概述

 信息安全审计的必要性

随着政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。然而，信息系统维护过程中依然还面临着诸多的困难及风险， 如：

ü  系统运维风险：由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行，服务中断。这些异常行为往往会事先在系统及各类日志中有所反映，如果缺乏有效的日志审计手段，就无法及时发现这些安全隐患。

ü  网络资源滥用：大部分企业对员工的上网行为都不进行直接控制，因此员工不适当或滥用公司网络资源的行为时有发生，如进行BT下载、观看在线电影、网上聊天以及访问非法网站的相关行为等等，这不仅是对公司管理制度的挑战，更使企业在国家相关法律法规的符合性上存在隐患，也容易造成企业资料泄密等后果。

ü  应用及数据风险：企业中各类应用系统在对外服务的同时将面临各种用户访问行为造成的信息安全风险，包括用户非授权访问、管理员误操作、黑客恶意破坏等等，必须实行有效的安全审计手段。

ü  安全事件定位风险：最为严重和突出的现象是会出现大量的安全事件，一个标准的网络入侵监测系统采用缺省的策略，在一个百兆的链接上每天可能产生超过千万数量的事件，海量的数据常常让我们的安全产品变得没有任何意义，即使经过调整和优化的策略，也充斥着无意义数据和误报。

ü  国家法律法规要求：《网络安全法》、《关键信息基础设施保护条例》等，都对企业的日志保存有明确的要求。

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》对于二级以上信息系统，在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。而日志审计是符合这些要求的基本手段。

《互联网安全保护技术措施规定》（公安部82号令）第八条要求具备“记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能”。

《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。

《银行业信息科技风险管理指引》 第二十七条要求银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。

《保险公司信息系统安全管理指引（试行）》第四十四条要求“对主机系统进行审 计，妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计”。

《网络安全法》第三章网络运行安全中第一节一般规定的第三条要求“采取记录、跟踪网络运行状态，监测、记录网络安全事件的技术措施，并按照规定留存网络日志”。

  信息安全审计目标

从信息安全风险管理角度来看，针对各类系统的运行日志、数据库操作行为、网络访问行为的审计系统是信息安全保障体系中不可或缺的一部分，综合审计系统的目标包括：

（1）有效整合现有信息安全产品，形成统一的安全事件管理平台；

（2）通过全面的日志及行为分析弥补现有各类技术产品在威胁分析发现方面的不足；

（3）为安全事故的责任追查、故障定位提供有力的技术手段。

产品介绍

 产品概述

网络访问行为审计系统是北京冠程科技有限公司自主研发的拥有自主知识产权的专业信息安全审计产品，系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及综合分析功能，实现对信息系统整体安全状况的全面审计。

网络访问行为审计系统专注于对信息系统中各类主机、数据库、流量、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析，是支持分布式、跨平台的统一智能化日志综合管理及审计设备，可以对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库、流量和其它应用进行全面的安全审计。

网络访问行为审计系统可以帮助企业管理员随时了解整个IT系统的运行情况，通过实时的日志分析及时发现系统异常和非法访问行为；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，网络访问行为审计系统可以确保日志完整性和可用性，协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。

 功能架构

   采用组件式平台架构，实现了分层的逻辑架构，包括：审计数据源层、数据采集层、实时分析层、存储层、业务分析层、可视化展示层和用户管理层。如下图所示：

  审计数据源层

审计数据源层是指审计数据源对象，包括各类型的服务器、网络设备、安全设备、数据库、应用系统、终端PC、视频设备等能产生相关日志的设备和信息系统。 审计对象须开放接口才可以收集到日志，如果审计对象开放的接口是私有协议，系统可以通过定制开发协议的方式进行支持。

  数据采集层

数据采集层分为日志数据采集、数据库数据采集、流量数据采集，日志采集层利用Syslog、Snmp Trap、Jdbc、本地文件、Sftp/Ftp远程采集文件、Sniffer、Agent方式进行采集，从审计对象获取元数据，并对数据进行范式化、分类、过滤、归并，统一推送到业务层进行分析、存储。 流量、数据库采集层通过交换机端口镜像获取网络流量，对网络流量进行校验，重组，还原，解析。从而进一步分析网络中的用户行为。

  实时分析层

通过大数据分析技术对实时采集过来的日志和流量进行实时的数据分析，把采集过来的非结构化的数据转换成结构化的数据；通过高性能海量数据存储代理将数据进行快速存储；通过分布式查询引擎实现快速查询；通过数据聚合引擎实现数据抽取。

  存储层

采集层接收日志和流量数据，经过大数据实时分析后，系统会把日志和流量数据存储在时时大数据全文搜索Elasticsearch中。经过一段时间后，数据会进行归档处理，把数据存储在Hadoop中，作为离线数据库存储。通过Hadoop技术，可以很方便的查询到离线归档数据。

 业务分析层

业务分析层对采集过来的在线数据或者离线数据，首先根据业务模型进行生成业务规则模型，然后分析引擎会根据规则进行关联分析，触发规则，生成告警记录。同时系统引入了机器学习，对在线数据和离线数据实时不间断的进行分析，发现异常行为。

  可视化展示层

面向系统的使用者，提供一个图形化的显示界面，展现安全审计系统的各功能模块，提供性能监控、安全预警、业务分析、事件溯源、合规报表等功能。

  用户管理层

根据使用用户的管理和不用场景的需求，对系统进行权限管理、组件管理、报表管理及其他相关配置的管理。

 横向扩展

网络访问行为审计系统系统产品的后台采用的是大数据全文搜索技术Elasticsearch，Elasticsearch具有非常多的大数据处理的优点：

横向可扩展性：只需要增加一台服务器，启动Elasticsearch进程就可以并入集群；

分片机制提供更好的分布性：同一个索引分成多个分片（sharding），这点类似于HDFS的块机制；分而治之的方式来提升处理效率；

 高可用：提供复制（replica）机制，一个分片可以设置多个复制，使得某台服务器在宕机的情况下，集群仍旧可以照常运行，并会把服务器宕机丢失的数据信息复制恢复到其他可用节点上；

在研发产品的时候，对Elasticsearch进行了彻底的封装，只需要在配置文件中增加简单配置就可完成系统的横向扩展能力。