安全审计的类型篇1
关键词:安全审计;数据挖据;日志分析
中图分类号:tp393文献标识码:a文章编号:1009-3044(2011)35-0000-0c
ResearchofthenetworkSecurityauditSystemBasedonDatamining
(Departmentofinformationandelectronic,Hangzhoupolytechnic,Hangzhou311400,China)
abstract:inthispaper,networksecurityauditwasstudiedasadataanalysisprocess,logsinthenetworkenvironmentistheimportantdatasource,somemaindataminingtechniqueswasconsideredsuchaspreprocess,association,Sequential,Classification,Clustering,abasicstructureofnetworksecurityauditsystemwasproposedandthealgorithmsforauditdataminingwasdiscussed.
Keywords:securityaudit;datamining;loganalysis
随着信息化建设的飞速发展,金融机构、政府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高,除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外,对这些数据的合法操作同样有可能导致安全事故的发生,比如泄密、恶意删除、操作失误等。为此,基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据iDC统计,2007-2011年,国内风险管理解决方案市场以22.4%的复合增长率快速增长。
现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动,对与安全相关活动的信息进行识别、记录、存储和分析,并对突发事件进行报警和响应之外,还能通过对系统事件的记录,为事后处理提供重要依据,为网络犯罪行为及泄密行为提供取证基础。同时,通过对安全事件的不断收集与积累并且加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,即事后分析及追查取证,以保证系统的安全。
在tCSeC和CC等安全认证体系中,网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度,是一个安全的网络必须支持的功能特性[1]。
本文以安全审计领域中的数据挖掘应用为研究视角,以操作日志为数据对象,给出了基于多源日志数据挖据的网络安全审计系统的基本架构,并对研究过程中的几个关键技术点进行了分析。
1系统架构
目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新,这样在安全审计的过程中系统不能自适应地识别出新型异常,使误报警和漏报警问题不断发生。此外,一方面随着网络应用的普及,网络数据流量急剧增加,另一方面有些审计记录本身包含了大量的无关信息,于是,数据过载与检测速度过慢的问题也不无出现。
数据挖掘本身是一项通用的知识发现技术,其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前,操作系统的日益复杂化和网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息,人们希望能够对其进行更高抽象层次的分析,以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型,可以由计算机利用相应的算法判断出当前网络行为的性质。
基于数据挖据的网络安全审计系统的基本架构如下图1所示。
图1系统架构
系统由etL、数据仓库、元数据引擎、oLap引擎、专家知识库、数据挖掘模型、应用接口等部分组成。etL系统将异构、分散的审计数据日志抽取并清洗后送入数据仓库;数据仓库根据不同的数据分析特点采用星型或雪花型模式存储多维数据模型;元数据引擎负责定制与维护规范的etL规则定义、数据仓库模型定义及业务流程定义;oLap引擎通过mDX(multiDimensionalexpression,多维查询表达式)语句分析器响应用户查询操作,分析器接收客户端提交的mDX语句,并对该mDX语句进行语法和语义分析,然后按照预先定义的多维数据模型转换成相应的SQL(结构化查询语句)语句,最终从关系型数据库中获取有关的数据。如果需要获取的数据已经在缓存中,则直接从缓存中获取。专家知识库记录了典型案例和审计规则,根据知识库中的规则,责任分析模型应用数据挖掘相关算法对数据进行分析,当某用户的行为与知识库中定义的异常规则相一致时,通过应用接口层给出警报信息,当出现与知识库中的任何规则都不匹配的异常规则时,利用聚类和分类挖掘技术将这些知识添加到知识库中。这样可以通过不断修改知识库来发现未知攻击或已知攻击的变种。
2关键技术分析
2.1多源日志处理
在信息化建设过程中,由于各业务系统建设和实施数据管理系统的阶段性、技术性以及其它经济和人为因素等影响,操作系统、网络设备、安全设备的使用日益复杂化,这导致产生了大量异构、分散的安全审计数据,包括操作系统日志、安全设备日志、网络设备日志以及应用系统日志等,这给数据分析与决策支持带来了困难。解决方案是对异质异构日志数据格式进行转换,同时使用事件合并机制对系统间相似数据进行合并,并与各案例库和各日志库一起为责任认定系统提供数据服务,为责任认定提供依据。文献2对多源日志数据的采集、范化、分析、过滤、聚类、归并等过程进行了综述,并提出了相应的算法和实例。
2.2审计数据仓库构建
数据仓库存储模型与传统的业务数据库系统有着本质的区别,数据库技术在存储模型建设方面强调数据模型的规范性和高效存储能力,而数据仓库技术在存储模型建设方面强调数据查询的方便性和快速响应能力。目前通常采用的数据仓库存储模型有:星型模型,雪花模型[3]。星型模型将一个事实表放在中间,周围是有数据相关的维表,事实表是星型模式的核心,数据量很大。维表是事实的附属表,数据量比较小,它提供了事实表中每一条记录的描述性信息。在星型模式中,每个维只用一个表来表示,每个维表包含一组属性,从而造成了一定程度的冗余。为了避免这些冗余数据占用过大的空间,可以用多个维表来表示一个层次复杂的维,从而把数据进一步分解到附加的表中。这种规范化了的星型模式称为雪花模式。虽然雪花模式减少了数据冗余,节省了存储空间,但由于执行查询时需要进行更多的连接操作,降低了浏览的性能。在审计数据仓库中,由于浏览操作的实时性和频繁性,星型模型更为适用。
2.3数据挖据算法应用
在安全审计中,运用数据挖掘技术,可以利用统计、分类、聚类、关联、序列分析、群集分析等方法,对网络日志中大量的数据进行深层次分析和研究,揭示其本来的特征和内在的联系,使它们转化为网络安全检测所需要的更直接、更有用的信息。
1)分类与预测算法:分类要解决的问题是为一个事件或对象归类。在使用上,既可以用来分析已有的数据,也可以用它来预测未来的数据。安全审计可以看作是一个分类问题:我们希望能把每一个审计记录分类到可能的类别中,正常或某种特定的入侵或操作异常。一般来讲,分类根据系统特征进行,关键就是选择正确的系统特征,大多数时候还需要根据经验和实验效果确定一个合理的阀值。
2)关联分析:关联规则挖掘是指发现大量数据中项集之间有意义的相关联系。关联规则可以从海量的日志数据集中发现不同字段之间存在的关系,这些联系反映了用户的某些操作在一段时间内频繁出现的条件,清楚地反映了用户的行为模式。利用关联规则算法挖掘出合法用户的历史正常行为模式,将当前的行为模式与历史正常行为模式进行比较,从而可以分析出用户的潜在异常行为。文献4即根据网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FiDF,改变了候选项集的产生顺序,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性。
3)聚类技术:聚类就是将数据对象分组成多个类或者簇,划分的原则是在同一个类(簇)中的对象之间具有较高的相似度,而不同类(簇)中的对象差别较大。在网络安全审计中,聚类模式的常规做法是通过分析网络资源的受访问情况以及访问次序,来找到用户间相似的浏览模式,并进行安全性识别。文献5针对聚类应用在日志分析中存在的主要问题,从聚类算法的选择标准、改进方向、性能分析3个方面探讨了典型聚类算法k-means算法的研究成果。
3结束语
本文将网络安全审计与责任分析视为一种数据分析的过程,以网络环境中大量的安全责任日志数据为分析对象,综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术,提出了网络安全审计系统的基本架构,重点对适用于审计数据挖据的相关算法进行了应用分析。
参考文献:
[1]张旭东.内网安全审计系统及审计数据挖掘研究[D].浙江工业大学,2007.
[2]刘成山,张秀君,刘怀亮.多源日志的数据挖掘方法研究[J].情报杂志,2009(3):154-156.
[3]inmon,wH.数据仓库[m].4版.北京:机械工业出版社,2006.
安全审计的类型篇2
关键词:航天型号;技术评审;有效性
中图分类号:F273 文献标识码:a
引言
2011年卫星发射将取得新的突破,在现有资源条件下对评审进行优化势在必行。在不降低评审把关作用的前提下,基于提高评审有效性的航天型号评审项目进行研究具有重要的意义。
目前各单位进行的评审涉及预先研究、产品化、型号研制等方面,本次调研针对航天型号评审进行。下文中论述的评审如无特殊说明均指型号研制技术评审。本文对调研情况进行了总结和分析,并基于提高评审的有效性提出了航天型号评审工作的改进措施。
1.航天型号评审现状
1.1评审的定义和目的
技术评审是在航天器型号研制过程中由型号内、外的同行专家对型号产品的设计、制造、总装、测试和试验工作进行的评议审查活动。技术评审是为型号技术决策和行政系统管理决策提供评审意见的一项必须进行的工作,评审不改变型号原有的技术责任和管理责任。
1.2型号技术评审分类
型号技术文件类型一般有设计类、产品保证类、工艺类、总结类、技术状态更改类、质量问题归零类、出厂评审类等。
设计类细分为:方案论证报告类、初样设计报告类、正样设计报告类、任务书/技术要求类、产品规范/技术条件类、接口类、研制技术流程类、研制计划流程类、可靠性和安全性分析设计报告类、测试覆盖性分析报告类、计算文件类、材料,元器件选用清单类、关重件及目录外材料/元器件清单类、软件产品类。
产品保证类文件包括产品保证要求、产品保证计划。
工艺类细分为:工艺文件、大纲文件(试验大纲、测试大纲和验收大纲)、细则文件(测试细则、验收细则)、测试程序文件。
总结类文件细分为:测试总结报告/试验总结报告类、技术攻关报告类、研制总结类、复核复审/复核复算类。
技术状态更改类文件指以技术状态管理相关内容为主的技术文件,如技术状态更改论证报告、技术状态更改专项报告等。
质量问题归零类文件包括质量问题技术归零、质量问题管理归零。
出厂评审类文件包括元器件出厂专项评审、软件出厂专项评审、可靠性与安全性出厂专项评审、质量问题归零出厂专项评审、技术状态更改出厂专项评审、风险分析与控制出厂专项评审、系统级出厂评审。
1.3型号技术评审的管理
目前型号承制各单位按照型号评审的要求,技术文件均开展室级、车间级审查或评审。型号技术评审实行分级管理,单机文件经过研究室和厂、所级技术把关,分系统文件经过厂、所级和总体技术把关、总体文件经过总体和项目办把关。为确保质量,部分分系统文件也由项目办进行了评审。院负责的型号评审工作主要是出厂评审、转阶段评审、共性问题归零评审。技术评审工作程序一般包括准备、评议审查和问题跟踪管理三个阶段。
1.4型号技术评审调研情况
本次调研的单位涵盖了总体、分系统和单机单位。总体以XX星总体为例,分系统以XX星热控分系统为例,单机以XX星用二次电源为例。调研采取会议、座谈、书面问卷等形式进行,调查的对象既有型号总设计师又有一线设计人员,既有机关部领导又有基层管理人员。
各单位调研的结果存在很多共性的表现。这里对单机、分系统、总体进行举例说明。涉及到的所有文件均开展室级、车间级审查或评审,开展的形式多样,评审形式包括:会议评审、函审和审查。
单机产品以XX星二次电源为例。整个研制周期共编写152份,全部进行了研究室和所级评审。其中初样阶段89份;正样阶段63份。软件以XX卫星帆板驱动机构LtU软件为例。整个研制阶段共编写29份文件,全部进行了研究室和所级评审。其中初样阶段9份,1份进行了所、厂级评审;正样阶段20份,其中1份进行了所、厂级评审。
分系统以XX星热控分系统为例。整个研制阶段共编写108份文件,全部进行了研究室和所级评审。其中初样阶段43份文件,所级评审8份,项目办级评审8份;正样阶段65份,其中所级评审6份,项目办级评审6份。
总体文件以XX星为例。整个研制阶段共编写560份文件,全部进行了研究室和所级评审。其中初样阶段211份文件,项目办评审57份,院级评审8次;正样阶段339份文件,项目办评审78份,院级评审13份。
2.存在的问题及原因
调研过程中发现:型号研制过程中进行的大量评审确保了研制质量,起到了专家咨询把关、协同设计、各方认可、集思广益的作用,但其中也存在一些问题。
2.1会议评审工作量大,参会人员多
技术责任制不充分落实,导致大量文件进行会议评审。目前大量评审会议进行的不是真正意义的评审,不符合评审的定义,而是在进行技术协调、设计优化、状态确认。会议评审数量多,导致项目办、总体人员、技术专家参会频次大。参会人员没有严格限制,导致参会人员多。
存在用评审会议代替集同设计、技术协调、复核复算的现象;报告编写者在编写报告过程中仅仅同各专业、各系统进行了局部的技术协调。利用评审会议进行充分的各专业和系统之间的协调和集同设计,导致同一份文件多次评审。真正意义上的集同设计是可以同时完成多份文件的技术协调和多个设计指标的优化。对于计算分析类文件更好的技术把关形式是复核复算。
存在用评审证明书代替文件签署责任、技术问题处理单的现象;有些文件无需专家评议审查,完全可以通过文件签署责任制保证其正确性,但仍然进行评审。造成参会人员多的原因也是多方面的,例如:型号利用评审会议争夺人力资源,调动员工工作积极性;研究室领导利用评审会议进行员工培训。
2.2评审有效性不够,管理不规范
用户对航天器的要求不断提高,型号周期短,技术难度大。需要评审的项目数量大同,有限的专家资源和紧张的研制周期之间存在矛盾。评审策划不够,评审文件准备不充分,提交到评委的时间太晚,导致评委无法认真仔细的审查。会议时间较短,报告时间较长,评委发言时间不充分等。评审组组成不够合理。会议组织者没有充分分析评审要点,没有根据评审内容确定相关专业的专家。目前,院没有专业齐全的评审专家名库。被评审方对评委提出的建议和问题没有进行充分的分析,并进行落实和解决。评审会议待办事项缺乏闭环管理。
3.解决措施
3.1落实技术责任制,严格进行两级技术把关
所有的技术文件必须开展室级、车间级的技术把关,把关的形式可以是灵活多样的,但必须形成技术把关的记录。严格执行“单机文件经过研究室和所、厂级技术把关,分系统文件经过所、厂级和总体技术把关,总体文件经过总体和项目办把关。”目前的产品保证队伍体系设置有:项目办产品保证经理(副总师)、分系统产品保证经理(副主任设计师)、各研究室或产品中心产品保证经理(副主任),确保所负责产品质量。确实落实各级产品保证经理在技术文件把关中的职责,由各级产品保证经理提出评审项目建议,并分析评审项目的评审要点,作为评审会议邀请相关专家的依据。各级产品保证经理根据文
件内容分解技术责任,并对技术责任分解的正确性负责,填写“技术分解表单”,作为技术文件的一部分进行归档。相关技术责任人均需对报告进行会签。会签的过程中可以自行组织小范围的技术协调等活动。各级产品保证经理提出复核复算项目的建议,组织工艺集中审查、会签。
3.2改变重要评审组织模式,提高评审有效性
重要技术评审采取复核复审与评审相结合的工作模式,在相对充裕的时间内,对整个设计过程进行集同复核复审,并将专家提出的意见、建议和设计师的反馈意见集中汇总,形成最终的评审结论。重要技术评审全过程所产生的所有质量记录须经设计师汇总、整理形成“XX专题总结报告”,并扫描归档。
3.3优化型号评审工作,提高评审有效性
(1)评审项目的设置,控制评审级别
由各级产品保证经理编制单机、分系统、系统级评审项目清单,相应管理部分审查评审项目的必要性。评审项目应该是技术上确有评议审查必要或管理程序要求。评审项目内容要避免重复,内容类似尽可能合并。控制评审会议级别,在充分地进行两级技术把关的基础上,能够一级完成的评审项目。尽可能不进行两级评审。
型号方案转初样前,进行产品保证策划和技术状态基线2个专项院级评审;可靠性和安全性、元器件2个专项只进行项目办级评审,不再进行院级评审,其内容在型号转初样评审总报告中反映,同时在总报告中要包含“九新”分析、FpGa产品选用及风险控制措施策划内容。直接进入正样研制阶段的型号按照方案转初样模式进行评审。
型号初样转正样前,进行产品保证策划专项院级评审;可靠性和安全性、元器件2个专项只进行项目办级评审,不再进行院级评审,其内容在型号转正样评审总报告中反映,同时在总报告中要包含“九新”分析、FpGa产品选用及风险控制措施落实情况。对于型号出厂评审,按照首飞型号、国家重大工程型号、非首飞型号、批产的装备型号等类别,采取不同的评审策略。
对于首飞型号,型号出厂前,进行在轨故障预案、地面测试设备、元器件、可靠性和安全性、软件、质量问题归零、技术状态更改、风险分析与控制8个专项院级评审;重要分系统出厂专项评审只进行项目办级评审,不再进行院级评审,其内容在风险分析与控制专项报告中反映。国家重大工程型号的评审方式按照首飞型号进行。
对于非首飞的型号(不包括批产的装备星),型号出厂前,进行元器件、可靠性和安全性、软件、质量问题归零、技术状态更改、风险分析与控制6个专项院级评审;重要分系统出厂专项评审只进行项目办级评审,不再进行院级评审,其内容在风险分析与控制专项报告中反映;在轨故障预案、地面测试设备2个专项不再进行项目办和院级评审,其内容在风险分析与控制专项报告中反映。
对于批产的装备型号,型号出厂前,进行质量问题归零、技术状态更改、风险分析与控制3个专项院级评审,若批产的装备型号同时出厂,可分别和型号对应相同专项合并进行(如xx卫星02、03、04星可合并进行3颗星质量问题归零专项院级联合评审);元器件、可靠性和安全性、软件3个专项可分别和型号对应相同专项合并进行院级联合评审;重要分系统出厂专项评审可分别和型号对应相同专项合并进行项目办级联合评审,不再进行院级评审,其内容在风险分析与控制专项报告中反映;在轨故障预案、地面测试设备2个专项不再进行项目办和院级评审,其内容在风险分析与控制专项报告中反映。
型号发射场加注暨转场前评审报告中要包含型号进场后风险分析与控制工作情况,并积极研究更加适合航天新形势的型号发射场加注暨转场前评审管理模式,引导和推行视频会议评审等方式。进一步提高评审有效性。
(2)采取多种审查手段
严格按《航天产品设计文件管理制度设计文件的签署规定》落实三级审签制度的责任制,提高技术文件设计、校对、审核、工艺、标审、会签、批准工作的有效性。
发挥集同设计会、技术协调会在研制工作中的作用,发挥技术问题通知单、更改单、现场问题处理单、技术状态更改单等的作用。
研究函审等其他专家评议审查的方式。
(3)控制参会人员数量
在确保各方认可的前提下,按照会议议题杜绝无关各方人员参会,同时严格控制相关方参会人员数量。
(4)评审时机的选择
在轨故障预案、地面测试设备、元器件、可靠性和安全性4个专项的评审时机提前到型号总装测试开始后至型号力学和热试验开始前期间进行;软件专项的评审时机提前到型号软件落焊前进行;质量问题归零、技术状态更改、风险分析与控制3个专项的评审时机在型号完成力学和热试验完成后至出厂前期间进行,其中地面测试设备、元器件、软件等专项评审后若再次发生质量问题,在质量问题归零专项报告中反映。
安全审计的类型篇3
我国企业会计电算化和管理信息系统的与我国会计软件的发展是基本同步的。从1979年我国在长春一汽开始进行会计电算化系统开发探索始,我国的会计软件发展大致经历了非商品化的开发过程、单一模型会计软件阶段、核算型会计软件、管理型会计软件、eRp会计软件(战略型会计软件)这五个阶段。从应用的广泛性和前景看,后三种软件较为人们所关注。
审计轨迹
(一)核算型会计软件
随着电算化的普及,财务软件也从帐务、工资等单项处理,过渡到深入全面的会计核算,如往来、存货、成本等,形成了以核算为体系的会计软件。目前国内主要会计软件,都具有这些功能。但核算型会计软件缺乏管理思想,很难与企业管理信息系统(miS)融为一体。
(二)管理型会计软件
为适应和提高企业自身管理水平,许多企业迫切需要会计软件能具有资金管理、核算、项目管理核算、财务分析、辅助决策的功能,这就形成了管理型会计软件,管理型会计软件突破了会计软件只局限于会计核算的界限,向全面参予管理决策发展。
(三)eRp会计软件(战略型会计软件)
随着我国企业从重视内部管理,以提高生产效率、降低成本为核心的生产管理,到面向市场的,以建立全面竞争优势为核心的新管理时代,会计软件从管理型发展到战略型、实现企业内部物流、资金流与信息流的一体化管理,实现管理与决策有机统一,并将适应在internet/intranet/extranet上,实现与外部资源的统一,会计软件从离散的部门级应用走向整体的企业级应用。企业信息化建设的一个重要阶段是建设企业核心的业务管理和应用系统阶段。而在这个阶段最有代表性的是企业内部的资源计划系统eRp。eRp是一种管理思想的机实现,他对产品研发和设计、作业控制、生产计划、投入品采购、市场营销、销售、库存、财务和人事等方面以及相应的模块组成部分,采取集成优化的方式进行管理。eRp不是机械的适应企业现有的流程,而是对企业流程中不合理的部分提出改进和优化建议,并可能导致组织机构的重新设计和业务流程重组。
从实际应用分析,我国企业电子化的水平不一,有的企业尚未电子化,有的还处于或者单一模型会计软件阶段或者核算型会计软件阶段。另外,同样是在eRp级的企业,其应用水平也有较大差异,有的只是部分甚至单一模块的应用,有的只是将其作为原有信息管理系统的补充,有的管理相当薄弱。但是,企业电子化发展的趋势是不可逆转的,现在只要有企业要建设信息化系统,他就会超越会计软件发展的低级阶段,而将瞄准其最新的成果上,也就是说,一旦企业进行电子化的再造,其涉及的领域将空前广泛,不仅仅是会计电算化,而是产、供、销、设备、仓储、运输、设计、质量乃至人教劳资等企业管理的各个领域。目前越来越多的企业在加紧企业管理信息系统的建设,这从我国财务及企业管理软件开发供应商的规模上也可反映出来。我国财务及企业管理软件开发供应商已涌现出了包括用友、金蝶、安易等一大批公司,据用友公司介绍,仅用友截止2000年年初,其地区分、子公司50余家,商500余家,客户服务中心100余家,行业覆盖率100%,用户数约20万家,除此之外,还有大量上规模的企业在自行开发应用。由此可见,企业电子审计的环境已逐步形成,且其电子化的色彩将伴随着电子商务的产生和发展而变得越来越浓。
二、现行电子审计轨迹分析
审计轨迹,是指在经济业务和会计制度核算中通过编码、交叉索引和连接帐户余额与原始交易数据的书面资料所提供的一连串的信息企业的会计系统应为每笔业务、每项经济活动提供一个完整的审计轨迹。审计轨迹对企业管理当局和审计人员都很重要,企业管理当局可使用审计轨迹来答复客户对有关资料的询问或质疑,审计人员可使用审计轨迹来验证和追查经济活动。没有审计轨迹,审计工作将难以开展。在电子环境下,那些原来审计人员常见的记帐凭证、明细帐表、科目汇总表、有个性的笔迹等有的已消失,有的发生了变化,变得更加隐藏、更加复杂,从而加大了审计工作的难度。当前,我国会计软件的开发正处于从起步到形成产业的阶段,由于考虑到会计处理系统的效率和研制成本等原因,软件开发在设计开发中,对如何充分保留并提供审计轨迹却未给予足够重视。换句话说,更加详细地描述审计轨迹的会计软件的开发还需进一步努力补缺。因此,国家有关部门应尽快出台有关制度、标准,使设计者有章可循,审计人员有标准可依。
(一)应用软件层
目前由国内企业开发的知名财务软件产品包括金蝶、用友和安易、新中大等,其软件产品也较丰富,一种较为流行的审计轨迹安排就是上机日志。各系统随时对各个产品或模块的每个操作员的上下机时间、操作的具体功能等情况都进行登记,形成上机日志,以便使所有的操作都有所记录、有迹可寻。由于上机日志数量庞大,为了便于审计人员有重点地进行选择,迅速发现,通常系统还会提供过滤功能,这样,审计人员就可以选择那些在符合性测试中发现的较薄弱的内部控制环节进行有重点的实质性测试,提高工作效率。另外,系统还提供了从报表到凭证和从凭证到报表的双向查询功能,从而建立了一条应用程序内的审计轨迹。
(二)数据库层
1、microsoftSQLServer2000
microsoftSqlServer是企业信息管理系统中应用较为广泛的一种数据库管理系统,从版本上看,其产品主要有SYBaSeSQLSeRVeR,microsoftSQLSeRVeR4,microsoftSQLSeRVeR6,microsoftSQLSeRVeR6.5,microsoftSQLSeRVeR7.0,microsoftSQLSeRVeR2000。微软公司最新推出的关系型数据库管理系统microsoftSQLSeRVeR2000是一个面向下一代的数据库和数据分析系统,具有很高的可靠性、可伸缩性、可用性、可管理性等特点。microsoftSQLSeRVeR2000是一种典型的具有客户机/服务器体系结构的关系型数据库管理系统,他使用tRanS-aCt-SQL语句在客户机和服务器之间传送请求和回应。microsoftSQLSeRVeR2000带有的常用工具包括SQLSeRVeRenteRpRiSemanaGeR、SQLSeRVeRoUeRYanaLYZeR、各类向导工具和SQLSeRVeRpRoFiLeR。其中我们在创建审计轨迹中可以利用的工具是SQLSeRVeRpRoFiLeR。
设计者开发SQLSeRVeRpRoFiLeR工具的目的是为了捕捉系统的活动,用于分析、诊断和审计系统的性能。可以利用其跟踪事件的功能,通过适当的设置来安排我们的审计轨迹。为了使用这一工具,必须创建一个跟踪定义,一旦定义了跟踪,我们就可以启动、停止、暂停和继续运行跟踪。当其运行时,SQLSeRVeRpRoFiLeR监测指定服务器上的SQLSeRVeR事件,并且为所选的事件捕捉满足过滤条件的指定数据。当这种跟踪数据被捕捉时可以交互显示,并且将跟踪结果存储在指定的表或文件中。例如,我们可以在tRaCepRopeRtieS窗口的GeneRaL选项卡中指定跟踪服务器的名称(应当将其设置成财务软件运行的数据库服务器名),跟踪文件保存的地点(应当是一个相对安全的地点),跟踪失效的时间点等;在eVentS选项卡中指定希望使用该跟踪捕捉的事件(如将tSQL事件分类中的StmtCompLeteD事件选入,则将对已经完成的tRanSaCt-SQL语句进行捕捉):在DataCoLUmnS选项卡中设置需要捕捉的数据列(如将DataBaSename,StaRttime,enDtime,teXt,LoGinname,oBJeCtname等选入数据列,则将对语句正在其中运行的数据库名、事件开始的时间、事件结束的时间、当前指定的对象名、用户登录系统的名称、捕捉到跟踪中的事件类的文本值等进行捕捉)。
一旦设置完成,就可以运行跟踪了。跟踪可以是持续运行的,为了不系统的性能,我们应当及时将相应的跟踪文件备份。当然,审计人员应当根据被审计方的实际情况作出运行跟踪最佳时间的职业判断以便提高系统的运行效率。
SQLSeRVeRpRoFiieR提供了由用户定义跟踪事件数据的功能,但这一功能是有限的。一个更可行更灵活的方案是利用microsoftSQLSeRVeR2000提供的触发器技术。
2、oRaCLe8
oRaCLe8数据库从其安全性考虑,设有多个安全层,并且可以对各层进行审计,利用oRaCLe8自带的这种审计功能,我们可以安排所需的财务审计轨迹。oRaCLe8具有审计发生在其内部所有动作的能力,审计记录可以写入SYS.aUD$的审计踪迹,可以被审计的三种不同的操作类型包括:注册企图、对象访问和数据库操作,利用其中的对对象的数据交换操作审计功能,就可以获得相应的审计轨迹。
首先我们使数据库允许审计,必须在init.oRa文件中的aUDittRaiL值设为DB(允许审计,并将审计结果写入SYS.aUD$表),对于特定的表(如aCCoUnt表),我们所需要的审计轨迹主要是插入(inSeRt、删除(DeLete)和更新(UpDate)操作,可以利用以下的语句来进行:aUDitinSeRtonaCCoUntBYaCCeSS;aUDitUpDateonaCCoUntBYaCCeSS;aUDitDeLeteonaCCoUntBYaCCeSS;上述语句指定了一个审计记录在每次插入、删除和更新aCCoUnt表时写入,审计记录结果可以通过对DBa-aUDit-oBJeCt视图的查询进行显示。
如果在SYS.aUD$上储存信息,就必须先保护该表,否则用户可通过非法操作来删除审计踪迹,由于SYS.aUD$是存在数据库内的,可通过以下命令来保护该表:aUDitaLLonSYSaUD$BYaCCeSS;而且对该表的操作只能由具有ConneCtinteRnaL能力的用户来删除(例如,在DBa组中)。
另外,oRaCLe8的触发器功能也是较强大的,如可以建立a和B两个触发器来对taBi表设置审计轨迹,并将轨迹记录在taB2、taB3表中。
CReattRiGGeRa
aFteRinSeRtoRUpDateoRDeLeteontaB1
DeCLaRe
StatementtYpeCHaR(1);
BeGin
iFinSeRtinGtHen
StatementtYpe:=‘i’;
eLSiFUpDatinGtHen
StatementtYpe:=‘U’;
eLSe
StatementtYpe:‘D’;
enDiF;
inSeRtintotaB2
VaLUeS(SYSDate,StatementtYpe,USeR);
enDa;
CReattRiGGeRB
BeFoReinSeRtoRUpDateoRDeLeteontaB1
FoReaCHRow
BeGin
inSeRtintotaB3
VaLUeS(SYSDate,USeR,
new.iD,:new.ReCoRDeR,:oLD.iD,:oLD,ReCoRDeR);
enDB;
3、其他数据库
aCCeSS、FoXpRo等数据库可以通过设置密码等方式来限制访问,但直接利用数据库本身来设置审计轨迹是很困难的。
(三)操作系统层
1、windows2000操作系统
windows2000是微软最近推出的操作系统,其覆盖的用户面之广是史无前例的:从家庭用户、商业用户、笔记本用户、工作组服务器、部门服务器到提供企业计算和安全环境的高级服务器到可以提供全球联机电子交易服务的数据中心服务器。尽管可以分为四个版本:pRoFeSSionaL(专业版)、SeRVeR(服务器版)、aDVanCeDSeRVeR(高级服务器版)和DataCenteRSeRVeR(数据中心服务器版),然而内核和界面是一样的,区别仅在于支持的CpU数量和某些高级功能和服务。作为单用户多任务的内置网络功能操作系统,windows2000拥有一个健全的用户帐户和工作环境,利用其固有的安全机制,可以安排我们的审计轨迹。
windows2000使用“本地安全设置”更精确地管理工作组中的用户和资源,它将安全策略地分成两类:帐户策略和本地策略。其中,本地策略包括审核策略、用户权利指派和安全选项,其中的审核策略就是用来指定要记录的事件类型,这些类型涉及从系统范围的事件(例如用户登录)到指定事件(例如某用户试图读取某个特定文件),这些事件包括成功事件、不成功事件或兼而有之。审核记录写入计算机的安全日志,通过“事件查看器”我们可以获得部分审计轨迹。
为了控制各种审计轨迹文件的数量,同时为了保护重要文件(包括审计踪迹文件)不被非法删除、修改,windows2000新的“加密文件系统”(eFS提供了一种核心文件加密技术,该技术用于在ntFS文件系统卷上存储已加密文件。对已加密的文件的用户,加密是透明的。但是,试图访问已加密文件的入侵者将被禁止这些操作。具体操作时既可以通过为文件设置加密属性,也可以用命令行功能CipHeR加密文件。当然,利用windows2000的文件和文件夹权限设置功能,也可以控制各种审计轨迹文件的数量。
2、UniX操作系统
从安全性来讲,普遍的观点是UniX操作系统的安全性能高于windows操作系统,正因为如此,UniX操作系统也为我们提供了获取更多,更精确的审计轨迹的可能性。UniX能自动生成很多日志文件,这些日志文件可以形成我们的审计轨迹。
UniX的日志分为三类:
(1)连接时间日志——由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/Utmp,login等程序更新wtmp和utmp文件,使我们能够跟踪谁在何时登录到系统。
(2)进程统计——由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录,进程统计的目的是为系统中的基本服务提供命令使用统计。
(3)错误日志——由syslogd执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。另外有许多UniX程序创建日志,像Http和Ftp这样提供网络服务的服务器也保持详细的日志。
这三类日志中,连接时间日志是我们从中发现审计轨迹的最重要的一类,其中的utmp、wtmp和lastlog日志文件是多数重用UniX日志子系统的关键——保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中:登录进入和退出纪录在文件wtmp中:最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中,所有的纪录都包含时间戳。
另外,一旦启动进程统计子系统,UniX可以跟踪每个用户运行的每条命令,从中也可以建立我们的审计轨迹。
(四)网络环境(网络安全)
电子数据是通过计算机网络进行传输的,传输的数据是否准确和安全,涉及计算机网络技术的可靠性和网络系统的安全管理问题。计算机网络技术已经基本成熟,但网络上的数据传递的安全仍然是一个重要的问题,需要审计人员关注的是系统数据的安全评价问题。
对等网络虽然具有廉价、易于建立、运行和维护等优点,但对于企业级的联网选择来说,这绝对不是一个最佳选择,由于网络中每台计算机地位均等,要对整个网络进行管理就缺乏手段,同样要设置有效的审计轨迹就较为困难了。
对企业来说,客户机一服务器网络是一种较好的选择,通过服务器上的网络管理软件或应用软件,是可以设置审计轨迹的。另外,利用网络的其他外部设备,如路由器,也可以安排相应的审计轨迹。
三、审计轨迹标准的设想
(一)软件层
首先,应设置相应的安全访问控制,记录各种访问,尤其是数据更改、删除和新增的记录必须保留。其次,从报表审计角度,必须提供从凭证到报表数据和从报表数据到凭证以及凭证与凭证之间的查询工具。最后,各种电子凭证必须具备防抵赖、防伪造和可追溯性,如可采用可靠的电子签名来代替原有的手签。
(二)数据库层、操作系统层和环境
在这些层面,主要是考虑安全访问控制,必须严禁各种非法的未经授权的数据访问,必须记录数据更改、删除和新增的操作,同时应能自动保护记录审计轨迹的文件。
(三)保护审计轨迹
1、从硬件上保护审计轨迹
一旦系统投入运行,如出于某种原因需要对某些设备更换、更改布局、更改设置或升级,必须将其对审计轨迹的纳入产品选择或更改的考核范围。
2、从软件上保护审计轨迹
必须进行系统开发审计,系统开发审计是对被审单位的电算化系统的开发、修改及日常维护过程的审计。对系统开发进行审计的主要目的是确保开发经过授权,开发过程遵循正确的标准,修改部分在使用前经过充分的测试和记录。系统开发审计的:系统开发审计包括应用程序开发审计、程序修改审计和系统维护及记录审计。其中,应将审计轨迹的保护作为审计的一项重要内容。
3、从网络应用上保护审计轨迹
应加强网络安全管理,保护审计轨迹。安全管理是网络管理中极其重要的内容,它涉及法规、人事、设备、技术、环境等诸多因素,是一项难度很大的工作;单就技术性方面的管理而言,依据oSi安全体系结构,可分为:系统安全管理、安全服务管理和特定的安全机制管理。其中,后两类管理分别是针对涉及某种特定、具体的安全服务与安全机制的管理;而系统安全管理则又包括总体安全策略的管理(维护与修改)、事件处理管理、安全审计管理、安全恢复管理以及与其他两类安全管理的交互和协调。
(四)内部控制制度
1、职责分离
除传统的业务执行、记录、批准职能分离外,程序设计、系统维护、业务操作和内部审计各类职责也应分离。
2、内部审计
除传统审计业务外,还应设置系统安全审计、系统开发审计等岗位。
3、制定各种规章制度
安全审计的类型篇4
关键词:空管信息化;安全域;权值划分;信息安全
中图分类号:tp393文献标识码:a文章编号:1009-3044(2012)10-2222-03
ResearchesonSecurityDomainDistributionofatCinformationsystem
HanXuan-zong
(BureauofGuizhouairtrafficmanagement,Guiyang550012,China)
abstract:thispaperisbasedonthebasicconceptofinformationsecurity,whichgiveamSasecuritydomainallocatesystemtoresolveprivatesdistributeproblemintheseconstructionofairtrafficmanagementinformationsystemandsecuritydomainsystem,ithasaneffectivesolutiontocoordinationofvariousadministratorandcollaborationbetweensecuritydomainsandinformationcirculation,italsostrengthentheatCSecurityability.
Keywords:atCinformation;securitydomain;privateallocate;informationsecurity
空中交通管制作为LRi(Liferelatedindustry)生死攸关行业的一种,在航班数量飞速增加的今天,日益面临着严峻的挑战;尤其是大量基础支撑性的空管信息系统的引入,尽管有效地提升了管制工作效率,但是空管信息系统的安全管理问题却越来越成为一个潜在的隐患。
在当前空管行业应用的各类空管信息系统当中,从包括自动化系统、航行情报控制系统在内的管制直接相关系统,到日常应用的班前准备系统、设备运维管理系统等,大都采用设置超级管理员用户口令的方式进行管理,此方式尽管便于实现对系统的配置和维护,但由于权限过大,使得其可以对空管信息系统中数据进行任意操作,一旦出现超级管理员误操作或外部黑客获取到超级管理员权限,都可能造成难以估量的严重后果。
安全操作系统设计原则中包括的“最小特权”和“权值分离”的安全原则,可以有效地解决这一问题。最小特权原则思想在于控制为主体分配的每个操作的最小权限;权值分离原则思想在于实现操作由专人执行同时由第三方用户进行监管。
最小特权和权值分离两大原则的共同使用,构建出了基于角色的访问控制(Role-BasedaccessControl,RBaC)安全策略模型[1]。RBaC作为对用户角色权限的一种高度抽象,同一角色用户仍然拥有同样的权限,但为了能够更好的体现最小特权原则,角色下用户的权限仍必须得到进一步的控制;Dte(Domainandtypeenforcement,Dte)策略模型实现了将空管信息系统的不同进程划分为不同的域(Domain),将不同类型的资源划分为不同的类型(type),通过对域和类型的安全属性进行限制,来实现对用户权限的控制[2]。
该文在综合了RBaC安全策略模型和Dte策略模型的基础上,提出一种对空管信息系统进行分域管理的划分机制,该机制符合最小特权和权值分离原则,实现了对系统超级管理员的权限细分,通过对权限的划分,建立管理员―域―类型的相关对应关系,分散了由于超级管理员权限过大造成的安全风险。
1系统/安全/审计管理划分机制
在任何一个构建完善的管理体系运行当中,管理人员、管理行为审计人员、安全管理人员的角色都不可或缺。空管信息系统超级管理员的权限也应依据此原则进行划分[3]。在具体实现中,应结合Dte策略中对于域和类型的管理思想,采取二维访问控制策略,强化对空管信息系统完整性和数据安全性的保护;Dte策略通过对管理权限进行控制,阻止单一用户权限造成的恶意程序扩散等情况。通过系统管理、安全管理、审计管理三方面的协同制约,保护系统资源的安全性。
1.1基于mSa的管理机制
该文依据RBaC及Dte策略遵循的最小特权和权值分离原则,将空管信息系统中超级管理员权限进行细粒度(Fine-Grain)的划分,将其权限一分为三,即管理(management)权限、安全(Security)权限、审计(audit)权限,构建一套基于mSa的权限管理机制。使三类管理员只具备完成所需工作的最小特权,在单项管理操作的整个生命周期中,必须历经安全权限的设置、管理权限的操作、审计权限的审核这一流程。该文通过设立独立的系统管理员、安全管理员、审计管理员,并为其设置独立的与安全域挂勾的安全管理特权集,实现了管理-安全域-类型的二维离散对应关系。具体而言,三类管理员主要承担了以下职责:
1)系统管理特权集:归属于系统管理员,包括系统相关资源的分配,系统软件的配置、维护等权限;
2)安全管理特权集:归属于安全管理员,包括系统内部安全策略的制订,安全阙值的设置等安全相关权限;
3)审计管理特权集:归属于审计管理员,包括对系统管理员和安全管理员操作记录的审计和审批,作为一个独立的第三方监督角色出现。
mSa管理机制将系统超级管理员的权限划分为三个相互独立又相互依存的独立环节,实现了系统特权的细粒度划分,强化了系统的安全属性。图1展示了三类管理员之间的具体关系:图1mSa管理员协作流程
如图1所示,空管信息系统用户总是会提出一定的需求,并寻求通过系统得到相应的应用来解决面临的问题。在这一过程中,首先会由系统管理员针对用户需求,判断满足用户需要调用的相应资源,如功能域和资源的类型,同时生成解决方案,并将其提交至安全管理员处。
安全管理员在接收到系统管理员产生的解决方案后,即时的会依照相关规定要求,为解决方案制定对应的安全级别,并实施可行的安全策略。如解决方案能够较好地满足安全级别和安全策略的要求,即通过安全管理员的安全评估,为其施加安全策略。
解决方案历经系统管理员、安全管理员的制定、安全策略实施等步骤后,将生成应用提交至用户,由用户验证其需求是否得到满足。
审计管理员在整个过程中,将针对从需求提出至应用的所有环节进行监控,任何系统内部的操作均需经过审计管理员的审计和监督,审计管理员有权停止任何涉及到安全的异常操作。
通过上述模式的应用,将使得空管信息系统划分为由mSa三个管理员所共同管理的系统,也形成了三大管理员之间的制约机制。该机制的建立,有效地避免了超级用户误操作和黑客入侵可能造成的危害。同时权限的细分,也使得任何一名管理员在操作自身环节事务时,都需要其它管理员的协助,无法独立完成越权操作。如当系统管理员进行用户的删除时,此操作将依据安全管理员制定的安全策略确定为较危险操作,实施的结果将由审计管理员进行审核,在确保该行为是合理有效的情况下才能实施。
1.2mSa管理体系安全域的划分
mSa管理体系的应用使得系统、安全、审计三类管理员之间相互协作,相互制约的关系成为可能,系统的安全性得到增强。而在mSa体系上应用安全域思想及类资源的设置,将进一步隔离域间的信息和资源流动,防范非法信息泄漏现像,确保数据信息的安全。
该文在mSa体系中灵活运用了安全域的思想,实现了对空管信息系统主体域的划分,同时将空管信息系统管理的资源分为了不同的类型资源,mSa通过建立安全域和类型资源之间的关联,实现了对域间信息流动的监控,通过对安全域规则的制定,使得系统用户只能访问到所属安全域内的安全类型资源。通过对用户安全域访问行为的控制,有效的防止了误操作、恶意操作可能造成的恶意信息流的传输,进而强化空管信息系统整体安全性。在空管信息系统遭遇病毒攻击的环境下,病毒本身具有自我复制和传染未遭感染区域的特性,通过对安全域的划分和安全域内类型资源的归并,能够有效的阻止病毒的无限制复制传播,病毒只能访问所属主体的安全域及相关资源,无法传播至安全域边界之外。当系统管理资源分散于多个不同安全域时,系统将有效避免形成整体瘫痪现象。
在空管信息系统中,根据需求通常可以把资源划分到不同的安全域,同一安全域还能依据资源归属的不同,细分为不同的子域,子域在拥有部分父域特性和资源的同时,具有自身特有的特性,子域的存在不仅强化了安全域的安全管理特性,还能够真实映射现实社会的组织结构关系。
2管理机制安全规则研究
本节给出了mSa管理机制的实施规则,按照这些规则,可以根据mSa原则实施空管信息系统的管理。系统中的资源主要由主体(a),客体(c)组成,用a表示主体的集合,B表示客体的集合,D表示域(d)的集合,p表示型(p)的集合,R为权限的集合,主体、域、客体权限之间的关系如下:
1)设函数dom_a(a),是定义在主体集合a上的函数,将主体a映射到相应的域。系统中的主体至少属于1个域,即:?a∈a,?dom_a(a)≠?∧dom_a(a)?D。
2)设函数type(b),是定义在客体集合B上的函数,将客体b映射到相应的型,系统中的客体至少属于1个型,即:?b∈B,?type(b)≠?∧type(b)?B。
3)若权限映射函数R_Dt(d,p),为定义在域D和型p上的函数,将域d对型p的权限映射为集合的某个子集,即为域d对型p拥有特权的集合。
为有效避免超级用户的误操作和恶意程序的攻击,安全域间的信息流动必须得到有效的控制。在每个独立的信息流动需求发起的同时,必须同步进行安全信息的验证,确保信息不会对接收安全域的安全状态造成破坏,在不影响安全域安全的前提下,才接收该信息流。信息流在由主体操作产生的同时,必须对操作本身进行检查,在操作和信息流均处于安全状态时,可视系统为安全态。依据以下分析,可得出如下关于信息流动的规则:
规则1安全域隔离规则:为有效阻止恶意操作,安全域间信息流动必须处于受监控状态,实现对安全域中数据的保护。
不同安全域间存在着干扰性,而干扰性的存在又反映了不同域间的相互作用,合理的应用安全域隔离规则,对安全域间信息的流动进行监控,是实现安全域安全的一大前提条件。
规则2安全域访问规则:安全域内部主体对客体的访问,必须满足相应的访问控制规则,包括常见的只读、读写等。具体的访问规则包括如下几类:
只读规则:单纯采用读取形式取得客体中信息,对安全域中数据进行不操作的读取,有效保证数据的完整性和不可变更性,同时在利用了数字加密技术的基础上,还保证了数据的机密性只读需求。
只写规则:主体对安全域内客体只进行单纯写入操作,不允许读取安全域中原有数据,对于主体写入数据的读取可根据具体进行进行设置其是否具有读取权限。
读写规则:包括只读和只写规则的部分安全控制因素,但主体在受控的情况下,可向安全域中客体写入并读取信息,在满足机密性和完整性的基础上,允许主体对安全域内客体进行读写。
以上几条规则只涉及安全域内部读写规则,当需要实现安全域间访问时,需要结合规则1进行控制,对于安全域间的访问控制,既要考虑到主体自身的权限要求,也要考虑到安全域之间的规则控制和系统监管因素,只有经过配置的安全策略实施后,才能允许实现域间的访问。
规则3安全域间管理规则:安全域级别可分为父域和子域两类,子域继承父域的域内资源,但采取独立的安全策略机制管理,父域通过为子域配置相应的安全策略实现子域对父域资源的安全访问,保障父域自身的数据完整性和安全性。在父域和子域同时管理同一资源时,父域具有优先级(安全策略进行特殊配置除外)。管理规则的实施,在便于调用资源的同时,实现了资源的共享和优化,也一定程度上防止了资源共享可能产生的冲突和安全患。
3结束语
最小特权原则和权值分离原则作为安全操作系统的基础原则的内容,能够有效地应用于空管信息系统超级用户权限分离问题,该文提出的mSa管理机制,通过管理权限的划分、管理员主体安全域的归属和相关资源类型的划定,有效降低了管理员误操作、黑客入侵等可能带来的对系统的破坏。在mSa管理机制的基础上,安全域的引入和资源类型的划分,有效地阻隔了各安全域间信息和资源的流动,阻止了恶意信息流的传递,增强了空管信息系统的安全。该文下一阶段将把安全域之间的流动控制作为下一步的研究重点,进一步进行开展,力图实现对空管信息安全的不断强化。
参考文献:
[1]张德银,刘连忠.多安全域下访问控制模型研究[J].计算机应用,2008,28(3):633-636.
[2]付长胜,肖侬,赵英杰.基于协商的跨社区访问的动态角色转换机制[J].软件学报,2008,10(19):2754-2761.
[3]段立娟,刘燕,沈昌祥.一种多安全域支持的管理机制[J].北京工业大学学报,2011,37(4):609-613.
[4]周伟.机场信息化规划研究及应用[J].科技创新导报,2008(21).
安全审计的类型篇5
论文关键词:安全审计 日志 数据挖掘
论文摘要:提出了无线网关安全审计系统的系统模型,介绍了该系统的设计思想,从数据的控制、数据的采集、日志的归类、日志的审计与报警4个方面描述了设计流程.在系统中通过改进syslog机制,引入有学习能力的数据挖掘技术,实现对无线网关的安全审计.
0 引言
无线网关是无线网络与布线网络之间的桥梁,所有的通信都必须经过无线网关的审计与控制.在无线网络中,无线网关放置在无线网络的边缘,相当于无线网络的大门,当无线网关遭到攻击和入侵时,灾难会殃及整个无线网络,使无线网络不能工作或异常工作,由此可见,对无线网关进行安全审计是十分有意义的.
本文中研究的安全审计系统是北京市重点实验室科、研项目“智能化无线安全网关”的一部分.智能化无线安全网关在无线网关上集成具有ids和防火墙功能的模块,以及控制和阻断模块,这些功能模块在统一操作系统的基础上,既各司其职,又密切合作,共同完成防范、预警、响应和自学习的功能,构成一个有机的安全体系.
无线网关的安全审计系统,其主要功能就是在事后通过审计分析无线安全网关的日志信息,识别系统中的异常活动,特别是那些被其它安全防范措施所遗漏的非法操作或入侵活动,并采取相应的报告,以有利于网络管理员及时有效地对入侵活动进行防范,确保网络的安全[1].
1 系统功能概述
无线网关安全审计系统是针对无线网络的安全运作而提出的,主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能.首先,审计系统的数据控制模块对进出的数据信息进行严格的控制,根据预定义的规则进行必要的限制,适当地降低风险.其次,安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志及用户和应用日志.随后,采集部件收集到的日志记录被送到日志归类模块,根据日志记录行为的不同层次来进行分类.最后,使用审计与报警模块对日志记录进行审计分析.这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析,以检测出无线网关中是否存在入侵行为、异常行为或非法操作.管理员可以初始化或变更系统的配置和运行参数,使得安全审计系统具有良好的适应性和可操作性.
2 系统设计
2.1 系统结构组成(见图1)
2.2 设计思想
系统从数据采集点采集数据,将数据进行处理后放入审计数据库,采用有学习能力的数据挖掘方法,从“正常”的日志数据中发掘“正常”的网络通信模式,并和常规的一些攻击规则库进行关联分析,达到检测网络入侵行为和非法操作的目的.
2.3 系统的详细设计
系统的处理流程如图2所示:
2.3.1 数据的控制.数据控制模块使用基于netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制,适当地降低风险.
2.3.2 数据的采集.数据采集模块,即日志的采集部件.为了实现日志记录的多层次化,需要记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为,所以在无线安全网关中设置了多个数据捕获点,其中主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种.2.3.3 日志的归类.日志归类模块主要是为了简化审计时的工作量而设计的,它的主要功能是根据日志记录行为的不同层次来进行分类,将其归为网络行为、系统行为、应用行为、用户行为中的一种,同时进行时间归一化.进行日志分类目的是对海量信息进行区分,以提高日志审计时的分析效率.
2.3.4 日志审计与报警.日志审计与报警模块侧重对日志信息的事后分析.该模块的主要功能是对网关日志信息进行审计分析,即将收到的日志信息通过特定的策略进行对比,以检测出不合规则的异常事件.随着审计过程的进行,若该异常事件的可疑度不断增加以致超过某一阈值时,系统产生报警信息.该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能.
3 系统的实现
3.1 系统的开发环境
智能无线安全网关安全审计系统是基于linux操作系统开发的b/s模式的日志审计系统.开发工具为:前台:windowsxpprofessional+html+php,后台:linux+apache+mysql+c++.
3.2 日志归类模块的实现[2-3]
无线网关的日志采用linux的syslog机制进行记录,sys-log记录的日志中日期只包含月和日,没有年份.在该模块中,对日志记录的syslog机制进行一些改进,克服其在日志中不能记录年的问题.
下面以无线网关的日志为例,说明其实现过程.网关日志的保存文件为gw.log,用一个shell脚本,在每月的第一天零点,停止syslogd进程,在原来的文件名后面加上上一个月的年和月,如gw.log200603,再新建一个gw.log用于记录当月的日志,再重启syslogd记录日志.这样就把每月的日志存放在有标志年月的文件中,再利用c++处理一下,在记录中加入文件名中的年份.
3.3 日志审计与报警模块的实现
3.3.1 日志审计模块的处理流程(见图3).
3.3.2 规则库生成的实现.安全审计系统所采用的审计方法主要是基于对日志信息的异常检测,即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在.该方法的优点是无需了解系统的缺陷,有较强的适应性.这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库.规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成.
首先系统从数据采集点采集数据,将数据进行处理后放入审计数据库,通过执行安全审计读入规则库来发现入侵事件,将入侵时间记录到入侵时间数据库,而将正常日志数据的访问放入安全的历史日志库,并通过数据挖掘来提取正常的访问模式.最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库.可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定.
3.3.3 日志信息审计的实现.日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分.在对日志进行审计之前,首先要对其进行处理,按不同的类别分别接收到日志信息数据库的不同数据表中.此外,由于所捕获的日志信息非常庞大,系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上,而这些记录中存在的大量冗余信息,在对它们进行的操作处理时必将造成巨大的资源浪费,降低了审计的效率,因此有必要在进行审计分析之前尽可能减少这些冗余信息.所以,在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录,从而大大减少日志记录的数目,同时大大提高日志信息的含金量,以提高系统的效率.采用的方式就是将收集到的日志分为不同类别的事件,各个事件以不同的标识符区分,在存放日志的数据库中将事件标识设为主键,如有同一事件到来则计数加一,这样就可以大大降低日志信息的冗余度.
在日志信息经过预处理之后,就可以对日志信息进行审计.审计的方法主要是将日志信息与规则库中的规则进行对比,如图3所示.对于检测出的不合规则的记录,即违反规则的小概率事件,记录下其有效信息,如源、目的地址等作为一个标识,并对其设置一怀疑度.随着日志审计的进行,如果属于该标识的异常记录数目不断增加而达到一定程度,即怀疑度超过一定阈值,则对其产生报警信息.
4 数据挖掘相关技术
数据挖掘是一个比较完整地分析大量数据的过程,一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等,是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型[4].
本系统中的有学习能力的数据挖掘方法主要采用了3种算法:
1)分类算法.该算法主要将数据影射到事先定义的一个分类之中.这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”.本系统中先收集足够多的正常审计数据,产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为,哪些是入侵或非法操作.
2)相关性分析.主要用来决定数据库里的各个域之间的相互关系.找出被审计数据间的相互关联,为决定安全审计系统的特征集提供很重要的依据.
3)时间序列分析.该算法用来建立本系统的时间顺序模型.这个算法有利于理解审计事件的时间序列一般是如何产生的,这些所获取的常用时间标准模型可以用来定义网络事件是否正常.
5 结束语
该系统通过改进syslog机制,使无线网关的日志记录更加完善.采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习,获得正常访问模式的规则库,检测网络入侵行为和非法操作,减少人为的知觉和经验的参与,减少了误报出现的可能性.该系统结构灵活,易于扩展,具有一定的先进性和创新性,此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应.下一步的工作是进一步完善规则库的生成以及审计的算法,增强系统对攻击的自适应性,提高系统的执行效率.
参考文献:
[1] branchjw,petroninl,doornvanl,etal.autonomic802.11wirelesslansecurityauditing[j].ieeesecurity&privacy,2004(5/6):56-65.
[2] 李承,王伟钊,程立.基于防火墙日志的网络安全审计系统研究与实现[j].计算机工程,2002,28(6):17-19.
安全审计的类型篇6
基于适航要求建立型号协同工作模式,覆盖适航符合性验证、适航过程管理和型号设计过程三个方面工作,有效加强双方的工作效率,从实际工作中建立起相互信任的关系,更加高效地开展各项型号适航技术及管理工作。
数据类协同(图1)工作采用双向交互方式,即由申请人与审查方之间进行有效数据的传输与反馈。数据类协同覆盖了三方面的数据,包含符合性验证数据(moC0-3及moC4-9所涵盖的相关符合性文件及数据)、适航过程数据和型号设计数据。根据审查方对三类数据的审批要求,设置了三种审批类别,分别为批准类文件、评审类文件、参考类文件。批准类文件指需得到局方批准的资料,如系统合格审定计划(Cp)、试验大纲、试验报告等符合性验证资料;评审类文件指的是需要局方给出评审意见但不需要正式批准的资料,例如系统需求描述等;参考类文件仅提供给局方参考,无需局方反馈意见。
根据适航审批类别可以将以上数据类型分为批准类文件、评审类文件和参考类文件。批准类文件中所包含的数据类型有符合性验证数据、适航过程管理数据;评审类文件则主要包括型号设计数据;参考类文件为型号设计数据和适航过程管理数据。不同数据类型所对应的适航审批类别各不相同,同一数据类型可以对应不同适航审批类别。
1适航符合性数据
适航符合性验证过程中,申请人开展型号适航验证活动并提供审查方所需的证据资料,这些证据资料以表明适航条款的符合性。通常需要采用不同的方法,而这些方法统称为符合性验证方法(简称符合性方法),依照符合性方法所开展的相关工作统称为符合性验证工作。根据与审查方共同签署的pSCp,C919型飞机按各系统及专业/专题编制系统级审定计划Cp。每份Cp规定了系统或专业/专题适用的审定基础条款、采用的符合性验证方法、开展的符合性验证活动。符合性方法汇总为下述十种:
如上符合性方法所产生的文件类数据均称为符合性验证数据,根据航空器型号合格审定程序ap-21-aa-2011-03-R4描述,符合性验证资料(ComplianceData)是用于表明型号设计符合审定基础的资料,包含试验大纲,计算或分析报告,试验报告等。适航符合性数据包括但不限于符合性验证资料,并基于适航审定数据考虑,基于适航符合性数据在适航审批类别中属批准类文件,建立审定基础、pSCp、Cp、pSaC、pHaC、SCi、SaS、符合性方法表、问题纪要、mC0符合性声明、mC1说明性文件、mC2分析/计算、mC3安全评估、适航验证试验大纲及试验报告等数据之间的协同关系。
2型号设计数据
根据《民用航空产品和零部件合格审定规定》(CCaR-21)第21.31条规定,型号设计(typeDesign)包括:
(1)定义航空器构型和设计特征符合有关适航规章和环境保护要求所需的图纸、技术规范及其清单;
(2)确定民用航空器结构强度所需要的尺寸、材料和工艺资料;
(3)适航规章中规定的持续适航文件中的适航性限制部分;
(4)通过对比法来确定同一型号后续民用航空器的适航性和适用的环境保护要求的其他资料。
根据适航审定需要,应当对型号设计数据中的批准类与评审类(或参考类)数据进行协同关系分析,其中属于批准类的型号设计数据包括构型清册与顶层图纸(最终构型或试验构型)和FRR单、代料单(试验件),而属于评审类(或参考类)的型号设计数据则包括技术规范、飞行手册、材料规范、工艺规范、持续适航文件、供应商服务通告、评估报告和FRR单、代料单(原型机),对型号设计数据的协同关系研究有助于提高数据管理的质量与效率。
3适航过程管理数据
为了有效开展适航取证工作,申请人与审查方就合格审定过程开展相关的适航管理工作,具体形式如审查会、技术交流会、tCB会议、审定信函等。适航过程管理数据主要包括申请人取证管理工作及审查方合格审定过程中所产生的数据,其中属于审查方来源的数据包括审查会纪要、审查会通知、型号资料批准表(CaaC表aaC-039)、制造符合性检查请求单(CaaC表aaC-121)、制造符合性检查记录表(CaaC表aaC-034)、适航批准标签(CaaC表aaC-038)、试验观察问题记录单(CaaC表aaC-210)、试验观察报告(CaaC表aaC-122)、型号资料评审表(CaaC表aaC-209)、制造符合性检查不满意通知(CaaC表aaC-264)、审定信函(CaaC表aaC-211)、委任工程代表型号资料审查表(CaaC表aaC-208)、型号检查核准书(tia)(CaaC表aaC-033)、型号合格证/设计批准书数据单(CaaC表aaC-212)和审查组资料发送单。属于申请方来源的数据有设计保证手册、试验任务书、制造符合性声明(CaaC表aaC-037及相关支持文件)、制造符合性检查计划、参试人员资质证明、测试设备合格证和校准/鉴定证书、制造符合性检查预检查记录表、制造符合性检查不满意项答复表、型号资料评审表的答复单、技术交流会通知、技术交流会记录和申请人资料提交单。通过对不同来源的数据建立协同关系,可以明显提高适航取证工作的效率。
4数据类协同工作流程
数据类协同模式基于型号适航取证团队指定资料交互唯一接口,通过点对点方式进行无缝交互。当申请人向审查方传递批准类或评审类数据时,申请方适航主管在完成资料准备后,对应的取证团队专业专题组负责人确认传递资料的正确性和有效性,确认后由申请方数据唯一接口人发出;待审查方数据唯一接口人接收相关数据后,由被选审查组专业专题组负责人接收确认数据并选择分发给相关审查代表,最后审查代表处理接收资料,并在规定的时间内给予反馈(评审表或批准表)。当申请人向审查方传递参考类数据时,申请方适航主管可直接将有效数据传递给对应的审查代表查阅即可。
数据类协同模式属于双向传输,即可由申请人向审查方传递,也可由审查方向申请人传递有效数据。由审查方传递的数据适航过程管理数据中来源由审查方产生的数据。当审查方向申请人传递信息时,审查代表在完成资料准备后,由对应的审查组专业专题组负责人确认传递资料的正确性和有效性,确认后由审查方数据唯一接口人发出;待申请方数据唯一接口人接收后,由对应取证团队专业专题组负责人接收确认数据并选择分发给相关适航主管,由其组织相关业务部门完成资料的处理。
5数据类协同工作信息化建设
随着民用飞机已进入详细设计阶段,各专业开始全面进入与局方的正式沟通阶段,适航取证工作的全面开展带来了大量需要局方评审或批准的设计资料及验证资料,这些资料都需要通过适航数据唯一接口手动传递给局方,手动提交的方式存在很多的不足,例如存在受到网络邮箱的限制、提交方式不稳定等问题。因此建立一个统一的、快捷的、申请人与局方之间沟通的平台是非常有必要的。申请人和局方都在同一个平台上进行数据、意见的交换,既保障了数据传递的安全性、有效性,同时也为今后的数据和相关信息留存与管理提供了极大的便利。
为了提高民用飞机申请人与审查组适航取证协同工作效率,根据数据类协同工作流程和数据分类机制,特开发民用飞机适航信息化协同管理平台,正式将适航协同工作模式融入信息化管理,更加高效的开展数据信息双向无缝协同工作。
安全审计的类型篇7
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(iso)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于b0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
安全审计的类型篇8
【关键词】建设工程;防雷设计图纸;技术审查探讨
在近几年开展的雷灾调查和隐患排查整治工作中发现,大部分建设工程都是在建设之初设计环节埋下的雷灾隐患。随着我国新型城镇化建设,建设工程项目逐渐向大型化、复杂化、自动化发展,给建设工程防雷设计审查提出了新的课题和更高的要求。防雷装置与其它专业工程联系紧密。防雷装置质量好坏直接影响整个工程的总体质量,甚至影响到工程投入使用后效率的高低和人员财产安全。因此,把握好设计审查关不但能为竣工后的防雷检测提供方便,更为确保施工质量和减少雷击危害打下了基础。下面就防雷设计图纸的技术审查提出自己的见解,以供同行们交流分享。
1图纸审查的含义
经气象主管机构认定的专业防雷机构,根据国家法律、法规、规章、技术标准与防雷设计规范,对设计单位所作的防雷设计施工图或方案,就安全性、有效性、稳定性和强制性标准防雷设计规范执行情况等进行的技术评价审查。
2图纸审查的原则
a)设计审查是政府强制,是经气象主管机构认定委托的专业中介防雷机构,应是业内专家;
b)遵循国家标准防雷设计规范、经济合理、安全可靠的原则;
c)应与其它行业的通行做法及防雷设计规范标准一致,就高不就低,求异存同,避免承担不必要的责任;
d)图纸审查本质上是一次重新设计过程,是内行对内行的审查;
e)审查机构承担审查的相应失察责任,技术质量责任仍由原设计单位承担。
3防雷设计技术性审查
防雷设计审查应对以下具体项目进行技术审查。
1、看标题栏及图纸目录。了解工程名称、项目内容、设计日期及图纸数量和内容等。
2、看总说明。了解工程总体概况及设计依据,了解图纸中未能表达清楚的各有关事项。(重点:设计的依据防雷设计规范图集、年预计雷击次数、防雷的分类、电源系统的制式、接地电阻、均压环楼层的设置、接地共用形式。在设计说明中我们还可以看出本建筑物的主要用途,其内是否有消防监控、安全门禁、宽带、有线电视等弱电系统设施等)
3、看设备材料表。设备材料表给我们提供了该工程使用的设备、材料的型号、规格和数量,收集归纳检测点的重要依据之一。
4、看系统图。了解系统图的基本组成,主要电气设备、元件等连接关系及它们的规格、型号、参数等,掌握该系统的基本概况(竖向系统图和配电系统图)。
5、看平面布置图。如基础、屋面防雷和楼层管线配置、设备布置等的平面图等,都是用来表示设备安装位置、线路敷设方法及所用导线型号、规格、数量、管径大小的。(接闪带布设、桩利用系数、桩筋利用情况,防雷网格的设置,地圈梁闭合环,人工接地预留外引端子、接地电阻1Ω,安全距离的计算,接地检测预留端子。接地干线,如幕墙、机房、配电房、电梯机房和信息设备场地等的接地电阻测试端子。引下线的数量、间距、布置。屋顶面布设的航障灯、装饰灯、广告牌、水箱、太阳能等。)
6、审查基础接地平面图。基础接地平面图是建筑物防雷的基础,从基础接地平面图中可查验基础地网的形状、埋设深度。应了解地质报告与地下水位;应知土建基础设计型式,基础钢筋埋设深度,估算埋地钢筋表面积。确认设计是否合理、自然接地体可否利用以及接地电阻设置可否能满足要求。重点审查防雷接地与其它接地共用接地装置的接地电阻要求(1Ω、4Ω、5Ω、10Ω、30Ω或100Ω等)。
7、审查引下线设置位置、根数、平均间距等。引下线间距可以按照相邻三档平均滑动计算。
8、审查侧击雷防护装置。防侧击雷均压环、外墙金属门窗、阳台围栏、空调搁板等处的等电位接地要求。侧击雷防护均压环二、三类建筑均为建筑顶上20%且超过60米部分需要布设均压环和防侧击雷。(室外空调机搁板应预留接地。)
9、建筑缝处防雷装置设置。
10、审查等电位连接设置。等电位连接是建筑物防雷的重要措施之一,它不仅可以减少雷击产生雷引起的电位差,还能增强屏蔽效能,防止雷击电磁脉冲危害,改善电磁环境。等电位接地(等电位连接按其功能分为总等电位连接(meB)、辅助等电位连接(SeB)、局部等电位连接(LeB)、楼层等电位连接(FeB)、等电位连接带(eBB)、等电位连接(eB)、等电位连接网络(Bn)等。应知接地干线敷设、总等电位接地端子设置能否满足防雷设计规范要求。审查可能有附属设备设施的楼层、房间、屋顶宜预留局部接地端子。
11、审查屋顶平面图防雷接闪网(带)的敷设。防雷网(带)的敷设方式、位置及格距等。
12、SpD设置。安装的位置、级数、雷电通流量等。对已经设计有SpD的建筑物,也应根据其防雷类别判定SpD的位置、级数、雷电通流量是否合理。(应该通过雷击风险评估的雷击类型S1、S2、S3、S4和线杆类型,雷电流参数、可能雷击点、线路敷设和设备耐压水平及SpD电压保护水平等参数计算,确定是否需加装SpD,满足防雷设计规范安全要求即可,不可强制要求设置多级。对于tn制式一般不设置p+n形式。
13、看安装大样图。是用来详细表示设备安装方法的图纸,也是用来指导安装施工和编制工程材料计划的重要依据。也是我们要审查的对象,(如防雷施工、卫生间、幕墙预留端子、女儿墙及配电柜接线等的大样图。)防雷平面图、大样图之间有无矛盾。
14、接地导线截面积,SpD上下级匹配,SpD保护开关整定电流是否符合防雷设计防雷设计规范要求。强弱电桥架、线槽、线管形式、连接是否符合防雷设计规范要求。
15、建筑施工图、结构施工图及水、电、暖、设备、消防、人防等专业施工图中涉及防雷部分的轴线、位置(坐标)、标高及交叉点是否矛盾。
16、审查进出建筑物的金属管线(水、电、暖、通风、燃气的金属管线)在进出建筑物时是否与等电位连接端子做等电位连接。燃气管网与强弱电管线、防雷引下线、接闪器距离,审定合理性。
17、应知玻璃幕墙等电位设计、女儿墙铝塑扣板、大理石压顶、不锈钢栏杆、屋顶避雷网格是否满足防雷设计要求与验收规范要求。
18、消防中心控制室、监控室、计算机室、楼宇自控室、程控交换机房、电梯机房的位置设计是否符合防雷电磁环境要求。
19、防雷产品的说明书及有关证明。
20、埋设管路,吊顶布管,材质和设置是否符合防雷设计规范要求。
21、审查航空障碍灯设置、防雷措施。
22、还应参见其四置图、建筑效果图、立(剖)面图、规划总平面图、幕墙结构施工图、钢结构施工图、建筑结构说明、施工说明等。
4结束语
防雷设计的审查工作是勘察设计管理体制和运行机制的需要,是与国际惯例接轨的需要,是提高勘察设计质量的需要,是维护国家和社会利益的需要。同时也是《建筑法》、《建设工程质量管理条例》和《防雷装置设计审查和竣工验收规定》等法律法规规章的规定要求,未经审查的设计图纸不得交付工程施工。因此,提高建设工程防雷设计的合格率,对于减少不必要的经济损失,消除减少雷击灾害的发生,是一件非同寻常、至关重要的工作,必须给予极大的关注。
参考文献
1.《建筑物防雷设计规范》GB50057-2010
安全审计的类型篇9
(一)审计范围广
澳洲警方的绩效审计是一种大监督的概念,其范围包括审计、法制、督察和监察等多个部门的工作领域,经费审计只是其中的一个部分。澳洲警方规定绩效审计可以延伸到单位内部任何部门或任何活动中,如联邦警察的绩效审计项目涵盖了执勤执法、安全保卫、反腐败、采购等诸多领域。在进行交流时,联邦警察审计官员介绍其近期开展的绩效审计项目就包括Dna收集、网络警务、工作连续性管理等项目。
(二)审计标准细
绩效评价标准体系是审计人员对绩效高低优劣进行评价或判断的重要依据。经过多年的实践积累,澳洲警方逐渐形成了较为成熟的绩效标准体系。一是灵活制定标准。针对不同部门、不同警种或不同警务活动所依据的评价标准是不同的,因此澳洲警方没有为所有绩效审计项目预先制定统一的审计标准。审计人员必须为每一个审计任务“量体裁衣”,根据审计项目的具体特点和具体审计目标,按照一定的原则,有针对性地制定审计标准。从宏观指标看,标准为社会普遍认可的合理期望;从具体指标看,标准主要来自于法规、政策、目标、程序、权威意见以及同行优秀水平等。二是重视使用量化指标。澳洲警方绩效评价标准与其职能紧密相关,涵盖警务活动的各个方面,并强调尽可能采用量化标准。经过长期的统计、分析和积累,其绩效标准包含有发案率、破案率、响应速度、投诉率、公众安全感、交通事故率、青少年犯罪率等几十项量化标准。三是不断改进完善标准。近年来澳洲警方引入了“三重基线”审计标准的概念。所谓“三重基线”审计,是从人类的可持续发展出发,在审计时除了关注经济因素外,还要关注环境保护和社会公平因素,把这三个因素综合考虑到审计标准中。如首都堪培拉警方的绩效审计标准中除包含人员经费、业务经费和资产管理等传统指标外,还将警车的数量、油料、水电、纸张的管理以及警队中女警察数量、少数民族警察数量和警员离职率等方面都有明确的量化指标。此外,澳洲警方在审计发现问题后,定期提出优化操作指南,进而形成新的绩效标准。
(三)审计方法活
澳洲警方强调绩效审计没有一种固定的模式,倡导“灵活性和创造性”的理念,审计人员在开展绩效审计时,必须确保所做的每项决定,都是建立在充分研究和分析的基础上,以保证提供高质量的审计报告。同时,要求审计人员根据审计项目的类型、特点和审计风险,选择适当的方法。一是注重调查分析。绩效审计区别于财务审计的突出特点,就是从资金使用方式审计到资金使用结果审计的转变,这种转变依赖对审计取证信息的再加工。在审计中,澳洲警方审计人员用谈话、观察和查阅文件等方法来收集数据,获得所需要的信息;然后用比较分析法、成本效益分析法、统计的定性和定量分析以及回归分析法对数据进行处理,并形成审计结论。二是重视沟通协作。澳洲警方绩效审计中,非常重视与被审计单位的沟通和协作。在计划阶段和被审计单位讨论审计计划内容,使被审计单位了解审计要做的工作。在实施阶段与相关人员进行充分的谈话交流,积极思考可能存在的风险领域,调整确定审计重点,并与被审计单位充分沟通所有事实和证据。在报告阶段与被审计单位充分交换审计意见。在项目结束后召集会议,与被审计单位和相关单位就此次审计进行讨论总结。三是利用外部力量。由于审计人员数量有限以及专业性等原因,在开展部分非保密项目时,澳洲警方聘请外部专家或专业咨询公司参与审计工作。在外部力量的选择上,一种是通过建立审计专家库,随时抽调相关专家参与审计;另一种是采取公开招标等方式选择相关公司负责某项具体的项目审计。
(四)审计队伍精
因绩效审计工作所涉及的领域较为广泛,澳洲警方绩效审计人员的专业背景比传统意义上的审计人员更具有多样性和广泛性。如联邦警察绩效审计人员的来源背景就包括统计、医疗、工程、军队等。在绩效审计人员各种能力要求中,分析能力、沟通能力和人际关系能力是最为重要的。此外,澳洲警方对于人员聘用和后续培训制定了相关政策,人员招聘遵循公开和择优录取原则。在人员培训方面,注重个人发展和组织目标的结合,辅以内部轮换和对外借调政策,提高内部审计人员的业务能力和道德水平。
澳大利亚联邦警方绩效审计工作对我国开展公安绩效审计工作的启示
作为新兴的审计类型,绩效审计已成为现代审计的重要标志。当前,各级公安机关不仅要在经费使用上做到合理合法合规,更要突出经费使用效益、效率和效果,实现“少花钱多办事”、经济效益和社会效益双丰收的目标。澳大利亚警方绩效审计工作虽然在历史背景、管理体制、工作机制以及工作范畴等方面都与我国公安审计工作有所不同,但其中仍有不少值得我们学习和借鉴的方面。因此,学习吸收澳大利亚警方绩效审计的先进经验,研究我国公安绩效审计理论体系,探索适合我国国情的公安绩效审计道路,应当成为今后公安审计工作的一项重要任务。
(一)制定绩效审计评价标准
绩效衡量标准体系具有多样性、系统性、层次性和计量性等特点。参照澳洲警方经验,构建绩效审计评价标准体系,要以法律、法规、政策为准绳,遵循全面性、可操作性、定性与定量结合以及成本效益等原则,并在实践中不断完善调整。具体而言,探索制订公安绩效审计评价标准体系可从三个层次进行。一是指导性标准,就是对绩效审计评价标准和一些具体做法作出的原则性规定,主要来源于相关的法律、法规和规章,这些是绩效审计评价的基础。因此,首先要参照国际惯例和国家审计署相关规定,结合公安工作实际,制定比较系统、操作性强的绩效审计规定或准则。二是技术性标准,包括已被广泛接受的专业标准、国家标准、行业组织建议的标准以及被审计单位项目的业务目标、用于衡量评价绩效的其他明确标准。三是替代标准,当上述两个层次的标准均不存在或者无法满足绩效审计评价时,可以考虑先用替代标准,包括同类先进单位的最佳实务以及被审计单位以前年度的最佳绩效等。
(二)逐步推进绩效审计
目前,我国相关法规制度还不健全,单位内控制度尚不完善,以及审计人员的业务知识和水平一时难以适应绩效审计的需要,不能简单照搬澳方经验,而要在充分吸收其先进经验的基础上,结合实际,循序渐进,稳步推进绩效审计工作。一是研究制定公安机关推进绩效审计的总体方案。从总体上明确推进绩效审计工作的方向、目标、时限、步骤、职责等,积极稳妥地推进绩效审计工作。二是大力开展综合型审计。要将财务审计同绩效审计结合起来,注意从内控制度、政策执行、资金运用、资源利用、行政效能等多方面综合考虑其效益、效率和效果。要找到症结所在,提出有针对性和可操作性的审计建议,帮助其提高管理绩效。三是选择部分单位和项目开展绩效审计试点。要精心选择部分条件成熟的单位及具有代表性的项目进行试点。如对建设项目、“金盾工程”项目、大批量物资采购、涉案财物管理以及中央转移支付资金管理使用情况等方面进行绩效审计的试点,检查管理制度是否健全,风险控制措施是否完备,是否符合效益、效率、效果的要求。
(三)灵活运用多种审计方法
一是学习运用各类绩效审计调查分析方法。目前澳洲警方常用的绩效分析处理技术方法有比较分析法、趋势分析法、图表图形辅助法等。我国公安机关在开展绩效审计中应视项目或资金的具体情况选择审计方法,同时应充分运用计算机进行辅助审计,发挥计算机信息收集处理方面的强大功能,在此基础上灵活运用各种信息分析处理方法,提高绩效审计的科学性,审计证据的相关性、充分性和证明力。二是加强沟通了解。要高度重视审计会议以及谈话沟通的重要性,通过积极聆听、有效提问等方法,发现问题线索,找准审计重点。要加强与被审计单位全方位的沟通,加强对被审计单位和审计事项的资料收集、分析和积累,在充分了解被审计单位或被审计事项的基础上开展绩效审计工作。三是整合内外审计力量。要建立与社会审计、国家审计良好的合作关系,注重审计人力资源的整合运用和相互间审计结果的借鉴,树立公安内部审计机构与国家审计机构、社会审计机构间的合作意识,相互间建立更广泛的合作关系,充分利用各自审计成果,节约审计资源和审计费用。
(四)全面加强公安审计队伍建设
安全审计的类型篇10
关键词:上网行为管理网络应用
1背景介绍
随着近些年的信息化建设不断深化,为应用部门提供了便利的工作手段和信息共享方式,然而要确保应用网络的安全、高效与稳定,应用信息中心还面临着可能存在的以下几个方面的问题:
1.1对BBS发贴,上网的行为等进行关键字过滤
1.2对于员工上网行为进行管控,恶意网站的过滤,色情,反动网站的过滤等等保障内网安全
1.3对流量进行控制,为领导划分出专用带宽,保障网络通畅
1.4为视频或是Voip等会议划分等核心业务进行带宽保障
1.5对应用各个环节进行行为日志的记录,避免法律风险
故计算机网络需要一套全面的上网行为管理解决方案,来应对所遇到的这些问题,上网行为管理在网络中应用变得越来越重要。
2上网行为管理解决方案
2.1对p2p行为的全面管控
上网行为管理内置的应用协议库中下载软件类内置了主流的p2p各种软件,像Bt、emule、迅雷、百度下吧、pp点点通等;p2p流媒体类包括了QQLive、ppLive、mySee、沸点电视、蚂蚁电视等。上网行为管理除了能够对已知的、常见的p2p行为进行识别外,根据上网行为管理基于统计学的智能检测技术,也能够准确识别未知的、不常见的p2p行为,对各种p2p行为进行全面的识别。上网行为管理除了能够对识别出的各种p2p行为进行完全的封堵外,还可以根据需求对各种应用进行细致的流量控制。
2.2细致的流量控制功能
基于应用类型(如:Bt、emule、ppLive等)的流量控制;基于网站类型(如:新闻类、娱乐类、体育类)的流量控制;基于文件类型(如:电影类、图片类、音乐类)的流量控制;基于用户组/用户的流量控制;带宽资源分配支持动态保证、预留保证、最高限制、平均分配、自由竞争等。
上网行为管理具有多线路复用技术,可支持多条公网线路,扩展机构的internet带宽,多线路间互为备份,提高可靠性;同时上网行为管理的多线路智能选路和负载均衡技术,将内网用户的流量智能的分配到多条公网线路上,解决跨运营商的带宽瓶颈问题。
2.3全面封堵,全面监控
2.3.1URL的识别与控制:①内置千万级URL库,更细粒度的分类,包括娱乐、色情、反动、等40余大类;②支持手工添加URL并分类,支持个性化需求的URL控制管理;③能够识别非标准端口和动态端口的URL;④支持对SSL加密网站的识别和过滤。
2.3.2关键字网页过滤:①支持搜索引擎指定关键字过滤,防止用户通过Google/百度等搜索关键字查找网页。②支持根据指定网页正文关键字过滤网页。
2.3.3Http/Ftp上传下载识别控制:①能够对用户向BBS、博客等发帖的内容进行识别监控并过滤;②能够识别控制用户通过Http/Ftp方式上传下载的文件类型。
2.3.4邮件访问控制:①根据发件人、发送邮件标题和内容关键字、发送邮件附件类型等条件过滤外发邮件;②根据邮件发送目标地址、发送邮件标题和内容关键字、邮件大小、附件个数等条件执行邮件延迟审计功能,符合指定条件的邮件,先拦截审计,审计通过后发送,审计不通过则过滤掉。
2.3.5识别:上网行为管理的识别技术能够有效的防止内部网络用户通过组织外部的服务器访问不量信息,做到全面的识别控制。
2.4提升工作效率需要提升工作效率,就必须要对内部人员的网络行为进行准确识别,识别之后从而进行相应的网络应用访问控制管理。
上网行为管理内置了业界最大的应用识别库,包含了24大类、370余条的应用识别规则。包括了下载工具类、流媒体类、炒股类、网络游戏类、im聊天软件类等。包括了业界所有主流的应用软件,同时上网行为管理也支持手工添加应用规则并分类。
面对互联网上日益泛滥、版本众多的p2p软件和p2p流媒体,上网行为管理能够对p2p行为进行智能识别,从而进行访问控制。
上网行为管理内置千万级的URL库,细致的URL分类。可以控制用户访问URL的行为。
上网行为管理支持基于时间段的网络行为访问控制。时间段以半小时为单位,时长可以自由设置,时间段数量可以自由设置,以一个星期为周期。比如可以设置上班时间不能访问网络,下班时间可以访问网络。
上网行为管理支持基于用户组的访问控制,不同的部门、不同的单位根据情况可以划分为不同的用户组,不同的用户组分配不同的上网行为管理权限。
2.5防范机密信息外泄上网行为管理内置应用识别规则中im软件类内置主流的im软件,像QQ、mSn、iCQ、Skype、Yahoo通、网易popo等。上网行为管理能够完全封堵各种im聊天软件,能够控制使用im软件传文件。不仅能够记录审计非加密聊天软件的聊天内容,像mSn;也能够记录审计加密聊天软件的聊天内容,像QQ。
外发邮件过滤:上网行为管理可以根据外发邮件的发件人、邮件的主题和内容关键字、外发邮件的附件类型等条件过滤邮件。
外发邮件延迟审计:上网行为管理可以根据外发邮件的目的地址、邮件的主题和内容关键字、外发邮件的大小、附件个数等条件延迟审计邮件,审计通过后发送,审计不通过则过滤掉。
上网行为管理能够根据关键字过滤BBS发帖内容、博客发帖内容等。
2.6全面的网络审计功能对组织内部网络的各种使用情况进行全面的审计,那么首先需要定位内网的用户和终端,保障内网用户身份的合法性和内网终端的安全性,然后进行全面的审计。上网行为管理的身份认证系统保障了能够对每条日志信息定位到内网的每个用户和终端。
外置数据中心:上网行为管理除了具有内置数据中心外,还具有独立外置数据中心。外置数据中心实现海量日志存储,日志存储的空间不是由上网行为管理设备的存储空间决定的,而是由存储日志的第三方日志服务器决定的;外置数据中心实现类似Google的内容检索,快速定位关注的日志信息;主题订阅,可以以天/周的周期定期向指定的邮件发送指定的日志发生事件。上网行为管理的外置数据中心还支持自动报表、各种图形化统计、全面的日志记录审计等功能。
流量统计日志:包括了基于用户组流量、用户流量、ip流量、应用流量、网站流量等统计,并支持每种流量统计排名。支持上行下行流量统计及排名。
邮件统计日志:包括了基于用户组邮件、用户邮件、ip邮件等的统计,并支持邮件统计排名,收发邮件统计。
网络监控日志:包括了各种应用类型、网站类型、文件类型的访问日志,QQ聊天内容日志,BBS发帖的内容日志,URL访问日志、p2p下载日志、email/webmail日志、上网时间统计等信息。全面记录审计各种内网用户网络行为日志。