面向集中化系统安全审计服务体系的研究
来源:用户上传
作者:
摘 要:近年来,国内外企业遭受网络攻击、信息泄露等安全事件频发,网络信息安全形势日趋严峻。根据数据统计,企业安全事件多数是因内部人员引发,通过对包括合作伙伴在内的所有系统建设、运维等自有人员的操作审计,可以有效地预防、规避安全事件。信息系统在运行过程中会产生大量的操作数据,为了提升安全审计效率与精准性,采用集中化的方式,使用关联分析方法,基于自动化技术,研究并构建安全审计服务体系。
关键词:信息安全;安全审计;集中化;关联分析;自动化
中图分类号:TP301 文献标识码:A
Abstract: In recent years, domestic and foreign enterprises have been subjected to frequent network attacks, information leakage and other security incidents, and the situation of network information security has become increasingly grim. According to data statistics, most enterprise security incidents are triggered by internal personnel. It can be effective through the operation audit of all system construction, operation and maintenance personnel including partners. Prevent evasion of safety incidents. In order to improve the efficiency and accuracy of security audit, a security audit service system oriented to centralized system with centralized way and association analysis method and automation technology is studied and constructed.
Key words: information security; security audit; centralization; association analysis; automation technology
1 引言
据统计,2018年国内数据泄露事件高达945次,数量达到45亿条,安全攻击层出不穷,安全态势严峻[1]。近年来官方数据统计,在企业遭受的网络信息安全攻击事件中,70%是因内部人员引发[2]。随着中国移动集中化事业蓬勃发展,系统架构、功能、业务复杂,所承载的信息和服务的安全性,关乎着企业的正常运转和客户的切身权益。当前,形势日趋严峻,将包括合作伙伴在内的所有系统建设、运维人员操作纳入安全审计,开展全面、及时、高效、准确的安全审计工作,对于安全风险防控意义重大[3]。
安全审计作为安全管理工作的核心部分,一直在安全建设过程中占据着重要的位置。但是,由于传统审计手段存在的不足和问题,导致审计手段的真正效用一直未能有效地发挥[4]。传统的审计手段通过日志采集等方式,获取已经发生的操作行为,通过审计策略来进行分析、发现和告警,从而针对操作人员行为进行管控,在很大程度上发挥着事后审计的效用,只能够被动地进行事后检测[5]。传统安全审计手段需要设有专门审计管理人员进行管理和工作,且需要根据业务的变化及时调整审计策略,这样对于人力成本消耗过高[6]。
为了加强对内部运维人员的安全管控,及时、全面地发现敏感数据、权限变更、高危异常未授权操作,规避“信息泄露”等安全事件发生的风险,需及时开展安全审计。当前,安全审计工作存在的难点在于四个方面。
(1)操作行为数据查询繁琐。安全管控安全管控系统记录了本部门集中化业务系统的操作日志規模为平均650万条每月,操作日志分散、冗余信息多,与审计策略无法对应,需按照系统、组织架构、前台、后台等多方面查询后合并汇总。
(2)行为数据检索、分析耗时长。每个业务系统的安全审计策略约30项,单项策略对应日志手工查询后导出平均耗时约15分钟(个别查询条件较多的策略,关联查询导出时长近30分钟),分析时长约为20分钟。
(3)人工抽查误差大。操作日志数据量大,人工分析存在误差,且只能采用抽查方式,最高抽查比例为20%,分析不全面。
(4)关联分析缺失。根据审计策略逐条审计,只能得出某一点的结论,较难发现隐藏异常行为;多维度、深层次、全面的人员操作行为关联分析,才能通过行为轨迹有效判断异常操作。
为了有效地解决自有人员不足的情况下,提升安全审计效率与精准性的难题,解决数据量大、日志检索困难、人工分析误差大、关联分析缺失等痛点问题,响应集团公司大IT战略规划,充分把握集中化思路,分别从模式、技术、方法、组织方面进行了深度探索,展开了面向集中化系统安全审计服务体系的研究。
采用集中化方式搭建审计模型配置中心,利用自动化技术、机器学习数据训练思想,构建了安全审计分析平台,实现了操作行为日志的关联分析,有效地提升了对集中化信息系统的安全审计效率、分析精准性,实现了多维、全面人员操作行为分析,为集中化业务系统提供了安全审计服务。
2 方案研究
2.1 集中化审计模型配置中心
本文提出的集中化审计模型配置中心依托安全管控系统,将各审计目标系统的众多审计策略所对应的日志进行了集中配置和展示,审计策略涵盖了用户安全、数据安全、终端安全、网络安全层面,分别从异常时间登录、VPN异常登录、异地登录、多IP登录、账号新增删除、用户授权、程序账号操作、高权限账号操作、敏感数据授权及操作、高位异常操作、绕行安全管控操作维度,配置审计报表。集中配置各系统月度审计、周审计、合作伙伴审计各项审计策略,将安全管控系统采集的操作日志整合归类,展示审计策略对应的全量日志,如图1所示。 通过分类梳理审计策略,配置不同策略对应报表的日志来源、审计规则、报表参数等,为各信息系统配置相应审计报表,集中展示不同系统各审计策略的操作日志。这样,可以提供灵活、深度定制化的审计策略配置服务,有效地解决了集中化业务系统各类审计数据检索繁琐、重复配置的问题,同时便于扩展到其他业务系统中,具有较强的可扩展性,也为实现日志的自动化批量下载奠定了基础。
2.2 用户行为关联分析方法
研究方案基于机器学习数据训练思想[7],将操作行为画像在安全审计中的使用场景,以业务为主线绘制账号操作行为画像,实现了全方位分析新思路以主账号为维度,用半年的数据进行训练。从登录时间、登录源IP、登录目的IP、从账号、操作动作、操作对象着手,分析某维护人员在一段时间内的操作习惯[8],建立某维护人员的操作习惯画像,并纵向对比同一用户组内的其他人员的行为,对该人员账号操作行为进行360度多维、全方位分析,可深入挖掘隐藏的安全隐患[9]。
应用场景涉及两个方面。
(1)以业务为视角,建立个人行为画像和全员行为特征库,实现操作行为关联分析、纵深比对,有效地发现隐藏异常操作。
(2)以系统为落地点,反向分析账号权限、操作特征,操作对象的变更可识别账号的权限变更,反向确认,缩小资源、表、菜单权限,实现账号权限变更及最小化配置核查,基于用户行为关联分析的流程如图2所示。
以某一主账号半年内的操作为基础训练集,分析该账号使用的登录IP、从账号、访问目的IP、操作时间、操作行为,建立账号操作行为习惯,当有操作超出行为习惯范围时,可发出异常告警。
2.3 自动化审计平台
集中化系统操作行为数据迅速增长,满足了支撑持续增长的业务数据审计需求,基于自动化技术开发操作行为审计平台,自由定制和规划了各模型报表的审计流程,实现了行为数据全量分析,提升了安全审计效率,节约了人工成本,提高了审计精准度,有效地支撑了集中化业务系统的审计任务。
操作行为自动化审计平台基于Python语言开发,实现日志报表的批量下载,将账号、敏感数据、操作命令等审计目标嵌入工具,依据正则进行自动匹配,并标识异常操作日志,对全量日志进行自动统计和分析。实现了对全量日志报表的批量下载、自动分析、结果统计,解决了日志获取耗时长、人工分析效率低、误差大的问题,可实现三项功能。
(1)日志批量下载:通过调用伪浏览器进程、使用Requests网络爬虫模块访问安全管控系统审计平台,实现日志报表的批量下载。
(2)日志精准分析:将定期开展的审计策略编制成脚本,将高权限账号、敏感数据、关键操作命令等基础数据形成特征库,实现自动匹配、筛选、统计和分析。
(3)审计报告整理:利用Xlrd、Xlutils、Docxtpl等文档处理模块[10],结合正则表达式等匹配统计手段,完成审计结果的统计工作,数据分析完成后导出审计报告,如图3所示。
4 研究成果应用效果
安全审计服务体系已为集中化系统的应用、操作系统、网络设备、数据库等提供了安全审计服务。审计工作效率、审计日志量大幅提升,并实现了全量日志分析及维护人员操作行为画像,精准预测异常行为。同时,助力了全网集中化运营业务,保障了网络信息安全,并实现了安全审计核心能力内化,大幅度地节约了人工成本,实现了“IT换人工”。
(1)以业务为主线,构建集中化审计模型配置方案
为了满足各类业务系统的安全审计需求,2018年6月自主设计并搭建集中化审计模型配置中心,可以提供灵活、深度定制化的审计策略配置服务,有效地解决了多系统各类审计数据检索繁琐、重复配置的问题。同时,具有统一配置、高效检索的特点:统一策略配置,可扩展性强。集中化运维工作机制,提供了差异化解决方案;数据检索高效,节约人工成本,为实现自动化分析提供了条件。
项目成果开发专项审计工作模块,由逐条策略多次检索分析,向集中配置审计模型转变,满足了多业务系统审计需求。可以集中开展系统审计工作,取缔了逐条策略审计的低效模式,同时在有新增目标审计系统时,可快速叠加、扩展。
(2)绘制行为画像,实现行为数据全方位分析新思路
基于机器学习数据训练思想的操作行为画像在安全审计中的使用场景,在公司内首次被提出,有效地解决了安全审计工作中的难题,具有一定的创新性。
以主账号为维度,用半年的数据进行训练。从登录时间、登录源IP、登录目的IP、从账号、操作动作、操作对象着手,建立了某维护人员的操作习惯画像,并纵向对比同一用户组内的其他人员的行为,对该人员账号操作行为进行360度多维、全方位分析,可深入挖掘隐藏的安全隐患。
(3)建立高效、精准的自动化行为数据审计处理机制
为了支撑持续增长的业务数据审计需求,基于自动化技术开发操作行为审计平台,自由定制和规划各模型报表的审计流程,实现了行为数据全量分析,节约了人工成本,提高了審计精准度,有效地支撑了集中化业务系统的审计任务。
1)安全审计执行效率提升70%
每月针对业支系统开展安全审计、全量日志的审计分析工作,需进行审计策略梳理、策略报表配置、审计日志导出、审计数据分析、审计问题梳理、审计问题确认、整改复核等工作内容。每个业务系统的安全审计策略约30项,单项策略对应日志手工查询后,导出平均耗时约15分钟(个别查询条件较多的策略,关联查询导出时长近30分钟),分析时长约为20分钟,附加审计结果的整理、报告编写。原每完成一个系统的审计约需20人天,使用本项成果后,完成对业支系统全量日志的审计分析工作只需6人天,审计工作效率可提升70%,大幅度提升了安全审计员工作效率。每月完成3个系统的审计,所需审计工作量对比如图4所示。 2)实现日志全量分析,审计日志量增加80%
使用本项研究成果前,在自有安全审计人员不足的情况下,为按时完成对大量系统操作行为日志的审计任务,只能采用人工抽查方式,大部分操作日志审计比例不超过20%,存在着审计不全面的问题,抽查方式易导致难以全量发现问题。本项研究成果的使用,采用自动化方式执行操作行为日志的分析,可以将抽查优化至全量审查,审计日志量增加80%,分析全面无遗漏。
5 结束语
随着网络环境的日趋复杂,安全审计技术在企业网络信息安全防护中的重要性日益凸显。通过企业自有人员自主研究,搭建面向集中化系统的安全审计服务体系,为集中化系统提供高效、优质的服务,大幅地提升了审计员工作效率和审计精准性,满足了审计工作需求,规避了内部人员恶意操作带来的安全隐患,减少了因安全事故导致的损失,防护了客户的信息安全,保障了用户权益,保障了业务系统安全稳定地运行,提升了公司的安全、可信形象。同时,有助于增强国有企业员工自研、自维能力,降本增效,赋予企业可持续发展新动能,有利于企业制定竞争战略协助,促进企业可持续发展。
方案提出的关联分析方法,在实际使用中仍存在着不足,尤其是在分析大量日志时存在着误报率较高的问题,下一步将在分析算法方面做更多的探索与研究,旨在通过优化算法来降低误报率,进而提高审计平台分析的精确度。
参考文献
[1] 王英梅,王胜开,陈国顺,程湘云,编著.信息安全风险评估[M].北京:电子工业出版社,2007.
[2] 胡道元,闵京华,编著.网络安全(第2版)[M].北京:清华大学出版社,2010.
[3] 聂君,李燕,何扬军.企业安全建设指南:金融行业安全架构与技术实践[M].北京:机械工业出版社, 2019.
[4] 王晶晶.电力信息安全中网络日志审计系统的作用[J].科技创新导报,2018,15(20):165+167.
[5] 贾周阳,廖湘科,刘晓东,李姗姗,周书林,谢欣伟.基于机器学习的日志函数自动识别方法[J].计算机工程与科学, 2017,39(01):111-117.
[6] 张世永.信息安全审计技术的发展和应用[J].电信科学, 2003(12):29-32.
[7] Yijun Yang,Fei Chen, Zhiwei Sun, Shulan Wang, Jianqiang Li, Jianyong Chen, Zhong Ming. Secure and Efficient Parallel Hash Function Construction and Its Application on Cloud Audit[J]. Soft Computing, 2019, Vol.23 (18), pp.8907-8925.
[8] 苏永东,吳晟,刘玉婷.信息安全审计系统在等级保护建设中的应用研究[J].网络安全技术与应用,2015(05):129-130.
[9] 刘志宇,王晓宇,李静,张森.一种综合安全审计系统模型的研究[J].警察技术,2014(S1):32-35.
[10] 黄晨,胡红云,蒋安东,谢俊元.分布式安全审计系统设计与实现[J].计算机工程与设计,2007(04):811-813.
转载注明来源:https://www.xzbu.com/1/view-15129602.htm
