信息網絡中安全審計與監控系統的設計與應用

張 哲

（南陽師范學院軟件學院，河南 南陽 473061）

隨著計算機技術、信息技術不斷推陳出新，各類威脅到網絡信息安全的因素越來越多，雖然防火墻與外部檢測技術等能夠在某種程度上防止網絡的外部入侵，保護數據信息不受侵犯［1］。但也會因入侵技術的更新和漏洞的長期存在而無法徹底保障網絡處于安全狀態。因此，在現有技術的基礎上，通過引入安全審計系統對用戶的網絡行為加以記錄，對網絡安全隱患給出評判具有重要的現實意義。

1 網絡安全審計的必要性

1.1 提高企業數據安全管理績效

近年來，我國信息化程度不斷加深，尤其新媒體技術和自媒體技術的出現，企業信息的網絡化、無邊界化趨勢越來越明顯，也使得網絡信息安全問題不斷突顯。在這種情況下，無論是企業本身還是參與網絡信息提供和維護的第三方，在端口和信息通道內都加強了對信息安全策略的部署，無論是信息的控制還是數據的授權，都在大量管理制度和規則下運行。即便如此，與網絡信息安全相關的各類故障還是不斷出現，甚至會給企業的網絡運營和實際經營都造成了消極影響。但是，當我們對信息安全漏洞進行分析和查驗時發現，一些嚴重的信息安全問題之所以會由于不合規、不合法而給利益相關者造成經濟損失，其中一個重要原因便是一些內部“合法”用戶的“非法”操作。這是因為，對于一般的網絡信息或者數據，借助防火墻、防病毒軟件、反入侵系統等都能夠解決，在一定程度上能夠保證信息安全?？墒且坏﹥炔咳藛T在缺乏監管的情況下進行違規操作，就會使在信息外部建立起來的防線無能為力［2］。一項最新的調查顯示，企業內部人員是對企業網絡信息進行攻擊最為嚴重也最難防范的。在這種情況下，亟須提高企業的內部審計能力，對內部用戶的誤用、濫用信息行為進行審計和監管，對那些可能或者已經造成各種安全事故的人員，在要求其協助網管人員找出原因外，還對其按照相關法律法規進行嚴肅處理，以杜絕此類事件再次發生。

1.2 提高網絡運維績效

當前，在網絡環境中構建統一的安全審計平臺，提高網絡運維績效，是十分必要的。在這一平臺之上，能夠對重要設備系統的安全信息進行統一監管，以便能夠在海量數據中挖掘出有價值的信息，使信息的獲取和使用更加有效?？梢姡岣呔W絡信息的可靠性和真實性，借助網絡信息安全審計提供網絡運維管理績效，是網絡化運營需要認真思考的問題［3］。實際上，信息的安全防御是信息安全審計的一種，都是要在信息生產的源頭對其進行管理和監控，并對可能對信息安全造成威脅的因素加以防范。而即便在信息源頭未能做到完全的安全防范，在事后也可以借助各種技術手段及時分析安全防御系統中可能存在的各類漏洞。甚至能夠在安全防御的過程中，對非法操作行為和動作進行還原，使違法、違規用戶的不當操作暴露出來，為認定其非法行為提供真實有效的客觀證據。因此，對網絡信息進行安全審計是一項復雜的系統工程，不但要規范網絡、主機以及數據庫的訪問行為，還要對用戶的使用習慣、信息內容形成和改變進行監控和審計，以便有效地完成對各類信息的監管，提高信息質量，為企事業單位的信息運用和網絡運營提供安全保障。

1.3 提高網絡信息安全性

在網絡空間中，有以下安全問題值得用戶關注并予以重視：①通過訪問控制機制強化對網絡信息進行安全審計和信息監控是十分必要的，這種做法不但能提高網絡信息的安全性，還能在訪問控制的作用下，限制外來用戶對關鍵資源的訪問，以保證非法用戶對信息或數據的入侵，同時也能對合法用戶的行為進行規范，防止因操作不當而造成破壞［4］。需要注意的，訪問控制系統不但界定了訪問主體還界定了訪問，其目的在于檢測與防止系統中的非法訪問。而借助對訪問控制機制的管理和設計，能在很大程度上實現對網絡信息的安全審計，使網絡信息處在安全狀態；②雖然網絡是開放的，但網絡數據卻具有私有性，只有在被授權的情況下才能讓非用戶或者原始使用者訪問，否則將被控制在不可見的范圍。為了實現這一點，就需要進行網絡安全管理，包括網絡安全審計，通過信息加密，比如加密關鍵字或者授權機制、訪問控制等。為了提高網絡信息安全水平，還要維護與檢查安全日志；③提高網絡信息安全性，為社會組織的網絡化行為提供安全保障，除了要對現實中傳輸的信息進行安全審查外，對網絡中傳輸的信息也要進行安全審計，通過對網絡操作行為的監控，評判信息的安全等級，有針對性地對網絡加以控制。

2 信息時代網絡安全審計的關鍵技術與監控范疇

在網絡信息安全審計的過程中，為了最大限度地提高審計效果，不但需要借助多種信息、網絡和計算機技術，還應進一步界定網絡審計的監控范圍，使網絡信息安全審計能夠在更為廣闊的領域得到應用。

2.1 網絡安全審計的關鍵技術

在前文的分析中可知，在當前網絡環境中，網絡信息安全的直接威脅主要來自網絡內部，要建立切實有效的監督體制，對有破壞信息安全傾向的員工進行監督，以保障信息安全。為了實現這個目標，除了要在制度上加以制約外，還應借助以下網絡安全審計技術：①基于代理的網絡安全審計技術。借助該技術構建起來的信息安全系統以網絡主機為載體，以分布式方式運行。這一技術雖然能夠很好地防范信息安全威脅，但是由于監視器是這一信息系統的核心模塊，需要高度保護，一旦出現故障，就會引發其他轉發器都陷入被動境地，無法正常提交結果；②基于數據挖掘的網絡安全審計技術。數據挖掘是近幾年被廣泛采用的信息安全技術，以此為基礎建立起來的網絡安全審計系統能夠借助數據挖掘技術或者大數據技術，以大量日志行為為樣本，對數據中體現出來的行為進行描述、判斷與比較，特征模型，并最終對用戶行為特征和行為結果進行界定；③基于神經網絡的審計技術。神經網絡是計算機應用領域中廣泛采用的技術，該關鍵技術的使用能夠改變網絡單元狀態，使連接權值處在動態之中，一旦加入一個連接或者移去一個連接，就能夠向管理者指示出現了事件異常，需要果斷采取行動保證信息安全。單純使用該技術所產生的作用是十分有限的。一般情況下，要將多種技術配合使用，以便能對出現的異常情況做出解釋，這對確認用戶或者事故責任人是有明顯幫助的；④借助專家系統構建的網絡安全審計技術。該技術較于其他技術能夠將信息系統的控制推理獨立出來，使問題的解決能夠借助輸入的信息。為了評估這些事實，在運行審計系統之前，需要編寫規則代碼，而這也恰是能夠有效防范網絡信息安全威脅的有效手段。

2.2 網絡信息安全審計的監控范疇

2.2.1 信息安全審計方法。經驗表明，一些網絡信息安全審計系統可以借助遠程登錄完成對服務器的管理和對應用系統、數據庫系統的記錄等，用戶的操作行為和操作習慣會在服務器上留下痕跡。該類安全審計一般要按照以下步驟進行：采集對被審計單位的相關信息數據，以保證數據的全面性與完整性；對采集到的數據信息進行綜合分析與處理，使之能夠轉換成對于審計工作對應的數據形式；借助計算機審計軟件完成對審計數據的復核。按照業內的經驗，在網絡信息安全審計的設計過程中，需要將數據采集環節作為整個審計工作的前提與基礎，是其中的核心環節，否則，將無法保證數據的完整性、全面性和準確性以及及時性，后面的審計工作也就無法正常開展。一般而言，借助互聯網進行審計數據的采集主要有直接讀取數據和記住數據庫連接件讀取兩種方式，它們之間具有相似性。按照這兩種方式完成數據采集，一旦其中一方數據的存儲格式改變，就應及時對數據采集全部存儲格式進行調整。這樣就會導致數據采集效率和效果受到影響，降低信息安全審計的靈活性。因此，在實際操作中，要保證數據存儲格式的一致性，防止審計低效。

2.2.2 信息安全審計設備。在網絡信息安全審計中，只要將需要管理的網絡設備（比如出口路由器、核心交換機、匯聚交換機與接入交換機等）添加到相關安全審計系統之中，就能夠獲得發送過來的SNMP數據包。隨后，信息安全審計系統就會對數據包依據事件的等級和重要性予以分類，以便在后續的查詢和使用中更加方便。實際上，網絡的信息安全設備種類繁多，具體操作方法也大同小異。只要按照不同廠商設備的設置步驟和原則，開啟對應的SNMP功能之后，將相關設備添加到網絡中安全審計系統之后，就能夠進行相關操作。當然，在這一過程中，要對串聯在網絡中的設備予以重點關注，要保證甚至能夠允許SNMP數據包通過。由此可以看出，借助安全設備實現對網絡信息的監控和審計，能夠為網絡信息安全提供必要保障。當然，由于監控信息會不斷更新，加之由于海量數據造成的壓力，要依照實際需求確定監控信息可以被記錄，以便能夠縮小記錄范圍，為信息安全審計提供更有價值、更具針對性的數據。

2.2.3 信息安全審計流程。通過指派權限，設備管理員能夠更為直觀和真實地了解對應設備的操作過程。如果在這一過程中出現了故障，可以對應地分析和查找問題，找到解決問題的途徑。此外，網絡信息系統的類別較多，以不同平臺或者中間件定制開發的系統也不盡相同。在這種情況下，就需要以信息手冊為藍本，在與開發人員進行溝通之后，確定開放日志接口，并將其納入到網絡信息安全審計的范疇。

3 網絡信息安全審計監控系統的設計與應用

3.1 網絡信息安全審計系統的運行設計

當前，網絡信息安全審計系統經常使用兩個端口，其主要任務便是對聯入局域網系統的核心部位交換機與服務器進行數據和信息交換。而為了更好地收集與存放信息安全審計數據，無論是系統日志還是安全審計系統的安全管控中心，都要設在同一服務器之上。這樣一來，基于網絡的信息安全審計系統就能夠在搜集安全審計系統內部數據的同時，按照要求從相關子系統模塊中獲取數據，以保證各個系統內的信息實現共享，提高信息安全審計的效率。具體審計運行范式如圖1所示。

3.2 網絡信息安全審計系統的實現

圖1 網絡信息安全審計運行范式

網絡信息安全審計系統不但是一個能夠幫助企業完成內部經濟管理與效益控制的系統，社會組織還能借助網絡安全監控體系，實現對網絡操作對象的實時監控，保證網絡操作中相關文件與數據的安全。這一審計系統的工作原理為：①借助網絡文件監控能夠實現消息的安全傳遞，借助標簽維護可實現對安全標簽的及時、正確處理；②借助多線程技術，構建網絡信息安全監控系統的驅動程序消息控制模塊，實現對驅動程序的全程監視，并保證信息接收與發送過程處在安全保護之中；③借助系統程序中的文件對用戶進程中的相關文件操作予以過濾、監視和攔截，以保證網絡數據訪問處在全面審核與嚴格控制之中，使網絡環境中文件的安全得到保障。

3.3 網絡信息安全審計系統的實際應用

通常而言，網絡信息安全審計系統的實際應用需要在動態管理的狀態下進行。只有這樣，才能在投入使用之后，完全、精準地記錄用戶的網上操作行為，也能對數據庫服務器的運行予以全面監控。比如，一旦企業員工通過“合法手段”對業務系統的安全性造成了威脅，那么這類“非法操作”等網絡行為就會被記錄和禁止。這是因為用戶的相關行為能夠映射到網絡信息安全審計系統之中，管理者能夠借此對用戶信息和相關操作進行快速定位，在極短的時間內就能夠查出事故責任人，為信息安全運行和非法行為的處置都提供極大便利。此外，基于先進技術建立起來的網絡信息安全審計系統，還可以在全局層面上監視網絡安全狀況，對出現的任何問題都能夠予以有效把控，對那些可能造成企業重大變故或者機密、核心信息的外泄行為，能夠借助網絡信息實時動態監控系統做出積極反應。

［1］付曉坤.網絡安全審計技術的運用［J］.中國水運，2013（9）：50-51.

［2］張文穎.探討網絡安全中安全審計與監控系統的設計與實現［J］.電腦知識與技術，2013（16）：37-38.

［3］伍閩敏.建設企業計算機網絡安全審計系統的必要性及其技術要求［J］.信息安全與技術，2011（12）：34-36.

［4］劉慧蓉.網絡安全審計系統的應用研究［J］.中國教育技術裝備，2013（6）：28-29.