网络安全审计近况概述

网络安全审计近况概述

苗莹莹 1 ，訾永辉 2

1 商丘工学院信息与电子工程学院 河南省商丘市 476099

2公诚管理咨询有限公司 广东省广州市510610

摘 要：随着计算机技术的进步和网络技术的迅速发展，全球性的信息社会正在逐步形成。尽管网络给我们的生活带来很大的便利，但也也给我们的生活带来了很大的安全隐患。许多的企业或部门为了避免网络安全隐患带来的信息泄露和财产损失，在电脑中安装一些安全检测软件，例如防火墙、杀毒软件和防病毒等软件。本文针对网络安全审计理论进行了阐述。首先分析了网络安全审计的研究现状，然后阐述了安全审计的数据采集、安全事件分析以及监测验证等主要功能，最后对全文进行总结。

关键词：安全审计；安全事件；数据采集

0 引言

安全审计是按照一定的安全策略，收集、记录并分析数据，检查、审查网络信息，测量符合已定标准的安全符合程度，从而得到系统薄弱环节评价的活动。也即是，网络安全审计是对信息系统的数据进行分析，及时发现信息系统中存在的安全问题，以便及时给出一些解决方案。

安全审计除了能够监控来自网络内部和外部的用户活动，对与安全有关的活动的相关信息进行识别、记录、存储和分析，对突发事件进行报警和响应，还能通过对系统事件的记录，为事后处理提供重要依据，为网络犯罪行为及泄密行为提供取证基础。同时，通过对安全事件的不断收集与积累并且加以分析，能有选择性和针对性地对其中的对象进行审计跟踪，即事后分析及追查取证，以保证系统的安全。

1 国内外安全审计现状

随着科学技术的迅速发展，国内外学者对计算机审计的研究是多方面的。从计算机审计理论到具体的计算机审计技术都有研究。

在计算机审计理论研究方面．2001年，李承在文献[1]给出了安全审计的概念“一个安全的系统中的安全审计系统，是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。”在2007年、2012年和2013年，国家质检总局分别在文献[2]~[4]中也分别给出了安全审计的定义但此定义并没有完全给出安全审计的本质特征。2010年，J. McGhee等人在文献[5]中给出“安全审计是评估计算机系统安全性并向客户提出建议的过程。”2018年，Brian Lich等人在文献[6]给出“安全审计是对可能影响系统安全的活动进行有系统的检查和审查。”等等，但是，以上的文献给出的安全审计的定义并不能完全体现安全审计的本质特征且不能反应其主要功能特征。

2 网络安全审计技术的现状

国内的安全审计技术，例如：天融信企业推出的安全审计程序，主要包括日志审计，网络审计，运维审计、数据库审计等；天融信企业的安全审计系统，主要是网络行为为主的审计活动，它的优点是可以支持多维细粒网络行为审计和流量审计的分析，集云审计、多核平台等多项技术于一体，可以支持HPPT、MSN、WEB、FTP等两百多种的应用行为审计，还可以支持内容还原审计，此类安全审计最大的特点就是将产品的功能和硬件进行一体化协调，促使单一的设备完成网络安全审计工作，更好的控制网络安全系数。

中软的网络信息监控与分析取证系统，此系统主要是可以对网络安全问题溯源。绿盟安全审计系统的主要特点是：

（1）可以对数据库的访问，论坛发帖，邮件发送，网站访问等关键信息进行检测还原。

（2）可以对网络行为进行全面地行为监控，在网络安全事故发生时可以及时尽心追查，以及取证。

（3）对网络流量进行综合的分析，为网络的带宽资源提供可靠的支持，将网络行为有条件的进行审计。

3 安全事件分析

安全事件分析是整个安全审计系统中最核心的部分，事件分析根据已有的事件数据和具体的审计规则来进行异常行为的鉴别，事件分析的准确程度将直接影响安全审计系统的审计效果。事件分析是主要用来挖掘出潜在的知识模型用于后续的入侵检测( 发现潜在的攻击行为等) 。对安全事件分析的多数研究工作均用到数据挖掘技术，如2005年，赵艳铎在文献［7］中将数据挖掘领域中的关联分析算法( 如Aprior、FP-growth) 应用到安全审计系统中对安全事件进行关联分析，挖掘出安全事件之间的强关联规则，并借助事件之间的强关联规则判断是否出现异常行为。

4 评估

信息系统安全管理评估应按下列要求对评估结果进行处理[10]：

a） 评估结果应按照规定的报告格式记录在案，报告内容的分类应与所进行的安全控制评估相一致，评估记录应及时归档；

b） 应对评估记录进行分析，确定某一特定安全控制的总体效果，说明控制是否按确定的目标正确实施，并达到要求的预期结果；

c） 评估人员所给出的评估应能导致作出下列判断：

——完全满足：表明对特定要求，按照评估规程，通过评估后认为相关的安全管理控制产生了完全可以接受的结果；

——部分满足：表明通过评估后的安全管理措施产生了可部分接受但不能完全接受的结果，并能指出哪些安全管理控制措施尚未实施以及信息系统的哪些脆弱性可能导致了这种情况的出现；

——不满足：表明通过评估，发现安全管理措施不能达到安全管理目标要求，产生了不可接受的结果，并能指出哪些安全管理控制措施尚未落实或实施以及信息系统的哪些脆弱性可能导致了这种情况的出现。

5 结语

总之，计算机网络安全审计是一个十分复杂、广泛的研究课题，它作为一个完整安全框架中不可或缺的环节，是对防火墙系统和入侵检测系统的一个补充。因此，如何提升网络安全审计系统效能的各种相关技术，构筑一个真正强大的网络安全审计体系，还需要不断的探索与研究。

参考文献：

1. 李承，王伟钊. 《基于防火墙日志信息的入侵检测研究》.计算机工程[D].2001.

2. 国家质检总局, GB/T 20945-2007. 《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》[S]. 北京:2007.

3. 国家质检总局, GAT 713-2007. 《信息安全技术 信息系统安全管理测评》.

4. 国家质检总局, GBT 28453-2012.《信息安全技术 信息系统安全管理评估要求》.

5. J. McGhee, M, Goraj, “Smart High Voltage Substation Based on IEC 61850 Process Bus and IEEE 1588 Time Synchronization”,Smart Grid Communications (SmartGridComm)， 2010 First IEEE International Conference on,2010.

6. Brian Lich,jcaparas,Justinha. Threat Protection. Mon Feb 05 2018.pp1307.

7. 赵艳铎. 关联规则算法研究及其在网络安全审计系统中的应用［D］． 北京: 清华大学,2005.

8. 满益智,付 睿,许 俊.网络安全审计系统的分析与研究[J].2010,电脑开发与应用.23(1).

9. 国家质检总局, GAT 713-2007. 《信息安全技术 信息系统安全管理测评》.

10. GBT 20945-2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》.

作者简介：苗莹莹（1991.1 — ）女，汉族，河南周口市人，硕士研究生，研究方向：计算机网络与信息安全。

訾永辉（1991.7 — ），男，汉族，河南周口市人，硕士研究生，研究方向：人工智能、电力信息化、计算机技术。