发布时间:2023-06-05 15:19:46
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络行为审计样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:成都中小微企业 人工神经网络 预测
1、人工神经网络
人工神经网络是一种应用类似于大脑神经突触联接的结构进行信息处理的数学模型。在工程与学术界也常直接简称为神经网络或类神经网络。神经网络是一种运算模型,由大量的节点(或称神经元)和之间相互联接构成。每个节点代表一种特定的输出函数,称为激励函数(activation function)。每两个节点间的连接都代表一个对于通过该连接信号的加权值,称之为权重,这相当于人工神经网络的记忆。网络的输出则依网络的连接方式,权重值和激励函数的不同而不同。而网络自身通常都是对自然界某种算法或者函数的逼近,也可能是对一种逻辑策略的表达。
2、基于人工神经网络的预测模型的构建
在运用ANN预测模型预测这两个指标时,我们采取下面的预测步骤:
(1)首先将1-6月份的数据标准化,及转化为0-1之间的标准化数据;
(2)我们将输入设为1月份、2月份、3月份、4月份的数据,输出设为5月份的数据;
(3)在matlab中调用newff函数,建立一个5个输入节点、10个隐含层节点、一个输出节点的BP神经网络,隐含层和输出层转移函数分别采用tansig(tansig(n) = 2/(1+exp(-2*n))-1)和purelin(y=x),训练函数选择贝叶斯正则化算法trainbr,得到网络仿真数据;
(4)通过得到的网络仿真数据与实际的数据进行比较,我们可以发现该预测模型的精度很高。从而我们可以利用该预测模型预测未来月份的数据,作为决策者进行决策的依据。
3、分规模企业运行态势预测模型
3.1中型企业运行态势预测模型
我们按照上述步骤,得到最终的预测值,如表1所示,可见,预测值与实际值之间相差并不大,误差为0.099973%。
表1运行监测指标按规模(中型)ANN预测模型实际值与预测值对比表
3.2小型企业运行态势预警模型
我们按照上述步骤,得到最终的预测值,如表2所示,可见,预测值与实际值之间相差并不大,误差为0.099974%。
表2运行监测指标按规模(小型)ANN预测模型实际值与预测值对比表
3.3微型企业运行态势预警模型
我们按照上述步骤,得到最终的预测值,如表3所示,可见,预测值与实际值之间相差并不大,误差为0.098246%。
表3 运行监测指标按规模(微型)ANN预测模型实际值与预测值对比表
4、结束语
运行监测指数和信心指数能很好的反映成都市中小企业的发展运营情况,本报告运用人工神经网络这种高精度的预测方法,对这两种指数进行了预测,预测结果精确,经济意义显著。能很好预测未来月份的中小企业的指标值,从而为决策者的决策提供有力的支持和依据。
参考文献:
[1]张乃尧,阎平凡.神经网络与模糊控制[M].北京: 清华大学出版社,1998.
关键词:城区土壤;重金属污染;遗传算法;BP神经网络
中图分类号:X53 文献标识码:A 文章编号:0439-8114(2013)03-0685-03
重金属污染是全球环境污染的突出问题,随着社会和经济的发展,重金属污染危害日益加重。研究重金属污染的分布,并根据分布情况实现对污染源的定位对于有关部门进行及时的环境预防与整治具有重要意义[1]。
近年来兴起的人工神经网络能通过学习实例集自动提取“合理的”求解规则,且具有容错和容差能力以及一定的推广能力。本研究建立基于并行遗传算法的BP神经网络系统,该模型可以实现对污染源位置的定位,从而为相关部门及时进行环境整治提供了理论依据。
1 构建基于遗传算法的BP神经网络模型
1.1 BP神经网络基本原理
BP神经网络是在对复杂的生物BP神经网络研究和理解的基础上发展起来的,因此具有较强的信息处理能力,对复杂的问题具有适应和自学的能力,可以很好地协调多种输入信息的关系[2]。BP神经网络通常由输入层、若干隐含层和输出层组成,每层都包含若干神经元,通过神经元之间的相互作用来完成整个网络的信息处理。其网络拓扑结构如图1。同一层各神经元相互没有连接,相邻层的神经元通过权实现全连接。
1.2 BPANN算法改进
普通的BP神经网络有自身的缺陷,包括易陷入局部最小点、收敛速度慢、学习过程容易出现震荡等。为了改进普通的BP神经网络,引入遗传算法(Genetic algorithm,GA)。遗传算法是一种基于自然选择和基因遗传学原理的优化搜索算法,它将“优胜劣汰,适者生存”的生物进化原理引入待优化参数形成的编码串群体中,按照一定的适配值函数及一系列的遗传操作对个体进行了筛选,从而使适配值高的个体被保留下来,组成新的群体,新群体中包含上一代的大量信息,并且引入新的优于上一代的个体。这样的周而复始,群体中的适应度不断提高,直到满足一定的条件为止,其基本原理如图2[3]。
遗传算法与神经网络算法的结合就是利用GA优化网络的拓扑结构,如网络层数和每层的节点数,以及各层节点间的连接关系。根据某些性能评价准则(如学习速度、泛化能力或结构复杂程度等)搜索结构空间中满足问题要求的最佳BP神经网络。基于遗传算法的神经网络流程如图3。
2 模型应用实例——以青岛市城区土壤重金属污染源的定位为例
青岛是中国重要的经济中心城市和港口城市,是中国重要的外贸口岸之一、国家历史文化名城和风景旅游胜地,作为体现青岛面貌的首要因素——环境,已成为青岛、中国乃至世界大众关注的问题。因此,对青岛的城市环境地球化学研究势在必行。
现以青岛市城区为例,根据从城区采样得到的土壤重金属含量数据建立神经网络模型,对污染源进行定位。对青岛市南区、市北区、四方区、李沧区、崂山区5个城区进行了广泛的土壤地质调查,将所考察的城区按照每平方公里1个采样点对表层土进行取样,共得到319个采样点,并分别检测每个采样点的8种重金属Cd、Cr、Cu、Hg、Ni、Pb、Zn和As的含量[4]。
对每种金属元素进行多次基于遗传算法的BP神经网络模拟后,在所得的数据矩阵中随机选取200个点对应的坐标进行绘图,绘图结果如图4。从图4中可以看出,每种重金属元素在城区中的空间分布,对数据中每种金属元素的空间坐标进行K-means聚类,所得的聚类中心即为污染源预测位置。
3 小结
通过建立基于遗传算法的BP神经网络模型,并将该模型运用于青岛市城区内各种重金属污染源的定位。使得环境管理部门可以在目标地区的土壤进行采样分析的基础上,利用该算法得出目标地区内重金属元素的分布图,根据极大值点可以定位污染源,并由此采取相应的管理措施。该算法的优越性在于可利用部分测量数据估计整体地区的分布情况,但同时也存在不足之处,一是数据获取困难,一般需要依靠卫星测量获取样本数据,二是算法虽然有较高的收敛速度,但缺少动态性,无法进行金属元素的动态分析和分布变化预测。
参考文献:
[1] 马旺海,曹 斌,杨进峰,等.城市重金属污染特征[J]. 中央民族大学学报(自然科学版),2008,17(1):66-73.
[2] 卢文喜,杨忠平,李 平,等.基于改进BP算法的地下水动态预测模型[J].水资源保护,2007,23(3):5-8,59.
模式。
关键词: 网络安全 数据库 审计技术
随着科技信息化技术的迅速发展,各类网络应用系统也融入日常工作生活中,网络作为各项网络应用的基础凸显出其重要性,网络安全管理是保障网络正常运行的重要工作,在网络安全管理中除了通过设备和配置实现安全防护,对于各种操作行为的安全审计不可忽视,合理运用网络安全审计技术相当于为网络开启“监视系统”,不仅能实现实时监控,对出现的高风险行为及时警示提醒,同时完成设定时间段内的操作行为存档以备分析取证,更重要的是系统中积累的历史数据通过统计和分析,能够为管理者提供真实准确的网络健康报告,为未来建设规划提供依据,在长航局网络建设中运用到网络安全审计技术。
网络安全审计技术概况
在国家出台的信息安全等级保护标准中对网络安全审计提出明确要求,包括对网络设备、安全设备、服务器、应用系统、数据库系统以及相关设备进行安全审计。网络安全审计技术主要可分为日志审计、网络审计和主机审计,通过启用硬件设备和软件系统的日志接口,获取系统广播的日志信息;对于核心网络设备,通过旁路模式开启数据镜像端口或直接串联在网络中,获取网络数据包进行解析;对于用户行为审计可通过安装客户端,直接获取用户行为信息。
在实际使用中,根据网络管理需要运用相应手段获取必要的审计信息,在长航局网络管理中对网络设备、安全设备、重要服务器、重要应用系统、重要数据库系统的安全审计是重点,未采取安装客户端方式获取用户行为信息。
网络安全审计技术实际运用
在长航局网络中网络安全审计主要包括:网络设备日志和操作过程记录、安全设备日志和操作过程记录、重要服务器日志、重要应用系统日志及操作痕迹、重要数据库系统日志及操作痕迹。
1、网络设备和安全设备安全审计
网络设备主要包括出口路由器、核心交换机、汇聚交换机和接入交换机,除部分接入交换机外,大部分网络设备属于可管理网络设备,进入网络设备配置模式,配置只读权限用户,启用SNMP功能,不同厂商设备略有不同。将需要管理的网络设备添加到网络中安全审计系统中,就可以获取到网络设备发送的SNMP数据包,安全审计系统会对收到的数据包按照事件等级进行分类,以便查询。
网络安全设备种类较多,如防火墙、入侵防护设备、防病毒网关、VPN设备、行为管理设备、流量控制设备等,根据各个厂商设备的设置,开启对应的SNMP功能,添加到网络中安全审计系统中操作和网络设备类似,需要注意的是串联在网络中的设备应设置允许SNMP数据包通过。安全设备通过安全策略和监控功能实现对网络安全保障,其监控信息实时更新,数据量较大,应根据需求确定需要记录的监控信息。
部分安全审计系统能够通过其登录管理网络设备和安全设备,并且记录下用户的操作痕迹,通过指派权限,设备管理员对对应设备的操作能够直观的展现出现,以便出现故障时分析查找问题。
2、服务器、应用系统及数据库安全审计
服务器由于硬件类别不同(如小型机、PC服务器、刀片服务器),安装的操作系统不同(如Windows、Linux),用途不同(如单机、集群、服务器虚拟化),开启SNMP功能方式有所不同,应根据具体情况进行操作。开启SNMP功能的服务器按照安全审计系统对于类别登记并纳入管理。
应用系统类别也比较多,基于不同平台、中间件定制开发的系统各不相同,应按照其提供的手册或通过开发人员沟通,开放日志接口,纳入安全审计系统管理。
数据库主要分为Orcale、MSSQL、DB2等几类,有统一规范的操作方法,按照对应数据库类别的操作方法,将其纳入安全审计系统,实现对数据库查询、读写、会话情况的记录和审计。
对服务器、应用系统、数据库的操作行为安全审计一般通过设置所在网络设备数据镜像接口方式实现。同样,部分安全审计系统能够通过远程登录方式去管理服务器及应用系统、数据库系统,记录下用户的操作痕迹,通过指派权限,设备管理员对对应被管理对象的操作能够直观的展现出现,以便出现故障时分析查找问题。
3、安全审计设备管理
按照网络结构特点,安全审计设备(系统)部署到合适的位置,数量有可能是一台或多台,超过一台时应根据其特点进行功能分工,接入方式以旁路为主。配置好网络后,登录管理安全审计设备,除添加各个被管理对象外,应对各类事件按照重要程度定义好级别或阀值,设置报警相关配置,定义好报表模板和报送方式,形成周期性报表以便保存和分析用。对于审计设备自身管理也应严格权限,按照管理需要分配不同类别管理权限,同时按照设备存储空间设置合理记录保存周期,或定期导出存储的记录。
网络安全审计参考模式
综合网络安全审计技术在实际中的运用方式方法,可以列出网络安全审计的使用参考模式,如图1所示。
对网络设备、安全设备、服务器、应用系统、数据库系统等相关对象可以通过开启日志功能管理。
通过获取网络数据包,可以深入记录分析更多行为操作。
对网络安全设备的分权限管理实现事件定级、分类、报警、形成统计分析报表。
图1
关键词: 安全审计;网络审计;数据库审计;运维审计
中图分类号:TP393.08 文献标识码:A 文章编号:1671-7597(2012)0210106-01
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。即使部署了防火墙、防病毒、入侵检测系统等网络安全产品,制定了严格安全策略、了多项管理制度,各种网络安全事件任然有增无减,根据CERT的年度研究报告显示,高达50%以上的数据破坏是由内部人员造成的,内部人员对自己的信息系统非常熟悉,又位于防火墙的后端,对数据库系统的误操作或者蓄意的破坏会对企业造成恶劣的影响以及重大损失,无法定责,不方便管理。安全审计通过收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,将系统调整到“最安全”和“最低风险”的状态。
1 什么是安全审计系统
安全审计系统是在一个特定的企事业单位的网络环境下,为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取,而运用各种技术手段实时监控网络环境中的网络行为、通信内容,以便集中收集、分析、报警、处理的一种技术手段。能够规范员工上网行为、提高工作效率、防止企业机密资料外泄,帮助管理者发现潜在的威胁,减少人为因素和管理缺失造成的关键业务停顿造成的损失。帮助您对IT安全事件进行有效监控、协调并迅速做出响应。对潜在的攻击者起到展慑和替告的作用,对于己经发生的系统破坏行为提供有效的追究证据。
2 安全审计系统功能
安全审计系统由审计主机以及探测器组成,采用旁路方式进行审计,不在网络中串联设备,不破坏网络结构,不影响正常业务的运行,也不会影响到网络性能,通过HTTPS方式对主机进行管理。系统主要由以下功能模块组成:
1)网络审计模块:防止非法内连和外连,负责网络通信系统的审计,在加强内外部网络信息控制监管的同时,为避免相关信息外泄及事后的追溯取证提供了有效的技术支撑。
2)操作系统审计模块:对重要服务器主机操作系统的审计,记录操作时间、IP地址、用户账号、服务器账号、操作指令、操作结果等信息。用户即可通过操作日志查看详细操作指令,也可通过录像回放查看详细的操作过程
3)数据库审计模块:对重要数据库操作的审计,对信息系统中各类数据库系统的用户访问行为进行实时采集、实时分析,用户登录、登出数据库,对数据表内容做插入、删除、修改等操作,记录内容可以精确回放SQL 操作语句。详细记录每次操作的发生时间、数据库类型、数据库名、表名、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。
4)主机审计模块:主要负责对网络重要区域的客户机进行审计, 包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等,在配合网络行为控制与审计策略的配置实施过程中起到基础性的作用。
5)应用审计模块:主要负责重要服务器主机的应用平台软件,以及重要应用系统进行审计。监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,形成清晰的记录。
6)运维审计模块:主要负责监控系统管理员及第三方运维人员(代维/原厂工程师)系统操作时的审计,对于所有远程访问目标设备的会话连接,实现同步过程监视,运维人员在服务器上做的任何操作都会同步显示在审计人员的监控画面中,包括vi、smit以及图形化的RDP、VNC、X11等操作,管理员可以根据需要随时切断违规操作会话。记录访问者和被访问者的IP/MAC地址,访问时间等信息。
3 安全审计系统特点
安全审计系统实现功能模块,具有如下特点:
3.1 细粒度的操作内容审计(深度协议分析)
采用协议识别和智能关联技术,可对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等关键信息进行监测、还原;从链路层到应用层对协议进行深度分析,根据内容自动识别各个连接的应用协议类型。保障审计的准确性。为管理机构进行事后追查、取证分析提供有力技术支撑。
3.2 全面的网络行为审计(精准的网络行为实时监控)
安全审计系统可对网络行为,如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等,提供全面的行为监控,支持全面的行为审计、支持目前常见的各种网络应用,方便事后追查取证;在旁路部署模式下可实现较强的网络行为控制功能,包括对网页浏览、电子邮件服务器、即时通讯、P2P下载、流媒体、在线游戏等应用的控制。
3.3 日志规则库
自带基于日志内容分析的专家规则库,针对日志源数据进行实时等级划分,智能分析日志信息中所反映出的诸如设备故障、配置错误、系统警告、应用程序出错、传播违规违法信息、数据库敏感操作等信息,并能及时通过邮件或短信方式通知管理员。规则库能够定时自动升级,应对新增的安全风险。
3.4 综合流量分析
安全审计系统可对网络流量进行综合分析,为网络带宽资源的管理提供可靠策略支持;通过传统安全手段与安全审计技术相结合,在功能上互相协调、补充,构建一个立体的保障管理体系。
3.5 可靠的安全保障能力
自身的安全性高,不易遭受攻击,在操作系统级对系统各支撑引擎进行了修改和全面优化定制,全面防止攻击与劫持,提升系统整体性能的同时保障自身系统级安全。对关键审计数据的存储和传输进行加密防护,利用数据防篡改、防删除技术;严格访问权限、审计权限控制体系达到系统级安全防护,旁路部署保障对网络性能完全没有影响,保证网络无单点故障,优先保障用户网络级安全,是上网机构在内网和互联网过程中最可信赖的安全工具。
3.6 高效的事件定位能力
系统运行日志数据大致可分为两类:结构化数据和非结构化数据,结构化数据主要包括行为日志和报警日志等,而非结构化数据则主要包括内容审计数据。通过使用先进的全文检索引擎,实现高效的事件定位能力。
3.7 良好的扩展性设计,部署灵活
支持分级部署、集中管理,满足不同规模网络的使用和管理需求;对于单台设备无法处理的超大流量环境或含有分支机构的分布式环境,系统支持高扩展性的多台设备分布式部署方案,通过多台设备对超大的流量或各分支机构分而治之,又由统一的管理平台实现对整个网络的透明、统一的管理。
3.8 多种报表
全面详细的审计信息,丰富可定制的报表系统,系统根据历史审计日志数据进行统计可产生丰富详细和直观的报表,包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。能够从上网对象、时间、分类、目标等多个维度对网络活动进行查询分析,并以柱状图,饼图,曲线图,折线图等形式来体现排名、结构、趋势等上网概况,使管理者对所掌握的数据有清晰直观的认识。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存,并支持自定义的周期性报表自动生成和订阅。日志可以按照要求保留90天以上,归档的日志可通过各种组合条件进行在线查询,也可以远程备份到异地进行离线查看。
综上所述,安全审计作为一门新的信息安全技术,能够对整个计算机信息系统进行监控,如实记录系统内发生的任何事件,可以有效掌握网络安全状态,预防敏感信息外泄,实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位,为整体安全策略的制定提供权威可靠的支持,从而为信息安全提供了有力的保障。
参考文献:
[1]张世永,信息安全审计技术的发展和应用[J].电信科学,2003(12).
[2]韦成府、吴旭、张华,网络行为安全审计系统Web应用的设计与实现[J].现代图书情报技术,2009(02).
[3]章剑林、李班、丁勇,企业网站的安全风险和安全审计技术研究[J].浙江理工大学学报,2008(05).
关键词: 日志分析;安全监控;数据挖掘;安全审计
0 引言
随着电力企业信息化工作的不断深入,电力企业在信息内网部署了内网安全监控管理系统,对内网用户的行为及终端设备进行监控[1],然而由于目前的内网安全监管系统缺少对安全事件的审计功能或者审计功能薄弱,使管理员不能准确掌握网络系统的安全状态,不能对网络行为进行跟踪分析,要实现事后的追查取证比较困难。基于监控日志的电力信息内网安全审计系统则能帮助系统管理员对网络安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,如实记录网络上发生的一切,提供取证资料。它是保障电力企业信息内网安全的一种十分重要的手段。
1 电力信息内网安全监控系统日志
电力信息内网安全监控系统的日志包括三种类型:
1)信息内网安全监控日志:主要包括每一个监控内容的监控结果、违规记录等信息;
2)受控终端日志:受控终端的系统事件、系统进程、系统服务等信息;
3)信息内网安全监控配置信息及操作日志[2]。
电力企业信息内网安全监控系统的审计分析是通过对以上三种日志的综合分析及时发现异常、可疑事件,以及受控终端中资源和权限滥用的迹象,同时把可疑数据、入侵信息、敏感信息等记录下来,作为取证和跟踪使用,以确认事故责任人。
2 安全审计系统总体设计
基于监控日志的电力信息内网安全审计系统的体系结构从总体上可分为日志采集、日志处理、审计分析和结果展现四个逻辑层次,如图1所示。
电力信息内网安全审计系统实现的关键技术是日志格式化算法以及审计分析实现算法。
3 关键技术实现
日志压缩与归并的实现:由于获取的这些海量日志数据包含了大量的重复冗余信息,这些信息对于报警事件的关联分析不具有任何价值。因此需要对报警数据进行归并处理,以缩小关联分析的样本空间。
根据网络入侵事件的行为特征、时间特征和位置特征,现将报警事件主要分为三类:重复事件、冗余事件和并发事件。
对于重复事件和并发事件,利用归并规则进行检测。归并规则采用标准的关系代数进行组合,通过正则表达式对其进行解析提取。原始报警事件样本如图2所示。
将此13条记录进行归并,生成一条超报警,其中evt_all_id包含了全部归并报警事件的evt_id,便于后期的统计分析;timestamp_range为归并攻击事件的时间段,既告警事件的第一次发生时间至最后一次发生的时间;merge_counts
为归并的报警事件数量,这个数值越大,则表示该类攻击在当前发生的可能性越大。
对于冗余事件,利用相关分析进行检测。给定两个属性,根据可用的数据度量一个属性能在多大程度上蕴涵另一个,判断依据通过计算属性A和B之间的相关系数,
4 系统应用分析
系统在某省电力公司信息内网监控系统中进行了测试和应用,结果如下:
1)审计功能:通过采用攻击软件进行攻击模拟测试,对一些统计特征明显的攻击检测率可以达到89%以上,同时,能够准确的记录对终端中的资源和权限滥用现象,实时动态监测用户通信内容、发现和捕获各种敏感信息、违规行为。
2)系统稳定性:在稳定性测试中,内网安全监管审计系统连续运行24*7小时没有出现因为软件系统的原因而崩溃的现象,系统运行过程中操作系统的CPU使用率和内存的使用情况没有出现过异常。
应用结果表明该系统能对内网用户的行为及终端设备进行实时有效的监控,能够集中收集、管理并有效地分析各种安全日志,使管理员能够实时、直观地掌握电力企业信息内网安全状况。
5 结束语
本文提出的安全审计系统通过对电力企业信息内网监控系统日志的采集、分析、识别,实时动态监测内网用户行为和终端系统,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为电力企业信息内网安全策略的制定提供权威可靠的依据。
参考文献:
[1]宁兴旺、刘培玉,支持审计与取证联动的日志系统设计[J]. 计算机工程与设计,2009,30(24):5580-5583.
关键词: 涉密网络;安全审计;主机审计;系统设计
1 引 言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
涉密网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[ 1 ] 。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2 安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2 ] 。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3 ] 。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架( IA TF) 中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2Dept h St rategy) ”,对安全审计系统提出了参与主动保护和主动响应的要求[4 ] 。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复( PDRR) 动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3 主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,涉密系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,涉密网络的主机审计在设计时就应该全方位进行考虑。
3. 1 体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/ S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows ,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP 协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为) 是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网PC 机) 通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面PC 或笔记本) 通过外置磁介质(如U 盘、移动硬盘) 接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL 加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、IP 地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。[ hi138\Com]
3. 3 审计主机范围。
涉密信息系统中的主机有联网主机、单机等。常用操作系统包括Windows 98 ,Windows2000 ,Windows XP ,Linux ,Unix 等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙) 实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3. 4 主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、USB 接口等) ,对USB 设备进行分类管理,如USB 存储设备(U 盘,活动硬盘) 、USB 输入设备(USB 键盘、鼠标) 、USB2KEY以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备) 泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,涉密信息必须有密级标识) ,拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机) 被系统自动将所有文档读到计算机上。
3. 5 综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机IDS、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(WORD、HTML 、文本文件等) 输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个涉密网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4 结束语
涉密系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。
参考文献
[1 ] 网络安全监控平台技术白皮书。 北京理工大学信息安全与对抗技术研究中心,2005.
[2 ] 王雪来。 涉密计算机信息系统的安全审计。 见:中国计算机学会信息保密专业委员会论文集,13 :67 - 72.
关键词:网络审计;涵义;背景;特征;弊端;发展对策
中图分类号:TP393.01 文献标识码:A 文章编号:1672-3198(2007)07-0178-01
1 网络审计的涵义
网络审计就是基于互联网,借助现代信息技术,运用专门的方法,通过人机结合,对被审计单位进行远程审计。审计人员按照注册会计师的执业要求,利用网络资源的共享性、快捷性和广泛性的特点,在网络上对客户的相关信息进行采集、整理、查证、分析,进而得出审计结论。它是随着网络技术、通讯技术和电子商务的出现而产生的,是经济活动网络化、虚拟化的产物,也是现代审计发展的崭新阶段。
2 网络审计的特征
(1)审计空间进一步拓展。在网络会计环境下,会计信息资源在极大的范围内得以交流和共享;会计信息涉及到交易关联方的各个方面,同时能访问会计信息的用户可能涉及整个网上用户。因此,为了防止信息的使用者采取恶意操纵行为,破坏和更改会计数据,以及会计数据在传输过程中被截留和篡改等行为,应将审计空间范围扩大到交易关联方以及网上有关信息用户。
(2)审计时效性得到保障。在网络环境下,由于企业经营的网络化、虚拟化,使得企业的经营风险加剧,广大投资者、客户及有关部门(工商、银行、税务部门)渴望及时获取相关会计信息和经济业务信息以作出决策。而通过网络审计,可满足这种需求。审计部门随时对企业进行审查,及时收集掌握被审计单位的最新会计信息和有关经济业务信息,并向有关各方,审计的时效性大大提高。
(3)审计人员素质更高,知识更全面。传统审计中,审计人员只需要熟练掌握会计审计的知识足够,即使在审计电算化阶段,审计人员也只需要懂得操作电脑即可,但是在网络审计时期,审计人员不但要熟练掌握会计审计专业知识,还要提高自身的网络技能,熟练运用INTERNET进行审计。
3 网络审计存在的弊端
3.1 网络审计风险防范与控制任务艰巨
网络审计的风险因为主要来自三个方面:
(1)物理风险。计算机硬件自身的局限性造成了物理风险。如计算机发生了链路故障或者遭到自然、机械灾害损坏,已经非法操作等,导致数据毁损或丢失。
(2)企业内部控制风险。网络的虚拟性,网上交易活动不可见性,必然加大审计线索和证据的获取难度,网络经济中的审计线索和证据均来源于网络,其真实性、可靠性主要取决于企业内部控制系统是否健全。这也加大了审计风险。
(3)外部网络风险。网络“黑客”和病毒的侵入,恶意攻击网络,篡改、破坏审计数据甚至整个网络系统,威胁着网络化企业的安全,有时甚至使企业遭受巨大损失。
3.2 审计人员知识结构不完整
网络审计对审计人员的素质提出了更高要求和标准。网络审计人员应该是一种复合型、全方位的人才,具备一定的法律、审计、网络、通讯、计算机、商贸知识。我国目前这种网络审计人才匮乏,审计人员知识结构不完整或者更新很慢,出现横向学科知识边缘断接,纵向知识更新断层的局面。
3.3 审计软件不够完善
目前,我国的审计软件开发还处于成长阶段,具有独立开发高质量的审计软件的公司很少,应用审计软件的企业数量有限,还没有形成一定的规模。
3.4 相关法律制度不够健全
在网络审计环境下,现有的一些法律法规呈现出一定的滞后性,对保证审计独立性起不到应有的作用,也不能从宏观环境层次上有效地预防外界对审计的干扰。计算机的电子信息及无纸化信息能否被法律接受,已成为一个国际性的问题。其能否作为审计和税务检查的有效证据,也是一个亟待解决的问题。
3.5 缺少专门的鉴定部门和健全的社会服务机构。
网络审计其实是一种信息化技术,这种技术是否可靠,需要有关部门权威鉴定。目前不少企业开发了审计软件,却找不到权威的鉴定部门和机构,其软件的安全、可靠、高质量得不到有效保证。以企业信息化为特长尤其是以网络审计为特长的社会咨询服务机构太少,专业从事企业管理信息化工程实施或监理的机构尚无。
4 网络审计的发展对策
4.1 网络审计风险防范与控制能力
我们可以通过以下措施来防范网络审计风险:
(1)完善计算机硬件系统的控制设计。企业应该选用质量可靠的计算机硬件,关注计算机的实体安全、火灾报警、防护系统、使用记录、后备电源、操作规程、灾难恢复系统是否完备。定期检查测试计算机硬件系统的运行情况,防患于未然。
(2)企业加强内部控制,提高企业的网络安全防范意识,建立安全可靠的网络交易系统,在进行网上交易时保护企业的安全,保证会计信息的准确性和可维护性,从而降低审计风险。
(3)在技术上对整个网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都要采取安全防范措施和规则,建立综合的多层次的安全体系,为网上交易提供周到、强力的数据安全保护。
4.2 知识结构,培养复合型人才
国家、学校、审计组织等部门应该采取措施,优化审计人员的知识结构,加速审计人员知识更新,培养具备一定的法律、审计、网络、通讯、计算机、商贸知识的全方位复合型人才。从深度和广度上加强审计人员对网络审计理论的认识、理解,使其在网络环境的支持下,积极主动地开展审计活动。
4.3 审计软件,使之更趋完善
审计软件的一部分功能可以内嵌入企业的财务软件中,对日常的企业的经济行为进行实时监控,在企业发生一定程度的违规操作时,实时提醒,体现网络审计的时效性。
审计软件应该更加智能化:软件可以自动对系统的合法性与合规性进行全面检查;自动获取充分适当的审计证据,减少审计风险;抽取符合要求的审计样本,尽量做到以一概全,以点见面,提高审计工作效率;拟订审计工作计划,编制工作底稿,出具独立审计报告。
4.4 和完善相关的法律法规
应该完善相关法律,借助法律的强大力量,营造一个有效的外部法律环境,对有损审计独立性的行为予以法律诉讼和惩罚。政府应该在立足我国国情的基础上,制定相关的法律法规,对电子信息的有效性进行界定,使在进行网络审计,尤其是在进行电子证据,电子签名,电子合同等合法性审计时切实做到有法可依,有章可循。国家财政部、审计署等相关部门应该加快建立一套适用于网络审计自身特点的新的审计准则――网络审计准则,以指导网络审计工作。
4.5 专门的鉴定部门和健全的社会服务机构
国家要尽快成立鉴定部门,对企业开发的审计软件系统进行检验、评定,以确保审计软件系统的安全、可靠和高质量运行。要进一步鼓励成立以为网络审计系统提供咨询为特长的服务机构,完善相关的规章制度和管理办法,为网络审计发展创造良好的社会环境。
参考文献
[1]许宝强.“网络审计的现状及发展对策”[J].中国内部审计.2005,(1).
关键词:内网;威胁;检测
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599(2012)05-0000-02
一、引言
大部分企业网管人员至今仍对内网威胁不重视,他们认为只要做好内外网物理隔离,或在内外网间部署好网关、防火墙等安全防护产品,网络安全就能万无一失。内网安全仅依赖管理措施,极少采用技术手段进行防护。中国国家信息安全测评认证中心的调查结果表明,信息安全问题主要来自泄密和内部人员犯罪,而非病毒和外来黑客引起。因此进一步分析企业内网威胁及防治技术,构建内网安全防护模型显得愈发重要。
二、基于行为的内网威胁分析
随着信息、通信技术的发展,企业内部网络的应用越来越复杂,内网大多数的应用都是企业核心内容,需严格保密,一旦出现、破坏的事件,后果将不堪设想,内网出现问题甚至能够导致整个企业瘫痪。
企业内网威胁除了由系统缺陷引起的安全隐患,大部分是由于企业内部人员安全意识不足,基于行的内网威胁,具体表现在:
(一)移动存储介质管理的不规范:如数据拷贝不受限、违规交叉使用、单位和个人持有不区分等,特别是在与非计算机间、内部与互联网计算机间交叉使用,导致计算机或内部工作计算机感染木马病毒。
(二)服务端口过多开放:黑客一般是通过扫描端口获取信息,确定主机运行的服务,然后再寻找相关服务或程序漏洞,最后通过漏洞服务或程序的端口攻击目标主机。
(三)账号口令管理不严:黑客攻击的目的是为了非法获取系统访问权限,一旦取得账户口令,他们就可以顺利登陆到目标系统,进行犯罪活动。
(四)用户权限分配不合理:用户权限往往未被限制,即授予其所需要的最小权限。攻击者就利用用户过高的权限进行攻击。
(五)使用盗版、破解软件等:盗版软件通过破解、反编译等手段得到软件程序源代码,修改源代码往往影响到软件模块结构之间的逻辑性,导致一些软件漏洞的出现,黑客也常用一些工具来搜索存有漏洞的计算机来确定攻击目标。
(六)内部的网络攻击。有的员工为了泄私愤、或被策反成为敌方间谍,成为单位泄密者或破坏者。由于这些员工对单位内部的网络架构熟悉,可利用管理上的漏洞,侵入他人计算机进行破坏。
(七)网管人员工作量过大、专业水平不够高、工作责任心差;用户操作失误,可能会损坏网络设备如主机硬件等,误删除文件和数据、误格式化硬盘等,都将构成内网严重威胁。
三、内网威胁检测技术
内外网隔离、防火墙、IDS及其他针对外部网络的访问控制系统,能够有效防范来自网络外部的进攻。但对于企业内部的信息保密问题,却一直没有很好的防范措施:内部人员可以轻松地将计算机中的机密信息通过网络、存储介质或打印等方式泄露。当前,可通过主流技术对内网威胁进行检测:
(一)准入控制技术。目前,防范终端安全威胁可采用多种准入控制技术主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离,进行修复。使准入控制技术与传统的网络安全技术如防火墙、防病毒技术有机结合,改变“被动的、以事件驱动”为特征的传统内网安全管理模式,变被动防御为主动防御,有效促进内网规范化建设。
(二)网络安全防范技术及监控手段的集成。可将防火墙技术、漏洞扫描技术、入侵检测技术和安全管理、安全监测和安全控制集成与融合,实现对内部网络的安全防范。网络安全监测需要监测非授权外联、非授权接入及非法入侵、非授权信息存取,对重要数据进行重点保护、重点信息进行重点监测,对可疑人物、可疑事件跟踪监测。
(三)网络安全监控。控制网络设备的运行状态,对网络安全监测事件实时响应;这样不仅能及时发现安全域内潜在的网络安全威胁,减少网络安全事故的发生,而且能做到对安全事故的及时解决。
(四)建立用户行为审计。对用户网络行为进行审计,包括:审计登录主机的用户、登录时间、退出时间等有详细记录;对重点数据操作的全过程审计;对发现可疑操作如多次尝试用户名和密码的行为,及时报警并采取必要的安全措施如关机等。
四、内网安全防护模型
在内网威胁检测技术的基础上,建设一个多层次的网络安全防护体系,使得安全管理员能够全面掌握网络的运行状况,掌握网络的应用流量状况,掌握网络中发生的安全事件,并在网络出现异常或发生可疑事件时能够方便快捷地对数据进行深入分析,从而实现对内部网的全方位安全监控,提高对安全事件的监控和响应处理能力。
(一)网络准入控制与终端安全防护系统。将安全策略及多种安全防护技术等结合起来,构成一个统一终端安全防护系统。包括安全策略制定与下发、桌面终端的管理与控制、认证与授权、合规与审计。实现对进入内网的控制和安全策略符合诊断控制,提高企业终端安全管理水平。
(二)威胁分析监控系统。能尽早检测出新的未知恶意软件,对数据泄漏快速响应。能通过检测网络中的破坏性应用程序和服务程序,节省带宽和资源;通过集中式管理,使威胁和事件信息管理更为容易。
(三)网络流量分析系统。通过该系统捕获并分析网络中传输的数据包,有效反映网络通讯状况,帮助网管人员快速准确定位故障点并解决网络故障,并快速排查网络故障,从而提高网络性能,规避网络安全风险,增大网络可用性价值,并确保整个网络的持续可靠运行。
(四)用户行为审计系统。及时分析用户行为日志的审计,可发现可疑的信息,并重点跟踪监测。有助于发现网络中的薄弱环节及可疑因素;有助于提高企业用户的网络安全意识,也是对网络安全破坏分子的震慑。
五、结束语
本文首先分析了基于行为的企业内网安全威胁,探讨了当前内网威胁检测技术,设计了一套对网络准入控制、终端安全防护、流量分析、用户行为审计等内网威胁检测和管理的网络安全防护模型。使得企业可以全面了解网络的运行状况以及安全事件信息,为安全管理中心和安全事件审计提供信息和证据。
参考文献:
[1]陈广山.网络与信息安全技术[J].机械工业出版社,2007
