关键词:审计 审计类型 演进展望
从审计恢复之初的1985年实施的《审计工作暂行规定》到《中华人民共和国审计法》及于2010年5月1日起实施《中华人民共和国审计法实施条例》,“真实、合法、效益”一直是审计工作的重要内容,贯串于始终,它高度概括了国家对审计的本质要求和审计目标所在,与此相适应,审计类型应以实现上述审计目标而设置。审计类型的发展是审计发展的一个缩影,本文拟从审计目标与审计类型的关系中,探究国家审计类型的演进趋势及审计体制、工作创新方法,以适应我国经济的发展对国家审计工作的要求。
一、真实、合法和效益内涵与审计主要类型
(一)真实、合法和效益内涵与外延
真实:是指会计信息与实际的财政收支、财务收支状况和业务经营活动成果相符合。
合法:是指财政收支、财务收支是否符合相关法律、法规、规章、制度和其他规范性文件,二层含义:一是经济活动符合法律法规;二是会计核算符合法律法规;也就是说经济活动是否遵循国家法律法规。
效益:是指对被审计单位的财政收支、财务收支及其经济活动的经济、效率和效果,也就是说是否达到了预期目的。
从其外延看,一个企事业单位、或者是政府组织的与财政、财务收支的有关经济活动,是否符合国家的相关政策、是否是真实存在的经济活动;是否实现了其预期目标,及效果如何,是否符合经济效益的同时,符合社会效益包括环境效益,政府组织的行政行为、政策法规是否实现、是否有效、是否达到预期目标都应是效益范围。例如:一个学校支出的教学经费是多少,是否有损失浪费是审计的范围,财务收支审计既是为此而设置;而其教育成果如何、教学质量在全国、全世界是什么水平,是否实现公众所关心教育目标;是否存在管理问题;一个项目从财政、财务收支上真实、合法、效益可能没有问题,但从其立项合法性上是否有问题?是否是实际需要?是否实现了专项资金的预定目标?是否实现了原定规划的要求?因此,财政或者财务收支是审计的范围,而这一部门所担负的职责履行如何,所制定的政策是否实现了预期目标、取得了预期效果,是否存在问题,同样是审计范畴,而且是更重要的“效益”范畴。
(二)财政、财务收支审计和经济效益、经济责任、绩效审计是我国审计的主要类型。
这是进行审计工作职责范围,这要求审计在审计方式的运用上,以此为基础,从审计工作恢复时起,财政、财务收支审计和经济效益审计、经济责任审计就是审计工作的重要内容:
一九八三年国务院转发审计署《关于开展审计工作几个问题的请示》关于审计机关的任务第三和第四条规定,“对国营企业、基本建设单位、金融保险机构,以及县以上人民政府管理的相当于国营的集体经济组织的财务收支,进行审计监督,并考核其经济效益。维护国家财经法纪,对严重的贪污盗窃、侵占国家资财、严重损失浪费、损害国家利益等行为,进行专案审计。”
《国务院关于审计工作的暂行规定》(1985年8月29日国务院 )第二条:“审计机关是代表国家执行审计监督的机关。通过对国务院各部门和地方各级人民政府的财政收支,财政金融机构、企事业组织以及其他同国家财政有关的单位的财务收支及其经济效益,进行审计监督,以严肃财经纪律,提高经济效益,加强宏观控制和管理,保证经济体制改革的顺利进行。”
《关于开展厂长离任经济责任审计工作几个问题得通知》(一九八六年审计署文件)中明确规定了审计的内容:厂长任期内企业的财务收支是否合规合法,盈亏是否真实,经济效益是否达到任期目标,国家资财有无损失浪费等。一九八八年审计署得《关于全民所有制工业企业承包经营责任审计得若干规定》中也把承包经营目标得实现情况及企业经营者得经济责任、国家资产得维护和增值、重大损失浪费等作为审计得重要内容。
《中华人民共和国审计条例》(实施日期1989/01/01 -1995/01/01 )“第二条 国家设立审计机关,实行审计监督制度。审计机关对本级人民政府各部门、下级人民政府、国家金融机构、全民所有制企业事业单位以及其他有国家资产单位的财政、财务收支的真实、合法、效益,进行审计监督。”
《中华人民共和国审计法》1994年8月31日第八届全国人民代表大会常务委员会第九次会议通过根据2006年2月28日第十届全国人民代表大会常务委员会第二十次会议《关于修改〈中华人民共和国审计法〉的决定》修正)“第二条国家实行审计监督制度。国务院和县级以上地方人民政府设立审计机关。国务院各部门和地方各级人民政府及其各部门的财政收支,国有的金融机构和企业事业组织的财务收支,以及其他依照本法规定应当接受审计的财政收支、财务收支,依照本法规定接受审计监督。审计机关对前款所列财政收支或者财务收支的真实、合法和效益,依法进行审计监督”。
《中华人民共和国审计法实施条例》(1997年10月21日中华人民共和国国务院令第231号公布2010年2月2日国务院第100次常务会议修订通过)“第二条 审计法所称审计,是指审计机关依法独立检查被审计单位的会计凭证、会计账簿、财务会计报告以及其他与财政收支、财务收支有关的资料和资产,监督财政收支、财务收支真实、合法和效益的行为。”
由此看出,从上世纪八十年初起,政府机关和国有企事业经济活动的真实、合法、效益的监督就是国家审计机关的重要内容。从1989年1月1日执行的《中华人民共和国审计条例》起明确提出了对“财政、财务收支的真实、合法、效益,进行审计监督。”这一时期审计的主要类型是财政财务收支审计和经济效益审计(包括经济责任和绩效审计)。
二.审计类型的演进与展望
(一)、我国审计类型中存在的问题
1.中央及省直与县市审计对象在规模上的差距应在审计目标上有不同审计类型。
中央及省直审计机关审计对象规模较大,一般在审计目标设定时,考虑审计成本和风险因素而只设定一、二个目标,比如只对真实、合法性进行审计,而市县审计机关审计对象相对较小,如果在设定审计目标时还比照上级审计机关的审计目标,则会出现浪费审计资源,降低审计效率。比如财务收支审计,在市县一级审计机关应增加效益审计目标,审计类型应定为财务综合审计。
2.我国经济发展需要开展新类型的审计项目。
我国现阶段的审计类型可归纳为以财务管理为审计内容的财务审计(包括行政、事业、企业财务审计);以及财务管理与经济管理为审计内容的管理审计(经济效益审计、经济责任审计、绩效审计、管理审计),①其中绩效审计包括政府责任审计越来越成为国家审计的主要类型。
随着社会主义市场经济的发展,涉及到部门、行业、地方的经济利益的矛盾与联系会越来越多,如有的产业的发展布局、战略的选择;维护国家安全;政策对社会、经济影响的评估等等,这必然会拓展审计领域,增加审计类型。环境、“三E”、“五E”、政府绩效、产业政策、教育文化政策、国家安全中的财政安全、金融安全、环境安全、民生安全、食品安全等也必然成为审计工作的重要内容,创新出适应中国特色社会主义需要的新的审计类型。
《审计署2008至2012年审计工作发展规划》中明确规定审计工作的主要任务:“把审计工作更好地融入全面建设小康社会发展全局,推进民主法治,维护国家安全,保障国家利益,促进国家经济社会全面协调可持续发展”。 要求探索创新审计方式,在深入总结我国审计实践的基础上,不断探索符合我国发展实际的审计方式和方法,增加新的审计类型。审计长刘家义指出“审计工作一定要关注国家安全。它是我们的一项重要任务。国家安全是政府责任的首要环节,是民主民生的根本保障。我们审计工作要关注国家财政安全、金融安全、环境安全、民生安全等。在维护国家安全方面,我们要积极探索,坚持不懈地抓下去。”包括国家安全在内的的政府的重要职能,事关全国人民切身利益的大事,国家重大政策的执行效果与效率,理应是人民大众关注的焦点与热点,因此必然是审计工作的“重要任务”。
(二)、在审计体制内进行统筹安排、创新工作方法的探讨
1.完善现有审计类型,实现审计新技术的历史性突破
虽然我国的国家审计工作恢复只有二十六年的时间,但是取得了很大成绩,财务审计、管理审计、经济责任审计、绩效审计取得了丰硕成果;缩小了与发达国家的差距的同时,充分利用我国审计工作全国“一盘棋”的整体优势,创造了具有中国特色的审计类型,如行业(项目)审计,通过对某一行业或者某一项目的审计,与效果审计相结合,揭露出存在的问题,具备其他审计类型所不具备的优势,这一我国独有的审计类型,为我国的社会主义建设事业,做出了重大贡献。
从八十年代初审计工作恢复至今已有二十七年,如何完善现有审计类型,总结经验,找出不足,才能建立有中国特色的社会主义审计体制。
一是要针对不同的审计对象的规模,合理确定审计目标,如果是规模较小可将“真实、合法、效益”作为审计目标,如市县一级的财务收支审计类型改为综合审计。
二是发挥我国审计的特点,适应当前新的要求,多在行业(项目)审计与效益审计、绩效审计结合上进行审计。
三是充分发挥计算机网络审计的优势,完成从人工审计到计算机管理网络系统审计的历史性跨越。
2.开拓新的审计类型、创新审计工作方法
关键词:安全审计;数据挖据;日志分析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c
Research of the Network Security Audit System Based on Data Mining
(Department of Information and Electronic, Hangzhou polytechnic, Hangzhou 311400, China)
Abstract: In this paper, network security audit was studied as a data analysis process, logs in the network environment is the important data source, some main data mining techniques was considered such as Preprocess, Association, Sequential, Classification, Clustering, a basic structure of network security audit system was proposed and the algorithms for audit data mining was discussed.
Key words: security audit; data mining; log analysis
随着信息化建设的飞速发展,金融机构、政府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高,除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外,对这些数据的合法操作同样有可能导致安全事故的发生,比如泄密、恶意删除、操作失误等。为此,基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据IDC统计,2007-2011年,国内风险管理解决方案市场以22.4%的复合增长率快速增长。
现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动,对与安全相关活动的信息进行识别、记录、存储和分析,并对突发事件进行报警和响应之外,还能通过对系统事件的记录,为事后处理提供重要依据,为网络犯罪行为及泄密行为提供取证基础。同时,通过对安全事件的不断收集与积累并且加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,即事后分析及追查取证,以保证系统的安全。
在TCSEC和CC等安全认证体系中,网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度,是一个安全的网络必须支持的功能特性[1]。
本文以安全审计领域中的数据挖掘应用为研究视角,以操作日志为数据对象,给出了基于多源日志数据挖据的网络安全审计系统的基本架构,并对研究过程中的几个关键技术点进行了分析。
1 系统架构
目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新,这样在安全审计的过程中系统不能自适应地识别出新型异常,使误报警和漏报警问题不断发生。此外,一方面随着网络应用的普及,网络数据流量急剧增加,另一方面有些审计记录本身包含了大量的无关信息,于是,数据过载与检测速度过慢的问题也不无出现。
数据挖掘本身是一项通用的知识发现技术,其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前,操作系统的日益复杂化和网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息,人们希望能够对其进行更高抽象层次的分析,以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型,可以由计算机利用相应的算法判断出当前网络行为的性质。
基于数据挖据的网络安全审计系统的基本架构如下图1所示。
图1 系统架构
系统由ETL、数据仓库、元数据引擎、OLAP引擎、专家知识库、数据挖掘模型、应用接口等部分组成。ETL系统将异构、分散的审计数据日志抽取并清洗后送入数据仓库;数据仓库根据不同的数据分析特点采用星型或雪花型模式存储多维数据模型;元数据引擎负责定制与维护规范的ETL规则定义、数据仓库模型定义及业务流程定义;OLAP引擎通过MDX(Multi Dimensional Expression,多维查询表达式)语句分析器响应用户查询操作,分析器接收客户端提交的MDX语句,并对该MDX语句进行语法和语义分析,然后按照预先定义的多维数据模型转换成相应的SQL(结构化查询语句)语句,最终从关系型数据库中获取有关的数据。如果需要获取的数据已经在缓存中,则直接从缓存中获取。专家知识库记录了典型案例和审计规则,根据知识库中的规则,责任分析模型应用数据挖掘相关算法对数据进行分析,当某用户的行为与知识库中定义的异常规则相一致时,通过应用接口层给出警报信息,当出现与知识库中的任何规则都不匹配的异常规则时,利用聚类和分类挖掘技术将这些知识添加到知识库中。这样可以通过不断修改知识库来发现未知攻击或已知攻击的变种。
2 关键技术分析
2.1 多源日志处理
在信息化建设过程中,由于各业务系统建设和实施数据管理系统的阶段性、技术性以及其它经济和人为因素等影响,操作系统、网络设备、安全设备的使用日益复杂化,这导致产生了大量异构、分散的安全审计数据,包括操作系统日志、安全设备日志、网络设备日志以及应用系统日志等,这给数据分析与决策支持带来了困难。解决方案是对异质异构日志数据格式进行转换,同时使用事件合并机制对系统间相似数据进行合并,并与各案例库和各日志库一起为责任认定系统提供数据服务,为责任认定提供依据。文献2对多源日志数据的采集、范化、分析、过滤、聚类、归并等过程进行了综述,并提出了相应的算法和实例。
2.2 审计数据仓库构建
数据仓库存储模型与传统的业务数据库系统有着本质的区别,数据库技术在存储模型建设方面强调数据模型的规范性和高效存储能力,而数据仓库技术在存储模型建设方面强调数据查询的方便性和快速响应能力。目前通常采用的数据仓库存储模型有:星型模型,雪花模型[3]。星型模型将一个事实表放在中间,周围是有数据相关的维表,事实表是星型模式的核心,数据量很大。维表是事实的附属表,数据量比较小,它提供了事实表中每一条记录的描述性信息。在星型模式中,每个维只用一个表来表示,每个维表包含一组属性,从而造成了一定程度的冗余。为了避免这些冗余数据占用过大的空间,可以用多个维表来表示一个层次复杂的维,从而把数据进一步分解到附加的表中。这种规范化了的星型模式称为雪花模式。虽然雪花模式减少了数据冗余,节省了存储空间,但由于执行查询时需要进行更多的连接操作,降低了浏览的性能。在审计数据仓库中,由于浏览操作的实时性和频繁性,星型模型更为适用。
2.3 数据挖据算法应用
在安全审计中,运用数据挖掘技术,可以利用统计、分类、聚类、关联、序列分析、群集分析等方法,对网络日志中大量的数据进行深层次分析和研究,揭示其本来的特征和内在的联系,使它们转化为网络安全检测所需要的更直接、更有用的信息。
1) 分类与预测算法:分类要解决的问题是为一个事件或对象归类。在使用上,既可以用来分析已有的数据,也可以用它来预测未来的数据。安全审计可以看作是一个分类问题:我们希望能把每一个审计记录分类到可能的类别中,正常或某种特定的入侵或操作异常。一般来讲,分类根据系统特征进行,关键就是选择正确的系统特征,大多数时候还需要根据经验和实验效果确定一个合理的阀值。
2) 关联分析:关联规则挖掘是指发现大量数据中项集之间有意义的相关联系。关联规则可以从海量的日志数据集中发现不同字段之间存在的关系,这些联系反映了用户的某些操作在一段时间内频繁出现的条件,清楚地反映了用户的行为模式。利用关联规则算法挖掘出合法用户的历史正常行为模式,将当前的行为模式与历史正常行为模式进行比较,从而可以分析出用户的潜在异常行为。文献4即根据网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,改变了候选项集的产生顺序,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性。
3) 聚类技术:聚类就是将数据对象分组成多个类或者簇,划分的原则是在同一个类(簇)中的对象之间具有较高的相似度,而不同类(簇)中的对象差别较大。在网络安全审计中,聚类模式的常规做法是通过分析网络资源的受访问情况以及访问次序,来找到用户间相似的浏览模式,并进行安全性识别。文献5针对聚类应用在日志分析中存在的主要问题,从聚类算法的选择标准、改进方向、性能分析3个方面探讨了典型聚类算法k-means算法的研究成果。
3 结束语
本文将网络安全审计与责任分析视为一种数据分析的过程,以网络环境中大量的安全责任日志数据为分析对象,综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术,提出了网络安全审计系统的基本架构,重点对适用于审计数据挖据的相关算法进行了应用分析。
参考文献:
[1] 张旭东.内网安全审计系统及审计数据挖掘研究[D].浙江工业大学,2007.
[2] 刘成山,张秀君,刘怀亮.多源日志的数据挖掘方法研究[J].情报杂志, 2009(3):154-156.
[3] Inmon, W H.数据仓库[M].4版.北京:机械工业出版社,2006.
随着计算机以及网络的普及和广泛应用,信息系统的安全问题也变得越来越严重.虽然有很多安全技术,如加密、访问控制、入侵检测等可以用来应对各种安全威胁,但是这些技术并不能完全保障系统的安全.事实上,在系统实际运行中,安全威胁中很大一部分都源于内部人员攻击,而入侵检查和访问控制等机制对这类攻击的防范能力非常有限;另一方面,对于很多外部入侵事件,入侵检测工具不能作出正确的响应.在这些情况下,作为安全事件追踪分析和责任追究的审计机制有着不可替代的作用.审计机制在多级安全数据库中更为重要.因为在支持多级安全的数据库系统中,隐通道可以绕过强制安全策略的限制,可能构成对系统的严重安全威胁.有些隐通道很难在系统实现中完全消除,对这些隐通道一般可以采用审计的方法【1】.通过对构成隐通道场景中操作序列进行审计,可以威慑内部人员利用隐通道进行的非授权通信,也可以在事后检查是否存在恶意代码的攻击. 因此。对多级数据库设计灵活的审计机制更加必要. 对于审计子系统来说,一个简单的审计策略是,对数据库系统中发生的所有事件都审计,可以完全满足安全分析和责任追踪的需求.然而,这样将大大降低系统的时间效率和空间效率,并且记录大量无用的事件信息.因此,对系统中所有操作事件都审计是不现实的,也是不必要的.审计系统应该具有配置审计事件的能力,灵活、有效的审计配置功能可以使得审计日志在尽量少占用时间和空间的前提下,为安全事件分析和责任追究提供足够多的信息.然而,已有的商业化数据库系统对灵活的审计设置的支持非常有限.因此,研究并提出具有灵活结构、表达能力丰富、形式化的审计策略模型对多级安全系统的设计和开发都有着重要的意义. 针对目前实际系统对审计支持的局限性,本文提出的审计策略模型主要解决以下几方面的问题:首先,对于大型的数据库管理系统,由于包括了大量的数据对象和用户,需要支持多个审计管理员进行分布式管理,如何实施全局的审计策略设置以及如何协调各个审计管理员之间的关系是值得研究的. 其次,需要研究如何为审计管理提供灵活的基于时间的审计.这种功能是很有必要的.比如,审计策略要求在下班时间或者某些重要的时段发生的事件需要更全面和详细的审计,这时就可以使用支持时间约束的审计规则.否则,需要审计管理员在不同的时段重新配置审计策略,给管理带来很大的不便. 最后是细粒度审计设置的研究.在一些数据库中,针对元组的细粒度审计一般是通过触发器机制实现的.这种方式不利于审计管理员进行全局的一致性的审计策略管理.在本文提出的模型中,我们通过引入审计对象属性谓词来实现灵活的细粒度的审计策略配置. 需要指出的是,在多级安全的数据库中,一方面要求审计子系统应该支持对隐通道的审计,另一方面,审计子系统本身在设计时也应该尽量避免引入新的隐通道.本模型提出的细粒度审计策略设置可以用来辅助对隐通道的审计.本模型还规定审计策略的安全级别满足一定的性质以防止引入新的隐通道. 本文第1节详细描述基于多级安全数据库管理系统的通用审计策略模型的框架结构.第2节讨论审计策略模型的核心结构审计策略规则库的组成以及策略表达语言.第3节给出保证模型安全性必须满足的不变量.第4节讨论审计策略规则库的可判定性问题并给出了判定算法.第5节介绍与本文相关的研究工作.第6节总结全文.1多级审计策略模型基本框架多级安全数据库是实施多级强制安全策略(比如BellLaPadula模型【21)的数据库管理系统.从抽象的模型层次来看,数据库与操作系统的不同之处主要是数据库中引入了事务以及数据模型,因此,在审计策略模型中包括了事务类型和会话类型.我们的审计策略模型中对客体对象抽象为树状结构,与具体数据模型无关,因此既可以用于关系数据模型,也可以用于对象数据模型以及半结构化数据模型,如XML文档数据库.多级安全的数据库中所有的主客体都有相应的安全级别标签,并且树状结构的客体对象的安全级别满足从树根到叶子的升序关系.这样,根据BLP模型的简单安全特性(任何用户只允许读该用户的安全级别支配的客体),任何级别的用户看到的对象视图也构成一棵树.用户的安全标签可以是TRUSTED,表明该用户是可信的,可以违反强制安全策略. 引入可信主体的目的是为了方便管理员的操作.用户也属于一种特殊的客体对象,因为用户属性修改、删除用户等操作的对象就是用户名.审计策略模型的核心是审计策略规则库,实施审计的子系统将根据审计策略规则库决定是否对一个事件审计. 2审计策略规则库 审计策略规则库是审计策略模型的核心部分,根据审计策略规则库可以确定对任何一个事件是否应该审计以及审计的频度.实施审计的子系统将根据上述判定结果实施审计或者不审计.本节我们将依次给出审计策略规则库各个组成部分的定义. 由于本模型支持时间约束的审计策略,我们先给出时间约束的定义.文献[3】引入了周期时间的概念,由于该定义直观上易于理解,并且能够表达常见的时间约束。因此本模型也采用这种时间描述形式. 在审计策略中,我们可以根据一个操作的执行结果决定是否进行审计.常用的操作执行结果有操作成功和操作失败.为了进一步控制对某些类型操作结果的审计,我们还定义了自主访问控制不允许导致的操作失败、强制访问控制不允许导致的失败,以及在系统禁止多实例时用户企图创建多实例对象导致的失败.通过对操作失败原因的细分,可以方便地按照违反安全策略的类型对操作进行审计策略定义. 定义4(操作执行结果ges).操作执行结果是操作执行是否成功或者失败以及失败类型.操作执行结果集合RES={fi,r2,吩,...),并且基本操作执行结果集合{SUCCESSFUL,uNSucCESSFUL,BOTH)cRES,以及操作失败类型集合FRES={EDAC,EMAC,EPOL,...}cRES.其中SUCCESSFUL表示操作成功执行,uNsuccEssFuL表示操作失败,BOTH表示操作成功或者失败,EDAC表示自主访问失败,EMAC表示强制访问失败,EPOL表示多实例失败(当系统禁止多实例时创建导致多实例的对象).除了基本操作执行结果以外,RES还可以包括其他类型的操作执行结果.#p#分页标题#e# 在一次会话中,同一个用户对同一个对象进行同一个操作,而且操作结果也相同,那么审计策略可以规定审计次数(审计频度),即每次访问都进行审计或者整个会话只审计一次.由于在数据库系统中一个会话可以相对于多个事务,因此审计策略还有一个选择是:规定每个事务审计一次.审计频度的引入可以帮助审计管理员在配置审计策略时,在审计记录信息的充分性和审计效率之间进行平衡. 定义5(审计频度FREQ).审计频度是相同类型的事件(用户、操作、操作对象、操作结果相同)在一个系统运行阶段中审计的次数.集合职EQ定义为用硒Q={SESSION,TRANSACTION,ACCESS),其中SESSION表示审计记录等于会话频度,即在一个会话中同样的访问事件只记录一次.TRANsAcTION表示事务频度,ACCESS表示访问频度. 在数据库系统中,对象客体有很多属性,比如对象的名称、类型、宿主等.对于元组对象,还包括元组中元素属性的值.通过引入对象属性函数,就可以基于对象属性进行审计策略配置,提供灵活的细粒度的审计策略规则.比如,通过元组属性,可以控制对元组级访问的审计. 定义6(对象属性函数ATTR).对象的属性函数集合ATTR={啦,at2,at3,...),并且定义{Name,Label,Type,Owner,Elem}c-_ATTR为基本的对象属性函数.注意这些函数都是偏函数,可在某些对象上没有定义.其中Name:0jSTRING,把对象映射为对象的名称,STRING为字符串类型:Label:0斗L,返回对象的标签,Type:0一臃,返回对象的类型;Owner:0一U,返回对象的宿主;Elem:0XELEMENToVALUE,返回元组对象的元素值,其中ELEMENT是元组属性名集合,VALUE定义为值集合,是最基本的抽象数据类型,模型中其他类型都是它的子类型,如字符串类型、对象类别类型、用户类型等. 在前面定义的基础上,我们可以定义基本的审计策略项. 定义7(审计策略项).审计策略项是九元组(口,d,q,U,P,f,r,S,m),其中a∈AU{ALLACT)是需要审计的操作,ALLACT表示所有的操作;d∈0表示审计对象所在的范畴,所谓审计范畴是指被审计的对象都在以对象d为根的子树中;g是关于对象的谓词,一般形式是atil(o,...)=vfl^…^ato(o,...)=‰,v“,…,vf,∈VALUE;U∈UU{ALLUSER),ALLUSER表示所有的用户;P是区间周期时间约束,f∈FREQ,r∈RES,J={+,一},表示审计或者禁止审计.m∈UU{SYS)表示设置该审计策略规则的用户,当审计设置用户为SYS时,表示由系统设置的强制审计项.注意,审计策略项不能包含变量.该审计策略表示,对于操作SELECTTABLE,操作对象是在数据库DB】中的类型为表的对象五,所有的用户,时间从2004年-2006年每天的18点一第2天的9点,无论操作结果如何,在一个事务中审计一次.该审计策略是ALICE设置的. 下面定义审计策略闭项.与审计策略项相比,审计对象范畴和审计对象谓词两个元素被确定的审计对象取代,周期时间约束为具体时刻.因为审计策略闭项与系统事件(将在后面定义)形式上更为接近,所以,根据审计策略闭项可以方便地判定一个事件是否需要审计. 定义8(审计策略闭项).审计策略闭项定义为八元组(口,o,u,f,,,r,s,埘),其中f为时刻,其他都是常量,与审计策略项定义相同. 不同的审计策略项可能会表示相同的审计策略.下面定义的审计策略公理就是对审计策略项之间的蕴涵关系的形式化规定,用户定义的任何审计策略库都包含这些规则. 定义9(基本审计策略推衍规则).推衍规则的一般形式是疗甜q,口材破,...,口“4j口“反。,推衍规则符号与前面的审计策略项是前提,后面是推衍结果.推衍符号上的C是推衍的约束条件,当C=f时表示没有约束. 注意,推衍规则符号—旦专和逻辑蕴涵符号专的区别,前者一定会出现推衍约束条件.否定推衍规则的含义是,审计策略项的非就是审计符号J取反.下面规则的含义都非常清楚,这里不再一一说明.除了不同审计策略库都包含的基本审计策略推衍规则以外,用户还可以根据需要定义其他的审计策略推衍规则.引入这些规则可以使得审计管理员通过少量的定义生成大量的审计策略,从而方便审计管理员定义和维护审计策略,减轻审计管理员的负担.如同审计策略公理一样,在审计策略衍生公式中,审计策略项的分量可以是变量,也可以是常量.在aud中分要么是前提中出现的变量,要么是常量(LL如具体的用户,对象,操作,或者关于属性的谓词表达式).简便起见,定在蕴涵符号后边的审计策略项不包括“非”,这不影响衍生公式的表达能力. 定义2~定义10是审计策略规则库的所有组成部分的定义,下面给出审计策略库的完整组成定义,定义11(审计策略规则库APB).审计策略规则库由多个审计策略项(称为初始审计策略项),基本审计策略推衍规则和扩展审计策略推衍规则组成.其中审计策略项和扩展审计策略推衍规则可以根据需要来定义,而APB中必须包含全部基本审计策略推衍规则. 3审计策略模型不变量 本节我们给出审计策略模型应该满足的安全性质(或者称为模型不变量). 因为我们的审计策略模型是基于多级数据库管理系统,所有的审计策略项或者审计策略衍生规则也是有安全级别的,为了避免隐通道,我们规定了审计策略的安全级别应该满足的性质.通过信息流分析方法可以证明满足下列性质的审计策略模型没有隐通道. 性质1.审计策略(包括审计策略项和扩展审计策略规则)的安全级别等于设置审计的用户策略的安全级别.对于可信审计管理员设置的审计策略,审计策略的级别设置为最高的安全级别. 假设ap是用户“设置的审计策略,根据强制安全策略,只有用户的级别支配对象级别时,才可以读访问该对象.下面的性质要求非可信的审计管理员的级别应该支配审计策略中的范畴d的级别.4APB的可判定性在讨论APB的可判定性之前,我们先定义什么是审计策略项的推衍.定义12(审计策略项的推衍).#p#分页标题#e# 我们把审计策略规则库“推衍”出一个审计策略项(或者闭项)记为:APB卜÷(a,d,q,“,f,,,r,s,m)或者APBH(口,0,甜,zI,厂,r,S).审计策略项推衍关系是下面的递归关系形成的最小关系: (1)如果该审计策略项是APB中的初始审计策略项,则APB卜÷(d,d,q,z,,f,,,r,s,m). (2)如果一个推衍规则口Ⅳ碣,口”也,..棚甜瓯—三专口甜以+。前提中的审计策略项口甜碣,口“吐,...,口甜砟都可以由APB推衍,且该推衍规则的约束条件C满足,同时,当模型的3个不变量也满足时,该推衍规则结论中的审计策略项也是可以推衍的,即APBF---)口“以"从APB推衍某个审计策略项的过程可以形成一棵推衍树.推衍树的树根是目标推导审计策略项,孩子节点对应推衍规则前提的一个审计策略项,父节点对应推衍规则的结论审计策略项.对于审计策略规则库APB,一个重要的问题是,是否存在算法判定任何一个审计策略闭项能否可由审计策略库推导出来.我们知道,在一般的基于一阶谓词逻辑的系统中不存在这样的判定算法.对于本文定义的APB来说,我们将证明APB是可判定的.下面首先定义APB的可判定性,然后构造一个判定算法,并证明该算法的正确性,从而证明APB是可以判定的. 定义13(APB的可判定性).对于任意的审计策略闭项(口,0,U,f,厂,r,s),如果存在有限步骤的算法确定APB卜÷(口,0,材,『’厂,r,J)是否成立,则称APB是可判定的. 定义14(审计策略项/闭项的匹配).两个可能包含变量的审计策略项(a,d,q,U,P,f,r,s,m)和(口’,d’,q’,U’,p’,.厂7,r’,S’,m’)(或者两者前面都有否定符、)是匹配的,当且仅当对于它们中每~对参量,a,a’;d,d’;…;聊,m’,如果两者都是常量则必须是相同的;如果其中一个为常量,另一个为变量,则称该常量为变量的匹配常量.注意,在前面描述的推衍树中,已经推衍出的审计策略项如果与推衍规则前提中的审计策略项相匹配就可以推衍出新的审计策略项.因此,为了后面描述算法的需要,我们把匹配也作为一种特殊的推衍规则(类似地,有审计策略闭项的匹配,这里不再单独定义). 算法1.审计策略闭项判定算法CAPD. 本算法对于一个给定的审计策略规则库APB和一个审计策略闭项(a,o,甜,f,厂,,,s,m),判定该审计策略闭项是否可以由APB推导出来,即APB卜÷(口,0,U,f,厂,r,J)是否成立. 本算法的基本思想是,首先定义扩展审计策略项集合,其初始值包含所有的基本审计策略项;然后生成新的项并入扩展审计策略项集合,方法是判断每个扩展推衍规则的所有前提策略项是否可以由扩展审计策略项集合以及基本推衍规则推衍,如果可以,就把该扩展推衍规则生成的项加入扩展审计策略项中,重复该过程直到不能找到新的审计策略项;最后,判定扩展审计策略项和基本审计推衍规则是否可以推衍出目标的审计策略闭项. 第1步.生成扩展审计策略项集合. 11初始化扩展审计策略项集合Eap=⑦.对所有的基本审计策略项aud,Eap=EapU{aud}. 2)对一个扩展推衍规则rule,它的每一个前提审计策略项audi(f.1,2,...,∞,调用下面定义的子例程CompuSatItems(audi),计算可以从当前Eap和基本推衍规则推衍的且与audi匹配的全部审计策略项,记为Items(audi).当每个audi对应的Items(aud3都计算出来后,每次从式Items(audl)×Items(aud2)×…×Items(audk)中取一个策略项k元组,与规则rule匹配,生成一个策略项并入Eap中,直到全部的k元组都处理完. 3)对每一个扩展推衍规则rule都执行第2)步. 4)如果当前的Eap与第2)、第3)步执行前比较它的元素没有增加(我们把它称为完备Eap),算法进入下面的第2步;否则转到2)步继续循环执行. 第2步.判定审计策略闭项(口,o,u,f,.厂,,,s,m)是否可由完备Eap和基本推衍规则推衍.本步结束,输出判定结果,整个算法结束. 注意,该步计算过程与子例程CompuSatltems(audi)非常类似,不同的是只要找到一个匹配的项即可,所以算法可在CompuSatltems基础上进一步优化.具体的步骤不再详述. 子例程CompuSatItems(aud). 本子例程计算可以从当前扩展审计策略项集合Eap和基本推衍规则所能推衍的并且与输入参数aud匹配的全部审计策略项,返回值就是这些审计策略项的集合(注意,aud可能包含变量).算法的思想是宽度优先的次序扩展每一个节点,构造一棵逆向推衍树,初始化根节点为aud. 1)对已经构造的推衍树中每个未扩展节点node(对应的审计项记为audk), 1.1)首先把audk依次匹配各个基本推衍规则的结论部分,如果与某推衍规则匹配,就用audk中的常量替换该推衍规则对应变量的所有出现(包括约束条件),然后把该推衍规则前提策略项添加为以node为父节点的孩子节点. 1.2)然后把audk与Eap中所有审计策略项au4匹配,如果匹配,则把au4生成为node的孩子节点,并标记为真叶子节点. 2)上述过程结束时,把node标记为已扩展的节点.重复1),采用同样的方法扩展所有未扩展的非叶子节点,生成他们的孩子节点.没有未扩展的非叶子节点时进入本子例程的第3)步.注意,本算法对扩展一个节点使用的推衍规则有一个要求,即从该节点的孩子节点到根的路径上,任意一条推衍规则只能使用一次.后面的算法正确性证明中我们将说明这个要求的合理性.#p#分页标题#e# 3)当构造的推衍树中没有未扩展非叶子节点时,从根开始递归计算与各个节点匹配的合法审计策略项集合(所谓合法,就是可以从当前Eap和基本推衍规则推衍的不含有变量的审计策略项).每个节点匹配的合法审计策略项集合Mi的计算方法是,对它的每一个孩子节点匹配的合法审计策略项,如果满足对应的推衍规则约束条件,那么按照该规则生成的审计策略项就属于^衙;如果孩子是叶子节点,则该叶子节点的策略项属于尬. 4)当与根节点匹配的合法审计策略项集合计算完毕后就把该集合作为结果返回. 如果以后需要再次使用上面的算法判定一个审计策略闭项是否可推衍,那么第一次调用算法后就可以生成完备Eap,之后判定时算法的第1步可以不用再执行了,这样就极大地提高了效率. 引理1.对任何APB和任意的审计策略闭项(口,0,U,f,厂,r,s),算法CAPD执行有限的步后结束. 证明:因为算法的第2步与CompuSatltems类似,我们只需要分别证明子例程CompuSatltems是可以停机的,算法的第l步是可以停机的就可以了. 首先证明CompuSatItems是可以停机的.由算法可知,构造的推衍树的度不大于基本推衍规则数目和Eap元素个数之和,并且推衍树的深度不大于基本推衍规则个数之和加1(因为一条路径上每条规则最多使用一次,加上匹配Eap审计策略项的匹配规则一次).这就表明推衍树是有限的.另外我们还需证明,对于任意约束谓词,当其中的变量都用常量替换后,它是可以判定的.推衍规则中的约束条件包括:a∈A,U∈U,d’∈0^e(d,d7),P’∈P,q’一q,r∈Fe汜.Q,(d=0VP(d,D))Aq(D)^f∈巨(p)以及ULabel(m)OTRUSTED--*Label(o)=ULabel(m).显然,由于操作集合、对象集合等都是有限集合,所以,除了P’£P,f∈巨(p),q’jq,其他约束是否满足都很容易根据系统状态来加以判定.而根据周期时间的定义,P’£P,f∈量(p)也是可以判定的.对于矿_g,由前面关于对象属性谓词的推衍规则的说明中可以知道,它也是可以判定的.所以CompuSatItems是可以停机的. 其次证明算法CAPD的第1步是可以停机的.由于CompuSatItems每次返回的项集合都是有限的,且推衍规则的数目是有限的,所以易知CAPD的第1步中的第2)步以及第3)步可以在有限步内结束.第4)步循环,当Eap不再增加新的元素时才会退出,因此,我们只需要证明Eap的元素个数存在一个最大的上界即可.由算法分析可知,对Eap中的任意项,其中的常量必然来自于初始策略项或者扩展推衍规则中已有的常量,所以Eap中不同项的数目最多等于审计策略项每一个参量对应的常量数目之乘积.所以Eap是有限的. 所以,算法CAPD执行有限的步后结束.口由上面的引理可以很容易地估计算法的时间复杂度.引理2.对于任何审计策略闭项,算法CAPD输出true,当且仅当APBI--)(口,0,U,f,.厂,,,s). 证明:必要性是显然成立的.当算法输出为true时,可以根据算法,构造一棵从叶子节点为初始审计策略项到根节点为审计策略闭项的推衍树所以APBH(口,0,U,f,厂,r,s). 充分性.当APB卜÷(a,o,u,f,厂,r,s)成立时,必定存在一棵推衍树tree,树根为(a,o,u,f,^r,s),叶子为初始审计策略项(显然,该推衍树所有节点的审计策略项都不包含变量).首先证明,对于任意一个Eap,如果使用基本推衍规则可推衍的审计策略项aud,子例程CompuSatltems(aud)也可以找到相同的项.由于基本推衍规则只有一个前提、一个结论,所以推衍一个审计策略项的推衍树退化为一个推衍线性序列.我们只需证明,对于任意的推衍序列,可以等价变化为每条推衍规则只出现一次,并且变换后的序列最终推衍出同样的策略项aud.由于CompuSatltems(aud)构造的推衍树必然有一条路径与变换后的推衍序列匹配。所以子例程CompuSatltems(aud)也可以找到相同的项.我们注意到,因为审计策略闭项规则的结论是八元组的策略闭项,所以,如果推衍序列中有审计策略闭项推衍规则,则它必然只有一条,而且是最后一条规则.又因为其他基本推衍规则都是对某一个参量的变换所以可以互相交换位置,不会影响最终的推衍结果.比如,推导序列(d,d,…)I-'->f11le2(口,d’,…)I-9,。l。l(口’,d’,…). 推衍的结果是一样的.这样。我们可以把同一推衍规则的不同出现交换集中在一起.考察每一条基本推衍规则,只有关于对象层次、时间约束和对象属性谓词的推衍规则可能出现两次以上,对每条重复的规则只保留头尾两个审计策略项,它们正好用一条审计推衍规则可以进行推衍.这样得到的推衍序列每条基本推衍规则最多出现一次. 然后,可以证明,tree中每一个由扩展推衍规则生成的策略项aud都属于算法CAPD第1步执行完后的最大Eap.可用数学归纳法来证明.对于tree中每一个由扩展推衍规则生成的策略项aud,按照从它到叶子的所有路径中最多使用了i个扩展推衍规则来进行分类。对i进行归纳.若i=1,则aud的前提项到叶子只经过0个扩展推衍规则,这样,其前提项都可以由初始审计策略项和基本推衍规则来推衍,根据前面的结论,其前提项都可由子例程CompuSatltems找到,所以aud属于Eap.假设i≤k的aud都属于Eap,则推衍树上斛1的aud的前提项到叶子方向的所有推衍路径上,不经过任何扩展推衍规则都可以找到属于Eap的审计策略项.所以可以由Eap和基本推衍规则推衍.这就证明了tree中每一个由扩展推衍规则生成的策略项aud都属于算法CAPD第1步执行完后的完全Eap.所以,对于目标审计策略闭项(口,o,u,f,/,r,s),它到叶子方向的任何推衍路径上,不经过任何扩展推衍规则都可以找到属于Eap的审计策略项,所以它可以由子例程CompuSatItems找到.这样,算法CAPD的输出为true.口定理1.APB是可判定的. 根据引理1,2,显然APB是可判定的. #p#分页标题#e# 5相关工作 审计是保障信息系统安全的重要技术.关于审计的已有研究主要集中在审计系统的体系结构、审计记录的逻辑和物理储存方式f401等方面,或者研究如何通过审计记录来发现入侵行为以及内部人员权限的滥用问题[6,71.就目前公开的研究资料来看,还很缺乏关于如何配置审计方面的研究.一方面,表达能力强大的审计策略语言有现实的需求;另一方面,对于多级数据库来说,其中的客体对象和操作类型复杂,还涉及到多级安全和隐通道问题,因此,建立形式化的审计策略模型对开发多级安全数据库管理系统是非常重要的.与本文相关的研究主要包括多级安全数据库的研究、安全策略模型的研究,特别是访问控制策略的研究. 多级强制安全策略多采用BellLaPudula模型,已有的多级安全DBMS[8,91也大多基于该模型.本文的模型也是建立在采用BLP模型的DBMS之上的.本文引用的多级DBMS系统数据模型采用的是抽象的对象层次结构模型,没有对DBMS中的具体对象。如表、视图、元组等进行进一步的规定和描述.原因有两个:一是考虑到模型的通用性,较高的抽象层次描述模型可以使其能适应各种具体的数据模型,如对象的或者关系的数据模型;另一个原因是,就我们要建立的审计策略模型来说,这种抽象的对象层次模型已经足够刻画该审计策略模型的主要特性.审计策略模型一般不作为安全策略模型的一部分【l叭.因此,在已有的系统设计中,都没有为审计策略建立模型.然而,从我们的实际设计开发来看,建立审计策略模型是非常必要的.审计策略模型在内容和形式上与安全策略模型特别是访问控制策略模型有很多相似之处.因此,本文的研究借鉴了很多关于自主访问控制模型的研究成果.本文采用的基于规则的方法借鉴了Jajodia等人【11】提出的基于逻辑语言的授权的思想,它使得访问控制策略与访问控制策略模型独立开来,这样就可以在同一个策略模型中表达不同类型的访问控制策略.本文的周期时间约束来源于Bertino等人[3,121在访问控制模型中支持周期时间的授权及其时态推理的思想. 本文的审计策略模型与Bertino的支持时间约束的访问控制模型有以下几方面的不同:首先,在我们的模型中.对象采用了范畴和对象的属性谓词来描述,具有更大的灵活性.需要注意的是,如果还把审计策略项作为谓词.则相应的推导系统就是高阶谓词逻辑.本文通过引入基于推衍规则来推衍审计策略项的方法避免了这个问题.其次,审计策略项中包含了审计频度、执行结果等与审计策略相关的属性,这样导致审计策略规则的一致性和完备性与访问控制策略有很大的不同. 6结论 本文提出了一种基于多级安全数据库的灵活、通用的审计策略模型.模型中提出了审计对象的层次范畴结构以及审计禁止规则的方法来应对和解决分布式审计管理问题.该模型具有较强的表达能力,可以表达基于时问的审计策略,也可以实现基于规则的审计策略推衍.通过引入对象的属性谓词,还可以表达细粒度的审计策略.通过时间约束和细粒度的审计策略的支持,可以方便地设置对潜在隐通道的审计.本文定义的审计模型不变量可以保证审计策略模型本身不会引入隐通道.本文还证明了审计策略规则库的可判定性质,并给出了判定一个事件是否需要审计的算法.虽然本文提出的审计策略模型是基于多级安全数据库的,但是适当的修改也可以用于多级安全的操作系统或者其他应用系统,因此具有较大的适应性. 我们下一步的工作是进一步放宽对扩展审计策略推衍规则的形式限制,以便表达更为复杂、通用的策略推衍机制.还需要研究审计策略模型的语义以及审计策略规则库的动态更新算法等.
关键词:J2EE; 安全模型; JAAS; 设计方案
中图分类号:TN713.1 文献标识码:B
文章编号:1004-373X(2010)13-0107-03
Research and Design of Security Server Based on J2EE
YIN Feng-she,JIAO Lei
(Sh
nxi Polytechnic Institute, Xianyang 712000, China)
Abstract: The architecture and security demands of an application server based on J2EE are introducd. The security model of J2EE application server is presented. The main parts of the security model is discussed in detail. A design scheme of the scalable J2EE security server based on Java authentication and authorization service (JAAS) is proposed. The major security issues of J2EE application server were solved to meet the security requirements of J2EE.
Keywords: J2EE; security model; JAAS; design plan
J2EE应用服务器安全模型的核心是安全服务,安全服务为容器和组件提供安全认证、授权和审计服务,本文讨论了安全服务的架构,并给出了安全服务的主要部分:认证服务、授权服务、安全会话管理器和审计服务的设计。
1 安全服务架构
安全服务由以下几个主要部件构成:认证服务、访问控制服务、用户信息目录、安全策略库、审计服务、会话管理器、安全服务管理接口、安全服务管理控制台和安全服务客户。J2EE安全服务通过认证器、访问控制器和审计器3个接口向外界提供安全服务,而安全服务的安全元信息保存在用户信息目录和安全策略库中[1]。
为了让安全服务成为一个通用的客户无关的服务,安全服务独立于J2EE环境运行,这样可以为不同类型的应用服务器和应用程序提供访问控制机制。
2 认证器和用户信息目录
认证器[2]的目的是将外界提供认证信息的用户映射为系统平台内部的用户,通过认证信息标识用户的身份。为了保证认证机制的可扩展性和灵活性,认证器在设计时有以下原则:
(1) 认证器需要具备对不同类型认证机制的潜在支持,如密码认证、证书认证。
(2) 认证器对同一种认证机制必须能够支持多种不同类型的用户信息目录。
(3) 必须提供对一个用户多种认证方式的支持。
(4) 必须支持现存遗留的用户信息目录和认证机制。
由于JAAS[3]实现了标准Plugable Authentication Module(PAM)框架的可插拨认证机制,采用JAAS作为认证服务的实现机制,将JAAS的不同认证域映射为认证服务的不同认证机制,而将JAAS认证域中的LoginModule 映射为不同的用户信息目录认证支持。
认证器对不同认证机制的支持可以采用对象模型方式建模[4],对象模型如图1所示。
认证器Authenticator 的接口定义如下:
public interface Authenticator{public SessionToken authenticate(Principal principal, Credential credential) throws AuthenticationException;}
认证器的Authenticate()方法完成用户认证功能,不同的认证机制传入不同类型的Principal和Credential 值,认证器根据传入Principal 和Credential 的类型,自动选择适合的认证方式,映射到JAAS认证域,并使用JAAS进行认证。同时通过将LoginModule 的标志设置为sufficient,保证必须至少有一个用户信息目录认证通过才能通过系统认证。系统应该提供一个基础的LoginModule 基类,用于收集所有必须的用户信息,从而提供构造适合的令牌需要的用户信息。
图1 支持多种认证机制的对象模型
用户信息目录中的用户信息包含用户认证需要的特定认证的信息以及其他的信息,这些信息和一个特定的系统用户关联,系统用户通过一个全局惟一的用户标识符ID来标识。用户认证完成之后,访问系统的用户被映射为系统中惟一标识的用户,该用户标识和用户认证信息在建立安全会话过程中与安全会话建立关联。
3 安全会话和安全会话管理器
当用户认证之后,用户认证状态的安全持久保持和验证通过安全会话进行,认证器认证用户后会使用会话管理器建立一个安全会话,将所有用户的安全信息和会话绑定。会话管理器[5]负责统一管理所有用户认证之后的安全会话,会话管理功能可分为两类:操作型和管理型。会话管理对象模型如图2所示。
图2 安全会话管理对象模型
用户认证完之后,安全会话管理器给用户建立一个安全会话,安全会话通过返回给用户的会话令牌标识,会话令牌包括的信息有:认证方式、认证方式相关信息、用户标识符、认证Principal和Credential 等,安全会话上下文由用户获得的安全令牌表示。
在用户退出系统时,会话管理器撤销用户会话,并删除所有用户登录后生成的信息。在用户访问控制过程中,用户相关的安全信息可以通过用户会话的会话令牌获得。
4 访问控制器和访问控制策略
访问控制器的目的是提供对多种不同类型资源各种级别的访问控制,它使用认证之后用户的标识和安全策略库中的安全访问控制策略元信息来判断登录系统的用户有无对特定资源的特定的访问权限,它所采用的是声明式访问控制机制。
为了提供访问控制服务的可扩展性和灵活性,访问控制器的设计必须遵循以下原则[6]:
(1) 能够扩展支持多种不同类型的访问控制策略,如基于角色的访问控制、基于规则的访问控制;
(2) 必须能够提供对不同类型策略库的支持,如基于XML 文件的策略库和基于LDAP 的策略库;
(3) 必须能够提供对各种不同类型的资源进行访问控制,提供对各种定制权限和定制资源的管理;
(4) 访问控制机制必须独立于认证器所采用的认证机制,即与用户的认证方式无关。
访问控制机制的核心是访问控制策略,参考文件系统的访问控制策略[7],将资源使用目录结构按名字空间以层次型结构组织,并对层次结构中的所有的节点配置各种类型的安全访问控制策略,这样,安全访问控制策略按照资源的层次组织方式为基础进行组织。可以将资源或者按资源的类型,或者按资源所属的应用程序包划分为多个名字空间。
资源通过系统惟一的统一资源标识符URI标识,URI的名字组织方式采用资源层次结构中的资源层次名字统一组织,这样在安全策略库中每一个资源都有特定的标识符来惟一表示。
与资源相关的还有权限问题,不同的资源其可访问的权限是不一致的。对于Web资源,可访问的权限限于几种标准的HTTP方法,但是对于EJB资源[8],不同的EJB组件可以被外界调用的方法是不一致的。为了使安全访问控制系统支持不同类型的权限,提供权限的扩充,图3给出针对不同类型资源的权限模型。
图3 权限的抽象模型
Right 抽象了所有的权限,各种不同类型资源的特定权限通过扩展Right 插入安全服务系统中。所有与特定资源类型相关的权限信息被封装在特定类型的Right 扩展类中。
访问控制器AccessController 完成对资源访问的授权检查,它通过使用当前的安全会话、需要访问的资源对象和需要的权限对访问策略检查完成。访问控制器的接口定义如下:
public interface AccessController {public void check(SessionToken token,Resource resource,Right right) throws AuthorizationException; }
5 安全审计
安全审计[9]的目的是对用户的认证过程、认证之后的安全活动、对资源访问控制的安全授权过程以及管理员对安全策略库的管理过程等所有涉及到安全的活动进行记录。
安全服务支持各种类型的审计策略,通过标准的接口,可以按照访问的用户、被访问的资源或者进行的操作进行审计的控制,审计器使用安全服务上的审计策略来控制和实施审计过程。审计日志记录了所有的审计信息,通过安全管理接口,可以浏览系统所有安全相关的审计记录。通过一个标准的接口,安全服务支持各种类型的审计日志实现。审计机制的对象模型如图4所示。
图4 可扩展的审计模型
6 安全管理接口和安全管理控制台
安全管理的目的是提供对认证机制、授权机制和审计机制的相关信息进行配置和管理。对认证机制的配置和管理主要涉及JAAS域认证映射、用户信息目录配置、用户信息管理,其目的是提供针对不同应用需求为用户定制认证机制和用户信息目录。
为了提供上面提到的对认证、授权和审计机制的管理目标,安全服务管理应该能够提供如下的功能:
(1) 获得某资源相关的所有安全访问控制策略;
(2) 添加和删除安全访问控制策略;
(3) 获得某资源的所有可能的权限;
(4) 对被管理资源添加和删除权限;
(5) 添加新的资源类型;
(6) 添加、删除用户;
(7) 添加、删除审计策略。
由于所有的认证策略、访问控制策略和审计策略都存储在安全策略库中,安全管理的过程实际上就是对安全策略库的管理。安全管理接口通过安全策略库接口对各种遵循标准接口的安全策略库进行统一管理。安全管理对象模型[10]如图5所示。
图5 安全管理对象模型
PolicyManager包装了所有的安全管理相关的操作,通过PolicyManager接口可以对策略库进行操作完成上面提到的功能。
把对安全策略库及其他安全信息的管理功能包装成一个API接口,其优点是可以对这些API的访问设置安全策略,如授权策略、审计策略。这样系统的安全控制机制就可以控制和跟踪管理员对系统的安全管理过程。
7 结 语
安全访问控制是中间层应用服务器提供给运行时组件的重要功能,这里提出的J2EE应用服务器安全机制的架构解决了J2EE应用服务器的主要安全问题,满足了J2EE的安全需求。同时,该安全架构从设计上具有可移植、通用性、可扩展性和灵活性。
参考文献
[1]Taligent Inc.. Building object-oriented frameworks[ M] . [ S.l.] : Taligent Inc., 2005.
[2]PERRONE Paul J.J2EE构建企业系统专家级解决方案[ M] .张志伟,谭郁松,张明杰,译.北京:清华大学出版社,2001.
[3]LI Gong.Java 2平台安全技术――结构、API设计和实现[ M] .王韵凯,石磊,译.北京:机械工业出版社,2000.
[4]Jamie Jaworski.Java安全手册[ M] .邱仲潘,译.北京:电子工业出版社,2007.
[5]LAI Charlie, LI Gong, KOVED Larry, et al. User authentication and authorization in the Java(TM) platform[ C] //CSAC. Processings of the 15th Annual Computer Security Applications Conference. AZ: CSAC, 2008: 51-59.
[6]WOLFGANG Pree. Design patterns for object-oriented software development[ M] . [ S.l.] : Addison-Wesley Publishing, 2008.
[7]VOGEL Andreas. Enterprise application for the net with EJB, CORBA and XML[ M] . [ S.l.] : Inprise Corporation,2005.
[8]Tanenbaum A S.分布式操作系统[ M] .陆丽娜,伍卫国,刘隆国,等译.北京:电子工业出版社,1999.
[关键词] 安全审计;审计手段;异构环境审计
0引言
随着社会信息化程度的加深,各大中型企事业单位逐渐形成了科学化、多样化的各类信息系统,往往一个企业的信息化系统就多达十余个,在这种复杂的多系统条件下,如何实现细粒度的精准安全审计已成为审计领域一个热点问题。
本文首先对目前信息化环境下的细粒度安全审计进行了概要描述,接下来详细分析了各种安全审计方法特点,最后对异构性多信息化系统环境下的有效审计手段进行分析总结。
1信息系统安全审计简介
1.1 信息系统安全审计定义
信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析;审计记录的结果用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责;主要功能包括:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等[1]。
1.2 信息系统主要安全审计手段
对信息化系统环境下用户操作行为的安全审计可以通过以下几种典型手段实现:
(1)基础日志层面审计:对信息化系统的基础IT支撑硬件环境内设备的自身日志进行分析的手段。
(2)网络层面审计:通过采集网络数据包后进行协议解析还原来分析信息系统网络活动的审计手段。
(3)业务层面审计:对信息化系统中业务操作行为日志进行记录审计的手段。
(4)敏感数据专项审计:针对信息化系统定义的具有高风险的企业敏感数据进行细粒度审计的手段。
2安全审计技术特点分析
2.1 概述
基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计是4种比较典型的对信息化系统的审计手段,本文将对各种审计手段的特点进行分析。
2.2安全审计手段特点分析
2.2.1基础层面日志审计
基础层面日志审计面向IT支撑系统中的设备层面,是安全审计的基础手段之一,通过对设备自身运行日志、配置变更日志等底层设备日志的审计分析,可对目前设备的自身安全运行状态得出基础判断。
2.2.2网络层面审计
网络层面审计需利用网络抓包分析手段对网络中的数据流进行分析。在分析过程中,主要需重点关注访问源地址异常、访问协议异常、访问次数异常的数据流[2]。
2.2.3业务层面审计
业务层面审计需依赖于良好的业务梳理,形成业务合规操作定义。进行业务审计前,需对信息化系统中业务操作进行日志记录,结合合规操作定义进行比对审计。
2.2.4 敏感数据专项审计
信息化环境下保有的大量数据中存在着对企业来讲极为重要的数据,这些重要的、涉及企业较大利益的敏感数据在安全审计层面需要通过专项审计来满足审计需求。敏感数据审计通过定义需审计的具体数据内容、数据具体存放位置、数据可被访问的手段等具体内容,针对违反上述定义的情况对数据进行逐一的细粒度重点审计。
3安全审计手段整合技术
用基础层面日志审计、网络层面审计、业务层面审计及敏感数据专项审计等手段虽然可对信息化系统进行安全审计,但复杂多信息化系统环境下大量的审计数据的获取、过滤、关联,必然耗费较大的人力且容易出现审计风险[3]。为避免上述问题,本文综合现有安全审计需求,提出如图1所示的安全审计手段整合架构。首先将各信息化系统的全量日志送入多日志采集平台,由平台统一将各类日志进行标准化处理、过滤后送往不同的二次分析模块(分为网络类与设备类及业务数据类两种),由分析模块根据自己的审计策略进行关联分析,最后将各自模块处理后的数据送入综合审计平台,由综合审计平台对各层面日志进行关联化的综合审计。
4结 论
多信息化系统环境下安全审计的精准实现,需要采用精准化的日志处理及多级关联审计策略,将日志处理为标准可读日志后按照信息化系统的审计需求,横向关联多层面日志、纵向关联多时间段日志,最终满足灵活多变的安全审计需求。
主要参考文献
[1]国际标准化组织. 信息技术安全性评估准则(ISO/IEC15408-2:1999)[S].1999.
【关键词】 信息化; 组织变革; 机会主义行为; 内部审计定位; 内部审计重点
一、引言
信息化是各种组织发展的重要方向,研究表明,信息化会引起组织变革,而组织改革又会改变组织内部的治理构造,而治理构造的改变又会对组织内部的机会主义行为产生重要影响。内部审计是组织内部抑制机会主义行为的重要制度安排,所以,信息化可能对内部审计产生重要影响。本文研究信息化对内部审计定位和工作重点的影响。
二、信息化、机会主义和内部审计定位
(一)内部审计定位
国际内部审计师协会(IIA)对内部审计的界定经过了一个发展的过程。1947年第1号《内部审计职责说明书》(SRIANo.1)认为,内部审计是组织内部检查会计、财务及其他业务的独立评价活动。2001年《内部审计专业实务标准》(Standards for the Professional Practice of Internal Auditing,SPPI)认为,内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。2009年《内部审计专业实务框架》(International Professional Practice Framework,IPPF)承袭了上述理论,进一步指出,确认服务是指为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查,例如,财务、绩效、合规性、系统安全和尽职调查等业务;咨询服务是指咨询及相关的客户服务活动,其性质和范围需与客户协调确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询活动。
总体来说,从SPPI开始,内部审计定位为增加价值和改善组织的运营,帮助组织实现其目标,一般称为增值型内部审计。如何增值呢?主要路径是抑制机会主义行为,也就是说,在鉴证机会主义行为是否存在的基础上,找出机会主义行为出现的原因并协助改进相关的治理、风险管理和控制过程。正是由于相关的治理、风险管理和控制过程存在弊端,人机会主义行为才会发生。内部审计如果只是鉴证机会主义行为是否存在,这种审计就是批判性审计,如果在鉴证机会主义行为是否存在的基础上,再分析机会主义行为存在的原因,找出相关的治理、风险管理和控制过程存在弊端,进而推动或协助改进相关的治理、风险管理和控制过程,这种内部审计就是增值型内部审计(郑石桥、陈丹萍,2011)。
(二)信息化不会改变内部审计定位
前面已经分析了内部审计的定位,信息化是否会改变内部审计的上述定位呢?首先,信息化会改变相关的治理、风险管理和控制过程,在信息化背景下,组织构架、信息沟通方式、权力和责任的配置都可能发生变化。但是,这种变化是否会消灭机会主义行为呢?信息化背景下的治理、风险管理和控制过程与非信息化下肯定会有重大区别,但是,这种重大区别,并不能消灭机会主义行为。因为,信息化并不能消除机会主义行为存在的前提条件,这些前提条件包括信息不对称和激励不相容。激励不相容是激励相容的对立面,激励相容是指每个理性经济人都会有自利的一面,其个人行为会按自利的规则行动,如果能有一种制度安排,使人追求个人利益的行为,正好与委托人的目标相吻合,这一制度安排就是激励相容。信息不对称是指人拥有委托人无法拥有的信息或拥有的信息数量或质量高于委托人。信息化对激励不相容没有作用,信息化可以降低但不能消除信息不对称。所以,在信息化背景下,机会主义行为的前提条件仍然存在,从而机会主义行为仍然存在,所以,内部审计定位对机会主义行为的抑制之定位仍然没有变化,也就是说,在信息化背景下,内部审计仍然定位为增值型内部审计。
三、信息化、机会主义和内部审计工作重点
(一)内部审计工作重点
从内部审计内容来说,现实生活中有多种类型,例如,合规性审计、财务审计、管理审计、经营审计、内部控制评价、风险管理审计、公司治理审计等。为什么会有多种内部审计业务类型呢?为什么不同组织的内部审计业务不同?这其中的原因是机会主义行为类型决定内部审计业务类型,有什么样的机会主义行为类型就会有什么样的内部审计业务类型,正是人的机会主义行为类型决定了内部审计业务类型。
虽然是机会主义行为类型决定内部审计业务类型,为什么不同单位的内部审计业务类型会不同?这其中的原因就是人的机会主义行为类型不同。如果人的机会主义行为主要是财务机会主义甚至是财务机会主义的某一方面,则内部审计业务当然就是以真实性、合法性审计为主;如果人机会主义行为主要是管理机会主义,则管理审计就会成为主要审计业务。那么,为什么不同人的机会主义行为类型会不同呢?一般来说,相关的治理、风险管理和控制过程在某些方面越是不健全,这些方面越是可能产生机会主义行为。所以,总体来说,人机会行为严重的领域就是审计工作的重点,内部审计工作的重点是由本单位不同类型机会主义行为的严重程度决定的。某类机会主义行为越是严重,针对该类机会主义行为的审计就可能成为审计工作重点(郑石桥,2012)。
(二)信息化会改变内部审计工作重点
信息化是否会改变审计工作重点呢?关键要看信息化是否会改变人不同类型机会主义行为的严重程度,如果不改变,则审计工作重点也不变;如果信息化改变了人不同类型机会主义行为的严重程度,则审计工作重点也会随之改变。
那么,信息化是否会改变人不同类型机会主义行为的严重程度呢?企业信息化将明显优化企业组织中的信息收集、加工、存储、传递、利用和反馈等信息过程,从而对企业组织形式产生巨大的影响,引发企业组织结构出现扁平化、柔性化、网络化、虚拟化、模糊化(程刚、陈传明,2004)。组织结构的上述变化是组织原有层级的变革,会引至组织权力配置及组织行为发生变化(汪淼军、张维迎、周黎安,2007)。事实上,上述组织结构的变化,用内部审计的语言来说,就是相关的治理、风险管理和控制过程发生了变化,而这些制度装置,正是应对机会主义行为的治理构造,这些治理构造的变化,势必会使得机会主义行为发生变化,原来机会主义行为较为严重的领域,可能在信息化背景下就不严重了;而原来机会主义行为不严重的领域,在信息化背景下,成为机会主义行为严重的领域;在某些情形下,甚至可能产生新的机会主义行为。正是由于机会主义行为的类型及严重程度发生了变化,内部审计工作的重点需要随之变革。否则,内部审计工作就偏离了抑制机会主义的定位。
例如,国家电网公司推行的“三集五大”管理模式,“三集”是指人力资源集约化管理;财务集约化管理;物资集约化管理。“五大”是指大规划体系;大建设体系;大生产体系;大运行体系;大营销体系。“三集五大”管理模式是以信息化为基础的,没有信息化,“三集五大”管理模式将难以运行。信息化改变了组织业务流程、权力配置和制衡机制,从而改变了组织内部机会主义行为的类型和不同类型机会主义行为的严重程度,从而对改变委托人的问责需求,从而会改变内部审计工作重点。具体来说,信息化背景下,国家电网公司内部审计工作重点主要包括:
(1)信息系统内部控制审计。信息系统本身的有效、安全成为信息化背景下的重要审计内容。系统安全受到很多方面的威胁,未经授权的访问、黑客攻击、网络病毒入侵等等。因此审计工作应当继续以维护信息系统安全作为工作的重点之一。
(2)在信息系统内部“嵌入”审计机制。集成信息化阶段,企业业务处理、数据核算等程序没有人为参与,全靠计算机独立运行。但是这就会产生新的机会主义行为,即恶意更改系统程序导致处理运算的错误。因此审计工作应当嵌入信息系统内部进行监督,可以通过在程序中嵌入带有记录、存储处理过程的芯片(类似于黑匣子),将信息、数据处理过程“录制”下来以备审计。
(3)站在组织治理的高度重塑审计职能。审计工作已经不能局限于传统的会计领域,在信息化时代,企业内部的边界、企业之间的边界已经变得模糊,信息网络将企业包围,任何信息已经不再单独属于某个领域,而审计的职能也应该从防弊纠错中拓展出来,服务于整个企业。因此审计要从组织治理的角度重新审视自身,成为企业管理、治理的工具。
(4)风险预警审计。根据海量业务营运及财务数据,对各类风险进行实时监测和预警,及时发现风险隐患,防患于未然。
(5)管理审计。在信息化背景下,一般性的财务违规会大大降低,委托人关心的重点会转移到绩效,从而,管理审计会成为审计重点。
(6)责任审计。在信息化背景下,可用于责任评价的数据将更容易获得,所以,对于各内部单位责任履行情况进行审计将更容易实现。
(7)遵循性审计。为实现“三集五大”管理模式,总部统一制定各项政策和流程,内部所属单位要遵守总部制定的政策和流程。内部审计部门对各所属单位的遵守情况进行审计。
四、结论
信息化会引起组织变革,进而对组织内部的机会主义行为产生重要影响。内部审计是组织内部抑制机会主义行为的重要制度安排,所以,信息化可能对内部审计产生重要影响。本文研究信息化对内部审计定位和工作重点的影响。分析表明,信息化并没有消除机会主义行为的产生前提,所以,信息化背景下,机会主义行为同样存在。因此,内部审计抑制机会主义行为的定位不变。但是,信息化改变了人不同类型机会主义行为的严重程度,从而审计工作重点也会随之改变。例如,国家电网公司在推行的“三集五大”管理模式,国家电网公司内部审计工作重点主要包括:信息系统内部控制审计;风险预警审计;管理审计;责任审计;遵循性审计。
【参考文献】
[1] 郑石桥,陈丹萍.机会主义、问责机制和审计[J].中南财经政法大学学报,2011(4).
[2] 郑石桥.组织治理、机会主义和内部审计[J].中国内部审计,2012(1).
关键词:堡垒机;运维操作审计;工作原理
中图分类号:TQ016.5+5 文献标识码:A 文章编号:1007-9599 (2012) 18-0000-02
1 堡垒机的概念和种类
“堡垒”一词的含义是指用于防守的坚 固建筑物或比喻难于攻破的事物,因此从字面的意思来看,“堡垒机”是指用于防御攻击的计算机。在实际应用中堡垒机又被称为“堡垒主机”,是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击,其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的“堡垒”,并且在抵御威胁的同时又不影响普通用户对资源的正常访问。基于其应用场景,堡垒机可分为两种类型:
1.1 网关型堡垒机
网关型的堡垒机被部署在外部网络和内部网络之间,其本身不再直接向外部提供服务,而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内 外网从网络层隔离开来,因此除非授权访问外,还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用 层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。
1.2 运维审计型堡垒机
运维审计型堡垒机的原理与网关型堡垒机类似,但其部署位置与应用场景不同,且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制和操作行为审计;运维审计型堡垒机既解决了运维人员权限难以控制的混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈,所以堡垒机作为运维操作审计的手段得到了快速发展。
2 堡垒机运维操作审计的工作原理
在实际使用场景中,堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。
管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后,在堡垒机内部,“策略管理”组件负责与管理员进行交互,并将管理 员输入的安全策略存储到堡垒机内部的策略配置库中。
“应用”组件是堡垒机的核心,负责中转运维操作用户的操作,并与堡垒机内部其他组件进行交互。“应用”组件收到运维人员的操作请求后,调用“策略管理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合安全策略,”组件将拒绝该操作行为的执行。
运维人员的操作行为通过“策略管理”组件的核查之后,“应用”组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员;同时此次操作过程被提交给堡垒机内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。
最后,当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录,并展示在审计员交互界面上。
3 如何选择一款好的堡垒机产品
对于信息系统的管理者来说,除了工作原理以外,可能更关心如何选择一款好的运维审计堡垒机产品。一个好的运维审计堡垒机产品应实现对服务器、网络设备、安全设备等核心资产的运维管理账号的集中账号管理、集中认证和授权,通过单点登录,提供对操作行为的精细化管理和审计,达到运维 管理简单、方便、可靠的目的。
3.1 管理方便
应提供一套简单直观的账号管理、授权 管理策略,管理员可快速方便地查找某个用户,查询修改访问权限 ;同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理,包括账号、口令等进行修改更新。
3.2 可扩展性
当进行新系统建设或扩容时,需要增加 新的设备到堡垒机时,系统应能方便的增加 设备数量和设备种类
3.3 精细审计
针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行审计的缺陷,系统应能实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS 等协议进行集中审计,提供对各种操作的精细授权管理和实时监控审计。
3.4 审计可查
可实时监控和完整审计记录所有维护人员的操作行为;并能根据需求,方便快速的 查找到用户的操作行为日志,以便追查取证。
3.5 安全性
堡垒机自身需具备较高的安全性,须有冗余、备份措施,如日志自动备份等。
3.6 部署方便
系统采用物理旁路,逻辑串联的模式,不需要改变网络拓扑结构,不需要在终端安装客户端软件,不改变管理员、运维人员的 操作习惯,也不影响正常业务运行。
4 结束语
本文简要分析了堡垒机的概念以及其运维操作审计的主要工作原理。随着信息安全的快速发展,来自内部的安全威胁日益增多,综合防护、内部威胁防护等思想越来越受到重视,而各个层面的政策合规,如“萨班斯法案”、“信息系统等级保护”等等也纷纷对运维人员的操作行为审计提出明确要求。堡垒机作为运维安全审计产品将成为信息系统安全的最后一道防线,其作用也将越来越重要,应用范围势必会快速扩展到各个行业的信息系统。因此在当前的形势之下,让大家更加清楚的了解堡垒机也就十分必要了。
参考文献:
[1]赵瑞霞,王会平.构建堡垒主机抵御网络攻击[J].网络安全技术与应用,2010,08.
[2]闫文耀,王志晓.基于堡垒主机防火墙的安全模型研究[J].网络安全技术与应用,2008,06.
[3]徐改萍.网络攻击与防范实践问题研究[J].电脑知识与技术(学术交流),2007,10.
[4]桂鑫.浅谈网络安全之漏洞[J].科学之友,2010,06.
[5]朱朝霞.Linux网络系统攻击的防范[J].计算机与数字工程,2006,10.
