安全审计：无法回避的安全新问题

信息技术的日新月异和网络信息系统应用的发展，使得网络技术的应用层次正在从传统的、小型的业务系统逐渐向大型的、关键的业务系统扩展。

目前，政府、企事业单位用户的网络应用也逐渐增多。然而，信息安全作为一个动态的过程，在为自身业务提供高效的网络运营平台同时，日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来了潜在的威胁。

为什么需要安全审计

随着业务系统访问、网络应用行为日益频繁，我们可能经常会遇到如下情况：

一、内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全;

二、企业重要业务数据库，被员工或系统维护人员篡改牟利、外泄，给企业造成巨大的经济损失;

三、员工随意通过网络共享文件夹、文件上传下载、E-mail等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生;

四、员工在论坛发表敏感信息、传播非法言论，造成恶劣社会影响;

五、等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计;

六、萨班斯(SOX)法案要求。在美国上市公司必须遵循的“萨班斯(SOX)法案” 中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作、数据库访问等业务行为的审计。

根据调查数据显示，大多数企业虽然已经采用一定的网络安全手段(如防火墙、入侵检测、漏洞扫描等)和管理措施，但是上述安全事件发生后，却仍然无法进行及时告警响应、准确定位事件源头，由此给政府、企事业单位带来极大的困扰和严重的信息安全隐患。

如何对业务系统访问和网络行为进行有效的监控，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，已经成为政府、企事业单位迫切需要解决的问题。

目前，随着日益增长的互联网安全风险，安全问题的复杂性日益加大。综合FBI和CSI对484家企业的调查及中国国家计算机网络应急协调中心CNCERT/CC的调查结果显示：大约76%的网络安全威胁来自于内部，其危害程度更是远远超过黑客攻击及病毒造成的损失，而这些威胁绝大部分与内部各种网络访问行为有关。

防火墙、入侵检测等传统网络安全手段，可实现对网络异常行为的管理和监测，如网络连接和访问的合法性进行控制、监测网络攻击事件等，但是不能监控网络内容和已经授权的正常内部网络访问行为，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为(即时通讯、 BBS、在线视频、P2P下载、网络游戏等)无能为力，也难以实现针对内容、行为的监控管理及安全事件的追查取证。

因此，迫切需要一种安全手段对上述问题进行有效监控和管理。安全审计正是在这样的背景下产生。对于任何一个安全体系来说，审计追查手段必不可少。计算机信息安全可通过如下图1所示的信息安全体系结构模型来反映计算机信息系统安全需求和体系结构的共性，其构成要素是安全手段、系统单元及国际标准化组织(ISO)制定的开放系统互连参考模型(OSI)。在图1的安全手段中，审计是整个安全体系中不可缺少的重要组成部分。

图1 信息安全体系结构模型

同时，在TCSEC和CC等安全认证体系中，安全审计是评判一个系统是否真正安全的重要标准。根据代表性的安全模型P2DR理论，网络信息系统在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)、检测工具(如漏洞评估、入侵检测等系统)的同时，必须通过安全审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到“最安全”和“最低风险”的状态。

安全审计系统特点和评价

安全审计系统(Security Audit System)是在一个特定的企事业单位的网络环境下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。

安全审计系统的主要特点如下：

■细粒度的网络内容审计

安全审计系统可对网站访问、邮件收发、远程终端访问、数据库访问、数据传输、文件共享等进行关键信息监测、还原;

■全面的网络行为审计

安全审计系统可对网络行为，如网站访问、邮件收发、数据库访问、远程终端访问、数据传输、文件共享、即时通讯、 BBS、在线视频、P2P下载、网络游戏等，提供全面的行为监控，方便事后追查取证;

■综合流量分析

安全审计系统可对网络流量进行综合分析，为网络带宽资源的管理提供可靠策略支持。

由上述可见，通过传统安全手段与安全审计技术相结合，在功能上互相协调、补充，构建一个立体的安全保障管理体系非常有必要。

安全审计系统具有对网络通信内容、网络行为的实时监测、报警、记录等功能。是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是安全审计系统的基本标准。

一个完善的安全审计系统(SAS)应该从四个方面评价：

■细粒度的操作内容审计与精准的网络行为实时监控

■全面详细的审计信息，丰富可定制的报表系统

■支持分级部署、集中管理，满足不同规模网络的使用和管理需求

■自身的安全性高，不易遭受攻击

针对网络中内部人员的敏感信息泄露、违规网络行为等层出不穷的安全事件，绿盟科技冰之眼安全审计系统ICEYE Security Audit System(ICEYE SAS)应运而生。

冰之眼安全审计系统是绿盟科技自主知识产权的安全产品，通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。

图2 冰之眼安全审计体系结构

结语

通过冰之眼SAS在网络信息系统的部署，可以有效掌握网络安全状态，预防敏感涉密信息外泄，实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位，以为整体安全策略的制定提供权威可靠的支持。

作为国内最早从事网络安全的高科技企业之一，绿盟科技基于多年的安全漏洞研究与安全产品开发能力，一直为Microsoft、Sun、Cisco等国际知名厂商提供安全漏洞研究报告，为政府、电信、金融、能源等行业客户提供高端安全产品与全面的网络安全解决方案，以协助客户建立安全可靠的绿色网络环境。