时间:2023-09-18 17:03:55
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇网络行为审计范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
关键词:安全审计;监控系统;系统设计;系统应用;信息网络
中图分类号:TP39;F239文献标识码:A文章编号:1003-5168(2015)08-0006-3
随着计算机技术、信息技术不断推陈出新,各类威胁到网络信息安全的因素越来越多,虽然防火墙与外部检测技术等能够在某种程度上防止网络的外部入侵,保护数据信息不受侵犯[1]。但也会因入侵技术的更新和漏洞的长期存在而无法彻底保障网络处于安全状态。因此,在现有技术的基础上,通过引入安全审计系统对用户的网络行为加以记录,对网络安全隐患给出评判具有重要的现实意义。
1网络安全审计的必要性
1.1提高企业数据安全管理绩效
近年来,我国信息化程度不断加深,尤其新媒体技术和自媒体技术的出现,企业信息的网络化、无边界化趋势越来越明显,也使得网络信息安全问题不断突显。在这种情况下,无论是企业本身还是参与网络信息提供和维护的第三方,在端口和信息通道内都加强了对信息安全策略的部署,无论是信息的控制还是数据的授权,都在大量管理制度和规则下运行。即便如此,与网络信息安全相关的各类故障还是不断出现,甚至会给企业的网络运营和实际经营都造成了消极影响。但是,当我们对信息安全漏洞进行分析和查验时发现,一些严重的信息安全问题之所以会由于不合规、不合法而给利益相关者造成经济损失,其中一个重要原因便是一些内部“合法”用户的“非法”操作。这是因为,对于一般的网络信息或者数据,借助防火墙、防病毒软件、反入侵系统等都能够解决,在一定程度上能够保证信息安全。可是一旦内部人员在缺乏监管的情况下进行违规操作,就会使在信息外部建立起来的防线无能为力[2]。一项最新的调查显示,企业内部人员是对企业网络信息进行攻击最为严重也最难防范的。在这种情况下,亟须提高企业的内部审计能力,对内部用户的误用、滥用信息行为进行审计和监管,对那些可能或者已经造成各种安全事故的人员,在要求其协助网管人员找出原因外,还对其按照相关法律法规进行严肃处理,以杜绝此类事件再次发生。
1.2提高网络运维绩效
当前,在网络环境中构建统一的安全审计平台,提高网络运维绩效,是十分必要的。在这一平台之上,能够对重要设备系统的安全信息进行统一监管,以便能够在海量数据中挖掘出有价值的信息,使信息的获取和使用更加有效。可见,提高网络信息的可靠性和真实性,借助网络信息安全审计提供网络运维管理绩效,是网络化运营需要认真思考的问题[3]。实际上,信息的安全防御是信息安全审计的一种,都是要在信息生产的源头对其进行管理和监控,并对可能对信息安全造成威胁的因素加以防范。而即便在信息源头未能做到完全的安全防范,在事后也可以借助各种技术手段及时分析安全防御系统中可能存在的各类漏洞。甚至能够在安全防御的过程中,对非法操作行为和动作进行还原,使违法、违规用户的不当操作暴露出来,为认定其非法行为提供真实有效的客观证据。因此,对网络信息进行安全审计是一项复杂的系统工程,不但要规范网络、主机以及数据库的访问行为,还要对用户的使用习惯、信息内容形成和改变进行监控和审计,以便有效地完成对各类信息的监管,提高信息质量,为企事业单位的信息运用和网络运营提供安全保障。
1.3提高网络信息安全性
在网络空间中,有以下安全问题值得用户关注并予以重视:①通过访问控制机制强化对网络信息进行安全审计和信息监控是十分必要的,这种做法不但能提高网络信息的安全性,还能在访问控制的作用下,限制外来用户对关键资源的访问,以保证非法用户对信息或数据的入侵,同时也能对合法用户的行为进行规范,防止因操作不当而造成破坏[4]。需要注意的,访问控制系统不但界定了访问主体还界定了访问,其目的在于检测与防止系统中的非法访问。而借助对访问控制机制的管理和设计,能在很大程度上实现对网络信息的安全审计,使网络信息处在安全状态;②虽然网络是开放的,但网络数据却具有私有性,只有在被授权的情况下才能让非用户或者原始使用者访问,否则将被控制在不可见的范围。为了实现这一点,就需要进行网络安全管理,包括网络安全审计,通过信息加密,比如加密关键字或者授权机制、访问控制等。为了提高网络信息安全水平,还要维护与检查安全日志;③提高网络信息安全性,为社会组织的网络化行为提供安全保障,除了要对现实中传输的信息进行安全审查外,对网络中传输的信息也要进行安全审计,通过对网络操作行为的监控,评判信息的安全等级,有针对性地对网络加以控制。
2信息时代网络安全审计的关键技术与监控范畴
在网络信息安全审计的过程中,为了最大限度地提高审计效果,不但需要借助多种信息、网络和计算机技术,还应进一步界定网络审计的监控范围,使网络信息安全审计能够在更为广阔的领域得到应用。
2.1网络安全审计的关键技术
在前文的分析中可知,在当前网络环境中,网络信息安全的直接威胁主要来自网络内部,要建立切实有效的监督体制,对有破坏信息安全倾向的员工进行监督,以保障信息安全。为了实现这个目标,除了要在制度上加以制约外,还应借助以下网络安全审计技术:①基于的网络安全审计技术。借助该技术构建起来的信息安全系统以网络主机为载体,以分布式方式运行。这一技术虽然能够很好地防范信息安全威胁,但是由于监视器是这一信息系统的核心模块,需要高度保护,一旦出现故障,就会引发其他转发器都陷入被动境地,无法正常提交结果;②基于数据挖掘的网络安全审计技术。数据挖掘是近几年被广泛采用的信息安全技术,以此为基础建立起来的网络安全审计系统能够借助数据挖掘技术或者大数据技术,以大量日志行为为样本,对数据中体现出来的行为进行描述、判断与比较,特征模型,并最终对用户行为特征和行为结果进行界定;③基于神经网络的审计技术。神经网络是计算机应用领域中广泛采用的技术,该关键技术的使用能够改变网络单元状态,使连接权值处在动态之中,一旦加入一个连接或者移去一个连接,就能够向管理者指示出现了事件异常,需要果断采取行动保证信息安全。单纯使用该技术所产生的作用是十分有限的。一般情况下,要将多种技术配合使用,以便能对出现的异常情况做出解释,这对确认用户或者事故责任人是有明显帮助的;④借助专家系统构建的网络安全审计技术。该技术较于其他技术能够将信息系统的控制推理独立出来,使问题的解决能够借助输入的信息。为了评估这些事实,在运行审计系统之前,需要编写规则代码,而这也恰是能够有效防范网络信息安全威胁的有效手段。
2.2网络信息安全审计的监控范畴
2.2.1信息安全审计方法。经验表明,一些网络信息安全审计系统可以借助远程登录完成对服务器的管理和对应用系统、数据库系统的记录等,用户的操作行为和操作习惯会在服务器上留下痕迹。该类安全审计一般要按照以下步骤进行:采集对被审计单位的相关信息数据,以保证数据的全面性与完整性;对采集到的数据信息进行综合分析与处理,使之能够转换成对于审计工作对应的数据形式;借助计算机审计软件完成对审计数据的复核。按照业内的经验,在网络信息安全审计的设计过程中,需要将数据采集环节作为整个审计工作的前提与基础,是其中的核心环节,否则,将无法保证数据的完整性、全面性和准确性以及及时性,后面的审计工作也就无法正常开展。一般而言,借助互联网进行审计数据的采集主要有直接读取数据和记住数据库连接件读取两种方式,它们之间具有相似性。按照这两种方式完成数据采集,一旦其中一方数据的存储格式改变,就应及时对数据采集全部存储格式进行调整。这样就会导致数据采集效率和效果受到影响,降低信息安全审计的灵活性。因此,在实际操作中,要保证数据存储格式的一致性,防止审计低效。
2.2.2信息安全审计设备。在网络信息安全审计中,只要将需要管理的网络设备(比如出口路由器、核心交换机、汇聚交换机与接入交换机等)添加到相关安全审计系统之中,就能够获得发送过来的SNMP数据包。随后,信息安全审计系统就会对数据包依据事件的等级和重要性予以分类,以便在后续的查询和使用中更加方便。实际上,网络的信息安全设备种类繁多,具体操作方法也大同小异。只要按照不同厂商设备的设置步骤和原则,开启对应的SNMP功能之后,将相关设备添加到网络中安全审计系统之后,就能够进行相关操作。当然,在这一过程中,要对串联在网络中的设备予以重点关注,要保证甚至能够允许SNMP数据包通过。由此可以看出,借助安全设备实现对网络信息的监控和审计,能够为网络信息安全提供必要保障。当然,由于监控信息会不断更新,加之由于海量数据造成的压力,要依照实际需求确定监控信息可以被记录,以便能够缩小记录范围,为信息安全审计提供更有价值、更具针对性的数据。
2.2.3信息安全审计流程。通过指派权限,设备管理员能够更为直观和真实地了解对应设备的操作过程。如果在这一过程中出现了故障,可以对应地分析和查找问题,找到解决问题的途径。此外,网络信息系统的类别较多,以不同平台或者中间件定制开发的系统也不尽相同。在这种情况下,就需要以信息手册为蓝本,在与开发人员进行沟通之后,确定开放日志接口,并将其纳入到网络信息安全审计的范畴。
3网络信息安全审计监控系统的设计与应用
3.1网络信息安全审计系统的运行设计
当前,网络信息安全审计系统经常使用两个端口,其主要任务便是对联入局域网系统的核心部位交换机与服务器进行数据和信息交换。而为了更好地收集与存放信息安全审计数据,无论是系统日志还是安全审计系统的安全管控中心,都要设在同一服务器之上。这样一来,基于网络的信息安全审计系统就能够在搜集安全审计系统内部数据的同时,按照要求从相关子系统模块中获取数据,以保证各个系统内的信息实现共享,提高信息安全审计的效率。
3.2网络信息安全审计系统的实现
网络信息安全审计系统不但是一个能够帮助企业完成内部经济管理与效益控制的系统,社会组织还能借助网络安全监控体系,实现对网络操作对象的实时监控,保证网络操作中相关文件与数据的安全。这一审计系统的工作原理为:①借助网络文件监控能够实现消息的安全传递,借助标签维护可实现对安全标签的及时、正确处理;②借助多线程技术,构建网络信息安全监控系统的驱动程序消息控制模块,实现对驱动程序的全程监视,并保证信息接收与发送过程处在安全保护之中;③借助系统程序中的文件对用户进程中的相关文件操作予以过滤、监视和拦截,以保证网络数据访问处在全面审核与严格控制之中,使网络环境中文件的安全得到保障。
3.3网络信息安全审计系统的实际应用
通常而言,网络信息安全审计系统的实际应用需要在动态管理的状态下进行。只有这样,才能在投入使用之后,完全、精准地记录用户的网上操作行为,也能对数据库服务器的运行予以全面监控。比如,一旦企业员工通过“合法手段”对业务系统的安全性造成了威胁,那么这类“非法操作”等网络行为就会被记录和禁止。这是因为用户的相关行为能够映射到网络信息安全审计系统之中,管理者能够借此对用户信息和相关操作进行快速定位,在极短的时间内就能够查出事故责任人,为信息安全运行和非法行为的处置都提供极大便利。此外,基于先进技术建立起来的网络信息安全审计系统,还可以在全局层面上监视网络安全状况,对出现的任何问题都能够予以有效把控,对那些可能造成企业重大变故或者机密、核心信息的外泄行为,能够借助网络信息实时动态监控系统做出积极反应。
参考文献:
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(9):50-51.
[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):37-38.
[3]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术,2011(12):34-36.
随着互联网的发展,网络逐渐成为完成业务工作不可或缺的手段,很多政府、银行、企业纷纷将核心业务基于网络来实现。然而,网络的不断普及带来了大量的安全问题。目前全球数据泄密事件53.7%的是由于人为疏忽造成,15.8%是由内部恶意窃密,23.3%是由于黑客等外部攻击行为造成,7.2%是由于意外造成的数据丢失。根据IDC数据显示,内部泄密事件从46%上升到了67%,而病毒入侵从20%,下降到5%。
2.信息安全审计定义及作用
2.1信息安全审计定义
信息安全审计是针对网络用户行为进行管理[1],综合运用网络数据包获取、协议分析、信息处理、不良流量阻断等技术实现对网络信息内容传播的有效监管。它能够帮助用户对网络进行动态实时监控,记录网络中发生的一切,寻找非法和违规行为,为用户提供事后取证手段。
2.2信息安全审计的作用
跟踪检测。以旁路、透明的方式实时对进出内部网络的电子邮件和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供敏感关键词检索和标记功能,从而防止内部网络敏感信息的泄漏以及非法信息的传播。取证监控。还原系统的相关协议,完整记录各种信息的起始地址和使用者,识别谁访问了系统,访问时间,确定是否有网络攻击的情况,确定问题和攻击源,为调查取证提供第一手的资料。
3.其他安全产品安全审计方面的缺陷
防火墙只是内外部网络之间建立起隔离,控制外部对受保护网络的访问,通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。入侵检测对网络中的数据包进行监测,对一些有入侵嫌疑的包进行报警,准实时性较强,但采用的数据分析算法不能过于复杂,通常只是对单个数据包或者一小段时间内的数据包进行简单分析判断,误报率和漏报率较高。漏洞扫描、防病毒等设备主要发现网络、应用软件、操作系统的逻辑缺陷和错误,提早防范网络、系统被非法入侵、攻击;发现处理病毒。
4.信息安全审计系统的分类
主机审计:审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;统一安全策略,实现集中审计等。网络审计:应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;应能够根据记录数据进行分析,并生成审计报表;应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。数据库审计:审计对数据库的操作行为,如增、删、改等,发现各种非法、违规操作。业务审计:对业务系统的操作行为进行审计,如提交、修改业务数据等,满足管理部门运维管理和风险内控需要。日至审计:审计网络设备、安全设备、应用系统、操作系统的日志,发现安全事件,保存证据。
5.信息安全审计系统的设计
主流的信息安全审计系统分为探针引擎和管理应用平台两部分组成[2]。探针引擎的主要功能:监听网络数据,并将数据临时保存。将不同的数据流汇聚,形成一个应用链接;根据设定的规则,对采集的数据进行初步过滤,并对采集的数据进行协议分析,提取内容信息。如在Smtp,pop3协议中,提取邮件体和附件;将采集后的数据按规定格式存储和传输。根据需要,进行传输加密。管理应用平台是由web管理平台+控制中心+数据库组成的三层结构。WEB管理控制平台主要功能:业务逻辑展现,系统管理、日志管理、策略管理、报表管理、查询统计分析。控制中心主要功能:文件中心主要是用于系统报警原始文件存储、文件读取;统计中心主要是用于定期对系统关键词报警信息、行为日志数据、网络流量数据、系统操作行为进行分类统计;数据中心主要是实现数据库与探针引擎之间的桥梁,实现策略下发、探针引擎接入控制、数据转存功能。数据库主要功能:用于结构化数据的存储。
6.信息安全审计技术在工作中的基本应用
HTTP敏感信息检测:HTTP协议的网页浏览、网页发帖监测,记录中标网页的URL、浏览时间、源IP、目的IP、源端口、目的端口以及源、目的MAC地址,并还原、保存原始网页文件到本地磁盘。通过IP地址、域名、时间范围、协议类型等组合查询查看报警信息并输出报表,通过“查看文件”链接查看原始浏览网页文件内容,通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。邮件敏感信息检测:SMTP,POP3中的敏感信息监测,记录中标网页的信息摘要、关键词、接收用户、发送用户、IP地址,并还原、保存原始邮件到本地磁盘,系统默认收、发邮件端口分别为110、25。可以通过接收用户名、发送用户名、时间范围、IP地址查询条件检索邮件敏感信息并输出报表,通过“查看文件”链接打开查看原始邮件主题、正文内容,通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。IP流量监测:监测IP主机数据流向、流量大小,按总计流量从高到低排序,并可清零流量重新统计。数据库日志检测:监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作日志记录,并记录数据库服务器及操作用户的IP、登录用户名、MAC地址、操作时间等信息。
7.结语
如何保证网络行为、信息内容的合规性、合法性、健康性已成为网络安全研究领域中的热点问题。信息安全审计技术是对网络行为进行检测与防范,也是对信息系统建设的重要补充,将继续在信息安全中发挥重要的作用。
作者:张楠 单位:吉林省统计局数据管理中心
参考文献:
在国外,随着诸如Iso27001,萨班斯法案等信息安全标准和法规的颁布,国外的信息安全审计己经企业,得到了广泛的应用。而在我国,信息安全审计主要来源于企业信息安全管理的需求、企业内控的要求并且获得了一定规模的应用。而随着计算机信息安全等级保护的推进,信息安全审计必然越来越受到政府、企事业单位的重视。目前市场上存在着各种各样的信息安全审计系统,其功能不一,部署使用力一式也不相同。如何在等保建设中更好的应用审计系统,木文在以下内容中给出了分析和建议。
1信息安全审计的意义和目的
计算机信息安全是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称五性。安全审计是这五性的重要保障之一,它对计算机信息系统中的所有IT资源(包括数据库、主机、操作系统、安全设备、网络行为等)进行安全审计,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的CCAV监控系统,任何人进出银行,柜台操作都进行如实录像记录,一旦有异常事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。
信息系统的安全审计工作更为复杂,通过统一收集信息系统中的设备、系统、终端、应用的登录、操作日志以及其它各种网络行为,例如互联网访问,FTP传输、电子邮件等记录,通过综合关联分析从各类记录中进行多层而、多视角的跟踪、分析和处理,发现异常事件,及时采取相应措施。
通过以上分析可以看到信息安全审计在信息安全管理体系中是不可缺失的部分。它的作用主要如下:
(1)对正在发生的各类信息事件进行监控、记录和告警;
(2)为安全主管提供审计记录和分析决策,及时针对异常行为采取措施;
(3)通过安全审计记录,可以对于发生的信息系统破坏行为提供有效的法律追究证据;
(4)有效的安全审计策略和安全审计防护措施可以对潜在的攻击者起到震慑和警告的作用。
2等级保护中安全审计问题
2.1等级保护中的安全审计要求
等级保护是我国目前在非涉密系统信息安全防护一个有效的政策依据。等级保护测评中对网络,主机,数据库和应用都有相应的安全审计要求。
2.1.1各安全域通用要求
(1)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
(2)应保护审计进程,避免受到未预期的中断;
(3)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
2.1.2网络设备和网络安全设备特殊要求
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
2.1.3主机和数据安全审计特殊要求
(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等;
(3)应能够根据记录数据进行分析,并生成审计报表。
2.2等级保护中存在的安全审计问题
在实际测评中由于企业对安全审计不够重视导致存在诸多安全隐患,不但影响了测评结果也给企业带来了安全风险。
2.2.1网络设备和安全设备存在的问题
(1)未开启安全审计功能,或只设置了相应的日志服务器但没专人定期对日志分析、记录;
(2)记录内容较简单,只包含用户登录行为,而对设备运行情况、网络告警信息、流量信息都未记录;
(3)只是简单的对日志进行保存,并未能运用这些数据做分析统计并从中发现问题;
(4)对审计记录的保存未做过优化或定期检查,没有专人进行维护,不能确保审计记录不会被修改或删除。
2.2.2主机和数据库存在的问题
(1) LINUX系列主机安全审计功能一般都未启,而对于WINDOWS系列的主机安全审计功能均是系统默认设置。
(2)主机开启了审计服务但审计对象只包含了操作系统用户,而对数据库用户和其他系统的用户并未进行审计。
(3)只是简单对日志进行保存,并没有专人对这些数据统进行计分析统计。
(4)对审计日志的记录的内容采取了系统默认保存方法,对日志存储位置、存储最大值以及达到最大值后的处理都未设置。
(5)对审计进程和审计日志均没有专人去做维护检查,不能保证审计系统的安全运行,审计日志不被非法修改。
2.3等级保护中安全审计的重要性
从保测评的结果看来,不少企业对安全审计不够重视,信息安全建设主要集中于传统的信息安全基础设施,如部署防火墙,IPS等。目前企业的信息安全管理主要依托于这类网关型安全设备上,忽略了事中监控和事后审计溯源的安全管理。从实际测评中发现造成这一系列问题的主要原因是未能认识信息安全审计的重要性,对信息安全审计所需的各类资源投入不足。有效安全审计手段的缺失不仅使企业信息安全等级保护不足,而且也使企业自身信息安全管理体系存在短板,导致企业存在以下安全风险:
(1)内部风险:由内部员工违规操作导致的安全风险和网络的非法接入带来的风险。
(2)第二力一维护:企业系统由第二力一维护所带来的风险。
(3)系统日志:单纯的分析业务系统或者数据库系统的日志,都无法对整个访问过程是否存在风险进行判断。
4信息安全审计系统在等级保护建设中的应用
等级保护建设中提出了很多具体的安全审计要求。不少企业不知从何处着手开展工作。信息安全审计系统种类繁多、针对性强,在等级保护建设过程应该根据等级保护的具体要求并结合这些审计系统的特点,有针对性的进行建设才能最终满足等级保护要求,提高企业安全水平。
4.1等保三级系统中网络设备和网络安全设备的安全审计
4.1.1等级保护基木要求
(1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
(2)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
(3)应能够根据记录数据进行分析,并生成审计报表;
(4)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
4.1.2可采用的审计系统
按照等级保护二级系统中对网络设备和网络安全设备的安全审计基本要求,可采用网络审计系统。
4.1.3符合度分析
网络审计系统通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全而记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位。
4.2等保三级系统中主机和数据库的安全审计
4.2.1等级保护基木要求
(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
(2)审计内容应包括重要用户行为、系统资源的异常使用和}重要系统命令的使用等系统内重要的安全相关事件;
(3) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
(4)应能够根据记录数据进行分析,并生成审计报表;
(5)应保护审计进程,避免受到未预期的中断;
4.2.2可采用的审计系统
按照等级保护二级系统中对主机和数据库的安全审计基本要求,可采用终端审计系统、运维审计系统、数据库审计系统。
5总结
关键词:网络安全审计;日志;日志格式
中图分类号:TP311文献标识码:A文章编号:1009-3044(2008)14-20803-02
1 引言
防火墙、入侵检测系统和安全审计系统等安全产品为内部网络提供了良好的保护作用。安全审计系统提供了一种通过收集各种网络信息从而发现有用信息的机制,将这种机制应用于局域网内部,从多种网络安全产品中收集日志和警报信息并分析,从而实现效能的融合,与防火墙、入侵检测系统等安全产品形成合力,为局域网的安全提供强有力的保障。
如何高效的从各种网络设备所生成的海量的日志数据信息中提取有用信息,通过格式的统一整合后为安全审计系统提供统一接口,这是安全审计系统一项十分关键的工作,也是影响整个系统性能的一个重要因素,本文就此进行探讨。
2 安全审计系统的功能需求
安全监控与审计技术通过实时监控网络活动,分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、跟踪识别违反安全法则的行为等功能,使系统管理员可以有效地监控、评估自己的系统和网络。监控审计技术是对防火墙和入侵检测系统的有效补充,弥补了传统防火墙对网络传输内容粗粒度(传输层以下)的控制不足,同时作为一种重要的网络安全防范手段,对检测手段单一的入侵检测系统也是有益的补充,能及时对网络进行监控,规范网络的使用[1]。
目前,安全审计系统是网络安全领域的一个研究热点,许多研究者都提出了不同的系统模型,这包括对内容进行审计的安全审计系统、对用户行为进行审计的安全审计系统以及对各种安全设备生成的日志进行审计的安全审计系统等等。
基于日志的网络安全审计系统是一个日志接收与日志分析的审计系统,该系统能够接收、分析审计局域网内的防火墙、入侵检测系统等网络安全产品生成的日志,审计局域网内的网络信息安全。基于日志的网络安全审计系统的功能需求如下:
(1) 集中管理:审计系统通过提供一个统一的集中管理平台,实现对日志、安全审计中心、日志数据库的集中管理,包括对日包更新、备份和删除等操作。
(2) 能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志,并且具备处理多日志来源、多种不同格式日志的能力。
(3) 审计系统不仅要能对不同来源的日志进行识别、归类和存储,还应能自动将其收集到的各种日志转换为统一的日志格式,以供系统调用。并且能以多种方式查询网络中的日志记录信息,以报表的形式显示。
(4) 能及时发现网络存在的安全问题并通知管理员采取相应措施。系统必须从海量的数据信息中找出可疑或危险的日志信息,并及时以响铃、E-mail或其他方式报警,通知管理员采取应对措施及修复漏洞。
(5) 审计系统的存在应尽可能少的占用网络资源,不对网络造成任何不良的影响。
(6) 具备一定的隐蔽性和自我保护能力。具有隐蔽性是说系统的存在应该合理“隐藏”起来,做到对于入侵者来说是透明而不易察觉系统的存在。
(7) 保证安全审计系统使用的各种数据源的安全性和有效性。若采用未经加密的明文进行数据传输,很容易被截获、篡改和伪造,工作站与服务器之间的通讯应进行加密传输,可采用SSL、AES、3DES等加密方式。
(8) 具有友好的操作界面。
3 安全审计系统的模型概述
如图1所示,基于日志的安全审计系统主要包含如下模块:
(1) :负责收集各种日志数据,包括各种操作系统的日志,防火墙系统日志、入侵检测系统日志、网络交换及路由设备的日志、各种服务和应用系统日志等。定时或实时发送到审计中心。其间,日志数据的传送采用加密方式进行发送,防止数据被截获、篡改和伪造。
(2) 数据预处理模块:将采集到的日志数据经过解密后按照数据来源存入相应的数据库中。
(3) 系统管理模块:负责对日志、安全审计中心、日志数据库的集中管理,包括对日志数据的更新、备份和删除等操作。
(4) 数据处理模块:负责自动将收集到的各种日志转换为统一的日志格式,并且从海量的数据中通过模式匹配,发现并找出可疑或危险的日志信息,交由“日志报警处理模块”进行处理。
(5) 日志报警处理模块:处理已发现的问题,以响铃、E-mail或其他方式报警通知管理员采取应对措施。
(6) 数据库模块:负责接收、保存各种日志数据,包括策略库也存放其中。
(7) 接口模块:供用户访问、查询。
4 安全审计系统中有用数据整合的方法
4.1 安全审计系统的数据源
安全审计系统可以利用的日志大致分为以下四类[2]:
4.1.1 操作系统日志
a) Windows系统日志。Windows NT/2K/XP的系统日志文件有应用程序日志、安全日志和系统日志等,日志默认位置在%systemroot%\system32\config目录下。Windows是使用一种特殊的格式存放它的日志文件,这种格式的文件通常只可以通过事件查看器EVENT VIEWER读取。
b) Linux/Unix系统日志。在Linux/Unix系统中,有三个主要的日志子系统:连接时间日志、进程统计日志和错误日志。错误日志――由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。
4.1.2 安全设备日志
安全设备日志主要是指防火墙,入侵检测系统等网络安全设备产生的日志。这部分日志格式没有统一标准。目前,国内多数防火墙支持WELF(Web Trends Enhanced Log Format)的日志格式,而多数入侵检测系统的日志兼容Snort产生日志格式。
4.1.3 网络设备日志
网络设备日志是指网络中交换机、路由器等网络设备产生的日志,这些设备日志通常遵循RFC3164(TheBSD syslog Protocol)规定的日志格式,可以通过syslogd实现方便的转发和处理。一个典型的syslog记录包括生成该记录的进程名字、文本信息、设备和优先级范围等。
4.1.4 应用系统日志
应用系统日志包含由各种应用程序记录的事件。应用系统的程序开发员决定记录哪一个事件。Web应用程序日志往往是系统管理员最关心的应用系统日志之一。
a) Apache日志。Apache日志记录Apache服务器处理的所有请求和出错信息,它支持两种格式的日志:普通记录格式(Common Log Format),组合记录格式(Combined Log Format)。
b) IIS日志。IIS日志文件记录了所有访问IIS服务程序的信息,IIS日志文件一般位于如下路径:%systemroot%\system32\LogFiles。IIS支持“W3C扩充日志文件格式”、“NCSA通用日志格式”和“ODBC数据库日志格式”。
[关键词]社会资本;注册会计师社会资本;审计质量
[DOI]10.13939/ki.zgsc.2016.35.144
在当今我国市场经济体制不断发展的背景下,CPA审计方面的作用愈加凸显。不仅为财务报表使用者提供了可靠的信息,还推动了我国资本市场的长足发展。然而,近几年我国出现了不少财务造假事件,严重影响了社会各界人士对财务报表审计的信任,因此提高审计质量已经成为CPA行业首要解决的问题。国内外不少的学者研究审计质量的影响因素,几乎没有从社会资本的角度进行研究。鉴于此,本文试着研究注册会计师社会资本对审计质量的影响,以期拓宽审计质量研究范围。
1 社会资本及注册会计师社会资本概述
1.1 社会资本的概念及功能
1.1.1 社会资本概念
社会资本是在物质资本与人力资本被提出后出现的第三类资本。对于社会资本的定义,总体来说有三种观点。
(1)能力观。持该观点的人认为社会资本为:透过成员身份个人可以在网络或更加广泛的社会结构中不断提高掌握获取稀缺资源的能力。即社会资本就是一种跟获取稀缺资源有关的能力。
(2)资源观。持该观点的人认为社会资本是一种社会资源,它能够不断创造价值。Lin Nan(2001)提出:社会资本是一种期待在市场中得到回报的资源,它往往镶嵌在社会结构中及社会关系中进行投资,而且制订有计划的步骤以获取流动的资源。可见,社会资本、社会关系及社会网络三者之间存在牢不可破的联系。
(3)社会规范观。Robert Putnam(1992)指出社会资本是指能够通过运用协调有效的行动使社会效率的信任、规范及网络的提高。他主要从社会规则、信任、制度这几个方面对社会资本进行研究。强调社会资本是组织的一种特征,并且这些特征可以促进沟通与协调,社会效率也就随之提高。
1.1.2 社会资本的功能
(1)促进信息流动。由于市场机制的不完善,使得特定网络位置的个体能够获取他人难以得到的信息,这些信息也可以为他们提供机会去使用特有的资源,并可以得到较好的回报。所以降低了交易过程中产生的成本。
(2)强化与认可作用。个体作为社会网络中的重要组成部分,它所掌握的社会资源能准确地确认和识别它自身的价值。行动个体如果与共存的网络中的相关联的组织或个体共享资源,则可不断强化对其身份和社会的认可。
(3)信任作用。一个人的身份地位可以通过该社会行动主体在其所处的社会网络中的位置以及它能调动的资源的能力得到充分体现,另一方面,这种身份地位恰恰是一种体现社会信任程度的证明。透过这种网络关系,个人的身份足以为他积累远远高于个体资本的无形资源。
1.2 注册会计师社会资本分析
1.2.1 注册会计师社会资本概念
本文认为,注册会计师社会资本是指以注册会计师个体为中心结点,组成了一个包含了社会网络(地位、可获资源、能力等)、信任及声望的总和。由此可见,CPA的社会资本离不开所处的社会网络,只有在这个社会网络中才会发挥其社会资本的作用。
1.2.2 注册会计师社会资本的形成
CPA社会资本的形成受其所处环境与自身的各种因素综合影响。CPA社会资本主要是指在这个社会网络中的声望和建立的信任。现今信任是个体产生合作的纽带,更是累积社会资本最基础的要素。因此,CPA要想提高其社会资本,首先要建立起自身的信誉度,这样他们的专业技能才能获得公众的认可。此外,他们的个人品德与社会地位也会影响其社会资本量。反之,CPA的信任与声誉的累积过程也是其社会资本累积的过程。
1.2.3 注册会计师社会资本对其行为的影响
社会结构中一个非常重要的组成部分就是信任。信任水平越高,越能促进CPA的自我监督行为。我们知道,独立性是CPA执行审计业务前提条件。他们保持独立性的动力源于自身的声誉资本,而声誉是在社会信任的基础上建立起来的。因此,社会的信任度对CPA的独立性非常重要。他们为了维护其声誉,就会自觉保持独立性,从而避免信誉遭到损失。与其说信任声誉高的CPA,不如说是信赖所处的社会关系网络。他们在社会关系网络中的地位和动用资源的能力很大程度取决于社会对他的信任度,这也是保持独立性的重要保障。
1.2.4 注册会计师社会资本的测量指标
本文将CPA的社会资本细化为四个具体指标:①纵向维度;②横向维度;③CPA声誉;④CPA认知维度。其中,纵向指标与声誉指标反映了CPA的网络资源动用能力,横向维度、纵向维度及声誉反映了CPA的社会关系网络特征。
2 注册会计师社会资本对审计质量的影响
2.1 注册会计师纵向关系网络对审计质量的影响
CPA纵向关系网络主要是指与政府或其相关部门、国有企业等的社会网络关系。如果在政府或其相关部门中任职过,他们的政府关系资源就会比较丰富。政府对企业起到非常重要的监督作用。对一些违法欺诈的行为也有制裁的责任,从而保护了相关信息使用者的利益。此外,社会网络结构也要求他们秉着公正公开的原则,对企业的财务报表更好地监督。CPA鉴于这样的经历,并且在这种环境中受到正面的影响,就会坚持客观公正的原则进行审计。
2.2 注册会计师横向关系网络对审计质量的影响
CPA横向关系网络主要是指与其他会计师事务所间的关系网络。如果CPA在事务所所处位置发生变动,那么社会网络中的结点也会发生变动。由社会信任金字塔结构理论可知,主体之间的互相依赖有助于信任与声誉的建立,并且任职的职位越多,主体链越长,就会受到更多人的关注。处事的行为便会愈加谨慎,处理的事项也会更复杂,累积的经验也就越多。这便有利于其发现企业的重大错报风险,找出各种财务信息错误及管理层舞弊行为。
2.3 注册会计师的声誉对审计质量的影响
众所周知,具有CPA执业资格的个体往往是其自身价值提升的重要体现,其自身的声誉也会随着自身价值的提升而提升。站在声誉的角度,CPA也会通过努力工作提升自身的业绩从而提升其声誉。他们更加注重外界人士的评价与认同,目的是为了维护他们的社会形象,而且有利于他们顺利完成工作任务。因此,注册会计师的声誉对其顺利开展审计工作至关重要。
2.4 注册会计师的认知维度对审计质量的影响
CPA的认知维度包括:①职业认知能力。指是否具有积极向上的从业态度,对其从事的工作有着充分的认知。职业认知能力越高,注册会计师越能更好地保持独立性,越能避免审计意见被购买的现象。②专业能力。专业能力越强,掌握的知识越多,越能识别出财务报表重大错报风险及管理层的舞弊行为,因此能够更好地对企业的财务报表信息进行监督,从而提高财务报表审计质量。
3 结 论
本文研究了CPA的社会资本对其审计质量的影响,并将CPA社会资本细化为四个具体指标(纵向维度、横向维度、声誉及认知维度),并且发现这些指标均可以提高审计质量。然而,本文并没有研究出一种能够量化注册会计师社会资本的方法,只是笼统地进行了理论的分析。研究不足之处有望日后加以补充与改进。
参考文献:
场景篇
企业网络安全风险多因上网不规范
在IDC连续多年的信息安全年度报告中,总有一个结论被一再强调一企业所面临的信息安全问题,超过80%来自于其内部。而这80%的问题中,几乎大半与员工个体行为有关,尤其是员工滥用网络的行为。
员工有意无意访问了不恰当的资源,病毒、蠕虫、木马、恶意代码和间谍软件会由网页、Email、聊天工具等方式侵入到企业内部网络,从而威胁到企业的网络安全。
有的员工通过日益盛行的P2P下载软件下载大容量的文件,占用了正常的网络带宽,要么造成网速低下,要么导致网络堵塞,给企业的正常运营带来了严重影响。
对此,一种被称为上网行为管理的网络安全产品逐渐被C10所认识。虽然目前的网络威胁越来越多,但从普遍意义上说,如果上网用户规范好自己的上网行为,甚至是一些无知的网络操作,企业的网络安全风险应该会减少一大半。
上网行为管理,就是管理用户的上网行为,对其行为的产生、过程、结果以及其它与之关联的内容进行综合监控、管理和分析,及时发现问题并解决问题。
在深信服公司高级产品经理邱德文看来,一个行之有效的上网行为管理方案,需要包含一系列完整的功能,如过程跟踪、过程记录、行为控制、报告报表、日志分析等,而并非单纯地将一些已有的防火墙,防毒墙或综合安全网关之类的产品功能进行组合。
一般来说,一款上网行为管理产品需要具备以下三个主要功能。内容审计,对员工的聊天内容、访问网址、来往Email等外发信息进行审计,要能保存记录,并对敏感的内容通过多种方式实时警告,及时发现员工的危险行为,避免泄密或规避法律风险;流量控制,网络管理员可以实时检查公司员工的下载流量,及时发现恶意下载的员工并能迅速进行限制处理,以保障其他员工的正常上网需求;应用程序控制,对BT、视频、游戏等容易导致网络问题的软件可强行限制或禁止,甚至对求职、网络交易等软件和网站实施屏蔽,以规范员工的上网行为。
北京网康科技有限公司产品总监宋强认为,目前很多安全产品或多或少都具备某些上网行为管理功能,重要的是,单独提及上网行为管理这个概念的厂商也越来越多了。上网行为管理已经成为一个细分市场的潮流。
目前,关注上网行为管理领域的厂商既有国内的也有国外的,国内如深信服、网康、启明星辰等,国外如BlueCoat、Websense等,它们在技术上各有所长,产品也各有特色。
从用户角度来看,无论是国外厂商还是国内厂商的产品,能够经得住各种规模企业用户的实际测试,解决用户的网络管理问题,确保用户的网络安全,才是真正合适的上网行为管理产品。
建议篇
上网行为管理:要“有”,更要“专”
目前,市场上有些安全产品不仅拥有上网行为审计功能,还将防火墙、防毒墙、IPS等功能放到一个产品中,导致用户误以为该类产品功能强大,应用这个设备,其他安全设备似乎都不需要了。而事实上,目前主流的硬件平台在性能上无法满足同时开启如此多的功能,实际使用时,往往只能开启其中一两个功能模块。
要想管理好内网用户的上网行为,确保企业的信息安全,最好是依靠单独的上网行为管理设备,至少上网行为管理的技术功能要强大。不仅要“有”,而且要“专”,所谓“术业有专攻”。
由于一款主流的上网行为管理产品主要包括封堵/过滤、流控和审计三个基本功能,因此用户在采购时,需要注意以下几方面的问题:
识别加密应用。近年来,很多“不良”应用在呈现加密化的趋势,例如让网管“谈之色变”的P2P软件,木马网站,Skype、QQ等聊天工具……在这些加密应用面前普通的上网行为管理产品无能为力。
对此,普通低端的上网行为管理产品只能够封堵普通的HTTP网站或MSN等非加密应用,管控上存在漏洞。只有专业的上网行为管理产品才能够对加密应用进行管控,通过全流量分析等技术实现对加密应用的识别和封堵,如对加密BT、Skype、MSNShell的精确识别和封堵。
流量控制能力。强大的流量控制能力对于上网行为管理产品真正发挥功效非常重要。因为用户需要针对应用类别、网站类型、上传下载的文件类型,结合不同用户组和时间段进行带宽划分和流量管理,实现对核心业务的带宽保证,对非业务应用的带宽限制。
例如,可为领导用户组的视频会议流量保证带宽、固定预留指定带宽资源,以保证视频会议的通畅;在设备上创建新的URL分组,包含市场部同事经常访问的数十个行业网站,为市场部用户组访问这些行业网站进行带宽动态保障,并为每个用户细化带宽分配策略;设计部经常需要上传下载CAD等大型文件,对此行为进行带宽保障;对外提供服务的内网服务器,也可以进行带宽划分与分配;针对所有人的P2P行为进行带宽限制,既允许用户使用P2P,又不会严重占用组织的宝贵带宽资源。
日志库是否完备。上网行为管理产品审计内容后,会对信息进行统计汇总、分类查询等,并支持生成图形化的报表,数据中心功能的强大,对“信息审计”功能的发挥有着重要的意义。
首先,数据中心应该可以独立安装。因为上网行为管理产品需对所有的上网行为进行记录,日志量庞大。一个干人的网络每周可产生十多GB甚至数十GB的数据。这些数据如果都存储在上网行为管理设备里,不仅会很快占满设备的存储空间,还会影响产品性能。所以,上网行为管理产品的数据中心需要支持独立安装,这样就实现了日志的海量存储,最大限度地发挥上网行为管理产品的性能。
其次,数据中心需要支持搜索功能。目前有些上网行为管理产品虽有日志存储,但查询方式简陋。
如用户查“源代码”这个关键字,只能按照人物和时间段查询。而有些上网行为管理产品可以提供类似Google的搜索界面,通过在数据中心首页搜索关键字,内网用户访问过的网页内容、收发过的邮件及其附件,QQ中的聊天信息、上传下载的各种文件等,只要其中有“源代码”这个关键字,都可以直接查询到。
有些厂商甚至还提供日志的主题订阅功能,将用户感兴趣的关键字搜索记录自动发送到用户指定的邮箱,实现人。
性能是否够用。如果没有良好的性能,上网行为管理产品根本无法智能处理内网的各种应用。而且随着用户内网规模的扩大,一旦上网行为管理产品性能不足,不仅会影响网速,甚至会出现宕机、业务中断的危险。所以性能也是需要重点关注的问题。
应用篇
行业差异性不容忽视
随着互联网应用给企业带来越来越多的方便,随之而来的问题也越来越明显。比如企业内部人员透过网络泄漏敏感资料,员工因私上网影响工作效率等等,企业网络管理人员迫切需要限制员工的上网行为。但是,不同行业的企业员工的上网行为特征有所差异,对于上网行为管理的功能侧重也有所不同。
在金融行业,上网行为管理的重点在于对内网的外发信息具有较强的审计控制能力。金融企业一般规模较大,多是上市公司,而即将实施的萨班斯法案对于上市公司的信息安全具有很高的要求,所以金融企业在选择上网行为管理产品时,侧重于选择识别能力较强的,对于外发信息的审计和控制做得足够好的设备以保障内部机密信息的安全性。总之,金融企业需要一套严谨的审计系统来保障外发信息的安全。
另一个重点则是教育行业。教育行业用户的特点在于内网用户数量众多,学生数目动辄上万,如何管理这么多的内网用户就成了CIO们的一个突出问题。随着近些年P2P软件应用的流行,这种靠掠夺网络资源的下载行为在各大高校的校园网络里普遍存在,由此导致高校相对较大的出口带宽在P2P下载面前变得拥挤起来。
强大的流量控制管理能力是教育行业用户在使用上网行为管理产品的重点所在。另外,为避免个别激进学生通过网络在BBS、非法网站上发表不负责任的言论,教育行业用户往往还会强调上网行为管理产品对于外发信息的审计控制能力。
另外一些大型企业或事业单位,由于内网用户数量较多、工作职能多样,上网行为管理主要针对规范员工的上网行为,比如使用聊天工具、视力点播、P2P下载、网络炒股等,主要起到对应用的管控和防止泄密的作用,目的是提高工作效率、保障信息安全。
对于中小企业来说,他们往往需要一套设备解决多个问题,既能保证上网行为管理产品可以划分带宽、合理分配流量,又要能审计外发信息,还需要具有网关杀毒、防火墙、防ARP欺骗,防DOS攻击、IPS等附加功能,他们关注的是一整套问题解决方案。
至于技术的发展趋势,上网行为管理产品未来将主要集中在识别率的不断提高、智能化水平不断提升上面。因为各种新的网站、新版本的应用软件在不断地涌现,URL库、应用协议识别库等常用管理手段的更新速度再快,也不可能实现实时的立即更新。未来的上网行为管理产品可以自动学习新出现的网页、应用软件的特征,并对其进行自动分类,再根据管理员设置的管理策略进行管理。
体验篇
江苏油田管控上网行为提升网络安全性
中国石油化工股份有限公司江苏油田分公司(以下简称江苏油田)成立于2001年,其前身是1975年组建的江苏石油勘探局。
该公司总部设在江苏省扬州市,分支机构遍布江苏、安徽两省6市12县,员工超过15万人,是集石油勘探开发一体化,油气生产、加工与销售配套,跨地区、跨行业的综合性大型国有企业。
江苏油田在行业内率先部署了ERP系统,但ERP运行受到网络阻塞的困扰。为此,IT管理人员进行了一系列的调查与分析,最终将问题的焦点锁定在企业网络中的未授权应用上。后经发现,部分员工习惯在网上使用诸如BT下载等未授权软件,导致了网络中存在大量的并发用户,对企业网关造成了极大的压力。
事实上,江苏油田的网络系统中充斥着大量的MSN、QQ等聊天工具,同时通过P2P下载产生的数据流无间断性的在网络中传输,占用了大量的网络带宽。
此外,几乎所有被使用的未授权软件都存在着一定程度上的系统漏洞,这些系统漏洞有可能成为网络病毒或黑客攻击的途径,让攻击行为有机会绕过防火墙直接威胁企业的网络系统。倘若网络中应用软件被黑客利用,通过其中的漏洞达到盗取企业信息的目的,不但会给江苏油田的商业利益带来重创,还会直接影响到国家的能源战略安全。
为了解决上述问题,江苏油田选用了基于ProxySG设备的Blue Coat上网行为管理解决方案,通过控制网关处应用软件的流量来节省互联网带宽,从而达到提升网络访问速度,提高关键业务效率的目标。与此同时,该解决方案有效地阻止了网络内的未授权应用,提升了企业网络系统安全性和劳动生产率,并且加强了江苏油田的法规遵从性。
Blue Coat上网行为管理解决方案可以对网络中的应用进行识别和控制,将未授权应用产生的网络连接请求阻断在企业网关处,在节省网络带宽的同时避免了病毒或者黑客利用第三方软件漏洞绕过防火墙的攻击威胁,提升了网络的整体安全性。
中国石化集团江苏石油勘探局信息部主任杨立民表示,江苏油田在互联网网关处部署了Blue Coat ProxySG设备上网行为管理解决方案后,能够对员工上网行为进行基于策略的管理,有效杜绝了网络系统中的未授权应用,不仅提升了网络的整体安全性,还为企业节省了555的网络带宽。
上海文广“重整”带宽资源
作为一家省级大型新闻媒体单位,上海文广新闻传媒集团(简称上海文广)一直非常注重于企业自身的信息化建设,单位局域网构建比较完善。不过,上海文广工程师邓旭华介绍说,由于集团特殊的工作性质,过去一直没有对网络流量实施严格的管控策略,于是,BT、Emule、迅雷、网际快车等P2P应用占据了大部分的带宽资源,随着业务和应用的不断增加,带宽不断扩容,不仅上网成本上升,而且众多用户还是抱怨网速太慢。
同时,流量不断上升致使互联网出口的流程管理和防火墙等设备不堪重负,在高峰时段CPU利用率基本上100%,导致网络无法正常访问,进一步恶化了上网环境。此外,对用户上网行为也无法进行追溯,这对企业的网络安全防护以及企业机密信息的保护形成了重大隐患。上海文广认识到,单靠增加出口带宽和更换设备不能根本解决问题,必须对上网行为进行适当的管控和审计。
入侵检测网络安全技术
1引言
随着信息时代的到来,电子商务、电子政务,网络改变人们的生活,人类已经进入信息化社会。计算机系统与网络的广泛应用,使网络安全问题成为日益瞩目的焦点。单纯的安全保护措施并不能保障系统的绝对安全,入侵检测技术作为网络安全防护技术的重要组成部分,已经成为网络安全领域研究的热点。
2入侵检测的概念
入侵检测(Intrusion Detection),顾名思义,是指对入侵行为的发现。入侵检测技术是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
入侵检测系统(IDS)则是指一套监控和识别计算机系统或网络系统中发生的事件,根据规则进行入侵检测和响应的软件系统或软件与硬件组合的系统。
3入侵检测技术分析
3.1入侵检测的分类
关于入侵检测系统的分类大体可分为四类:
(1)根据入侵检测的数据来源的不同,入侵检测系统可以分为基于主机的入侵检测系统、基于网络的入侵检测系统、混合式入侵检测系统等。基于主机的入侵检测系统往往以系统日志、应用程序日志等作为数据源,保护所在的系统。基于网络的入侵检测系统通过在共享网段上对通信数据进行侦听采集数据,分析可疑现象,能够实现对整个网段的监控、保护。混合式入侵检测系统采用上述两种数据来源,能够同时分析来自主机系统的审计日志和网络数据流。
(2)根据入侵检测体系结构的不同,将入侵检测系统分为集中式入侵检测系统和分布式入侵检测系统。集中式IDS由一个集中的入侵检测服务器和运行于各个主机上的简单的审计程序组成,审计数据由分散的主机审计程序收集后传送到检测服务器,由服务器对这些数据进行分析,适用于小型网络中的入侵检测。分布式IDS的各个组件分布在网络中不同的计算机上,一般来说分布性主要体现在数据收集和数据分析模块上。
(3)根据入侵检测系统所采用的技术不同分为异常检测、误用检测和混合型检测。误用检测是利用已知的攻击特点或系统漏洞,直接对入侵行为进行特征化描述,建立某种或某类己经发生过的入侵的特征行为模式库,如果发现当前行为与某个入侵模式一致,就表示发生了这种入侵。异常检测是建立计算机系统中正常行为的模式库,然后根据采集的数据,如果数据特征与正常行为的特征相比,出现明显的偏差,则认为是异常。
(4)根据响应方式可分为:主动响应和被动响应两种。
3.2入侵检测主要技术
(1)概率统计方法
概率统计首要做的就是建立一个统计特征轮廓,它通常由对主体特征属性变量进行统计概率分布以及偏差等来描述的。譬如:CPU的使用,I/O的使用,使用地点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。这种方法的优点在于能够检测出未知的入侵行为,同时缺点也很明显:误报、漏报率高。
(2)神经网络
基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入,其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后,该网络就形成了相应用户的特征表,于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。该技术目前还不很成熟。
(3)专家系统
早期的IDS大多是采用这种技术,将有关入侵的知识转化成if-then结构的规则,即将构成入侵所要求的条件转化为if部分,将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作。系统规则库的完备与否决定了专家系统的检测率和误检率。
(4)模型推理
模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。
(5)基于遗传算法的入侵检测
遗传算法是基于自然选择和进化的思想,把适者生存和随机的信息交换组合起来形成的一种搜索方法,其目的在于为问题提供最优的解决方案。入侵检测的过程可以抽象为:为审计事件记录定义一种向量表示形式,这种向量或者对应于攻击行为,或者代表正常行为。通过对所定义的向量进行测试,提出改进的向量表示形式,不断重复这个过程直到得到令人满意的结果。在这种方法中,遗传算法的任务是使用“适者生存”的原理,得出最佳的向量表示形式。
(6)基于数据挖掘的入侵检测
数据挖掘是从大量的数据中发掘潜在的、未知的和有用的知识,把数据挖掘用于入侵检测系统易于从大量存在的审计数据中发现正常的或入侵性的行为模式。把入侵检测过程看成是一个数据分析过程,依据数据挖掘中的方法从审计数据或数据流中发现感兴趣的知识。把发现的知识用概念、模式、规则、规律等形式表示出来,并用这些知识去验证是否是异常入侵和己知的入侵。
另外还有许多新的技术也应用于入侵检测系统的研究中,如:基于免疫学的入侵检测系统等,取得了很好的研究成果,在此不再详述。
4入侵检测技术的发展趋势
在入侵检测技术发展的同时, 入侵技术也在不断更新,网络环境也日益复杂,大通信量对数据分析也提出了新的要求。新一代的入侵检测系统需要对攻击和威胁进行更加详细的分类,最大限度的降低误报和漏报率,建立事件相关性和时间相关性分析,更好地满足网络安全的需求。
参考文献: