信息安全审计机制研究与设计论文

信息平安审计机制研究与设计论文信息平安综合审计工作涉及的对象和场景很多,其全过程是一个非常复杂的多维集合体,为形成体系化的综合审计框架,非常有必要建立一个多维的综合审计模型,并通过模型确定到达信息平安综合审计治理预期目的需要涉及的详细研究对象和研究内容,确定综合审计体系包含的详细审计形式,确定各研究内容间的详细依赖关系,为信息平安综合审计工作的开展提供科学合理的全局视图[2]。多维信息平安综合审计模型的建立,旨在对系统保密性、完好性、可用性、可控性、不可否认性和可核查性这6个方面的要求,最终的目的是对信息平安的整体性保障。在此目的下,根据信息平安审计全过程所涉及的各要素特征,划分为审计对象、审计形式和审计管理3个维度,同时为各维度确立了4个属性,表达各维度的信息构成完好性,以立方体形式对信息平安综合审计体系全过程进展描绘。1.1审计对象维度审计对象是信息平安活动的核心标识载体,是描绘信息平安事件不可或缺的要素,根据信息平安活动的特点,将审计对象划分为人员、时间、地点、资源4个属性。人员人员是信息平安活动产生的源头,除了广义上的人员姓名、性别、年龄等根本信息外,还需延伸到其在信息平安活动中使用的账号、令牌、证书等个人标识信息。时间时间是信息平安活动的窗口,任何信息平安活动都会产生时间戳,可用以标识信息平安活动的开场、完毕及其中间过程。地点地点是信息平安活动发生的位置,不仅包括传统意义上的地理位置信息,还包括网络空间中源IP、目的IP等位置信息。资源资源是信息平安活动所依赖的先决条件,包括计算机硬件、操作系统、工具软件等一切必要的资产。1.2审计形式维度审计形式是综合审计的详细运用,是综合审计模型的关键集成点,根据信息平安活动的详细类型和场景,将审计形式划分为运维操作、数据库应用、网络应用、终端应用4个属性。运维操作运维工作是支撑网络和信息系统稳定运行的重要前提,但运维人员掌握着系统的高级权限,由此带来的运维风险压力也越来越大,因此必须引入运维操作审计管理机制。运维操作审计的核心是加强对运维人员账号和权限的管控,即在集中运维形式下实现运维人员与目的系统的逻辑别离,构建“运维人员→主账号(集中运维账号)→受权→从账号(目的系统账号)→目的系统”的管理架构,并对具有唯一身份标识的集中运维账号设置相应的权限,在此架构下实现精细化运维操作审计管理[3]。数据库应用在大数据时代,数据库是最具有战略性的资产,其黄金价值不言而喻,数据一旦被非法窃取,将造成难以估量的损失。运维层面的数据库平安可通过运维操作审计来实现,数据库审计的核心应是加强业务应用对数据库访问合规性的管控,建立“业务系统→SQL语句→数据实例→返回结果”的识别监听架构,将采集到的业务系统信息、目的实例对象、SQL操作动作等信息进展基于正常操作规那么的形式匹配,并对应用层访问和数据库操作恳求进展多层业务关联审计,实现业务系统对数据库访问的全追溯[4]。网络应用无论数据中心内的信息系统还是办公区内的办公终端都会产生大量的网络流量,加强对网络流量的识别和分析,是发现违规行为的重要途径。网络应用审计的核心是通过网络监听技术,建立“用户(业务系统)→交互对象→网络流量→分类识别”的管理架构,对各类网络数据包进展协议分析,其重点是要对网站访问、邮件收发、文件传输、即时通信、论坛博客、在线视频、网络游戏等典型应用进展区分和记录,到达对用户及业务系统间双向网络应用的跟踪审计[5]。终端应用终端是信息平安的最后一道防线,同时也是最薄弱的一个环节,无论是效劳器还是办公机,要么是应用的发起者要么是承受者,是信息平安事件的落脚点。终端应用审计的核心是通过扫描和监控收单,建立“主机→平安基线+介质→数据交换”的管控架构,对终端补丁安装、防病毒软件、文件下载、文档内容的平安基线进展记录审查,并对挪动存储介质与外界发生的数据交换进展跟踪记录,实现对终端各类行为审计的全覆盖。1.3审计管理维度综合审计管理的目的是要实现对信息平安风险的全面治理,需包括事前规划预防,事中实时监控、违规行为阻断响应,事后追踪回溯、改进保护措施,根据综合审计管理事前、事中、事后三个阶段的特点,将控制、监控、响应、保护定义为该维度的4个属性。控制指按照权限最小化原那么,采取措施对一切必要的信息资产访问权限进展严格控制,仅对合法用户按需求受权的管理规那么。监测指对各类交互行为进展实时监控,以便及时发现信息平安事件的管理规那么。响应指对监测过程中发现的违规行为进展及时阻断、及时处理的管理规那么。保护指对监测到的各类交互行为进展记录回放、并积极采取改进保护措施的管理规那么。在多维信息平安综合审计模型根底之上,按照全过程的管理思路,应以综合治理为目的导向,对存在的信息平安问题进展闭环管理,研究事前、事中、事后各环节的关联关系,形成互相补充、层层递进的闭环管理机制。2.1事前阶段制定统一的平安审计策略,以保证信息系统的可用性、完好性和保密性为核心,实现对用户身份和访问入口的集中管理,严格权限管理,坚持用户权限最小化原那么,注重将用户身份信息与网络和信息系统中的各种应用与操作行为相结合,保证审计过程与审计结果的可靠性与有效性。2.2事中阶段实时监测运维操作、数据库应用、网络应用和终端应用产生的数据,通过规那么及时发现违规信息平安事件,做到实时响应、实时处理,并通过多个维度将各种根底审计后的平安事件有机地整合起来,做到信息平安事件的全记录、全审计。2.3事后阶段对各类审计数据进展标准化处理及归档入库,为平安事件的准确追踪和回溯提供有力支持。同时,对信息平安事件进展深度分析,查找事件发生的深层次原因,执行有针对性的弥补措施,并更新信息平安审计策略,形成良性的管理机制。3.1技术架构信息平安综合审计系统面临的一大问题就是各业务系统与网络设备运行独立,信息集成和交互程度较低,效劳器、交换机、办公终端都是独立的审计对象,均会产生大量的审计数据,但又缺乏集中统一的审计数据管理视角,构建对审计数据的统一处理才能应是综合审计体系建立的核心思路,信息平安综合审计体系有效运行的关键就在于对可审计数据的采集,以及对数据分析处理的才能。因此必须在多维信息平安综合审计模型框架下,建立“原始数据搜集→数据标准化处理→审计事件分析→事件响应与展现”的全过程处理过程,实现从采集到展现的一体化综合审计系统,包括数据采集、数据处理、事件分析和事件响应4大功能模块。数据采集对网络中的数据包、主机中的重要数据的操作行为、操作系统日志、平安设备日志、网络设备日志等原始数据进展搜集;数据处理将采集到的原始数据进展标准化处理,将处理后的数据变为日志,存储到数据库中,并交付“事件分析”模块;事件分析对标准化处理后的事件进展分析、汇总,同时结合人员信息做出综合判断,有选择地将分析结果发送到“事件响应”单元,并进展存储与展现;事件响应对分析后的结果做出反响的单元,可以结合其他的平安措施对事件做出中断会话、改变文件属性、限制流量等操作。3.2业务架构平安综合审计应保证审计范围的完好性,只有范围覆盖得合理且全面,才能保证信息平安审计的充分性和有效性,才能到达综合治理的目的。同时,过大的系统覆盖维度又会使审计点过多,导致审计体系无法贯彻落实。因此,应在多维信息平安综合审计模块框架下对运维操作、数据库应用、网络应用和终端应用开展审计工作。通过对运维操作、数据库应用、网络应用、终端应用等各类审计关键技术的整合,充分运用数据统计、数据分析、数据展现等手段,构建完备的综合审计知识库,再结合信息平安实际环境和治理策略,制定科学合理的审计规那么,实现信息平安治理工作技术与管理的统一,从根本上进步信息平安综合治理才能[6]。本文针对信息平安综合审计体系开展了系统研究,构建了涵盖运维操作、数据库应用、网络应用、终端应用4种形式下的多维度、全过程信息