APP下载

信息安全审计技术在现实工作中的应用

2016-03-12吉林省统计局数据管理中心

电子世界 2016年22期
关键词:日志报警信息安全

吉林省统计局数据管理中心 张 楠

信息安全审计技术在现实工作中的应用

吉林省统计局数据管理中心 张 楠

内部人员对机密文件、敏感信息的窃取和泄漏,在互联网上发布和访问非法内容,以及在工作时间利用工作网络进行与工作无关的活动屡见不鲜。政府机构、企业网络或网站、个人网络用户深受其害。

信息安全审计;检测

1.引言

随着互联网的发展, 网络逐渐成为完成业务工作不可或缺的手段,很多政府、银行、企业纷纷将核心业务基于网络来实现。然而,网络的不断普及带来了大量的安全问题。目前全球数据泄密事件53.7%的是由于人为疏忽造成,15.8%是由内部恶意窃密,23.3%是由于黑客等外部攻击行为造成,7.2%是由于意外造成的数据丢失。根据IDC数据显示,内部泄密事件从46%上升到了67%,而病毒入侵从20%,下降到5%。

2.信息安全审计定义及作用

2.1信息安全审计定义

信息安全审计是针对网络用户行为进行管理[1],综合运用网络数据包获取、协议分析、信息处理、不良流量阻断等技术实现对网络信息内容传播的有效监管。它能够帮助用户对网络进行动态实时监控,记录网络中发生的一切,寻找非法和违规行为,为用户提供事后取证手段。

2.2信息安全审计的作用

跟踪检测。以旁路、透明的方式实时对进出内部网络的电子邮件和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供敏感关键词检索和标记功能,从而防止内部网络敏感信息的泄漏以及非法信息的传播。

取证监控。还原系统的相关协议,完整记录各种信息的起始地址和使用者,识别谁访问了系统,访问时间,确定是否有网络攻击的情况,确定问题和攻击源,为调查取证提供第一手的资料。

3.其他安全产品安全审计方面的缺陷

防火墙只是内外部网络之间建立起隔离,控制外部对受保护网络的访问,通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。

入侵检测对网络中的数据包进行监测,对一些有入侵嫌疑的包进行报警,准实时性较强,但采用的数据分析算法不能过于复杂,通常只是对单个数据包或者一小段时间内的数据包进行简单分析判断,误报率和漏报率较高。

漏洞扫描、防病毒等设备主要发现网络、应用软件、操作系统的逻辑缺陷和错误,提早防范网络、系统被非法入侵、攻击;发现处理病毒。

4.信息安全审计系统的分类

主机审计:审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;统一安全策略,实现集中审计等。

网络审计:应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;应能够根据记录数据进行分析,并生成审计报表;应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。

数据库审计:审计对数据库的操作行为,如增、删、改等,发现各种非法、违规操作。

业务审计:对业务系统的操作行为进行审计,如提交、修改业务数据等,满足管理部门运维管理和风险内控需要。

日至审计:审计网络设备、安全设备、应用系统、操作系统的日志,发现安全事件,保存证据。

5.信息安全审计系统的设计

主流的信息安全审计系统分为探针引擎和管理应用平台两部分组成[2]。

探针引擎的主要功能: 监听网络数据,并将数据临时保存。将不同的数据流汇聚,形成一个应用链接;根据设定的规则,对采集的数据进行初步过滤,并对采集的数据进行协议分析,提取内容信息。如在Smtp,pop3协议中,提取邮件体和附件;将采集后的数据按规定格式存储和传输。根据需要,进行传输加密。

管理应用平台是由web管理平台+控制中心+数据库组成的三层结构。

WEB管理控制平台主要功能:业务逻辑展现,系统管理、日志管理、策略管理、报表管理、查询统计分析。

控制中心主要功能:文件中心主要是用于系统报警原始文件存储、文件读取;统计中心主要是用于定期对系统关键词报警信息、行为日志数据、网络流量数据、系统操作行为进行分类统计;数据中心主要是实现数据库与探针引擎之间的桥梁,实现策略下发、探针引擎接入控制、数据转存功能。

数据库主要功能:用于结构化数据的存储。

6.信息安全审计技术在工作中的基本应用

HTTP敏感信息检测:HTTP协议的网页浏览、网页发帖监测,记录中标网页的URL、浏览时间、源IP、目的IP、源端口、目的端口以及源、目的MAC地址,并还原、保存原始网页文件到本地磁盘。通过IP地址、域名、时间范围、协议类型等组合查询查看报警信息并输出报表,通过“查看文件”链接查看原始浏览网页文件内容,通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。

邮件敏感信息检测:SMTP,POP3中的敏感信息监测,记录中标网页的信息摘要、、接收用户、发送用户、IP地址,并还原、保存原始邮件到本地磁盘,系统默认收、发邮件端口分别为110、25。可以通过接收用户名、发送用户名、时间范围、IP地址查询条件检索邮件敏感信息并输出报表,通过“查看文件”链接打开查看原始邮件主题、正文内容,通过“查看详细”链接监测报警信息的数据来源、报警协议类型、文件存放路径等信息。

IP流量监测:监测IP主机数据流向、流量大小,按总计流量从高到低排序,并可清零流量重新统计。

数据库日志检测:监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作日志记录,并记录数据库服务器及操作用户的IP、登录用户名、MAC地址、操作时间等信息。

7.结语

如何保证网络行为、信息内容的合规性、合法性、健康性已成为网络安全研究领域中的热点问题。信息安全审计技术是对网络行为进行检测与防范,也是对信息系统建设的重要补充,将继续在信息安全中发挥重要的作用。

[1]胡品辉.安全审计技术在地方财政信息系统中的应用[D].广东工业大学.2008.

[2]张楠.某部门网络安全管理方案的设计与实施[D].长春工业大学.2016.

张楠,吉林省统计局数管中心工程师,主要从事网络和信息安全方面的工作。

猜你喜欢

日志报警信息安全
一名老党员的工作日志
扶贫日志
信息安全专业人才培养探索与实践
雅皮的心情日志
LKD2-HS型列控中心驱采不一致报警处理
保护信息安全要滴水不漏
高校信息安全防护
游学日志
2015款奔驰E180车安全气囊报警
死于密室的租住者