◆关泽武欧阳可萃

（1.中国南方电网有限责任公司 广东 510623；2.北京启明星辰信息安全技术有限公司 广东 510620）

基于审计平台实现企业网络安全可视化的研究

◆关泽武1欧阳可萃2

（1.中国南方电网有限责任公司 广东 510623；2.北京启明星辰信息安全技术有限公司 广东 510620）

随着企业信息化的不断发展，企业对网络技术的依赖逐日加深。与此同时，提高企业网络安全性也迫在眉睫。通过审计平台，可以有效确保企业网络安全。因此，本文主要介绍了审计平台的概念、审计平台的作用、系统组成以及系统功能。为企业构建审计平台提供一些参考。

网络安全；审计平台；可视化

0 引言

随着信息技术的发展，企业对信息化的投资越来越大，应用系统的规模也逐步扩大，企业通过应用系统在获得便利的同时，针对企业信息化网络、信息系统的攻击层出不穷，利用的技术手段复杂多变，给企业网络带来了难以估量的安全隐患。根据国内知名网络安全厂商360公司发布《2014中国个人电脑上网安全报告》可看出，2014年，360互联网安全中心均每天88.8万个截获新增恶意程序样本，全年共截获3.24亿个新增恶意程序样本。360安全卫士和360杀毒共拦截572.7亿次恶意程序攻击，平均每天拦截约1.57亿次恶意程序攻击。以上拦截数据说明，国内互联网“不安全”。因此，保障网络安全已经刻不容缓。

然而，企业传统的网络安全体系建设只注重于网络边界的安全，重点建设针对外部网络向企业内网攻击的防护措施。长期以来，企业的网络安全状况、安全防护水平无法得到客观的体现，缺乏对企业网络安全治理提供数据支撑依据。因此，需要借助技术手段对企业网络的安全状况进行审计和评估，并提供可视化视图直观展现，从而实现企业网络的全面安全监督。

1 安全审计平台及作用

所谓安全审计是：针对业务环境下的网络操作行为进行细粒度审计的合规性管理平台。它通过对内外部人员访问企业网络、信息系统的行为进行解析、分析、记录、汇报，用于帮助企业的网络安全管理部门事前规划预防，事中实时监视、违规行为响应，事后合规报告、事故追踪溯源，同时加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。安全审计平台通过记录行为分析，获取相应的电子证据，并对相关信息进行分析处理、评价审查，对突发事件还能进行报警响应，或者有选择性和针对性地对其中的对象进行审计跟踪,找出安全事故的原因，并做出进一步的处理，从而保障企业网络安全。

众所周知，没有任何的一种技术可以确保绝对的网络安全，即使是理论上足够安全，也不能保证在执行过程中能够准确无误的实施。因此，在完成必要的基础安全防护体系构建后，需要同步构建审计平台。安全审计平台作为一个独立的软件,和基础安全产品(如防火墙、入侵检测系统、漏洞扫描系统等)互相协调、补充,保护网络的整体安全。

基于安全审计平台实现网络安全状况的可视化，对企业的网络安全有以下几点价值：

1.1 提供有效的追查证据，威慑网络犯罪人员

尽管审计平台对于网络攻击、窃密等行为无法进行有效阻止。但是审计平台能有效记录用户的活动，对于突发事件还能进行报警和相应。通过审计平台可以有效的记录系统时间，为事后的分析和举证提供了有效的证据，这也给网络犯罪行为提供了取证的基础，所以网络犯罪者畏惧审计平台而不敢轻易尝试。

1.2 监视网络违规行为

由于企业网络中，许多文件不能随意查看、删除、篡改或者拷贝，因此可以通过审计系统，对访问活动或者试图访问活动进行监控，并形成访问日志，该日志详细记录了访问或者试图访问的设备、时间等相关，并将该记录以短信或者邮件等方式通知到系统管理员。

1.3 保障操作系统及应用系统可靠性

审计平台可以收集操作系统或者应用系统产生的所有访问或者试图访问的活动，如系统日志、报警消息、操作记录等。管理员可以通过这些日志发现系统性能上的不足，从而优化系统。

2 安全审计平台数据的可视化内容

上文所述，安全审计平台是企业网络安全管理中重要的一环。从网络安全管理的需求分析，安全审计平台需提供网络攻击、系统漏洞、访问记录、木马病毒、安全风险等数据的可视化，各项数据的可视化需求如下表：

表1 数据可视化需求表

安全审计平台对可视化的安全数据及展现方式应结合企业安全管理部门不同角色人员对于安全管理工作的切身需要进行设计。就上述数据的可视化，安全审计系统需提供如下的可视化展现方式：

2.1 全局监视仪表板

监视仪表板可以在一个屏幕中看到不同设备类型、不同安全区域的实时日安全状态曲线、统计图，以及网络整体运行态势、待处理告警信息等。通过自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的使用者建立不同维度的仪表板。

2.2 实时审计视图

企业的信息安全审计员根据内置或者自定义的实时监视策略，从被审计信息的的任意维度实时观测安全事件的走向，并可以进行事件调查、钻取，并进行事件行为分析和来源定位。审计员可以实时监视防火墙、IDS、防病毒、网络设备、主机和应用的高危安全事件；可以实时监视各个部门、各个安全域、各个业务系统的重点安全事件；可以实时监视全网的违规登录事件、配置变更事件、针对关键服务器的入侵攻击事件。

2.3 审计信息统计视图

信息安全审计人员根据内置或者自定义的统计策略，从多个维度实时进行安全事件统计分析，并以柱图、饼图、堆积图等形式进行可视化的展示。审计员可以查看一段时间内的主机流量排行、主机登录失败次数排行、活跃病毒排行、网络设备故障排行、最多访问用户排行。

3 安全审计平台的原理设计

为实现网络安全状况的可视化，安全审计平台需具备数据获取、数据解析、数据响应等业务流程，业务流程基于审计策略实现，最终通过可视化界面展现企业信息网络的安全状况，安全审计平台结构示意如下：

图1 安全审计平台结构图

3.1 数据获取

数据获取模块主要是通过监听技术、内核过滤技术等获取原始信息数据，即源事件信息，是审计平台原始数据的来源，数据的来源包括审计对象系统日志、网络行为的流量数据包等信息。获取的数据包必须准确、完整，并交给其他模块使用，这是保障审计结果准确、完整的核心。

3.2 数据解析

数据包处理模块中最为核心的是协议分析，协议分析主要是将数据采集模块获得的数据包，根据其报头的信息，判断其所属的协议，然后对不同协议的传输方式、报文内容、协议格式等重组、还原，最后将用户操作的数据包传给数据审计模块。

3.3 数据响应

事件响应模块是对审计模块做出相应的反应，或警告，或强制切断 TCP连接，将数据库的分析结果及时存储在数据库，并以短信或者邮件的形式通知到系统管理员，以便及时采取措施。

3.4 审计策略管理

该模块首先要制定规则。授权管理员制定规则库，并在系统使用过程中，不断添加新的规则。系统根据规则定义的格式，将获取的数据与规则库进行匹配，系统将会自动与结构做出相应，并将审计后的结果形成审计日志。规则库是否完善、正确是决定数据审计模块的关键因素。

4 安全审计平台的功能规划

在上文中，提出基于安全审计平台实现网络安全可视化对企业的价值以及可视化的内容，并对安全审计平台的可视化的技术原理进行了设计，基于此，整理对安全审计平台功能规划，为企业网络安全状况可视化提供应用支撑。

4.1 监视网络违规行为

安全审计平台要实时监测网络传输的内容，根据平台规则库的相关规则，实时监测系统用户的活动，结合规则判断出网络安全事件，包括非法访问、内部违规、系统入侵等行为。当一个违规事件多次出现或者集中出现，安全审计平台借助的智能事件关联分析技术，提供实时不间断地对所有多次出现的违规事件进行安全事件关联分析，来确保系统的安全。

4.2 收集系统产生的审计数据

收集系统数据主要是一种取证功能，该功能主要用于收集审计所需要的源事件信息。为了确保审计结果的准确性，必须做到收集的信息准确、完整，应该建立防止审计的相关信息被黑客删除或者意外丢失，做好足够的备份工作。所收集的数据主要包括设备的报警信息、操作记录、被审计的系统日志等。

4.3 实时报警

实时报警功能主要是为了授权管理员及时响应并处理系统存在的问题。当审计平台检测到网络违规行为或者一场行为时，系统应该根据预设的报警方式报警，以便提醒授权管理员及时处理异常情况。根据事件级别不同报警方式不同，可以是短信、邮件甚至是声音，以确保授权管理员能及时发现。

4.4 审计数据维护及权限控制

该功能必须具备审计数据安全存储、权限管理等功能。因为所有的审计事件都保存在审计平台，授权管理员必须根据用户的级别划分权限从而加密。从而不同的用户可以根据自己的权限获取不同的查询、删除、审查、管理、维护等功能，从而获取不同的资料。另外，该功能还必须具备防止审计数据丢失的功能。确保其不备恶意修改、删除、非法访问、复制或者拷贝。以确保审计的准确性。

4.5 规则制定

根据用户的不同需求，系统管理员制定不同的审计规则来运作，从而使得审计平台更加符合系统的要求。通过审计规则，对审计内容实现统一的输出内容，如事件日期、事件、事件类型、主题标识、执行结果、活动主体等与此有关的审计信息。

5 结束语

在高度信息化的今天，各大企业都将网络安全问题纳为信息部门的工作重点，并逐步投入大量的硬件设备，这为建设安全的网络提供了保障。但是，众所周知，网络安全是一个动态的体现，需要不断的监视并完善，而审计平台可以对系统进行实时审计、建立有效的评估，对安全状况提供可视化视图。因此，各大企业应该结合自己的系统实际情况，积极主动建立安全审计平台，并将其不断优化，构建完善的网络安全审计体系。

[1]赵霞.网络安全防护技术浅析.科技创新导报，2010.

[2]姚志东.一种网络安全审计系统的设计与实现.北京邮电大学硕士论文，2009.

[3]姜华.网络安全审计系统的研究与实现[J].计算机工程与设计，2008.

[4]任从容.网络安全问题的探讨[J].科技创新导报，2008.

[5]王嘉磊.加强网络安全审计实现网络安全管理[J].信息系统工程，2008.

[6]朱学全.论析网络安全风险[J].内蒙古科技与经济，2008.