安全审计机制范文

引言：寻求写作上的突破？我们特意为您精选了4篇安全审计机制范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

    1.1审计对象维度

    审计对象是信息安全活动的核心标识载体,是描述信息安全事件不可或缺的要素,根据信息安全活动的特点,将审计对象划分为人员、时间、地点、资源4个属性。人员人员是信息安全活动产生的源头,除了广义上的人员姓名、性别、年龄等基本信息外,还需延伸到其在信息安全活动中使用的账号、令牌、证书等个人标识信息。时间时间是信息安全活动的窗口,任何信息安全活动都会产生时间戳,可用以标识信息安全活动的开始、结束及其中间过程。地点地点是信息安全活动发生的位置,不仅包括传统意义上的地理位置信息,还包括网络空间中源IP、目的IP等位置信息。资源资源是信息安全活动所依赖的先决条件,包括计算机硬件、操作系统、工具软件等一切必要的资产。

    1.2审计模式维度

    审计模式是综合审计的具体运用,是综合审计模型的关键集成点,根据信息安全活动的具体类型和场景,将审计模式划分为运维操作、数据库应用、网络应用、终端应用4个属性。运维操作运维工作是支撑网络和信息系统稳定运行的重要前提,但运维人员掌握着系统的高级权限,由此带来的运维风险压力也越来越大,因此必须引入运维操作审计管理机制。运维操作审计的核心是加强对运维人员账号和权限的管控,即在集中运维模式下实现运维人员与目标系统的逻辑分离,构建“运维人员主账号(集中运维账号)授权从账号(目标系统账号)目标系统”的管理架构,并对具有唯一身份标识的集中运维账号设置相应的权限,在此架构下实现精细化运维操作审计管理[3]。数据库应用在大数据时代,数据库是最具有战略性的资产,其黄金价值不言而喻,数据一旦被非法窃取,将造成难以估量的损失。运维层面的数据库安全可通过运维操作审计来实现,数据库审计的核心应是加强业务应用对数据库访问合规性的管控,建立“业务系统SQL语句数据实例返回结果”的识别监听架构,将采集到的业务系统信息、目标实例对象、SQL操作动作等信息进行基于正常操作规则的模式匹配,并对应用层访问和数据库操作请求进行多层业务关联审计,实现业务系统对数据库访问的全追溯[4]。网络应用无论数据中心内的信息系统还是办公区内的办公终端都会产生大量的网络流量,加强对网络流量的识别和分析,是发现违规行为的重要途径。网络应用审计的核心是通过网络监听技术,建立“用户(业务系统)交互对象网络流量分类识别”的管理架构,对各类网络数据包进行协议分析,其重点是要对网站访问、邮件收发、文件传输、即时通信、论坛博客、在线视频、网络游戏等典型应用进行区分和记录,达到对用户及业务系统间双向网络应用的跟踪审计[5]。终端应用终端是信息安全的最后一道防线,同时也是最薄弱的一个环节,无论是服务器还是办公机,要么是应用的发起者要么是接受者,是信息安全事件的落脚点。终端应用审计的核心是通过扫描和监控收单,建立“主机安全基线+介质数据交换”的管控架构,对终端补丁安装、防病毒软件、文件下载、文档内容的安全基线进行记录审查,并对移动存储介质与外界发生的数据交换进行跟踪记录,实现对终端各类行为审计的全覆盖。

    1.3审计管理维度

    综合审计管理的目的是要实现对信息安全风险的全面治理,需包括事前规划预防,事中实时监控、违规行为阻断响应,事后追踪回溯、改进保护措施,根据综合审计管理事前、事中、事后三个阶段的特点,将控制、监控、响应、保护定义为该维度的4个属性。控制指按照权限最小化原则,采取措施对一切必要的信息资产访问权限进行严格控制,仅对合法用户按需求授权的管理规则。监测指对各类交互行为进行实时监控,以便及时发现信息安全事件的管理规则。响应指对监测过程中发现的违规行为进行及时阻断、及时处理的管理规则。保护指对监测到的各类交互行为进行记录回放、并积极采取改进保护措施的管理规则。

    2信息安全综合审计治理闭环管理机制

    在多维信息安全综合审计模型基础之上,按照全过程的管理思路,应以综合治理为目标导向,对存在的信息安全问题进行闭环管理,研究事前、事中、事后各环节的关联关系,形成相互补充、层层递进的闭环管理机制。

    2.1事前阶段

    制定统一的安全审计策略,以保证信息系统的可用性、完整性和保密性为核心,实现对用户身份和访问入口的集中管理,严格权限管理,坚持用户权限最小化原则,注重将用户身份信息与网络和信息系统中的各种应用与操作行为相结合,保证审计过程与审计结果的可靠性与有效性。

    2.2事中阶段

    实时监测运维操作、数据库应用、网络应用和终端应用产生的数据,通过规则及时发现违规信息安全事件,做到实时响应、实时处理,并通过多个维度将各种基础审计后的安全事件有机地整合起来,做到信息安全事件的全记录、全审计。

    2.3事后阶段

    对各类审计数据进行标准化处理及归档入库,为安全事件的准确追踪和回溯提供有力支持。同时,对信息安全事件进行深度分析,查找事件发生的深层次原因,执行有针对性的弥补措施,并更新信息安全审计策略,形成良性的管理机制。

    3信息安全综合审计系统架构设计

    3.1技术架构

    信息安全综合审计系统面临的一大问题就是各业务系统与网络设备运行独立,信息集成和交互程度较低,服务器、交换机、办公终端都是独立的审计对象,均会产生大量的审计数据,但又缺乏集中统一的审计数据管理视角,构建对审计数据的统一处理能力应是综合审计体系建设的核心思路,信息安全综合审计体系有效运行的关键就在于对可审计数据的采集,以及对数据分析处理的能力。因此必须在多维信息安全综合审计模型框架下,建设“原始数据收集数据标准化处理审计事件分析事件响应与展现”的全过程处理过程,实现从采集到展现的一体化综合审计系统,包括数据采集、数据处理、事件分析和事件响应4大功能模块。数据采集对网络中的数据包、主机中的重要数据的操作行为、操作系统日志、安全设备日志、网络设备日志等原始数据进行收集;数据处理将采集到的原始数据进行标准化处理,将处理后的数据变为日志,存储到数据库中,并交付“事件分析”模块;事件分析对标准化处理后的事件进行分析、汇总,同时结合人员信息做出综合判断,有选择地将分析结果发送到“事件响应”单元,并进行存储与展现;事件响应对分析后的结果做出反应的单元,可以结合其他的安全措施对事件做出中断会话、改变文件属性、限制流量等操作。

    3.2业务架构

篇2

论文摘要：提出了无线网关安全审计系统的系统模型，介绍了该系统的设计思想，从数据的控制、数据的采集、日志的归类、日志的审计与报警4个方面描述了设计流程.在系统中通过改进syslog机制，引入有学习能力的数据挖掘技术，实现对无线网关的安全审计.

0　引言

无线网关是无线网络与布线网络之间的桥梁，所有的通信都必须经过无线网关的审计与控制.在无线网络中，无线网关放置在无线网络的边缘，相当于无线网络的大门，当无线网关遭到攻击和入侵时，灾难会殃及整个无线网络，使无线网络不能工作或异常工作，由此可见，对无线网关进行安全审计是十分有意义的.

本文中研究的安全审计系统是北京市重点实验室科、研项目“智能化无线安全网关”的一部分.智能化无线安全网关在无线网关上集成具有IDS和防火墙功能的模块，以及控制和阻断模块，这些功能模块在统一操作系统的基础上，既各司其职，又密切合作，共同完成防范、预警、响应和自学习的功能，构成一个有机的安全体系.

无线网关的安全审计系统，其主要功能就是在事后通过审计分析无线安全网关的日志信息，识别系统中的异常活动，特别是那些被其它安全防范措施所遗漏的非法操作或入侵活动，并采取相应的报告，以有利于网络管理员及时有效地对入侵活动进行防范，确保网络的安全[1].

1　系统功能概述

无线网关安全审计系统是针对无线网络的安全运作而提出的，主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能.首先，审计系统的数据控制模块对进出的数据信息进行严格的控制，根据预定义的规则进行必要的限制，适当地降低风险.其次，安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志及用户和应用日志.随后，采集部件收集到的日志记录被送到日志归类模块，根据日志记录行为的不同层次来进行分类.最后，使用审计与报警模块对日志记录进行审计分析.这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析，以检测出无线网关中是否存在入侵行为、异常行为或非法操作.管理员可以初始化或变更系统的配置和运行参数，使得安全审计系统具有良好的适应性和可操作性.

2　系统设计

2.1　系统结构组成(见图1)

2.2　设计思想

系统从数据采集点采集数据，将数据进行处理后放入审计数据库，采用有学习能力的数据挖掘方法，从“正常”的日志数据中发掘“正常”的网络通信模式，并和常规的一些攻击规则库进行关联分析，达到检测网络入侵行为和非法操作的目的.

2.3　系统的详细设计

系统的处理流程如图2所示:

2.3.1　数据的控制.数据控制模块使用基于Netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制，适当地降低风险.

2.3.2　数据的采集.数据采集模块，即日志的采集部件.为了实现日志记录的多层次化，需要记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为，所以在无线安全网关中设置了多个数据捕获点，其中主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种.2.3.3　日志的归类.日志归类模块主要是为了简化审计时的工作量而设计的，它的主要功能是根据日志记录行为的不同层次来进行分类，将其归为网络行为、系统行为、应用行为、用户行为中的一种，同时进行时间归一化.进行日志分类目的是对海量信息进行区分，以提高日志审计时的分析效率.

2.3.4　日志审计与报警.日志审计与报警模块侧重对日志信息的事后分析.该模块的主要功能是对网关日志信息进行审计分析，即将收到的日志信息通过特定的策略进行对比，以检测出不合规则的异常事件.随着审计过程的进行，若该异常事件的可疑度不断增加以致超过某一阈值时，系统产生报警信息.该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能.

3　系统的实现

3.1　系统的开发环境

智能无线安全网关安全审计系统是基于linux操作系统开发的B/S模式的日志审计系统.开发工具为:前台:Windows XP professional+html+php，后台:Linux+Apache+Mysql + C++.

3.2　日志归类模块的实现[2-3]

无线网关的日志采用linux的syslog机制进行记录，sys-log记录的日志中日期只包含月和日，没有年份.在该模块中，对日志记录的syslog机制进行一些改进，克服其在日志中不能记录年的问题.

下面以无线网关的日志为例，说明其实现过程.网关日志的保存文件为gw.log，用一个shell脚本，在每月的第一天零点，停止syslogd进程，在原来的文件名后面加上上一个月的年和月，如gw.log200603，再新建一个gw.log用于记录当月的日志，再重启syslogd记录日志.这样就把每月的日志存放在有标志年月的文件中，再利用C++处理一下，在记录中加入文件名中的年份.

3.3　日志审计与报警模块的实现

3.3.1　日志审计模块的处理流程(见图3).

3.3.2　规则库生成的实现.安全审计系统所采用的审计方法主要是基于对日志信息的异常检测，即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在.该方法的优点是无需了解系统的缺陷，有较强的适应性.这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库.规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成.

首先系统从数据采集点采集数据，将数据进行处理后放入审计数据库，通过执行安全审计读入规则库来发现入侵事件，将入侵时间记录到入侵时间数据库，而将正常日志数据的访问放入安全的历史日志库，并通过数据挖掘来提取正常的访问模式.最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库.可以不停地重复上述过程，不断地进行自我学习的过程，同时不断更新规则库，直到规则库达到稳定.

3.3.3　日志信息审计的实现.日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分.在对日志进行审计之前，首先要对其进行处理，按不同的类别分别接收到日志信息数据库的不同数据表中.此外，由于所捕获的日志信息非常庞大，系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上，而这些记录中存在的大量冗余信息，在对它们进行的操作处理时必将造成巨大的资源浪费，降低了审计的效率，因此有必要在进行审计分析之前尽可能减少这些冗余信息.所以，在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录，从而大大减少日志记录的数目，同时大大提高日志信息的含金量，以提高系统的效率.采用的方式就是将收集到的日志分为不同类别的事件，各个事件以不同的标识符区分，在存放日志的数据库中将事件标识设为主键，如有同一事件到来则计数加一，这样就可以大大降低日志信息的冗余度.

在日志信息经过预处理之后，就可以对日志信息进行审计.审计的方法主要是将日志信息与规则库中的规则进行对比，如图3所示.对于检测出的不合规则的记录，即违反规则的小概率事件，记录下其有效信息，如源、目的地址等作为一个标识，并对其设置一怀疑度.随着日志审计的进行，如果属于该标识的异常记录数目不断增加而达到一定程度，即怀疑度超过一定阈值，则对其产生报警信息.

4　数据挖掘相关技术

数据挖掘是一个比较完整地分析大量数据的过程，一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等，是一个迭代的过程，通过不断调整方法和参数以求得到较好的模型[4].

本系统中的有学习能力的数据挖掘方法主要采用了3种算法:

1)分类算法.该算法主要将数据影射到事先定义的一个分类之中.这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”.本系统中先收集足够多的正常审计数据，产生一个“判别器”来对将来的数据进行判别，决定哪些是正常行为，哪些是入侵或非法操作.

2)相关性分析.主要用来决定数据库里的各个域之间的相互关系.找出被审计数据间的相互关联，为决定安全审计系统的特征集提供很重要的依据.

3)时间序列分析.该算法用来建立本系统的时间顺序模型.这个算法有利于理解审计事件的时间序列一般是如何产生的，这些所获取的常用时间标准模型可以用来定义网络事件是否正常.

5　结束语

该系统通过改进syslog机制，使无线网关的日志记录更加完善.采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习，获得正常访问模式的规则库，检测网络入侵行为和非法操作，减少人为的知觉和经验的参与，减少了误报出现的可能性.该系统结构灵活，易于扩展，具有一定的先进性和创新性，此外，使用规则合并可以不断更新规则库，对新出现的攻击方式也可以在最快的时间内做出反应.下一步的工作是进一步完善规则库的生成以及审计的算法，增强系统对攻击的自适应性，提高系统的执行效率.

参考文献:

[1]　Branch J W， Petroni N L， Doorn Van L， et al.Autonomic802.11 Wireless LAN Security Auditing[J]. IEEE Security&Privacy， 2004(5/6):56-65.

[2]　李承，王伟钊，程立.基于防火墙日志的网络安全审计系统研究与实现[J].计算机工程，2002，28(6):17-19.

篇3

2．按捏“内关”、“外关”穴：先用右手拇指按压左手内关穴(在腕横纹正中上二寸两筋之间)，右食指按压左手外关穴(在腕外侧，与内关相对)。右手拇食指同时用力按捏，一捏一松25下；再用左手拇食指按压右手内关、外关穴。主防治：心痛、心悸、心胸疾患、胃痛、呕吐、头痛、失眠、手指麻木、手颤等。

3．捏拿“曲池”、“少海”穴：先用右手食指按压左肘曲池穴(屈肘成直角、在肘窝横纹头外侧陷中)，右拇指托按左肘少海穴(在肘窝内侧横纹头陷中，与曲池斜相对)。右手食拇指同时用力捏拿25下；再用左手拇食指捏拿右肘曲池、少海穴25下。主防治：半身不遂、发热、高血压、上肢活动不利、抽搐、关节炎、咽喉肿痛、呕吐、头痛、失眠、肘挛、发狂等。

4．按揉“足三里”穴(在外膝下3寸、胫骨外一横指处)：坐在床上(或椅子)屈膝垂足，用两手拇指分按两腿足三里上，余四指托住小腿肚，两拇指同时用力扣，使劲上下揉50下。主防治：胃脘痛、呕吐、腹痛、腹胀、水肿、消化不良、便秘、瘫痪，口歪、乳痛、咽喉肿痛、发热、失眠、高血压、遗精、阳痿、等，且能降虚火、安神定志，健脾和胃、调补气血，为强健全身保健三大要穴之一。

5．按揉“三阴交”、“悬钟”穴：端坐床上(或椅子)，两腿屈膝，用两手拇指分按两腿三阴交(在足内踝正中上3寸)，两掌抓贴小腿，两食指分按两悬钟穴(在足外踝上3寸、与三阴交相对)，两手拇食指同时用力按，使劲上下揉50下。主防治：腹痛、腹胀、肠鸣、泄泻、脾胃虚弱、食欲不振、月经不调、崩漏带下、经闭、遗尿、小便不利、疝气、半身不遂、颈项强痛、胸腹胀满，腰腿萎痹、失眠等。

6．扣揉双膝眼：用双手掌心分捂两膝盖骨，两手食中指分按两腿内外双膝眼(在膝盖骨两旁陷中)，两无名指分按压两腿外侧阳陵泉穴(在膝下腓骨小头前下方，凹陷中)。两掌根着力两鹤顶穴(在膝盖骨上缘中央)。两手掌心、掌根、指端、同时齐用力，使劲上下揉50下。主防治：膝关节炎、膝冷痛、鹤膝风、老寒腿、下肢不遂、瘫痪等。

7．双手摩擦大小腿和足：留内衣，坐在床上(或凳椅)，先环右腿屈膝，足跟着铺，足趾跷起，两手拇食指岔开，右手按在右大腿外侧，从臀部(环跳)往下摩擦足三阳经，左手掌按在右足三阴经，两手搂抱大腿，两拇指腹着力大小腿面，两手四指并拢着力大小腿肚，同时用力平行往下摩擦经胭窝(委中)至足后跟(昆仑、照海)再向前，两拇指沿足背、余四指沿足底(涌泉)，两掌肚着力足背两侧直达足趾端(足有全身反射区)呼气；补泻相兼，再返回抚摩至大腿根为一下，吸气。25下。再换左腿摩擦抚摩25下。主防治：下肢关节炎、半身不遂，四肢抽搐、麻木、头痛、失眠、便秘、瘫痪等。

8．四肢交替按摩：留内衣，仰卧床上(冬天侧卧在被窝里)，先环右腿用右脚心(涌泉)，从左膝盖骨上(鹤顶、血海)往下抹擦(阴陵泉、足三里、丰隆、三阴交、太溪、太冲、行间等)至足趾端；同时用右手心(劳宫)从左肩周往下抹擦，四指着力手臂外侧手三阳经，拇指着力手臂内侧手三阴经至手指端。右手右脚上下动作要协调一致同时往下抹擦一下后，再交换左手左脚抹擦右臂右腿一下，四肢交替，各25下。主防治：四肢关节炎、筋骨痛、半身不遂、腰腿痛、高血压、肥胖症、头痛、失眠等，且能促进周身血液循环，强健全身。

篇4

现今深基坑支护结构的设计理论虽然有了很大发展，但是在实际施工中仍然存在许多不足的地方，主要表现为如下几个方面。

1.1 边坡修理不达标

在深基坑施工中经常存在挖多或挖少的现象，这都是由于施工管理人员管理的不到位以及机械操作手的操作水平等多种因素的影响，使得机械开挖后的边坡表面的平整度和顺直度不规则，而人工修理时又由于条件的限制不可能作深度挖掘，故经常性的会出现挡土支付后出现超挖和欠挖现象。这是深基坑支护工程施工中较为常见的不足之处。

1.2 施工过程与施工设计的差别大

在深基坑中需要支护施工时，会用到深层搅拌桩，但其水泥掺量会不够，这就影响水泥土的支护强度，进而使得水泥土发生裂缝，另外，在实际施工中，偷工减料的现象也时常发生，深基坑挖土设计中常常对挖土程序有所要求来减少支护变形，并进行图纸交底，而实际施工中往往不管这些框框，抢进度，图局部效益，这往往就会造成偷工减料现象的发生。深基坑开挖是一个空间问题。传统的深基坑支护结构的设计是按平面应变问题处理的。在未能进行空间问题处理之前而需按平面应变假设设计时，支护结构的构造要适当调整，以适应开挖空间效应的要求。这点在设计与实际施工相差较大，也需要引起高度的重视。

1.3 土层开挖和边坡支护不配套

当土方开挖技术含量较低时，组织管理也相对容易。而挡土支护的技术含量较高，施工组织和管理都比土方开挖复杂。所以在实际的施工过程中，大型的工程一般都是由专业的施工队伍来完成的，而且绝大部分都是两个平行的合同。这样，在施工过程中协调管理的难度大，土方施工单位抢进度，拖延工期，开挖顺序较乱，特别是雨天期间施工，甚至不顾挡土支护施工所需要工作面，留给支护施工的操作面几乎是无法操作，时间上也无法去完成支护工作，对属于岩土工程的地下施工项目，资质限制不严格，基坑支护工程转手承包较为普遍，一些施工单位不具备技术条件，为了追求利润而随意修改工程设计，降低安全度。现场管理混乱，以致出现险情，未做到信息化施工和动态化管理。这也是深基坑支护施工中常见的问题之一。

2. 深基坑支护实施策略

2.1 转变传统深基坑支护工程设计理念

现如今我国在深基坑支护技术上已经积累很多实践经验，初步摸索出岩土变化支护结构实际受力的规律，为建立健全深基坑支护结构设计的新理论和新方法打下了良好的基础。但对于岩土深基坑支护结构的实际设计和施工方法仍处于摸索和探讨阶段，而且，目前我国还没有统一的支护结构设计的相关规范和标准。土压力分布还按库伦或朗肯理论确定，支护桩仍用“等值梁法”进行计算。这些陈旧的计算理论所计算出的结果与深基坑支护结构的实际受力悬殊较大，既不安全也不经济。因此，深基坑支护结构的施工工程设计不应该再采用以往传统的“结构荷载法”，而应彻底改变传统的设计观念，逐步建立以施工监测为主导的信息反馈动态设计体系。

2.2 重视变形观测，并注意及时补救

岩土工程中深基坑支护结构变形观测的内容包括:基坑边坡的变形观测、及周围建筑物及地下管线变形观测等。通过对监测数据可以及时分析并及时了解土方开挖及支护设计在实际应用中的情况，分析其存在的偏差便可以及时的了解基坑土体变形状况以及土方开挖影响的沉降情况还有地下管线的变形情况等。对设计中存在的偏差，在下部施工中及时校正设计参数，对已施工的部位采取恰当的补救和控制措施，为此，要求现场变形观测的数据必须准确、可靠、及时，要求变形观测人员严格按照预定设计方案精心测量、认真负责，保证观测质量。如果在实际测量中确实发现异常情况，就需要即时研究采取措施以防止其恶化。而一旦出现大的变形或滑动，立即分析主要原因，做出可靠的加固设计和施工方案，使加固工作快速而有效，防止变形或滑动继续发展。研究和应用已有的基坑工程行业的和地区性规范以及当地的工程经验。对于重大复杂的基坑工程目前国内采用专家论证的形式，对保证工程安全、降低造价是有效和现实的一种方法。

2.3 全程控制基坑支护的施工质量