信息安全审计机制研究与设计论文
1多维信息安全综合审计模型
信息安全综合审计工作涉及的对象和场景很多,其全过程是一个非常复杂的多维集合体,为形成体系化的综合审计框架,十分有必要建立一个多维的综合审计模型,并通过模型确定达到信息安全综合审计治理预期目标需要涉及的详细研究对象和研究内容,确定综合审计体系包含的具体审计模式,确定各研究内容间的具体依赖关系,为信息安全综合审计工作的开展提供科学合理的全局视图[2]。多维信息安全综合审计模型的建立,旨在对系统保密性、完整性、可用性、可控性、不可否认性和可核查性这6个方面的要求,最终的目标是对信息安全的整体性保障。在此目标下,根据信息安全审计全过程所涉及的各要素特征,划分为审计对象、审计模式和审计管理3个维度,同时为各维度确立了4个属性,体现各维度的信息构成完整性,以立方体形式对信息安全综合审计体系全过程进行描述。
1.1审计对象维度
审计对象是信息安全活动的核心标识载体,是描述信息安全事件不可或缺的要素,根据信息安全活动的特点,将审计对象划分为人员、时间、地点、资源4个属性。人员人员是信息安全活动产生的源头,除了广义上的人员姓名、性别、年龄等基本信息外,还需延伸到其在信息安全活动中使用的账号、令牌、证书等个人标识信息。时间时间是信息安全活动的窗口,任何信息安全活动都会产生时间戳,可用以标识信息安全活动的开始、结束及其中间过程。地点地点是信息安全活动发生的位置,不仅包括传统意义上的地理位置信息,还包括网络空间中源IP、目的IP等位置信息。资源资源是信息安全活动所依赖的先决条件,包括计算机硬件、操作系统、工具软件等一切必要的资产。
1.2审计模式维度
审计模式是综合审计的具体运用,是综合审计模型的关键集成点,根据信息安全活动的具体类型和场景,将审计模式划分为运维操作、数据库应用、网络应用、终端应用4个属性。运维操作运维工作是支撑网络和信息系统稳定运行的重要前提,但运维人员掌握着系统的高级权限,由此带来的运维风险压力也越来越大,因此必须引入运维操作审计管理机制。运维操作审计的核心是加强对运维人员账号和权限的管控,即在集中运维模式下实现运维人员与目标系统的逻辑分离,构建“运维人员→主账号(集中运维账号)→授权→从账号(目标系统账号)→目标系统”的管理架构,并对具有唯一身份标识的集中运维账号设置相应的权限,在此架构下实现精细化运维操作审计管理[3]。数据库应用在大数据时代,数据库是最具有战略性的资产,其黄金价值不言而喻,数据一旦被非法窃取,将造成难以估量的损失。运维层面的数据库安全可通过运维操作审计来实现,数据库审计的核心应是加强业务应用对数据库访问合规性的管控,建立“业务系统→SQL语句→数据实例→返回结果”的识别监听架构,将采集到的业务系统信息、目标实例对象、SQL操作动作等信息进行基于正常操作规则的模式匹配,并对应用层访问和数据库操作请求进行多层业务关联审计,实现业务系统对数据库访问的全追溯[4]。网络应用无论数据中心内的信息系统还是办公区内的办公终端都会产生大量的网络流量,加强对网络流量的识别和分析,是发现违规行为的重要途径。网络应用审计的核心是通过网络监听技术,建立“用户(业务系统)→交互对象→网络流量→分类识别”的管理架构,对各类网络数据包进行协议分析,其重点是要对网站访问、邮件收发、文件传输、即时通信、论坛博客、在线视频、网络游戏等典型应用进行区分和记录,达到对用户及业务系统间双向网络应用的跟踪审计[5]。终端应用终端是信息安全的最后一道防线,同时也是最薄弱的一个环节,无论是服务器还是办公机,要么是应用的发起者要么是接受者,是信息安全事件的落脚点。终端应用审计的核心是通过扫描和监控收单,建立“主机→安全基线+介质→数据交换”的管控架构,对终端补丁安装、防病毒软件、文件下载、文档内容的安全基线进行记录审查,并对移动存储介质与外界发生的数据交换进行跟踪记录,实现对终端各类行为审计的全覆盖。
1.3审计管理维度
综合审计管理的目的是要实现对信息安全风险的全面治理,需包括事前规划预防,事中实时监控、违规行为阻断响应,事后追踪回溯、改进保护措施,根据综合审计管理事前、事中、事后三个阶段的特点,将控制、监控、响应、保护定义为该维度的4个属性。控制指按照权限最小化原则,采取措施对一切必要的信息资产访问权限进行严格控制,仅对合法用户按需求授权的管理规则。监测指对各类交互行为进行实时监控,以便及时发现信息安全事件的管理规则。响应指对监测过程中发现的违规行为进行及时阻断、及时处理的管理规则。保护指对监测到的各类交互行为进行记录回放、并积极采取改进保护措施的管理规则。
2信息安全综合审计治理闭环管理机制
在多维信息安全综合审计模型基础之上,按照全过程的管理思路,应以综合治理为目标导向,对存在的信息安全问题进行闭环管理,研究事前、事中、事后各环节的关联关系,形成相互补充、层层递进的闭环管理机制。
2.1事前阶段
制定统一的安全审计策略,以保证信息系统的可用性、完整性和保密性为核心,实现对用户身份和访问入口的集中管理,严格权限管理,坚持用户权限最小化原则,注重将用户身份信息与网络和信息系统中的各种应用与操作行为相结合,保证审计过程与审计结果的可靠性与有效性。
2.2事中阶段
实时监测运维操作、数据库应用、网络应用和终端应用产生的数据,通过规则及时发现违规信息安全事件,做到实时响应、实时处理,并通过多个维度将各种基础审计后的安全事件有机地整合起来,做到信息安全事件的全记录、全审计。
2.3事后阶段
对各类审计数据进行标准化处理及归档入库,为安全事件的准确追踪和回溯提供有力支持。同时,对信息安全事件进行深度分析,查找事件发生的深层次原因,执行有针对性的'弥补措施,并更新信息安全审计策略,形成良性的管理机制。
3信息安全综合审计系统架构设计
3.1技术架构
信息安全综合审计系统面临的一大问题就是各业务系统与网络设备运行独立,信息集成和交互程度较低,服务器、交换机、办公终端都是独立的审计对象,均会产生大量的审计数据,但又缺乏集中统一的审计数据管理视角,构建对审计数据的统一处理能力应是综合审计体系建设的核心思路,信息安全综合审计体系有效运行的关键就在于对可审计数据的采集,以及对数据分析处理的能力。因此必须在多维信息安全综合审计模型框架下,建设“原始数据收集→数据标准化处理→审计事件分析→事件响应与展现”的全过程处理过程,实现从采集到展现的一体化综合审计系统,包括数据采集、数据处理、事件分析和事件响应4大功能模块。数据采集对网络中的数据包、主机中的重要数据的操作行为、操作系统日志、安全设备日志、网络设备日志等原始数据进行收集;数据处理将采集到的原始数据进行标准化处理,将处理后的数据变为日志,存储到数据库中,并交付“事件分析”模块;事件分析对标准化处理后的事件进行分析、汇总,同时结合人员信息做出综合判断,有选择地将分析结果发送到“事件响应”单元,并进行存储与展现;事件响应对分析后的结果做出反应的单元,可以结合其他的安全措施对事件做出中断会话、改变文件属性、限制流量等操作。
3.2业务架构
安全综合审计应保证审计范围的完整性,只有范围覆盖得合理且全面,才能保证信息安全审计的充分性和有效性,才能达到综合治理的目的。同时,过大的系统覆盖维度又会使审计点过多,导致审计体系无法贯彻落实。因此,应在多维信息安全综合审计模块框架下对运维操作、数据库应用、网络应用和终端应用开展审计工作。通过对运维操作、数据库应用、网络应用、终端应用等各类审计关键技术的整合,充分运用数据统计、数据分析、数据展现等手段,构建完备的综合审计知识库,再结合信息安全实际环境和治理策略,制定科学合理的审计规则,实现信息安全治理工作技术与管理的统一,从根本上提高信息安全综合治理能力[6]。
4结语
本文针对信息安全综合审计体系开展了系统研究,构建了涵盖运维操作、数据库应用、网络应用、终端应用4种模式下的多维度、全过程信息安全综合审计模型,提出了信息安全事件综合治理的全生命周期管理机制,为面向治理的信息安全综合审计工作提供了理论支撑。同时,还从技术和业务两个层面对信息安全综合审计系统的架构进行设计,用以指导信息安全综合审计理论的落地和系统的建设,对推动当下信息安全治理工作及应对未来更加复杂的信息安全挑战具有积极意义,是对信息安全主动防御、全局防御的有益尝试。
【信息安全审计机制研究与设计论文】相关文章:
循环经济与环境审计互动机制研究论文01-22
信息安全管理中心设计研究论文09-19
医院信息安全与系统监控研究论文11-17
个人信息安全认证机制论文07-28
标准化信息管理与信息安全研究论文08-11
基线配置核查与电网信息安全研究论文10-30
信息安全与等级保护技术研究论文11-21
信息安全技术与数字证书研究论文09-14
审计档案信息化的安全与维护的论文11-23