日志��,形成綜合報(bào)告�����。
定制Agent:針對需求定制專門采集引擎��,如批處理程序,由應(yīng)用層記錄下來日志�����,通過采集Agent去定時(shí)抓去過來���,進(jìn)行統(tǒng)一展現(xiàn)���。
綜合業(yè)務(wù)安全審計(jì)系統(tǒng)采用多重監(jiān)測技術(shù)復(fù)用來保障審計(jì)信息收集的完整性、分析數(shù)據(jù)源的全面性和結(jié)果的準(zhǔn)確性����,避免通過網(wǎng)絡(luò)遠(yuǎn)程訪問或直接在服務(wù)器后面接線訪問的弊端���,同時(shí)避免在服務(wù)器上加裝更多處理引擎導(dǎo)致服務(wù)器壓力增多、避免開啟更多數(shù)據(jù)庫記錄日志對數(shù)據(jù)庫的壓力���。
綜合業(yè)務(wù)安全審計(jì)系統(tǒng)在運(yùn)營支撐系統(tǒng)的部署示意圖如下:
業(yè)務(wù)安全審計(jì)系統(tǒng)針對具體應(yīng)用平臺(DB/OS)����、業(yè)務(wù)系統(tǒng)(BOSS/經(jīng)分/網(wǎng)管)的操作命令����、業(yè)務(wù)邏輯進(jìn)行審計(jì)。針對應(yīng)用需求�,如FTP/Telnet系統(tǒng)維護(hù)、SQL數(shù)據(jù)庫維護(hù)�,制定應(yīng)用級別的和審計(jì)策略,使得系統(tǒng)能針對具體的應(yīng)用或業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)命令級別���、訪問邏輯級別的審計(jì)����。對應(yīng)用系統(tǒng)層���、操作系統(tǒng)層及數(shù)據(jù)庫層的與財(cái)務(wù)報(bào)表相關(guān)的重要文件��、目錄的關(guān)鍵操作進(jìn)行審計(jì)記錄���,這包括支持對應(yīng)用系統(tǒng)��、操作系統(tǒng)����、數(shù)據(jù)庫系統(tǒng)�����、中間件的日志的收集�。
業(yè)務(wù)安全審計(jì)系統(tǒng)通過對IP報(bào)的分析實(shí)現(xiàn)應(yīng)用級的審計(jì),基礎(chǔ)應(yīng)用策略庫提供了基于IP報(bào)的安全策略的制定功能�����?梢灾苯泳庉嫲踩呗裕部稍诜@的IP報(bào)的基礎(chǔ)上��,學(xué)習(xí)提煉出符合需要的安全策略�。并可以通過設(shè)置來完成對通用協(xié)議,如WWW���、POP3��、SMTP等通信的過程的審計(jì)�。
根據(jù)不同的應(yīng)用協(xié)議或應(yīng)用系統(tǒng)可以開發(fā)具備應(yīng)用特征、行業(yè)特征的應(yīng)用策略庫�����,如針對BOSS��、BI策略模塊是綜合業(yè)務(wù)安全審計(jì)系統(tǒng)中最具特色���、最具價(jià)值的模塊��。
業(yè)務(wù)安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)應(yīng)當(dāng)包括四個(gè)層次:審計(jì)信息產(chǎn)生層�����,審計(jì)信息存儲層���、審計(jì)信息分析層和審計(jì)信息展現(xiàn)層。
審計(jì)信息產(chǎn)生層
產(chǎn)生層包括所有日志產(chǎn)生源����。每個(gè)產(chǎn)生源都通過執(zhí)行日志產(chǎn)生程序或網(wǎng)絡(luò)探測生成日志數(shù)據(jù)�����,日志集中存儲到審計(jì)服務(wù)器中��。包括計(jì)費(fèi)���、帳務(wù)、營業(yè)��、ETL過程���,ST過程�����,OLAP過程���,Web訪問���、數(shù)據(jù)庫訪問��、OS訪問功能日志等���。具體包括如下幾類事件:
前端應(yīng)用:進(jìn)行業(yè)務(wù)辦理���、多維分析、數(shù)據(jù)挖掘��、即席查詢等操作時(shí)��,記錄操作的對象���,如訪問了哪個(gè)報(bào)表�����,同時(shí)要記錄操作者的身份�����,帳號����。
OLAP及關(guān)系數(shù)據(jù)庫:結(jié)合數(shù)據(jù)庫系統(tǒng)身份設(shè)置不同的操作審計(jì)策略��。最細(xì)粒度為SQL協(xié)議集所定義的操作命令及其對象等。根據(jù)基本SQL命令和存儲過程進(jìn)行組合�����,形成一個(gè)有實(shí)際意義的訪問過程�����。
Unix主機(jī)審計(jì):對Telnet���、FTP����、RCP�����、rlogin遠(yuǎn)程登錄協(xié)議進(jìn)行操作審計(jì)�����。預(yù)先設(shè)定好需要審計(jì)記錄或禁止的關(guān)鍵命令���、敏感操作過程�;審計(jì)的最細(xì)粒度為上述協(xié)議的操作命令及其對象�。
用戶登錄事件:主要記錄登錄的用戶帳戶、登錄日期時(shí)間���、登錄的地址(計(jì)算機(jī)或IP地址)和操作結(jié)果(成功或失����。�����。
用戶注銷事件:主要記錄注銷的用戶帳戶����、注銷日期時(shí)間和注銷的方式(正常注銷或其他)。對于管理員強(qiáng)制注銷帳戶的情形���,還須記錄執(zhí)行操作的管理員帳戶���。
用戶管理事件:對于用戶名的創(chuàng)建,主要記錄新增的用戶名��、事件發(fā)生的日期時(shí)間和執(zhí)行操作的管理員帳戶�����。對于用戶名的刪除,主要記錄被刪除的用戶名����、事件發(fā)生的日期時(shí)間和執(zhí)行操作的管理員帳戶。對于口令的更換��,主要記錄嘗試修改口令的帳戶�����、事件發(fā)生的日期時(shí)間和操作的結(jié)果(成功或失����。τ诳诹畹闹刂���,主要記錄被重置口令的帳戶���、事件發(fā)生的日期事件和執(zhí)行重置操作的管理員帳戶。
策略更改事件:涉及添加用戶或更改用戶屬性的事件發(fā)生����,主要記錄添加(或更改)的時(shí)間和各個(gè)用戶的(更改前后)屬性����。系統(tǒng)管理員對影響系統(tǒng)性能的參數(shù)進(jìn)行調(diào)整時(shí)�,記錄相應(yīng)參數(shù)���。
審計(jì)信息存儲層
日志存儲層存儲由日志產(chǎn)生層產(chǎn)生的日志數(shù)據(jù)��。日志數(shù)據(jù)的傳輸可以是實(shí)時(shí)的或接近實(shí)時(shí)的����,或者是基于時(shí)間段或數(shù)據(jù)量決定的批量傳輸��。日志數(shù)據(jù)采用集中存儲的方式存儲在日志服務(wù)器中���。日志數(shù)據(jù)集中存儲在日志服務(wù)器中�����。在將數(shù)據(jù)存入審計(jì)日志服務(wù)器之前必須保證數(shù)據(jù)的真實(shí)性和完整性��。
日志存儲包括3個(gè)方面:
應(yīng)用程序本地存儲����,例如批處理程序?qū)懕镜厝罩疚募偃绮僮飨到y(tǒng)產(chǎn)生的日志����。
日志接收服務(wù)器的本地存儲,例如應(yīng)用程序?qū)懕镜厝罩镜耐瑫r(shí)��,給日志服務(wù)器發(fā)送過了的日志��,該日志發(fā)送者不能更改���。
日志數(shù)據(jù)庫���,存儲格式化的日志,便于進(jìn)行統(tǒng)計(jì)分析�、審計(jì)。
審計(jì)信息分析層
分析層通過監(jiān)測和查看日志數(shù)據(jù)���,自動(dòng)分析日志����,檢測到可能存在的攻擊和威脅時(shí)報(bào)警���,并且提供生成審計(jì)報(bào)告的功能�。日志接收服務(wù)器接收日志后,傳給日志分析服務(wù)器��,進(jìn)行檢測分析���。
授權(quán)用戶可以修改規(guī)則集和可審計(jì)事件集����。系統(tǒng)將收集到的數(shù)據(jù)與規(guī)則集中定義的規(guī)則進(jìn)行比較����,如果發(fā)現(xiàn)異常��,則可識別出存在潛在的安全侵害�����。系統(tǒng)對定義的可審計(jì)事件的出現(xiàn)或累計(jì)出現(xiàn)進(jìn)行檢測����,如果發(fā)現(xiàn)異常,則可識別出潛在的安全侵害�。
用戶可以通過制定符合業(yè)務(wù)特征的規(guī)則,然后將多個(gè)規(guī)則進(jìn)行匯總���、編輯和命名��,形成具備某種業(yè)務(wù)特征的規(guī)則寫入用戶自定義的規(guī)則庫����。這樣,用戶在針對某個(gè)特定用戶制定審計(jì)策略時(shí)����,可以直觀地使用自命名的規(guī)則進(jìn)行設(shè)置,方便了各種策略的制定和查詢�。
審計(jì)信息展現(xiàn)層
業(yè)務(wù)安全審計(jì)系統(tǒng)可以提供多種級別審計(jì)記錄,基于時(shí)間���、用戶�、IP地址�����、服務(wù)���、命令����、策略的查詢手段,能迅速地從審計(jì)記錄中獲取關(guān)鍵信息��。例如:登錄/登出信息�、關(guān)鍵操作信息、原始數(shù)據(jù)等����,并提供相應(yīng)的查詢手段從審計(jì)記錄中獲取相關(guān)的信息。針對系統(tǒng)身份��、操作命令���、關(guān)鍵操作等提供查詢手段,管理員輸入這些信息后�����,能查詢到相關(guān)的內(nèi)容�,并可以進(jìn)一步跟蹤到更詳細(xì)的審計(jì)記錄。
利用Web展示技術(shù)����,實(shí)現(xiàn)對審計(jì)日志的多維分析和其他分析,可以產(chǎn)生圖形�����、報(bào)表等類型的分析結(jié)果。業(yè)務(wù)審計(jì)系統(tǒng)提供審計(jì)報(bào)表功能���,系統(tǒng)管理員可以根據(jù)自己關(guān)心的內(nèi)容設(shè)置審計(jì)報(bào)表的輸出�����。由于綜合業(yè)務(wù)安全審計(jì)系統(tǒng)針對網(wǎng)絡(luò)操作提供了多種層次的協(xié)議解析�,在生成審計(jì)報(bào)表時(shí)�����,可以定義不同層次的輸出內(nèi)容��。
例如�,針對Unix系統(tǒng)的登錄/登出、關(guān)鍵命令的執(zhí)行情況��、流量�、TCP會(huì)話數(shù)等自動(dòng)生成審計(jì)報(bào)表。通過設(shè)置合理的審計(jì)報(bào)表����,管理員可以迅速����、直觀地了解到系統(tǒng)地運(yùn)行情況�、使用情況;如果發(fā)現(xiàn)異常�����,可以利用綜合業(yè)務(wù)安全審計(jì)系統(tǒng)的查詢��、分析����、跟蹤功能,定位出現(xiàn)問題的人員�、時(shí)間����、操作內(nèi)容等。
基于綜合審計(jì)理念�,建立面向運(yùn)營商核心業(yè)務(wù)系統(tǒng)的綜合型業(yè)務(wù)安全審計(jì)系統(tǒng),可以幫助運(yùn)營商設(shè)置比較恰當(dāng)?shù)陌踩呗��。隨著業(yè)務(wù)安全審計(jì)系統(tǒng)的應(yīng)用和應(yīng)用策略庫的及時(shí)更新,業(yè)務(wù)安全審計(jì)系統(tǒng)所提供的功能將越來越豐富����、越來越接近運(yùn)營商的實(shí)際使用需求,使得審計(jì)系統(tǒng)能盡快地發(fā)揮出最大的安全審計(jì)和內(nèi)部管理作用�。
中國計(jì)費(fèi)網(wǎng)(www.billingchina.com)
相關(guān)鏈接: