信息系统的安全审计
|
摘要
信息系统的安全越来越引起世界各国的重视,近几年发现由于内部人员造成的泄密或入侵事件占了很大的比例,因而加强对系统内信息资源使用的安全审计有着十分重要的现实意义。
安全审计技术是信息安全领域的重要组成部分,它是利用技术手段,不间断地将计算机和计算机网络上发生的一切事件记录下来,用事后追查的方法保证系统的安全和防止个别用户对实际发生的事件否认的抵赖行为。虽然审计措施相对网上的攻击和窃密行为有些被动,但它对追查网上发生的犯罪行为能够起到十分重要的作用,也能够对内部人员犯罪起到威慑作用。因此,计算机安全审计技术的研究具有重大的意义,而且具有良好的应用前景。
本文通过分析当前安全审计领域的研究现状,根据安全审计系统的设计原则,并结合实际的项目背景,提出了一个基于Ukey的安全审计系统的体系结构模型。该系统主要包括数据采集、分析引擎、信息发布三大部分。数据采集部分基于分布式设计,可收集多个采集点数据。分析引擎部分基于规则库的方法,对原始审计数据进行匹配和分析,检测出各类入侵安全事件,得到安全审计跟踪记录。信息发布以三种不同的用户角色(普通用户、安全管理员、系统管理员),基于Web方式对审计数据和审计跟踪记录进行发布。
As all the countries take the security of the information systems into seriousconsideration, it shows that the leakiness of the secrets and the intrusions from theorganization members always account for a large scale in the security problems. Toprevent this, it is extremely important to enhance the security audit procedure for usingprocess of the inner information in a system.
Security audit is one of the most important parts in the field of information security.Firstly, it records everything faithfully and uninterruptedly including users’operationsand other activities happened both in the local computer system and related network.After the event, various means and technologies are used to analyze the data which hasbeen collected automatically. At last, the result can be employed as solid testimony totell the truth whether the information system has been cracked or some users deny theirown activities. Though this method is passive to the attackers in the network, it is agreat help to trace network crimes, and it also deters the stuff from doing the bad things.Therefore it is of great importance to study computer security audit technology.
Be carefully analyzing the current accomplishment in the field of security audit, wepresents a possible architecture of security audit system based on Ukey which candeployed in network server in the paper. There are mainly three modules in the system:data collection module, analysis engine module and information publication module.Data collection module is designed for distributed network model, it may have severaldistributed audit collector. Analysis engine module is based on rule libraries to detectpotential security violation, find out the matching pattern, detect the security events, andrecord the security audit trail. Information publication module supplies review andquery of original audit data and audit alert trail to those authorized user. There are threeuser roles including common user, security administrator and system administrator withdifferent priority. Information publication is based on World Wide Web with audit alerttrail.
安全审计技术是信息安全领域的重要组成部分,它是利用技术手段,不间断地将计算机和计算机网络上发生的一切事件记录下来,用事后追查的方法保证系统的安全和防止个别用户对实际发生的事件否认的抵赖行为。虽然审计措施相对网上的攻击和窃密行为有些被动,但它对追查网上发生的犯罪行为能够起到十分重要的作用,也能够对内部人员犯罪起到威慑作用。因此,计算机安全审计技术的研究具有重大的意义,而且具有良好的应用前景。
本文通过分析当前安全审计领域的研究现状,根据安全审计系统的设计原则,并结合实际的项目背景,提出了一个基于Ukey的安全审计系统的体系结构模型。该系统主要包括数据采集、分析引擎、信息发布三大部分。数据采集部分基于分布式设计,可收集多个采集点数据。分析引擎部分基于规则库的方法,对原始审计数据进行匹配和分析,检测出各类入侵安全事件,得到安全审计跟踪记录。信息发布以三种不同的用户角色(普通用户、安全管理员、系统管理员),基于Web方式对审计数据和审计跟踪记录进行发布。
As all the countries take the security of the information systems into seriousconsideration, it shows that the leakiness of the secrets and the intrusions from theorganization members always account for a large scale in the security problems. Toprevent this, it is extremely important to enhance the security audit procedure for usingprocess of the inner information in a system.
Security audit is one of the most important parts in the field of information security.Firstly, it records everything faithfully and uninterruptedly including users’operationsand other activities happened both in the local computer system and related network.After the event, various means and technologies are used to analyze the data which hasbeen collected automatically. At last, the result can be employed as solid testimony totell the truth whether the information system has been cracked or some users deny theirown activities. Though this method is passive to the attackers in the network, it is agreat help to trace network crimes, and it also deters the stuff from doing the bad things.Therefore it is of great importance to study computer security audit technology.
Be carefully analyzing the current accomplishment in the field of security audit, wepresents a possible architecture of security audit system based on Ukey which candeployed in network server in the paper. There are mainly three modules in the system:data collection module, analysis engine module and information publication module.Data collection module is designed for distributed network model, it may have severaldistributed audit collector. Analysis engine module is based on rule libraries to detectpotential security violation, find out the matching pattern, detect the security events, andrecord the security audit trail. Information publication module supplies review andquery of original audit data and audit alert trail to those authorized user. There are threeuser roles including common user, security administrator and system administrator withdifferent priority. Information publication is based on World Wide Web with audit alerttrail.
引文
[1]国家计算机网络应急技术处理协调中心.CNCERT/CC 2003年度报告.2004, (4):7-12。
[2]方雷.电子政务系统需要全面安全审计.电子商务世界.2003,(5):72-74。
[3]张世永.信息安全审计技术的发展和应用.电信科学.2003,(12):29-32。
[4]崔蔚,赵强.基于主机的安全审计系统研究.电脑与信息技术.2004,(1):12-16。
[5]吴镇邦,吴广茂.计算机网络安全及安全审计技术研究.航空计算技术.1999,(4):54-59。
[6]蒲利君.试论安全审计对计算机犯罪的追踪取证.四川警官高等专业学校学报,2003,(4):35-39。
[7]吴忠,欧阳剑雄.电子政务的安全审计研究.上海工程技术大学学报.2003,(1):68-72。
[8]叶文军,胡振宇.信息系统安全审计机制之研究统计与信息论坛.2002,(2):46-51。
[9]刘建伟.安全审计跟踪技术综述.信息安全与通信保密.2001,(7):37-40。
[10]王伟钊,李承.网络安全审计系统的实现方法.计算机应用与软件.2002,(11):24-28。
[11]周洪昊,张剡.安全审计系统的设计与实现.计算机应用研究.2004,(7):105-108。
[12]李承,王伟钊,程立等.基于防火墙日志的网络安全审计系统的研究与实现.计算机工程.2002,(6):17-19。
[13] J.P.Anderson. Computer Security Threat Monitoring and Surveillance.J.P.AndersonCo.FortWashingtonPA.1980:17-32。
[14] T.H.Ptacek, T.N.Newsham.“Insertion ,evasion ,and denial of service: Eludingnetworkintrusiondetection”Technicalreport,SecureNetworks Inc,January1998。
[15] CCITT Recommendation X.816 (1995) | ISO/IEC 10181-7:1996, Informationtechnology-Open System interconnection-Security frameworks for open systems:Securityauditandalarmsframework。
[16]刘宝旭,许榕生.基于数据挖掘技术的入侵检测系统设计与实现.计算机工程.2002,(6):9-10。
[17]齐建东.数据挖掘技术在入侵检测中的应用[J].计算机工程与应用.2004,Vol.40。
[18]董永波,陈龙.电子商务安全审计系统的设计与实现.计算机工程与应用.2004,(7):130-133。
[19]何险峰,黄迪明.基于Agent的入侵检测系统体系结构设计.计算机应用.2003,(9):42-45。
[20]周振宇,张栋.基于信息融合的安全审计系统.计算机安全.2004,(4):60-63。
[21]陈杰.企业信息系统的安全审计.现代计算机.2000,(2):52-57。
[22]朱斌.S_Audit入侵检测与安全审计系统.信息安全与通信保密.2001,(9):31-32。
[23]张兴东,胡华平,况小辉.防火墙与入侵检测系统联动的研究与实现.计算机工程与科学.2004,(26):22-26。
[24]立新红,吴宇红,狄文远.基于数据发掘的入侵检测建模.计算机工程.2002,(8):2-3。
[25]高峻,吕述望.入侵检测系统及通信协议.计算机工程.2002,Vol.28,No.6。
[26]张铭来,金成飙,赵文耘.分布式入侵检测系统的数据采集技术.计算机科学.2002,Vol.28,No.2。
[27]连一峰.基于模式挖掘的用户行为异常检测[J].计算机学报.2003,Vol.25,No.3。
[28]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院,2002,Vol.71,No.3。
[29]马恒太.蒋建春.陈卫峰等.基于Agent的分布式入侵检测系统模型[J].软件学报.2001,11(10):1312-1319。
[30]唐正军.入侵检测技术导论.机械工业出版社.2004.4。
[2]方雷.电子政务系统需要全面安全审计.电子商务世界.2003,(5):72-74。
[3]张世永.信息安全审计技术的发展和应用.电信科学.2003,(12):29-32。
[4]崔蔚,赵强.基于主机的安全审计系统研究.电脑与信息技术.2004,(1):12-16。
[5]吴镇邦,吴广茂.计算机网络安全及安全审计技术研究.航空计算技术.1999,(4):54-59。
[6]蒲利君.试论安全审计对计算机犯罪的追踪取证.四川警官高等专业学校学报,2003,(4):35-39。
[7]吴忠,欧阳剑雄.电子政务的安全审计研究.上海工程技术大学学报.2003,(1):68-72。
[8]叶文军,胡振宇.信息系统安全审计机制之研究统计与信息论坛.2002,(2):46-51。
[9]刘建伟.安全审计跟踪技术综述.信息安全与通信保密.2001,(7):37-40。
[10]王伟钊,李承.网络安全审计系统的实现方法.计算机应用与软件.2002,(11):24-28。
[11]周洪昊,张剡.安全审计系统的设计与实现.计算机应用研究.2004,(7):105-108。
[12]李承,王伟钊,程立等.基于防火墙日志的网络安全审计系统的研究与实现.计算机工程.2002,(6):17-19。
[13] J.P.Anderson. Computer Security Threat Monitoring and Surveillance.J.P.AndersonCo.FortWashingtonPA.1980:17-32。
[14] T.H.Ptacek, T.N.Newsham.“Insertion ,evasion ,and denial of service: Eludingnetworkintrusiondetection”Technicalreport,SecureNetworks Inc,January1998。
[15] CCITT Recommendation X.816 (1995) | ISO/IEC 10181-7:1996, Informationtechnology-Open System interconnection-Security frameworks for open systems:Securityauditandalarmsframework。
[16]刘宝旭,许榕生.基于数据挖掘技术的入侵检测系统设计与实现.计算机工程.2002,(6):9-10。
[17]齐建东.数据挖掘技术在入侵检测中的应用[J].计算机工程与应用.2004,Vol.40。
[18]董永波,陈龙.电子商务安全审计系统的设计与实现.计算机工程与应用.2004,(7):130-133。
[19]何险峰,黄迪明.基于Agent的入侵检测系统体系结构设计.计算机应用.2003,(9):42-45。
[20]周振宇,张栋.基于信息融合的安全审计系统.计算机安全.2004,(4):60-63。
[21]陈杰.企业信息系统的安全审计.现代计算机.2000,(2):52-57。
[22]朱斌.S_Audit入侵检测与安全审计系统.信息安全与通信保密.2001,(9):31-32。
[23]张兴东,胡华平,况小辉.防火墙与入侵检测系统联动的研究与实现.计算机工程与科学.2004,(26):22-26。
[24]立新红,吴宇红,狄文远.基于数据发掘的入侵检测建模.计算机工程.2002,(8):2-3。
[25]高峻,吕述望.入侵检测系统及通信协议.计算机工程.2002,Vol.28,No.6。
[26]张铭来,金成飙,赵文耘.分布式入侵检测系统的数据采集技术.计算机科学.2002,Vol.28,No.2。
[27]连一峰.基于模式挖掘的用户行为异常检测[J].计算机学报.2003,Vol.25,No.3。
[28]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院,2002,Vol.71,No.3。
[29]马恒太.蒋建春.陈卫峰等.基于Agent的分布式入侵检测系统模型[J].软件学报.2001,11(10):1312-1319。
[30]唐正军.入侵检测技术导论.机械工业出版社.2004.4。