信息安全审计系统的架构设计

2016-02-06◆林迅

网络安全技术与应用 2016年10期

关键词：数据流日志信息安全

◆林迅

（福富软件福建 350001）

信息安全审计系统的架构设计

◆林迅

（福富软件福建 350001）

信息安全审计系统采用分布式部署方式，分为网络审计设备和审计管理中心两大部分，通过基于业务运维行为、上网行为和网络应用行为的审计，实现基于用户网络行为的全面多维度审计，本文通过介绍信息安全审计系统的体系架构、通过分析数据流图设计来阐述该系统的设计原理。

行为审计；特征码识别；管理中心

0 引言

信息安全是一个动态的过程，在为自身业务提供高效的网络运营平台同时，日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来潜在的威胁，如内部业务数据、重要敏感文件通过电子邮件、远程终端访问（TELNET、FTP）等方式被纂改、泄露和窃取；访问非法网站、发布非法言论等违规上网行为泛滥；严重破坏政府、企业的信息系统安全。

随着业务系统访问、网络应用行为日益频繁，我们可能经常遇到以下情况：

（1）员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生；

（2）员工在论坛发表敏感信息、传播非法言论，造成恶劣社会影响；

（3）等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对涉密信息、业务系统相关的网络行为进行安全审计和管理。

根据调查数据显示，大多数企业虽然已经采用一定的网络安全手段（如防火墙、入侵检测等）和管理措施，但是上述安全事件发生后，却仍然无法进行及时告警响应、准确定位事件源头。如何有效监控业务系统访问行为和敏感信息传播是当前迫切需要解决的问题。

因此，信息安全审计系统正是在这样的背景下产生的，为保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，运用各种手段实时监控网络环境中的网络行为、通信内容，以便收集、分析报警、处理的一种手段。

1 系统体系架构

信息安全审计系统，通过网络审计设备，对用户上网行为进行数据采集、集中管理与分析，实现信息采集、检测、监控与响应等管理过程。该系统体系架构如图1所示：

图1 信息安全审计系统体系架构

系统从总体架构上可分为审计设备、数据采集模块、数据库模块、综合管理模块、外部接口层模块，管理门户模块等。

（1）审计设备

网络审计设备能够针对局域网内用户访问互联网的行为进行分析，为内网用户提供安全监控和防护。网络审计设备能够针对内网用户使用互联网的上网行为进行实时的管理和有效的控制。采用协议识别，特征检测和智能关联分析技术，全面检测网络数据包，及时发现违反安全策略的事件并实时告警记录。

（2）数据采集模块

通过协议中介层从网络设备、安全设备、主机、应用系统等数据来源采集各种安全信息，并进行格式规范化处理，为数据库的统一管理做好准备。

（3）数据库模块

数据库模块将接收不同的数据采集模块的数据，并把海量的数据进行合理的分类归并、优化汇总。通过预先分配足够的大小和合适的增长幅度在一个对象建立的时候要根据应用充分地计算他们的大小，减少存储结构扩展。

（4）综合管理模块

综合管理模块具备日志查询、报表统计、权限管理、系统管理等功能，方便信息安全监管人员有效地管理每一台网关设备，适合在任何IP可达地点远程管理。

（5）管理门户模块

实现统一的图形化管理界面，系统实现了信息采集、监控、分析、维护、管理和展示，针对敏感数据实时监控，多方式告警。管理门户即管理中心服务器，具有系统监控和日志管理功能，可以集中管理多台设备，满足不同管理模式的需要，多用户多权限管理，提供针对网络正常行为和异常行为的全面行为检测手段，实现安全数据的整体挖掘，关联分析管理。

2 数据流图设计

信息安全审计系统的设计方法采用“结构分析法”，采用自顶向下，逐步求精，其基本思想是“分解”和“抽象”，我们借助“数据流图（Data Flow Diagram）”来设计系统，它从数据传递和加工角度，以图形方式来表达系统的逻辑功能、直观的体现数据在系统内部的逻辑流向和逻辑变换过程。

图2 顶层——数据流图

数据流图设计分为“顶层——数据流图”（图2）和“底层——数据流图”（图3）。“顶层——数据流图”体现了信息安全审计系统的数据处理流程：内网用户访问互联网的数据包经过网络审计系统，被系统捕获后还原数据流量，并进行全面数据分析与监测，实现了基于用户网络行为的全面多维度审计。网络审计系统所产生的日志通过互联网实时传送到审计管理中心，通过集中汇总、分类索引的方式存储于庞大的数据库系统之中，安全管理员只要通过web控制台，就能轻松的连接管理中心，查看日志数据，报表信息，系统配置以及下发管理策略。

图3 底层——数据流图

“底层——数据流图”主要体现了信息安全审计系统的核心设计思想，内网用户访问互联网的数据信息被捕包引擎分流，再传送至数据包重组引擎，它可以根据数据的IP地址、端口类型、协议类型进行分类重组，还原单个用户访问互联网的行为，这些网络行为根据协议的类型进行分类再传送至特征码关联分析引擎，该引擎可以分析不同类型的协议，依据互联网常见的特征码进行自学习，然后识别用户的上网行为，如浏览网页信息，论坛信息，email内容，ftp操作指令，telnet操作指令，IM用户在线情况等，这些信息最终以日志的形式记录在系统文件中，采用队列的方式管理日志信息，确保日志不会丢失，并且利用UDP协议发送到管理中心进行存储。网络审计设备还具备通信客户端功能，实时与审计管理中心交互，等待管理中心下发策略，如自动升级系统，开启关闭审计系统等策略。