应用系统安全审计监测研究与实现.docVIP

应用系统安全审计监测研究与实现 范红，邵华1，李程远1，胡志昂1 （1.公安部第一研究所, 北京 100048） 摘 要： 至今信息系统审计已进入普及阶段，但应用系统审计对用户行为审计支持不足，无法满足监测审计功能、倒查取证的安全需求。为此，提出适用于多应用、多级互联的应用日志监测方案。该方案以安全审计技术规范为核心，在部署应用系统审计手段的基础上，通过应用日志监测系统实现审计功能监测和日志倒查取证。 关键词： 信息安全；安全审计；监测 Research and Implementation for Monitoring Application System Security Audit FAN Hong1, SHAO Hua1, LI Cheng-yuan1, HU Zhi-ang1 (The First Research Institute of Ministry of Public Security Beijing 100048) Abstract：Since the information systems audit has entered the popularization stage,application system audit on user behavior is insufficient. It couldn’t meet security requirements needs of monitoring function of auditing and forensics. For this, provide a scheme for monitoring application log which apply for multiple applications, multistage interconnecting environment. In this scheme, the security audit specifications as the core, make use of the monitoring system for application log to realize monitoring function of auditing and forensics，which based on the deployment of application systems audit means. Keyword：information security; security audit; monitoring 引言 根据IDC的统计数据，75%～85%的安全隐患来自于网络内部，内网信息安全形势十分严峻，安全风险不断加大，各类恶意用户对信息系统进行网络攻击、系统破坏和数据窃取，且手段日益多样、隐蔽。目前，通过数据窃取、越权访问、违规操作等途径获取内部重要数据，造成失泄密等严重后果的违规案事件频发，且所占比例逐年加大。这些行为主要是：1）外部人员非法操控获取内部数据，多位信息系统开发单位或维护人员利用安全漏洞设置后门，远程操控或非法获取业务数据；2）内部人员随意越权访问，侵犯个人隐私：主要是部分内部员工或文职聘用人员利用职务之便，在未经授权或私自提高权限，随意查询与业务部相关的财务、客户等涉及公民隐私的信息，或在内部应用系统中“干私活”；3）内外人员相互勾结获取重要信息资源，主要指内部人员为谋取不正当经济利益或其他目的，获取网内重要资源或涉密信息，与外部人员交易，从中牟利，有的甚至造成泄密[1]。更为重要的是传统意义上的PKI/PMI系统、防火墙、入侵检测等安全防护手段，由于普遍部署在应用系统外围，缺乏对数据库底层及系统功能操作全过程的安全监测和审计。虽然目前各类设备、应用系统、网站可提供日志审计，但是根据对某行业的年度安全大检查发现，安全审计功能开启率不容乐观，如表1为2009和2010的调查数据。 表1 2009-2010审计开启统计表 Table 1 2009-2010 audit opening statistics 审计类别 年度 2009 2010 主机服务器 68% 77.22% 数据库 — 74.5% 网络设备 68% 78.75% 防火墙 — 91.9% 业务系统 81% 74% 内部网站 — 66.33% 互联网站 — 82.62% 注：“—”表示当年未统计。其中无审计功能视为未开启 上表数据为检查整改后的数据，检查之初，安全审计开启率更低。因此，在加强安全审计能力时，必须建立日志监测工作体系，以满足新的安全需求。由于目前安全审计范围庞大，本文以应用系统日志监测为入口，研究并实现一套适用于多应用系统，多级互联的应用日志监测技术方案。 本文通过