多信息化系统环境下安全审计手段研究

　［摘要］ 多信息化系统环境下如何做好对系统的安全审计是近期安全审计的一个热点问题。本文对目前信息化环境下的安全审计方式进行了概要描述、分析了各自特点，最后提出了一种在异构性的多信息化系统环境下的有效审计架构。
　　［关键词］ 安全审计；审计手段；异构环境审计
　　　
　　０引言
　　
　　随着社会信息化程度的加深，各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统，往往一个企业的信息化系统就多达十余个，在这种复杂的多系统条件下，如何实现细粒度的精准安全审计已成为审计领域一个热点问题。
　　 本文首先对目前信息化环境下的细粒度安全审计进行了概要描述，接下来详细分析了各种安全审计方法特点，最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
　　
　　１信息系统安全审计简介
　　
　　１．１ 信息系统安全审计定义
　　信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析；审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责；主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等［１］。
　　１．２ 信息系统主要安全审计手段
　　对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现：
　　（１）基础日志层面审计：对信息化系统的基础ＩＴ支撑硬件环境内设备的自身日志进行分析的手段。
　　（2）网络层面审计：通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
　　（3）业务层面审计：对信息化系统中业务操作行为日志进行记录审计的手段。
　　（4）敏感数据专项审计：针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
　　
　　２安全审计技术特点分析
　　
　　２．１ 概述
　　基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是４种比较典型的对信息化系统的审计手段，本文将对各种审计手段的特点进行分析。
　　２．２安全审计手段特点分析
　　２．２．１基础层面日志审计
　　基础层面日志审计面向ＩＴ支撑系统中的设备层面，是安全审计的基础手段之一，通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析，可对目前设备的自身安全运行状态得出基础判断。
　　２．２．２网络层面审计
　　网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中，主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流［２］。
　　２．２．３业务层面审计
　　业务层面审计需依赖于良好的业务梳理，形成业务合规操作定义。进行业务审计前，需对信息化系统中业务操作进行日志记录，结合合规操作定义进行比对审计。
　　２．２．４ 敏感数据专项审计
　　信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据，这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容，针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
　　
　　３安全审计手段整合技术
　　
　　用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计，但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联，必然耗费较大的人力且容易出现审计风险［３］。为避免上述问题，本文综合现有安全审计需求，提出如图１所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台，由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块（分为网络类与设备类及业务数据类两种），由分析模块根据自己的审计策略进行关联分析，最后将各自模块处理后的数据送入综合审计平台，由综合审计平台对各层面日志进行关联化的综合审计。