淺析企業網絡的安全審計

徐琛

摘 要： 安全審計是涉密網絡安全管理工作的重要環節。本文就如何開展涉密網絡的安全審計工作進行了討論，并提出了涉密網絡安全審計的工作流程。

關鍵詞： 信息安全；涉密網絡；安全審計

1、引言

隨著涉密網絡的建成并在科研生產、科研管理、科研服務等方面的廣泛應用，作為涉密網絡安全管理重要環節之一的安全審計，其重要性已經被普遍認識。但是，面對一個運行中的涉密網絡，應該如何按照有關安全管理要求來開展安全審計工作（包括如何劃定審計范圍、確定審計重點、制訂審計策略、選擇審計手段及實施安全審計等）這個問題越來越受到人們關注。本文將就這個話題進行如下探討。

2、目的及意義

涉密網絡的安全目標是信息保護和系統保護。其中：信息保護是指保護網絡中的涉密信息的機密性、完整性、可用性和可控性；系統保護是指實現網絡系統運行的可靠性、完整性和可用性。對涉密網絡進行安全審計，一方面可輔助辨別分析網絡上未經授權的活動或攻擊，及時發現和防止網絡上非法行為，有效地保障系統運行安全可靠，從而達到信息保護和系統保護的目標；另一方面，通過安全審計可對網絡上相關設備的運行狀態進行了解，報告系統控制層面的相關信息，從而及時發現系統運行過程中存在的問題，為運行策略的維護提供依據。

3、相關要素分析

涉密網絡的安全審計并不是簡單地查看各種系統的審計日志也不僅僅是在網絡上配置入侵檢測系統或網絡審計系統。網絡安全審計已經從過去單一的查看系統日志記錄、配置檢測設備或審計設備，發展到全方位和多層次。因此，涉密網絡的安全審計應該考慮下面幾點：

3.1 安全審計力度應該符合國家的有關政策，規定涉密網絡系統的安全防護必須按最高密級進行防護，國家有關部門對不同防護級別的系統的安全審計，也相應做出了不同程度的規定。因此，涉密網絡的安全審計力度應該符合國家的有關政策規定。

3.2 安全審計制度應該與本單位的安全管理制度配套，安全審計是技術管理措施之一，安全審計制度的建立與執行，與本單位的安全管理制度的建立與執行力度密不可分。因此，在制訂審計制度的時候，一方面要考慮審計制度與安全管理制度的一致性，另一方面還應該充分考慮安全審計制度本身的可操作。

3.3 安全審計的范圍及重點確定應該符合安全策略，涉密網絡應分層次確定安全審計重點，審計策略的制訂要符合網絡的安全策略。網絡層面的審計要重視對網絡流量中典型協議分析、識別、判斷和記錄，特別是對異常流量的識別和報警、網絡設備運行的監測；對網絡上的非授權掃描及各種攻擊要進行及時的判別和行為跟蹤。

操作系統層面的審計重點應放在重要服務器主機操作系統和應用平臺軟件上。對操作系統的審計包括：系統啟動、運行情況、管理員登錄、系統配置更改（如注冊表、配置文件、用戶系統等）、用戶授權、操作系統安全日志、對重要文件的訪問以及感染病毒等情況；對應用平臺軟件如：重要應用平臺進程的運行、服務端口、數據庫系統及中間件系統等的審計。

應用系統層面的審計應包括辦公自動化系統、關鍵業務系統等的運行情況、用戶管理及系統授權、關鍵業務數據的備份情況等內容。

另外，對于重要網絡區域的客戶機的審計，包括通過網絡進行的文件發送操作、文件拷貝/打印操作、是否連接外網情況、非業務軟件或敏感軟件的安裝和運行、計算機病毒感染情況等內容。

3.4 安全審計工具的功能應該滿足審計的要求，涉密網絡安全審計的工具在選擇上首先應考慮審計工具的功能與網絡系統的防護級別所規定的審計強度相適應。另外，在不同層面，充分利用操作系統軟件、應用平臺軟件以及業務系統軟件本身所提供的審計功能和日志記錄等，可全方位、多層次地對網絡的安全狀況提出有效證據。

3.5 與安全審計相關的基礎信息的建立與維護，對網絡作安全審計首先應清楚網絡上存在的安全威脅、需要進行保護的對象、網絡劃分、IP規劃及分配、系統提供的正常服務及應用等情況。如果將與這些情況相關的信息定義為網絡的基礎信息，那么對于每一次安全審計來說，網絡基礎信息可作為對一些檢測信息或日志記錄中被定義為異常信息進行判斷的依據。因此，準確建立并維護涉密網絡的基礎信息非常重要。關鍵基礎信息如下：

3.5.1 網絡的拓撲結構圖；

3.5.2 網絡服務器及客戶機的地址分配表；

3.5.3 網絡服務器提供的服務；

3.5.4 業務系統需要開啟的服務、端口；

3.5.5 網絡服務器管理人員列表；

3.5.6 業務系統的管理員及用戶列表；

3.5.7 重要服務器面向的服務對象（客戶機或用戶）列表；

3.5.8 常見異常信息統計表等。

3.6 涉密網絡安全審計的工作流程

3.6.1 根據安全策略，明確審計要求；

3.6.2 根據審計要求制訂審計策略，部署及配置審計系統；

3.6.3 收集審計事件，產生審記記錄；

3.6.4 針對表現為異常情況的記錄進行運行安全分析，包括安全事件定性與定位、安全事件的原因分析及影響分析等；

3.6.5 產生網絡安全審計報告、提出問題的處理意見或改進建議。

上述步驟敘述了一次安全審計流程，其示意圖如下。

由于涉密網絡的安全審計是一項長期的和有計劃的工作，每一次審計的完成，就有可能對現有的審計策略、審計計劃部署、以及網絡各層面的基礎信息等提出更新和維護要求。而這種更新和維護對下一次安全審計工作的進行具有重要的意義。

3.7 安全審計人員的相關要求，由于涉密網絡安全審計與網絡的規模、網絡服務的提供、通過網絡處理關鍵業務的需求量等有直接的關系，因此審計人員隊伍的建立與穩定具有必要性。承擔涉密網絡安全審計的人員還應具有必要的專業技術知識與技能；而且還應通過相應的職業繼續教育來保證保持安全審計人員的技術勝任能力。此外，安全審計人員的崗位設置，須按照關鍵崗位職責分離原則，安全審計員應保持與系統管理員崗位職責的距離，從而保證安全審計的獨立性。

4、結語

涉密網絡的安全審計，主要是通過審查管理人員和用戶對網絡、服務器及關鍵應用等的使用和操作的記錄，從中尋找和發現網絡設備存在的異常、網絡服務存在的異常、網絡應用存在的異常以及網絡用戶的異常操作行為等，進而為網絡安全問題的確定、安全事件的調查和處理即應急響應提供重要證據和支持。因此，安全審計對于實施網絡的安全管理、提高網絡的安全性、逐步實現涉密網絡的安全目標等，具有重要的作用和意義。

參考文獻

[1]《國家信息安全報告》張春江倪健民主編人民出版社.

[2]《信息安全工程與管理》中國信息安全產品測評認證中心編著人民郵電出版社.

[3]《企業信息系統安全— 威脅與對策》林東岱曹天杰等編著電子工業出版社.

[4] XX單位《計算機信息安全策略》（內部文件）.