序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇網絡行為審計范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵詞：安全審計；監控系統；系統設計；系統應用；信息網絡

中圖分類號：TP39；F239文獻標識碼：A文章編號：1003-5168（2015）08-0006-3

隨著計算機技術、信息技術不斷推陳出新，各類威脅到網絡信息安全的因素越來越多，雖然防火墻與外部檢測技術等能夠在某種程度上防止網絡的外部入侵，保護數據信息不受侵犯［1］。但也會因入侵技術的更新和漏洞的長期存在而無法徹底保障網絡處于安全狀態。因此，在現有技術的基礎上，通過引入安全審計系統對用戶的網絡行為加以記錄，對網絡安全隱患給出評判具有重要的現實意義。

1網絡安全審計的必要性

1.1提高企業數據安全管理績效

近年來，我國信息化程度不斷加深，尤其新媒體技術和自媒體技術的出現，企業信息的網絡化、無邊界化趨勢越來越明顯，也使得網絡信息安全問題不斷突顯。在這種情況下，無論是企業本身還是參與網絡信息提供和維護的第三方，在端口和信息通道內都加強了對信息安全策略的部署，無論是信息的控制還是數據的授權，都在大量管理制度和規則下運行。即便如此，與網絡信息安全相關的各類故障還是不斷出現，甚至會給企業的網絡運營和實際經營都造成了消極影響。但是，當我們對信息安全漏洞進行分析和查驗時發現，一些嚴重的信息安全問題之所以會由于不合規、不合法而給利益相關者造成經濟損失，其中一個重要原因便是一些內部“合法”用戶的“非法”操作。這是因為，對于一般的網絡信息或者數據，借助防火墻、防病毒軟件、反入侵系統等都能夠解決，在一定程度上能夠保證信息安全。可是一旦內部人員在缺乏監管的情況下進行違規操作，就會使在信息外部建立起來的防線無能為力［2］。一項最新的調查顯示，企業內部人員是對企業網絡信息進行攻擊最為嚴重也最難防范的。在這種情況下，亟須提高企業的內部審計能力，對內部用戶的誤用、濫用信息行為進行審計和監管，對那些可能或者已經造成各種安全事故的人員，在要求其協助網管人員找出原因外，還對其按照相關法律法規進行嚴肅處理，以杜絕此類事件再次發生。

1.2提高網絡運維績效

當前，在網絡環境中構建統一的安全審計平臺，提高網絡運維績效，是十分必要的。在這一平臺之上，能夠對重要設備系統的安全信息進行統一監管，以便能夠在海量數據中挖掘出有價值的信息，使信息的獲取和使用更加有效。可見，提高網絡信息的可靠性和真實性，借助網絡信息安全審計提供網絡運維管理績效，是網絡化運營需要認真思考的問題［3］。實際上，信息的安全防御是信息安全審計的一種，都是要在信息生產的源頭對其進行管理和監控，并對可能對信息安全造成威脅的因素加以防范。而即便在信息源頭未能做到完全的安全防范，在事后也可以借助各種技術手段及時分析安全防御系統中可能存在的各類漏洞。甚至能夠在安全防御的過程中，對非法操作行為和動作進行還原，使違法、違規用戶的不當操作暴露出來，為認定其非法行為提供真實有效的客觀證據。因此，對網絡信息進行安全審計是一項復雜的系統工程，不但要規范網絡、主機以及數據庫的訪問行為，還要對用戶的使用習慣、信息內容形成和改變進行監控和審計，以便有效地完成對各類信息的監管，提高信息質量，為企事業單位的信息運用和網絡運營提供安全保障。

1.3提高網絡信息安全性

在網絡空間中，有以下安全問題值得用戶關注并予以重視：①通過訪問控制機制強化對網絡信息進行安全審計和信息監控是十分必要的，這種做法不但能提高網絡信息的安全性，還能在訪問控制的作用下，限制外來用戶對關鍵資源的訪問，以保證非法用戶對信息或數據的入侵，同時也能對合法用戶的行為進行規范，防止因操作不當而造成破壞［4］。需要注意的，訪問控制系統不但界定了訪問主體還界定了訪問，其目的在于檢測與防止系統中的非法訪問。而借助對訪問控制機制的管理和設計，能在很大程度上實現對網絡信息的安全審計，使網絡信息處在安全狀態；②雖然網絡是開放的，但網絡數據卻具有私有性，只有在被授權的情況下才能讓非用戶或者原始使用者訪問，否則將被控制在不可見的范圍。為了實現這一點，就需要進行網絡安全管理，包括網絡安全審計，通過信息加密，比如加密關鍵字或者授權機制、訪問控制等。為了提高網絡信息安全水平，還要維護與檢查安全日志；③提高網絡信息安全性，為社會組織的網絡化行為提供安全保障，除了要對現實中傳輸的信息進行安全審查外，對網絡中傳輸的信息也要進行安全審計，通過對網絡操作行為的監控，評判信息的安全等級，有針對性地對網絡加以控制。

2信息時代網絡安全審計的關鍵技術與監控范疇

在網絡信息安全審計的過程中，為了最大限度地提高審計效果，不但需要借助多種信息、網絡和計算機技術，還應進一步界定網絡審計的監控范圍，使網絡信息安全審計能夠在更為廣闊的領域得到應用。

2.1網絡安全審計的關鍵技術

在前文的分析中可知，在當前網絡環境中，網絡信息安全的直接威脅主要來自網絡內部，要建立切實有效的監督體制，對有破壞信息安全傾向的員工進行監督，以保障信息安全。為了實現這個目標，除了要在制度上加以制約外，還應借助以下網絡安全審計技術：①基于的網絡安全審計技術。借助該技術構建起來的信息安全系統以網絡主機為載體，以分布式方式運行。這一技術雖然能夠很好地防范信息安全威脅，但是由于監視器是這一信息系統的核心模塊，需要高度保護，一旦出現故障，就會引發其他轉發器都陷入被動境地，無法正常提交結果；②基于數據挖掘的網絡安全審計技術。數據挖掘是近幾年被廣泛采用的信息安全技術，以此為基礎建立起來的網絡安全審計系統能夠借助數據挖掘技術或者大數據技術，以大量日志行為為樣本，對數據中體現出來的行為進行描述、判斷與比較，特征模型，并最終對用戶行為特征和行為結果進行界定；③基于神經網絡的審計技術。神經網絡是計算機應用領域中廣泛采用的技術，該關鍵技術的使用能夠改變網絡單元狀態，使連接權值處在動態之中，一旦加入一個連接或者移去一個連接，就能夠向管理者指示出現了事件異常，需要果斷采取行動保證信息安全。單純使用該技術所產生的作用是十分有限的。一般情況下，要將多種技術配合使用，以便能對出現的異常情況做出解釋，這對確認用戶或者事故責任人是有明顯幫助的；④借助專家系統構建的網絡安全審計技術。該技術較于其他技術能夠將信息系統的控制推理獨立出來，使問題的解決能夠借助輸入的信息。為了評估這些事實，在運行審計系統之前，需要編寫規則代碼，而這也恰是能夠有效防范網絡信息安全威脅的有效手段。

2.2網絡信息安全審計的監控范疇

2.2.1信息安全審計方法。經驗表明，一些網絡信息安全審計系統可以借助遠程登錄完成對服務器的管理和對應用系統、數據庫系統的記錄等，用戶的操作行為和操作習慣會在服務器上留下痕跡。該類安全審計一般要按照以下步驟進行：采集對被審計單位的相關信息數據，以保證數據的全面性與完整性；對采集到的數據信息進行綜合分析與處理，使之能夠轉換成對于審計工作對應的數據形式；借助計算機審計軟件完成對審計數據的復核。按照業內的經驗，在網絡信息安全審計的設計過程中，需要將數據采集環節作為整個審計工作的前提與基礎，是其中的核心環節，否則，將無法保證數據的完整性、全面性和準確性以及及時性，后面的審計工作也就無法正常開展。一般而言，借助互聯網進行審計數據的采集主要有直接讀取數據和記住數據庫連接件讀取兩種方式，它們之間具有相似性。按照這兩種方式完成數據采集，一旦其中一方數據的存儲格式改變，就應及時對數據采集全部存儲格式進行調整。這樣就會導致數據采集效率和效果受到影響，降低信息安全審計的靈活性。因此，在實際操作中，要保證數據存儲格式的一致性，防止審計低效。

2.2.2信息安全審計設備。在網絡信息安全審計中，只要將需要管理的網絡設備（比如出口路由器、核心交換機、匯聚交換機與接入交換機等）添加到相關安全審計系統之中，就能夠獲得發送過來的SNMP數據包。隨后，信息安全審計系統就會對數據包依據事件的等級和重要性予以分類，以便在后續的查詢和使用中更加方便。實際上，網絡的信息安全設備種類繁多，具體操作方法也大同小異。只要按照不同廠商設備的設置步驟和原則，開啟對應的SNMP功能之后，將相關設備添加到網絡中安全審計系統之后，就能夠進行相關操作。當然，在這一過程中，要對串聯在網絡中的設備予以重點關注，要保證甚至能夠允許SNMP數據包通過。由此可以看出，借助安全設備實現對網絡信息的監控和審計，能夠為網絡信息安全提供必要保障。當然，由于監控信息會不斷更新，加之由于海量數據造成的壓力，要依照實際需求確定監控信息可以被記錄，以便能夠縮小記錄范圍，為信息安全審計提供更有價值、更具針對性的數據。

2.2.3信息安全審計流程。通過指派權限，設備管理員能夠更為直觀和真實地了解對應設備的操作過程。如果在這一過程中出現了故障，可以對應地分析和查找問題，找到解決問題的途徑。此外，網絡信息系統的類別較多，以不同平臺或者中間件定制開發的系統也不盡相同。在這種情況下，就需要以信息手冊為藍本，在與開發人員進行溝通之后，確定開放日志接口，并將其納入到網絡信息安全審計的范疇。

3網絡信息安全審計監控系統的設計與應用

3.1網絡信息安全審計系統的運行設計

當前，網絡信息安全審計系統經常使用兩個端口，其主要任務便是對聯入局域網系統的核心部位交換機與服務器進行數據和信息交換。而為了更好地收集與存放信息安全審計數據，無論是系統日志還是安全審計系統的安全管控中心，都要設在同一服務器之上。這樣一來，基于網絡的信息安全審計系統就能夠在搜集安全審計系統內部數據的同時，按照要求從相關子系統模塊中獲取數據，以保證各個系統內的信息實現共享，提高信息安全審計的效率。

3.2網絡信息安全審計系統的實現

網絡信息安全審計系統不但是一個能夠幫助企業完成內部經濟管理與效益控制的系統，社會組織還能借助網絡安全監控體系，實現對網絡操作對象的實時監控，保證網絡操作中相關文件與數據的安全。這一審計系統的工作原理為：①借助網絡文件監控能夠實現消息的安全傳遞，借助標簽維護可實現對安全標簽的及時、正確處理；②借助多線程技術，構建網絡信息安全監控系統的驅動程序消息控制模塊，實現對驅動程序的全程監視，并保證信息接收與發送過程處在安全保護之中；③借助系統程序中的文件對用戶進程中的相關文件操作予以過濾、監視和攔截，以保證網絡數據訪問處在全面審核與嚴格控制之中，使網絡環境中文件的安全得到保障。

3.3網絡信息安全審計系統的實際應用

通常而言，網絡信息安全審計系統的實際應用需要在動態管理的狀態下進行。只有這樣，才能在投入使用之后，完全、精準地記錄用戶的網上操作行為，也能對數據庫服務器的運行予以全面監控。比如，一旦企業員工通過“合法手段”對業務系統的安全性造成了威脅，那么這類“非法操作”等網絡行為就會被記錄和禁止。這是因為用戶的相關行為能夠映射到網絡信息安全審計系統之中，管理者能夠借此對用戶信息和相關操作進行快速定位，在極短的時間內就能夠查出事故責任人，為信息安全運行和非法行為的處置都提供極大便利。此外，基于先進技術建立起來的網絡信息安全審計系統，還可以在全局層面上監視網絡安全狀況，對出現的任何問題都能夠予以有效把控，對那些可能造成企業重大變故或者機密、核心信息的外泄行為，能夠借助網絡信息實時動態監控系統做出積極反應。

參考文獻：

［1］付曉坤.網絡安全審計技術的運用［J］.中國水運，2013（9）：50-51.

［2］張文穎.探討網絡安全中安全審計與監控系統的設計與實現［J］.電腦知識與技術，2013（16）：37-38.

［3］伍閩敏.建設企業計算機網絡安全審計系統的必要性及其技術要求［J］.信息安全與技術，2011（12）：34-36.

篇(2)

隨著互聯網的發展，網絡逐漸成為完成業務工作不可或缺的手段，很多政府、銀行、企業紛紛將核心業務基于網絡來實現。然而，網絡的不斷普及帶來了大量的安全問題。目前全球數據泄密事件53.7%的是由于人為疏忽造成，15.8%是由內部惡意竊密，23.3%是由于黑客等外部攻擊行為造成，7.2%是由于意外造成的數據丟失。根據IDC數據顯示，內部泄密事件從46%上升到了67%，而病毒入侵從20%，下降到5%。

2.信息安全審計定義及作用

2.1信息安全審計定義

信息安全審計是針對網絡用戶行為進行管理[1]，綜合運用網絡數據包獲取、協議分析、信息處理、不良流量阻斷等技術實現對網絡信息內容傳播的有效監管。它能夠幫助用戶對網絡進行動態實時監控，記錄網絡中發生的一切，尋找非法和違規行為，為用戶提供事后取證手段。

2.2信息安全審計的作用

跟蹤檢測。以旁路、透明的方式實時對進出內部網絡的電子郵件和傳輸信息等進行數據截取和還原，并可根據用戶需求對通信內容進行審計，提供敏感關鍵詞檢索和標記功能，從而防止內部網絡敏感信息的泄漏以及非法信息的傳播。取證監控。還原系統的相關協議，完整記錄各種信息的起始地址和使用者，識別誰訪問了系統，訪問時間，確定是否有網絡攻擊的情況，確定問題和攻擊源，為調查取證提供第一手的資料。

3.其他安全產品安全審計方面的缺陷

防火墻只是內外部網絡之間建立起隔離，控制外部對受保護網絡的訪問，通過控制穿越防火墻的數據流來屏蔽內部網絡的敏感信息以及阻擋來自外部的威脅。入侵檢測對網絡中的數據包進行監測，對一些有入侵嫌疑的包進行報警，準實時性較強，但采用的數據分析算法不能過于復雜，通常只是對單個數據包或者一小段時間內的數據包進行簡單分析判斷，誤報率和漏報率較高。漏洞掃描、防病毒等設備主要發現網絡、應用軟件、操作系統的邏輯缺陷和錯誤，提早防范網絡、系統被非法入侵、攻擊；發現處理病毒。

4.信息安全審計系統的分類

主機審計：審計范圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶；審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；統一安全策略，實現集中審計等。網絡審計：應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；應能夠根據記錄數據進行分析，并生成審計報表；應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。數據庫審計：審計對數據庫的操作行為，如增、刪、改等，發現各種非法、違規操作。業務審計：對業務系統的操作行為進行審計，如提交、修改業務數據等，滿足管理部門運維管理和風險內控需要。日至審計：審計網絡設備、安全設備、應用系統、操作系統的日志，發現安全事件，保存證據。

5.信息安全審計系統的設計

主流的信息安全審計系統分為探針引擎和管理應用平臺兩部分組成[2]。探針引擎的主要功能:監聽網絡數據，并將數據臨時保存。將不同的數據流匯聚，形成一個應用鏈接；根據設定的規則，對采集的數據進行初步過濾，并對采集的數據進行協議分析，提取內容信息。如在Smtp，pop3協議中，提取郵件體和附件；將采集后的數據按規定格式存儲和傳輸。根據需要，進行傳輸加密。管理應用平臺是由web管理平臺+控制中心+數據庫組成的三層結構。WEB管理控制平臺主要功能：業務邏輯展現，系統管理、日志管理、策略管理、報表管理、查詢統計分析。控制中心主要功能：文件中心主要是用于系統報警原始文件存儲、文件讀取；統計中心主要是用于定期對系統關鍵詞報警信息、行為日志數據、網絡流量數據、系統操作行為進行分類統計；數據中心主要是實現數據庫與探針引擎之間的橋梁，實現策略下發、探針引擎接入控制、數據轉存功能。數據庫主要功能：用于結構化數據的存儲。

6.信息安全審計技術在工作中的基本應用

HTTP敏感信息檢測：HTTP協議的網頁瀏覽、網頁發帖監測，記錄中標網頁的URL、瀏覽時間、源IP、目的IP、源端口、目的端口以及源、目的MAC地址，并還原、保存原始網頁文件到本地磁盤。通過IP地址、域名、時間范圍、協議類型等組合查詢查看報警信息并輸出報表，通過“查看文件”鏈接查看原始瀏覽網頁文件內容，通過“查看詳細”鏈接監測報警信息的數據來源、報警協議類型、文件存放路徑等信息。郵件敏感信息檢測：SMTP，POP3中的敏感信息監測，記錄中標網頁的信息摘要、關鍵詞、接收用戶、發送用戶、IP地址，并還原、保存原始郵件到本地磁盤，系統默認收、發郵件端口分別為110、25。可以通過接收用戶名、發送用戶名、時間范圍、IP地址查詢條件檢索郵件敏感信息并輸出報表，通過“查看文件”鏈接打開查看原始郵件主題、正文內容，通過“查看詳細”鏈接監測報警信息的數據來源、報警協議類型、文件存放路徑等信息。IP流量監測：監測IP主機數據流向、流量大小，按總計流量從高到低排序，并可清零流量重新統計。數據庫日志檢測：監控并記錄用戶對數據庫服務器的讀、寫、查詢、添加、修改以及刪除等操作日志記錄，并記錄數據庫服務器及操作用戶的IP、登錄用戶名、MAC地址、操作時間等信息。

7.結語

如何保證網絡行為、信息內容的合規性、合法性、健康性已成為網絡安全研究領域中的熱點問題。信息安全審計技術是對網絡行為進行檢測與防范，也是對信息系統建設的重要補充，將繼續在信息安全中發揮重要的作用。

作者:張楠 單位:吉林省統計局數據管理中心

參考文獻:

篇(3)

在國外，隨著諸如Iso27001,薩班斯法案等信息安全標準和法規的頒布，國外的信息安全審計己經企業，得到了廣泛的應用。而在我國，信息安全審計主要來源于企業信息安全管理的需求、企業內控的要求并且獲得了一定規模的應用。而隨著計算機信息安全等級保護的推進，信息安全審計必然越來越受到政府、企事業單位的重視。目前市場上存在著各種各樣的信息安全審計系統，其功能不一，部署使用力一式也不相同。如何在等保建設中更好的應用審計系統，木文在以下內容中給出了分析和建議。

1信息安全審計的意義和目的

計算機信息安全是要保證計算機信息系統中信息的機密性、完整性、可控性、可用性和不可否認性(抗抵賴)，簡稱五性。安全審計是這五性的重要保障之一，它對計算機信息系統中的所有IT資源(包括數據庫、主機、操作系統、安全設備、網絡行為等)進行安全審計，提供給系統管理員作為系統維護以及安全防范的依據。安全審計如同銀行的CCAV監控系統，任何人進出銀行，柜臺操作都進行如實錄像記錄，一旦有異常事件可以快速的查閱進出記錄和行為記錄，確定問題所在，以便采取相應的處理措施。

信息系統的安全審計工作更為復雜，通過統一收集信息系統中的設備、系統、終端、應用的登錄、操作日志以及其它各種網絡行為，例如互聯網訪問，FTP傳輸、電子郵件等記錄，通過綜合關聯分析從各類記錄中進行多層而、多視角的跟蹤、分析和處理，發現異常事件，及時采取相應措施。

通過以上分析可以看到信息安全審計在信息安全管理體系中是不可缺失的部分。它的作用主要如下:

(1)對正在發生的各類信息事件進行監控、記錄和告警;

(2)為安全主管提供審計記錄和分析決策，及時針對異常行為采取措施;

(3)通過安全審計記錄，可以對于發生的信息系統破壞行為提供有效的法律追究證據;

(4)有效的安全審計策略和安全審計防護措施可以對潛在的攻擊者起到震懾和警告的作用。

2等級保護中安全審計問題

2.1等級保護中的安全審計要求

等級保護是我國目前在非涉密系統信息安全防護一個有效的政策依據。等級保護測評中對網絡，主機，數據庫和應用都有相應的安全審計要求。

2.1.1各安全域通用要求

(1)審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等;

(2)應保護審計進程，避免受到未預期的中斷;

(3)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

2.1.2網絡設備和網絡安全設備特殊要求

應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄。

2.1.3主機和數據安全審計特殊要求

(1)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;

(2)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等;

(3)應能夠根據記錄數據進行分析，并生成審計報表。

2.2等級保護中存在的安全審計問題

在實際測評中由于企業對安全審計不夠重視導致存在諸多安全隱患，不但影響了測評結果也給企業帶來了安全風險。

2.2.1網絡設備和安全設備存在的問題

(1)未開啟安全審計功能，或只設置了相應的日志服務器但沒專人定期對日志分析、記錄;

(2)記錄內容較簡單，只包含用戶登錄行為，而對設備運行情況、網絡告警信息、流量信息都未記錄;

(3)只是簡單的對日志進行保存，并未能運用這些數據做分析統計并從中發現問題;

(4)對審計記錄的保存未做過優化或定期檢查，沒有專人進行維護，不能確保審計記錄不會被修改或刪除。

2.2.2主機和數據庫存在的問題

(1) LINUX系列主機安全審計功能一般都未啟，而對于WINDOWS系列的主機安全審計功能均是系統默認設置。

(2)主機開啟了審計服務但審計對象只包含了操作系統用戶，而對數據庫用戶和其他系統的用戶并未進行審計。

(3)只是簡單對日志進行保存，并沒有專人對這些數據統進行計分析統計。

(4)對審計日志的記錄的內容采取了系統默認保存方法，對日志存儲位置、存儲最大值以及達到最大值后的處理都未設置。

(5)對審計進程和審計日志均沒有專人去做維護檢查，不能保證審計系統的安全運行，審計日志不被非法修改。

2.3等級保護中安全審計的重要性

從保測評的結果看來，不少企業對安全審計不夠重視，信息安全建設主要集中于傳統的信息安全基礎設施，如部署防火墻，IPS等。目前企業的信息安全管理主要依托于這類網關型安全設備上，忽略了事中監控和事后審計溯源的安全管理。從實際測評中發現造成這一系列問題的主要原因是未能認識信息安全審計的重要性，對信息安全審計所需的各類資源投入不足。有效安全審計手段的缺失不僅使企業信息安全等級保護不足，而且也使企業自身信息安全管理體系存在短板，導致企業存在以下安全風險:

(1)內部風險:由內部員工違規操作導致的安全風險和網絡的非法接入帶來的風險。

(2)第二力一維護:企業系統由第二力一維護所帶來的風險。

(3)系統日志:單純的分析業務系統或者數據庫系統的日志，都無法對整個訪問過程是否存在風險進行判斷。

4信息安全審計系統在等級保護建設中的應用

等級保護建設中提出了很多具體的安全審計要求。不少企業不知從何處著手開展工作。信息安全審計系統種類繁多、針對性強，在等級保護建設過程應該根據等級保護的具體要求并結合這些審計系統的特點，有針對性的進行建設才能最終滿足等級保護要求，提高企業安全水平。

4.1等保三級系統中網絡設備和網絡安全設備的安全審計

4.1.1等級保護基木要求

(1)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;

(2)審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

(3)應能夠根據記錄數據進行分析，并生成審計報表;

(4)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

4.1.2可采用的審計系統

按照等級保護二級系統中對網絡設備和網絡安全設備的安全審計基本要求，可采用網絡審計系統。

4.1.3符合度分析

網絡審計系統通過網絡數據的采集、分析、識別，實時動態監測通信內容、網絡行為和網絡流量，發現和捕獲各種敏感信息、違規行為，實時報警響應，全而記錄網絡系統中的各種會話和事件，實現對網絡信息的智能關聯分析、評估及安全事件的準確全程跟蹤定位。

4.2等保三級系統中主機和數據庫的安全審計

4.2.1等級保護基木要求

(1)審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;

(2)審計內容應包括重要用戶行為、系統資源的異常使用和}重要系統命令的使用等系統內重要的安全相關事件;

(3) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等;

(4)應能夠根據記錄數據進行分析，并生成審計報表;

(5)應保護審計進程，避免受到未預期的中斷;

4.2.2可采用的審計系統

按照等級保護二級系統中對主機和數據庫的安全審計基本要求，可采用終端審計系統、運維審計系統、數據庫審計系統。

5總結

篇(4)

關鍵詞：網絡安全審計；日志；日志格式

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2008)14-20803-02

1 引言

防火墻、入侵檢測系統和安全審計系統等安全產品為內部網絡提供了良好的保護作用。安全審計系統提供了一種通過收集各種網絡信息從而發現有用信息的機制，將這種機制應用于局域網內部，從多種網絡安全產品中收集日志和警報信息并分析，從而實現效能的融合，與防火墻、入侵檢測系統等安全產品形成合力，為局域網的安全提供強有力的保障。

如何高效的從各種網絡設備所生成的海量的日志數據信息中提取有用信息，通過格式的統一整合后為安全審計系統提供統一接口，這是安全審計系統一項十分關鍵的工作，也是影響整個系統性能的一個重要因素，本文就此進行探討。

2 安全審計系統的功能需求

安全監控與審計技術通過實時監控網絡活動，分析用戶和系統的行為、審計系統配置和漏洞、評估敏感系統和數據的完整性、識別攻擊行為、對異常行為進行統計、跟蹤識別違反安全法則的行為等功能，使系統管理員可以有效地監控、評估自己的系統和網絡。監控審計技術是對防火墻和入侵檢測系統的有效補充，彌補了傳統防火墻對網絡傳輸內容粗粒度(傳輸層以下)的控制不足，同時作為一種重要的網絡安全防范手段，對檢測手段單一的入侵檢測系統也是有益的補充，能及時對網絡進行監控，規范網絡的使用[1]。

目前，安全審計系統是網絡安全領域的一個研究熱點，許多研究者都提出了不同的系統模型，這包括對內容進行審計的安全審計系統、對用戶行為進行審計的安全審計系統以及對各種安全設備生成的日志進行審計的安全審計系統等等。

基于日志的網絡安全審計系統是一個日志接收與日志分析的審計系統，該系統能夠接收、分析審計局域網內的防火墻、入侵檢測系統等網絡安全產品生成的日志，審計局域網內的網絡信息安全。基于日志的網絡安全審計系統的功能需求如下：

(1) 集中管理：審計系統通過提供一個統一的集中管理平臺，實現對日志、安全審計中心、日志數據庫的集中管理，包括對日包更新、備份和刪除等操作。

(2) 能采集各種操作系統的日志，防火墻系統日志，入侵檢測系統日志，網絡交換及路由設備的日志，各種服務和應用系統日志，并且具備處理多日志來源、多種不同格式日志的能力。

(3) 審計系統不僅要能對不同來源的日志進行識別、歸類和存儲，還應能自動將其收集到的各種日志轉換為統一的日志格式，以供系統調用。并且能以多種方式查詢網絡中的日志記錄信息，以報表的形式顯示。

(4) 能及時發現網絡存在的安全問題并通知管理員采取相應措施。系統必須從海量的數據信息中找出可疑或危險的日志信息，并及時以響鈴、E-mail或其他方式報警，通知管理員采取應對措施及修復漏洞。

(5) 審計系統的存在應盡可能少的占用網絡資源，不對網絡造成任何不良的影響。

(6) 具備一定的隱蔽性和自我保護能力。具有隱蔽性是說系統的存在應該合理“隱藏”起來，做到對于入侵者來說是透明而不易察覺系統的存在。

(7) 保證安全審計系統使用的各種數據源的安全性和有效性。若采用未經加密的明文進行數據傳輸，很容易被截獲、篡改和偽造，工作站與服務器之間的通訊應進行加密傳輸，可采用SSL、AES、3DES等加密方式。

(8) 具有友好的操作界面。

3 安全審計系統的模型概述

如圖1所示，基于日志的安全審計系統主要包含如下模塊：

(1) ：負責收集各種日志數據，包括各種操作系統的日志，防火墻系統日志、入侵檢測系統日志、網絡交換及路由設備的日志、各種服務和應用系統日志等。定時或實時發送到審計中心。其間，日志數據的傳送采用加密方式進行發送，防止數據被截獲、篡改和偽造。

(2) 數據預處理模塊：將采集到的日志數據經過解密后按照數據來源存入相應的數據庫中。

(3) 系統管理模塊：負責對日志、安全審計中心、日志數據庫的集中管理，包括對日志數據的更新、備份和刪除等操作。

(4) 數據處理模塊：負責自動將收集到的各種日志轉換為統一的日志格式，并且從海量的數據中通過模式匹配，發現并找出可疑或危險的日志信息，交由“日志報警處理模塊”進行處理。

(5) 日志報警處理模塊：處理已發現的問題，以響鈴、E-mail或其他方式報警通知管理員采取應對措施。

(6) 數據庫模塊：負責接收、保存各種日志數據，包括策略庫也存放其中。

(7) 接口模塊：供用戶訪問、查詢。

4 安全審計系統中有用數據整合的方法

4.1 安全審計系統的數據源

安全審計系統可以利用的日志大致分為以下四類[2]：

4.1.1 操作系統日志

a) Windows系統日志。Windows NT/2K/XP的系統日志文件有應用程序日志、安全日志和系統日志等，日志默認位置在%systemroot%\system32\config目錄下。Windows是使用一種特殊的格式存放它的日志文件，這種格式的文件通常只可以通過事件查看器EVENT VIEWER讀取。

b) Linux/Unix系統日志。在Linux/Unix系統中，有三個主要的日志子系統：連接時間日志、進程統計日志和錯誤日志。錯誤日志――由syslogd(8)執行。各種系統守護進程、用戶程序和內核通過syslog向文件/var/log/messages報告值得注意的事件。

4.1.2 安全設備日志

安全設備日志主要是指防火墻，入侵檢測系統等網絡安全設備產生的日志。這部分日志格式沒有統一標準。目前，國內多數防火墻支持WELF(Web Trends Enhanced Log Format)的日志格式，而多數入侵檢測系統的日志兼容Snort產生日志格式。

4.1.3 網絡設備日志

網絡設備日志是指網絡中交換機、路由器等網絡設備產生的日志，這些設備日志通常遵循RFC3164(TheBSD syslog Protocol)規定的日志格式,可以通過syslogd實現方便的轉發和處理。一個典型的syslog記錄包括生成該記錄的進程名字、文本信息、設備和優先級范圍等。

4.1.4 應用系統日志

應用系統日志包含由各種應用程序記錄的事件。應用系統的程序開發員決定記錄哪一個事件。Web應用程序日志往往是系統管理員最關心的應用系統日志之一。

a) Apache日志。Apache日志記錄Apache服務器處理的所有請求和出錯信息，它支持兩種格式的日志：普通記錄格式(Common Log Format)，組合記錄格式(Combined Log Format)。

b) IIS日志。IIS日志文件記錄了所有訪問IIS服務程序的信息，IIS日志文件一般位于如下路徑：%systemroot%\system32\LogFiles。IIS支持“W3C擴充日志文件格式”、“NCSA通用日志格式”和“ODBC數據庫日志格式”。

篇(5)

[關鍵詞]社會資本；注冊會計師社會資本；審計質量

[DOI]10.13939/ki.zgsc.2016.35.144

在當今我國市場經濟體制不斷發展的背景下，CPA審計方面的作用愈加凸顯。不僅為財務報表使用者提供了可靠的信息，還推動了我國資本市場的長足發展。然而，近幾年我國出現了不少財務造假事件，嚴重影響了社會各界人士對財務報表審計的信任，因此提高審計質量已經成為CPA行業首要解決的問題。國內外不少的學者研究審計質量的影響因素，幾乎沒有從社會資本的角度進行研究。鑒于此，本文試著研究注冊會計師社會資本對審計質量的影響，以期拓寬審計質量研究范圍。

1 社會資本及注冊會計師社會資本概述

1.1 社會資本的概念及功能

1.1.1 社會資本概念

社會資本是在物質資本與人力資本被提出后出現的第三類資本。對于社會資本的定義，總體來說有三種觀點。

（1）能力觀。持該觀點的人認為社會資本為：透過成員身份個人可以在網絡或更加廣泛的社會結構中不斷提高掌握獲取稀缺資源的能力。即社會資本就是一種跟獲取稀缺資源有關的能力。

（2）資源觀。持該觀點的人認為社會資本是一種社會資源，它能夠不斷創造價值。Lin Nan（2001）提出：社會資本是一種期待在市場中得到回報的資源，它往往鑲嵌在社會結構中及社會關系中進行投資，而且制訂有計劃的步驟以獲取流動的資源。可見，社會資本、社會關系及社會網絡三者之間存在牢不可破的聯系。

（3）社會規范觀。Robert Putnam（1992）指出社會資本是指能夠通過運用協調有效的行動使社會效率的信任、規范及網絡的提高。他主要從社會規則、信任、制度這幾個方面對社會資本進行研究。強調社會資本是組織的一種特征，并且這些特征可以促進溝通與協調，社會效率也就隨之提高。

1.1.2 社會資本的功能

（1）促進信息流動。由于市場機制的不完善，使得特定網絡位置的個體能夠獲取他人難以得到的信息，這些信息也可以為他們提供機會去使用特有的資源，并可以得到較好的回報。所以降低了交易過程中產生的成本。

（2）強化與認可作用。個體作為社會網絡中的重要組成部分，它所掌握的社會資源能準確地確認和識別它自身的價值。行動個體如果與共存的網絡中的相關聯的組織或個體共享資源，則可不斷強化對其身份和社會的認可。

（3）信任作用。一個人的身份地位可以通過該社會行動主體在其所處的社會網絡中的位置以及它能調動的資源的能力得到充分體現，另一方面，這種身份地位恰恰是一種體現社會信任程度的證明。透過這種網絡關系，個人的身份足以為他積累遠遠高于個體資本的無形資源。

1.2 注冊會計師社會資本分析

1.2.1 注冊會計師社會資本概念

本文認為，注冊會計師社會資本是指以注冊會計師個體為中心結點，組成了一個包含了社會網絡（地位、可獲資源、能力等）、信任及聲望的總和。由此可見，CPA的社會資本離不開所處的社會網絡，只有在這個社會網絡中才會發揮其社會資本的作用。

1.2.2 注冊會計師社會資本的形成

CPA社會資本的形成受其所處環境與自身的各種因素綜合影響。CPA社會資本主要是指在這個社會網絡中的聲望和建立的信任。現今信任是個體產生合作的紐帶，更是累積社會資本最基礎的要素。因此，CPA要想提高其社會資本，首先要建立起自身的信譽度，這樣他們的專業技能才能獲得公眾的認可。此外，他們的個人品德與社會地位也會影響其社會資本量。反之，CPA的信任與聲譽的累積過程也是其社會資本累積的過程。

1.2.3 注冊會計師社會資本對其行為的影響

社會結構中一個非常重要的組成部分就是信任。信任水平越高，越能促進CPA的自我監督行為。我們知道，獨立性是CPA執行審計業務前提條件。他們保持獨立性的動力源于自身的聲譽資本，而聲譽是在社會信任的基礎上建立起來的。因此，社會的信任度對CPA的獨立性非常重要。他們為了維護其聲譽，就會自覺保持獨立性，從而避免信譽遭到損失。與其說信任聲譽高的CPA，不如說是信賴所處的社會關系網絡。他們在社會關系網絡中的地位和動用資源的能力很大程度取決于社會對他的信任度，這也是保持獨立性的重要保障。

1.2.4 注冊會計師社會資本的測量指標

本文將CPA的社會資本細化為四個具體指標：①縱向維度；②橫向維度；③CPA聲譽；④CPA認知維度。其中，縱向指標與聲譽指標反映了CPA的網絡資源動用能力，橫向維度、縱向維度及聲譽反映了CPA的社會關系網絡特征。

2 注冊會計師社會資本對審計質量的影響

2.1 注冊會計師縱向關系網絡對審計質量的影響

CPA縱向關系網絡主要是指與政府或其相關部門、國有企業等的社會網絡關系。如果在政府或其相關部門中任職過，他們的政府關系資源就會比較豐富。政府對企業起到非常重要的監督作用。對一些違法欺詐的行為也有制裁的責任，從而保護了相關信息使用者的利益。此外，社會網絡結構也要求他們秉著公正公開的原則，對企業的財務報表更好地監督。CPA鑒于這樣的經歷，并且在這種環境中受到正面的影響，就會堅持客觀公正的原則進行審計。

2.2 注冊會計師橫向關系網絡對審計質量的影響

CPA橫向關系網絡主要是指與其他會計師事務所間的關系網絡。如果CPA在事務所所處位置發生變動，那么社會網絡中的結點也會發生變動。由社會信任金字塔結構理論可知，主體之間的互相依賴有助于信任與聲譽的建立，并且任職的職位越多，主體鏈越長，就會受到更多人的關注。處事的行為便會愈加謹慎，處理的事項也會更復雜，累積的經驗也就越多。這便有利于其發現企業的重大錯報風險，找出各種財務信息錯誤及管理層舞弊行為。

2.3 注冊會計師的聲譽對審計質量的影響

眾所周知，具有CPA執業資格的個體往往是其自身價值提升的重要體現，其自身的聲譽也會隨著自身價值的提升而提升。站在聲譽的角度，CPA也會通過努力工作提升自身的業績從而提升其聲譽。他們更加注重外界人士的評價與認同，目的是為了維護他們的社會形象，而且有利于他們順利完成工作任務。因此，注冊會計師的聲譽對其順利開展審計工作至關重要。

2.4 注冊會計師的認知維度對審計質量的影響

CPA的認知維度包括：①職業認知能力。指是否具有積極向上的從業態度，對其從事的工作有著充分的認知。職業認知能力越高，注冊會計師越能更好地保持獨立性，越能避免審計意見被購買的現象。②專業能力。專業能力越強，掌握的知識越多，越能識別出財務報表重大錯報風險及管理層的舞弊行為，因此能夠更好地對企業的財務報表信息進行監督，從而提高財務報表審計質量。

3 結 論

本文研究了CPA的社會資本對其審計質量的影響，并將CPA社會資本細化為四個具體指標（縱向維度、橫向維度、聲譽及認知維度），并且發現這些指標均可以提高審計質量。然而，本文并沒有研究出一種能夠量化注冊會計師社會資本的方法，只是籠統地進行了理論的分析。研究不足之處有望日后加以補充與改進。

參考文獻：

篇(6)

場景篇

企業網絡安全風險多因上網不規范

在IDC連續多年的信息安全年度報告中，總有一個結論被一再強調一企業所面臨的信息安全問題，超過80％來自于其內部。而這80％的問題中，幾乎大半與員工個體行為有關，尤其是員工濫用網絡的行為。

員工有意無意訪問了不恰當的資源，病毒、蠕蟲、木馬、惡意代碼和間諜軟件會由網頁、Email、聊天工具等方式侵入到企業內部網絡，從而威脅到企業的網絡安全。

有的員工通過日益盛行的P2P下載軟件下載大容量的文件，占用了正常的網絡帶寬，要么造成網速低下，要么導致網絡堵塞，給企業的正常運營帶來了嚴重影響。

對此，一種被稱為上網行為管理的網絡安全產品逐漸被C10所認識。雖然目前的網絡威脅越來越多，但從普遍意義上說，如果上網用戶規范好自己的上網行為，甚至是一些無知的網絡操作，企業的網絡安全風險應該會減少一大半。

上網行為管理，就是管理用戶的上網行為，對其行為的產生、過程、結果以及其它與之關聯的內容進行綜合監控、管理和分析，及時發現問題并解決問題。

在深信服公司高級產品經理邱德文看來，一個行之有效的上網行為管理方案，需要包含一系列完整的功能，如過程跟蹤、過程記錄、行為控制、報告報表、日志分析等，而并非單純地將一些已有的防火墻，防毒墻或綜合安全網關之類的產品功能進行組合。

一般來說，一款上網行為管理產品需要具備以下三個主要功能。內容審計，對員工的聊天內容、訪問網址、來往Email等外發信息進行審計，要能保存記錄，并對敏感的內容通過多種方式實時警告，及時發現員工的危險行為，避免泄密或規避法律風險；流量控制，網絡管理員可以實時檢查公司員工的下載流量，及時發現惡意下載的員工并能迅速進行限制處理，以保障其他員工的正常上網需求；應用程序控制，對BT、視頻、游戲等容易導致網絡問題的軟件可強行限制或禁止，甚至對求職、網絡交易等軟件和網站實施屏蔽，以規范員工的上網行為。

北京網康科技有限公司產品總監宋強認為，目前很多安全產品或多或少都具備某些上網行為管理功能，重要的是，單獨提及上網行為管理這個概念的廠商也越來越多了。上網行為管理已經成為一個細分市場的潮流。

目前，關注上網行為管理領域的廠商既有國內的也有國外的，國內如深信服、網康、啟明星辰等，國外如BlueCoat、Websense等，它們在技術上各有所長，產品也各有特色。

從用戶角度來看，無論是國外廠商還是國內廠商的產品，能夠經得住各種規模企業用戶的實際測試，解決用戶的網絡管理問題，確保用戶的網絡安全，才是真正合適的上網行為管理產品。

建議篇

上網行為管理：要“有”，更要“專”

目前，市場上有些安全產品不僅擁有上網行為審計功能，還將防火墻、防毒墻、IPS等功能放到一個產品中，導致用戶誤以為該類產品功能強大，應用這個設備，其他安全設備似乎都不需要了。而事實上，目前主流的硬件平臺在性能上無法滿足同時開啟如此多的功能，實際使用時，往往只能開啟其中一兩個功能模塊。

要想管理好內網用戶的上網行為，確保企業的信息安全，最好是依靠單獨的上網行為管理設備，至少上網行為管理的技術功能要強大。不僅要“有”，而且要“專”，所謂“術業有專攻”。

由于一款主流的上網行為管理產品主要包括封堵／過濾、流控和審計三個基本功能，因此用戶在采購時，需要注意以下幾方面的問題：

識別加密應用。近年來，很多“不良”應用在呈現加密化的趨勢，例如讓網管“談之色變”的P2P軟件，木馬網站，Skype、QQ等聊天工具……在這些加密應用面前普通的上網行為管理產品無能為力。

對此，普通低端的上網行為管理產品只能夠封堵普通的HTTP網站或MSN等非加密應用，管控上存在漏洞。只有專業的上網行為管理產品才能夠對加密應用進行管控，通過全流量分析等技術實現對加密應用的識別和封堵，如對加密BT、Skype、MSNShell的精確識別和封堵。

流量控制能力。強大的流量控制能力對于上網行為管理產品真正發揮功效非常重要。因為用戶需要針對應用類別、網站類型、上傳下載的文件類型，結合不同用戶組和時間段進行帶寬劃分和流量管理，實現對核心業務的帶寬保證，對非業務應用的帶寬限制。

例如，可為領導用戶組的視頻會議流量保證帶寬、固定預留指定帶寬資源，以保證視頻會議的通暢；在設備上創建新的URL分組，包含市場部同事經常訪問的數十個行業網站，為市場部用戶組訪問這些行業網站進行帶寬動態保障，并為每個用戶細化帶寬分配策略；設計部經常需要上傳下載CAD等大型文件，對此行為進行帶寬保障；對外提供服務的內網服務器，也可以進行帶寬劃分與分配；針對所有人的P2P行為進行帶寬限制，既允許用戶使用P2P，又不會嚴重占用組織的寶貴帶寬資源。

日志庫是否完備。上網行為管理產品審計內容后，會對信息進行統計匯總、分類查詢等，并支持生成圖形化的報表，數據中心功能的強大，對“信息審計”功能的發揮有著重要的意義。

首先，數據中心應該可以獨立安裝。因為上網行為管理產品需對所有的上網行為進行記錄，日志量龐大。一個干人的網絡每周可產生十多GB甚至數十GB的數據。這些數據如果都存儲在上網行為管理設備里，不僅會很快占滿設備的存儲空間，還會影響產品性能。所以，上網行為管理產品的數據中心需要支持獨立安裝，這樣就實現了日志的海量存儲，最大限度地發揮上網行為管理產品的性能。

其次，數據中心需要支持搜索功能。目前有些上網行為管理產品雖有日志存儲，但查詢方式簡陋。

如用戶查“源代碼”這個關鍵字，只能按照人物和時間段查詢。而有些上網行為管理產品可以提供類似Google的搜索界面，通過在數據中心首頁搜索關鍵字，內網用戶訪問過的網頁內容、收發過的郵件及其附件，QQ中的聊天信息、上傳下載的各種文件等，只要其中有“源代碼”這個關鍵字，都可以直接查詢到。

有些廠商甚至還提供日志的主題訂閱功能，將用戶感興趣的關鍵字搜索記錄自動發送到用戶指定的郵箱，實現人。

性能是否夠用。如果沒有良好的性能，上網行為管理產品根本無法智能處理內網的各種應用。而且隨著用戶內網規模的擴大，一旦上網行為管理產品性能不足，不僅會影響網速，甚至會出現宕機、業務中斷的危險。所以性能也是需要重點關注的問題。

應用篇

行業差異性不容忽視

隨著互聯網應用給企業帶來越來越多的方便，隨之而來的問題也越來越明顯。比如企業內部人員透過網絡泄漏敏感資料，員工因私上網影響工作效率等等，企業網絡管理人員迫切需要限制員工的上網行為。但是，不同行業的企業員工的上網行為特征有所差異，對于上網行為管理的功能側重也有所不同。

在金融行業，上網行為管理的重點在于對內網的外發信息具有較強的審計控制能力。金融企業一般規模較大，多是上市公司，而即將實施的薩班斯法案對于上市公司的信息安全具有很高的要求，所以金融企業在選擇上網行為管理產品時，側重于選擇識別能力較強的，對于外發信息的審計和控制做得足夠好的設備以保障內部機密信息的安全性。總之，金融企業需要一套嚴謹的審計系統來保障外發信息的安全。

另一個重點則是教育行業。教育行業用戶的特點在于內網用戶數量眾多，學生數目動輒上萬，如何管理這么多的內網用戶就成了CIO們的一個突出問題。隨著近些年P2P軟件應用的流行，這種靠掠奪網絡資源的下載行為在各大高校的校園網絡里普遍存在，由此導致高校相對較大的出口帶寬在P2P下載面前變得擁擠起來。

強大的流量控制管理能力是教育行業用戶在使用上網行為管理產品的重點所在。另外，為避免個別激進學生通過網絡在BBS、非法網站上發表不負責任的言論，教育行業用戶往往還會強調上網行為管理產品對于外發信息的審計控制能力。

另外一些大型企業或事業單位，由于內網用戶數量較多、工作職能多樣，上網行為管理主要針對規范員工的上網行為，比如使用聊天工具、視力點播、P2P下載、網絡炒股等，主要起到對應用的管控和防止泄密的作用，目的是提高工作效率、保障信息安全。

對于中小企業來說，他們往往需要一套設備解決多個問題，既能保證上網行為管理產品可以劃分帶寬、合理分配流量，又要能審計外發信息，還需要具有網關殺毒、防火墻、防ARP欺騙，防DOS攻擊、IPS等附加功能，他們關注的是一整套問題解決方案。

至于技術的發展趨勢，上網行為管理產品未來將主要集中在識別率的不斷提高、智能化水平不斷提升上面。因為各種新的網站、新版本的應用軟件在不斷地涌現，URL庫、應用協議識別庫等常用管理手段的更新速度再快，也不可能實現實時的立即更新。未來的上網行為管理產品可以自動學習新出現的網頁、應用軟件的特征，并對其進行自動分類，再根據管理員設置的管理策略進行管理。

體驗篇

江蘇油田管控上網行為提升網絡安全性

中國石油化工股份有限公司江蘇油田分公司(以下簡稱江蘇油田)成立于2001年，其前身是1975年組建的江蘇石油勘探局。

該公司總部設在江蘇省揚州市，分支機構遍布江蘇、安徽兩省6市12縣，員工超過15萬人，是集石油勘探開發一體化，油氣生產、加工與銷售配套，跨地區、跨行業的綜合性大型國有企業。

江蘇油田在行業內率先部署了ERP系統，但ERP運行受到網絡阻塞的困擾。為此，IT管理人員進行了一系列的調查與分析，最終將問題的焦點鎖定在企業網絡中的未授權應用上。后經發現，部分員工習慣在網上使用諸如BT下載等未授權軟件，導致了網絡中存在大量的并發用戶，對企業網關造成了極大的壓力。

事實上，江蘇油田的網絡系統中充斥著大量的MSN、QQ等聊天工具，同時通過P2P下載產生的數據流無間斷性的在網絡中傳輸，占用了大量的網絡帶寬。

此外，幾乎所有被使用的未授權軟件都存在著一定程度上的系統漏洞，這些系統漏洞有可能成為網絡病毒或黑客攻擊的途徑，讓攻擊行為有機會繞過防火墻直接威脅企業的網絡系統。倘若網絡中應用軟件被黑客利用，通過其中的漏洞達到盜取企業信息的目的，不但會給江蘇油田的商業利益帶來重創，還會直接影響到國家的能源戰略安全。

為了解決上述問題，江蘇油田選用了基于ProxySG設備的Blue Coat上網行為管理解決方案，通過控制網關處應用軟件的流量來節省互聯網帶寬，從而達到提升網絡訪問速度，提高關鍵業務效率的目標。與此同時，該解決方案有效地阻止了網絡內的未授權應用，提升了企業網絡系統安全性和勞動生產率，并且加強了江蘇油田的法規遵從性。

Blue Coat上網行為管理解決方案可以對網絡中的應用進行識別和控制，將未授權應用產生的網絡連接請求阻斷在企業網關處，在節省網絡帶寬的同時避免了病毒或者黑客利用第三方軟件漏洞繞過防火墻的攻擊威脅，提升了網絡的整體安全性。

中國石化集團江蘇石油勘探局信息部主任楊立民表示，江蘇油田在互聯網網關處部署了Blue Coat ProxySG設備上網行為管理解決方案后，能夠對員工上網行為進行基于策略的管理，有效杜絕了網絡系統中的未授權應用，不僅提升了網絡的整體安全性，還為企業節省了555的網絡帶寬。

上海文廣“重整”帶寬資源

作為一家省級大型新聞媒體單位，上海文廣新聞傳媒集團(簡稱上海文廣)一直非常注重于企業自身的信息化建設，單位局域網構建比較完善。不過，上海文廣工程師鄧旭華介紹說，由于集團特殊的工作性質，過去一直沒有對網絡流量實施嚴格的管控策略，于是，BT、Emule、迅雷、網際快車等P2P應用占據了大部分的帶寬資源，隨著業務和應用的不斷增加，帶寬不斷擴容，不僅上網成本上升，而且眾多用戶還是抱怨網速太慢。

同時，流量不斷上升致使互聯網出口的流程管理和防火墻等設備不堪重負，在高峰時段CPU利用率基本上100％，導致網絡無法正常訪問，進一步惡化了上網環境。此外，對用戶上網行為也無法進行追溯，這對企業的網絡安全防護以及企業機密信息的保護形成了重大隱患。上海文廣認識到，單靠增加出口帶寬和更換設備不能根本解決問題，必須對上網行為進行適當的管控和審計。

篇(7)

入侵檢測網絡安全技術

1引言

隨著信息時代的到來，電子商務、電子政務，網絡改變人們的生活，人類已經進入信息化社會。計算機系統與網絡的廣泛應用，使網絡安全問題成為日益矚目的焦點。單純的安全保護措施并不能保障系統的絕對安全，入侵檢測技術作為網絡安全防護技術的重要組成部分，已經成為網絡安全領域研究的熱點。

2入侵檢測的概念

入侵檢測（Intrusion Detection），顧名思義，是指對入侵行為的發現。入侵檢測技術是通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。

入侵檢測系統（IDS）則是指一套監控和識別計算機系統或網絡系統中發生的事件，根據規則進行入侵檢測和響應的軟件系統或軟件與硬件組合的系統。

3入侵檢測技術分析

3.1入侵檢測的分類

關于入侵檢測系統的分類大體可分為四類：

（1）根據入侵檢測的數據來源的不同，入侵檢測系統可以分為基于主機的入侵檢測系統、基于網絡的入侵檢測系統、混合式入侵檢測系統等。基于主機的入侵檢測系統往往以系統日志、應用程序日志等作為數據源，保護所在的系統。基于網絡的入侵檢測系統通過在共享網段上對通信數據進行偵聽采集數據，分析可疑現象，能夠實現對整個網段的監控、保護。混合式入侵檢測系統采用上述兩種數據來源，能夠同時分析來自主機系統的審計日志和網絡數據流。

（2）根據入侵檢測體系結構的不同，將入侵檢測系統分為集中式入侵檢測系統和分布式入侵檢測系統。集中式IDS由一個集中的入侵檢測服務器和運行于各個主機上的簡單的審計程序組成，審計數據由分散的主機審計程序收集后傳送到檢測服務器，由服務器對這些數據進行分析，適用于小型網絡中的入侵檢測。分布式IDS的各個組件分布在網絡中不同的計算機上，一般來說分布性主要體現在數據收集和數據分析模塊上。

（3）根據入侵檢測系統所采用的技術不同分為異常檢測、誤用檢測和混合型檢測。誤用檢測是利用已知的攻擊特點或系統漏洞，直接對入侵行為進行特征化描述，建立某種或某類己經發生過的入侵的特征行為模式庫，如果發現當前行為與某個入侵模式一致，就表示發生了這種入侵。異常檢測是建立計算機系統中正常行為的模式庫，然后根據采集的數據，如果數據特征與正常行為的特征相比，出現明顯的偏差，則認為是異常。

（4）根據響應方式可分為：主動響應和被動響應兩種。

3.2入侵檢測主要技術

（1）概率統計方法

概率統計首要做的就是建立一個統計特征輪廓，它通常由對主體特征屬性變量進行統計概率分布以及偏差等來描述的。譬如：CPU的使用，I/O的使用，使用地點及時間，郵件使用，編輯器使用，編譯器使用，所創建、刪除、訪問或改變的目錄及文件，網絡上活動等。這種方法的優點在于能夠檢測出未知的入侵行為，同時缺點也很明顯：誤報、漏報率高。

（2）神經網絡

基本思想是用一系列信息單元（命令）訓練神經單元，這樣在給定一組輸入后，就可能預測出輸出。當前命令和剛過去的w個命令組成了網絡的輸入，其中w是神經網絡預測下一個命令時所包含的過去命令集的大小。根據用戶的代表性命令序列訓練網絡后，該網絡就形成了相應用戶的特征表，于是網絡對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。該技術目前還不很成熟。

（3）專家系統

早期的IDS大多是采用這種技術，將有關入侵的知識轉化成if-then結構的規則，即將構成入侵所要求的條件轉化為if部分，將發現入侵后采取的相應措施轉化成then部分。當其中某個或某部分條件滿足時，系統就判斷為入侵行為發生。其中的if-then結構構成了描述具體攻擊的規則庫，狀態行為及其語義環境可根據審計事件得到，推理機根據規則和行為完成判斷工作。系統規則庫的完備與否決定了專家系統的檢測率和誤檢率。

（4）模型推理

模型推理是指結合攻擊腳本推理出入侵行為是否出現。其中有關攻擊者行為的知識被描述為：攻擊者目的，攻擊者達到此目的的可能行為步驟，以及對系統的特殊使用等。根據這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。

（5）基于遺傳算法的入侵檢測

遺傳算法是基于自然選擇和進化的思想，把適者生存和隨機的信息交換組合起來形成的一種搜索方法，其目的在于為問題提供最優的解決方案。入侵檢測的過程可以抽象為：為審計事件記錄定義一種向量表示形式，這種向量或者對應于攻擊行為，或者代表正常行為。通過對所定義的向量進行測試，提出改進的向量表示形式，不斷重復這個過程直到得到令人滿意的結果。在這種方法中，遺傳算法的任務是使用“適者生存”的原理，得出最佳的向量表示形式。

（6）基于數據挖掘的入侵檢測

數據挖掘是從大量的數據中發掘潛在的、未知的和有用的知識，把數據挖掘用于入侵檢測系統易于從大量存在的審計數據中發現正常的或入侵性的行為模式。把入侵檢測過程看成是一個數據分析過程，依據數據挖掘中的方法從審計數據或數據流中發現感興趣的知識。把發現的知識用概念、模式、規則、規律等形式表示出來，并用這些知識去驗證是否是異常入侵和己知的入侵。

另外還有許多新的技術也應用于入侵檢測系統的研究中，如：基于免疫學的入侵檢測系統等，取得了很好的研究成果，在此不再詳述。

4入侵檢測技術的發展趨勢

在入侵檢測技術發展的同時， 入侵技術也在不斷更新，網絡環境也日益復雜，大通信量對數據分析也提出了新的要求。新一代的入侵檢測系統需要對攻擊和威脅進行更加詳細的分類，最大限度的降低誤報和漏報率，建立事件相關性和時間相關性分析，更好地滿足網絡安全的需求。

參考文獻：