概述

 信息安全審計(jì)的(de)必要(yào)性

随著(zhe)政府、企事(shì)業(yè)單位等各類組織的(‌β♠de)信息化(huà)程度不(bù)斷提高(gāo)，對(duì)信息系統的(de)依賴α¶≈₹程度也(yě)随之增加，如(rú)何保障信息系統安全是(shì)所有(yǒu)單位都(dōu)十∑§分(fēn)關注的(de)一(yī)個(gè)問(wèn)題。當前，大λ$(dà)部分(fēn)組織都(dōu)已對(duì)信息安全系統進行(xíng)了↔Ω₩→(le)基本的(de)安全防護，如(rú)實施防火(huǒ)牆、÷↓↑入侵檢測系統、防病毒系統等。然而，信息系統維護過程中依然還(hái)面臨著π≠γ"(zhe)諸多(duō)的(de)困難及風(fēng)險， 如(rú)：

ü  系統運維風(fēng)險：由于操作(zuò)系統、硬件(j¥λiàn)、應用(yòng)程序等故障或配置錯(cuò)誤導緻系統異常運行(σ xíng)，服務中斷。這(zhè)些(xiē)異常行(xíng★ <♣)為(wèi)往往會(huì)事(shì)先在系統及各類日(rì)志(zhì)✘®↕•中有(yǒu)所反映，如(rú)果缺乏有(yǒu)效的(de)日(rì≥&)志(zhì)審計(jì)手段，就(jiù)無法及時(shí)發現(xiβφàn)這(zhè)些(xiē)安全隐患。

ü  網絡資源濫用(yòng)：大(dà)部分(fēn)企業(yè)對(duì)員(yuán)工( ↓₽≈gōng)的(de)上(shàng)網行(xíng)為(wèi)都(dōu)不(♥γbù)進行(xíng)直接控制(zhì)，因此員(yuán)工↔←α(gōng)不(bù)适當或濫用(yòng)公司網絡資源的(de)行(xíng)為(w趀₩i)時(shí)有(yǒu)發生(shēng)，如(rú)進行(xíng)BT下(xià)載、觀看(kàn)在線電(diàn)影(yǐng)©β、網上(shàng)聊天以及訪問(wèn)非法網站(zhàn)的(d$∑♦e)相(xiàng)關行(xíng)為(wèi)等等，這(→>zhè)不(bù)僅是(shì)對(duì)公司管理(lǐ)制(zh$§ ‌ì)度的(de)挑戰，更使企業(yè)在國(guó)家(jiā)相(xiàng)關法律法規的(de±¶→✔)符合性上(shàng)存在隐患，也(yě)容易造成企業(yè)資料洩₹ ↔γ密等後果。

ü  應用(yòng)及數(shù)據風(fēng)險：企業(yè)中各類應用(yòng∞↕)系統在對(duì)外(wài)服務的(de)同時(shíφ₩)将面臨各種用(yòng)戶訪問(wèn)行(xíng)為(wèi)造成的(de)信息安‌>全風(fēng)險，包括用(yòng)戶非授權訪問(wèn)、管理(lǐ)員(♣ &yuán)誤操作(zuò)、黑(hēi)客惡意破壞等等，✔≤必須實行(xíng)有(yǒu)效的(de)安全審計(jì)手段。

ü  安全事(shì)件(jiàn)定位風(fēng)險：最為(wèi)嚴重和(hé)突出的(de)現(xiàn)象是(shì)會(huì)出現(xià♠₹$n)大(dà)量的(de)安全事(shì)件(jiàn)，一(yī)個(™±αgè)标準的(de)網絡入侵監測系統采用(yòng)缺省的(de)策略，在一(yī÷""§)個(gè)百兆的(de)鏈接上(shàng)每天可(kě)能(n'$σΩéng)産生(shēng)超過千萬數(shù)量的(de)事(shì♦↓→)件(jiàn)，海(hǎi)量的(de)數(shù)據常常讓我們的(de)安全©φ‍産品變得(de)沒有(yǒu)任何意義，即使經過調整和 ∏✘&(hé)優化(huà)的(de)策略，也(yě)充斥著(zhe)無意義數✔☆®(shù)據和(hé)誤報(bào)。

ü  國(guó)家(jiā)法律法規要(yào)求：《網絡安全法》、《關鍵信息基礎"γ設施保護條例》等，都(dōu)對(duì)企業(yè)的(dπ¶e)日(rì)志(zhì)保存有(yǒu)明(mín‍≥g)确的(de)要(yào)求。

GB/T22239-2008《信息安全技(jì)術(shù)信息系統安全等級保護基本要(yào)求》對(duì)于二級≠¥✔£以上(shàng)信息系統，在網絡安全、主機(jī)安全和(hé)應用(yòng)安φ÷ 全等基本要(yào)求中明(míng)确要(yào)求進行(xín±×g)安全審計(jì)。而日(rì)志(zhì)審計(jì)是(shì)符合這(zhè)些(xiβ©∑®ē)要(yào)求的(de)基本手段。

《互聯網安全保護技(jì)術(shù)措施規定》（公安部82号令）第八條要(y★α÷☆ào)求具備“記錄、跟蹤網絡運行(xíng)狀态，監測、記錄用(yòng)戶各種信息、網絡‌£安全事(shì)件(jiàn)等安全審計(jì)功能(néng)”。

《商業(yè)銀(yín)行(xíng)內(nèi)部控制(zhì)指引》第一(yī)百>±εε二十六條指出“商業(yè)銀(yín)行(xíng)的(de)網絡設備、操作(zuò)系統、數(☆ ∏≠shù)據庫系統、應用(yòng)程序等均當設置必要(yào)的(de)日(rì)志(zhì)₹⧥。日(rì)志(zhì)應當能(néng)夠滿足各類內(nèi)部和(hé)外π∞ (wài)部審計(jì)的(de)需要(yào)”。

《銀(yín)行(xíng)業(yè)信息科(kē)技(jì)風(fēng)險管•★ε理(lǐ)指引》 第二十七條要(yào)求銀(yín)行(xíng)業(yè)應制(zhì¶✘↔÷)定相(xiàng)關策略和(hé)流程，管理(lǐ)所有(yǒu)生(shē÷♣♠ng)産系統的(de)日(rì)志(zhì)，以支持有(y•€♣₽ǒu)效的(de)審核、安全取證分(fēn)析和(h© ↓πé)預防欺詐。

《保險公司信息系統安全管理(lǐ)指引（試行(xíng)）》第四十四條要(yào)求“對(duì ←δΩ)主機(jī)系統進行(xíng)審 計(jì)，妥善管理(lǐ)>♦©并及時(shí)分(fēn)析處理(lǐ)審計(jì)記錄。對(duì)重要← ₽(yào)用(yòng)戶行(xíng)為(wèi)、異常操作(zuò)和(hé)重要(y↔₹ào)系統命令的(de)使用(yòng)等應進行(xíng)重點審計(jì)”。&₹

《網絡安全法》第三章(zhāng)網絡運行(xíng)安全中第一(yī)節一(yī)般規定的(¶₽£de)第三條要(yào)求“采取記錄、跟蹤網絡運行(xíng)狀态，監測、記錄網絡安全事(•✘₽shì)件(jiàn)的(de)技(jì)術(shù)措施，并按照(zhào)規定留存網絡日(rì​♥↑→)志(zhì)”。

1.2 信息安全審計(jì)目标

從(cóng)信息安全風(fēng)險管理(lǐ)角度來(lái)看(kàn)，針對(duπ≤ì)各類系統的(de)運行(xíng)日(rì)志(zhì)、數(shù)據庫操作(zuò₩‌✔♥)行(xíng)為(wèi)、網絡訪問(wèn)行(xíng)為(wèi↑σ)的(de)審計(jì)系統是(shì)信息安全保障體(tǐ)系中不(bù)可(kě)或缺±↕★ 的(de)一(yī)部分(fēn)，綜合審計(jì)系統的(d☆↑&e)目标包括：

（1）有(yǒu)效整合現(xiàn)有(yǒu)信息安全産品，形成統一(yī)的(de)安全"γ‍•事(shì)件(jiàn)管理(lǐ)平台；

（2）通(tōng)過全面的(de)日(rì)志(zhì)及行(xíng)為(wèi)分(fē←♥≤n)析彌補現(xiàn)有(yǒu)各類技(jì)術(shù)産品在威脅分(fēn)×‌析發現(xiàn)方面的(de)不(bù)足；

（3）為(wèi)安全事(shì)故的(de)責任追查、故障定位提供☆γ有(yǒu)力的(de)技(jì)術(shù)手段。

産品介紹

 産品概述

網絡訪問(wèn)行(xíng)為(wèi)審計(jì)系•÷ 統是(shì)北(běi)京冠程科(kē)技(jì)有(yǒu)限公司自(☆αzì)主研發的(de)擁有(yǒu)自(zì)主知(zhī)識産權的(de)專業(yè)信↓≥←息安全審計(jì)産品，系統通(tōng)過監測及采集信息系統中的(de)系統安$‍β全事(shì)件(jiàn)、用(yòng)戶訪問(wèn)行(xíng)為(wèi) α$€、系統運行(xíng)日(rì)志(zhì)、系統運行(xíng)狀态等各類信息，經過÷™&規範化(huà)、過濾、歸并和(hé)告警分(fēn)析等處ε§理(lǐ)後，以統一(yī)格式的(de)日(rì)志(zhì)形式進行(xíng)集中存儲和(¶™hé)管理(lǐ)，結合豐富的(de)日(rì)志(zhì)統計(jì)彙總及綜合分(≠‍fēn)析功能(néng)，實現(xiàn)對(duì)信息系統整體(tǐ)安全狀況的(Ω₹✘de)全面審計(jì)。

網絡訪問(wèn)行(xíng)為(wèi)審計(jì)系統專注于對(duì)信₽π¶息系統中各類主機(jī)、數(shù)據庫、流量、應用(yòng)和(hé)設備的♥π✔(de)安全事(shì)件(jiàn)、用(yòng)戶行♣βλ(xíng)為(wèi)、系統狀态的(de)實時(shí)采集、實時(shí)分(f¶✔₹ēn)析、異常報(bào)警、集中存儲和(hé)事(shì)後分(fēn)析，是(s••hì)支持分(fēn)布式、跨平台的(de)統一(yī)智能(néng)化(h ±± uà)日(rì)志(zhì)綜合管理(lǐ)及審計(jì)設備，可(kěφφ✔≥)以對(duì)各類網絡設備、安全設備、操作(zuò)系統、WEB服務、中間(§®αjiān)件(jiàn)、數(shù)據庫、流量和(hé)其它應用(yòng)進行(xíng)全‌& 面的(de)安全審計(jì)。

網絡訪問(wèn)行(xíng)為(wèi)審計(jì)系統可(kě)以幫助企業(yè)'φα管理(lǐ)員(yuán)随時(shí)了(le)解整個(gè)IT系統的(<‍₽de)運行(xíng)情況，通(tōng)過實時(shí)的(d÷₽e)日(rì)志(zhì)分(fēn)析及時(shí∏₽•)發現(xiàn)系統異常和(hé)非法訪問(wèn)行(xíng)為(wèi)；φ 另一(yī)方面，通(tōng)過事(shì)後分(fē&εn)析和(hé)豐富的(de)報(bào)表系統，管理(lǐ)員(yuán)可(kěσ✔•‌)以方便高(gāo)效地(dì)對(duì)信息系統進行(xíng)有(yǒu)♠£₩針對(duì)性的(de)安全審計(jì)。遇到(dào)特殊安全事(shì)件(ji€σ∏àn)和(hé)系統故障，網絡訪問(wèn)行(xíng™↔)為(wèi)審計(jì)系統可(kě)以确保日(rì)志(zhì)完整性和(hé)₩★✔σ可(kě)用(yòng)性，協助管理(lǐ)員(yuán)進行(xíng)故障快☆ ♣←(kuài)速定位，并提供客觀依據進行(xíng)追查和(hé)恢複。

 功能(néng)架構

   采用(yòng)組件(jiàn)式平台架構，實現(xiàn)了(le)分('♣Ωfēn)層的(de)邏輯架構，包括：審計(jì)數(shù)據源層、數(shù)據采集層、實時(  shí)分(fēn)析層、存儲層、業(yè)務分(fēn)析層、可(kě)視(shì$‌ §)化(huà)展示層和(hé)用(yòng)戶管理(lǐ)層。如(rú)下(xià)圖所€"示：

  審計(jì)數(shù)據源層

審計(jì)數(shù)據源層是(shì)指審計(jα↔∑ì)數(shù)據源對(duì)象，包括各類型的(de)服務器(qì)、網絡設備、安λ>β全設備、數(shù)據庫、應用(yòng)系統、終端PC、視(shì)頻(p™∑ ín)設備等能(néng)産生(shēng)相(xiàng)ε↑ β關日(rì)志(zhì)的(de)設備和(hé)信息系統。 審計(jì)對(duì)象須開(kāi)放(fàng)接口才可(↔© kě)以收集到(dào)日(rì)志(zhì)，如(rú)果審計(jì)對↔σ♦(duì)象開(kāi)放(fàng)的(de)接口是(shì)私有(yǒu)γ​•協議(yì)，系統可(kě)以通(tōng)過定制(zhì)開(kāλ₩↑i)發協議(yì)的(de)方式進行(xíng)支持λ™∑≤。

  數(shù)據采集層

數(shù)據采集層分(fēn)為(wèi)日(rì)志(zhì)數•π(shù)據采集、數(shù)據庫數(shù)據采集、流量數(<★←shù)據采集，日(rì)志(zhì)采集層利用(yòng)S↕>yslog、Snmp Trap、Jdbc、本地(dì)文(wén)件(jiàn)、S∑>≤ftp/Ftp遠(yuǎn)程采集文(wén)件(jiàn)、Sniffer、Agent方式進±‌±行(xíng)采集，從(cóng)審計(jì)對(duì)象獲取元©÷Ω數(shù)據，并對(duì)數(shù)據進行(xíng)範式化(huà)↔∑φ、分(fēn)類、過濾、歸并，統一(yī)推送到(dào)業(yè)務★₩β層進行(xíng)分(fēn)析、存儲。 流量、數(shù)據庫采集層通(tōng)過交換機(jī)γ∏®端口鏡像獲取網絡流量，對(duì)網絡流量進行(xíng)校(xiào)驗，重組，還(hái)原®‍∑≥，解析。從(cóng)而進一(yī)步分(fēn)析✔✔網絡中的(de)用(yòng)戶行(xíng)為(wèφ §i)。

  實時(shí)分(fēn)析層

通(tōng)過大(dà)數(shù)據分(fēn)析βφ↔技(jì)術(shù)對(duì)實時(shí)采集過來(lá•$>i)的(de)日(rì)志(zhì)和(hé)流量進行♦∞Ω(xíng)實時(shí)的(de)數(shù)據分(fēn)§£∑析，把采集過來(lái)的(de)非結構化(huà)的(de)數(shù)據轉換成結構化(huà)↓∞的(de)數(shù)據；通(tōng)過高(gāo)性能(néng)海(hǎi)量數(shù)據₩ ∞存儲代理(lǐ)将數(shù)據進行(xíng)快(kuài)速存儲；通(✔♦tōng)過分(fēn)布式查詢引擎實現(xiàn)快<₹®(kuài)速查詢；通(tōng)過數(shù)據聚合引擎實現(↔₩ ♥xiàn)數(shù)據抽取。

  存儲層

采集層接收日(rì)志(zhì)和(hé)流量數(shù)據，經過大(dà)→→&←數(shù)據實時(shí)分(fēn)析後，系統會(huì)把日(rì)志(z'✘¶hì)和(hé)流量數(shù)據存儲在時(shí)時(shí)大(dà)數(shù)據全文(φ£wén)搜索Elasticsearch中。經過一(yī)段時(shí)間(jiāα ≈☆n)後，數(shù)據會(huì)進行(xíng)歸檔處理(lǐ)，把數(shù)據存儲在Haφ≤Ω÷doop中，作(zuò)為(wèi)離(lí)線數(shù)據庫存儲。通(tōng)過Hadoλ↕→op技(jì)術(shù)，可(kě)以很(hěn)方便的(de)查詢到(dà✔±☆o)離(lí)線歸檔數(shù)據。

 業(yè)務分(fēn)析層

業(yè)務分(fēn)析層對(duì)采集過來(lái)的(de)在∏§ 線數(shù)據或者離(lí)線數(shù)據，首先根據業(y>$è)務模型進行(xíng)生(shēng)成業(yè)務規則模型，然後分(fēn)析引擎​γ★會(huì)根據規則進行(xíng)關聯分(fēn)析，觸發規則，生(shēng)成告警記錄。同時♦λ®(shí)系統引入了(le)機(jī)器(qì)學習(xíαφ)，對(duì)在線數(shù)據和(hé)離(lí)線數(shù≥$)據實時(shí)不(bù)間(jiān)斷的(de)進行(xíng)分(f☆α♣₹ēn)析，發現(xiàn)異常行(xíng)為(wèi)。

  可(kě)視(shì)化(huà)展示層

面向系統的(de)使用(yòng)者，提供一(yī)個(gè)圖形→‍β±化(huà)的(de)顯示界面，展現(xiàn)安全審計(jì)系統的(de)₹₽✘↓各功能(néng)模塊，提供性能(néng)監控、安全預警、業(yè)務分(fēn)ק析、事(shì)件(jiàn)溯源、合規報(bào)表等功能(néng)。

  用(yòng)戶管理(lǐ)層

根據使用(yòng)用(yòng)戶的(de)管理(lǐ)和(hé)不(bù)用(y‌☆↕★òng)場(chǎng)景的(de)需求，對(duì)系統進行(xíng)權限管₩'理(lǐ)、組件(jiàn)管理(lǐ)、報(bào)表管理(lǐ)及其σπα€他(tā)相(xiàng)關配置的(de)管理(lǐ)。

 橫向擴展

網絡訪問(wèn)行(xíng)為(wèi)審計(jì)系統系統産品的(™>★πde)後台采用(yòng)的(de)是(shì)大(dà)數(shù)據全文(wéΩγ≠n)搜索技(jì)術(shù)Elasticsearch，Elasticsea δrch具有(yǒu)非常多(duō)的(de)大(dà)數(shù)據&δ♠處理(lǐ)的(de)優點：

橫向可(kě)擴展性：隻需要(yào)增加一(yī)台服•β♠務器(qì)，啓動Elasticsearch進程就(jiù)可(kě)以并入φ♥集群；

分(fēn)片機(jī)制(zhì)提供更好(hǎo)的(♠β÷∑de)分(fēn)布性：同一(yī)個(gè)索引分(fēn)成多(duō)個(gè)分™<​(fēn)片（sharding），這(zhè)點類似于HDFS的(de)塊機(jī)制★≤ (zhì)；分(fēn)而治之的(de)方式來(lái)提升處理(lǐ)效率；

 高(gāo)可(kě)用(yòng)：提供複制(zhì)（replic€∞a）機(jī)制(zhì)，一(yī)個(gè)分(fēn)片$¥♠可(kě)以設置多(duō)個(gè)複制(zhì)，使得(de)​∑σ✘某台服務器(qì)在宕機(jī)的(de)情況下(xià)，集群仍舊(jiù)可(kě)以照∏ ≈(zhào)常運行(xíng)，并會(huì)把服務器(qì)宕↓→→★機(jī)丢失的(de)數(shù)據信息複制(zhì)♦​ 恢複到(dào)其他(tā)可(kě)用(yòng)節點上(shàng)；

在研發産品的(de)時(shí)候，對(duì)Elasticsearch進行(xíng)了×β(le)徹底的(de)封裝，隻需要(yào)在配置文(wén)件(jiàn)中γ≠₽增加簡單配置就(jiù)可(kě)完成系統的(de)橫向÷₽Ω擴展能(néng)力。