应用系统安全审计监测研究与实现

应用系统安全审计监测研究与实现

范红1，邵华1，李程远1，胡志昂1

（1. 公安部第一研究所, 北京 100048）

摘 要： 至今信息系统审计已进入普及阶段，但应用系统审计对用户行为审计支持不足，无法满足监测审计功能、倒查取证的安全需求。为此，提出适用于多应用、多级互联的应用日志监测方案。该方案以安全审计技术规范为核心，在部署应用系统审计手段的基础上，通过应用日志监测系统实现审计功能监测和日志倒查取证。

关键词： 信息安全；安全审计；监测

Research and Implementation for Monitoring

Application System Security Audit

FAN Hong1, SHAO Hua1, LI Cheng-yuan1, HU Zhi-ang1

(The First Research Institute of Ministry of Public Security Beijing 100048)

Abstract ：Since the information systems audit has entered the popularization stage, however, application system audit on user behavior is insufficient. It couldn ’t meet security requirements needs of monitoring function of auditing and forensics. For this, provide a scheme for monitoring application log which apply for multiple applications, multistage interconnecting environment. In this scheme, the security audit specifications as the core, make use of the monitoring system for application log to realize monitoring function of auditing and forensics ，which based on the deployment of application systems audit means.

Keyword ：information security; security audit; monitoring

1. 引言

根据IDC 的统计数据，75%～85%的安全隐患来自于网络内部，内网信息安全形势十分严峻，安全风险不断加大，各类恶意用户对信息系统进行网络攻击、系统破坏和数据窃取，且手段日益多样、隐蔽。目前，通过数据窃取、越权访问、违规操作等途径获取内部重要数据，造成失泄密等严重后果的违规案事件频发，且所占比例逐年加大。这些行为主要是：1）1

作者简介：范红（1969－ ），女，河北，副研究员，博士后 Email: ysfanhong@126.com; 邵华（1984

－ ），男，湖北，安全工程师，硕士Email:haorrenhaomen@163.com; 李程远（1984－ ），男，北京，工程师，硕士Email: yslchy@qq.com; 胡志昂（1962- ），男，浙江，研究员，硕士 Email:HZA2758@sina.com; 资助项目：国家863高技术研究发展计划资助项目（2009AA01Z437），国家863高技术研究发展计划资助项目（2009AA01Z439）

外部人员非法操控获取内部数据，多位信息系统开发单位或维护人员利用安全漏洞设置后门，远程操控或非法获取业务数据；2）内部人员随意越权访问，侵犯个人隐私：主要是部分内部员工或文职聘用人员利用职务之便，在未经授权或私自提高权限，随意查询与业务部相关的财务、客户等涉及公民隐私的信息，或在内部应用系统中“干私活”；3）内外人员相互勾结获取重要信息资源，主要指内部人员为谋取不正当经济利益或其他目的，获取网内重要资源或涉密信息，与外部人员交易，从中牟利，有的甚至造成泄密。更为重要的是传统意义上的PKI/PMI系统、防火墙、入侵检测等安全防护手段，由于普遍部署在应用系统外围，缺乏对数据库底层及系统功能操作全过程的安全监测和审计。虽然目前各类设备、应用系统、网站可提供日志审计，但是根据对某行业的年度安全大检查发现，安全审计功能开启率不容乐观，如表1为2009和2010的调查数据。

表1 2009-2010审计开启统计表 Table 1 2009-2010 audit opening statistics

审计类别 主机服务器 数据库 网络设备 防火墙 业务系统 内部网站 互联网站

年度

2009 68% — 68% — 81% — —

2010 77.22% 74.5% 78.75% 91.9% 74% 66.33% 82.62%

[1]

注：“—”表示当年未统计。其中无审计功能视为未开启

上表数据为检查整改后的数据，检查之初，安全审计开启率更低。因此，在加强安全审计能力时，必须建立日志监测工作体系，以满足新的安全需求。由于目前安全审计范围庞大，本文以应用系统日志监测为入口，研究并实现一套适用于多应用系统，多级互联的应用日志监测技术方案。

本文通过规范应用系统日志审计技术要求，构建日志监测系统，从而解决审计功能监测，倒查取证等现实问题。第二节概述应用系统审计架构和应用系统日志监测工作体系；第三节详述应用系统审计技术要求，并就应用系统审计实施内容，探讨了两种实施方法；第四节描述了监测系统总体设计、功能实现和部署等内容；第五节对本文进行总结。

2. 应用日志监测体系

2.1 审计架构

信息系统在实现业务信息的存储、传输和处理的过程，需要完成主机服务器、数据库、网络设备、安全设备、业务和网站六类审计，涉及基础日志层、网络层、业务层和敏感数据专项层四个层次

[2，3]

。基础日志层审计对设备自身运行日志、配置变更日志等底层设备日志

进行分析，初步评估设备的自身安全运行状态；网络层审计通过采集网络数据包后进行协议

解析还原来分析信息系统网络活动，在分析过程中，重点关注访问源地址异常、访问协议异常、访问次数异常的数据流；业务层面审计需依赖良好的业务梳理，形成业务合规性操作定义。主要实现信息化系统中业务操作进行日志记录； 敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容，针对违反上述定义的情况对数据进行逐一的细粒度重点审计, 粒度可以是击键、文件读写、拷贝等记录与分析。

2.2 应用日志监测

目前， 市场上安全审计产品根据审计技术与审计范围可分为基于设备日志、基于网络探测和堡垒机三种类型。综合考虑审计架构，分析对比如表1所示，三类审计产品基本涵盖审计的四个层次，理论上可以通过产品部署实现信息系统的综合审计，但对于各类审计日志的监测缺乏有效的统一手段，特别是针对应用日志审计监测缺乏统一部署，无法满足应用系统审计日志统一倒查取证的需求，因此需要构建应用日志审计监测体系。

表2 审计产品对比分析

Table 2 comparative analysis of audit product

审计类型 基于设备日志型

描述

基于设备日志类型是通过收集网络设备、主机、数据库、业务系统等日志来进行审计和分析。

基于网络探测类型是通过在关键网

基于网络

络节点部署产品，分析网络数据包，

探测型

定位业务操作来进行审计。 堡垒机类型是通过在业务系统出口

业务层

堡垒机型

处部署堡垒机，监控所有经过堡垒

敏感数据专项层

机的操作来进行审计。

库、业务、网站

据库

主机服务器、数据

监测主机、数

业务层

备、业务、网站

数据包

网络层

网络设备、安全设

监测网络

基础日志层 审计架构层次

范围

主机服务器、安全

监测各设备

设备、网络设备、

日志

数据库

日志监测

电信、银行应用系统分布在各业务部门，传统的安全审计评估方式涉及各业务部门协调，存在工作周期长，倒查取证难，工作效率低等问题，急需深入突破，构建新的审计监测体系，以实现高效、扁平化的管理模式和自动化的安全审计功能检测、倒查取证，通过对操作行为的监测，全程分析数据，实现对用户行为全方位、全过程的跟踪、监测和记录，为事件倒查工作提供有效依据

[4，5]

。

针对上述需求，提出应用日志监测工作体系，如图1所示。应用日志审计监测体系是对重要应用系统部署有效的安全审计手段，通过多级日记监测系统实时考核应用系统审计功能状态、上报审计结果和准确研判；同时，建立相应的安全审计监察机制，以全面掌握应用系统的安全合规性。

应用日志监测核心是应用系统审计技术规范，根据应用系统审计技术规范要求，部署审计手段和安全审计监测平台（可实现多级互联），以管理机制为保障，完成应用日志监测的总体要求。应用日志监测工作体系将有效转变以往的工作模式，实现各类应用系统的操作过

图1 应用日志监测工作体系

Figure1 work architecture of monitoring application Log

程审计，满足跟踪源头、取证等新的现实需求，最大化的降低损失，将信息化的安全问题归结到人上，从根源抓住问题的核心。

3. 应用系统审计实施

3.1 应用系统审计技术要求

应用系统审计应记录七类审计日志，包括登录、查询、新增、修改、删除、统计和导出操作行为的审计记录。1）登录是指用户通过认证的事件。登录事件应记录的日志信息包括用户标识、用户名、登录日期时间、退出日期时间、终端IP ；2）查询是指用户登录到应用系统后，通过输入关键字等方式查看应用系统信息资源的事件 。查询事件应记录的日志信息包括用户名、用户唯一标识、查询日期时间、用户访问IP 、查询条件、数据对象、查询条目、查询子操作；3）新增是指用户登录到应用系统后，添加资源信息的事件。新增操作应记录的日志信息包括用户标识、用户名、新增日期时间、终端IP 和数据对象；4）修改是指用户登录到应用系统后，更改已有资源信息的事件。修改操作应记录日志信息包括用户标识、用户名、修改日期时间、终端IP 、数据对象和修改说明；5）删除是指用户登录到应用系统后，清除已有资源信息的事件。删除操作应记录的日志信息包括用户标识、用户名、删除日期时间、终端IP 、数据对象和删除说明；6）统计是指用户在登录应用系统后，查询一类信息的事件。统计操作应记录的日志信息包括用户标识、用户名、统计日期时间、终端IP 、数据对象和统计说明；7）导出是指用户在登录应用系统后。查询相关信息以打印或其他方式下载已有资源信息的事件。导出事件应记录的日志信息包括用户标识、用户名、导出日期时间、终端IP 、数据对象、导出方式、数据大小、保存文档类型和导出内容说明

[6-8]

。

应用系统审计日志应独立存放、授权管理员无法修改和删除审计日志，审计日志备份周期不少于3个月，保存期限为1年。

3.2 应用系统审计实施

应用系统实现方式、审计能力千差万别，很多应用系统无需登录，直接操作，无法跟踪

用户操作行为，还有一部分应用系统无审计日志记录。针对这些参差不齐的应用系统，可采用两种方式进行实施，第一种方法是对应用系统本身进行二次开发，根据应用系统安全审计监测技术规范增强审计能力。第二种方式是采用审计代理的模式，在原有应用系统的基础上，开发一套安全审计代理，在应用系统前端部署，以中间层的工作模式，通过截取用户操作对用户行为进行审计。两种方式各有优缺点，对比分析如表3。

表3 实施方法对比分析

Table 3 comparative analysis of implementation methods

实施类型 二次开发

优点

1）投入较小；

缺点

1）原系统开发公司现状不确定，具体实施有一定难度；

2）与原有系统兼容性高。 2）开发阶段影响业务正常运行，应用系统执行效率下降。

审计代理

1）易于标准化、统一接口； 1）投入较大； 2）原有应用系统改动小。 2）系统兼容性问题。

由于目前应用系统均已运行，考虑到业务正常运行，因此研究适用于应用系统的审计代理工具就显得更为重要。

审计代理以中间层的工作模式，截取用户操作行为为主要手段，从而对用户行为进行审计，针对部分应用系统无身份鉴别操作的现实状况，可在审计代理完善其功能，从将审计日志定位到人，方便后续工作的审计取证。

审计代理设计如图2所示：

图2 审计代理工作原理 Figure 2 principle of audit agent

用户所有操作（指令和返回结果）均由审计代理记录，并进行本地存储，日志监测系统通过审计代理接口对审计日志进行查询和倒查取证。

4. 监测系统设计

4.1 监测系统总体架构

监测系统以人为核心、审计为手段、技术为保障，实现对各类审计对象日志的监测，实

现安全审计工作的信息化、规范化，保障行业内网安全运行，提高安全审计水平和工作效率，为案（事）件倒查提供有力技术支撑。

监测系统的总体架构从逻辑上分为三个层次：集中展示层、核心处理层、接入交换层，监测系统的数据流向不受限于层次与模块划分，工作需求可跨层次和跨模块实现，如图3所示。

图 3 监测系统架构

Figure 3 architecture of monitoring systems

4.2 监测系统功能实现

监测系统主要实现应用系统审计模块运行状态监控、日志倒查取证以及统计分析功能。审计模块运行状态监控功能完成对各类应用系统审计模块部署、运行、与安全审计监测系统连通情况的监控展示，支持地图化分级展示，并通过不同颜色的信号灯表示监控结果，可根据监控结果实现考核对象的考核。如表4考核分级标识与编码所示：

表4 考核分级标识与编码

Table 4 mark and code for assessment classification

考核等级 分级标识

编码 颜色编码

描述

层定义的接口完成应用系统与监测系统的信息交互。对于某类重要的应用系统，监测系统可收集并存储这类日志，以完成更深入的统计分析。

统计分析在第3节应用系统审计实施的基础上，可以根据日志统一的字段，进行关联统计分析。如图4、5所示，可按照应用系统，分析应用业务访问量变化趋势图，可为决策者提供业务发展趋势、业务扩容提供支持；也可以通过TOP N数量图表，分析个人的操作行为和异常行为。

4.3 监测系统部署

监测系统以面向服务体系结构（Service-Oriented Architecture, SOA）为系统的架构，其具有跨平台、可伸缩和高可靠的特性，系统运行中增删模块组件不影响系统的正常运行。监测系统采用多级分布式部署，其业务数据流如图7所示。

图6 上/下级监测系统业务数据流

Figure 6 data flow of upper / lower monitoring systems

5. 结论

应用系统日志监测可进一步完善应用系统安全审计功能，实现对各类应用系统审计功能的有效监管，实时分析审计现状，评估当前安全状况。通过日志监测系统可实现关键应用系统日志收集，对其汇总并关联分析，倒查出违规或可疑行为的踪迹，为事件追责提供便利。

在多级管理状况，日志监测系统实现级联，实现网络追责、倒查的扁平化管理，提供办事效率。总之，应用系统日志监测技术适应了深度安全审计的需求，为了事件追责提供了新的途径。

参考文献:

[1] 李洋. 信息系统安全问题审计研究[D]. 东北财经大学，2007

[2]邓小榕, 陈龙等. 安全审计数据的综合审计分析方法[J]. 重庆邮电学院学报, 2005,17(5):604-607

[3] 杨菲. 多信息化系统环境下安全审计手段的研究[J]. 中国管理信息化, 2011, 14(14 ):32 [4] 蔡家楣, 陈洋等. 面向Web 应用的用户行为审计系统[J]. 计算机系统应用, 2009, 8:10-14. [5] Wojciech B, Bogdan K. On Scalable Security Audit for Web Application According to ISO 27002[J], Communications in Computer and Information Science, 2011,160:289-297. [6]GB/T 25070-2010,信息系统等级保护安全设计技术要求[S].

[7]GB/T 20945-2007.信息系统安全审计产品技术要求和测试评价方法[S] [8]GB/T 18336-2001. 信息技术安全性评估通用准则[S]