淺析運(yùn)營支撐系統(tǒng)的業(yè)務(wù)安全審計(jì)實(shí)現(xiàn)機(jī)制
2007/01/26
安全審計(jì),其實(shí)應(yīng)該是信息系統(tǒng)建設(shè)中不可分割的一部分,是信息系統(tǒng)安全建設(shè)中最關(guān)鍵的一個(gè)環(huán)節(jié),是信息系統(tǒng)安全運(yùn)行的“最終守護(hù)者”�����。
但是�����,在相當(dāng)長一段時(shí)間內(nèi)�,運(yùn)營商將更多的注意力放在了內(nèi)外隔離�����、病毒防護(hù)���、網(wǎng)絡(luò)入侵防范等領(lǐng)域����;在涉及信息安全建設(shè)時(shí)�,似乎就是防火墻、入侵檢測�����、病毒防護(hù)這“老三篇”�����。
現(xiàn)實(shí)情況是:當(dāng)運(yùn)營商的運(yùn)營支撐系統(tǒng)變得越來越龐大�,當(dāng)運(yùn)營商傳統(tǒng)的手工作業(yè)越來越多地被計(jì)算機(jī)替代,當(dāng)運(yùn)營商越來越疏遠(yuǎn)鋼筆、紙張��、保險(xiǎn)箱�����、會(huì)計(jì)賬簿����,運(yùn)營商的擔(dān)心越來越多。同時(shí)�,也實(shí)際出現(xiàn)了越來越多的安全事故。
誰動(dòng)了我的數(shù)據(jù)���?誰竊取了我的財(cái)富�����!
這個(gè)問題一直困擾這運(yùn)營商核心業(yè)務(wù)系統(tǒng)的建設(shè)者���、管理者、使用者��。
隨著“薩班斯(SOX)法案”的實(shí)施���,這個(gè)問題一下變得十分的清晰和嚴(yán)峻:內(nèi)審和內(nèi)控����!原來那個(gè)一直讓運(yùn)營商惴惴不安的威脅來自于內(nèi)部�!
如果說通過實(shí)施防火墻、入侵檢測��、病毒防護(hù)技術(shù)使得信息系統(tǒng)具備了相當(dāng)?shù)牡钟鶃碜酝獠康耐{的能力���,那么�,當(dāng)運(yùn)營商進(jìn)一步關(guān)注“內(nèi)控”時(shí)�,運(yùn)營商應(yīng)該采樣什么樣的技術(shù)呢?
答案是“內(nèi)部管理”和“安全審計(jì)”�����,并應(yīng)當(dāng)將更多精力圍繞核心業(yè)務(wù)系統(tǒng)來展開��。
下面����,首先考察一下主流安全審計(jì)技術(shù)的基本實(shí)現(xiàn)原理。
主流安全審計(jì)技術(shù)淺析
就目前主流安全審計(jì)產(chǎn)品的實(shí)現(xiàn)形態(tài)上來看�,基本的技術(shù)有兩類:日志收集型和網(wǎng)絡(luò)探測型�。
基于日志收集技術(shù)的審計(jì)
這是較早的���、較為傳統(tǒng)的審計(jì)方式����,主要收集并分析各種日志��。登入����、登出、添加���、刪除�����、修改�����、更新等活動(dòng)����,應(yīng)用日志、操作系統(tǒng)日志����、數(shù)據(jù)庫日志、網(wǎng)絡(luò)設(shè)備的日志等�。網(wǎng)絡(luò)設(shè)備及防火墻日志操作系統(tǒng)/應(yīng)用系統(tǒng)日志,Syslog類工具����、安全事件收集類工具���。
基于日志收集類產(chǎn)品的工作示意圖如下:
采樣這種技術(shù)的日志審計(jì)產(chǎn)品���,有著以下幾個(gè)關(guān)鍵技術(shù):
1、日志信息的獲取
某些系統(tǒng)具可基于某種通用的協(xié)議��,如Syslog協(xié)議�����、SNMP協(xié)議等�,向外傳遞日志信息;審計(jì)系統(tǒng)只要兼容這些協(xié)議����,就可以提取到日志信息�。
某些系統(tǒng)����,尤其是大量的數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)�����,沒有支持通用的協(xié)議來向外傳遞日志信息�,這就要求審計(jì)系統(tǒng)能通過某種定制的方式去獲取日志信息。
在某些系統(tǒng)中�,本身就沒有完善的日志信息,比如:數(shù)據(jù)庫系統(tǒng)在沒有啟動(dòng)自審計(jì)功能的情況下�,幾乎就沒有任何實(shí)質(zhì)性的審計(jì)信息,這就要求審計(jì)系統(tǒng)能通過其它方式來形成日志信息����,并傳遞到審計(jì)系統(tǒng)。
2����、日志信息的格式化和歸并:
各種系統(tǒng)提供的日志信息的格式可能是千奇百怪的,包含的內(nèi)容也沒有統(tǒng)一的標(biāo)準(zhǔn)����,這就要求審計(jì)系統(tǒng)具備相當(dāng)?shù)募嫒菽芰�,能夠(qū)Χ喾N格式的日志信息進(jìn)行綜合的處理�。
在對原始日志信息進(jìn)行格式化處理的基礎(chǔ)上,基于一些基本的審計(jì)準(zhǔn)則��,對這些原始的信息進(jìn)行歸并處理��,集中存儲(chǔ)到審計(jì)信息數(shù)據(jù)庫中���。
3�、基于收集的日志信息�����,建立有效的分析模型:
日志信息浩如煙海���,審計(jì)系統(tǒng)必須提供一個(gè)有效的機(jī)制對這些信息進(jìn)行匹配和過濾,如抽絲撥繭般從中分析出核心的信息��,讓使用者能迅速�����、直觀地獲取到他所關(guān)心的信息。
實(shí)際上���,上面談及的三個(gè)關(guān)鍵技術(shù)�,也是運(yùn)營商在內(nèi)控審計(jì)工作實(shí)施中�,要對日志型審計(jì)系統(tǒng)進(jìn)行重點(diǎn)考察的三個(gè)方面。
基于網(wǎng)絡(luò)探測技術(shù)的審計(jì)
利用Sniffer技術(shù)獲取通信數(shù)據(jù)并進(jìn)行會(huì)話重組和協(xié)議分析�����,對網(wǎng)絡(luò)和應(yīng)用數(shù)據(jù)進(jìn)行記錄����、回放和分析,從中發(fā)現(xiàn)潛在威脅和事件�,對于違反安全策略和規(guī)則的行為,根據(jù)安全策略發(fā)送Reset包主動(dòng)中斷網(wǎng)絡(luò)連接��。
基于網(wǎng)絡(luò)探測類產(chǎn)品的工作示意圖如下:
采樣這種技術(shù)的網(wǎng)絡(luò)審計(jì)產(chǎn)品�����,有著以下幾個(gè)關(guān)鍵技術(shù):
1�����、通信數(shù)據(jù)的獲取
網(wǎng)絡(luò)審計(jì)產(chǎn)品必須通過某種方式獲取原始的通信數(shù)據(jù),可以有兩種方式:
1) 在目標(biāo)系統(tǒng)中安裝Sniffer軟件�,對通信數(shù)據(jù)進(jìn)行偵聽,并將偵聽來的數(shù)據(jù)傳遞給網(wǎng)絡(luò)審計(jì)產(chǎn)品進(jìn)行進(jìn)一步的分析和處理�;
2) 利用網(wǎng)絡(luò)監(jiān)聽技術(shù),直接獲取網(wǎng)絡(luò)交換機(jī)上的通信流量�����,進(jìn)行分析和處理����。
目前,絕大部分的網(wǎng)絡(luò)審計(jì)產(chǎn)品均采樣第二種方式�����。
2����、對各種通信協(xié)議的解析
網(wǎng)絡(luò)審計(jì)的基本原理就是通過對通信數(shù)據(jù)的重組和分析�����,恢復(fù)出應(yīng)用系統(tǒng)的應(yīng)用層數(shù)據(jù),然后對這些應(yīng)用數(shù)據(jù)進(jìn)行記錄�、匹配和響應(yīng),因此����,一個(gè)網(wǎng)絡(luò)審計(jì)產(chǎn)品往往要對若干種通信協(xié)議進(jìn)行解析,并且具備一定的協(xié)議解析的擴(kuò)展能力����,能夠針對某些特定的通信協(xié)議,迅速地?cái)U(kuò)展支持能力��。
例如�,針對Unix系統(tǒng)的常用維護(hù)協(xié)議(Telnet、FTP����、SSH等)進(jìn)行解析,對數(shù)據(jù)庫操作協(xié)議(SQL協(xié)議)進(jìn)行解析���,對B/S或C/S類型的業(yè)務(wù)系統(tǒng)進(jìn)行解析����。
3����、提供靈活����、高效的匹配模型和方法
網(wǎng)絡(luò)審計(jì)系統(tǒng)需要面臨的幾乎是所有底層的通信數(shù)據(jù)��,這這些信息量遠(yuǎn)遠(yuǎn)高于日志審計(jì)產(chǎn)品所面臨的信息量���,這就要求網(wǎng)絡(luò)審計(jì)系統(tǒng)必須提供靈活����、高效的匹配模型�,在所解析恢復(fù)出來的海量的應(yīng)用數(shù)據(jù)中,定位關(guān)鍵的信息��,并對這些信息進(jìn)行合理的組織和存儲(chǔ)����。
同樣,上述三個(gè)關(guān)鍵技術(shù)���,也成為運(yùn)營商考察一個(gè)網(wǎng)絡(luò)審計(jì)產(chǎn)品的三個(gè)主要方面。
兩種審計(jì)技術(shù)的分析和比較
由于技術(shù)思路的不同�����,使得日志審計(jì)產(chǎn)品和網(wǎng)絡(luò)審計(jì)產(chǎn)品在很多方面存在著區(qū)別,下表給出了這兩類產(chǎn)品的比較和區(qū)別:
由于基于日志收集的審計(jì)系統(tǒng)原則上是基于目標(biāo)系統(tǒng)的原始日志信息進(jìn)行加工����、整理,因此�,這類審計(jì)產(chǎn)品并不會(huì)增加審計(jì)信息量,它更關(guān)注的是如何對原有的日志信息進(jìn)行格式化和歸并����,基于某種審計(jì)分析模型,提煉出核心的審計(jì)信息���。
從這個(gè)層面講���,基于日志收集的審計(jì)系統(tǒng)的功能難以保障系統(tǒng)的安全,而且也無法滿足事后的偵察和取證應(yīng)用��。并且安全審計(jì)并非日志功能的簡單改進(jìn)���,也并非等同主機(jī)入侵檢測����,不能夠僅僅通過網(wǎng)絡(luò)抓包、還原就能夠達(dá)到審計(jì)效果��。
基于網(wǎng)絡(luò)探測的審計(jì)系統(tǒng)原則上可以獲取所有的通信流量�,可以審計(jì)記錄所有用戶關(guān)心的內(nèi)容,因此���,在審計(jì)信息量方面��、審計(jì)粒度方面較基于日志收集的審計(jì)系統(tǒng)有很好的擴(kuò)充�。
但是�����,基于網(wǎng)絡(luò)探測的審計(jì)系統(tǒng)卻面臨如何解析多種通信協(xié)議���,尤其是業(yè)務(wù)系統(tǒng)通信協(xié)議的難題�,甚至在某些情況下����,這類審計(jì)系統(tǒng)顯得有些力不從心,比如:基于Windows圖形界面���、X-Window圖形界面的操作�����,對這類審計(jì)系統(tǒng)而言�����,就難以實(shí)現(xiàn)有效的操作審計(jì)�。
正是因?yàn)檫@兩種審計(jì)技術(shù)都存在各自的優(yōu)缺點(diǎn)����,因此,出現(xiàn)了綜合采樣兩種技術(shù)的“綜合型審計(jì)”的實(shí)際安全需求����。以下將結(jié)合在運(yùn)營商支撐系統(tǒng)領(lǐng)域的一些審計(jì)項(xiàng)目經(jīng)驗(yàn),重點(diǎn)介紹這方面的技術(shù)實(shí)現(xiàn)�����。
支撐系統(tǒng)安全審計(jì)需求
運(yùn)營商業(yè)務(wù)支撐系統(tǒng)發(fā)展至今���,應(yīng)用系統(tǒng)����、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備�、操作系統(tǒng)、數(shù)據(jù)庫由諸多的供應(yīng)商提供��,涉及多層次�、多廠家、多型號�����、多版本���。數(shù)據(jù)方面涵蓋客戶資料�、營業(yè)�����、計(jì)費(fèi)�、客服、管理諸多方面�。在人員方面涉及各個(gè)系統(tǒng)供應(yīng)商的技術(shù)支持人員、現(xiàn)場開發(fā)人員����,內(nèi)部系統(tǒng)管理人員����,業(yè)務(wù)系統(tǒng)的使用人員��。
結(jié)合現(xiàn)狀���,以日志形式檢查操作行為已遠(yuǎn)遠(yuǎn)不能滿足關(guān)鍵業(yè)務(wù)支撐系統(tǒng)的發(fā)展需求。對各個(gè)系統(tǒng)缺乏集中統(tǒng)一的訪問審計(jì)�����,無法進(jìn)行綜合分析�����,不能及時(shí)發(fā)現(xiàn)非法���、違規(guī)行為�����。需要通過安全審計(jì)避免計(jì)費(fèi)系統(tǒng)中的計(jì)費(fèi)信息不被非法修改���;保障核心客戶的信息是被拷貝�����、盜���。粶p少業(yè)務(wù)使用者�、系統(tǒng)管理員、供應(yīng)商越權(quán)訪問等問題����。
從實(shí)際運(yùn)維來看,內(nèi)部系統(tǒng)維護(hù)人員�、集成商、軟件開發(fā)商均需要登錄主機(jī)���、數(shù)據(jù)庫進(jìn)行系統(tǒng)維護(hù)和故障診斷��。開發(fā)商需要通過遠(yuǎn)程登錄����、本地登錄進(jìn)行軟件系統(tǒng)的開發(fā)、調(diào)試��、故障診斷����?赡軒砣缦聠栴}:越權(quán)訪問或越權(quán)修改系統(tǒng)信息���、違規(guī)和誤操作����、違反操作流程和管理規(guī)范����、內(nèi)外勾結(jié)獲取企業(yè)核心機(jī)密信息����。
這些問題如果不能有效地解決,將給系統(tǒng)留下很大的安全隱患��。面對如此復(fù)雜的支撐系統(tǒng)�,運(yùn)營商最需要解決的問題就是高效的監(jiān)督和管理。需要采用可用技術(shù)保證管理規(guī)范���、操作規(guī)范的執(zhí)行力度����,加強(qiáng)內(nèi)部系統(tǒng)管理和供應(yīng)商網(wǎng)絡(luò)行為的監(jiān)督;進(jìn)一步規(guī)避BOSS����、經(jīng)分、網(wǎng)管中面臨的來自設(shè)備層面�����、系統(tǒng)層面��、應(yīng)用層面��、管理層面的安全風(fēng)險(xiǎn)�。
《薩班斯法案》第404條款要求進(jìn)行評價(jià)的內(nèi)部控制包括針對與會(huì)計(jì)報(bào)表中所有重要科目和信息披露相關(guān)的所有會(huì)計(jì)認(rèn)定所實(shí)施的內(nèi)部控制,包括:
主要交易是如何啟動(dòng)����、授權(quán)、記錄���、處理和報(bào)告在財(cái)務(wù)報(bào)告中����;
用以防范或找出與重要賬戶、交易種類和披露相關(guān)的錯(cuò)誤或舞弊的內(nèi)部控制措施����;
其它重要內(nèi)控措施所依賴的內(nèi)部控制,包括一般性控制�,例如信息系統(tǒng)控制;
非經(jīng)常性��、非系統(tǒng)交易或財(cái)務(wù)估計(jì)的內(nèi)控措施�;
財(cái)務(wù)報(bào)表關(guān)賬和匯總過程中的內(nèi)控措施等等。
圍繞《薩班斯法案》第404條款的基本要求��,結(jié)合運(yùn)營商的業(yè)務(wù)支撐系統(tǒng)運(yùn)維特點(diǎn)�����,面向業(yè)務(wù)系統(tǒng)的安全審計(jì)系統(tǒng)一般應(yīng)具備以下功能:
針對主機(jī)���、數(shù)據(jù)庫、安全設(shè)備���、應(yīng)用多個(gè)層次的操作�,UNIX命令、數(shù)據(jù)庫SQL��、安全設(shè)備Syslog�����、應(yīng)用日志的細(xì)粒度審計(jì)�;其中BOSS所有重要操作,特別是對財(cái)務(wù)報(bào)表有關(guān)的操作留有系統(tǒng)日志�。
重要數(shù)據(jù)庫操作的審計(jì)主要包括數(shù)據(jù)庫進(jìn)程運(yùn)轉(zhuǎn)情況、繞過應(yīng)用軟件直接操作數(shù)據(jù)庫的違規(guī)訪問行為�、對數(shù)據(jù)庫配置的更改、數(shù)據(jù)備份操作和其他維護(hù)管理���、對重要數(shù)據(jù)的訪問和更改����、數(shù)據(jù)完整性等�。
重要應(yīng)用系統(tǒng)的審計(jì)主要針對BOSS、經(jīng)分�����、網(wǎng)管等�����。審計(jì)內(nèi)容包括:業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)情況、用戶開設(shè)/中止等重要操作���、授權(quán)更改操作��、數(shù)據(jù)提交/處理/訪問/發(fā)布操作�����、業(yè)務(wù)流程等內(nèi)容���。
提供審計(jì)記錄、告警����、實(shí)時(shí)阻斷多種控制措施,對于特別關(guān)鍵的業(yè)務(wù)�、操作����,提供原始記錄和審計(jì)憑證;
提供命令查詢���、會(huì)話查詢���、安全策略查詢等綜合查詢和報(bào)表����,并可以通過“回放”對記錄的TCP會(huì)話進(jìn)行事后重現(xiàn)�;
多種審計(jì)/查詢手段和審計(jì)報(bào)告,能夠根據(jù)需要自行定義審計(jì)報(bào)表���,以多種方式獲取系統(tǒng)的相關(guān)審計(jì)信息��。
運(yùn)行維護(hù)規(guī)范化�、制度化�,關(guān)鍵系統(tǒng)的維護(hù)操作的運(yùn)行狀況、使用狀況可視化��。
確保原有系統(tǒng)的正常運(yùn)轉(zhuǎn)���,盡量減少對原系統(tǒng)的擾動(dòng)����,盡可能使系統(tǒng)做最小修改��,并對系統(tǒng)性能產(chǎn)生最小影響。
因此����,針對運(yùn)營支撐系統(tǒng)中的安全設(shè)備和網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)和運(yùn)行狀況進(jìn)行全面的收集����、分析、評估是保障網(wǎng)絡(luò)安全的重要手段��。安全審計(jì)應(yīng)當(dāng)包括多方面���、多層次����,不是靠一套簡單產(chǎn)品就能夠全面覆蓋�����,需要建立實(shí)時(shí)�、集中、可視化審計(jì)�����,有效/及時(shí)的審查系統(tǒng)究竟是不是違背安全策略�����,并及時(shí)定位安全隱患���。
綜合業(yè)務(wù)安全審計(jì)系統(tǒng)
結(jié)合目前主流安全審計(jì)系統(tǒng)的現(xiàn)狀����,可以提出“綜合審計(jì)”概念����,建立面向運(yùn)營商核心業(yè)務(wù)系統(tǒng),面向業(yè)務(wù)邏輯�����、數(shù)據(jù)庫與操作命令的業(yè)務(wù)安全審計(jì)系統(tǒng)�����。采用的“IP數(shù)據(jù)捕獲+日志收集+定制Agent”的混合審計(jì)機(jī)制����。將審計(jì)系統(tǒng)的職能定位為業(yè)務(wù)安全審計(jì)�,更多層面體現(xiàn)在服務(wù)于核心業(yè)務(wù)系統(tǒng)的定制化審計(jì)和報(bào)表功能����。
IP包捕獲:工作在核心交換機(jī)上,監(jiān)聽來自外部的遠(yuǎn)程操作系統(tǒng)�����、數(shù)據(jù)庫系統(tǒng)��,以及BS模式的應(yīng)用層面的訪問�����,能夠記錄�����、告警�����、統(tǒng)計(jì)和分析����;
日志收集:主要用于安全設(shè)備����、網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備�����、數(shù)據(jù)庫��,能夠設(shè)備的日志���,解決直接在服務(wù)器上面、不經(jīng)過網(wǎng)絡(luò)的訪問記錄和日志����,形成綜合報(bào)告。
定制Agent:針對需求定制專門采集引擎���,如批處理程序�,由應(yīng)用層記錄下來日志�,通過采集Agent去定時(shí)抓去過來,進(jìn)行統(tǒng)一展現(xiàn)�����。
綜合業(yè)務(wù)安全審計(jì)系統(tǒng)采用多重監(jiān)測技術(shù)復(fù)用來保障審計(jì)信息收集的完整性、分析數(shù)據(jù)源的全面性和結(jié)果的準(zhǔn)確性��,避免通過網(wǎng)絡(luò)遠(yuǎn)程訪問或直接在服務(wù)器后面接線訪問的弊端��,同時(shí)避免在服務(wù)器上加裝更多處理引擎導(dǎo)致服務(wù)器壓力增多��、避免開啟更多數(shù)據(jù)庫記錄日志對數(shù)據(jù)庫的壓力�����。
綜合業(yè)務(wù)安全審計(jì)系統(tǒng)在運(yùn)營支撐系統(tǒng)的部署示意圖如下:
業(yè)務(wù)安全審計(jì)系統(tǒng)針對具體應(yīng)用平臺(tái)(DB/OS)�、業(yè)務(wù)系統(tǒng)(BOSS/經(jīng)分/網(wǎng)管)的操作命令、業(yè)務(wù)邏輯進(jìn)行審計(jì)����。針對應(yīng)用需求,如FTP/Telnet系統(tǒng)維護(hù)����、SQL數(shù)據(jù)庫維護(hù),制定應(yīng)用級別的和審計(jì)策略�����,使得系統(tǒng)能針對具體的應(yīng)用或業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)命令級別、訪問邏輯級別的審計(jì)����。對應(yīng)用系統(tǒng)層、操作系統(tǒng)層及數(shù)據(jù)庫層的與財(cái)務(wù)報(bào)表相關(guān)的重要文件��、目錄的關(guān)鍵操作進(jìn)行審計(jì)記錄���,這包括支持對應(yīng)用系統(tǒng)、操作系統(tǒng)��、數(shù)據(jù)庫系統(tǒng)���、中間件的日志的收集���。
業(yè)務(wù)安全審計(jì)系統(tǒng)通過對IP報(bào)的分析實(shí)現(xiàn)應(yīng)用級的審計(jì),基礎(chǔ)應(yīng)用策略庫提供了基于IP報(bào)的安全策略的制定功能��������?梢灾苯泳庉嫲踩呗�,也可在俘獲的IP報(bào)的基礎(chǔ)上,學(xué)習(xí)提煉出符合需要的安全策略����。并可以通過設(shè)置來完成對通用協(xié)議,如WWW�����、POP3�、SMTP等通信的過程的審計(jì)。
根據(jù)不同的應(yīng)用協(xié)議或應(yīng)用系統(tǒng)可以開發(fā)具備應(yīng)用特征�、行業(yè)特征的應(yīng)用策略庫,如針對BOSS�、BI策略模塊是綜合業(yè)務(wù)安全審計(jì)系統(tǒng)中最具特色、最具價(jià)值的模塊�����。
業(yè)務(wù)安全審計(jì)系統(tǒng)的體系結(jié)構(gòu)應(yīng)當(dāng)包括四個(gè)層次:審計(jì)信息產(chǎn)生層��,審計(jì)信息存儲(chǔ)層���、審計(jì)信息分析層和審計(jì)信息展現(xiàn)層����。
審計(jì)信息產(chǎn)生層
產(chǎn)生層包括所有日志產(chǎn)生源。每個(gè)產(chǎn)生源都通過執(zhí)行日志產(chǎn)生程序或網(wǎng)絡(luò)探測生成日志數(shù)據(jù)�,日志集中存儲(chǔ)到審計(jì)服務(wù)器中。包括計(jì)費(fèi)�、帳務(wù)、營業(yè)���、ETL過程�����,ST過程,OLAP過程����,Web訪問、數(shù)據(jù)庫訪問���、OS訪問功能日志等�。具體包括如下幾類事件:
前端應(yīng)用:進(jìn)行業(yè)務(wù)辦理�����、多維分析�、數(shù)據(jù)挖掘����、即席查詢等操作時(shí)�����,記錄操作的對象���,如訪問了哪個(gè)報(bào)表����,同時(shí)要記錄操作者的身份���,帳號�。
OLAP及關(guān)系數(shù)據(jù)庫:結(jié)合數(shù)據(jù)庫系統(tǒng)身份設(shè)置不同的操作審計(jì)策略�����。最細(xì)粒度為SQL協(xié)議集所定義的操作命令及其對象等��。根據(jù)基本SQL命令和存儲(chǔ)過程進(jìn)行組合�,形成一個(gè)有實(shí)際意義的訪問過程。
Unix主機(jī)審計(jì):對Telnet��、FTP、RCP����、rlogin遠(yuǎn)程登錄協(xié)議進(jìn)行操作審計(jì)。預(yù)先設(shè)定好需要審計(jì)記錄或禁止的關(guān)鍵命令��、敏感操作過程����;審計(jì)的最細(xì)粒度為上述協(xié)議的操作命令及其對象。
用戶登錄事件:主要記錄登錄的用戶帳戶�����、登錄日期時(shí)間�����、登錄的地址(計(jì)算機(jī)或IP地址)和操作結(jié)果(成功或失���。
用戶注銷事件:主要記錄注銷的用戶帳戶�����、注銷日期時(shí)間和注銷的方式(正常注銷或其他)。對于管理員強(qiáng)制注銷帳戶的情形�����,還須記錄執(zhí)行操作的管理員帳戶��。
用戶管理事件:對于用戶名的創(chuàng)建���,主要記錄新增的用戶名�、事件發(fā)生的日期時(shí)間和執(zhí)行操作的管理員帳戶�����。對于用戶名的刪除�,主要記錄被刪除的用戶名、事件發(fā)生的日期時(shí)間和執(zhí)行操作的管理員帳戶�����。對于口令的更換�����,主要記錄嘗試修改口令的帳戶、事件發(fā)生的日期時(shí)間和操作的結(jié)果(成功或失���。����。對于口令的重置����,主要記錄被重置口令的帳戶、事件發(fā)生的日期事件和執(zhí)行重置操作的管理員帳戶����。
策略更改事件:涉及添加用戶或更改用戶屬性的事件發(fā)生,主要記錄添加(或更改)的時(shí)間和各個(gè)用戶的(更改前后)屬性����。系統(tǒng)管理員對影響系統(tǒng)性能的參數(shù)進(jìn)行調(diào)整時(shí),記錄相應(yīng)參數(shù)���。
審計(jì)信息存儲(chǔ)層
日志存儲(chǔ)層存儲(chǔ)由日志產(chǎn)生層產(chǎn)生的日志數(shù)據(jù)��。日志數(shù)據(jù)的傳輸可以是實(shí)時(shí)的或接近實(shí)時(shí)的,或者是基于時(shí)間段或數(shù)據(jù)量決定的批量傳輸��。日志數(shù)據(jù)采用集中存儲(chǔ)的方式存儲(chǔ)在日志服務(wù)器中。日志數(shù)據(jù)集中存儲(chǔ)在日志服務(wù)器中�����。在將數(shù)據(jù)存入審計(jì)日志服務(wù)器之前必須保證數(shù)據(jù)的真實(shí)性和完整性�。
日志存儲(chǔ)包括3個(gè)方面:
應(yīng)用程序本地存儲(chǔ),例如批處理程序?qū)懕镜厝罩疚募��,再如操作系統(tǒng)產(chǎn)生的日志�����。
日志接收服務(wù)器的本地存儲(chǔ)���,例如應(yīng)用程序?qū)懕镜厝罩镜耐瑫r(shí)���,給日志服務(wù)器發(fā)送過了的日志,該日志發(fā)送者不能更改�����。
日志數(shù)據(jù)庫�����,存儲(chǔ)格式化的日志,便于進(jìn)行統(tǒng)計(jì)分析��、審計(jì)�。
審計(jì)信息分析層
分析層通過監(jiān)測和查看日志數(shù)據(jù),自動(dòng)分析日志���,檢測到可能存在的攻擊和威脅時(shí)報(bào)警��,并且提供生成審計(jì)報(bào)告的功能����。日志接收服務(wù)器接收日志后�����,傳給日志分析服務(wù)器���,進(jìn)行檢測分析�����。
授權(quán)用戶可以修改規(guī)則集和可審計(jì)事件集��。系統(tǒng)將收集到的數(shù)據(jù)與規(guī)則集中定義的規(guī)則進(jìn)行比較�����,如果發(fā)現(xiàn)異常��,則可識別出存在潛在的安全侵害����。系統(tǒng)對定義的可審計(jì)事件的出現(xiàn)或累計(jì)出現(xiàn)進(jìn)行檢測�����,如果發(fā)現(xiàn)異常�,則可識別出潛在的安全侵害。
用戶可以通過制定符合業(yè)務(wù)特征的規(guī)則�,然后將多個(gè)規(guī)則進(jìn)行匯總、編輯和命名�,形成具備某種業(yè)務(wù)特征的規(guī)則寫入用戶自定義的規(guī)則庫。這樣����,用戶在針對某個(gè)特定用戶制定審計(jì)策略時(shí),可以直觀地使用自命名的規(guī)則進(jìn)行設(shè)置��,方便了各種策略的制定和查詢��。
審計(jì)信息展現(xiàn)層
業(yè)務(wù)安全審計(jì)系統(tǒng)可以提供多種級別審計(jì)記錄,基于時(shí)間���、用戶�����、IP地址��、服務(wù)����、命令��、策略的查詢手段��,能迅速地從審計(jì)記錄中獲取關(guān)鍵信息���。例如:登錄/登出信息�����、關(guān)鍵操作信息����、原始數(shù)據(jù)等,并提供相應(yīng)的查詢手段從審計(jì)記錄中獲取相關(guān)的信息�。針對系統(tǒng)身份、操作命令�����、關(guān)鍵操作等提供查詢手段���,管理員輸入這些信息后,能查詢到相關(guān)的內(nèi)容��,并可以進(jìn)一步跟蹤到更詳細(xì)的審計(jì)記錄�。
利用Web展示技術(shù),實(shí)現(xiàn)對審計(jì)日志的多維分析和其他分析����,可以產(chǎn)生圖形、報(bào)表等類型的分析結(jié)果�����。業(yè)務(wù)審計(jì)系統(tǒng)提供審計(jì)報(bào)表功能�,系統(tǒng)管理員可以根據(jù)自己關(guān)心的內(nèi)容設(shè)置審計(jì)報(bào)表的輸出。由于綜合業(yè)務(wù)安全審計(jì)系統(tǒng)針對網(wǎng)絡(luò)操作提供了多種層次的協(xié)議解析�,在生成審計(jì)報(bào)表時(shí)��,可以定義不同層次的輸出內(nèi)容����。
例如��,針對Unix系統(tǒng)的登錄/登出�、關(guān)鍵命令的執(zhí)行情況、流量���、TCP會(huì)話數(shù)等自動(dòng)生成審計(jì)報(bào)表�����。通過設(shè)置合理的審計(jì)報(bào)表�����,管理員可以迅速�、直觀地了解到系統(tǒng)地運(yùn)行情況����、使用情況;如果發(fā)現(xiàn)異常����,可以利用綜合業(yè)務(wù)安全審計(jì)系統(tǒng)的查詢��、分析����、跟蹤功能�����,定位出現(xiàn)問題的人員��、時(shí)間�����、操作內(nèi)容等���。
基于綜合審計(jì)理念,建立面向運(yùn)營商核心業(yè)務(wù)系統(tǒng)的綜合型業(yè)務(wù)安全審計(jì)系統(tǒng)�,可以幫助運(yùn)營商設(shè)置比較恰當(dāng)?shù)陌踩呗浴kS著業(yè)務(wù)安全審計(jì)系統(tǒng)的應(yīng)用和應(yīng)用策略庫的及時(shí)更新����,業(yè)務(wù)安全審計(jì)系統(tǒng)所提供的功能將越來越豐富���、越來越接近運(yùn)營商的實(shí)際使用需求,使得審計(jì)系統(tǒng)能盡快地發(fā)揮出最大的安全審計(jì)和內(nèi)部管理作用�����。
中國計(jì)費(fèi)網(wǎng)(www.billingchina.com)
相關(guān)鏈接: