移動應用的安全審計機制研究

方圓　蔣明　蔡夢臣　張亮

摘 要：安全審計作為安全系統(tǒng)中的一個必備安全措施，與其他安全管理之間是存在密切的關聯(lián)。但是就其自身而言，其又具有不同于其他安全措施的獨特性。本文分別通過建立移動平臺和移動終端安全審計機制，能夠增強電力企業(yè)對故障、風險的預警能力和監(jiān)控能力，也能夠為防護體系和企業(yè)的內(nèi)部管理體系提供客觀、有效的改進依據(jù)。

關鍵詞：移動平臺；移動終端；安全審計

中圖分類號：TP309 文獻標識碼：A 文章編號：1671-2064（2018）13-0039-01

電力系統(tǒng)經(jīng)過多年對信息系統(tǒng)的大力建設，已經(jīng)形成了覆蓋企業(yè)經(jīng)營、生產(chǎn)、管理諸方面的綜合管理信息系統(tǒng)。電力系統(tǒng)信息安全已經(jīng)成為電力企業(yè)生產(chǎn)、經(jīng)營和管理的重要組成部分。信息系統(tǒng)的安全、穩(wěn)定運行是企業(yè)正常業(yè)務開展的基礎，也是涉及到社會穩(wěn)定、經(jīng)濟發(fā)展的大問題。

1 安全審計機制

安全審計作為安全系統(tǒng)中的一個必備安全措施，與其他安全管理之間是存在密切的關聯(lián)。但是就其自身而言，其又具有不同于其他安全措施的獨特性。具體表現(xiàn)在兩個方面：一是安全審計作為其他安全措施的補充，與系統(tǒng)其他安全管理之間協(xié)同合作，為整個系統(tǒng)的安全提供保障；二是安全審計作為系統(tǒng)各種安全措施的審計，即審計的審計；因此決定了安全審計需要保持一定的獨立性。但是就安全審計本身來說主要涵蓋兩個方面：第一安全審計主要是指對特定階段，對系統(tǒng)的安全防護能力做出評估，目的是對系統(tǒng)的安全現(xiàn)狀提供一個合理的評價。對系統(tǒng)內(nèi)部是的各種安全措施、安全管理判斷是否合適、有效；第二指在整個系統(tǒng)的生命管理過程中，對系統(tǒng)進行一種全生命周期的審計跟蹤監(jiān)控過程，其主要目的是及時發(fā)現(xiàn)、記錄危害系統(tǒng)安全的事故、事件，并查明相關事件發(fā)生的內(nèi)在原因。

2 移動應用的安全審計機制

2.1 移動平臺中的安全審計機制

隨著智能電網(wǎng)、業(yè)務網(wǎng)及各支撐系統(tǒng)的不斷發(fā)展，各類設備產(chǎn)生的日志信息也越來越多。為了更好的對移動平臺進行管理，提高移動平臺安全性，以滿足審計要求，需要建立統(tǒng)一的日志集中管理與審計系統(tǒng)。移動平臺日志集中管理與審計需求主要包括：

（1）全面的日志采集需求：根據(jù)智能電網(wǎng)、業(yè)務網(wǎng)和各支撐系統(tǒng)中的主機、網(wǎng)絡設備、應用系統(tǒng)類型和網(wǎng)絡分布，采取基于各設備自身產(chǎn)生的日志文件的本地型日志采集方式和基于網(wǎng)絡流量抓取的網(wǎng)絡型日志采集方式，對全網(wǎng)設備、應用以及網(wǎng)絡中的各類操作進行全面的日志采集。

（2）審計記錄的規(guī)范化需求：由于全網(wǎng)設備種類繁多，各設備日志信息存儲格式、字段含義、通信協(xié)議差異較大。需要對采集到的各種設備日志進行歸一化處理，提取審計記錄完整信息，為后續(xù)審計分析提供依據(jù)。

（3）本地型日志審計與網(wǎng)絡型日志審計相結合的審計體：本地型日志，主要采用設備自身能力，記錄較為詳細的本地操作，各設備提供商可以更好地理解、確定重要操作類型、重要操作指令和關鍵詞等，然后通過多種采集機制匯總到日志集中管理與審計系統(tǒng)，但缺點是開啟數(shù)據(jù)庫審計等功能，會導致系統(tǒng)性能快速下降，尤其不適合于已建系統(tǒng)的審計；網(wǎng)絡型日志則通過網(wǎng)絡旁路抓包的方式獲取網(wǎng)絡操作，較適應于標準指令如telnet、SQL的審計，不會影響所審計的系統(tǒng)性能，但難以識別非標準應用軟件層面的關鍵操作。兩者互補、結合，構成移動平臺的審計體系。

（4）多維關聯(lián)分析需求：對于來自各個資源的日志信息，提供多維的關聯(lián)分析功能。面向系統(tǒng)用戶，將一個用戶在多個設備上的操作進行橫向關聯(lián)分析，形成以用戶為主題的操作行為審計；面向特定安全事件，對于發(fā)生在多個設備上的事件痕跡進行關聯(lián)分析，形成一個完整的事件相關操作過程的審計；從設備角度，形成本設備全部訪問情況的安全審計報告。

2.2 移動終端中的安全審計機制

審計系統(tǒng)為移動終端中的用戶行為或系統(tǒng)行為生成相應的記錄，記錄相關狀態(tài)，稱之為審計狀態(tài)。移動終端的審計可分為數(shù)據(jù)采集，審計分析，異常處理幾大部分。

（1）數(shù)據(jù)采集。移動終端可以通過讀取操作系統(tǒng)的日志文件，記錄用戶的操作行為，以及收集應用軟件的業(yè)務數(shù)據(jù)等方式進行采集數(shù)據(jù)。

（2）審計分析。審計分析是通過對采集的數(shù)據(jù)進行有效地處理，經(jīng)過一定的分析判斷當前狀態(tài)是否正常。審計分析常用的手段是使用模式匹配算法進行數(shù)據(jù)分析。模式匹配算法是將釆集到的數(shù)據(jù)信息與提前設定好的安全規(guī)則進行比較，檢測出違反安全規(guī)則的行為和內(nèi)容，模式匹配算法包括單模式匹配算法和多模式匹配算法兩種。單模式匹配顧名思義就是一次只能在文本串中匹配一個模式串，單模式匹配算法按搜索方式可以分為基于前綴搜索的方法、基于后綴搜索的方法和基于子串搜索的方法三種。多模式匹配算法區(qū)別于單模式匹配的就是可以在文本串中同時進行多個模式串匹配。

（3）異常處理。經(jīng)過審計分析后，一旦判斷異常出現(xiàn)，就必須立刻采用有效手段去控制并解決異常，避免安全問題進一步擴大。通常的處理方式是通過沙箱隔離異常源，監(jiān)控異常源的行為，對異常源的行為進行觀察，一旦異常源有明確的破壞行為就立即清除。

3 結語

綜上所述，一個完整電力安全保障體系，主要由安全預警、以及相應的監(jiān)控、響應等多個部分所組成。安全審計作為整個系統(tǒng)特別是安全監(jiān)控及預警的重要組成部分，加強安全審計的建設管理，有助于極大的提升電力企業(yè)應對網(wǎng)絡風險的能力；同時也可為企業(yè)內(nèi)部的管理提供重要改進依據(jù)。