25号 王滢 信息安全审计论文.docVIP

安全审计在信息安全方面的应用 25号 王滢 摘要：网络入侵会给信息系统带来灾难性的后果，为了降低网络入侵带来的风险，可以通过对信息系统的审计来分析信息系统的安全性网络的开放性、黑客的攻击和系统本身的缺陷导致网络内的计算机并不安全，网络入侵也经常发生，往往造成严重的后果，为了降低入侵的风险，保障系统的正常运转，安全审计在信息安全中的作用越来越重要。在国际标准及国家标准中，安全审计都作为重要的一个部分，用来标识信息系统的安全性。本文通过信息技术安全性评估准则对安全审计进行了介绍，分析了安全审计的主要方法和策略。(2) 一般控制审计 “一般控制”是指对构成信息系统的网络、操作系统、基础设施、系统级的应用控制程序（如监控系统）、中间件、数据库等实施的控制，并包括保证其正常运行的规章制度。一般控制审计包括安全管理、访问控制、配置管理、职责分离、应急计划等。 (3) 应用控制审计 “应用控制”是指对安装在网络、服务器、移动设备上的与业务应用直接相关的逻辑上相对独立的业务流程处理控制程序、应用数据库等实施的控制。一般包括应用程序级基础控制，业务流程控制，数据逻辑控制等。总体控制审计具体调查被审计单位信息系统的基本情况。 二、信息安全审计的审计方法及技术分类 1、审计方法 (1) 基于规则库的方法 基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语言等方法进行描述后放入规则库中，当进行安全审计分析时，将收集到的网络数据与这些规则进行某种比较和匹配操作(关键字、正则表达式、模糊近似度等)，从而发现可能的违规行为。 如图一所示，网络数据①被收集②到特征数据库③中进行比对，得到结论④，并判断是否出现网络攻击行为⑤，对此采取相应的响应机制。 (2) 基于数理统计的方法 数理统计方法就是首先给对象创建一个统计量的描述，比如一个网络流量的平均值、方差等等，统计出正常情况下这些特征量的数值.然后用来对实际网络数据包的情况进行比较，当发现实际值远离正常数值时，就可以认为是潜在的攻击发生。数理统计的最大问题在于如何设定统计量的“阀值”，也就是正常数值和非正常数值的分界点，这往往取决于管理员的经验，不可避免产生误报和漏报。 如图二所示，首先审计人员要根据经验设定流量的“阀值”①，然后收集日常生活中用户实际使用的流量数值②，对比用户的流量值是否超过初设定的临界值③，根据误差大小判断时候收到网络攻击，并根据得到的结论采取相应的响应机制。 (3) 基于机器自学习的方法 基于规则库和数理统计的安全审计方法已经得到了广泛应用，且获得了较大成功，但是它最大的缺陷在于已知的入侵模式必须被手工编码，它不能适用于任何未知的入侵模式。因此最近人们开始越来越关注带有学习能力的数据挖掘方法。目前该方法已在一些网络入侵检测系统得到了应用，它的主要思想是从“正常”的网络通信数据中发现“异”的网络通信模式，并和常规的一些攻击规则库进行关联分析，达到检测网络入侵行为的目的。 2、技术分类 (1)日志审计 目的是收集日志，通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志，进行统一管理、分析和报警。 图三所示，代理日志文件①被日志采集程序②采集文件，并将文件保存到数据④，利用数据处理程序③处理数据并保存到数据。 （2）主机审计 通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计，可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。根据该定义，事实上主机审计已经包括了主机日志审计、主机漏洞扫描产品、主机防火墙和主机IDS/IPS的安全审计功能、主机上网和上机行为监控等类型的产品。具体流程如图四。 （3）网络审计 通过旁路和串接的方式实现对网络数据包的捕获，而且进行协议分析和还原，可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。根据该定义，事实上网络审计已经包括了网络漏洞扫描产品、防火墙和IDS/IPS中的安全审计功能、互联网行为监控等类型的产品。 网络审计模型如图五所示，网络审计系统捕获网络数据包①，将网络数据包分析并还原②，分析审计是否存在安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为，并记录这些行为，生成日志并上传到网络服务器③ 三、安全审计在信息安全中的应用 1、审计在信息安全中的作用 信息安全其实质是信息系统的安全。国际标准化组织(IS0)对信息安全的定义为：“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏的作用。”国际信息化安全组织提出的“信息技术安全