首頁 > 精品范文 > 網(wǎng)絡(luò)行為審計
網(wǎng)絡(luò)行為審計精品(七篇)
時間:2023-09-18 17:03:55
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內(nèi)心深處的真相,好投稿為您帶來了七篇網(wǎng)絡(luò)行為審計范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創(chuàng)作。
篇(1)
關(guān)鍵詞:安全審計;監(jiān)控系統(tǒng);系統(tǒng)設(shè)計;系統(tǒng)應(yīng)用;信息網(wǎng)絡(luò)
中圖分類號:TP39;F239文獻標(biāo)識碼:A文章編號:1003-5168(2015)08-0006-3
隨著計算機技術(shù)、信息技術(shù)不斷推陳出新,各類威脅到網(wǎng)絡(luò)信息安全的因素越來越多,雖然防火墻與外部檢測技術(shù)等能夠在某種程度上防止網(wǎng)絡(luò)的外部入侵,保護數(shù)據(jù)信息不受侵犯[1]。但也會因入侵技術(shù)的更新和漏洞的長期存在而無法徹底保障網(wǎng)絡(luò)處于安全狀態(tài)。因此,在現(xiàn)有技術(shù)的基礎(chǔ)上,通過引入安全審計系統(tǒng)對用戶的網(wǎng)絡(luò)行為加以記錄,對網(wǎng)絡(luò)安全隱患給出評判具有重要的現(xiàn)實意義。
1網(wǎng)絡(luò)安全審計的必要性
1.1提高企業(yè)數(shù)據(jù)安全管理績效
近年來,我國信息化程度不斷加深,尤其新媒體技術(shù)和自媒體技術(shù)的出現(xiàn),企業(yè)信息的網(wǎng)絡(luò)化、無邊界化趨勢越來越明顯,也使得網(wǎng)絡(luò)信息安全問題不斷突顯。在這種情況下,無論是企業(yè)本身還是參與網(wǎng)絡(luò)信息提供和維護的第三方,在端口和信息通道內(nèi)都加強了對信息安全策略的部署,無論是信息的控制還是數(shù)據(jù)的授權(quán),都在大量管理制度和規(guī)則下運行。即便如此,與網(wǎng)絡(luò)信息安全相關(guān)的各類故障還是不斷出現(xiàn),甚至?xí)o企業(yè)的網(wǎng)絡(luò)運營和實際經(jīng)營都造成了消極影響。但是,當(dāng)我們對信息安全漏洞進行分析和查驗時發(fā)現(xiàn),一些嚴(yán)重的信息安全問題之所以會由于不合規(guī)、不合法而給利益相關(guān)者造成經(jīng)濟損失,其中一個重要原因便是一些內(nèi)部“合法”用戶的“非法”操作。這是因為,對于一般的網(wǎng)絡(luò)信息或者數(shù)據(jù),借助防火墻、防病毒軟件、反入侵系統(tǒng)等都能夠解決,在一定程度上能夠保證信息安全。可是一旦內(nèi)部人員在缺乏監(jiān)管的情況下進行違規(guī)操作,就會使在信息外部建立起來的防線無能為力[2]。一項最新的調(diào)查顯示,企業(yè)內(nèi)部人員是對企業(yè)網(wǎng)絡(luò)信息進行攻擊最為嚴(yán)重也最難防范的。在這種情況下,亟須提高企業(yè)的內(nèi)部審計能力,對內(nèi)部用戶的誤用、濫用信息行為進行審計和監(jiān)管,對那些可能或者已經(jīng)造成各種安全事故的人員,在要求其協(xié)助網(wǎng)管人員找出原因外,還對其按照相關(guān)法律法規(guī)進行嚴(yán)肅處理,以杜絕此類事件再次發(fā)生。
1.2提高網(wǎng)絡(luò)運維績效
當(dāng)前,在網(wǎng)絡(luò)環(huán)境中構(gòu)建統(tǒng)一的安全審計平臺,提高網(wǎng)絡(luò)運維績效,是十分必要的。在這一平臺之上,能夠?qū)χ匾O(shè)備系統(tǒng)的安全信息進行統(tǒng)一監(jiān)管,以便能夠在海量數(shù)據(jù)中挖掘出有價值的信息,使信息的獲取和使用更加有效。可見,提高網(wǎng)絡(luò)信息的可靠性和真實性,借助網(wǎng)絡(luò)信息安全審計提供網(wǎng)絡(luò)運維管理績效,是網(wǎng)絡(luò)化運營需要認(rèn)真思考的問題[3]。實際上,信息的安全防御是信息安全審計的一種,都是要在信息生產(chǎn)的源頭對其進行管理和監(jiān)控,并對可能對信息安全造成威脅的因素加以防范。而即便在信息源頭未能做到完全的安全防范,在事后也可以借助各種技術(shù)手段及時分析安全防御系統(tǒng)中可能存在的各類漏洞。甚至能夠在安全防御的過程中,對非法操作行為和動作進行還原,使違法、違規(guī)用戶的不當(dāng)操作暴露出來,為認(rèn)定其非法行為提供真實有效的客觀證據(jù)。因此,對網(wǎng)絡(luò)信息進行安全審計是一項復(fù)雜的系統(tǒng)工程,不但要規(guī)范網(wǎng)絡(luò)、主機以及數(shù)據(jù)庫的訪問行為,還要對用戶的使用習(xí)慣、信息內(nèi)容形成和改變進行監(jiān)控和審計,以便有效地完成對各類信息的監(jiān)管,提高信息質(zhì)量,為企事業(yè)單位的信息運用和網(wǎng)絡(luò)運營提供安全保障。
1.3提高網(wǎng)絡(luò)信息安全性
在網(wǎng)絡(luò)空間中,有以下安全問題值得用戶關(guān)注并予以重視:①通過訪問控制機制強化對網(wǎng)絡(luò)信息進行安全審計和信息監(jiān)控是十分必要的,這種做法不但能提高網(wǎng)絡(luò)信息的安全性,還能在訪問控制的作用下,限制外來用戶對關(guān)鍵資源的訪問,以保證非法用戶對信息或數(shù)據(jù)的入侵,同時也能對合法用戶的行為進行規(guī)范,防止因操作不當(dāng)而造成破壞[4]。需要注意的,訪問控制系統(tǒng)不但界定了訪問主體還界定了訪問,其目的在于檢測與防止系統(tǒng)中的非法訪問。而借助對訪問控制機制的管理和設(shè)計,能在很大程度上實現(xiàn)對網(wǎng)絡(luò)信息的安全審計,使網(wǎng)絡(luò)信息處在安全狀態(tài);②雖然網(wǎng)絡(luò)是開放的,但網(wǎng)絡(luò)數(shù)據(jù)卻具有私有性,只有在被授權(quán)的情況下才能讓非用戶或者原始使用者訪問,否則將被控制在不可見的范圍。為了實現(xiàn)這一點,就需要進行網(wǎng)絡(luò)安全管理,包括網(wǎng)絡(luò)安全審計,通過信息加密,比如加密關(guān)鍵字或者授權(quán)機制、訪問控制等。為了提高網(wǎng)絡(luò)信息安全水平,還要維護與檢查安全日志;③提高網(wǎng)絡(luò)信息安全性,為社會組織的網(wǎng)絡(luò)化行為提供安全保障,除了要對現(xiàn)實中傳輸?shù)男畔⑦M行安全審查外,對網(wǎng)絡(luò)中傳輸?shù)男畔⒁惨M行安全審計,通過對網(wǎng)絡(luò)操作行為的監(jiān)控,評判信息的安全等級,有針對性地對網(wǎng)絡(luò)加以控制。
2信息時代網(wǎng)絡(luò)安全審計的關(guān)鍵技術(shù)與監(jiān)控范疇
在網(wǎng)絡(luò)信息安全審計的過程中,為了最大限度地提高審計效果,不但需要借助多種信息、網(wǎng)絡(luò)和計算機技術(shù),還應(yīng)進一步界定網(wǎng)絡(luò)審計的監(jiān)控范圍,使網(wǎng)絡(luò)信息安全審計能夠在更為廣闊的領(lǐng)域得到應(yīng)用。
2.1網(wǎng)絡(luò)安全審計的關(guān)鍵技術(shù)
在前文的分析中可知,在當(dāng)前網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)信息安全的直接威脅主要來自網(wǎng)絡(luò)內(nèi)部,要建立切實有效的監(jiān)督體制,對有破壞信息安全傾向的員工進行監(jiān)督,以保障信息安全。為了實現(xiàn)這個目標(biāo),除了要在制度上加以制約外,還應(yīng)借助以下網(wǎng)絡(luò)安全審計技術(shù):①基于的網(wǎng)絡(luò)安全審計技術(shù)。借助該技術(shù)構(gòu)建起來的信息安全系統(tǒng)以網(wǎng)絡(luò)主機為載體,以分布式方式運行。這一技術(shù)雖然能夠很好地防范信息安全威脅,但是由于監(jiān)視器是這一信息系統(tǒng)的核心模塊,需要高度保護,一旦出現(xiàn)故障,就會引發(fā)其他轉(zhuǎn)發(fā)器都陷入被動境地,無法正常提交結(jié)果;②基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全審計技術(shù)。數(shù)據(jù)挖掘是近幾年被廣泛采用的信息安全技術(shù),以此為基礎(chǔ)建立起來的網(wǎng)絡(luò)安全審計系統(tǒng)能夠借助數(shù)據(jù)挖掘技術(shù)或者大數(shù)據(jù)技術(shù),以大量日志行為為樣本,對數(shù)據(jù)中體現(xiàn)出來的行為進行描述、判斷與比較,特征模型,并最終對用戶行為特征和行為結(jié)果進行界定;③基于神經(jīng)網(wǎng)絡(luò)的審計技術(shù)。神經(jīng)網(wǎng)絡(luò)是計算機應(yīng)用領(lǐng)域中廣泛采用的技術(shù),該關(guān)鍵技術(shù)的使用能夠改變網(wǎng)絡(luò)單元狀態(tài),使連接權(quán)值處在動態(tài)之中,一旦加入一個連接或者移去一個連接,就能夠向管理者指示出現(xiàn)了事件異常,需要果斷采取行動保證信息安全。單純使用該技術(shù)所產(chǎn)生的作用是十分有限的。一般情況下,要將多種技術(shù)配合使用,以便能對出現(xiàn)的異常情況做出解釋,這對確認(rèn)用戶或者事故責(zé)任人是有明顯幫助的;④借助專家系統(tǒng)構(gòu)建的網(wǎng)絡(luò)安全審計技術(shù)。該技術(shù)較于其他技術(shù)能夠?qū)⑿畔⑾到y(tǒng)的控制推理獨立出來,使問題的解決能夠借助輸入的信息。為了評估這些事實,在運行審計系統(tǒng)之前,需要編寫規(guī)則代碼,而這也恰是能夠有效防范網(wǎng)絡(luò)信息安全威脅的有效手段。
2.2網(wǎng)絡(luò)信息安全審計的監(jiān)控范疇
2.2.1信息安全審計方法。經(jīng)驗表明,一些網(wǎng)絡(luò)信息安全審計系統(tǒng)可以借助遠程登錄完成對服務(wù)器的管理和對應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的記錄等,用戶的操作行為和操作習(xí)慣會在服務(wù)器上留下痕跡。該類安全審計一般要按照以下步驟進行:采集對被審計單位的相關(guān)信息數(shù)據(jù),以保證數(shù)據(jù)的全面性與完整性;對采集到的數(shù)據(jù)信息進行綜合分析與處理,使之能夠轉(zhuǎn)換成對于審計工作對應(yīng)的數(shù)據(jù)形式;借助計算機審計軟件完成對審計數(shù)據(jù)的復(fù)核。按照業(yè)內(nèi)的經(jīng)驗,在網(wǎng)絡(luò)信息安全審計的設(shè)計過程中,需要將數(shù)據(jù)采集環(huán)節(jié)作為整個審計工作的前提與基礎(chǔ),是其中的核心環(huán)節(jié),否則,將無法保證數(shù)據(jù)的完整性、全面性和準(zhǔn)確性以及及時性,后面的審計工作也就無法正常開展。一般而言,借助互聯(lián)網(wǎng)進行審計數(shù)據(jù)的采集主要有直接讀取數(shù)據(jù)和記住數(shù)據(jù)庫連接件讀取兩種方式,它們之間具有相似性。按照這兩種方式完成數(shù)據(jù)采集,一旦其中一方數(shù)據(jù)的存儲格式改變,就應(yīng)及時對數(shù)據(jù)采集全部存儲格式進行調(diào)整。這樣就會導(dǎo)致數(shù)據(jù)采集效率和效果受到影響,降低信息安全審計的靈活性。因此,在實際操作中,要保證數(shù)據(jù)存儲格式的一致性,防止審計低效。
2.2.2信息安全審計設(shè)備。在網(wǎng)絡(luò)信息安全審計中,只要將需要管理的網(wǎng)絡(luò)設(shè)備(比如出口路由器、核心交換機、匯聚交換機與接入交換機等)添加到相關(guān)安全審計系統(tǒng)之中,就能夠獲得發(fā)送過來的SNMP數(shù)據(jù)包。隨后,信息安全審計系統(tǒng)就會對數(shù)據(jù)包依據(jù)事件的等級和重要性予以分類,以便在后續(xù)的查詢和使用中更加方便。實際上,網(wǎng)絡(luò)的信息安全設(shè)備種類繁多,具體操作方法也大同小異。只要按照不同廠商設(shè)備的設(shè)置步驟和原則,開啟對應(yīng)的SNMP功能之后,將相關(guān)設(shè)備添加到網(wǎng)絡(luò)中安全審計系統(tǒng)之后,就能夠進行相關(guān)操作。當(dāng)然,在這一過程中,要對串聯(lián)在網(wǎng)絡(luò)中的設(shè)備予以重點關(guān)注,要保證甚至能夠允許SNMP數(shù)據(jù)包通過。由此可以看出,借助安全設(shè)備實現(xiàn)對網(wǎng)絡(luò)信息的監(jiān)控和審計,能夠為網(wǎng)絡(luò)信息安全提供必要保障。當(dāng)然,由于監(jiān)控信息會不斷更新,加之由于海量數(shù)據(jù)造成的壓力,要依照實際需求確定監(jiān)控信息可以被記錄,以便能夠縮小記錄范圍,為信息安全審計提供更有價值、更具針對性的數(shù)據(jù)。
2.2.3信息安全審計流程。通過指派權(quán)限,設(shè)備管理員能夠更為直觀和真實地了解對應(yīng)設(shè)備的操作過程。如果在這一過程中出現(xiàn)了故障,可以對應(yīng)地分析和查找問題,找到解決問題的途徑。此外,網(wǎng)絡(luò)信息系統(tǒng)的類別較多,以不同平臺或者中間件定制開發(fā)的系統(tǒng)也不盡相同。在這種情況下,就需要以信息手冊為藍本,在與開發(fā)人員進行溝通之后,確定開放日志接口,并將其納入到網(wǎng)絡(luò)信息安全審計的范疇。
3網(wǎng)絡(luò)信息安全審計監(jiān)控系統(tǒng)的設(shè)計與應(yīng)用
3.1網(wǎng)絡(luò)信息安全審計系統(tǒng)的運行設(shè)計
當(dāng)前,網(wǎng)絡(luò)信息安全審計系統(tǒng)經(jīng)常使用兩個端口,其主要任務(wù)便是對聯(lián)入局域網(wǎng)系統(tǒng)的核心部位交換機與服務(wù)器進行數(shù)據(jù)和信息交換。而為了更好地收集與存放信息安全審計數(shù)據(jù),無論是系統(tǒng)日志還是安全審計系統(tǒng)的安全管控中心,都要設(shè)在同一服務(wù)器之上。這樣一來,基于網(wǎng)絡(luò)的信息安全審計系統(tǒng)就能夠在搜集安全審計系統(tǒng)內(nèi)部數(shù)據(jù)的同時,按照要求從相關(guān)子系統(tǒng)模塊中獲取數(shù)據(jù),以保證各個系統(tǒng)內(nèi)的信息實現(xiàn)共享,提高信息安全審計的效率。
3.2網(wǎng)絡(luò)信息安全審計系統(tǒng)的實現(xiàn)
網(wǎng)絡(luò)信息安全審計系統(tǒng)不但是一個能夠幫助企業(yè)完成內(nèi)部經(jīng)濟管理與效益控制的系統(tǒng),社會組織還能借助網(wǎng)絡(luò)安全監(jiān)控體系,實現(xiàn)對網(wǎng)絡(luò)操作對象的實時監(jiān)控,保證網(wǎng)絡(luò)操作中相關(guān)文件與數(shù)據(jù)的安全。這一審計系統(tǒng)的工作原理為:①借助網(wǎng)絡(luò)文件監(jiān)控能夠?qū)崿F(xiàn)消息的安全傳遞,借助標(biāo)簽維護可實現(xiàn)對安全標(biāo)簽的及時、正確處理;②借助多線程技術(shù),構(gòu)建網(wǎng)絡(luò)信息安全監(jiān)控系統(tǒng)的驅(qū)動程序消息控制模塊,實現(xiàn)對驅(qū)動程序的全程監(jiān)視,并保證信息接收與發(fā)送過程處在安全保護之中;③借助系統(tǒng)程序中的文件對用戶進程中的相關(guān)文件操作予以過濾、監(jiān)視和攔截,以保證網(wǎng)絡(luò)數(shù)據(jù)訪問處在全面審核與嚴(yán)格控制之中,使網(wǎng)絡(luò)環(huán)境中文件的安全得到保障。
3.3網(wǎng)絡(luò)信息安全審計系統(tǒng)的實際應(yīng)用
通常而言,網(wǎng)絡(luò)信息安全審計系統(tǒng)的實際應(yīng)用需要在動態(tài)管理的狀態(tài)下進行。只有這樣,才能在投入使用之后,完全、精準(zhǔn)地記錄用戶的網(wǎng)上操作行為,也能對數(shù)據(jù)庫服務(wù)器的運行予以全面監(jiān)控。比如,一旦企業(yè)員工通過“合法手段”對業(yè)務(wù)系統(tǒng)的安全性造成了威脅,那么這類“非法操作”等網(wǎng)絡(luò)行為就會被記錄和禁止。這是因為用戶的相關(guān)行為能夠映射到網(wǎng)絡(luò)信息安全審計系統(tǒng)之中,管理者能夠借此對用戶信息和相關(guān)操作進行快速定位,在極短的時間內(nèi)就能夠查出事故責(zé)任人,為信息安全運行和非法行為的處置都提供極大便利。此外,基于先進技術(shù)建立起來的網(wǎng)絡(luò)信息安全審計系統(tǒng),還可以在全局層面上監(jiān)視網(wǎng)絡(luò)安全狀況,對出現(xiàn)的任何問題都能夠予以有效把控,對那些可能造成企業(yè)重大變故或者機密、核心信息的外泄行為,能夠借助網(wǎng)絡(luò)信息實時動態(tài)監(jiān)控系統(tǒng)做出積極反應(yīng)。
參考文獻:
[1]付曉坤.網(wǎng)絡(luò)安全審計技術(shù)的運用[J].中國水運,2013(9):50-51.
[2]張文穎.探討網(wǎng)絡(luò)安全中安全審計與監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)[J].電腦知識與技術(shù),2013(16):37-38.
[3]伍閩敏.建設(shè)企業(yè)計算機網(wǎng)絡(luò)安全審計系統(tǒng)的必要性及其技術(shù)要求[J].信息安全與技術(shù),2011(12):34-36.
篇(2)
隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)逐漸成為完成業(yè)務(wù)工作不可或缺的手段,很多政府、銀行、企業(yè)紛紛將核心業(yè)務(wù)基于網(wǎng)絡(luò)來實現(xiàn)。然而,網(wǎng)絡(luò)的不斷普及帶來了大量的安全問題。目前全球數(shù)據(jù)泄密事件53.7%的是由于人為疏忽造成,15.8%是由內(nèi)部惡意竊密,23.3%是由于黑客等外部攻擊行為造成,7.2%是由于意外造成的數(shù)據(jù)丟失。根據(jù)IDC數(shù)據(jù)顯示,內(nèi)部泄密事件從46%上升到了67%,而病毒入侵從20%,下降到5%。
2.信息安全審計定義及作用
2.1信息安全審計定義
信息安全審計是針對網(wǎng)絡(luò)用戶行為進行管理[1],綜合運用網(wǎng)絡(luò)數(shù)據(jù)包獲取、協(xié)議分析、信息處理、不良流量阻斷等技術(shù)實現(xiàn)對網(wǎng)絡(luò)信息內(nèi)容傳播的有效監(jiān)管。它能夠幫助用戶對網(wǎng)絡(luò)進行動態(tài)實時監(jiān)控,記錄網(wǎng)絡(luò)中發(fā)生的一切,尋找非法和違規(guī)行為,為用戶提供事后取證手段。
2.2信息安全審計的作用
跟蹤檢測。以旁路、透明的方式實時對進出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸信息等進行數(shù)據(jù)截取和還原,并可根據(jù)用戶需求對通信內(nèi)容進行審計,提供敏感關(guān)鍵詞檢索和標(biāo)記功能,從而防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播。取證監(jiān)控。還原系統(tǒng)的相關(guān)協(xié)議,完整記錄各種信息的起始地址和使用者,識別誰訪問了系統(tǒng),訪問時間,確定是否有網(wǎng)絡(luò)攻擊的情況,確定問題和攻擊源,為調(diào)查取證提供第一手的資料。
3.其他安全產(chǎn)品安全審計方面的缺陷
防火墻只是內(nèi)外部網(wǎng)絡(luò)之間建立起隔離,控制外部對受保護網(wǎng)絡(luò)的訪問,通過控制穿越防火墻的數(shù)據(jù)流來屏蔽內(nèi)部網(wǎng)絡(luò)的敏感信息以及阻擋來自外部的威脅。入侵檢測對網(wǎng)絡(luò)中的數(shù)據(jù)包進行監(jiān)測,對一些有入侵嫌疑的包進行報警,準(zhǔn)實時性較強,但采用的數(shù)據(jù)分析算法不能過于復(fù)雜,通常只是對單個數(shù)據(jù)包或者一小段時間內(nèi)的數(shù)據(jù)包進行簡單分析判斷,誤報率和漏報率較高。漏洞掃描、防病毒等設(shè)備主要發(fā)現(xiàn)網(wǎng)絡(luò)、應(yīng)用軟件、操作系統(tǒng)的邏輯缺陷和錯誤,提早防范網(wǎng)絡(luò)、系統(tǒng)被非法入侵、攻擊;發(fā)現(xiàn)處理病毒。
4.信息安全審計系統(tǒng)的分類
主機審計:審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;統(tǒng)一安全策略,實現(xiàn)集中審計等。網(wǎng)絡(luò)審計:應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄;應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;應(yīng)對審計記錄進行保護,避免受到未預(yù)期的刪除、修改或覆蓋等。數(shù)據(jù)庫審計:審計對數(shù)據(jù)庫的操作行為,如增、刪、改等,發(fā)現(xiàn)各種非法、違規(guī)操作。業(yè)務(wù)審計:對業(yè)務(wù)系統(tǒng)的操作行為進行審計,如提交、修改業(yè)務(wù)數(shù)據(jù)等,滿足管理部門運維管理和風(fēng)險內(nèi)控需要。日至審計:審計網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)的日志,發(fā)現(xiàn)安全事件,保存證據(jù)。
5.信息安全審計系統(tǒng)的設(shè)計
主流的信息安全審計系統(tǒng)分為探針引擎和管理應(yīng)用平臺兩部分組成[2]。探針引擎的主要功能:監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù),并將數(shù)據(jù)臨時保存。將不同的數(shù)據(jù)流匯聚,形成一個應(yīng)用鏈接;根據(jù)設(shè)定的規(guī)則,對采集的數(shù)據(jù)進行初步過濾,并對采集的數(shù)據(jù)進行協(xié)議分析,提取內(nèi)容信息。如在Smtp,pop3協(xié)議中,提取郵件體和附件;將采集后的數(shù)據(jù)按規(guī)定格式存儲和傳輸。根據(jù)需要,進行傳輸加密。管理應(yīng)用平臺是由web管理平臺+控制中心+數(shù)據(jù)庫組成的三層結(jié)構(gòu)。WEB管理控制平臺主要功能:業(yè)務(wù)邏輯展現(xiàn),系統(tǒng)管理、日志管理、策略管理、報表管理、查詢統(tǒng)計分析。控制中心主要功能:文件中心主要是用于系統(tǒng)報警原始文件存儲、文件讀取;統(tǒng)計中心主要是用于定期對系統(tǒng)關(guān)鍵詞報警信息、行為日志數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)、系統(tǒng)操作行為進行分類統(tǒng)計;數(shù)據(jù)中心主要是實現(xiàn)數(shù)據(jù)庫與探針引擎之間的橋梁,實現(xiàn)策略下發(fā)、探針引擎接入控制、數(shù)據(jù)轉(zhuǎn)存功能。數(shù)據(jù)庫主要功能:用于結(jié)構(gòu)化數(shù)據(jù)的存儲。
6.信息安全審計技術(shù)在工作中的基本應(yīng)用
HTTP敏感信息檢測:HTTP協(xié)議的網(wǎng)頁瀏覽、網(wǎng)頁發(fā)帖監(jiān)測,記錄中標(biāo)網(wǎng)頁的URL、瀏覽時間、源IP、目的IP、源端口、目的端口以及源、目的MAC地址,并還原、保存原始網(wǎng)頁文件到本地磁盤。通過IP地址、域名、時間范圍、協(xié)議類型等組合查詢查看報警信息并輸出報表,通過“查看文件”鏈接查看原始瀏覽網(wǎng)頁文件內(nèi)容,通過“查看詳細(xì)”鏈接監(jiān)測報警信息的數(shù)據(jù)來源、報警協(xié)議類型、文件存放路徑等信息。郵件敏感信息檢測:SMTP,POP3中的敏感信息監(jiān)測,記錄中標(biāo)網(wǎng)頁的信息摘要、關(guān)鍵詞、接收用戶、發(fā)送用戶、IP地址,并還原、保存原始郵件到本地磁盤,系統(tǒng)默認(rèn)收、發(fā)郵件端口分別為110、25。可以通過接收用戶名、發(fā)送用戶名、時間范圍、IP地址查詢條件檢索郵件敏感信息并輸出報表,通過“查看文件”鏈接打開查看原始郵件主題、正文內(nèi)容,通過“查看詳細(xì)”鏈接監(jiān)測報警信息的數(shù)據(jù)來源、報警協(xié)議類型、文件存放路徑等信息。IP流量監(jiān)測:監(jiān)測IP主機數(shù)據(jù)流向、流量大小,按總計流量從高到低排序,并可清零流量重新統(tǒng)計。數(shù)據(jù)庫日志檢測:監(jiān)控并記錄用戶對數(shù)據(jù)庫服務(wù)器的讀、寫、查詢、添加、修改以及刪除等操作日志記錄,并記錄數(shù)據(jù)庫服務(wù)器及操作用戶的IP、登錄用戶名、MAC地址、操作時間等信息。
7.結(jié)語
如何保證網(wǎng)絡(luò)行為、信息內(nèi)容的合規(guī)性、合法性、健康性已成為網(wǎng)絡(luò)安全研究領(lǐng)域中的熱點問題。信息安全審計技術(shù)是對網(wǎng)絡(luò)行為進行檢測與防范,也是對信息系統(tǒng)建設(shè)的重要補充,將繼續(xù)在信息安全中發(fā)揮重要的作用。
作者:張楠 單位:吉林省統(tǒng)計局?jǐn)?shù)據(jù)管理中心
參考文獻:
篇(3)
在國外,隨著諸如Iso27001,薩班斯法案等信息安全標(biāo)準(zhǔn)和法規(guī)的頒布,國外的信息安全審計己經(jīng)企業(yè),得到了廣泛的應(yīng)用。而在我國,信息安全審計主要來源于企業(yè)信息安全管理的需求、企業(yè)內(nèi)控的要求并且獲得了一定規(guī)模的應(yīng)用。而隨著計算機信息安全等級保護的推進,信息安全審計必然越來越受到政府、企事業(yè)單位的重視。目前市場上存在著各種各樣的信息安全審計系統(tǒng),其功能不一,部署使用力一式也不相同。如何在等保建設(shè)中更好的應(yīng)用審計系統(tǒng),木文在以下內(nèi)容中給出了分析和建議。
1信息安全審計的意義和目的
計算機信息安全是要保證計算機信息系統(tǒng)中信息的機密性、完整性、可控性、可用性和不可否認(rèn)性(抗抵賴),簡稱五性。安全審計是這五性的重要保障之一,它對計算機信息系統(tǒng)中的所有IT資源(包括數(shù)據(jù)庫、主機、操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)行為等)進行安全審計,提供給系統(tǒng)管理員作為系統(tǒng)維護以及安全防范的依據(jù)。安全審計如同銀行的CCAV監(jiān)控系統(tǒng),任何人進出銀行,柜臺操作都進行如實錄像記錄,一旦有異常事件可以快速的查閱進出記錄和行為記錄,確定問題所在,以便采取相應(yīng)的處理措施。
信息系統(tǒng)的安全審計工作更為復(fù)雜,通過統(tǒng)一收集信息系統(tǒng)中的設(shè)備、系統(tǒng)、終端、應(yīng)用的登錄、操作日志以及其它各種網(wǎng)絡(luò)行為,例如互聯(lián)網(wǎng)訪問,F(xiàn)TP傳輸、電子郵件等記錄,通過綜合關(guān)聯(lián)分析從各類記錄中進行多層而、多視角的跟蹤、分析和處理,發(fā)現(xiàn)異常事件,及時采取相應(yīng)措施。
通過以上分析可以看到信息安全審計在信息安全管理體系中是不可缺失的部分。它的作用主要如下:
(1)對正在發(fā)生的各類信息事件進行監(jiān)控、記錄和告警;
(2)為安全主管提供審計記錄和分析決策,及時針對異常行為采取措施;
(3)通過安全審計記錄,可以對于發(fā)生的信息系統(tǒng)破壞行為提供有效的法律追究證據(jù);
(4)有效的安全審計策略和安全審計防護措施可以對潛在的攻擊者起到震懾和警告的作用。
2等級保護中安全審計問題
2.1等級保護中的安全審計要求
等級保護是我國目前在非涉密系統(tǒng)信息安全防護一個有效的政策依據(jù)。等級保護測評中對網(wǎng)絡(luò),主機,數(shù)據(jù)庫和應(yīng)用都有相應(yīng)的安全審計要求。
2.1.1各安全域通用要求
(1)審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等;
(2)應(yīng)保護審計進程,避免受到未預(yù)期的中斷;
(3)應(yīng)對審計記錄進行保護,避免受到未預(yù)期的刪除、修改或覆蓋等。
2.1.2網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備特殊要求
應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄。
2.1.3主機和數(shù)據(jù)安全審計特殊要求
(1)審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;
(2)審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等;
(3)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表。
2.2等級保護中存在的安全審計問題
在實際測評中由于企業(yè)對安全審計不夠重視導(dǎo)致存在諸多安全隱患,不但影響了測評結(jié)果也給企業(yè)帶來了安全風(fēng)險。
2.2.1網(wǎng)絡(luò)設(shè)備和安全設(shè)備存在的問題
(1)未開啟安全審計功能,或只設(shè)置了相應(yīng)的日志服務(wù)器但沒專人定期對日志分析、記錄;
(2)記錄內(nèi)容較簡單,只包含用戶登錄行為,而對設(shè)備運行情況、網(wǎng)絡(luò)告警信息、流量信息都未記錄;
(3)只是簡單的對日志進行保存,并未能運用這些數(shù)據(jù)做分析統(tǒng)計并從中發(fā)現(xiàn)問題;
(4)對審計記錄的保存未做過優(yōu)化或定期檢查,沒有專人進行維護,不能確保審計記錄不會被修改或刪除。
2.2.2主機和數(shù)據(jù)庫存在的問題
(1) LINUX系列主機安全審計功能一般都未啟,而對于WINDOWS系列的主機安全審計功能均是系統(tǒng)默認(rèn)設(shè)置。
(2)主機開啟了審計服務(wù)但審計對象只包含了操作系統(tǒng)用戶,而對數(shù)據(jù)庫用戶和其他系統(tǒng)的用戶并未進行審計。
(3)只是簡單對日志進行保存,并沒有專人對這些數(shù)據(jù)統(tǒng)進行計分析統(tǒng)計。
(4)對審計日志的記錄的內(nèi)容采取了系統(tǒng)默認(rèn)保存方法,對日志存儲位置、存儲最大值以及達到最大值后的處理都未設(shè)置。
(5)對審計進程和審計日志均沒有專人去做維護檢查,不能保證審計系統(tǒng)的安全運行,審計日志不被非法修改。
2.3等級保護中安全審計的重要性
從保測評的結(jié)果看來,不少企業(yè)對安全審計不夠重視,信息安全建設(shè)主要集中于傳統(tǒng)的信息安全基礎(chǔ)設(shè)施,如部署防火墻,IPS等。目前企業(yè)的信息安全管理主要依托于這類網(wǎng)關(guān)型安全設(shè)備上,忽略了事中監(jiān)控和事后審計溯源的安全管理。從實際測評中發(fā)現(xiàn)造成這一系列問題的主要原因是未能認(rèn)識信息安全審計的重要性,對信息安全審計所需的各類資源投入不足。有效安全審計手段的缺失不僅使企業(yè)信息安全等級保護不足,而且也使企業(yè)自身信息安全管理體系存在短板,導(dǎo)致企業(yè)存在以下安全風(fēng)險:
(1)內(nèi)部風(fēng)險:由內(nèi)部員工違規(guī)操作導(dǎo)致的安全風(fēng)險和網(wǎng)絡(luò)的非法接入帶來的風(fēng)險。
(2)第二力一維護:企業(yè)系統(tǒng)由第二力一維護所帶來的風(fēng)險。
(3)系統(tǒng)日志:單純的分析業(yè)務(wù)系統(tǒng)或者數(shù)據(jù)庫系統(tǒng)的日志,都無法對整個訪問過程是否存在風(fēng)險進行判斷。
4信息安全審計系統(tǒng)在等級保護建設(shè)中的應(yīng)用
等級保護建設(shè)中提出了很多具體的安全審計要求。不少企業(yè)不知從何處著手開展工作。信息安全審計系統(tǒng)種類繁多、針對性強,在等級保護建設(shè)過程應(yīng)該根據(jù)等級保護的具體要求并結(jié)合這些審計系統(tǒng)的特點,有針對性的進行建設(shè)才能最終滿足等級保護要求,提高企業(yè)安全水平。
4.1等保三級系統(tǒng)中網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備的安全審計
4.1.1等級保護基木要求
(1)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄;
(2)審計記錄應(yīng)包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;
(3)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;
(4)應(yīng)對審計記錄進行保護,避免受到未預(yù)期的刪除、修改或覆蓋等。
4.1.2可采用的審計系統(tǒng)
按照等級保護二級系統(tǒng)中對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備的安全審計基本要求,可采用網(wǎng)絡(luò)審計系統(tǒng)。
4.1.3符合度分析
網(wǎng)絡(luò)審計系統(tǒng)通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別,實時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量,發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為,實時報警響應(yīng),全而記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件,實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確全程跟蹤定位。
4.2等保三級系統(tǒng)中主機和數(shù)據(jù)庫的安全審計
4.2.1等級保護基木要求
(1)審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;
(2)審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和}重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;
(3) 審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等;
(4)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;
(5)應(yīng)保護審計進程,避免受到未預(yù)期的中斷;
4.2.2可采用的審計系統(tǒng)
按照等級保護二級系統(tǒng)中對主機和數(shù)據(jù)庫的安全審計基本要求,可采用終端審計系統(tǒng)、運維審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)。
5總結(jié)
篇(4)
關(guān)鍵詞:網(wǎng)絡(luò)安全審計;日志;日志格式
中圖分類號:TP311文獻標(biāo)識碼:A文章編號:1009-3044(2008)14-20803-02
1 引言
防火墻、入侵檢測系統(tǒng)和安全審計系統(tǒng)等安全產(chǎn)品為內(nèi)部網(wǎng)絡(luò)提供了良好的保護作用。安全審計系統(tǒng)提供了一種通過收集各種網(wǎng)絡(luò)信息從而發(fā)現(xiàn)有用信息的機制,將這種機制應(yīng)用于局域網(wǎng)內(nèi)部,從多種網(wǎng)絡(luò)安全產(chǎn)品中收集日志和警報信息并分析,從而實現(xiàn)效能的融合,與防火墻、入侵檢測系統(tǒng)等安全產(chǎn)品形成合力,為局域網(wǎng)的安全提供強有力的保障。
如何高效的從各種網(wǎng)絡(luò)設(shè)備所生成的海量的日志數(shù)據(jù)信息中提取有用信息,通過格式的統(tǒng)一整合后為安全審計系統(tǒng)提供統(tǒng)一接口,這是安全審計系統(tǒng)一項十分關(guān)鍵的工作,也是影響整個系統(tǒng)性能的一個重要因素,本文就此進行探討。
2 安全審計系統(tǒng)的功能需求
安全監(jiān)控與審計技術(shù)通過實時監(jiān)控網(wǎng)絡(luò)活動,分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、跟蹤識別違反安全法則的行為等功能,使系統(tǒng)管理員可以有效地監(jiān)控、評估自己的系統(tǒng)和網(wǎng)絡(luò)。監(jiān)控審計技術(shù)是對防火墻和入侵檢測系統(tǒng)的有效補充,彌補了傳統(tǒng)防火墻對網(wǎng)絡(luò)傳輸內(nèi)容粗粒度(傳輸層以下)的控制不足,同時作為一種重要的網(wǎng)絡(luò)安全防范手段,對檢測手段單一的入侵檢測系統(tǒng)也是有益的補充,能及時對網(wǎng)絡(luò)進行監(jiān)控,規(guī)范網(wǎng)絡(luò)的使用[1]。
目前,安全審計系統(tǒng)是網(wǎng)絡(luò)安全領(lǐng)域的一個研究熱點,許多研究者都提出了不同的系統(tǒng)模型,這包括對內(nèi)容進行審計的安全審計系統(tǒng)、對用戶行為進行審計的安全審計系統(tǒng)以及對各種安全設(shè)備生成的日志進行審計的安全審計系統(tǒng)等等。
基于日志的網(wǎng)絡(luò)安全審計系統(tǒng)是一個日志接收與日志分析的審計系統(tǒng),該系統(tǒng)能夠接收、分析審計局域網(wǎng)內(nèi)的防火墻、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品生成的日志,審計局域網(wǎng)內(nèi)的網(wǎng)絡(luò)信息安全。基于日志的網(wǎng)絡(luò)安全審計系統(tǒng)的功能需求如下:
(1) 集中管理:審計系統(tǒng)通過提供一個統(tǒng)一的集中管理平臺,實現(xiàn)對日志、安全審計中心、日志數(shù)據(jù)庫的集中管理,包括對日包更新、備份和刪除等操作。
(2) 能采集各種操作系統(tǒng)的日志,防火墻系統(tǒng)日志,入侵檢測系統(tǒng)日志,網(wǎng)絡(luò)交換及路由設(shè)備的日志,各種服務(wù)和應(yīng)用系統(tǒng)日志,并且具備處理多日志來源、多種不同格式日志的能力。
(3) 審計系統(tǒng)不僅要能對不同來源的日志進行識別、歸類和存儲,還應(yīng)能自動將其收集到的各種日志轉(zhuǎn)換為統(tǒng)一的日志格式,以供系統(tǒng)調(diào)用。并且能以多種方式查詢網(wǎng)絡(luò)中的日志記錄信息,以報表的形式顯示。
(4) 能及時發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全問題并通知管理員采取相應(yīng)措施。系統(tǒng)必須從海量的數(shù)據(jù)信息中找出可疑或危險的日志信息,并及時以響鈴、E-mail或其他方式報警,通知管理員采取應(yīng)對措施及修復(fù)漏洞。
(5) 審計系統(tǒng)的存在應(yīng)盡可能少的占用網(wǎng)絡(luò)資源,不對網(wǎng)絡(luò)造成任何不良的影響。
(6) 具備一定的隱蔽性和自我保護能力。具有隱蔽性是說系統(tǒng)的存在應(yīng)該合理“隱藏”起來,做到對于入侵者來說是透明而不易察覺系統(tǒng)的存在。
(7) 保證安全審計系統(tǒng)使用的各種數(shù)據(jù)源的安全性和有效性。若采用未經(jīng)加密的明文進行數(shù)據(jù)傳輸,很容易被截獲、篡改和偽造,工作站與服務(wù)器之間的通訊應(yīng)進行加密傳輸,可采用SSL、AES、3DES等加密方式。
(8) 具有友好的操作界面。
3 安全審計系統(tǒng)的模型概述
如圖1所示,基于日志的安全審計系統(tǒng)主要包含如下模塊:
(1) :負(fù)責(zé)收集各種日志數(shù)據(jù),包括各種操作系統(tǒng)的日志,防火墻系統(tǒng)日志、入侵檢測系統(tǒng)日志、網(wǎng)絡(luò)交換及路由設(shè)備的日志、各種服務(wù)和應(yīng)用系統(tǒng)日志等。定時或?qū)崟r發(fā)送到審計中心。其間,日志數(shù)據(jù)的傳送采用加密方式進行發(fā)送,防止數(shù)據(jù)被截獲、篡改和偽造。
(2) 數(shù)據(jù)預(yù)處理模塊:將采集到的日志數(shù)據(jù)經(jīng)過解密后按照數(shù)據(jù)來源存入相應(yīng)的數(shù)據(jù)庫中。
(3) 系統(tǒng)管理模塊:負(fù)責(zé)對日志、安全審計中心、日志數(shù)據(jù)庫的集中管理,包括對日志數(shù)據(jù)的更新、備份和刪除等操作。
(4) 數(shù)據(jù)處理模塊:負(fù)責(zé)自動將收集到的各種日志轉(zhuǎn)換為統(tǒng)一的日志格式,并且從海量的數(shù)據(jù)中通過模式匹配,發(fā)現(xiàn)并找出可疑或危險的日志信息,交由“日志報警處理模塊”進行處理。
(5) 日志報警處理模塊:處理已發(fā)現(xiàn)的問題,以響鈴、E-mail或其他方式報警通知管理員采取應(yīng)對措施。
(6) 數(shù)據(jù)庫模塊:負(fù)責(zé)接收、保存各種日志數(shù)據(jù),包括策略庫也存放其中。
(7) 接口模塊:供用戶訪問、查詢。
4 安全審計系統(tǒng)中有用數(shù)據(jù)整合的方法
4.1 安全審計系統(tǒng)的數(shù)據(jù)源
安全審計系統(tǒng)可以利用的日志大致分為以下四類[2]:
4.1.1 操作系統(tǒng)日志
a) Windows系統(tǒng)日志。Windows NT/2K/XP的系統(tǒng)日志文件有應(yīng)用程序日志、安全日志和系統(tǒng)日志等,日志默認(rèn)位置在%systemroot%\system32\config目錄下。Windows是使用一種特殊的格式存放它的日志文件,這種格式的文件通常只可以通過事件查看器EVENT VIEWER讀取。
b) Linux/Unix系統(tǒng)日志。在Linux/Unix系統(tǒng)中,有三個主要的日志子系統(tǒng):連接時間日志、進程統(tǒng)計日志和錯誤日志。錯誤日志――由syslogd(8)執(zhí)行。各種系統(tǒng)守護進程、用戶程序和內(nèi)核通過syslog向文件/var/log/messages報告值得注意的事件。
4.1.2 安全設(shè)備日志
安全設(shè)備日志主要是指防火墻,入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志。這部分日志格式?jīng)]有統(tǒng)一標(biāo)準(zhǔn)。目前,國內(nèi)多數(shù)防火墻支持WELF(Web Trends Enhanced Log Format)的日志格式,而多數(shù)入侵檢測系統(tǒng)的日志兼容Snort產(chǎn)生日志格式。
4.1.3 網(wǎng)絡(luò)設(shè)備日志
網(wǎng)絡(luò)設(shè)備日志是指網(wǎng)絡(luò)中交換機、路由器等網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志,這些設(shè)備日志通常遵循RFC3164(TheBSD syslog Protocol)規(guī)定的日志格式,可以通過syslogd實現(xiàn)方便的轉(zhuǎn)發(fā)和處理。一個典型的syslog記錄包括生成該記錄的進程名字、文本信息、設(shè)備和優(yōu)先級范圍等。
4.1.4 應(yīng)用系統(tǒng)日志
應(yīng)用系統(tǒng)日志包含由各種應(yīng)用程序記錄的事件。應(yīng)用系統(tǒng)的程序開發(fā)員決定記錄哪一個事件。Web應(yīng)用程序日志往往是系統(tǒng)管理員最關(guān)心的應(yīng)用系統(tǒng)日志之一。
a) Apache日志。Apache日志記錄Apache服務(wù)器處理的所有請求和出錯信息,它支持兩種格式的日志:普通記錄格式(Common Log Format),組合記錄格式(Combined Log Format)。
b) IIS日志。IIS日志文件記錄了所有訪問IIS服務(wù)程序的信息,IIS日志文件一般位于如下路徑:%systemroot%\system32\LogFiles。IIS支持“W3C擴充日志文件格式”、“NCSA通用日志格式”和“ODBC數(shù)據(jù)庫日志格式”。
篇(5)
[關(guān)鍵詞]社會資本;注冊會計師社會資本;審計質(zhì)量
[DOI]10.13939/ki.zgsc.2016.35.144
在當(dāng)今我國市場經(jīng)濟體制不斷發(fā)展的背景下,CPA審計方面的作用愈加凸顯。不僅為財務(wù)報表使用者提供了可靠的信息,還推動了我國資本市場的長足發(fā)展。然而,近幾年我國出現(xiàn)了不少財務(wù)造假事件,嚴(yán)重影響了社會各界人士對財務(wù)報表審計的信任,因此提高審計質(zhì)量已經(jīng)成為CPA行業(yè)首要解決的問題。國內(nèi)外不少的學(xué)者研究審計質(zhì)量的影響因素,幾乎沒有從社會資本的角度進行研究。鑒于此,本文試著研究注冊會計師社會資本對審計質(zhì)量的影響,以期拓寬審計質(zhì)量研究范圍。
1 社會資本及注冊會計師社會資本概述
1.1 社會資本的概念及功能
1.1.1 社會資本概念
社會資本是在物質(zhì)資本與人力資本被提出后出現(xiàn)的第三類資本。對于社會資本的定義,總體來說有三種觀點。
(1)能力觀。持該觀點的人認(rèn)為社會資本為:透過成員身份個人可以在網(wǎng)絡(luò)或更加廣泛的社會結(jié)構(gòu)中不斷提高掌握獲取稀缺資源的能力。即社會資本就是一種跟獲取稀缺資源有關(guān)的能力。
(2)資源觀。持該觀點的人認(rèn)為社會資本是一種社會資源,它能夠不斷創(chuàng)造價值。Lin Nan(2001)提出:社會資本是一種期待在市場中得到回報的資源,它往往鑲嵌在社會結(jié)構(gòu)中及社會關(guān)系中進行投資,而且制訂有計劃的步驟以獲取流動的資源。可見,社會資本、社會關(guān)系及社會網(wǎng)絡(luò)三者之間存在牢不可破的聯(lián)系。
(3)社會規(guī)范觀。Robert Putnam(1992)指出社會資本是指能夠通過運用協(xié)調(diào)有效的行動使社會效率的信任、規(guī)范及網(wǎng)絡(luò)的提高。他主要從社會規(guī)則、信任、制度這幾個方面對社會資本進行研究。強調(diào)社會資本是組織的一種特征,并且這些特征可以促進溝通與協(xié)調(diào),社會效率也就隨之提高。
1.1.2 社會資本的功能
(1)促進信息流動。由于市場機制的不完善,使得特定網(wǎng)絡(luò)位置的個體能夠獲取他人難以得到的信息,這些信息也可以為他們提供機會去使用特有的資源,并可以得到較好的回報。所以降低了交易過程中產(chǎn)生的成本。
(2)強化與認(rèn)可作用。個體作為社會網(wǎng)絡(luò)中的重要組成部分,它所掌握的社會資源能準(zhǔn)確地確認(rèn)和識別它自身的價值。行動個體如果與共存的網(wǎng)絡(luò)中的相關(guān)聯(lián)的組織或個體共享資源,則可不斷強化對其身份和社會的認(rèn)可。
(3)信任作用。一個人的身份地位可以通過該社會行動主體在其所處的社會網(wǎng)絡(luò)中的位置以及它能調(diào)動的資源的能力得到充分體現(xiàn),另一方面,這種身份地位恰恰是一種體現(xiàn)社會信任程度的證明。透過這種網(wǎng)絡(luò)關(guān)系,個人的身份足以為他積累遠遠高于個體資本的無形資源。
1.2 注冊會計師社會資本分析
1.2.1 注冊會計師社會資本概念
本文認(rèn)為,注冊會計師社會資本是指以注冊會計師個體為中心結(jié)點,組成了一個包含了社會網(wǎng)絡(luò)(地位、可獲資源、能力等)、信任及聲望的總和。由此可見,CPA的社會資本離不開所處的社會網(wǎng)絡(luò),只有在這個社會網(wǎng)絡(luò)中才會發(fā)揮其社會資本的作用。
1.2.2 注冊會計師社會資本的形成
CPA社會資本的形成受其所處環(huán)境與自身的各種因素綜合影響。CPA社會資本主要是指在這個社會網(wǎng)絡(luò)中的聲望和建立的信任。現(xiàn)今信任是個體產(chǎn)生合作的紐帶,更是累積社會資本最基礎(chǔ)的要素。因此,CPA要想提高其社會資本,首先要建立起自身的信譽度,這樣他們的專業(yè)技能才能獲得公眾的認(rèn)可。此外,他們的個人品德與社會地位也會影響其社會資本量。反之,CPA的信任與聲譽的累積過程也是其社會資本累積的過程。
1.2.3 注冊會計師社會資本對其行為的影響
社會結(jié)構(gòu)中一個非常重要的組成部分就是信任。信任水平越高,越能促進CPA的自我監(jiān)督行為。我們知道,獨立性是CPA執(zhí)行審計業(yè)務(wù)前提條件。他們保持獨立性的動力源于自身的聲譽資本,而聲譽是在社會信任的基礎(chǔ)上建立起來的。因此,社會的信任度對CPA的獨立性非常重要。他們?yōu)榱司S護其聲譽,就會自覺保持獨立性,從而避免信譽遭到損失。與其說信任聲譽高的CPA,不如說是信賴所處的社會關(guān)系網(wǎng)絡(luò)。他們在社會關(guān)系網(wǎng)絡(luò)中的地位和動用資源的能力很大程度取決于社會對他的信任度,這也是保持獨立性的重要保障。
1.2.4 注冊會計師社會資本的測量指標(biāo)
本文將CPA的社會資本細(xì)化為四個具體指標(biāo):①縱向維度;②橫向維度;③CPA聲譽;④CPA認(rèn)知維度。其中,縱向指標(biāo)與聲譽指標(biāo)反映了CPA的網(wǎng)絡(luò)資源動用能力,橫向維度、縱向維度及聲譽反映了CPA的社會關(guān)系網(wǎng)絡(luò)特征。
2 注冊會計師社會資本對審計質(zhì)量的影響
2.1 注冊會計師縱向關(guān)系網(wǎng)絡(luò)對審計質(zhì)量的影響
CPA縱向關(guān)系網(wǎng)絡(luò)主要是指與政府或其相關(guān)部門、國有企業(yè)等的社會網(wǎng)絡(luò)關(guān)系。如果在政府或其相關(guān)部門中任職過,他們的政府關(guān)系資源就會比較豐富。政府對企業(yè)起到非常重要的監(jiān)督作用。對一些違法欺詐的行為也有制裁的責(zé)任,從而保護了相關(guān)信息使用者的利益。此外,社會網(wǎng)絡(luò)結(jié)構(gòu)也要求他們秉著公正公開的原則,對企業(yè)的財務(wù)報表更好地監(jiān)督。CPA鑒于這樣的經(jīng)歷,并且在這種環(huán)境中受到正面的影響,就會堅持客觀公正的原則進行審計。
2.2 注冊會計師橫向關(guān)系網(wǎng)絡(luò)對審計質(zhì)量的影響
CPA橫向關(guān)系網(wǎng)絡(luò)主要是指與其他會計師事務(wù)所間的關(guān)系網(wǎng)絡(luò)。如果CPA在事務(wù)所所處位置發(fā)生變動,那么社會網(wǎng)絡(luò)中的結(jié)點也會發(fā)生變動。由社會信任金字塔結(jié)構(gòu)理論可知,主體之間的互相依賴有助于信任與聲譽的建立,并且任職的職位越多,主體鏈越長,就會受到更多人的關(guān)注。處事的行為便會愈加謹(jǐn)慎,處理的事項也會更復(fù)雜,累積的經(jīng)驗也就越多。這便有利于其發(fā)現(xiàn)企業(yè)的重大錯報風(fēng)險,找出各種財務(wù)信息錯誤及管理層舞弊行為。
2.3 注冊會計師的聲譽對審計質(zhì)量的影響
眾所周知,具有CPA執(zhí)業(yè)資格的個體往往是其自身價值提升的重要體現(xiàn),其自身的聲譽也會隨著自身價值的提升而提升。站在聲譽的角度,CPA也會通過努力工作提升自身的業(yè)績從而提升其聲譽。他們更加注重外界人士的評價與認(rèn)同,目的是為了維護他們的社會形象,而且有利于他們順利完成工作任務(wù)。因此,注冊會計師的聲譽對其順利開展審計工作至關(guān)重要。
2.4 注冊會計師的認(rèn)知維度對審計質(zhì)量的影響
CPA的認(rèn)知維度包括:①職業(yè)認(rèn)知能力。指是否具有積極向上的從業(yè)態(tài)度,對其從事的工作有著充分的認(rèn)知。職業(yè)認(rèn)知能力越高,注冊會計師越能更好地保持獨立性,越能避免審計意見被購買的現(xiàn)象。②專業(yè)能力。專業(yè)能力越強,掌握的知識越多,越能識別出財務(wù)報表重大錯報風(fēng)險及管理層的舞弊行為,因此能夠更好地對企業(yè)的財務(wù)報表信息進行監(jiān)督,從而提高財務(wù)報表審計質(zhì)量。
3 結(jié) 論
本文研究了CPA的社會資本對其審計質(zhì)量的影響,并將CPA社會資本細(xì)化為四個具體指標(biāo)(縱向維度、橫向維度、聲譽及認(rèn)知維度),并且發(fā)現(xiàn)這些指標(biāo)均可以提高審計質(zhì)量。然而,本文并沒有研究出一種能夠量化注冊會計師社會資本的方法,只是籠統(tǒng)地進行了理論的分析。研究不足之處有望日后加以補充與改進。
參考文獻:
篇(6)
場景篇
企業(yè)網(wǎng)絡(luò)安全風(fēng)險多因上網(wǎng)不規(guī)范
在IDC連續(xù)多年的信息安全年度報告中,總有一個結(jié)論被一再強調(diào)一企業(yè)所面臨的信息安全問題,超過80%來自于其內(nèi)部。而這80%的問題中,幾乎大半與員工個體行為有關(guān),尤其是員工濫用網(wǎng)絡(luò)的行為。
員工有意無意訪問了不恰當(dāng)?shù)馁Y源,病毒、蠕蟲、木馬、惡意代碼和間諜軟件會由網(wǎng)頁、Email、聊天工具等方式侵入到企業(yè)內(nèi)部網(wǎng)絡(luò),從而威脅到企業(yè)的網(wǎng)絡(luò)安全。
有的員工通過日益盛行的P2P下載軟件下載大容量的文件,占用了正常的網(wǎng)絡(luò)帶寬,要么造成網(wǎng)速低下,要么導(dǎo)致網(wǎng)絡(luò)堵塞,給企業(yè)的正常運營帶來了嚴(yán)重影響。
對此,一種被稱為上網(wǎng)行為管理的網(wǎng)絡(luò)安全產(chǎn)品逐漸被C10所認(rèn)識。雖然目前的網(wǎng)絡(luò)威脅越來越多,但從普遍意義上說,如果上網(wǎng)用戶規(guī)范好自己的上網(wǎng)行為,甚至是一些無知的網(wǎng)絡(luò)操作,企業(yè)的網(wǎng)絡(luò)安全風(fēng)險應(yīng)該會減少一大半。
上網(wǎng)行為管理,就是管理用戶的上網(wǎng)行為,對其行為的產(chǎn)生、過程、結(jié)果以及其它與之關(guān)聯(lián)的內(nèi)容進行綜合監(jiān)控、管理和分析,及時發(fā)現(xiàn)問題并解決問題。
在深信服公司高級產(chǎn)品經(jīng)理邱德文看來,一個行之有效的上網(wǎng)行為管理方案,需要包含一系列完整的功能,如過程跟蹤、過程記錄、行為控制、報告報表、日志分析等,而并非單純地將一些已有的防火墻,防毒墻或綜合安全網(wǎng)關(guān)之類的產(chǎn)品功能進行組合。
一般來說,一款上網(wǎng)行為管理產(chǎn)品需要具備以下三個主要功能。內(nèi)容審計,對員工的聊天內(nèi)容、訪問網(wǎng)址、來往Email等外發(fā)信息進行審計,要能保存記錄,并對敏感的內(nèi)容通過多種方式實時警告,及時發(fā)現(xiàn)員工的危險行為,避免泄密或規(guī)避法律風(fēng)險;流量控制,網(wǎng)絡(luò)管理員可以實時檢查公司員工的下載流量,及時發(fā)現(xiàn)惡意下載的員工并能迅速進行限制處理,以保障其他員工的正常上網(wǎng)需求;應(yīng)用程序控制,對BT、視頻、游戲等容易導(dǎo)致網(wǎng)絡(luò)問題的軟件可強行限制或禁止,甚至對求職、網(wǎng)絡(luò)交易等軟件和網(wǎng)站實施屏蔽,以規(guī)范員工的上網(wǎng)行為。
北京網(wǎng)康科技有限公司產(chǎn)品總監(jiān)宋強認(rèn)為,目前很多安全產(chǎn)品或多或少都具備某些上網(wǎng)行為管理功能,重要的是,單獨提及上網(wǎng)行為管理這個概念的廠商也越來越多了。上網(wǎng)行為管理已經(jīng)成為一個細(xì)分市場的潮流。
目前,關(guān)注上網(wǎng)行為管理領(lǐng)域的廠商既有國內(nèi)的也有國外的,國內(nèi)如深信服、網(wǎng)康、啟明星辰等,國外如BlueCoat、Websense等,它們在技術(shù)上各有所長,產(chǎn)品也各有特色。
從用戶角度來看,無論是國外廠商還是國內(nèi)廠商的產(chǎn)品,能夠經(jīng)得住各種規(guī)模企業(yè)用戶的實際測試,解決用戶的網(wǎng)絡(luò)管理問題,確保用戶的網(wǎng)絡(luò)安全,才是真正合適的上網(wǎng)行為管理產(chǎn)品。
建議篇
上網(wǎng)行為管理:要“有”,更要“專”
目前,市場上有些安全產(chǎn)品不僅擁有上網(wǎng)行為審計功能,還將防火墻、防毒墻、IPS等功能放到一個產(chǎn)品中,導(dǎo)致用戶誤以為該類產(chǎn)品功能強大,應(yīng)用這個設(shè)備,其他安全設(shè)備似乎都不需要了。而事實上,目前主流的硬件平臺在性能上無法滿足同時開啟如此多的功能,實際使用時,往往只能開啟其中一兩個功能模塊。
要想管理好內(nèi)網(wǎng)用戶的上網(wǎng)行為,確保企業(yè)的信息安全,最好是依靠單獨的上網(wǎng)行為管理設(shè)備,至少上網(wǎng)行為管理的技術(shù)功能要強大。不僅要“有”,而且要“專”,所謂“術(shù)業(yè)有專攻”。
由于一款主流的上網(wǎng)行為管理產(chǎn)品主要包括封堵/過濾、流控和審計三個基本功能,因此用戶在采購時,需要注意以下幾方面的問題:
識別加密應(yīng)用。近年來,很多“不良”應(yīng)用在呈現(xiàn)加密化的趨勢,例如讓網(wǎng)管“談之色變”的P2P軟件,木馬網(wǎng)站,Skype、QQ等聊天工具……在這些加密應(yīng)用面前普通的上網(wǎng)行為管理產(chǎn)品無能為力。
對此,普通低端的上網(wǎng)行為管理產(chǎn)品只能夠封堵普通的HTTP網(wǎng)站或MSN等非加密應(yīng)用,管控上存在漏洞。只有專業(yè)的上網(wǎng)行為管理產(chǎn)品才能夠?qū)用軕?yīng)用進行管控,通過全流量分析等技術(shù)實現(xiàn)對加密應(yīng)用的識別和封堵,如對加密BT、Skype、MSNShell的精確識別和封堵。
流量控制能力。強大的流量控制能力對于上網(wǎng)行為管理產(chǎn)品真正發(fā)揮功效非常重要。因為用戶需要針對應(yīng)用類別、網(wǎng)站類型、上傳下載的文件類型,結(jié)合不同用戶組和時間段進行帶寬劃分和流量管理,實現(xiàn)對核心業(yè)務(wù)的帶寬保證,對非業(yè)務(wù)應(yīng)用的帶寬限制。
例如,可為領(lǐng)導(dǎo)用戶組的視頻會議流量保證帶寬、固定預(yù)留指定帶寬資源,以保證視頻會議的通暢;在設(shè)備上創(chuàng)建新的URL分組,包含市場部同事經(jīng)常訪問的數(shù)十個行業(yè)網(wǎng)站,為市場部用戶組訪問這些行業(yè)網(wǎng)站進行帶寬動態(tài)保障,并為每個用戶細(xì)化帶寬分配策略;設(shè)計部經(jīng)常需要上傳下載CAD等大型文件,對此行為進行帶寬保障;對外提供服務(wù)的內(nèi)網(wǎng)服務(wù)器,也可以進行帶寬劃分與分配;針對所有人的P2P行為進行帶寬限制,既允許用戶使用P2P,又不會嚴(yán)重占用組織的寶貴帶寬資源。
日志庫是否完備。上網(wǎng)行為管理產(chǎn)品審計內(nèi)容后,會對信息進行統(tǒng)計匯總、分類查詢等,并支持生成圖形化的報表,數(shù)據(jù)中心功能的強大,對“信息審計”功能的發(fā)揮有著重要的意義。
首先,數(shù)據(jù)中心應(yīng)該可以獨立安裝。因為上網(wǎng)行為管理產(chǎn)品需對所有的上網(wǎng)行為進行記錄,日志量龐大。一個干人的網(wǎng)絡(luò)每周可產(chǎn)生十多GB甚至數(shù)十GB的數(shù)據(jù)。這些數(shù)據(jù)如果都存儲在上網(wǎng)行為管理設(shè)備里,不僅會很快占滿設(shè)備的存儲空間,還會影響產(chǎn)品性能。所以,上網(wǎng)行為管理產(chǎn)品的數(shù)據(jù)中心需要支持獨立安裝,這樣就實現(xiàn)了日志的海量存儲,最大限度地發(fā)揮上網(wǎng)行為管理產(chǎn)品的性能。
其次,數(shù)據(jù)中心需要支持搜索功能。目前有些上網(wǎng)行為管理產(chǎn)品雖有日志存儲,但查詢方式簡陋。
如用戶查“源代碼”這個關(guān)鍵字,只能按照人物和時間段查詢。而有些上網(wǎng)行為管理產(chǎn)品可以提供類似Google的搜索界面,通過在數(shù)據(jù)中心首頁搜索關(guān)鍵字,內(nèi)網(wǎng)用戶訪問過的網(wǎng)頁內(nèi)容、收發(fā)過的郵件及其附件,QQ中的聊天信息、上傳下載的各種文件等,只要其中有“源代碼”這個關(guān)鍵字,都可以直接查詢到。
有些廠商甚至還提供日志的主題訂閱功能,將用戶感興趣的關(guān)鍵字搜索記錄自動發(fā)送到用戶指定的郵箱,實現(xiàn)人。
性能是否夠用。如果沒有良好的性能,上網(wǎng)行為管理產(chǎn)品根本無法智能處理內(nèi)網(wǎng)的各種應(yīng)用。而且隨著用戶內(nèi)網(wǎng)規(guī)模的擴大,一旦上網(wǎng)行為管理產(chǎn)品性能不足,不僅會影響網(wǎng)速,甚至?xí)霈F(xiàn)宕機、業(yè)務(wù)中斷的危險。所以性能也是需要重點關(guān)注的問題。
應(yīng)用篇
行業(yè)差異性不容忽視
隨著互聯(lián)網(wǎng)應(yīng)用給企業(yè)帶來越來越多的方便,隨之而來的問題也越來越明顯。比如企業(yè)內(nèi)部人員透過網(wǎng)絡(luò)泄漏敏感資料,員工因私上網(wǎng)影響工作效率等等,企業(yè)網(wǎng)絡(luò)管理人員迫切需要限制員工的上網(wǎng)行為。但是,不同行業(yè)的企業(yè)員工的上網(wǎng)行為特征有所差異,對于上網(wǎng)行為管理的功能側(cè)重也有所不同。
在金融行業(yè),上網(wǎng)行為管理的重點在于對內(nèi)網(wǎng)的外發(fā)信息具有較強的審計控制能力。金融企業(yè)一般規(guī)模較大,多是上市公司,而即將實施的薩班斯法案對于上市公司的信息安全具有很高的要求,所以金融企業(yè)在選擇上網(wǎng)行為管理產(chǎn)品時,側(cè)重于選擇識別能力較強的,對于外發(fā)信息的審計和控制做得足夠好的設(shè)備以保障內(nèi)部機密信息的安全性。總之,金融企業(yè)需要一套嚴(yán)謹(jǐn)?shù)膶徲嬒到y(tǒng)來保障外發(fā)信息的安全。
另一個重點則是教育行業(yè)。教育行業(yè)用戶的特點在于內(nèi)網(wǎng)用戶數(shù)量眾多,學(xué)生數(shù)目動輒上萬,如何管理這么多的內(nèi)網(wǎng)用戶就成了CIO們的一個突出問題。隨著近些年P(guān)2P軟件應(yīng)用的流行,這種靠掠奪網(wǎng)絡(luò)資源的下載行為在各大高校的校園網(wǎng)絡(luò)里普遍存在,由此導(dǎo)致高校相對較大的出口帶寬在P2P下載面前變得擁擠起來。
強大的流量控制管理能力是教育行業(yè)用戶在使用上網(wǎng)行為管理產(chǎn)品的重點所在。另外,為避免個別激進學(xué)生通過網(wǎng)絡(luò)在BBS、非法網(wǎng)站上發(fā)表不負(fù)責(zé)任的言論,教育行業(yè)用戶往往還會強調(diào)上網(wǎng)行為管理產(chǎn)品對于外發(fā)信息的審計控制能力。
另外一些大型企業(yè)或事業(yè)單位,由于內(nèi)網(wǎng)用戶數(shù)量較多、工作職能多樣,上網(wǎng)行為管理主要針對規(guī)范員工的上網(wǎng)行為,比如使用聊天工具、視力點播、P2P下載、網(wǎng)絡(luò)炒股等,主要起到對應(yīng)用的管控和防止泄密的作用,目的是提高工作效率、保障信息安全。
對于中小企業(yè)來說,他們往往需要一套設(shè)備解決多個問題,既能保證上網(wǎng)行為管理產(chǎn)品可以劃分帶寬、合理分配流量,又要能審計外發(fā)信息,還需要具有網(wǎng)關(guān)殺毒、防火墻、防ARP欺騙,防DOS攻擊、IPS等附加功能,他們關(guān)注的是一整套問題解決方案。
至于技術(shù)的發(fā)展趨勢,上網(wǎng)行為管理產(chǎn)品未來將主要集中在識別率的不斷提高、智能化水平不斷提升上面。因為各種新的網(wǎng)站、新版本的應(yīng)用軟件在不斷地涌現(xiàn),URL庫、應(yīng)用協(xié)議識別庫等常用管理手段的更新速度再快,也不可能實現(xiàn)實時的立即更新。未來的上網(wǎng)行為管理產(chǎn)品可以自動學(xué)習(xí)新出現(xiàn)的網(wǎng)頁、應(yīng)用軟件的特征,并對其進行自動分類,再根據(jù)管理員設(shè)置的管理策略進行管理。
體驗篇
江蘇油田管控上網(wǎng)行為提升網(wǎng)絡(luò)安全性
中國石油化工股份有限公司江蘇油田分公司(以下簡稱江蘇油田)成立于2001年,其前身是1975年組建的江蘇石油勘探局。
該公司總部設(shè)在江蘇省揚州市,分支機構(gòu)遍布江蘇、安徽兩省6市12縣,員工超過15萬人,是集石油勘探開發(fā)一體化,油氣生產(chǎn)、加工與銷售配套,跨地區(qū)、跨行業(yè)的綜合性大型國有企業(yè)。
江蘇油田在行業(yè)內(nèi)率先部署了ERP系統(tǒng),但ERP運行受到網(wǎng)絡(luò)阻塞的困擾。為此,IT管理人員進行了一系列的調(diào)查與分析,最終將問題的焦點鎖定在企業(yè)網(wǎng)絡(luò)中的未授權(quán)應(yīng)用上。后經(jīng)發(fā)現(xiàn),部分員工習(xí)慣在網(wǎng)上使用諸如BT下載等未授權(quán)軟件,導(dǎo)致了網(wǎng)絡(luò)中存在大量的并發(fā)用戶,對企業(yè)網(wǎng)關(guān)造成了極大的壓力。
事實上,江蘇油田的網(wǎng)絡(luò)系統(tǒng)中充斥著大量的MSN、QQ等聊天工具,同時通過P2P下載產(chǎn)生的數(shù)據(jù)流無間斷性的在網(wǎng)絡(luò)中傳輸,占用了大量的網(wǎng)絡(luò)帶寬。
此外,幾乎所有被使用的未授權(quán)軟件都存在著一定程度上的系統(tǒng)漏洞,這些系統(tǒng)漏洞有可能成為網(wǎng)絡(luò)病毒或黑客攻擊的途徑,讓攻擊行為有機會繞過防火墻直接威脅企業(yè)的網(wǎng)絡(luò)系統(tǒng)。倘若網(wǎng)絡(luò)中應(yīng)用軟件被黑客利用,通過其中的漏洞達到盜取企業(yè)信息的目的,不但會給江蘇油田的商業(yè)利益帶來重創(chuàng),還會直接影響到國家的能源戰(zhàn)略安全。
為了解決上述問題,江蘇油田選用了基于ProxySG設(shè)備的Blue Coat上網(wǎng)行為管理解決方案,通過控制網(wǎng)關(guān)處應(yīng)用軟件的流量來節(jié)省互聯(lián)網(wǎng)帶寬,從而達到提升網(wǎng)絡(luò)訪問速度,提高關(guān)鍵業(yè)務(wù)效率的目標(biāo)。與此同時,該解決方案有效地阻止了網(wǎng)絡(luò)內(nèi)的未授權(quán)應(yīng)用,提升了企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性和勞動生產(chǎn)率,并且加強了江蘇油田的法規(guī)遵從性。
Blue Coat上網(wǎng)行為管理解決方案可以對網(wǎng)絡(luò)中的應(yīng)用進行識別和控制,將未授權(quán)應(yīng)用產(chǎn)生的網(wǎng)絡(luò)連接請求阻斷在企業(yè)網(wǎng)關(guān)處,在節(jié)省網(wǎng)絡(luò)帶寬的同時避免了病毒或者黑客利用第三方軟件漏洞繞過防火墻的攻擊威脅,提升了網(wǎng)絡(luò)的整體安全性。
中國石化集團江蘇石油勘探局信息部主任楊立民表示,江蘇油田在互聯(lián)網(wǎng)網(wǎng)關(guān)處部署了Blue Coat ProxySG設(shè)備上網(wǎng)行為管理解決方案后,能夠?qū)T工上網(wǎng)行為進行基于策略的管理,有效杜絕了網(wǎng)絡(luò)系統(tǒng)中的未授權(quán)應(yīng)用,不僅提升了網(wǎng)絡(luò)的整體安全性,還為企業(yè)節(jié)省了555的網(wǎng)絡(luò)帶寬。
上海文廣“重整”帶寬資源
作為一家省級大型新聞媒體單位,上海文廣新聞傳媒集團(簡稱上海文廣)一直非常注重于企業(yè)自身的信息化建設(shè),單位局域網(wǎng)構(gòu)建比較完善。不過,上海文廣工程師鄧旭華介紹說,由于集團特殊的工作性質(zhì),過去一直沒有對網(wǎng)絡(luò)流量實施嚴(yán)格的管控策略,于是,BT、Emule、迅雷、網(wǎng)際快車等P2P應(yīng)用占據(jù)了大部分的帶寬資源,隨著業(yè)務(wù)和應(yīng)用的不斷增加,帶寬不斷擴容,不僅上網(wǎng)成本上升,而且眾多用戶還是抱怨網(wǎng)速太慢。
同時,流量不斷上升致使互聯(lián)網(wǎng)出口的流程管理和防火墻等設(shè)備不堪重負(fù),在高峰時段CPU利用率基本上100%,導(dǎo)致網(wǎng)絡(luò)無法正常訪問,進一步惡化了上網(wǎng)環(huán)境。此外,對用戶上網(wǎng)行為也無法進行追溯,這對企業(yè)的網(wǎng)絡(luò)安全防護以及企業(yè)機密信息的保護形成了重大隱患。上海文廣認(rèn)識到,單靠增加出口帶寬和更換設(shè)備不能根本解決問題,必須對上網(wǎng)行為進行適當(dāng)?shù)墓芸睾蛯徲嫛?/p>
篇(7)
入侵檢測網(wǎng)絡(luò)安全技術(shù)
1引言
隨著信息時代的到來,電子商務(wù)、電子政務(wù),網(wǎng)絡(luò)改變?nèi)藗兊纳睿祟愐呀?jīng)進入信息化社會。計算機系統(tǒng)與網(wǎng)絡(luò)的廣泛應(yīng)用,使網(wǎng)絡(luò)安全問題成為日益矚目的焦點。單純的安全保護措施并不能保障系統(tǒng)的絕對安全,入侵檢測技術(shù)作為網(wǎng)絡(luò)安全防護技術(shù)的重要組成部分,已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域研究的熱點。
2入侵檢測的概念
入侵檢測(Intrusion Detection),顧名思義,是指對入侵行為的發(fā)現(xiàn)。入侵檢測技術(shù)是通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。
入侵檢測系統(tǒng)(IDS)則是指一套監(jiān)控和識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件,根據(jù)規(guī)則進行入侵檢測和響應(yīng)的軟件系統(tǒng)或軟件與硬件組合的系統(tǒng)。
3入侵檢測技術(shù)分析
3.1入侵檢測的分類
關(guān)于入侵檢測系統(tǒng)的分類大體可分為四類:
(1)根據(jù)入侵檢測的數(shù)據(jù)來源的不同,入侵檢測系統(tǒng)可以分為基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、混合式入侵檢測系統(tǒng)等。基于主機的入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源,保護所在的系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過在共享網(wǎng)段上對通信數(shù)據(jù)進行偵聽采集數(shù)據(jù),分析可疑現(xiàn)象,能夠?qū)崿F(xiàn)對整個網(wǎng)段的監(jiān)控、保護。混合式入侵檢測系統(tǒng)采用上述兩種數(shù)據(jù)來源,能夠同時分析來自主機系統(tǒng)的審計日志和網(wǎng)絡(luò)數(shù)據(jù)流。
(2)根據(jù)入侵檢測體系結(jié)構(gòu)的不同,將入侵檢測系統(tǒng)分為集中式入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。集中式IDS由一個集中的入侵檢測服務(wù)器和運行于各個主機上的簡單的審計程序組成,審計數(shù)據(jù)由分散的主機審計程序收集后傳送到檢測服務(wù)器,由服務(wù)器對這些數(shù)據(jù)進行分析,適用于小型網(wǎng)絡(luò)中的入侵檢測。分布式IDS的各個組件分布在網(wǎng)絡(luò)中不同的計算機上,一般來說分布性主要體現(xiàn)在數(shù)據(jù)收集和數(shù)據(jù)分析模塊上。
(3)根據(jù)入侵檢測系統(tǒng)所采用的技術(shù)不同分為異常檢測、誤用檢測和混合型檢測。誤用檢測是利用已知的攻擊特點或系統(tǒng)漏洞,直接對入侵行為進行特征化描述,建立某種或某類己經(jīng)發(fā)生過的入侵的特征行為模式庫,如果發(fā)現(xiàn)當(dāng)前行為與某個入侵模式一致,就表示發(fā)生了這種入侵。異常檢測是建立計算機系統(tǒng)中正常行為的模式庫,然后根據(jù)采集的數(shù)據(jù),如果數(shù)據(jù)特征與正常行為的特征相比,出現(xiàn)明顯的偏差,則認(rèn)為是異常。
(4)根據(jù)響應(yīng)方式可分為:主動響應(yīng)和被動響應(yīng)兩種。
3.2入侵檢測主要技術(shù)
(1)概率統(tǒng)計方法
概率統(tǒng)計首要做的就是建立一個統(tǒng)計特征輪廓,它通常由對主體特征屬性變量進行統(tǒng)計概率分布以及偏差等來描述的。譬如:CPU的使用,I/O的使用,使用地點及時間,郵件使用,編輯器使用,編譯器使用,所創(chuàng)建、刪除、訪問或改變的目錄及文件,網(wǎng)絡(luò)上活動等。這種方法的優(yōu)點在于能夠檢測出未知的入侵行為,同時缺點也很明顯:誤報、漏報率高。
(2)神經(jīng)網(wǎng)絡(luò)
基本思想是用一系列信息單元(命令)訓(xùn)練神經(jīng)單元,這樣在給定一組輸入后,就可能預(yù)測出輸出。當(dāng)前命令和剛過去的w個命令組成了網(wǎng)絡(luò)的輸入,其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個命令時所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后,該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表,于是網(wǎng)絡(luò)對下一事件的預(yù)測錯誤率在一定程度上反映了用戶行為的異常程度。該技術(shù)目前還不很成熟。
(3)專家系統(tǒng)
早期的IDS大多是采用這種技術(shù),將有關(guān)入侵的知識轉(zhuǎn)化成if-then結(jié)構(gòu)的規(guī)則,即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分,將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分。當(dāng)其中某個或某部分條件滿足時,系統(tǒng)就判斷為入侵行為發(fā)生。其中的if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫,狀態(tài)行為及其語義環(huán)境可根據(jù)審計事件得到,推理機根據(jù)規(guī)則和行為完成判斷工作。系統(tǒng)規(guī)則庫的完備與否決定了專家系統(tǒng)的檢測率和誤檢率。
(4)模型推理
模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知識被描述為:攻擊者目的,攻擊者達到此目的的可能行為步驟,以及對系統(tǒng)的特殊使用等。根據(jù)這些知識建立攻擊腳本庫,每一腳本都由一系列攻擊行為組成。
(5)基于遺傳算法的入侵檢測
遺傳算法是基于自然選擇和進化的思想,把適者生存和隨機的信息交換組合起來形成的一種搜索方法,其目的在于為問題提供最優(yōu)的解決方案。入侵檢測的過程可以抽象為:為審計事件記錄定義一種向量表示形式,這種向量或者對應(yīng)于攻擊行為,或者代表正常行為。通過對所定義的向量進行測試,提出改進的向量表示形式,不斷重復(fù)這個過程直到得到令人滿意的結(jié)果。在這種方法中,遺傳算法的任務(wù)是使用“適者生存”的原理,得出最佳的向量表示形式。
(6)基于數(shù)據(jù)挖掘的入侵檢測
數(shù)據(jù)挖掘是從大量的數(shù)據(jù)中發(fā)掘潛在的、未知的和有用的知識,把數(shù)據(jù)挖掘用于入侵檢測系統(tǒng)易于從大量存在的審計數(shù)據(jù)中發(fā)現(xiàn)正常的或入侵性的行為模式。把入侵檢測過程看成是一個數(shù)據(jù)分析過程,依據(jù)數(shù)據(jù)挖掘中的方法從審計數(shù)據(jù)或數(shù)據(jù)流中發(fā)現(xiàn)感興趣的知識。把發(fā)現(xiàn)的知識用概念、模式、規(guī)則、規(guī)律等形式表示出來,并用這些知識去驗證是否是異常入侵和己知的入侵。
另外還有許多新的技術(shù)也應(yīng)用于入侵檢測系統(tǒng)的研究中,如:基于免疫學(xué)的入侵檢測系統(tǒng)等,取得了很好的研究成果,在此不再詳述。
4入侵檢測技術(shù)的發(fā)展趨勢
在入侵檢測技術(shù)發(fā)展的同時, 入侵技術(shù)也在不斷更新,網(wǎng)絡(luò)環(huán)境也日益復(fù)雜,大通信量對數(shù)據(jù)分析也提出了新的要求。新一代的入侵檢測系統(tǒng)需要對攻擊和威脅進行更加詳細(xì)的分類,最大限度的降低誤報和漏報率,建立事件相關(guān)性和時間相關(guān)性分析,更好地滿足網(wǎng)絡(luò)安全的需求。
參考文獻:
