时间:2023-10-07 15:45:05
序论:在您撰写安全审计机制时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
信息安全综合审计工作涉及的对象和场景很多,其全过程是一个非常复杂的多维集合体,为形成体系化的综合审计框架,十分有必要建立一个多维的综合审计模型,并通过模型确定达到信息安全综合审计治理预期目标需要涉及的详细研究对象和研究内容,确定综合审计体系包含的具体审计模式,确定各研究内容间的具体依赖关系,为信息安全综合审计工作的开展提供科学合理的全局视图[2]。多维信息安全综合审计模型的建立,旨在对系统保密性、完整性、可用性、可控性、不可否认性和可核查性这6个方面的要求,最终的目标是对信息安全的整体性保障。在此目标下,根据信息安全审计全过程所涉及的各要素特征,划分为审计对象、审计模式和审计管理3个维度,同时为各维度确立了4个属性,体现各维度的信息构成完整性,以立方体形式对信息安全综合审计体系全过程进行描述。
1.1审计对象维度
审计对象是信息安全活动的核心标识载体,是描述信息安全事件不可或缺的要素,根据信息安全活动的特点,将审计对象划分为人员、时间、地点、资源4个属性。人员人员是信息安全活动产生的源头,除了广义上的人员姓名、性别、年龄等基本信息外,还需延伸到其在信息安全活动中使用的账号、令牌、证书等个人标识信息。时间时间是信息安全活动的窗口,任何信息安全活动都会产生时间戳,可用以标识信息安全活动的开始、结束及其中间过程。地点地点是信息安全活动发生的位置,不仅包括传统意义上的地理位置信息,还包括网络空间中源IP、目的IP等位置信息。资源资源是信息安全活动所依赖的先决条件,包括计算机硬件、操作系统、工具软件等一切必要的资产。
1.2审计模式维度
审计模式是综合审计的具体运用,是综合审计模型的关键集成点,根据信息安全活动的具体类型和场景,将审计模式划分为运维操作、数据库应用、网络应用、终端应用4个属性。运维操作运维工作是支撑网络和信息系统稳定运行的重要前提,但运维人员掌握着系统的高级权限,由此带来的运维风险压力也越来越大,因此必须引入运维操作审计管理机制。运维操作审计的核心是加强对运维人员账号和权限的管控,即在集中运维模式下实现运维人员与目标系统的逻辑分离,构建“运维人员主账号(集中运维账号)授权从账号(目标系统账号)目标系统”的管理架构,并对具有唯一身份标识的集中运维账号设置相应的权限,在此架构下实现精细化运维操作审计管理[3]。数据库应用在大数据时代,数据库是最具有战略性的资产,其黄金价值不言而喻,数据一旦被非法窃取,将造成难以估量的损失。运维层面的数据库安全可通过运维操作审计来实现,数据库审计的核心应是加强业务应用对数据库访问合规性的管控,建立“业务系统SQL语句数据实例返回结果”的识别监听架构,将采集到的业务系统信息、目标实例对象、SQL操作动作等信息进行基于正常操作规则的模式匹配,并对应用层访问和数据库操作请求进行多层业务关联审计,实现业务系统对数据库访问的全追溯[4]。网络应用无论数据中心内的信息系统还是办公区内的办公终端都会产生大量的网络流量,加强对网络流量的识别和分析,是发现违规行为的重要途径。网络应用审计的核心是通过网络监听技术,建立“用户(业务系统)交互对象网络流量分类识别”的管理架构,对各类网络数据包进行协议分析,其重点是要对网站访问、邮件收发、文件传输、即时通信、论坛博客、在线视频、网络游戏等典型应用进行区分和记录,达到对用户及业务系统间双向网络应用的跟踪审计[5]。终端应用终端是信息安全的最后一道防线,同时也是最薄弱的一个环节,无论是服务器还是办公机,要么是应用的发起者要么是接受者,是信息安全事件的落脚点。终端应用审计的核心是通过扫描和监控收单,建立“主机安全基线+介质数据交换”的管控架构,对终端补丁安装、防病毒软件、文件下载、文档内容的安全基线进行记录审查,并对移动存储介质与外界发生的数据交换进行跟踪记录,实现对终端各类行为审计的全覆盖。
1.3审计管理维度
综合审计管理的目的是要实现对信息安全风险的全面治理,需包括事前规划预防,事中实时监控、违规行为阻断响应,事后追踪回溯、改进保护措施,根据综合审计管理事前、事中、事后三个阶段的特点,将控制、监控、响应、保护定义为该维度的4个属性。控制指按照权限最小化原则,采取措施对一切必要的信息资产访问权限进行严格控制,仅对合法用户按需求授权的管理规则。监测指对各类交互行为进行实时监控,以便及时发现信息安全事件的管理规则。响应指对监测过程中发现的违规行为进行及时阻断、及时处理的管理规则。保护指对监测到的各类交互行为进行记录回放、并积极采取改进保护措施的管理规则。
2信息安全综合审计治理闭环管理机制
在多维信息安全综合审计模型基础之上,按照全过程的管理思路,应以综合治理为目标导向,对存在的信息安全问题进行闭环管理,研究事前、事中、事后各环节的关联关系,形成相互补充、层层递进的闭环管理机制。
2.1事前阶段
制定统一的安全审计策略,以保证信息系统的可用性、完整性和保密性为核心,实现对用户身份和访问入口的集中管理,严格权限管理,坚持用户权限最小化原则,注重将用户身份信息与网络和信息系统中的各种应用与操作行为相结合,保证审计过程与审计结果的可靠性与有效性。
2.2事中阶段
实时监测运维操作、数据库应用、网络应用和终端应用产生的数据,通过规则及时发现违规信息安全事件,做到实时响应、实时处理,并通过多个维度将各种基础审计后的安全事件有机地整合起来,做到信息安全事件的全记录、全审计。
2.3事后阶段
对各类审计数据进行标准化处理及归档入库,为安全事件的准确追踪和回溯提供有力支持。同时,对信息安全事件进行深度分析,查找事件发生的深层次原因,执行有针对性的弥补措施,并更新信息安全审计策略,形成良性的管理机制。
3信息安全综合审计系统架构设计
3.1技术架构
信息安全综合审计系统面临的一大问题就是各业务系统与网络设备运行独立,信息集成和交互程度较低,服务器、交换机、办公终端都是独立的审计对象,均会产生大量的审计数据,但又缺乏集中统一的审计数据管理视角,构建对审计数据的统一处理能力应是综合审计体系建设的核心思路,信息安全综合审计体系有效运行的关键就在于对可审计数据的采集,以及对数据分析处理的能力。因此必须在多维信息安全综合审计模型框架下,建设“原始数据收集数据标准化处理审计事件分析事件响应与展现”的全过程处理过程,实现从采集到展现的一体化综合审计系统,包括数据采集、数据处理、事件分析和事件响应4大功能模块。数据采集对网络中的数据包、主机中的重要数据的操作行为、操作系统日志、安全设备日志、网络设备日志等原始数据进行收集;数据处理将采集到的原始数据进行标准化处理,将处理后的数据变为日志,存储到数据库中,并交付“事件分析”模块;事件分析对标准化处理后的事件进行分析、汇总,同时结合人员信息做出综合判断,有选择地将分析结果发送到“事件响应”单元,并进行存储与展现;事件响应对分析后的结果做出反应的单元,可以结合其他的安全措施对事件做出中断会话、改变文件属性、限制流量等操作。
3.2业务架构
安全综合审计应保证审计范围的完整性,只有范围覆盖得合理且全面,才能保证信息安全审计的充分性和有效性,才能达到综合治理的目的。同时,过大的系统覆盖维度又会使审计点过多,导致审计体系无法贯彻落实。因此,应在多维信息安全综合审计模块框架下对运维操作、数据库应用、网络应用和终端应用开展审计工作。通过对运维操作、数据库应用、网络应用、终端应用等各类审计关键技术的整合,充分运用数据统计、数据分析、数据展现等手段,构建完备的综合审计知识库,再结合信息安全实际环境和治理策略,制定科学合理的审计规则,实现信息安全治理工作技术与管理的统一,从根本上提高信息安全综合治理能力[6]。
关键词:系统日志;回调机制;松耦合
中图分类号:TP309文献标识码:A文章编号:1009-3044(2008)24-1150-02
The Application of Callback Mechanism in the Security System Log
LI Jian-hui1, DENG Zhao-hui2
(1.Yueyang Radio and TV University,Yueyang 414000,China;2.Chenzhou Vocational Technical College,Chenzhou 423000,China)
Abstract: Inside a complete information system, the diary system is an extremely important function constituent. Under it may record all behaviors which the system produces, and defers to some way to preserve. We may use the information which the diary system records for the system to carry on misprinting, the optimized system performance. In the security domain, the diary system status is more important, it is one of safe audit aspect most main tools. This article introduced adjusts callback utilization in the diary system.
Key words: systems log;call-back;lax-coupling
系统的日志记录提供了对系统活动的详细审计,这些日志用于评估、审查系统的运行环境和各种操作。对于一般情况,日志记录包括记录用户登录时间、登录地点、操作内容等项目,在一个完整的安全审计系统里面,日志系统是一个非常重要的功能组成部分。
1 问题地提出
通常,借助于面向对象的分析、设计和实现技术,开发者可以将用户的需求转换为软件系统中的模块,从而很自然地完成从需求到软件的转换。但是,在软件系统中,往往有很多模块,或者很多类共享某个行为,或者是某个行为存在于软件的各个模块中,这个行为可以看作是“横向”存在于软件之中,它所关注的是软件的各个部分的一些共有的行为,而且,这种行为在很多情况下不属于业务逻辑的一部分(如图1),系统日志的记录就属于这种行为。这种操作并不是业务逻辑调用的必须部分,但是,开发者却往往不得不在代码中显式进行调用,并承担由此带来的后果(例如,当日志记录的接口发生变化时,必须对调用代码进行修改)。这种问题,使用传统的面向对象的方法是很难解决的。本文就讨论在Delphi中如何将这些“横切面”与业务逻辑代码相分离,从而得到松耦合软件结构以及更好的性能、稳定性等方面的好处。
图1 业务逻辑示意图
2 分析问题
对于日志系统,为了得到好的程序结构,通常使用面向对象的方法,将系统日志过程封装在一个类中,这个类包含了一个系统日志的代码,例如:
TLog=class//日志类
procedure exepre(Sender: TObject);//执行业务逻辑前的系统日志
procedure exeback(Sender: TObject);//执行业务逻辑后的系统日志end;
TBusiness =class(TLog)//业务逻辑类
procedure Business (Sender: TObject);//业务逻辑
end;
……//处理业务逻辑
exeback(Sender);//处理业务逻辑后记录系统日志
end;
procedure TForm1.Button1Click(Sender: TObject);
begin
mybusiness:= TBusiness.Create();
mybusiness. Business (Memo1);//调用业务逻辑
end;
procedure TLog.exepre(Sender: TObject);
begin
TMemo(Sender).Lines. Add('业务逻辑开始')
end;
procedure TLog.exeback(Sender: TObject);
begin
TMemo(Sender).Lines. Add('业务逻辑结束')
end;
end.
通常情况下,实现日志系统的最直接的方法:创建一个类,将日志功能放在其中,并让所有需要日志功能的类继承这个类。这样的方法有如下问题:
1) 如果这个需求是后期提出的,需要修改的地方就会分散在多达数十个分散的文件中。巨大的修改量,无疑会增加出错的几率,并且加大系统维护的难度。
2) 代码混乱:软件系统中的模块可能要同时兼顾几个方面的需要。举例来说,开发者经常要同时考虑业务逻辑和日志问题,兼顾各方面的需要会导致两种实现元素同时出现,从而引起代码混乱。
3) 紧耦合:使用这种方法,我们必须在业务逻辑代码必须继承自TLog类,这就造成了业务逻辑代码同TLog类的紧耦合,这意味着,当TLog发生变化时,例如,当系统进化需要对exepre和exeback的方法进行改动时,可能会影响到所有引用代码。
3 解决方案
为了解决上述问题,考虑引入Delphi中的回调机制[1]。回调机制的基本思想就是调用者在初始化一个对象(这里的对象是泛指,包括OOP中的对象、全局函数等)时,将一些参数传递给对象,同时将一个调用者可以访问的函数地址传递给该对象。这个函数就是调用者和被调用者之间的一种通知约定,当约定的事件发生时,被调用者(一般会包含一个工作线程)就会按照回调函数地址调用该函数。如下是回调函数的一个简单实例:
1) 回调函数类型定义:
TCalcFunc=function (a:integer;b:integer):integer;
2) 按照回调函数的格式自定义函数的实现,如
function Add(a:integer;b:integer):integer
begin
result:=a+b;
end;
function Sub(a:integer;b:integer):integer
begin
result:=a-b;
end;
3) 回调的使用
function Calc(mycalc:TcalcFunc;a:integer;b:integer):integer
begin
mycalc(a,b);……………………………..③
end;
4) 下面,我们就可以在我们的程序里按照需要调用这两个函数了
c:=calc(@add,a,b);//c=a+b…………………①
c:=calc(@sub,a,b);//c=a-b………………….②
通过上面的实例我们可以看出:程序中在①②处分别两次调用了calc()函数,第一次采用add()函数的地址和两个数作为参数,第二次采用sub()函数的地址和两个数作为参数。相当于通过调用一个函数calc(),传递了不同的函数地址参数,得到了不同函数的调用。
以上是回调函数的的基本思想,如果将系统日志操作语句放在③处的上面和下面,这样在不改动业务逻辑add()、sub()函数的基础上增加了系统日志。下面将本文第一个例子采用回调机制重新改写,结果如下。
为了实现松散耦合结构,利用两个类分别实现日志功能和业务逻辑。
type
THDProcedure = procedure(Sender: TObject) of object;
TLog=class//日志类
procedure Mylog(mypro:THDProcedure;Sender: TObject);//处理系统日志
end;
TBusiness=class //业务逻辑类
…….. //处理业务逻辑
End;
procedure TForm1.FormCreate(Sender: TObject);
begin
rz:=TLog.Create();
dz:=TBusiness.Create();
end;
end.(下转第1154页)
(上接第1151页)
以上日志类和业务逻辑类的定义中,需要说明的是:
1) 回调函数类型定义:THDProcedure = procedure(Sender: TObject) of object,这个定义中的参数必须与业务逻辑类中的处理业务逻辑方法的参数一致。
2) 因为定义的回调函数不是一个普通的函数,它是业务逻辑类对象的方法,所以of object关键字是表示这个方法属于对象方法(不是类方法),也就是说这个函数类型的参数列表中将包括隐含的self参数(其中参数为对象方法中要使用的对象指针)。
3) 业务逻辑类中的处理业务逻辑方法必须声明为Published[2],否则就会发生错误,这是为什么呢?因为对象方法的地址不能简单的通过“@”符号得到,必须使用TObject.MethodAddress方法,MethodAddress 使用RTTI通过对象方法名获取一个对象方法的地址,但MethodAddress方法只能取出Published型的方法,如果没有声明为Published,则MethodAddress(对象方法名)会返回空,导致错误。
4) Routine变量是方法指针,它实际上是一对指针:第一个存储方法的地址,第二个存储方法所属的对象的引用。
通过利用回调机制的重新改写,系统主要由三个大模块组成:日志模块(Tlog类)、业务逻辑模块(Tbusiness类)和组合模块(TForm1类)。那么系统的开发包括三个清晰的开发步骤:
第一步:功能分解:本步骤中,把核心模块级和系统模块级的功能分离开来,就上述的例子来说明,即可以分解出两个功能模块:核心级的业务逻辑功能模块、系统级的日志功能模块。
第二步:功能实现:各自独立的实现这些功能模块,仍然沿用上面的例子,即实现业务逻辑处理单元和日志单元。
第三步:功能的重新组合:本步骤中,通过创建一个模块单元,一方面来指定重组的规则,另一方面则使用这些信息来构建最终系统。以上述例子说明,即指定哪些操作需要记录。
4 结论
总而言之,回调机制不仅可帮助我们解决传统方法对系统日志操作中出现的代码后期维护、代码混乱、紧耦合等问题,它还有更多的优势:
1) 系统容易扩展:由于日志功能模块和业务逻辑功能模块根本不知道彼此的存在,所以很容易通过建立新的功能模块加入新的功能,使系统易于扩展。
2) 更好的代码重用性:把每个功能实现为独立的模块,模块之间是松散耦合的。举例来说,我们可以用另外一个独立的日志写入器功能来替换当前的模块,用于把日志写入数据库,以满足不同的日志写入要求。松散藕合的实现通常意味着更好的代码重用性。
回调机制不仅仅可以在系统日志中发挥重要作用,而且它还可以运用在系统安全、模式匹配的性能分析[3-4]、验证等方面。
参考文献:
[1] Steve Teixeira,Xavier Pacheco.Delphi 5开发人员指南[M].北京:机械工业出版社,2001.
[2] 耿宏运,陈站林,赵宗福,等.Delphi6组件大全[M].北京:电子工业出版社,2002.
关键词:网络安全审计;日志;日志格式
中图分类号:TP311文献标识码:A文章编号:1009-3044(2008)14-20803-02
1 引言
防火墙、入侵检测系统和安全审计系统等安全产品为内部网络提供了良好的保护作用。安全审计系统提供了一种通过收集各种网络信息从而发现有用信息的机制,将这种机制应用于局域网内部,从多种网络安全产品中收集日志和警报信息并分析,从而实现效能的融合,与防火墙、入侵检测系统等安全产品形成合力,为局域网的安全提供强有力的保障。
如何高效的从各种网络设备所生成的海量的日志数据信息中提取有用信息,通过格式的统一整合后为安全审计系统提供统一接口,这是安全审计系统一项十分关键的工作,也是影响整个系统性能的一个重要因素,本文就此进行探讨。
2 安全审计系统的功能需求
安全监控与审计技术通过实时监控网络活动,分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、跟踪识别违反安全法则的行为等功能,使系统管理员可以有效地监控、评估自己的系统和网络。监控审计技术是对防火墙和入侵检测系统的有效补充,弥补了传统防火墙对网络传输内容粗粒度(传输层以下)的控制不足,同时作为一种重要的网络安全防范手段,对检测手段单一的入侵检测系统也是有益的补充,能及时对网络进行监控,规范网络的使用[1]。
目前,安全审计系统是网络安全领域的一个研究热点,许多研究者都提出了不同的系统模型,这包括对内容进行审计的安全审计系统、对用户行为进行审计的安全审计系统以及对各种安全设备生成的日志进行审计的安全审计系统等等。
基于日志的网络安全审计系统是一个日志接收与日志分析的审计系统,该系统能够接收、分析审计局域网内的防火墙、入侵检测系统等网络安全产品生成的日志,审计局域网内的网络信息安全。基于日志的网络安全审计系统的功能需求如下:
(1) 集中管理:审计系统通过提供一个统一的集中管理平台,实现对日志、安全审计中心、日志数据库的集中管理,包括对日包更新、备份和删除等操作。
(2) 能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志,并且具备处理多日志来源、多种不同格式日志的能力。
(3) 审计系统不仅要能对不同来源的日志进行识别、归类和存储,还应能自动将其收集到的各种日志转换为统一的日志格式,以供系统调用。并且能以多种方式查询网络中的日志记录信息,以报表的形式显示。
(4) 能及时发现网络存在的安全问题并通知管理员采取相应措施。系统必须从海量的数据信息中找出可疑或危险的日志信息,并及时以响铃、E-mail或其他方式报警,通知管理员采取应对措施及修复漏洞。
(5) 审计系统的存在应尽可能少的占用网络资源,不对网络造成任何不良的影响。
(6) 具备一定的隐蔽性和自我保护能力。具有隐蔽性是说系统的存在应该合理“隐藏”起来,做到对于入侵者来说是透明而不易察觉系统的存在。
(7) 保证安全审计系统使用的各种数据源的安全性和有效性。若采用未经加密的明文进行数据传输,很容易被截获、篡改和伪造,工作站与服务器之间的通讯应进行加密传输,可采用SSL、AES、3DES等加密方式。
(8) 具有友好的操作界面。
3 安全审计系统的模型概述
如图1所示,基于日志的安全审计系统主要包含如下模块:
(1) :负责收集各种日志数据,包括各种操作系统的日志,防火墙系统日志、入侵检测系统日志、网络交换及路由设备的日志、各种服务和应用系统日志等。定时或实时发送到审计中心。其间,日志数据的传送采用加密方式进行发送,防止数据被截获、篡改和伪造。
(2) 数据预处理模块:将采集到的日志数据经过解密后按照数据来源存入相应的数据库中。
(3) 系统管理模块:负责对日志、安全审计中心、日志数据库的集中管理,包括对日志数据的更新、备份和删除等操作。
(4) 数据处理模块:负责自动将收集到的各种日志转换为统一的日志格式,并且从海量的数据中通过模式匹配,发现并找出可疑或危险的日志信息,交由“日志报警处理模块”进行处理。
(5) 日志报警处理模块:处理已发现的问题,以响铃、E-mail或其他方式报警通知管理员采取应对措施。
(6) 数据库模块:负责接收、保存各种日志数据,包括策略库也存放其中。
(7) 接口模块:供用户访问、查询。
4 安全审计系统中有用数据整合的方法
4.1 安全审计系统的数据源
安全审计系统可以利用的日志大致分为以下四类[2]:
4.1.1 操作系统日志
a) Windows系统日志。Windows NT/2K/XP的系统日志文件有应用程序日志、安全日志和系统日志等,日志默认位置在%systemroot%\system32\config目录下。Windows是使用一种特殊的格式存放它的日志文件,这种格式的文件通常只可以通过事件查看器EVENT VIEWER读取。
b) Linux/Unix系统日志。在Linux/Unix系统中,有三个主要的日志子系统:连接时间日志、进程统计日志和错误日志。错误日志――由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。
4.1.2 安全设备日志
安全设备日志主要是指防火墙,入侵检测系统等网络安全设备产生的日志。这部分日志格式没有统一标准。目前,国内多数防火墙支持WELF(Web Trends Enhanced Log Format)的日志格式,而多数入侵检测系统的日志兼容Snort产生日志格式。
4.1.3 网络设备日志
网络设备日志是指网络中交换机、路由器等网络设备产生的日志,这些设备日志通常遵循RFC3164(TheBSD syslog Protocol)规定的日志格式,可以通过syslogd实现方便的转发和处理。一个典型的syslog记录包括生成该记录的进程名字、文本信息、设备和优先级范围等。
4.1.4 应用系统日志
应用系统日志包含由各种应用程序记录的事件。应用系统的程序开发员决定记录哪一个事件。Web应用程序日志往往是系统管理员最关心的应用系统日志之一。
a) Apache日志。Apache日志记录Apache服务器处理的所有请求和出错信息,它支持两种格式的日志:普通记录格式(Common Log Format),组合记录格式(Combined Log Format)。
b) IIS日志。IIS日志文件记录了所有访问IIS服务程序的信息,IIS日志文件一般位于如下路径:%systemroot%\system32\LogFiles。IIS支持“W3C扩充日志文件格式”、“NCSA通用日志格式”和“ODBC数据库日志格式”。
论文关键词:安全审计 日志 数据挖掘
论文摘要:该文提出了无线网关安全审计系统的系统模型,详细介绍了该系统的设计思想和流程。在系统中通过改进syslog机制,引入有学习能力的数据挖掘技术,实现对无线网关的安全审计。
无线网关作为无线网络与布线网络之间的桥梁,所有的通信都必须经过无线网关的审计与控制。在无线网络中,无线网关放置在无线网络的边缘,相当于无线网络的大门,当无线网关遭到攻击和入侵时,灾难会殃及整个无线网络,使无线网络不能工作或异常工作,由此可见,对无线网关进行安全审计是十分有意义的。
一、系统概述
本文研究的安全审计系统是北京市重点实验室科研项目智能化无线安全网关的一部分。智能化无线安全网关在无线网关上集成具有IDS和防火墙功能的模块,以及控制和阻断模块,这些功能模块在统一操作系统的基础上,既各司其职,又密切合作,共同完成防范、预警、响应和自学习的功能,构成一个有机的安全体系。
无线网关的安全审计系统,其主要功能就是在事后通过审计分析无线安全网关的日志信息,识别系统中的异常活动,特别是那些被其他安全防范措施所遗漏的非法操作或入侵活动,并采取相应的报告,以有利于网络管理员及时有效地对入侵活动进行防范,确保网络的安全。无线网关安全审计系统是针对无线网络的安全运作而提出的,主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能。
首先,审计系统的数据控制模块对进出的数据信息进行严格的控制,根据预定义的规则进行必要的限制,适当地降低风险。其次,安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志、及用户和应用日志。随后,采集部件收集到的日志记录被送到日志归类模块,根据日志记录行为的不同层次来进行分类。最后,使用审计与报警模块对日志记录进行审计分析。这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析,以检测出无线网关中是否存在入侵行为、异常行为或非法操作。管理员可以初始化或变更系统的配置和运行参数,使得安全审计系统具有良好的适应性和可操作性。
二、系统设计
1、系统结构组成
2、设计思想
系统从数据采集点采集数据,将数据进行处理后放入审计数据库,采用有学习能力的数据挖掘方法,从“正常”的日志数据中发掘“正常”的网络通信模式,并和常规的一些攻击规则库进行关联分析,达到检测网络入侵行为和非法操作的目的。
3、系统的详细设计
(1)数据的控制
数据控制模块使用基于Netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制,适当地降低风险。
(2)数据的采集
数据采集模块,即日志的采集部件,为了实现日志记录的多层次化,即需记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为,所以在无线安全网关中设置了多个数据捕获点,其主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种。
(3)日志的归类
日志归类模块主要是为了简化审计时的工作量而设计的,它的主要功能是根据日志记录行为的不同层次来进行分类,将其归为网络行为、系统行为,应用行为、用户行为中的一种,同时进行时间归一化。进行日志分类目的是对海量信息进行区分,以提高日志审计时的分析效率。
(4)日志审计与报警
日志审计与报警模块侧重对日志信息的事后分析,该模块的主要功能是对网关日志信息进行审计分析,即将收到的日志信息通过特定的策略进行对比,以检测出不合规则的异常事件。随着审计过程的进行,若该异常事件的可疑度不断增加以致超过某一阈值时,系统产生报警信息。该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能。
三、系统的实现
1、系统的开发环境
智能无线安全网关安全审计系统是基于linux操作系统开发的B/S模式的日志审计系统。开发工具为前台:Windows XPprofessional+html+php后台:Linux+Apache+Mysql+C++。
2、系统的处理流程
前面已经详细介绍了该系统的设计思想,系统的处理流程如图2所示:
3、日志归类模块的实现
无线网关的日志采用linux的syslog机制进行记录,syslog记录的日志中日期只包含月和日,没有年份。在本模块中,对日志记录的syslog机制进行一些改进,克服其在日志中不能记录年的问题。
下面以无线网关的日志为例,说明其实现过程。网关日志的保存文件为gw.log,用一个shell脚本,在每月的第一天零点,停止syslogd进程,在原来的文件名后面加上上一个月的年和月,如gw.log200603,再新建一个gw.log用于记录当月的日志,再重启syslogd记录日志。这样就把每月的日志存放在有标志年月的文件中,再利用C++处理一下,在记录中加入文件名中的年份。
4、日志审计与报警模块的实现
(1)日志审计模块的处理流程
(2)规则库生成的实现
安全审计系统所采用的审计方法主要是基于对日志信息的异常检测,即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在。该方法的优点是无需了解系统的缺陷,有较强的适应性。
这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库。规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成。首先系统从数据采集点采集数据,将数据进行处理后放入审计数据库,通过执行安全审计读入规则库来发现入侵事件,将入侵时间记录到入侵时间数据库,而将正常日志数据的访问放入安全的历史日志库,并通过数据挖掘来提取正常的访问模式。最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库。可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定。
(3)日志信息审计的实现
日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分。在对日志进行审计之前,我们首先要对其进行处理,按不同的类别分别接收到日志信息数据库的不同数据表中。此外,由于我们所捕获的日志信息非常庞大,而系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上。而这些记录中存在的大量冗余信息,在对它们进行的操作处理时必将造成巨大的资源浪费,降低了审计的效率。因此有必要在进行审计分析之前尽可能减少这些冗余信息。所以,我们在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录,从而大大减少日志记录的数目,同时大大提高日志信息的含金量,以提高系统的效率。采用的方式就是将收集到的日志分为不同类别的事件,各个事件以不同的标识符区分,在存放日志的数据库中将事件标识设为主键,如有同一事件到来则计数加一,这样就可以大大降低日志信息的冗余度。
在日志信息经过预处理之后,我们就可以对日志信息进行审计了。审计的方法主要是将日志信息与规则库中的规则进行对比,如图3所示,对于检测出的不合规则的记录,即违反规则的小概率事件,我们记录下其有效信息,如源,目的地址等作为一个标识,并对其设置一怀疑度。随着日志审计的进行,如果属于该标识的异常记录数目不断增加而达到一定程度,即怀疑度超过一定阈值,我们则对其产生报警信息。
四、数据挖掘相关技术
数据挖掘是一个比较完整地分析大量数据的过程,它一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等,它是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型。
本系统中的有学习能力的数据挖掘方法,主要采用了三个算法:
(1)分类算法 该算法主要将数据影射到事先定义的一个分类之中。这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”。本系统中先收集足够多的正常审计数据,产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为,哪些是入侵或非法操作。
(2)相关性分析 主要用来决定数据库里的各个域之间的相互关系。找出被审计数据间的相互关联,为决定安全审计系统的特征提供很重要的依据。
(3)时间序列分析 该算法用来建立本系统的时间顺序模型。这个算法帮助我们理解审计事件的时间序列一般是如何产生的,这些所获取的常用时间标准模型可以用来定义网络事件是否正常。
本系统通过改进syslog机制,使无线网关的日志记录更加完善,采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习,获得正常访问模式的规则库,检测网络入侵行为和非法操作,减少人为的知觉和经验的参与,减少了误报出现的可能性。该系统结构灵活,易于扩展,具有一定的先进性和创新性。此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应。下一步的工作是进一步完善规则库的生成以及审计的算法,增强系统对攻击的自适应性,提高系统的执行效率。
参考文献
[1]Branch,JW,Petroni,NL,VanDoorn,L.,Safford,D.,Auto-nomic802.11WirelessLANSecurityAuditing,IEEESecurity&Privacy,May/June 2004,pp.56-65.
[2]李承,王伟钊. 基于防火墙日志的网络安全审计系统研究与实现.计算机工程 2002.6.
经过近几年的努力,中国矿山企业的安全生产状况总体上呈现出相对稳定、趋于好转的态势。但重、特大事故时有发生,事故总量仍然偏大,矿山安全生产形势依然严峻。实践证明,要实现矿山安全生产的长治久安,就必须建立矿山安全生产长效机制。积极有效地开展矿山安全审计工作,发挥审计的监督检查作用,促进矿山切实落实安全生产主体责任,认真执行安全生产的各项法律法规,保证安全生产的必要投入,落实各项安全防范措施,不断改善安全生产条件。使矿山生产的运行方式、管理形式和监督体制等走上正轨,才能使矿山安全生产状况实现真正意义上的根本好转。安全审计作为一项专门针对企业安全生产进行监督和评价的独立审计活动,有助于督促企业遵守安全生产法律法规,有助于督促企业执行安全设施“三同时”,有助于督促企业生产责任事故赔偿及时到位,有助于督促企业安全投入及时、足额等。从而保证安全生产形势根本好转。借鉴相关学科知识建立完善的评价指标体系,是开展安全审计的关键。
一、构建矿山安全审计评价指标体系应遵循的原则
安全审计有别于常规的财政、财务审计,安全审计是企业安全生产主体责任的人格化,审计客体由静态的会计资料,到动态审计对象(企业)的主体责任和社会责任,从有形到无形,从客观反映到抽象分析。安全审计评价指标体系是度量企业安全生产活动的有效工具。为了提高这一测度工具的信度与效度,构建该评价体系时,必须满足以下几个原则:
(一)重要性原则
在中国矿山企业开展安全审计工作还仅仅处于探讨阶段,笔者认为与要求评价指标体系的全面性相比较,强调重要性原则对实践工作的开展更具有指导意义。同时,重要性原则也是在指标设定过程中对安全审计工作重点、成本与效率的综合考虑。当然,随着中国安全审计工作的发展与完善,该指标评价体系将进一步改进,以满足全面性原则的要求。
(二)责任性原则
矿山安全审计评价指标体系应准确考评被审计单位及内部各部门和个人必须履行的安全生产责任,即所衡量、评价的安全生产活动及其结果应是审计对象的职责范围,是其应当全部或部分负责,是可以控制和调节的,是其通过主观努力可以改变的结果和过程。事故的发生具有偶然性、不确定性及外部不经济性等特点,进一步造成一些企业盲目追求经济效益,重生产轻安全,安全管理薄弱;无证或证照不全非法生产,超能力、超强度、超定员违法违规生产。所有这些安全生产主体责任不落实是矿山事故易发、多发、频发,重特大事故集中、长期以来尚未得到切实有效遏制的根源。责任性原则是保证安全审计评价结论切实有效必须遵循原则之一。
(三)简明性原则
安全审计评价指标体系中应选择具有代表性、能够准确清楚反映问题的指标。由于安全审计评价涉及的领域非常广泛,评价指标虽然要求全面,但并不是越多越好。如果所选指标变量过多,一方面资料难以获取,另一方面综合分析过程也很困难。同时不便于决策者应用,而且大大增加了安全审计工作的复杂性和冗余度。如果所选指标变量过少,就有可能不足以或不能充分表征系统的真实行为或真实的行为轨迹。所以指标的设置要围绕评价的目的有针对性地加以选择,每个指标的含义要求明确,代表特征要求清楚,无相互交叉重叠现象。
(四)相关性原则
评价体系应与矿山安全审计的目标紧密相关,评价标准能够反映信息使用者的需求,能揭示被审计对象的具体安全生产状况及被审单位安全生产主体责任实现程度。相关性原则与简明性原则具有内在一致性要求。
(五)动态性原则
安全审计评价是一个随着审计项目的发展而发展以及安全生产形势变化而变化的动态过程,客观上要求设置的指标体系具有动态特点,既能反映该审计项目的历史状况和现状,在一定的时期内保持相对的稳定性,又能对未来的变化发展做出评价。同时能够适应安全生产形势变化、安全监管工作要求做出相应调整。
(六)地域性原则
不同地区的自然环境和社会环境不同,所处地区的地理位置、经济状况、水文地质等条件不同,对安全的影响因子也不同,因此应按照因地制宜原则,针对所研究地区及其主要问题选择评价指标。矿山安全评价指标体系的构建尤其注意遵循地域性原则。
二、构建矿山安全审计评价指标体系设计思路
(一)评价指标体系的维度定位
根据建立矿山安全审计评价体系的目标与原则,从范围层次上划分,安全审计评价标准分为总体评价标准和具体评价标准。所以在试图建立安全审计评价标准时,也分别从这两个方面考虑,先确立总体评价标准,再逐步完善具体标准。在指标体系架构中,不仅在矿山安全生产的规范性、效用管理以及外部效应三个维度进行了体系的构建(如图1所示)。并且从安全生产法律法规、安全内控制度、安全设施“三同时”、事故处理、安全投入等五个层面进行了体系的设计。当然,安全审计评价指标体系应该是动态的、可扩充的,审计人员可以随时按照实际情况增减,以增强其科学性、有效性,但主要指标需保留。
(二)评价权重的分配
评价权重的分配涉及到各评价维度的权重分配以及每一维度内各评价指标之间的权重分配。在构建安全审计评价指标体系过程中,要确定评价指标的权重值。各项指标的权重值,反映了该指标在整个安全审计评价指标体系中所占的比重。权重值应根据该指标对企业安全生产水平的影响程度及其实施的难易程度来确定。指标权重的确定有主观法和客观法两大类,主观法主要包括专家调查法、层次分析法等,客观法主要包括主成分分析法、熵值法和数据包络法等。
安全审计评价指标体系的构建过程,应该是主观分析法和客观分析法相结合的过程。此外,指标体系的构造过程可分为指标体系框架的构建和指标筛选两个阶段,即指标初选和指标完善的过程。该过程可以概述为:分解总目标、构造层次结构、建立预选指标集筛选指标、最终确立评价指标体系。
在构建安全审计评价指标体系过程中,要确定定量指标的评价基准值。并应按照下列原则确定:凡是国家或行业管理部门在有关政策、规划等文件中对该指标已有明确要求值的就应选用国家要求的数值;凡是国家或行业管理部门对该指标尚无明确要求值的,则选用国内重点大型企业近年来满足安全管理要求所实际达到的中上等以上水平的指标值。确保定量指标的基准值代表了行业安全生产活动的平均水平。
需要说明的是,评价权重的分配会因不同阶段、发展重点、矿山生产特点的不同而有所差别。而对情况各异的矿山安全生产管理,我们不可能确定一成不变的安全审计评价指标体系,也不存在统一的指标权重,即使同一评价对象在不同的历史时期也会有所不同。尽管卓越的绩效评价系统对每个组织都是独特的,即按每个组织的需要和特点“量体裁衣”,但是反映社会满意度的指标,应该在安全审计评价体系中占据绝对的比重,社会评议信息应是评价结论的主要证据资料。
三、构建矿山安全审计评价指标体系
(一)安全审计内容
安全审计评价指标体系应紧紧围绕安全审计内容设定。考虑到中国矿山安全生产实际以及政府安全监管过程中存在的突出问题,笔者主张矿山安全审计主要内容应包括以下五部分:
1.安全生产法律法规遵守和执行情况审计
该审计主要是对矿山企业在生产经营过程中遵守相关安全生产法律法规的情况进行评价,包括定性指标和定量指标。评价时只需考虑法律法规的执行情况及效果,而不对法律法规本身进行过多地评价。评价时需遵循两条原则:首先,企业能否执行相关安全生产法律法规;其次,企业能否做到持续、全面执行安全生产法律法规。这也符合性测试重点之一。
2.安全内部控制制度设计及运行情况审计
该审计主要是对矿山企业安全内控制度是否健全,能否保证整个业务处理系统控制目标的实现,制度与制度之间的衔接是否紧密协调以及内控制度是否有效执行进行评价。从而判定矿山企业各种安全内控制度的履行结果是否达到预期目标,是否结合企业安全生产实际及时自查修订完善。为进一步确定安全审计的重点提供决策依据。
3.安全设施“三同时”情况审计
在安全设施“三同时”审计中,应该重点审查和评价与被审计单位安全设施“三同时”相关的下列内容:(1)被审计单位在生产经营过程中对相关的安全生产法律法规、规章制度、政策、计划、预算、程序、合同等的遵守情况;(2)安全设施项目风险的识别、评估及应对措施;(3)相关安全控制活动的适当性和有效性;(4)有关安全资产、安全负债、安全支出项目等财务信息和非财务信息的获取、处理、传递情况。
4.事故损失及事故责任履行情况审计
该审计主要是对矿山企业事故损失及事故责任履行情况进行评价。为事故责任认定及事故赔偿提供决策依据。工伤事故赔偿审计主要集中在两点:(1)赔偿标准是否合法合规。(2)赔偿额度是否足额、及时。这一点往往也是事故双方争执的焦点。有第三方出具相应审计意见,有助于安全监管部门执法,切实保障受伤员工合法权益。
5.安全投入情况审计
安全投入情况审计是安全审计的重点。众所周知,安全投入不足是造成中国安全生产形势依然严峻的主要原因之一。造成企业安全投入不足重要原因之一就在于缺乏有效监督。近几年,中国为扩大矿山企业安全投入资金来源及数量,建立稳定的安全保障资金渠道,颁布了一系列规定制度。由于安全投入效益的隐蔽性、滞后性、不确定性及其他原因(经济效益不佳、领导不重视、短期行为等),一些企业(尤其小型矿山企业)往往在安全投入方面“勤俭节约”。企业为了应付针对安全投入状况的检查弄虚作假。通过安全投入审计,能够有效监督矿山企业安全生产费用提取及使用情况,确保安全投入足额、及时。
(二)分级设立评价指标
矿山安全审计评价体系的建立是一项系统工程,需要花很大力气进行研究和实践。在这里我们先构思一个指标框架,许多指标还有待于讨论和完善。安全审计评价指标体系包括一级评价指标和二级评价指标两个层次。一级评价指标包括安全生产法律法规执行情况评价指标、企业安全内部控制情况评价指标、安全设施“三同时”、事故损失及事故责任履行情况评价指标和安全投入情况评价指标。二级评价指标是一级评价指标的具体化。具体内容(见表1)。
安全审计的综合评价,应该以评价年度各项二级定量指标的实际数据和各项二级定性指标的专家评分为基础,按照各二级指标的基准值和权重值计算各单项指标得分,再综合得出该企业安全管理水平的评价总分值。
单项指标评价分值=权重值× (1)
当>1时,按1计算。
二级定性指标和定量指标都采用百分制测评。定性指标采用专家评分平均值。
论文关键词:安全审计 日志 数据挖掘
论文摘要:提出了无线网关安全审计系统的系统模型,介绍了该系统的设计思想,从数据的控制、数据的采集、日志的归类、日志的审计与报警4个方面描述了设计流程.在系统中通过改进syslog机制,引入有学习能力的数据挖掘技术,实现对无线网关的安全审计.
0 引言
无线网关是无线网络与布线网络之间的桥梁,所有的通信都必须经过无线网关的审计与控制.在无线网络中,无线网关放置在无线网络的边缘,相当于无线网络的大门,当无线网关遭到攻击和入侵时,灾难会殃及整个无线网络,使无线网络不能工作或异常工作,由此可见,对无线网关进行安全审计是十分有意义的.
本文中研究的安全审计系统是北京市重点实验室科、研项目“智能化无线安全网关”的一部分.智能化无线安全网关在无线网关上集成具有IDS和防火墙功能的模块,以及控制和阻断模块,这些功能模块在统一操作系统的基础上,既各司其职,又密切合作,共同完成防范、预警、响应和自学习的功能,构成一个有机的安全体系.
无线网关的安全审计系统,其主要功能就是在事后通过审计分析无线安全网关的日志信息,识别系统中的异常活动,特别是那些被其它安全防范措施所遗漏的非法操作或入侵活动,并采取相应的报告,以有利于网络管理员及时有效地对入侵活动进行防范,确保网络的安全[1].
1 系统功能概述
无线网关安全审计系统是针对无线网络的安全运作而提出的,主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能.首先,审计系统的数据控制模块对进出的数据信息进行严格的控制,根据预定义的规则进行必要的限制,适当地降低风险.其次,安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志及用户和应用日志.随后,采集部件收集到的日志记录被送到日志归类模块,根据日志记录行为的不同层次来进行分类.最后,使用审计与报警模块对日志记录进行审计分析.这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析,以检测出无线网关中是否存在入侵行为、异常行为或非法操作.管理员可以初始化或变更系统的配置和运行参数,使得安全审计系统具有良好的适应性和可操作性.
2 系统设计
2.1 系统结构组成(见图1)
2.2 设计思想
系统从数据采集点采集数据,将数据进行处理后放入审计数据库,采用有学习能力的数据挖掘方法,从“正常”的日志数据中发掘“正常”的网络通信模式,并和常规的一些攻击规则库进行关联分析,达到检测网络入侵行为和非法操作的目的.
2.3 系统的详细设计
系统的处理流程如图2所示:
2.3.1 数据的控制.数据控制模块使用基于Netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制,适当地降低风险.
2.3.2 数据的采集.数据采集模块,即日志的采集部件.为了实现日志记录的多层次化,需要记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为,所以在无线安全网关中设置了多个数据捕获点,其中主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种.2.3.3 日志的归类.日志归类模块主要是为了简化审计时的工作量而设计的,它的主要功能是根据日志记录行为的不同层次来进行分类,将其归为网络行为、系统行为、应用行为、用户行为中的一种,同时进行时间归一化.进行日志分类目的是对海量信息进行区分,以提高日志审计时的分析效率.
2.3.4 日志审计与报警.日志审计与报警模块侧重对日志信息的事后分析.该模块的主要功能是对网关日志信息进行审计分析,即将收到的日志信息通过特定的策略进行对比,以检测出不合规则的异常事件.随着审计过程的进行,若该异常事件的可疑度不断增加以致超过某一阈值时,系统产生报警信息.该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能.
3 系统的实现
3.1 系统的开发环境
智能无线安全网关安全审计系统是基于linux操作系统开发的B/S模式的日志审计系统.开发工具为:前台:Windows XP professional+html+php,后台:Linux+Apache+Mysql + C++.
3.2 日志归类模块的实现[2-3]
无线网关的日志采用linux的syslog机制进行记录,sys-log记录的日志中日期只包含月和日,没有年份.在该模块中,对日志记录的syslog机制进行一些改进,克服其在日志中不能记录年的问题.
下面以无线网关的日志为例,说明其实现过程.网关日志的保存文件为gw.log,用一个shell脚本,在每月的第一天零点,停止syslogd进程,在原来的文件名后面加上上一个月的年和月,如gw.log200603,再新建一个gw.log用于记录当月的日志,再重启syslogd记录日志.这样就把每月的日志存放在有标志年月的文件中,再利用C++处理一下,在记录中加入文件名中的年份.
3.3 日志审计与报警模块的实现
3.3.1 日志审计模块的处理流程(见图3).
3.3.2 规则库生成的实现.安全审计系统所采用的审计方法主要是基于对日志信息的异常检测,即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在.该方法的优点是无需了解系统的缺陷,有较强的适应性.这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库.规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成.
首先系统从数据采集点采集数据,将数据进行处理后放入审计数据库,通过执行安全审计读入规则库来发现入侵事件,将入侵时间记录到入侵时间数据库,而将正常日志数据的访问放入安全的历史日志库,并通过数据挖掘来提取正常的访问模式.最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库.可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定.
3.3.3 日志信息审计的实现.日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分.在对日志进行审计之前,首先要对其进行处理,按不同的类别分别接收到日志信息数据库的不同数据表中.此外,由于所捕获的日志信息非常庞大,系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上,而这些记录中存在的大量冗余信息,在对它们进行的操作处理时必将造成巨大的资源浪费,降低了审计的效率,因此有必要在进行审计分析之前尽可能减少这些冗余信息.所以,在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录,从而大大减少日志记录的数目,同时大大提高日志信息的含金量,以提高系统的效率.采用的方式就是将收集到的日志分为不同类别的事件,各个事件以不同的标识符区分,在存放日志的数据库中将事件标识设为主键,如有同一事件到来则计数加一,这样就可以大大降低日志信息的冗余度.
在日志信息经过预处理之后,就可以对日志信息进行审计.审计的方法主要是将日志信息与规则库中的规则进行对比,如图3所示.对于检测出的不合规则的记录,即违反规则的小概率事件,记录下其有效信息,如源、目的地址等作为一个标识,并对其设置一怀疑度.随着日志审计的进行,如果属于该标识的异常记录数目不断增加而达到一定程度,即怀疑度超过一定阈值,则对其产生报警信息.
4 数据挖掘相关技术
数据挖掘是一个比较完整地分析大量数据的过程,一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等,是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型[4].
本系统中的有学习能力的数据挖掘方法主要采用了3种算法:
1)分类算法.该算法主要将数据影射到事先定义的一个分类之中.这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”.本系统中先收集足够多的正常审计数据,产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为,哪些是入侵或非法操作.
2)相关性分析.主要用来决定数据库里的各个域之间的相互关系.找出被审计数据间的相互关联,为决定安全审计系统的特征集提供很重要的依据.
3)时间序列分析.该算法用来建立本系统的时间顺序模型.这个算法有利于理解审计事件的时间序列一般是如何产生的,这些所获取的常用时间标准模型可以用来定义网络事件是否正常.
5 结束语
该系统通过改进syslog机制,使无线网关的日志记录更加完善.采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习,获得正常访问模式的规则库,检测网络入侵行为和非法操作,减少人为的知觉和经验的参与,减少了误报出现的可能性.该系统结构灵活,易于扩展,具有一定的先进性和创新性,此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应.下一步的工作是进一步完善规则库的生成以及审计的算法,增强系统对攻击的自适应性,提高系统的执行效率.
参考文献:
[1] Branch J W, Petroni N L, Doorn Van L, et al.Autonomic802.11 Wireless LAN Security Auditing[J]. IEEE Security&Privacy, 2004(5/6):56-65.
[2] 李承,王伟钊,程立.基于防火墙日志的网络安全审计系统研究与实现[J].计算机工程,2002,28(6):17-19.
[3] 刘.无线网络安全防护[M].北京:机械工业出版社,2003.
Abstract: With the rapid development of China's economy, the living environment causes people's more and more attention, which is a big challenge for the development of coal enterprises. The production of Chinese enterprises is not inseparable from the coal, and the coal enterprises production safety situation is still very grim nowadays. Internal audit system, as an important component of supervision system in coal enterprises, plays a crucial role. From the current development of coal mining enterprises, this paper talks about the importance of internal audit, and carries out the internal audit system design for coal mine safe production.
关键词: 煤矿企业;安全生产;内部审计;制度设计
Key words: coal mining enterprises;safe production;internal audit;system design
中图分类号:F239.45 文献标识码:A 文章编号:1006-4311(2014)14-0153-02
0 引言
我国当前的煤矿安全生产问题仍然十分严峻,安全事故的发生率虽然有所下降,但是还没到完全有效控制的地步。要想实现煤矿企业的安全生产,企业内部机制上需要下很大的功夫,对安全管理方面进一步加强。内部审计作为内部监督系统中重要的组成部分,对煤矿企业的结构优化和企业的安全发展起着至关重要的作用。
1 我国煤矿企业发展现状
随着经济的快速发展,为煤炭企业带来了机遇与挑战,在全球经济一体化的发展前景下,我国各大企业的快速发展,如:钢铁企业、电力公司等,这些企业快速发展的同时所需的基础物质有一种就是煤炭。相对的,这些企业的快速发展也带动了煤炭企业的发展与煤炭的生产。在目前社会中,人们生活注重环保,对煤炭的排放污染物比较在意,在不断的提倡低碳和环保,所以,新能源应运而生,对煤矿企业是强有力的竞争对手。煤矿企业在激烈的竞争之下,有所改良,在资源综合利用与节能减排方面有突破性的进展,这也促进了煤矿企业的进一步发展。
2 我国煤矿企业开展内部审计重要性
2.1 是煤炭企业提高安全管理的需要 我国对煤炭企业的安全问题日益重视,通过一系列的整治力度,近些年来安全事故发生率总体呈现下降的趋势,但是并没有彻底地保证煤炭安全生产事故零发生,安全事故给国家和人民生命带来了巨大的威胁与损失,我国煤炭企业的安全生产基础较薄弱,法规上存在一定漏洞,对隐患的排查不彻底,对安全的投入掉以轻心,都会引起重大安全事故的发生。那么,建立安全生产内部审计制度,能够有效的保障安全法律的贯彻和落实,督促及时排除安全隐患,进一步实现企业的安全生产,是煤矿企业提高自身价值的新举措。
2.2 是煤炭企业提高内部控制的需要 在《企业内部控制配套指引》中,提出将安全生产列入企业内部范畴,企业内部审计是内部控制体系中的重要部分,行使着监督的责任,针对企业内部控制发表检查的意见。煤矿企业内部审计部门对企业在生产经营中的安全控制制度和措施开展监督和评价,是内部审计完善企业的内部控制和安全隐患发生的重要行为。
2.3 是风险导向审计方法的需要 对与煤矿企业而言,其审计风险主要来源于财务舞弊和安全生产,现在的内部审计要在传统的“查错防弊”基础上有了更好的要求,风险导向审计方法是保证风险评估的整个审计流程,对财务信息的真实性和完整性开展评价。煤矿企业的发展应时应时代的脚步,所以需要应用风险导向审计方法,提高安全生产意识,将工作重心前移。
3 煤炭企业安全生产的内部审计制度设计
3.1 目标方面的设计
3.1.1 煤矿企业内部审计总体目标的设计 内部审计在企业内部是独立的、客观的监督和评价体系,通过审查和评价企业经营和企业内部控制的合法性、有效性以及适当性来推动企业目标的实现。内部审计实施的目的就是协助企业在管理上要履行自己的职责,改善企业的运营。因此,内部审计会审核并评价活动,对其提出建议、分析等。内部审计的总体目标就是企业的安全生产,推动企业目标的实现,在煤矿企业中推动煤矿企业在安全生产的前提基础上,实现利益最大化、企业价值最大化。所以,内部审计的总体目标就是保证企业的安全生产,实现企业价值最大化。
3.1.2 煤矿企业内部审计具体目标的设计 首先,在煤矿企业的安全生产投入方面,来审计安全生产的资金是否充足、合法、真实;在安全生产资金用途上进行追踪和监督。其次,在煤矿安全生产制度和措施上的有效性、充分性、适宜性进行审计。第三,在安全生产合规性方面来审计职能部门获取安全生产法规标准等方面的及时性,也审计企业是否将安全生产法律法规传达给工作人员的及时性,有效性;审计企业能否及时遵循守法并贯彻落实到各个阶层的工作中去。第四,通过安全生产责任的有效履行,来对涉及到安全生产的执行人员和部门管理机构的审计。
3.2 职能方面的设计 煤矿企业内部审计职能是在审计本身固有的功能之上,反映出内部审计部门的本质。由于内部审计的职能为审计的目标服务,随着审计的目标的变化而变化。在煤炭企业中的安全生产的内部审计目标是在煤炭企业的安全生产基础上,来实现社会效益。与其他的内部审计职能有点区别。
3.2.1 监督职能,国务院提出了加强煤炭企业监管的方针和政策,煤炭企业自己本身也应该加强安全生产的内部监管机制,最大力度上实现安全生产。内部审计对企业的经营管理进行监督,如:安全生产活动、安全生产内部的控制。在企业内部如果发现内部控制的偏差可直接、间接的纠正。
3.2.2 防范职能,煤矿企业中的内部审计是在事前、事中进行的审计,主要针对煤炭生产的安全设计、人员安全培训、安全设施的维护等来进行审计,更加偏向预防风险事故的发生,把生产中的安全隐患消除。
3.2.3 评价职能,内部审计为煤炭企业的正常运行生产经营活动和提高经济效益来提供服务,煤炭企业的安全生产是企业一切活动的基础,也是内部审计所评价的对象。内部审计的评价职能是针对煤矿企业安全生产的目标、操作流程、制度等进行评价,从而促进不完善的地方进行修改,来达到提高企业安全生产的目标。
3.3 内部审计方法设计 传统的报表、账册、记录方法已经不再适用于煤炭企业内部安全生产的内部审计。内部审计的方法可以分为以下几种:
①内部审计方法。在煤炭企业内部审计更注重工作人员亲自在现场的检查,这种模式也是源于煤炭安全生产方面具有很强的针对性,在传统的方法中不足以表现出来,而在工作人员现场的审计中将所能影响安全生产的因素现场进行审计,可以有效的杜绝安全隐患的发生。那么,内部审计的方法可以采取两种,既详细检查法、现场鉴定法。②内部审计后的分析方法。在科学性的前提下,内部审计人员就煤矿企业安全生产的书面资料,在分类、比较等手段下,根据现有的安全生产标准来进行分析和评价的一种方法。③内部审计查询法。是内部审计的工作人员面对面询问、提问、质疑等行为方式来获取安全生产的和书面资料和客观事实,在此基础上又分为口头查询和书面查询两种方法。
4 结语
现阶段我国经济体制改革不断加深,这就需要煤矿企业去适用改革的脚步,并随着改革来进行自身的制度完善。健全的制度对任何的企业来讲都非常重要,内部审计在煤矿企业中起着至关重要的作用,是控制企业内部稳定的有效手段。内部审计本身有非常强大的功能,煤矿企业中在利用内部审计的同时,也应该加强内部审计人员的专业素养,使内部审计在煤矿企业安全生产中发挥最大作用,更好的预防安全隐患,促进煤矿企业的健康平稳发展。
参考文献:
[1]刘云金.矿产资源企业安全生产内部审计初探[J].现代经济信息,2012.
[2]吴进华,肖兴祥.开展安全生产内部审计相关问题思考[J].财会月刊,2011.
[3].煤矿安全审计研究[A].中国煤炭经济研究(2005~2008)(上册)[C].2009.
