安全审计概述

文/陈尚义

一、什么是安全审计

安全审计，一般地，是指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价。按照这个说法，审计可以是来自内部的，也可以是来自外部的。

GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》对“安全审计”的定义是：对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应的比较动作。安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑，从而达到保障信息系统正常运行的目的。同时，信息系统安全审计产品对信息系统各组成要素进行事件采集，将采集数据进行自动综合和系统分析，能够提高信息系统安全管理的效率。

传统的商业与管理审计，与计算机安全审计的过程是完全相同的，但它们各自关注的问题有很大不同。计算机安全审计是通过一定的策略，利用记录和分析历史操作事件发现系统漏洞并改进系统的性能和安全。计算机安全审计需要达到的目的包括：对潜在的攻击者起到震慑和警告的作用；对于已经发生的系统破坏行为提供有效的追究责任的证据；为系统管理员提供有价值的系统使用日志，帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。

具体到内网安全管理，安全审计是对计算机终端及其应用进行量化检查与评估的技术和过程。内网审计是通过对计算机终端中相关信息的收集、分析和报告，来判定现有终端安全控制的有效性，检查计算机终端的误用、滥用和泄密行为，验证当前安全策略的合规性，获取犯罪和违规的证据。

二、安全审计四要素

一般认为，安全审计涉及四个基本要素：目标、漏洞、措施和检查。

目标是企业的安全控制要求；漏洞是指系统的薄弱环节；措施是为实现目标所制定的技术、配置方法及各种规章制度；检查是将各种措施与安全标准进行一致性比较，确定各项措施是否存在、是否得到执行、对漏洞的防范是否有效，评价企业安全措施的可依赖程度。

管理部门相继出台了各层面的管理要求，就是对安全审计提出的目标。如分级保护要求、等级保护要求、以及将出台的国内《企业内部控制基本规范》等；同时，跨国、合资企业在符合我国安全要求的同时，也受到本国安全标准的管理。

这些法规和要求成为审计系统的检查基线，使审计成为必要和可能。根据这些目标要求，企业要进行风险评估，找出漏洞所在，并针对这些风险和漏洞，采取必要的措施，如部署内网安全管理系统，对计算机端口、外部设备、网络接入、移动存储介质进行控制和管理，监控电子文件的操作等，收集使用日志，记录操作内容和操作行为，作为今后等级评估、保密检查和合规性检查的重要依据。

例如根据等级保护、分级保护要求，对这些日志数据进行统计分析，产生分级保护分析结果，形成用户操作场景，找出用户违规行为，通过合规性分析，加强企业在分级保护方面的管理力度，追究泄密责任。

“内网安全管理系统”是内网审计系统的基础。内网审计是在内网安全管理系统日志功能基础上的，对日志数据进行分析、报告与判断（与目标的符合度）的过程。

三、安全审计、安全监控与审计跟踪

• 审计和监控

安全审计和访问控制互为补充。安全审计对用户使用何种信息资源、使用时间，以及如何使用（执行何种操作）进行记录并检查。审计和监控的联合，能够再现原有的使用场景、发现操作时的问题，对于追查责任和恢复数据非常必要。

• 审计和审计跟踪

审计跟踪，是按事件发生的时间顺序，记录每个事件的环境及活动，使之能够提供事件从始至终的整个变化轨迹，进一步提高了审计效果。审计跟踪记录的活动包括系统活动和用户活动，系统活动包括操作系统和应用程序进程的活动；用户活动包括用户在操作系统中和应用程序中的活动。

审计跟踪通过书面（或其它具有法律效力的）方式，提供责任人的活动证据，使之之具备记录系统活动、并跟踪到对这些活动应负责任的人员的能力。

通过借助适当的工具和规程，审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害，同时还能提供对数据恢复的帮助。

审计跟踪是高级的审计，它依赖于审计系统完整、连续的活动记录能力，和系统对复杂记录的深度挖掘和智能分析能力。

四、安全审计系统

下面简单介绍一下安全审计系统的功能。

1．日志收集子系统

不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成，也可以由应用系统或其他专用记录系统完成。一些系统调用Syslog或SNMP记录日志，而另一些系统采用自己定义的非标准协议来收集日志。

理想情况下，日志应该记录每一个可能的事件，以便分析发生的所有事件，并恢复任何时刻进行的历史情况。然而，这样做显然是不现实的，因为要记录每一个数据包、每一条命令和每一次存取操作，需要的存储量将远远超出系统承受能力，这将严重影响系统性能。因此，日志内容是有选择的。

一般情况下，日志记录的内容应该满足以下原则：

• 日志应该记录任何必要的事件，以检测已知的攻击模式。

• 日志应该记录任何必要的事件，以检测异常的攻击模式。

• 日志应该记录关于记录系统连续可靠工作的信息。

在这些原则的指导下，日志系统可根据安全要求的强度选择记录下列事件的部分或全部：

• 审计功能的启动和关闭。

• 使用身份鉴别机制。

• 将客体引入主体的地址空间。

• 删除客体。

• 管理员、安全员、审计员和一般操作人员的操作。

• 其他专门定义的可审计事件。

通常，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户(地址)、事件和源、目的位置、事件类型、事件成败等。

2．审计分析子系统

审计分析是审计系统的重要功能。通过日志分析，发现所需事件信息和规律。审计分析的主要内容如下：

• 潜在侵害分析。根据规则监控安全事件，并根据规则发现潜在的入侵。这种规则可以是由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合。

• 基于异常检测的轮廓。确定用户正常行为的轮廓，当日志中的事件违反正常访问行为的轮廓，或超出正常轮廓一定的门限时，能指出将要发生的威胁。

• 简单攻击探测。对重大威胁事件的特征有明确的描述，当这些攻击现象出现时，能及时指出。

• 复杂攻击探测。日志分析系统还应能检测到多步入侵序列，当攻击序列出现时，能预测其发生的步骤。

3．审计跟踪子系统

审计跟踪子系统功能包括：个人职责、事件重建、入侵检测和故障分析。

• 个人职责（individual accountability）

审计跟踪可以用于检查和检测用户个人的活动。如果用户个人知道自己的行为被记录、需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。例如；审计跟踪可以记录改动前和改动后的记录，以确定是哪个操作者在什么时候做了哪些实际的改动，这可以帮助管理层确定错误到底是由用户、操作系统、应用软件还是由其他因素造成的。允许用户访问特定资源意味着用户要通过访问控制和授权实现他们的访问，被授权的访问有可能会被滥用，导致敏感信息的扩散，当无法阻止用户通过其合法身份访问资源时，审计跟踪就能发挥作用。

• 事件重建（reconstruction of events）

当问题发生时，审计跟踪可以用于重建事件和数据恢复。通过系统活动的审计跟踪可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。通过对审计跟踪的分析就可以重建系统和协助恢复数据文件；同时，还有可能避免下次发生此类故障的情况。

• 入侵检测（intrusion detection）

跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析，就可以实时发现或过后追查入侵检测活动。实时入侵检测可以及时发现非法授权者对系统的非法访问，也可以探测到病毒扩散和网络攻击。

• 故障分析（problem analysis）

审计跟踪可以用于实时审计或监控。

4．自身安全性保障子系统

由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。

1）查询安全

审计事件的查阅应该受到严格的限制，不能篡改日志。通常，通过以下不同的层次的措施，保证审计系统自身的安全。一是审计查阅，审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能；二是有限审计查阅，审计系统只能提供对内容的读权限，因此应拒绝具有读以外权限的用户访问审计系统；三是可选审计查阅，在有限审计查阅的基础上限制查阅的范围。

2）存储安全

审计事件的存储也有安全要求，具体有如下几种情况：一是受保护的审计踪迹存储，即要求存储系统对日志事件具有保护功能，防止未授权的修改和删除，并具有检测修改删除的能力；二是审计数据的可用性保证，在审计存储系统遭受意外时，能防止或检测审计记录的修改，在存储介质存满或存储失败时，能确保记录不被破坏；三是防止审计数据丢失，应采取相应的措施防止数据丢失，例如当存储空间受限时，可采取的措施可以是忽略可审计事件、只记录特殊事件、覆盖以前记录、停止工作等。

五、一个安全审计系统的实例—中软内安全监控和审计系统UEM

中软统一终端安全管理系统UEM，在一定程度上，是内网安全审计与监控于一体的综合的内网安全管理系统，对内网里发生的各种行为和内容变化进行监控、管理和审计。

UEM集中统计、显示和分析各种受监控的用户行为日志、违规操作报警日志、主机状态日志、以及UEM系统用户的操作日志等。集中统计、显示和分析客户端程序安装情况以及客户端主机应用的在线和离线策略。在多级服务器部署下，支持下级服务器警报、软硬件资产的统计数据报表的定时上传和集中显示，统计数据报表上传的频率可通过上级服务器定义。支持数据表、直方图、饼图等多种形式的用户自定义报表，以及级联警报的趋势分析等。

UEM的审计功能是通过三个组件协同工作来实现的：客户端、服务器和控制台。系统采用分布式监控，集中式管理的工作模式。组件之间采用C/S工作模式，组件的通信是采用HTTP/HTTPS加密传输方式。支持任意层级的服务器级联，上下级服务器之间采用HTTPS协议进行数据交换。体系结构如图 1 所示。

图 1 UEM在一定意义上是内网安全审计和监控系统

• 客户端：按照安全策略，负责日志收集。它是安装在受保护的终端计算机上的软件，实时监测客户端的用户行为和安全状态。除了收集日志，客户端程序还实现了终端安全策略管理，一旦发现用户的违规行为或计算机的安全状态异常，及时向服务器发送告警信息，并执行预定义的应急响应策略。

• 服务器：实现客户端策略的存储和下发、日志的收集和存储，并保证策略和日志的安全。它是安装在专业服务器上的软件，需要强大的数据库支持。通过安全认证建立与多个客户端系统的连接。上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据的搜集。

• 控制台：是实现日志分析和审计跟踪的人机交互界面，是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。

针对邮件的安全，中软UEM将在今后的发展中，考虑增加邮件审计和取证能力。企业用户的邮件使用每年呈25－40%的增长趋势，平均每个用户每天接收和发送邮件几十封，邮件成为企业重要的信息资源。邮件审计和取证系统应允许系统管理员对邮件系统的运行特征有清晰了解、清晰定位并追踪企业的每一封邮件，为责任追踪提供有力证据。

具体来讲，邮件审计和取证系统的技术特征和它能带来的好处包括：

l 追踪功能，管理员可以快速追踪每条邮件，包括邮件的源和目的；

l 取证功能，对于用户违规、违法行为，提供有效证据；

l 过滤功能，定位所有与某一事件相关联的邮件，或通过设定策略直接定位某一类的违规邮件；

l 备份功能，帮助用户恢复误删除或丢失的邮件；

l 趋势分析，图像化展示邮件的来往趋势，其粒度可以从部门到个人。

六、结语

安全审计是个范围宽泛的话题，它不仅包括主机或终端行为的审计，也包括业务系统审计、服务器审计、网络审计、设备审计、数据库审计等。如下表所示：

表一，审计对象范围和审计内容

被审计资源	安全审计内容
网络通信系统	网络流量中典型协议分析、识别、判断和记录，Telnet、HTTP、Email、FTP、网上聊天、文件共享等的检测，流量监测以及对异常流量的识别和报警、网络设备运行的监测等。
重要服务器操作系统	系统启动、运行情况，管理员登录、操作情况，系统配置更改(如注册表、配置文件、用户系统等)以及病毒或蠕虫感染、资源消耗情况的审计，硬盘、CPU、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等。
重要服务器应用平台软件	重要应用平台进程的运行、Web Server、Mail Server、Lotus、Exchange Server、中间件系统、健康状况(响应时间等)等。
重要数据库操作	数据库进程运转情况、绕过应用软件直接操作数据库的违规访问行为、对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等的审计。
重要应用系统	办公自动化系统、公文流转和操作、网页完整性、相关业务系统（包括业务系统正常运转情况、用户开设/中止等重要操作、授权更改操作、数据提交/处理/访问/发布操作、业务流程等内容）等。
重要网络区域的客户机	病毒感染情况、通过网络进行的文件共享操作、文件拷贝/打印操作、通过Modem擅自连接外网的情况、非业务异常软件的安装和运行等的审计

总而言之，信息安全不仅涉及到企业的经济利益，更涉及国家安危。因此，我们认为加大力度，开发符合规范的网络安全审计系统，对于国家各项政策的落实，防范信息安全事故的发生，追究信息安全责任，具有重要的意义，具有良好的社会经济效益。

2009年11月24日星期二