基于審計產品聯動技術構建重要信息系統監測體系

王大為

摘 ? 要：近年來，我國大力推進電子政務發展和行業信息化技術融合，以貫徹落實新時期推進治理能力現代化、互聯信息化的指導思想。現階段，政府部門及各大行業、企事業單位基本上都實現了核心業務的信息化，業務信息化體現了工作的信息化、資產的信息化乃至權力的信息化。由于利益關系驅動和信息網絡的監管脆弱性，重要信息系統的數據和操作安全受到了極大的威脅。文章將重點闡述利用審計產品結合大數據分析技術實現重要信息系統的安全監測體系構建方法。

關鍵詞：審計產品;大數據分析;重要信息系統;監測體系

1 ? ?信息化環境下的安全威脅

現階段，我國各政府部門及各大行業、企事業單位的主要業務基本上都實現了信息化，隨之產生了大量關乎國計民生的重要信息系統，系統中的核心數據因為具有重要的政治、經濟價值，成為違法分子千方百計竊取的目標，大量非法數據采集者為了獲取利益瘋狂竊取、倒賣個人信息乃至行業、國家信息。防止、制止以非法手段盜取、修改、刪除信息系統數據獲取經濟利益的違法犯罪行為發生，成為國家和各單位信息部門對信息安全審計監察工作的一個重要職責，對重要信息數據的限制使用、保密管理工作也成為現代組織面臨的重要挑戰之一。

2 ? ?信息系統的安全威脅分析

信息系統由于其本身是服務業務、處理數據的依托，需要對內部用戶開發業務處置、查詢和數據維護的功能。雖然很多單位在這個層面做了基于用戶類型的權限分配，但是也難以避免系統中存在權限較高，并能接觸到重要、全面信息數據的業務帳號的問題。此類帳號是威脅產生的關鍵點，是違規操作或利益驅動致使數據泄露、篡改、丟失的一大威脅源頭[1]。

為了方便服務大眾，我國大力推進信息化便民服務，將原本運行在單位內部的信息系統推向互聯網，隨之而來的是將可能遭到外部“黑客”的覬覦。網絡“黑客”能夠利用這些重要信息系統的技術漏洞，采用各種黑客手段獲得對信息系統的控制權，獲取系統數據或者操作系統進行數據篡改。現階段普遍還存在如下風險和威脅，具體如下：

（1）信息大集中、易泄露且影響大。現在大部分單位核心業務基本都已經進行了信息化處理，信息數據資源大集中，大力發展大數據挖掘等新技術，大量國家重要信息、專業情報、公民隱私信息都被集中存儲、處理。這些數據在沒有較強防護能力的系統中被存儲、運用，一旦信息遭到泄露，極易造成較大的社會影響，甚至危害到國家安全。

（2）技術能力難以應對安全監管要求。大部分需要依托外部力量，重要信息系統的開發基本都是委托外部專業軟件公司進行，基礎環境建設也基本上由具有多年相關行業集成經驗的集成商承建。無論是軟件的維護和安全管理，還是網絡和信息系統整體安全運維，大部分都是選擇服務外包。如此，雖然提高了管理的技術能力，但也需要承擔外部運維人員不可控的安全風險。

（3）雖然配備了大量的安全設備，但仍存在“信息孤島”。很多單位陸續針對應用系統的信息使用行為安全管理，增加了多種的管控、審計的技術手段，諸如配置安全審計系統、數據庫審計系統、堡壘機等設備，但此類設備都是針對某一方面進行檢測與審計的，獨立運行、自成系統，很難對發現的違規行為進行追溯、定位，更不能提前定位風險，審計類產品的部署形同虛設[2]。

3 ? ?構建重要信息系統監測體系的思路

對于各單位的重要信息系統，其對與系統使用行為、數據操作行為需要實現覆蓋系統全過程的行為采集。采集的內容包括3個層面：

首先，針對信息系統的應用，需要采集其應用運行的日志和用戶使用的日志，包括從用戶登陸系統開始，針對用戶ID、角色類型、所用主機信息、時間、調用模塊、使用的工作流、操作行為類型、操作內容、操作結果、系統處置響應等。

其次，針對信息系統的數據庫操作，需要采集其面向各應用或中間件提供數據服務所產生的日志，包括發出操作請求的中間件、操作時間、數據庫操作行為（select，update，insert，delete等）、存儲過程調用等。

最后，針對信息系統和其對應的數據庫運維操作，限制其維護的途徑僅是通過堡壘機的授權操作規范管理，再通過堡壘機對信息系統和數據庫的維護操作進行監控并采集生成的日志[3]。

只有對上述3個層面的信息采集進行統一規范，并通過技術手段將這些信息進行關聯、分析，才能真正實現信息系統操作行為的集中管理、分析和追溯審計，構建統一的監測體系。主要工作如下：

（1）擬定標準，包括重要信息系統監測體系對相關日志在記錄內容、記錄格式、存留時間等方面的規范，以及重要信息系統監測體系與各信息系統中各項應用之間的接口標準等。這些標準規范用于規范上述3個層面的日志記錄與存儲，確保了系統的一致性。

（2）構建系統，通過搭建一個對重要信息系統實現監測的軟件平臺，來提供各信息系統日志安全審計與監測的功能，即實現一個軟件系統能夠采集各信息系統各層面的日志數據，并對日志數據進行查詢、統計以及分析，達到對重要信息系統進行統一審計的目標。從技術上實現3個層面的關聯，利用大數據分析技術，結合數學算法形成技術工具，判斷威脅的追溯結果或提供風險預警。

（3）提供工具，通過現有審計產品的聯動，結合監測軟件系統，為重要信息系統的技術管理人員提供一套易于操作的技術工具，不但給技術管理人員提供發現風險的方法，也提供了追溯、處置威脅的工具。

4 ? ?體系架構及實現

嚴格依據國家網絡安全法、網絡安全等級保護制度等相關文件，擬定具備規范的技術體系框架和安全運行及管理保障體系框架的監測體系。系統本身安全性、穩定性極強，且需要具備面向不同廠商審計類設備兼容的強大能力和友好的接駁性。整個平臺架構組成分為：數據層（大數據）、操作層、應用層，并結合圖形展示技術和大數據分析技術自成體系。

4.1 ?核心技術聚類分析

利用大數據挖掘技術，將監測收集的3個層面整型后的日志數據塑造成一系列的“典型”或者“象征性”的抽象模型。圍繞日志數據給出的行為特征，通過添加各種關鍵屬性要素來對行為進行描述，形成算法模型的框架，并建立算法模型。

4.2 ?核心技術威脅分析

威脅分析是系統利用內置的大數據挖掘模型，對歷史日志數據給出的歷史規律進行分析，得到威脅行為的規律，并將當前日志數據與之進行實時比對，當不符合該規律時，給出預警提示。

根據業務特征建立異常操作模型，通過大量的歷史數據不斷訓練模型，用測試數據不斷調優，最后用于挖掘異常操作行為。

4.3 ?統一展示與安全處置

構建統一的監測體系，不僅是對監測日志層面進行技術上的整合，而且體現在運行管理方面。通過建立統一的展示形式，將從重要信息系統本身的行為日志和不同的審計類設備端收集而來的日志數據進行整合，形成從用戶登陸到最終數據庫操作完成的完整生命周期的操作記錄條目，最終通過統一展示的形式把這些操作展示在同一個界面圖形之中，實現操作行為的追根溯源。

5 ? ?結語

在各單位積極響應國家號召、利用互聯網和先進信息技術提供各種便民服務的同時，重要信息系統的安全威脅和風險在不斷地被放大，一旦發生數據泄露乃至數據篡改、丟失等情況，很難利用現有安全設備和技術手段進行及時、有效的處置。通過審計產品聯動和多源信息匯聚處理，將原來“各自為戰”的審計類產品進行聯動，并利用大數據和聚類分析等技術，將獲取的數據進行整合處理與聚類分析，進行威脅實時監測和風險預測，利用聚類模型和知識庫得到處置建議，通過技術手段發現安全隱患，并及時處置。

[參考文獻]

[1]劉以秦，周源，謝麗容.數據黑產調查[J].財經雜志，2015（5）：44-46.

[2]查成東，王長松，鞏憲鋒，等.基于改進K-均值聚類算法的背景提取方法[J].計算機工程與設計，2007（21）：5141-5143.

[3]佚名.安全監控與審計產品[J].保密科學技術，2014（9）：71.