淺析企業(yè)網(wǎng)絡的安全審計

徐琛

摘 要： 安全審計是涉密網(wǎng)絡安全管理工作的重要環(huán)節(jié)。本文就如何開展涉密網(wǎng)絡的安全審計工作進行了討論，并提出了涉密網(wǎng)絡安全審計的工作流程。

關(guān)鍵詞： 信息安全；涉密網(wǎng)絡；安全審計

1、引言

隨著涉密網(wǎng)絡的建成并在科研生產(chǎn)、科研管理、科研服務等方面的廣泛應用，作為涉密網(wǎng)絡安全管理重要環(huán)節(jié)之一的安全審計，其重要性已經(jīng)被普遍認識。但是，面對一個運行中的涉密網(wǎng)絡，應該如何按照有關(guān)安全管理要求來開展安全審計工作（包括如何劃定審計范圍、確定審計重點、制訂審計策略、選擇審計手段及實施安全審計等）這個問題越來越受到人們關(guān)注。本文將就這個話題進行如下探討。

2、目的及意義

涉密網(wǎng)絡的安全目標是信息保護和系統(tǒng)保護。其中：信息保護是指保護網(wǎng)絡中的涉密信息的機密性、完整性、可用性和可控性；系統(tǒng)保護是指實現(xiàn)網(wǎng)絡系統(tǒng)運行的可靠性、完整性和可用性。對涉密網(wǎng)絡進行安全審計，一方面可輔助辨別分析網(wǎng)絡上未經(jīng)授權(quán)的活動或攻擊，及時發(fā)現(xiàn)和防止網(wǎng)絡上非法行為，有效地保障系統(tǒng)運行安全可靠，從而達到信息保護和系統(tǒng)保護的目標；另一方面，通過安全審計可對網(wǎng)絡上相關(guān)設備的運行狀態(tài)進行了解，報告系統(tǒng)控制層面的相關(guān)信息，從而及時發(fā)現(xiàn)系統(tǒng)運行過程中存在的問題，為運行策略的維護提供依據(jù)。

3、相關(guān)要素分析

涉密網(wǎng)絡的安全審計并不是簡單地查看各種系統(tǒng)的審計日志也不僅僅是在網(wǎng)絡上配置入侵檢測系統(tǒng)或網(wǎng)絡審計系統(tǒng)。網(wǎng)絡安全審計已經(jīng)從過去單一的查看系統(tǒng)日志記錄、配置檢測設備或?qū)徲嬙O備，發(fā)展到全方位和多層次。因此，涉密網(wǎng)絡的安全審計應該考慮下面幾點：

3.1 安全審計力度應該符合國家的有關(guān)政策，規(guī)定涉密網(wǎng)絡系統(tǒng)的安全防護必須按最高密級進行防護，國家有關(guān)部門對不同防護級別的系統(tǒng)的安全審計，也相應做出了不同程度的規(guī)定。因此，涉密網(wǎng)絡的安全審計力度應該符合國家的有關(guān)政策規(guī)定。

3.2 安全審計制度應該與本單位的安全管理制度配套，安全審計是技術(shù)管理措施之一，安全審計制度的建立與執(zhí)行，與本單位的安全管理制度的建立與執(zhí)行力度密不可分。因此，在制訂審計制度的時候，一方面要考慮審計制度與安全管理制度的一致性，另一方面還應該充分考慮安全審計制度本身的可操作。

3.3 安全審計的范圍及重點確定應該符合安全策略，涉密網(wǎng)絡應分層次確定安全審計重點，審計策略的制訂要符合網(wǎng)絡的安全策略。網(wǎng)絡層面的審計要重視對網(wǎng)絡流量中典型協(xié)議分析、識別、判斷和記錄，特別是對異常流量的識別和報警、網(wǎng)絡設備運行的監(jiān)測；對網(wǎng)絡上的非授權(quán)掃描及各種攻擊要進行及時的判別和行為跟蹤。

操作系統(tǒng)層面的審計重點應放在重要服務器主機操作系統(tǒng)和應用平臺軟件上。對操作系統(tǒng)的審計包括：系統(tǒng)啟動、運行情況、管理員登錄、系統(tǒng)配置更改（如注冊表、配置文件、用戶系統(tǒng)等）、用戶授權(quán)、操作系統(tǒng)安全日志、對重要文件的訪問以及感染病毒等情況；對應用平臺軟件如：重要應用平臺進程的運行、服務端口、數(shù)據(jù)庫系統(tǒng)及中間件系統(tǒng)等的審計。

應用系統(tǒng)層面的審計應包括辦公自動化系統(tǒng)、關(guān)鍵業(yè)務系統(tǒng)等的運行情況、用戶管理及系統(tǒng)授權(quán)、關(guān)鍵業(yè)務數(shù)據(jù)的備份情況等內(nèi)容。

另外，對于重要網(wǎng)絡區(qū)域的客戶機的審計，包括通過網(wǎng)絡進行的文件發(fā)送操作、文件拷貝/打印操作、是否連接外網(wǎng)情況、非業(yè)務軟件或敏感軟件的安裝和運行、計算機病毒感染情況等內(nèi)容。

3.4 安全審計工具的功能應該滿足審計的要求，涉密網(wǎng)絡安全審計的工具在選擇上首先應考慮審計工具的功能與網(wǎng)絡系統(tǒng)的防護級別所規(guī)定的審計強度相適應。另外，在不同層面，充分利用操作系統(tǒng)軟件、應用平臺軟件以及業(yè)務系統(tǒng)軟件本身所提供的審計功能和日志記錄等，可全方位、多層次地對網(wǎng)絡的安全狀況提出有效證據(jù)。

3.5 與安全審計相關(guān)的基礎信息的建立與維護，對網(wǎng)絡作安全審計首先應清楚網(wǎng)絡上存在的安全威脅、需要進行保護的對象、網(wǎng)絡劃分、IP規(guī)劃及分配、系統(tǒng)提供的正常服務及應用等情況。如果將與這些情況相關(guān)的信息定義為網(wǎng)絡的基礎信息，那么對于每一次安全審計來說，網(wǎng)絡基礎信息可作為對一些檢測信息或日志記錄中被定義為異常信息進行判斷的依據(jù)。因此，準確建立并維護涉密網(wǎng)絡的基礎信息非常重要。關(guān)鍵基礎信息如下：

3.5.1 網(wǎng)絡的拓撲結(jié)構(gòu)圖；

3.5.2 網(wǎng)絡服務器及客戶機的地址分配表；

3.5.3 網(wǎng)絡服務器提供的服務；

3.5.4 業(yè)務系統(tǒng)需要開啟的服務、端口；

3.5.5 網(wǎng)絡服務器管理人員列表；

3.5.6 業(yè)務系統(tǒng)的管理員及用戶列表；

3.5.7 重要服務器面向的服務對象（客戶機或用戶）列表；

3.5.8 常見異常信息統(tǒng)計表等。

3.6 涉密網(wǎng)絡安全審計的工作流程

3.6.1 根據(jù)安全策略，明確審計要求；

3.6.2 根據(jù)審計要求制訂審計策略，部署及配置審計系統(tǒng)；

3.6.3 收集審計事件，產(chǎn)生審記記錄；

3.6.4 針對表現(xiàn)為異常情況的記錄進行運行安全分析，包括安全事件定性與定位、安全事件的原因分析及影響分析等；

3.6.5 產(chǎn)生網(wǎng)絡安全審計報告、提出問題的處理意見或改進建議。

上述步驟敘述了一次安全審計流程，其示意圖如下。

由于涉密網(wǎng)絡的安全審計是一項長期的和有計劃的工作，每一次審計的完成，就有可能對現(xiàn)有的審計策略、審計計劃部署、以及網(wǎng)絡各層面的基礎信息等提出更新和維護要求。而這種更新和維護對下一次安全審計工作的進行具有重要的意義。

3.7 安全審計人員的相關(guān)要求，由于涉密網(wǎng)絡安全審計與網(wǎng)絡的規(guī)模、網(wǎng)絡服務的提供、通過網(wǎng)絡處理關(guān)鍵業(yè)務的需求量等有直接的關(guān)系，因此審計人員隊伍的建立與穩(wěn)定具有必要性。承擔涉密網(wǎng)絡安全審計的人員還應具有必要的專業(yè)技術(shù)知識與技能；而且還應通過相應的職業(yè)繼續(xù)教育來保證保持安全審計人員的技術(shù)勝任能力。此外，安全審計人員的崗位設置，須按照關(guān)鍵崗位職責分離原則，安全審計員應保持與系統(tǒng)管理員崗位職責的距離，從而保證安全審計的獨立性。

4、結(jié)語

涉密網(wǎng)絡的安全審計，主要是通過審查管理人員和用戶對網(wǎng)絡、服務器及關(guān)鍵應用等的使用和操作的記錄，從中尋找和發(fā)現(xiàn)網(wǎng)絡設備存在的異常、網(wǎng)絡服務存在的異常、網(wǎng)絡應用存在的異常以及網(wǎng)絡用戶的異常操作行為等，進而為網(wǎng)絡安全問題的確定、安全事件的調(diào)查和處理即應急響應提供重要證據(jù)和支持。因此，安全審計對于實施網(wǎng)絡的安全管理、提高網(wǎng)絡的安全性、逐步實現(xiàn)涉密網(wǎng)絡的安全目標等，具有重要的作用和意義。

參考文獻

[1]《國家信息安全報告》張春江倪健民主編人民出版社.

[2]《信息安全工程與管理》中國信息安全產(chǎn)品測評認證中心編著人民郵電出版社.

[3]《企業(yè)信息系統(tǒng)安全— 威脅與對策》林東岱曹天杰等編著電子工業(yè)出版社.

[4] XX單位《計算機信息安全策略》（內(nèi)部文件）.