安全審計系統范文

安全審計系統范文第1篇

關鍵詞：信息系統審計(IT審計),信息系統安全審計

“審計”(Audit)這個詞起源于會計審計和賬目稽查。從相關文獻來看,系統審計(System Audit)、電子數據處理審計(EDP Audit)和計算機審計(Computer Audit)沒有很明確的界限劃分,這些都是在計算機大量進入實用階段后開始的。“信息系統審計”指的是一個獲取并評價證據,以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。

1 IT審計的社會背景

IT審計是社會信息化的基礎,是企業變革的需要。隨著社會信息化程度越來越高,信息將是維持社會經濟活動及生產活動的重要的基礎性資源,成為政治、經濟、軍事、文化乃至社會一切領域的基礎。信息系統廣泛深入地滲透到各個領域,其結果導致了社會、企業等對信息系統的極大的依賴性。也就是說,當系統發生故障,停止運行或系統發生錯誤而喪失其有效功能時,該領域的各種活動就失去了支撐與 保障,甚至還要影響到社會、生活等許多方面。因此,實施“IT審計”確保信息系統的可靠、安全及有效是信息化的基礎,已成為健全地進入信息化社會必不可少的重要環節,并越來越多地受到國際國內的關注。

2 IT審計的定義

有關審計的定義,這里引入1985年日本通產省情報處理開發協會IT審計委員會的定義:“所謂IT審計是指獨立于審計對象的IT審計師站在客觀立場上,對以計算機為核心的信息系統進行綜合的檢查、評價,向有關人員提出問題與勸告,追求系統的有效利用和故障排除,使系統更加健全。”

2.1 IT審計的意義、目的

為了保證信息系統的安全、可靠與有效,需要開展由獨立的具有資格的第三方進行的IT審計,對以計算機為核心的信息系統從計劃開始,到設計、編程、測試、運行、維護直至淘汰的整個生命周期實施IT審計。IT審計(System Audit)與項目監理(Project Management)的差異,工程監理是國際上對項目進行管理的普遍的做法,從由第三方實施的角度來看與IT審計是相同的,但項目監理的對象是工程項目,而且僅覆蓋開發階段,即在一定的成本、進度和質量目標下,控制項目的開發,當項目完成驗收后,監理工作結束。而對IT審計來說,不僅是信息系統的開發階段,開發完成后的運行維護階段(占系統全生命周期60%-70%)還要繼續進行IT審計,它覆蓋信息系統的全生命周期。

2.2 IT審計的對象

IT審計的對象是指以電子計算機為核心的信息系統,并覆蓋信息系統從計劃、分析、設計、編程、測試、運行維護到該系統報廢為止的全生命周期的各種業務。所謂IT審計,用一句話來說是對信息系統的審計。今天信息系統已發展成為幾乎所有企業的中樞,起到關鍵作用。隨著網絡的普及,與信息系統有關的業務范圍也越來越廣泛。如把IT審計僅僅理解為是對硬件與軟件的審計是不夠的,IT審計必須是針對整體的信息系統進行的,而整體信息系統是包括信息系統環境以及與此業務等在內的有機結合的整體,是以促使企業整體的健全信息化為目標的。要進行IT審計,必須熟悉IT審計對象的業務,在信息系統計劃、開發、運行和維護的各個階段,必須明確IT審計各個項目及各個項目的衡量標準。因此,明確對象業務、明確IT審計的要點、選定對象業務及找出問題的所在,使IT審計真正起到效果是十分重要的。2.3 IT審計的業務內容

IT審計的業務內容歸納如下:

* 計算機資源管理審計

* 硬件、軟件等獲取審計

* 系統軟件審計

* 程序審計

* 數據完整性審計

* 系統生命周期審計

* 應用系統開發審計

* 系統維護審計

* 操作審計

* 安全審計

3 信息系統安全審計

談到系統的安全,有“計算機安全”、“系統安全”、“物理安全”、“數據安全”等分類。對于信息系統的安全可給出如下定義:“確保以電磁信號為主要形式的,在計算機網絡化系統中進行自動通信、處理和利用的信息,在各個物理位置、邏輯區域、存儲和傳輸介質中,處于動態和靜態過程中的機密性、完整性、可用性、可審查性和抗抵賴性的,與人、網絡、環境有關的技術安全、結構安全和管理安全的總和。”人是信息系統的主體,包括各類用戶、維護人員及技術管理與行政管理人員;網絡則指以計算機、網絡互連設備、傳輸介質及其操作系統、通信協議和應用程序所構成的物理的和邏輯的完整體系;環境則是系統穩定和可靠運行所需的保證體系,包括建筑物、機房、動力保障與備份及應急與恢復體系。

系統安全是指在以計算機為核心的信息系統中,為確保所有的資源安全性的廣義概念,正好與系統概念相反,是包括從廣義到狹義的種種范圍,它一般包括由硬件(包括網絡)與軟件構成的系統的安全。要確保信息系統安全,即系統所有資源的安全,就要進行安全控制。

“信息安全審計”成為企業內控、信息系統治理、安全風險控制等不可或缺的關鍵手段。美國信息系統審計的權威專家Ron Weber又將它定義為“收集并評估證據以決定一個計算機系統是否有效做到保護資產、維護數據完整、完成目標,同時最經濟的使用資源”。

信息系統的安全審計主要指的是對信息系統安全框架的審計(Auditing Information Security Framework)。信息安全框架的審計包括以下幾個方面。

3.1 審計書面策略、流程與標準

策略、流程與標準為組織維持正常的運營與管理提供框架和指南。在審計的時候應該先檢查這些策略及程序,以決定公司是否建立了正確的安全方針,是否為安全的計算機處理環境建立明確的責任歸屬和操作程序。

3.2 邏輯訪問安全策略

此策略應當為邏輯訪問建立“知所必需”的原則,并合理評估在訪問過程中暴露的風險。

3.3 安全意識的培訓及養成

有效的安全管理需要人來維護。只有員工知道他們的責任,以及組織對他們的要求是什么,安全才能真正有效。員工應該了解某些安全措施的真實目的及意義,以及違反時應受的懲罰。

提倡及宣傳安全意識是一種預防性控制方法。通過這種方法,使員工意識到他們維護良好的物理和邏輯安全的責任。這也可以被視為一種檢測性控制,因為它鼓勵員工舉報違反安全規定的行為。

安全培訓要從新員工的入職教育開始,并通過公司的刊物、公告、安全人員的檢查及部門會議中強調等一系列的活動來進行經常性的安全宣傳。應當由安全管理員直接負責安全意識教育的管理及執行。信息系統安全審計包括抽查公司員工的計算機安全意識狀況。

3.4 數據的所有權(Data Ownership)

數據的所有權指的是在信息資源適當分類的基礎上,對保護信息資源機密性、完整性、準確性方面的責任分配。建立數據的所有權的關鍵點是針對特點的員工賦予保管計算機資源的相應責任,并確保這種責任的可追查性。信息系統安全審計應檢查組織中是否建立了數據所有權關系,并根據所有權向員工落實具體責任。在審核數據所有權時,應當抽樣檢查員工的工作描述,以確認其工作職責與所有權關系相一致,同時應判斷對信息資產的分類是否適當。

3.5 數據所有人(Data Owner)

數據所有人通常是那些對運營和控制業務活動負責的管理人員,他們的安全責任包括對系統訪問進行授權;確保人員責任發生變動時,訪問規則要及時更新;定期檢查訪問規則及被保護的計算機數據。

3.6 數據保管員(Data Custodians)

數據保管員是負責保存并看管計算機數據的人員。一些信息部門人員,如系統分析員和計算機操作人員也有此職責。

3.7 安全管理員(Security Administrator)

安全管理員負責為信息系統程序、數據和設備提供充分的物理與邏輯安全(物理安全也可能由其他專人來管理)。通常,組織制定的信息安全策略要對安全管理員提供基本的指南。

3.8 數據使用者(Data Users)

這里指最終用戶,包括內部和外部用戶或用戶組。數據使用者要訪問計算機數據,必須 事先獲得數據所有者批準,并由安全管理員監控和管理其使用。用戶必須遵守組織制訂的安全政策與程序,并對其工作區域中的非授權人員的物理與邏輯訪問保持警覺。

3.9 書面授權(Documented Authorizations)

數據訪問必須經書面核準與授權。信息系統安全審計應包括抽樣檢查這些授權情況,判斷授權等級是否充分和合理,是否只有數據所有人才能核準數據訪問權限。

3.10 離職員工的訪問控制(Terminated Employee Access)

一般來說,員工離職的情況主要有以下幾種:

* 員工自己請辭

* 聘用合同期滿(正常退休或合同完成)

* 非自愿離職(被組織開除、辭退等)

對于非自愿離職的員工,組織應當在解除其職務前,及時收回或嚴格限制其對組織信息資源的訪問權,使其不能繼續訪問組織的機密信息,或使其不能破壞組織有價值的信息資產。如果對于這類員工還需要保留一部分訪問權,必須得到相關管理層批準,并對其進行嚴格的監督。

對其他兩種離職的員工,由管理層批準是否保留他們訪問權,這取決于:

* 考慮每一種人所處的特定的環境

* 員工所訪問的IT資產的敏感程度

* 組織的信息安全政策、標準和程序的要求

3.11 安全基線

安全基線計劃是實現IT安全的第一步,完成基線計劃后,應當進行安全評估和進一步的安全計劃。

3.12 訪問標準

信息系統安全審計在審核訪問標準時,應確保符合組織職責劃分的原則,避免錯誤和舞弊現象的發生,降低非授權訪問的風險。

安全標準一般定義如下。

* 建立基本要求(密碼至少6位)

* 為特定機器的使用建立規則(如:所有Unix機器設定每30日強制換密碼)

* 為特定的應用系統建立規則(如:負責銷售賬的員工被允許訪問輸入的銷貨發票,但不允許訪問支票授權功能選項)

信息安全審計與信息安全管理密切相關,信息安全審計的主要依據為信息安全管理相關的標準,例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。這些標準實際上是出于不同的角度提出的控制體系,基于這些控制體系可以有效地控制信息安全風險,從而達到信息安全審計的目的,提高信息系統的安全性。信息系統安全審計,正在被越來越多的行業和機構所重視,它代表著由傳統信息安全向業務信息安全領域縱深發展的必然的趨勢要求。

參考文獻

[1]　胡克瑾等.IT審計.

安全審計系統范文第2篇

信息安全是一個動態的過程,在為自身業務提供高效的網絡運營平臺同時,日趨復雜的IT業務系統與不同背景業務用戶的行為也給網絡帶來潛在的威脅,如內部業務數據、重要敏感文件通過電子郵件、遠程終端訪問(TELNET、FTP)等方式被纂改、泄露和竊取;訪問非法網站、發布非法言論等違規上網行為泛濫;嚴重破壞政府、企業的信息系統安全。

隨著業務系統訪問、網絡應用行為日益頻繁,我們可能經常遇到以下情況:

(1)員工隨意通過網絡共享文件夾、文件上傳下載、EMAIL等方式,發送重要敏感信息、業務數據,導致信息外泄事件發生;

(2)員工在論壇發表敏感信息、傳播非法言論,造成惡劣社會影響;

(3)等級保護要求。公安部國家電子政務等級保護、國家保密局BMB17-2006號文件中要求政府、涉密單位必須對涉密信息、業務系統相關的網絡行為進行安全審計和管理。

根據調查數據顯示,大多數企業雖然已經采用一定的網絡安全手段(如防火墻、入侵檢測等)和管理措施,但是上述安全事件發生后,卻仍然無法進行及時告警響應、準確定位事件源頭。如何有效監控業務系統訪問行為和敏感信息傳播是當前迫切需要解決的問題。

因此,信息安全審計系統正是在這樣的背景下產生的,為保障業務系統和網絡信息數據不受來自用戶的破壞、泄密、竊取,運用各種手段實時監控網絡環境中的網絡行為、通信內容,以便收集、分析報警、處理的一種手段。

1 系統體系架構

信息安全審計系統,通過網絡審計設備,對用戶上網行為進行數據采集、集中管理與分析,實現信息采集、檢測、監控與響應等管理過程。該系統體系架構如圖1所示:

系統從總體架構上可分為審計設備、數據采集模塊、數據庫模塊、綜合管理模塊、外部接口層模塊,管理門戶模塊等。

(1)審計設備

網絡審計設備能夠針對局域網內用戶訪問互聯網的行為進行分析,為內網用戶提供安全監控和防護。網絡審計設備能夠針對內網用戶使用互聯網的上網行為進行實時的管理和有效的控制。采用協議識別,特征檢測和智能關聯分析技術,全面檢測網絡數據包,及時發現違反安全策略的事件并實時告警記錄。

(2)數據采集模塊

通過協議中介層從網絡設備、安全設備、主機、應用系統等數據來源采集各種安全信息,并進行格式規范化處理,為數據庫的統一管理做好準備。

(3)數據庫模塊

數據庫模塊將接收不同的數據采集模塊的數據,并把海量的數據進行合理的分類歸并、優化匯總。通過預先分配足夠的大小和合適的增長幅度在一個對象建立的時候要根據應用充分地計算他們的大小,減少存儲結構擴展。

(4)綜合管理模塊

綜合管理模塊具備日志查詢、報表統計、權限管理、系統管理等功能,方便信息安全監管人員有效地管理每一臺網關設備,適合在任何IP可達地點遠程管理。

(5)管理門戶模塊

實現統一的圖形化管理界面,系統實現了信息采集、監控、分析、維護、管理和展示,針對敏感數據實時監控,多方式告警。管理門戶即管理中心服務器,具有系統監控和日志管理功能,可以集中管理多臺設備,滿足不同管理模式的需要,多用戶多權限管理,提供針對網絡正常行為和異常行為的全面行為檢測手段,實現安全數據的整體挖掘,關聯分析管理。

2 數據流圖設計

信息安全審計系統的設計方法采用“結構分析法”,采用自頂向下,逐步求精,其基本思想是“分解”和“抽象”,我們借助“數據流圖(Data Flow Diagram)”來設計系統,它從數據傳遞和加工角度,以圖形方式來表達系統的邏輯功能、直觀的體現數據在系統內部的邏輯流向和邏輯變換過程。

數據流圖設計分為“頂層——數據流圖”(圖2)和“底層——數據流圖”(圖3)?！绊攲印獢祿鲌D”體現了信息安全審計系統的數據處理流程:內網用戶訪問互聯網的數據包經過網絡審計系統,被系統捕獲后還原數據流量,并進行全面數據分析與監測,實現了基于用戶網絡行為的全面多維度審計。網絡審計系統所產生的日志通過互聯網實時傳送到審計管理中心,通過集中匯總、分類索引的方式存儲于龐大的數據庫系統之中,安全管理員只要通過web控制臺,就能輕松的連接管理中心,查看日志數據,報表信息,系統配置以及下發管理策略。

“底層——數據流圖”主要體現了信息安全審計系統的核心設計思想,內網用戶訪問互聯網的數據信息被捕包引擎分流,再傳送至數據包重組引擎,它可以根據數據的IP地址、端口類型、協議類型進行分類重組,還原單個用戶訪問互聯網的行為,這些網絡行為根據協議的類型進行分類再傳送至特征碼關聯分析引擎,該引擎可以分析不同類型的協議,依據互聯網常見的特征碼進行自學習,然后識別用戶的上網行為,如瀏覽網頁信息,論壇信息,email內容,ftp操作指令,telnet操作指令,IM用戶在線情況等,這些信息最終以日志的形式記錄在系統文件中,采用隊列的方式管理日志信息,確保日志不會丟失,并且利用UDP協議發送到管理中心進行存儲。網絡審計設備還具備通信客戶端功能,實時與審計管理中心交互,等待管理中心下發策略,如自動升級系統,開啟關閉審計系統等策略。

3 結束語

信息安全審計系統能有效的掌握局域網內部的信息安全狀態,預防敏感涉密信息外泄,實現對內部網絡信息的整體智能關聯分析、跟蹤定位。而如何不斷完善支持更多的應用程序的識別分析,最大程度的保障互聯網的信息安全,如何創建智能防御機制,及時、準確的發現潛在的未知威脅,是未來信息安全審計發展的方向之一。

摘要：信息安全審計系統采用分布式部署方式,分為網絡審計設備和審計管理中心兩大部分,通過基于業務運維行為、上網行為和網絡應用行為的審計,實現基于用戶網絡行為的全面多維度審計,本文通過介紹信息安全審計系統的體系架構、通過分析數據流圖設計來闡述該系統的設計原理。

關鍵詞：行為審計,特征碼識別,管理中心

參考文獻

[1]薩默維爾.軟件工程.機械工業出版社,2011.

[2]王夢龍.網絡信息安全原理與技術.中國鐵道出版社,2009.

安全審計系統范文第3篇

隨著信息技術的迅速發展, 網絡已經在社會生產、生活的各個方面得到了廣泛的應用, 在給人們帶來了極大的方便的同時網絡安全問題也日益明顯。防火墻正是在這種情況下產生的網絡安全產品, 將防火墻安裝在被保護的內部網和外部網之間的連接點上, 所有進出內部網絡的活動都必須經過防火墻, 但是總體上來說防火墻是一種被動的防護, 防火墻的安全保護功能并不是萬無一失的。通過對防火墻日志的進行審計, 并采取必要的主動防范措施, 能有效地彌補防火墻的不足。

1 國內外研究現狀

國內外對于網絡安全審計系統的研究起步是比較晚的, 1980年, Anderson首次提出了利用系統日志信息進行安全審計的思想。經過20多年的研究和發展, 己形成了較為完備的理論和實際應用系統。但日志研究尚存在一些問題。國內外在日志分析統計、實時日志監控和安全日志管理方面做了大量的工作, 但缺乏比較綜合的數據提煉能力的日志搜索和分析系統。

2 系統設計

2.1 設計思想

系統從數據采集點采集數據, 將數據進行處理后放入審計數據庫, 采用有學習能力的數據挖掘方法, 從“正常”的日志數據中發掘“正常”的網絡通信模式, 并和常規的一些攻擊規則庫進行關聯分析, 達到檢測網絡入侵行為和非法操作的目的。

2.2 系統結構組成

通過對CC標準安全審計的功能需求和ISO/IEC 10181標準的分布式安全審計模型的分析和結合, 考慮到系統的功能和擴展性, 系統主要由數據采集模塊、數據的分析處理模塊、響應模塊和信息發布模塊四大部分。

數據采集點對應于CC標準的安全審計數據產生和安全審計事件選擇功能, 分析引擎對應于CC標準的安全審計分析功能, 響應模塊對應于CC標準的安全審計自動響應, 信息發布對應于CC標準的安全審計瀏覽功能。

2.3 系統總體框架

整個系統分數據采集模塊、數據的分析處理模塊、響應模塊和信息發布模塊四個部分, 系統總體框架如圖1所示。

(1) 數據采集

本文所選取的安全審計數據分為網絡數據和主機數據兩大部分。網絡數據源和主機數據源各有優勢和不足, 又存在互補性。因此, 本文綜合這兩方面的審計數據源, 最大限度地提高信息收集, 為實現準確高效的安全審計提供保障。

(2) 數據預處理

數據預處理主要包括:數據清理, 數據的選擇與變換、數據歸約和數據的存儲。

(1) 數據清理

從審計記錄里清除無關數據, 將歷史數據和當前數據進行集成。

(2) 數據選擇與變換

從審計數據中檢索出與分析任務相關的數據, 提取有用的特征屬性, 并將數據變換成適合工作的形式。

(3) 數據的分析

通過分析預處理后的數據, 提取有關特征和規則, 建立網絡安全異常模式。在安全審計過程中, 基于從已知的異常行為中提取的特征, 分析數據是否為異常行為。運用關聯分析方法提取出異常行為之間的關聯特征。分析描述行為隨時間變化的對象的規律和趨勢, 并建立模型。應用聚類方法不斷修改預定義的劃分結果, 對審計數據重新進行劃分并進行描述, 以獲得更好的結果。

對經過標記的分類數據進行總結, 學習新的知識, 并把學習到的知識轉化為規則并入規則集合中, 從而可以根據網絡數據的變化實時地更新規則。

(4) 響應

對安全審計系統檢測出來的入侵或異常行為采取安全措施, 為安全防御系統提供信息, 對異常的數據源實施阻斷。

(5) 信息發布

安全審計系統的信息發布基于Web方式, 包括四部分:日志瀏覽、生成報告、規則管理和系統管理, 通過CGI, PHP等技術實現對數據庫MYSQL和配置文件的訪問。

(1) 日志瀏覽模塊

其主要目的是便于用戶更好地查看原始數據記錄, 不涉及經過審計的結果數據庫。

(2) 生成報告模塊

用戶可以看到總流量趨勢圖、攻擊事件在時段上的分布圖、各種等級攻擊和各種類型攻擊所占的比例、各個時間段不同顆粒度攻擊數量的差分比較等。

(3) 規則管理模塊

規則維護包括對規則的添加、修改、查詢、刪除, 而且包括規則使用的變量的管理 (添加、刪除、修改) ?？梢詫γ織l規則的參考信息進行明細查詢或者修改。

(4) 系統管理模塊

實現對信息發布系統的參數和安全審計系統其他模塊的一些參數的管理。系統管理包括用戶管理和配置管理。

2.4 系統總體流程

防火墻日志安全審計系統的總體流程如圖2所示。

3 系統實現關鍵技術分析

3.1 分析引擎

分析引擎的結構如圖3所示, 其核心包括兩部分:“分析引擎”和“趨勢分析與消息過濾”。其中, 分析引擎的主要功能是按照規則語言對規則庫中的規則進行解釋, 對原始數據進行匹配。對于簡單規則無法判斷的可疑行為, 則保存為中間數據, 由“趨勢分析與消息過濾”結合多條記錄或規則進一步分析后, 判斷結果記入結果數據庫。

本系統可讓取證分析人員利用關鍵字查詢出可能含有罪犯記錄的日志信息, 然后設定一定的規則, 從這些日志信息中自動提取部分的信息 (如相關的IP、用戶名、時間、協議、主機名等) 作為關鍵字, 對日志數據表進行再次查詢, 并可重復這一操作, 實現對所有日志數據的關聯分析。

3.2 規則學習

規則學習模塊對經過標記的分類數據進行深度數據挖掘, 學習新的知識。把學習到的知識輸入到知識庫中, 這就保證了系統可以根據網上數據的變化適時地更新知識庫。當然, 最初規則的學習是通過系統人為地構造訓練數據來生成規則的, 因此, 我們亦可通過規則學習模塊對系統進行訓練, 來升級知識庫。

系統在開發之初, 它的知識庫所包含的規則是在開發階段通過人工訓練得到的, 這些規則的建立實際上取決于設計人員自身的知識和對已知攻擊形式的了解程度, 這些規則只對于已知的攻擊有效, 對于不斷出現的新型攻擊則無能為力。為了發現新型的攻擊, 必須及時更新知識庫中存在的規則。本文的思路是:

(1) 為了形成知識庫模型需要構造訓練數據。對于歷史數據或訓練數據, 由數據挖掘引擎對事件序列進行分析學習, 挖掘出審計數據中蘊藏的用戶的正常行為模式和異常行為模式, 并將正?；虍惓Ｒ巹t存入知識庫中。

(2) 根據知識庫中的規則, 入侵檢測模塊對當前審計數據進行分析, 當某用戶的行為與知識庫中定義的異常規則相一致時, 我們判定其為入侵。但當前行為與知識庫中的任何規則都不匹配時, 系統將判斷當前用戶行為與異常規則的相似性是否超過某閾值, 或不在正常行為之列, 并認定該行為具有威脅。將這些數據加以存儲 (可以稱之為事件庫) , 并利用聚類挖掘技術將這些數據抽象成為由類似的模式組合成的多個類, 再利用分類技術將數據轉變為規則、添加到知識庫中。這樣可以通過不斷修改知識庫來發現未知攻擊或己知攻擊的變種。

根據上述思想, 本文在知識庫的實現過程中采取了如下策略:

(1) 知識庫中保存著異常和正常兩類規則。

(2) 收集盡可能多的沒有發生任何入侵活動的系統日志數據和網絡數據包形成審計數據, 再由數據挖掘引擎從中提取出用戶的正常使用模式, 并以此作為初始的正常規則集。

(3) 收集并研究盡可能多的已知攻擊現象, 通過構造訓練數據將之轉換成入侵規則或通過人工錄入的方式添加到知識庫中, 并以此作為初始的異常規則集。

(4) 建立好初始的知識庫之后, 對于每一次發現的證據, 除了根據規則判斷此次行為是否構成對系統的攻擊之外, 還要根據它和知識庫中所存規則之間的相似性度量值決定是否對知識庫進行更新。在系統的運行過程中所分析的數據, 如果經過決策發現數據中隱含著屬于閾值范圍內的正常規則或異常規則, 若沒有與知識庫中己有的規則雷同, 則自動添加到知識庫中。

(5) 若在相當長的時間內不再有正常規則添加到知識庫中, 說明知識庫中的正常規則已經完備, 則不再需要擴充正常規則。而異常規則由于不斷有新的網絡攻擊出現, 所以將永遠啟動異常規則的擴充功能。

4 結束語

本系統采用有學習能力的數據挖掘技術對防火墻正常日志數據進行學習, 獲得正常訪問模式的規則庫, 檢測網絡入侵行為和非法操作, 減少人為的知覺和經驗的參與, 減少了誤報出現的可能性。該系統結構靈活, 易于擴展, 此外, 使用規則合并可以不斷更新規則庫, 對新出現的攻擊方式也可以在最快的時間內做出反應。

參考文獻

[1]昌鎮邦, 吳廣茂.計算機網絡安全及安全審計技術研究[J].航空計算技術.1999.

[2]ISO/IEC15408[S].Common Criteria for Information Technol-ogy Security Evaluation1998.

安全審計系統范文第4篇

Internet網絡的發展給人們的生活帶來了史無前例的變化,據統計目前全球互聯網用戶人數已經超過10億(2007年底),足見互聯網發展之快、影響之大。人們在享受著Internet網給人類帶來便利的同時,也對無處不在的網絡安全威脅深有體會,如非授權訪問、數據破壞、黑客、病毒等,特別是病毒的傳播,破壞性之強、影響范圍之廣,人們對此深惡痛絕。

1999年CSI/FBI的計算機犯罪及安全調查局指出,82%的損失是內部威脅造成的;根據國際上一些權威機構提供的數據,目前有60%以上的網絡入侵和破壞是來自網絡內部。這是因為雖然外部入侵造成的網絡安全問題相當嚴重,但可以通過技術手段如防火墻、路由器等解決,即使非常嚴重也可以通過物理阻斷來達到這一目的。統計數據表明網絡安全更大的威脅來自網絡內部,這是因為網絡內部人員更加熟悉自己的網絡結構,同時擁有一定的授權,且位于防火墻的后面。因此內部人員不需要了解太多的電腦技術,就能方便地訪問內網,由此造成的資料竊取、病毒傳播等網絡犯罪行為也更容易發生?；诖搜芯苛爽F有日志安全審計技術,提出了基于時間合理性規則日志審計技術并融合部分安全審計技術,設計了簡單的系統給以實現,基本上實現了局域網內網絡安全的要求。

2 安全審計概述

安全審計定義:信息系統安全審計主要是指對與安全有關的活動的相關信息進行識別、記錄、存儲和分析;主要功能包括:自動響應、數據生成、審計分析與查詢、數據存儲等。

從20世紀70年代末,Anderson首次提出了利用系統日志信息進行安全審計的思想,國內外的研究人員對此進行了不懈的探索,并提出了一些安全審計模型。文獻[1]提出了基于防火墻日志的網絡安全審計系統,文獻[2]提出了一種基于局域網監控日志的安全審計系統,文獻[3]提出了基于多種日志數據的審計系統,文獻[4]提出了基于主機的安全審計系統。其中文獻[1,2,4]涉及的數據源均是單一數據源,文獻[3]采集多種日志源數據,有效解決日志數據規模龐大而引起的效率低問題。

3 安全審計設計

安全審計流程:見圖1

根據系統框架圖的設計,網絡安全審計分兩個模塊,即數據采集、安全審計。

3.1 數據采集與處理

數據采集是安全審計的基礎,采集到的數據必須是正確的完整的才能夠說明真實發生的事件行為。本系統目前采集的數據是Windows系統的安全審核日志,這種日志是規范的和有效的。該系統數據采集是在系統安全審核日志產生后但尚未寫入系統安全日志前,捕獲到的日志數據同步轉存本系統的日志數據庫,因此數據采集方式是可行的有效的。這種采集方式在系統安全日志遭到惡意破壞或刪除時,能夠較完整保存。同時輔以其它的方法,如對原始數據進行外存備份、數據加密等方法手段,數據采集的安全有效及完整性能夠得到保障。

Windows操作系統安全日志提供九類審核策略,如果審核策略全部啟用,則日志數據規模非常龐大,一旦系統出現問題,系統安全管理員將面對嚴峻的考驗。在這些事件日志中有很大一部分是安全無危險的操作,對于此類數據,系統在審計前首先應對這種數據清理、合并,以減少數據冗余與數據規模。

3.2 安全審計

3.2.1 審計內容

在審計時,審計哪些問題要有明確的目標,全面審計是不可能的。作為系統管理員應切記審計的內容越多,則系統審核策略產生的相應的日志事件規模就越龐大,嚴重問題事件的發現就越發困難。如果確實需要審核大量內容,則可以考慮使用附加的工具對安全行為事件進行數據清理及歸并后,再行審核。

主要審核內容有:

(1)文件數據訪問:對重要的機密性文件資料或者重要數據是否被非授權用戶嘗試訪問、修改或刪除等。

(2)用戶非授權登錄嘗試行為。

(3)異常行為:某些安全的事件,如果在特定的時間頻繁發生,極有可能是一個潛在的系統安全威脅因素。同樣如果多臺機器在相同的時間內產生類似的操作,此行為可能存在一種共同入侵的嫌疑。

(4)策略更改:系統本身已配置相當多的安全運行策略,如果有關的審核策略被強行更改,將嚴重影響系統的運行安全。如:防火墻的關閉功能啟用及相關端口的啟用等安全策略將影響系統運行安全。

3.2.2 日志安全審計

本系統采用實時審計與事后審計相結合的方式,對采集到的數據進行審計。實時審計就是在系統的運行過程中將采集到的日志數據與所設定的規則匹配,匹配成功則將相應的報警處理信息通過一定方式給出,并將對應的審核數據存入實時審計數據庫;否則將視此日志事件為安全操作。事后審計是一種集中的數據處理行為,由于在實時審計過程中主要針對的是單條日志數據,對于很多有關聯的操作不能夠做出準確的判斷;歷史審計彌補了這一不足,對于一些有關聯的連續的事件可以做出較準確的判斷,同時將相關結果存入歷史審計數據庫。

數據審計,就是對事件行為的合法性與合理性依照安全標準審核,這些標準(安全審計規則)是日志數據分析與安全審計的基礎。目前尚沒有非常完善的安全審計系統,已存在的安全審計系統主要采用基于專家系統技術、基于數理統計分析技術、基于狀態轉移行為技術、聚類技術及頻繁模式挖掘技術等。本系統主要采用時間合理性日志審計技術、專家系統技術與數據統計分析技術對相應事件行為進行安全審計。

3.2.2. 1 基于時間合理性審計技術

局域網內隨著用戶數量的增加,網絡安全管理的難度也相應的加大。根據統計,目前發現資料竊取及泄漏60%以上為局域網內部員工所為?；诖?如果在一個合理合法的范圍內對內部員工進行有效的監督管理,將能夠減少這種行為造成的損失,措施得當,也可以避免這種損失。

為了方便員工之間的交流與信息傳遞,局域網內部一般會開啟比較多的功能,但這也為一些員工的不法行為提供了方便之門。正常上班時間員工對于計算機上的資料信息應該是非常遵守管理規定的,但是如果員工在下班之后通過遠程計算機訪問本公司內部數據,很有可能會造成較為嚴重的經濟損失。因此系統中提出了時間合理性規則對正常用戶的非正常登錄進行審計,對用戶的行為進行跟蹤與記錄。

規則在實施的過程中是將用戶的訪問時間預先設定,而且只能擁有管理員權限才能對用戶合法時間進行修改或加入新用戶作業時間。具體是在系統獲取的日志數據中如果檢測到包含有該用戶信息,而且是不被允許登錄訪問的時間,則直接向管理員發出報警;如果此操作不是被特別允許,則此行為對系統數據安全有較高程度的威脅。如圖2、圖3所示:

3.2.2. 2 基于專家系統審計技術

專家系統審計,是根據歷史操作中發現的問題共性特征形成規則存入安全審計規則庫,目前此技術較為成熟,在審計結果中準確率能夠達到100%,每條事件模式的匹配耗時也較少。系統運行中獲取到事件行為日志后,將相應的事件信息與規則庫的事件模式匹配,因為規則中有很多事件模式是由多個連續的日志事件組成,而具有相同事件順序的模式只在極少屬性上有區別,此時為準確判斷事件行為,加入了相關模式事件的權值比較,根據對應模式事件的權值計算判斷優先匹配等級及對應的響應報警方式。

3.2.2. 3 基于數理統計分析審計

針對某些行為的高發性特點,而單個事件行為又是正常合理事件,根據此類事件形成了數理統計分析審計規則。該規則主要用于用戶的頻繁性事件行為,特別是非授權用戶對限制數據的嘗試訪問行為或者計算機端口被不明身份者頻繁掃描行為適用數理統計分析審計。此類審計規則在判斷中加入了一定的閾值及限定條件,超過限定閾值則視為威脅系統安全的行為已存在。如果是基于歷史數據的審計,還可以將類似事件行為進行關聯研究以確認危險操作的發生以及新的危險行為模式。

3.2.3 結果響應

審計出的問題將根據事件模式的危險程度給出對應響應。具體如下:安全事件在數據清理階段將被過濾掉;較低危險等級事件可以只將此事件模式對應信息記錄到審計數據庫;中等危險等級事件模式除將事件信息記錄到審計數據庫外,還要給出相應的交流對話信息,通過管理員的響應來確定事件模式的最終危險程度;高危險等級事件模式將直接給出通知信息,同時將相關事件模式的簡要信息發送到管理員專用郵箱,并將此類事件信息入庫。

3.2.4 審計報告

審計報告模式采用系統主動提供與被動提供兩種方式,系統主動提供就是在系統中加入控制時間,要求系統在特定的時間完成對特定時段審計結果信息的提取、整理與分析;被動提供是用戶依據系統提供的審計報警信息或根據自己發現的問題信息向系統提出報告請求,系統根據提出的請求信息給出相應的審計報告。

審計報告的內容主要涉及系統的簡要信息,審計結果的簡單數理統計,危險等級與事件模式,用戶以及工作站相關信息等。在給出簡要信息的基礎上根據現有網絡安全知識設定系統安全參數來推斷當前系統的安全狀態,并根據數據分析結果提出相應的安全防范措施或建議。

4 性能分析

在實驗室局域網服務器上運行本系統,能夠較好的處理來自局域網內其它工作站的訪問請求,并模擬了相應的強制登錄訪問企圖與相關文件的訪問嘗試,特別模擬了時間合理性規則審計技術,實驗結果表明本系統能夠較好的發現局域網中用戶的大多數操作行為與企圖,對違規使用的行為進行了有效的控制,提高了日志事件行為審計的準確率、對資源的占用得到了有效的控制。

5 結束語

本文在研究分析現有安全審計技術基礎上,特別提出了基于時間合理性的安全審計技術并在安全審計系統中給予實現,為局域網數據安全提供了又一層保障。

在實驗過程中,雖然大多數局域網內的違規訪問行為能夠被發現并依據安全審計規則報警,但仍有為數不少違規事件行為被漏報,這說明系統中現有的安全審計規則亟待完善。因此,在下一步的研究工作中,將繼續完善安全審計規則,以期在安全審計中進一步減少誤報與漏報的產生。

參考文獻

[1]李承,王偉釗,程立,汪為農,李家濱.基于防火墻日志的網絡安全審計系統研究與實現[J].計算機工程,2002,28(6):17-19.

[2]王新昌,楊艷,劉育楠.一種基于局域網監控日志的安全審計系統[J].計算機應用,2007,27(2):292-294.

[3]黃藝海,胡君.日志審計系統設計與實現[J].計算機工程,2006,32(22):67-68.

[4]崔嶎,趙強,姜建國,黃鈞.基于主機的安全審計系統研究[J].計算機應用,2004,24(4):124-126.

安全審計系統范文第5篇

隨著信息技術和互聯網技術的發展，隨著國家信息化進程的加速，網絡與信息系統的、基礎性、全局性作用日益增強。人們在享受互聯網給自己帶來的方便與快捷的同時，也逐漸發現互聯網除了有新聞報道、科技動態等大眾資訊以外，還存在著各種內容非法的信息，如迷信、暴力、色情、邪教和反動內容的信息。這些不良信息的存在，不僅玷污了人們的靈魂，而且也成為社會安定和國家安全的不安定因素。網絡內容安全問題成為人們關注的焦點。研制如何有效監控網絡內容信息，發現網上有害信息，控制、處置以及打擊各種網上違法犯罪活動的專用工具已成為各國政府、機構的迫切需要和重要任務。

1 網絡安全信息審計

網絡安全審計以其實時性、動態性和主動防御的特點備受青睞。目前網絡安全審計系統雖然成為網絡安全領域的研究熱點，但許多概念有待于進一步明確，許多關鍵技術尚處于研究探討之中。

在國內，網絡審計技術還處在發展階段，還沒有出現專門的基于內容的信息審計工具。有些公司也推出了具有網絡信息過濾功能的安全審計工具，例如，復旦光華S_Audit網絡入侵與安全審計系統;啟明星辰公司的天明網絡安全審計系統等。但往往局限在具體的角度 (多是針對色情內容的過濾) ，其應用范圍具有一定的局限性，遠遠不能滿足目前復雜靈活的信息審計的需要。

在國外，網絡信息審計作為保障網絡安全的有效手段，已引起人們的足夠重視，國外多家企業和研究機構已推出許多網絡安全審計工具，例如：德國的Inspect分布式網絡安全審計系統、Purdue大學的NASHIS系統等是這方面的實驗性系統。

總的來看，現有網絡審計軟件主要是從網絡入侵角度考慮的，用來對網絡訪問事件進行審計;而專門針對內容的信息審計軟件還很少，功能也不是很理想，尤其是對于Internet上實時大流量信息資源的審計還缺乏有效的手段。因此，本文主要對基于內容的網絡安全信息審計相關內容進行了研究。

2 基于內容的網絡安全審計系統

基于內容的網絡安全審計系統的基本設計目標是對指定范圍的網絡內容進行審計，發現可能存在的有害信息，并保存相關現場，以便采取進一步的行動，從根本上杜絕網絡信息污染。

2.1 系統總體設計

在基于內容的網絡安全審計系統中，網絡內容獲取模塊從互聯網上取回內容之后，內容分析模塊對內容進行分析處理。在擁有足夠的網絡帶寬情況下，內容分析模塊的處理速度將成為系統性能的瓶頸。而內容分析模塊的處理速度和對敏感信息的識別準確率又是一對矛盾，難以兼顧。采用簡單高速的分析算法，識別準確率降低;而采用復雜準確的分析算法，又難以保證處理速度。

而事實上，在真實的互聯網內容中，導致信息污染的網頁數量只占網頁總量的極小比例 (低于1%) ，本文中將這些信息稱為敏感信息。而占網頁數量絕大多數的網頁內容都是非敏感信息，或者說是中性的，其主題多是各類新聞、學術信息、技術文章、產品信息、文學短篇等，與敏感問題無關。

為了兼顧系統吞吐量和對敏感信息的識別準確率，從敏感信息在網絡中的分布比例得到啟發，除了采用高性能的計算設備之外，在系統結構上，可以采用雙層分析結構。

雙層結構的基本思想是把對敏感信息的識別分為兩個步驟進行，首先采用簡單高速的分析技術，過濾掉絕大部分正常的網頁;然后采用復雜準確的分析技術對通過第一層的網頁進行進一步分析，從而增強識別網頁內容的敏感性。如圖1所示為一個雙層結構示意圖。

2.2 系統實現的相關技術

2.2.1 數據包捕獲技術

在通常情況下計算機之間通信時，網絡接口只能響應與自己硬件地址相匹配的或是以廣播形式發出的數據包。對于其他形式的數據包比如已到達網絡接口但卻不是發給此地址的數據包，網絡接口在驗證投遞地址并非自身地址之后將不引起響應，也就是說本地計算機無法收取與自己無關的數據包。

目前，實現截獲流經網絡設備的所有數據包的技術一般是將網卡設備設置為混雜模式，本地主機的網卡就可以捕獲到所有流經其網卡的數據包。但是這種截獲僅僅是數據包的一份拷貝，而不能對其進行截斷，要想截斷網絡流量就要采用一些更底層的方法，比如在操作系統的協議棧內將數據包截獲等。

考慮本系統的實際情況，這里不必截斷網絡中的數據包，只要網絡中數據包的一份拷貝就可以了，再加上目前這種技術比較成熟，效率也比較高，所以數據采集分析器中一般采用這種混雜模式下包捕獲技術。

在UNIX下著名的包捕獲工具庫是libpcap (PacketCapture Library) 即數據包捕獲函數庫。該庫提供的C函數接口可用于需要捕獲經過網絡接口 (通過將網卡設置為混雜模式，可以捕獲所有經過該接口的數據報，目標地址不一定為本機) 數據包的系統開發上。著名的TCPDUMP就是在libpcap的基礎上開發而成的。libpcap提供的接口函數主要實現和封裝了與數據包截獲有關的過程。這個庫為不同的平臺提供了一致的編程接口，在安裝了libpcap的平臺上，以libpcap為接口寫的程序，能夠自由的跨平臺使用。在Linux系統下，libpcap可以使用BPF (BSD Packet Fitter) 分組捕獲機制來獲得很高的性能。而Winpcap則可以用于Windows。

WinPcap (Windows Packet Capture) 是Windows平臺下一個免費, 公共的網絡底層訪問系統, 進行捕獲、發送原始網絡報文。它可以說是UNIX平臺下廣泛使用的Libpcap (P a c k e t C a p t u r e Library) 的Windows版本。WinPcap由3個模塊構成:NPF, packet.dll, Wpcap.dll, 它提供了以下的各項功能: (1) 捕獲原始數據報, 包括在共享網絡上各主機發送/接收的以及相互之間交換的數據報; (2) 在數據報發往應用程序之前, 按照自定義的規則將某些特殊的數據報過濾掉; (3) 網絡上發送原始的數據報; (4) 收集網絡通信過程中的統計信息。

這里選用WinPcap來完成數據采集。原因有兩點： (1) 提供了一套標準的報文捕獲接口，而且這套接口與libpcap兼容，便于將程序移植到UNIX平臺下;(2) 除了跟libpcap兼容外，WinPcap還考慮了各種性能和效率的優化，提供了內核態的統計模式。

2.2.2 數據包還原技術

數據采集的目的是為了分析其內容。對于基于內容的網絡安全監控系統來說，僅分析零碎的數據包是沒有任何價值的，而必需將一個會話中雙向傳輸的所有數據包進行的拼接，并排除協商、應答、重傳、包頭等網絡附加信息，最終實現還原與重放，只有這樣才能實現網絡內容的監控與審查。應用層協議數據的分析與還原是信息內容安全的重要內容，也是關鍵技術之一。數據包的還原技術主要包括兩方面：

(1) 數據分片重組技術：在跨越網絡邊界的時候，由于MTU(最大傳輸單元) 的變化，轉發軟件 (例如路由器) 會對數據進行分片，還有一些攻擊者會故意發送分片的包來企圖繞過檢查。在分片之后，攻擊特征可能會分布到幾個分片中，因此在處理之前需要進行分片重組，這由相應的預處理模塊來完成。在保留分片、重組的處理過程中大量使用了二叉樹，運行過程中，內存中維護兩個級別的二叉樹，分別為主二叉樹和二級二叉樹，使用這兩級二叉樹，該模塊就可以在內存中保存完整的分片信息。

(2) 流重組技術：對TCP協議進行流重組，提供會話信息。將捕獲的數據包一步一步重組為應用層數據，根據數據物理幀的幀頭，模塊可以識別出所有的IP包;根據IP包頭中的信息 (源地址、目的地址、標識號等) ，模塊可以識別出哪些IP包屬于同一個TCP或者UDP包，并且將它們重組為TCP或者UDP包;再根據TCP或UDP包頭中的信息 (源端口號、目的端口號、序號等) ，模塊可以恢復原始會話的內容。原始內容經過系統進一步處理即可完成應用層協議的重現。

2.3 系統主要功能模塊

2.3.1 數據采集模塊

數據采集模塊是整個基于內容的網絡信息審計監控系統的基礎。本系統運行在Windows系統下，Windows并沒有為用戶層的應用程序提供直接訪問網絡底層的接口，基于內容的網絡信息審計監控系統所需要的原始網絡數據是利用NDIS編寫的數據捕獲驅動程序與網卡驅動程序的交互獲得。

監聽程序工作在網絡環境的底層，它會截獲所有正在網絡上傳送的數據。通過相應軟件的處理，可以實時分析數據內容，進而分析所處網絡狀態、網絡整體布局和工作情況。這種類型的監聽技術可應用在所有的共享式廣播網絡中。監聽必須采用能夠訪問數據鏈路層的技術，WindowsSockets和NetBIOS這兩個網絡編程接口都只能在運輸層和網絡層實現對數據的處理，其數據包頭不含幀信息，所以不能對ARP包進行處理，不具備在數據鏈路層進行包捕獲的能力。因此，要在Windows環境下實現監聽，必須通過某種接口提供能訪問到核心級的數據鏈路層的ARP包數據的能力，方法之一就是使用WinPcap。

在采集模塊中，首先要對網絡底層信息進行監聽 (即包捕獲) ，可以通以太網的廣播特性實現。網絡信息監控將獲取所有的網絡流量，包括所有協議端口、所有子網主機的所有交互數據，但在實際應用中，其中存在若干用戶不需要關心的數據，或者稱為非敏感信息，非敏感信息在所有流量中占有極大比重，嚴重影響了系統工作效率的提高，因此，高效的信息過濾機制是信息監聽的重要組成部分，它使得用戶可以指定特定的子網主機，以及特定的協議端口，如HTTP, Email, Telnet等進行過濾，只將用戶關心的敏感數據向上層提交，從而提高系統工作效率.

數據采集模塊工作在Winpcap的上層，該模塊接收Winpcap提交的數據幀，分析記錄數據幀的源和目的MAC地址，分析數據幀的上層協議類型，如果是IP類型 (類型字段為0800) 就提交IP分片重組還原模塊處理。否則直接將該數據幀丟棄。

2.3.2 預處理模塊

預處理模塊負責為數據報進行解碼分析，把采集模塊從網絡上抓取的原始數據包，從下向上沿各個協議棧進行解碼并填充相應的數據結構，以便預處理模塊和審計模塊的處理。其基本原理是TCP/IP協議的封裝與分用，分析結果被放置在一個設計好的數據結構Packet中。

系統初始化時，需要設置不同鏈路層數據對應不同的解碼函數，我們借鑒SNORT的實現，定義了對Etherne、Token Ring和FDDI鏈路數據的解碼函數接口，分別為DecodeEthPkt, ，DecodeTRPkt和DecodeFDDIPk，并對其中的DecodeEthPkt進行了實現。初始化時，通過pcap_datalink得到設備使用的解析函數，然后將對應的實現函數指針記錄在協議解析器中。

2.3.3 數據包還原重組模塊

數據采集的目的是為了分析其內容。對于基于內容的網絡安全信息審計系統來說，僅分析零碎的數據包的價值非常小，而必需將一個會話中雙向傳輸的所有數據包進行拼接，并排除協商、應答、重傳、包頭等網絡附加信息，最終實現還原與重放，只有這樣才能實現網絡內容的監控與審查。

按照TCP/IP協議以及應用層協議的規范，對捕獲的數據包在進行預處理之后逐層還原，將數據包一步一步重組為應用層數據。根據數據物理幀的幀頭，模塊可以識別出所有的IP包;根據IP包頭中的信息 (源地址、目的地址、標識號等) ，模塊可以識別出哪些IP包屬于同一個TCP或者UDP包;并且將它們重組為TCP或者UDP包;再根據TCP或UDP包頭中的信息 (源端口號、目的端口號、序號等) ，模塊可以恢復原始會話的內容。

原始內容經過系統客戶端進一步處理即可完成應用層協議的重現。按照其重組的過程分為三個子模塊：IP分片重組還原模塊、TCP還原模塊、應用層還原模塊。過程如圖2所示。

2.3.4 內容審計模塊

內容審計模塊是實現基于內容的網絡安全信息審計系統的關鍵部分，它的實現直接影響到審計的效率。其主要功能是提取、搜索、對比、存儲取證。內容提取主要是實現不同的信息的分類，目前可以分為文本信息、圖像信息、視頻信息或音頻信息等幾類，然后根據不同的信息種類采取不同的處理方式。根據現有的技術條件，只對于網絡信息內容的安全監管只針對文本信息。該模塊從應用協議還原模塊接收已還原解碼到網絡應用層的文本信息，進行預處理后，首先采用關鍵字模式匹配進行第一層過濾，然后利用基于GA的1類SVM進行文本分類，根據文本分類情況的不同返回相應的文本信息分析結果，由阻斷模塊根據系統安全策略做出響應。

3 結語

針對網絡環境下的安全問題和當前基于內容的網絡安全審計產品的不足，以基于內容的審計技術為基礎，以信息安全理論為依據，針對網絡文本內容審計進行研究，對目前網絡不良信息的審計有一定的參考價值。

摘要：基于內容的網絡安全信息審計主要用于對網絡內容進行分析、審計, 能夠有效地發現網上不良信息, 并防范和打擊網絡犯罪。目前網絡安全審計系統雖然成為網絡安全領域的研究熱點, 但許多概念有待于進一步明確, 許多關鍵技術尚處于研究探討之中。對基于內容的網絡安全信息審計的相關技術進行了研究。

關鍵詞：網絡安全,信息系統,審計

參考文獻

[1]拉斯.克蘭德.網絡安全的最終解決方案[M].陳永劍譯.北京:電子工業出版社, 2000.

[2]景曉軍.智能信息安全[M].北京:國防工業出版社, 2006.

[3]李承, 王偉釗.基于防火墻日志的網絡安全審計系統研究與實現[J].計算機工程, 2006, 28 (6) :17-19.