概述

 信息安全審計(jì)的(de)必要(yào)性

随著(zhe)政府、企事(shì)業(yè)單位等各類組§±∏α織的(de)信息化(huà)程度不(bù)斷提高(gāo)，對(✔ ∑duì)信息系統的(de)依賴程度也(yě)随之增加↔β"，如(rú)何保障信息系統安全是(shì)所有(yǒu)單位←π都(dōu)十分(fēn)關注的(de)一(yī)個(gè)問(w♦™±èn)題。當前，大(dà)部分(fēn)組織都(dōu)已對(duì)信∞Ω✔息安全系統進行(xíng)了(le)基本的(de)安全防護，如(r♠↕ú)實施防火(huǒ)牆、入侵檢測系統、防病毒系統等。 γ£然而，信息系統維護過程中依然還(hái)面€©♣ 臨著(zhe)諸多(duō)的(de)困難及風(fēng)險，σ÷λ 如(rú)：

ü  系統運維風(fēng)險：由于操作(zuò)系統、硬β&♦ε件(jiàn)、應用(yòng)程序等故障或配置錯(↔♦cuò)誤導緻系統異常運行(xíng)，服務中斷。這(zhè₩✘$)些(xiē)異常行(xíng)為(wèi)往πε∞φ往會(huì)事(shì)先在系統及各類日(rì)志>✔✘(zhì)中有(yǒu)所反映，如(rú)果缺乏有('"±yǒu)效的(de)日(rì)志(zhì)審計(jì)手段，就(jiù)無法↕₹₹π及時(shí)發現(xiàn)這(zhè)些(←βΩ↓xiē)安全隐患。

ü  網絡資源濫用(yòng)：大(dà)部分(fē≈‍☆n)企業(yè)對(duì)員(yuán)工(gōng)的(deγ₽♦→)上(shàng)網行(xíng)為(wèi)都(dōu)不(bù®×)進行(xíng)直接控制(zhì)，因此員(yuán)工(gōng)←∞不(bù)适當或濫用(yòng)公司網絡資源的(de)行(xínα≤♠₩g)為(wèi)時(shí)有(yǒu)發生(shēng)，如(r•σú)進行(xíng)BT下(xià)載、觀看(kàn)在線電(diàn)™γβ影(yǐng)、網上(shàng)聊天以及§π★"訪問(wèn)非法網站(zhàn)的(de)相(xε™>iàng)關行(xíng)為(wèi)等等，這(zhè)不(bù♠φ)僅是(shì)對(duì)公司管理(lε'×ǐ)制(zhì)度的(de)挑戰，更使企業✔ ∑(yè)在國(guó)家(jiā)相(xiàng)關法律法規的(de)符₽$₹>合性上(shàng)存在隐患，也(yě)ββ 容易造成企業(yè)資料洩密等後果。

ü  應用(yòng)及數(shù)據風(fēng)險：企業(yè)中™¶​各類應用(yòng)系統在對(duì)外(wài)服務的(de)<✔¶同時(shí)将面臨各種用(yòng)戶訪問(wèn)行(xín✔>‍→g)為(wèi)造成的(de)信息安全風(fēng)險，包括✘ ©§用(yòng)戶非授權訪問(wèn)、管理(lǐ)員(yuán)誤操作(z₩©uò)、黑(hēi)客惡意破壞等等，必須± 實行(xíng)有(yǒu)效的(de)安全審計(jì)手段。

ü  安全事(shì)件(jiàn)定位風(f<♣₩ēng)險：最為(wèi)嚴重和(hé)突出的(de)現(xiàn)象是(λ>shì)會(huì)出現(xiàn)大(dà)量的↕¶♥©(de)安全事(shì)件(jiàn)，一(‌∏yī)個(gè)标準的(de)網絡入侵監測系統采用(yòng÷∑")缺省的(de)策略，在一(yī)個(gè)百兆的(de)鏈接上(sh←¶àng)每天可(kě)能(néng)産生(shēng)超過千萬∞>★數(shù)量的(de)事(shì)件(jiàn)，海(hǎi)量的(d​↔®e)數(shù)據常常讓我們的(de)安全産品變得(©$de)沒有(yǒu)任何意義，即使經過調整₹α☆和(hé)優化(huà)的(de)策略，也€♦(yě)充斥著(zhe)無意義數(shù)據和(hé‍₩♦×)誤報(bào)。

ü  國(guó)家(jiā)法律法規要(yà ₩α↓o)求：《網絡安全法》、《關鍵信息基礎設施保護條例》等，都(dōu)對₹φ(duì)企業(yè)的(de)日(rì)志(zhì)保♦€存有(yǒu)明(míng)确的(de)要(yào)求。₹♥

GB/T22239-2008《信息安全技(jì)術(shù)信息系統安≥♦全等級保護基本要(yào)求》對(duì)于二級以 >→上(shàng)信息系統，在網絡安全、主機(jī)安全和πδ≠(hé)應用(yòng)安全等基本要(yào)求中明(míng)确要(yà®™o)求進行(xíng)安全審計(jì)。而日(rì)志(zhì)審β☆←↕計(jì)是(shì)符合這(zhè)些(xiē)要✔€↔Ω(yào)求的(de)基本手段。

《互聯網安全保護技(jì)術(shù)措施規定》（公安部82号令 ∞ ）第八條要(yào)求具備“記錄、跟蹤網絡運行(xíng)狀☆γ≠←态，監測、記錄用(yòng)戶各種信息、網絡安λ<↕↑全事(shì)件(jiàn)等安全審計(jì$ )功能(néng)”。

《商業(yè)銀(yín)行(xíng)內§→φ↔(nèi)部控制(zhì)指引》第一(yī)百二十六條✘₹ε₹指出“商業(yè)銀(yín)行(xíng)的(de)網絡設備、操作(zuò)≤☆系統、數(shù)據庫系統、應用(yòng)程序等均當設置必要(™ ♥₩yào)的(de)日(rì)志(zhì)。日γ✘‌ (rì)志(zhì)應當能(néng)夠滿足各類∑≥內(nèi)部和(hé)外(wài)部審計(jì)的(de)需要(yào)₩‌₽←”。

《銀(yín)行(xíng)業(yè)信息科(kē)♠← 技(jì)風(fēng)險管理(lǐ)指引》 第二十七πα•條要(yào)求銀(yín)行(xíng)業(yè)應制(zhì)定₹•&相(xiàng)關策略和(hé)流程，管理(lǐ)所有(yǒu)生(σ£✘♣shēng)産系統的(de)日(rì)志(zhì)，以∞↕支持有(yǒu)效的(de)審核、安全取證分(fēn)析和(hé)預防欺≈'詐。

《保險公司信息系統安全管理(lǐ)指引（試行(x<"πíng)）》第四十四條要(yào)求“對(duì)主機(jī)系π✘統進行(xíng)審 計(jì)，妥善管理(lǐ)并及©←時(shí)分(fēn)析處理(lǐ)審α £計(jì)記錄。對(duì)重要(yào)用(yòng)戶行(xíng)為β≠(wèi)、異常操作(zuò)和(hé)重α♣₹₩要(yào)系統命令的(de)使用(yòng)等應進行(xíng)重點審計(§♦βjì)”。

《網絡安全法》第三章(zhāng)網絡運行(xíng)安全中第一(yī)節一(÷$yī)般規定的(de)第三條要(yào)求“采取記錄、↕✔☆跟蹤網絡運行(xíng)狀态，監測、記錄網絡安全事(shì)件(jiàn)的(Ωδ™de)技(jì)術(shù)措施，并按照←✔↑✔(zhào)規定留存網絡日(rì)志(zhì)”×$£φ。

1.2 信息安全審計(jì)目标

從(cóng)信息安全風(fēng)險管理(lǐ)角度來( £lái)看(kàn)，針對(duì)各類系統的(de)運行(xíng)日¥ (rì)志(zhì)、數(shù)據庫操作(zuò)行(xíng)為(wè≤≤φ∞i)、網絡訪問(wèn)行(xíng)為(Ω wèi)的(de)審計(jì)系統是(shì)信息♣σ‍安全保障體(tǐ)系中不(bù)可(kě)或缺的(de∞ γ§)一(yī)部分(fēn)，綜合審計(jì)系統的(de)目标包括：

（1）有(yǒu)效整合現(xiàn)有(yǒ×β₩≠u)信息安全産品，形成統一(yī)的(de)安全事(shì)件(jiàn)管↔γ理(lǐ)平台；

（2）通(tōng)過全面的(de)日(rì)志(zhì•£​)及行(xíng)為(wèi)分(fēn)析彌補現(xiàn& ☆)有(yǒu)各類技(jì)術(shù)産品在威脅分(fēn)析發✘≤‍Ω現(xiàn)方面的(de)不(bù)足；

（3）為(wèi)安全事(shì)故的(de)責任追查、故障定÷φ®位提供有(yǒu)力的(de)技(jì)術(shù)手£‍ 段。

産品介紹

 産品概述

網絡訪問(wèn)行(xíng)為(wèi)審計 >£(jì)系統是(shì)北(běi)京冠程科(kē)技(jì)有(yǒu)✘'π限公司自(zì)主研發的(de)擁有(yǒδ≈♥↑u)自(zì)主知(zhī)識産權的(de)專↓λ業(yè)信息安全審計(jì)産品，系統通(tōng)過✘≤'&監測及采集信息系統中的(de)系統安全事(shì)件(jiàn)£σ、用(yòng)戶訪問(wèn)行(xíng)為(wèi)、∑∏↔&系統運行(xíng)日(rì)志(zhì)  ≈∑、系統運行(xíng)狀态等各類信息，經過規範化(hε$←uà)、過濾、歸并和(hé)告警分(fēn)析↓&↓等處理(lǐ)後，以統一(yī)格式的(de)日(rì)志(z♠≥hì)形式進行(xíng)集中存儲和(hé)管理(lǐ)，結合豐♣¥‍富的(de)日(rì)志(zhì)統計(jì)彙總​‍£及綜合分(fēn)析功能(néng)，實現(xiφ♥àn)對(duì)信息系統整體(tǐ)安全狀況的(de)全面σ×‌審計(jì)。

網絡訪問(wèn)行(xíng)為(wèi)審計(jìδε)系統專注于對(duì)信息系統中各類主機(jī)、數(δασshù)據庫、流量、應用(yòng)和(hé)設備的(de)安全事(shì ↑)件(jiàn)、用(yòng)戶行(xín±Ω✘g)為(wèi)、系統狀态的(de)實時(shí)采集、實時(shí)分(f>©ēn)析、異常報(bào)警、集中存儲和(hé)事(s'₽$hì)後分(fēn)析，是(shì)支持分(fēn)布式↑σ、跨平台的(de)統一(yī)智能(néng"•)化(huà)日(rì)志(zhì)綜合管理(lǐ)及 ☆φ≥審計(jì)設備，可(kě)以對(duì)各類網絡設備、安全設備、操作(₽ ♥zuò)系統、WEB服務、中間(jiān)件(jiàn)、數←®≤♠(shù)據庫、流量和(hé)其它應用(yòng)進行(xíφ​ng)全面的(de)安全審計(jì)。

網絡訪問(wèn)行(xíng)為(wèi)審計(j&§¥←ì)系統可(kě)以幫助企業(yè)管理(lǐ& )員(yuán)随時(shí)了(le)解整個(gè)IT系統&≤↔♣的(de)運行(xíng)情況，通(tōn ↑♣g)過實時(shí)的(de)日(rì)志(z✘∏hì)分(fēn)析及時(shí)發現(xiàn)系統異常和(hé)非法®✘←☆訪問(wèn)行(xíng)為(wèi)；另一(≈∑≤☆yī)方面，通(tōng)過事(shì)後分(fēn)析和(hé)豐 ​富的(de)報(bào)表系統，管理(lǐ)員(yuáγ♣n)可(kě)以方便高(gāo)效地(dì)對(duì)信息系統進行(←φ♥xíng)有(yǒu)針對(duì)性的(de)安全審計→→☆(jì)。遇到(dào)特殊安全事(shì)件™∞≤(jiàn)和(hé)系統故障，網絡訪問(wèn)行(xíng)¶₽為(wèi)審計(jì)系統可(kě)以确保日(rì<≤♠)志(zhì)完整性和(hé)可(kě)用(₹÷yòng)性，協助管理(lǐ)員(yuán)進行(xíng)故障快(kuài)∏♥£速定位，并提供客觀依據進行(xíng)追查和(hé)恢複。

 功能(néng)架構

   采用(yòng)組件(jiàn)式平台架構，實現(§≈←‌xiàn)了(le)分(fēn)層的(de)邏輯架構，包括：審♠π¶計(jì)數(shù)據源層、數(shù)據采集層、實時(shí)  π分(fēn)析層、存儲層、業(yè)務分(fēn)析層、δ'↔可(kě)視(shì)化(huà)展示層和(hé)用(yòng)戶'♣→ 管理(lǐ)層。如(rú)下(xià)圖所示：

  審計(jì)數(shù)據源層

審計(jì)數(shù)據源層是(shì)指審‍ λ 計(jì)數(shù)據源對(duì)象，包括各類δβ♣≥型的(de)服務器(qì)、網絡設備、安全設備、 λ數(shù)據庫、應用(yòng)系統、終端PC、視(₩•shì)頻(pín)設備等能(néng)産生(shēng)相(xiàng)關"¶日(rì)志(zhì)的(de)設備和(hé)信息系統。 審計(jì)對(duì)象須開(kāi)放(fàng)接口才可(kě)以收集到∞♥(dào)日(rì)志(zhì)，如(rú β)果審計(jì)對(duì)象開(kāi)放(fàng)的(de₩₹₩)接口是(shì)私有(yǒu)協議(yì)，系統可(kě)以通(tōng)過↑Ω>定制(zhì)開(kāi)發協議(yì)的(≠αde)方式進行(xíng)支持。

  數(shù)據采集層

數(shù)據采集層分(fēn)為(wè<‌✔↔i)日(rì)志(zhì)數(shù)據采集 ​•、數(shù)據庫數(shù)據采集、流量數(sh↓β$≠ù)據采集，日(rì)志(zhì)采集層利用(yòng)Sysl₹&π±og、Snmp Trap、Jdbc、本地(dì)文(wén)件(×&jiàn)、Sftp/Ftp遠(yuǎn©‍ )程采集文(wén)件(jiàn)、Sniffer、A<‍ ₽gent方式進行(xíng)采集，從(cóng)審計(jì)對(du‍✔•↕ì)象獲取元數(shù)據，并對(duì)數(shù©₩₩)據進行(xíng)範式化(huà)、分(fēn)類、過濾、歸并，統一(©>λ yī)推送到(dào)業(yè)務層進行(xín₹&₽g)分(fēn)析、存儲。 流量、數(shù)據庫采集層通(tōng)過交換機(jī)端口鏡像獲取網絡流♦♠量，對(duì)網絡流量進行(xíng)校(xiào)驗，重組，還(hái→×)原，解析。從(cóng)而進一(yī)步分✘"(fēn)析網絡中的(de)用(yòng)戶→γ行(xíng)為(wèi)。

  實時(shí)分(fēn)析層

通(tōng)過大(dà)數(shù)據分(fēn)析技(jì)ε©•術(shù)對(duì)實時(shí)采集過來≤λδ(lái)的(de)日(rì)志(zhì)和(hé)流量進行(xíng)$'•實時(shí)的(de)數(shù)據分(fēn)析，把采集過來(lái)的(α₩de)非結構化(huà)的(de)數(shù)據轉換成結構λ♠化(huà)的(de)數(shù)據；通(tōng)過高(gāo) ♦↕©性能(néng)海(hǎi)量數(shù)據存儲代理(lǐ)将數©®>"(shù)據進行(xíng)快(kuài)速存儲；通(tō>πng)過分(fēn)布式查詢引擎實現(xiàn)快(kuài)速查詢；≤σ通(tōng)過數(shù)據聚合引擎實現(xiàn)數(shù)↓∑據抽取。

  存儲層

采集層接收日(rì)志(zhì)和(hé)流量數(shù)據，✘₽經過大(dà)數(shù)據實時(shí)分(fēn↕'¶♥)析後，系統會(huì)把日(rì)志(zhì)±•♦β和(hé)流量數(shù)據存儲在時(shí)時(s&αhí)大(dà)數(shù)據全文(wén)搜索Elasticsearc★↑h中。經過一(yī)段時(shí)間(jiān♣ £)後，數(shù)據會(huì)進行(xíng)歸&γ☆檔處理(lǐ)，把數(shù)據存儲在H ↕γ adoop中，作(zuò)為(wèi)離(lí)線數(shù)據庫存儲✔σ。通(tōng)過Hadoop技(jì)術(shù)，可(kě'↓α)以很(hěn)方便的(de)查詢到(dào)離(lí)線歸檔數‌♣ (shù)據。

 業(yè)務分(fēn)析層

業(yè)務分(fēn)析層對(duì)采集過來(ε✔lái)的(de)在線數(shù)據或者離(lí)線數(✘€ ¶shù)據，首先根據業(yè)務模型進行(xíng)生(sh ≤ēng)成業(yè)務規則模型，然後分(fēn)析引擎會(huìε★δ)根據規則進行(xíng)關聯分(fēn)析'δ，觸發規則，生(shēng)成告警記錄。同時(shí)系統∞γ引入了(le)機(jī)器(qì)學習(xí)，對(duì)在線數(shù)>≈∞據和(hé)離(lí)線數(shù)據實時(shí)不(b♠×♣ù)間(jiān)斷的(de)進行(xíng)分(fē€♦≠n)析，發現(xiàn)異常行(xíng)為(wèi)∑≈。

  可(kě)視(shì)化(huà)展示層

面向系統的(de)使用(yòng)者，提供一(yī)個(gè)圖形化(€→huà)的(de)顯示界面，展現(xiàn)安全審計(j•≠ì)系統的(de)各功能(néng)模塊，提供性能(✘♦♥néng)監控、安全預警、業(yè)務分(fēn)析、事(shì)件(jiàn↓♣)溯源、合規報(bào)表等功能(néng)。

  用(yòng)戶管理(lǐ)層

根據使用(yòng)用(yòng)戶的(de₽∞₽)管理(lǐ)和(hé)不(bù)用(yònβ≈✘g)場(chǎng)景的(de)需求，對(duì)系統進行(xíng)權↑¶限管理(lǐ)、組件(jiàn)管理(lǐ)、報(bào)表管•♠&∞理(lǐ)及其他(tā)相(xiàng)關配置的(de)管理(lǐ)。↓π÷¥

 橫向擴展

網絡訪問(wèn)行(xíng)為(wèi)審計→σσ(jì)系統系統産品的(de)後台采用(yòng)的(de) εε是(shì)大(dà)數(shù)據全文(wén÷×)搜索技(jì)術(shù)Elasticsearch，Elasticsearδπ¥ch具有(yǒu)非常多(duō)的(de)大(dà)數(shù)據處理‍≠&(lǐ)的(de)優點：

橫向可(kě)擴展性：隻需要(yào)增加•☆←©一(yī)台服務器(qì)，啓動Elast©≈icsearch進程就(jiù)可(kě)以并入集群；

分(fēn)片機(jī)制(zhì)提供更好(hǎ​™∑₹o)的(de)分(fēn)布性：同一(yīγβ')個(gè)索引分(fēn)成多(duō)個(gè) "↔&分(fēn)片（sharding），這(zhè♠™)點類似于HDFS的(de)塊機(jī)制(zhì)；分(fēnβ↕)而治之的(de)方式來(lái)提升處理(lǐ)效率；•↕

 高(gāo)可(kě)用(yòng)：提供複制♣®§(zhì)（replica）機(jī)制(zhì)，一(yī)個(gè  <)分(fēn)片可(kě)以設置多(duō)個​♣(gè)複制(zhì)，使得(de)某台 ↕≥服務器(qì)在宕機(jī)的(de)情況下(xià)，♠&集群仍舊(jiù)可(kě)以照(zhào)常運行(xíng↔Ω∞±)，并會(huì)把服務器(qì)宕機(jī★β)丢失的(de)數(shù)據信息複制(zhì)恢複到(dào)↕¥✔其他(tā)可(kě)用(yòng)節點上™π(shàng)；

在研發産品的(de)時(shí)候，對(d>€ ↕uì)Elasticsearch進行(xíng∑↓)了(le)徹底的(de)封裝，隻需要(yào)在 £配置文(wén)件(jiàn)中增加簡單配置就(jiù)≠✘♦可(kě)完成系統的(de)橫向擴展能(néng)力。