《資料安全實踐指南》- 通用安全實踐-監控與審計

監控與審計

• 監控與審計是對通路控制的必要補充，是通路控制的一個重要内容。該階段會記錄與監控使用者使用的資料資訊資源、使用的時間，以及使用的過程（即執行了何種操作）。審計和監控是實作資料安全的最後一道防線，處于資料安全治理的最高層。審計與監控能夠再現原有的資料操作問題，這一點對于責任追查和資料恢複非常重要。

建立負責監控與審計的職能部門

• 定期分析所處的内外部風險環境，并對組織整體所面臨的重大資料安全風險進行評估。
• 對各部門報送的資料安全風險資訊進行統一的篩選、提煉和規範管理，提供專業的分析和判斷，并追加必要的擴充審計操作，對組織層面的重大資料安全風險進行提示和告警。
• 對組織層面的重大資料安全風險進行持續監控和報告，持續關注組織新出現的資料安全風險或原有資料安全風險的重大變化、既定資料安全風險應對方案的執行情況及執行效果，以及關鍵資料安全風險名額的變化情況等。
• 對資料安全風險監控結果進行審計及分析評價，包括風險變化的原因、潛在影響、變化趨勢，以及對跨部門風險應對方案提供調整建議等。
• 監督和檢查組織風險管理體系的建設和運轉情況，定期開展組織層面風險管理工作的自我評價，對風險管理職責分工的合理性、風險管理流程的完備性、風險資訊溝通的效率和效果等體系要素進行分析和總結，提出改進方案和改進計劃，并在組織年度風險報告中向管理層彙報。
• 定期進行内部審計，并于每年年底拟定《年度風險報告》，經審計委員會審批後，按要求報送相關機構，并定期接受相關機構的外部審計。

監控與審計崗位的建設及人員能力的評估方法

• 調研訪談

• 監控與審計階段的調研訪談，需要針對政策層、管理層、執行層各層級人員分别進行，具體訪談内容如下。
• 訪談政策層、管理層、執行層各層級人員，确認組織機構是否已經設立了監控和審計的崗位，負責管理資料安全生命周期各階段資料通路和操作的安全；訪談上述崗位人員，确認其是否具備組織機構所要求的操作監控、日志記錄技術的實踐能力，并了解IT審計的正常操作手段等。

• 問卷調查

• 資料安全監控與審計階段的問卷調查，通常采用如下兩種方式來進行。
• 對資料安全生命周期各階段的資料通路和操作的安全風險進行監控和審計的從業人員進行問卷調查，調查内容主要是确認相關人員是否具備一定的操作監控和日志記錄技術實踐能力，并了解IT審計的正常操作手段，對調研訪談進行問卷化處理，通過問卷式調查确認從業人員現有的監控與審計能力是否與組織預期的目标一緻。
• 向各部門的上司層和基層員工進行問卷調查，調查内容主要包含日常資料操作監控設定及日志設定相關的實際情況，并與資料安全生命周期各階段的資料通路和操作的安全風險進行監控和審計的實際要求進行比對，确認資料安全監控和審計的要求是否能夠得到真正的落實，進而确認其在組織資料安全監控與審計能力操作中的實際執行情況。

• 流程觀察

• 監控與審計階段的流程觀察，主要是觀察執行層團隊的工作流程，并從中尋找可能的問題點和改善點，具體觀察内容如下。
• 以中立的視角觀察組織執行層日常資料操作相關的技術監控和日志記錄流程，并調閱組織内部已制定的對資料安全生命周期各階段的資料通路和操作的安全風險進行監控和審計的實際要求，确認兩者的相符度，以及組織制定的實際要求是否符合組織資料業務監控和審計的需求，進而反推組織相關人員的實際執行能力。

• 技術檢測

• 監控與審計階段的技術檢測，需要使用技術工具确認組織資料安全生命周期各階段的資料通路和操作的安全風險是否切實有效地進行了相關的監控和審計記錄，是否存在錯誤或僞造等情況，制度規範的實際執行覆寫範圍是否全面，是否存在因業務或外部供應商自行更改規範而導緻其失效的情況等。

明确監控與審計管理的内容

• 資料安全保護的一個前提是了解資料在組織内的安全狀态，由于資料風險通過資料流動，貫穿于多個系統和階段，形成了一個難以分割的風險整體，是以組織機構需要在資料安全生命周期的各個階段都開展資料安全監控和審計操作，以實作對資料安全風險的防控。

明确安全監控要求

• 組織機構應明确要求對資料操作進行安全監控，并根據組織在資料生命周期各個階段所設定的實際技術工具實作，明确對應應進行操作監控的監控點，確定資料操作安全監控能夠覆寫資料全生命周期，且能夠滿足相關監控項目對應資料操作的需求。

明确日志記錄要求

• 在安全監控的基礎上，組織機構需要明确各監控點所需記錄日志資料的具體字段内容。在理想情況下，日志應該記錄每一個可能的事件，以便分析所發生的所有事件，并能夠追溯任何時刻的曆史情況。然而，這樣做顯然是不現實的，因為要記錄每一個資料包、每一條指令和每一次存取操作，所需要的存儲量将遠遠超出業務系統的能力範圍，并且還會嚴重影響系統的性能。是以，日志中記錄的内容應該是有選擇地進行記錄。一般情況下，日志記錄的内容應該滿足以下原則。

• 日志應該記錄任何必要的事件，以檢測已知的攻擊模式。
• 日志應該記錄任何必要的事件，以檢測異常的攻擊模式。
• 日志應該記錄關于記錄系統連續可靠工作的資訊。

• 在這些原則的指導下，日志系統可根據安全要求的強度選擇記錄下列事件的部分或全部資訊。

• 審計功能的啟動和關閉。
• 使用身份鑒别機制。
• 将客體引入主體的位址空間。
• 删除客體。
• 管理者、安全員、審計員和一般操作人員的操作。
• 其他專門定義的可審計事件。

• 通常，對于一個事件而言，日志應該包括事件發生的日期和時間、引發事件的使用者（位址）、事件、原位置和目的位置、事件類型、事件成敗結果等。

• 對于日志檔案的處理，通常的處理方法可以遵循如下幾種情況。
• 将日志放進檔案中。
• 通過網絡傳輸将日志記錄到另一台計算機上。
• 将日志寫入系統控制台。
• 将日志發給具有特定身份或職責的使用者。

明确安全審計要求

• 日志審計
• 基于日志的安全審計技術是通過SNMP（簡單網絡管理協定）、SYSLOG（系統日志）或其他的日志接口從網絡裝置、主機伺服器、使用者終端、資料庫、應用系統和網絡安全裝置中收集日志，對收集的日志進行格式标準化、統一分析和安全風險報警，并形成多種格式和類型的審計報表，主要内容如下。

• 潛在侵害分析：日志分析應該能利用一些規則去監控審計事件，并根據規則發現潛在的入侵和不安全的資料操作。這種規則可以是已定義的可審計事件的子集所訓示的潛在安全攻擊的積累或組合，或者其他規則。
• 基于異常檢測的區間邊界：日志分析應能夠确定使用者正常行為的區間邊界，即使用者正常行為的操作集合，當日志中的事件違反正常通路行為的區間邊界，或者超出正常區間邊界的限定時，日志分析系統要能指出将要發生的威脅，目前基于共識的日志分析技術便是基于此類原理而實作的。
• 簡單攻擊探測：日志分析應對重大威脅事件的特征進行明确的描述，當這類攻擊現象出現時，能夠及時指出和告警。
• 複雜攻擊探測：要求較高的日志分析系統還應該能夠檢測到多步入侵序列，當攻擊序列出現時，能夠預測其發生的步驟。

• 網絡行為審計

• 基于網絡技術的安全審計是指通過旁路和串接的方式捕獲網絡資料包，繼而對協定進行分析和還原，以達到審計伺服器、使用者終端、資料庫和應用系統等的安全漏洞，以及合法、非法或入侵等操作的目的，進而更好地監控使用者的上網行為和内容，以及使用者的

• 非工作行為等。網絡行為審計更偏重于網絡行為，優點是部署比較簡單。

  網絡行為審計的部署方式可分為旁路式和串聯式。旁路式網絡行為審計是通過在交換機端口鏡像取得原始資料包，記錄所有使用者在該鍊路上的網絡行為，并還原會話連接配接，恢複相應的通信協定，進而重制通過該鍊路所進行的網絡行為。旁路式網絡行為審計一般是在網絡的主要通道上（如核心交換機和重點監控區域），對網絡行為安全進行記錄。

• 串聯式網絡行為審計的工作原理是指在網絡鍊路上識别流經它的各種網絡協定，将協定資料嚴格按照會話進行重組并且記錄下來，然後對會話協定的回放和報表記錄進行審計。串聯式網絡行為審計一般是部署在需要審計的網絡鍊路中（如核心交換機的前段和重要網段上），對網絡行為進行審計。

• 主機審計

• 主機安全審計主要是通過在主機伺服器、使用者終端、資料庫或其他審計對象中安裝用戶端的方式來進行審計，可達到審計安全漏洞、審計各種合法、非法或入侵操作、監控上網的行為和内容、監控向外複制檔案的行為、監控使用者的非法行為等目的。主機審計包括主機的漏洞掃描産品、主機防火牆和主機IDS／IPS（入侵檢測系統/入侵防禦系統）的安全審計功能，以及主機上網和上機的行為監控、終端管理等。
• 目前，主機安全審計可以與認證系統，如令牌、PKI／CA（公鑰基礎設施/電子認證服務）、RADIUS（遠端認證撥号使用者服務）等結合部署，以實作使用者通路控制和登入審計的效果。

• 應用系統審計

• 應用系統安全審計是指通過内部截取和跟蹤等相關方式對使用者在業務應用過程中的登入、操作和退出等一切行為進行監控和詳細記錄，并對這些記錄按時間段、位址段、使用者、操作指令和操作内容等分别進行審計。
• 目前，市場上并沒有成熟的獨立應用系統安全審計的産品。針對應用系統安全審計的特點，網絡行為審計和一般的主機審計很難實作業務應用層面的相關要求，而日志審計則需要應用系統自身将相關操作形成日志。最好的方法是通過開發應用系統自身，對使用者在系統中的操作和修改行為進行記錄和驗證，同時為了減少應用系統因審計而産生的性能降低的負面影響，可以配合第三方登入審計功能和日志審計來完成審計工作。

• 合規性審計

• 為了有效控制IT風險，尤其是操作風險，對業務進行安全營運至關重要，是以，合規性審計已成為備受行業推崇的有效方法。安全合規性審計是一種檢測方法，可用于檢測建設與運作IT系統的過程是否符合相關的法律、标準、規範、檔案精神的要求。其作為風險控制的主要内容之一，是檢查安全政策落實情況的一種手段。
• 一般來說，資訊安全審計的主要依據是資訊安全管理相關的标準，例如，IS0／IEC27000、C0SO、COBIT、ITIL、NISTSP800系列、國家等級保護相關标準、企業内控規範等，資料安全依據的标準通常為歐盟GDPR、ISO/IEC27701等。這些标準和規範實際上是從不同的角度提出的控制體系，這些控制體系可以有效地控制資訊安全風險，進而提高系統的安全性。根據相關标準和法規進行合規性安全審計，可以實作辨別事件、分析事件和收集相關證據的作用，進而為政策的調整和優化提供依據。合規性審計的範圍至少應該包括：安全政策的一緻性檢查，人工操作的記錄與分析，程式行為的記錄與分析等。
• 合規性審計隻有與資訊安全政策的制訂和落實緊密結合在一起，才能有效地控制安全風險。目前，市場上根據相關标準形成了較多合規性審計産品，如基線掃描和針對性的COBIT審計系統等。

• 審計過程通路控制與審計結果儲存

• 審計操作對原始資料的查閱應該受到嚴格限制，不得篡改日志等原始資料。審計系統提供了以下不同的查閱層次來保證查閱操作的安全性。
• 審計查閱：審計系統以可了解的方式為授權使用者提供查閱日志和分析結果的功能。
• 有限審計查閱：審計系統隻能提供對内容的讀權限，是以收到具有讀以外權限的使用者通路的請求時，審計系統應拒絕。
• 可選審計查閱：在有限審計查閱的基礎上限制查閱的範圍。
• 同時，審計事件的存儲也應滿足相應的安全要求，具體包括如下幾種情況。
• 受保護的審計蹤迹存儲：即要求存儲系統對日志事件具有保護功能，防止未授權的修改和删除，并且具有檢測修改删除的能力。
• 審計資料的可用性保證：在審計存儲系統遭受意外時，能夠防止或檢測審計記錄的修改，當存儲媒體存滿或存儲失敗時，能夠确儲存儲記錄不被破壞。
• 防止審計資料丢失：當審計蹤迹超過預定的限制時，應采取相應的措施防止資料丢失。這種措施可以是忽略可審計事件、隻允許記錄有特殊權限的事件、覆寫以前的記錄或停止工作等。

使用技術工具

• 資料安全監控與審計要求組織機建構立相關的措施對非法采集、未授權通路、資料濫用、資料洩露等問題進行監控和審計。資料分析将用于支援有效的安全合規決策，進而降低資料的安全風險。
• 組織機構需要建立資料安全監控審計平台，對組織内所有的網絡、系統、應用、資料平台等核心資産中的資料流動進行監控和審計，并進行風險識别與預警，以實作資料全生命周期各階段的安全風險防控。資料安全監控審計平台主要包含資料采集、資料整合、資料分析、平台營運、風險大圖等幾大類功能，具體說明如下。
• 資料采集：資料來源包括了員工的基礎資料、網絡資料、終端資料、系統和應用資料等；日志資料的擷取方式支援JDBC、文本檔案、Syslog、SNMP、API、Agent、Windows事件日志、Netflow等，日志内容支援文本、XML、JSON等格式，可針對特殊采集場景進行定制化。
• 資料整合：通過關聯業務資料對采集的資訊進行補全和資料的标準化定義，按照5W1H的方法進行資料統一的操作，并根據行為定性，抽象出歸一化的資料流動和行為主題域。
• 資料分析：以敏感資料為中心，建立多元度行為基線，利用機器學習算法和預定義規則找出嚴重偏離基線的異常行為，及時發現内部使用者或合作夥伴竊取資料等違規行為。

• 平台營運：建立發現、審計、處置和回報的營運循環機制。

  風險大圖：提供可視化、可感覺的功能使得風險能夠進行統一監控、告警、處置和恢複。

資料采集

• 資料采集技術主要分為主動采集和被動采集兩種模式。主動采集方式是指直接從實體存儲空間（比如，員工基礎資料、日志檔案、資料庫等）擷取資料。該方式可以實作對日志檔案的采集和基礎資料中繼資料的擷取。被動采集方式是指需要通過協定接收産生的日志，然後再從實體空間擷取，通過Syslog、SNMP和OPSEC等協定來實作日志的采集。由于資料安全監控審計平台涉及多種資料，是以需要結合多種方式進行采集。
• 主動采集技術：是一種基于檔案讀取的采集技術，該技術針對日志或内容，以檔案或資料庫的形式存儲在一個固定位置的情況，可以直接對檔案進行讀取以擷取需要采集的資料。
• 被動采集技術：通過協定實作對日志資料的收集，主要包括Syslog協定、SNMP協定和OPSEC協定。
• 基于Syslog協定的日志采集技術：Syslog提供了一種傳輸方式，使機器能夠通過IP網絡将事件通知消息發送到Syslog伺服器，即通過配置網絡裝置，将日志資料以Syslog協定的方式發送到指定的Syslog伺服器，日志資料也将以Syslog的形式存在。
• 基于SNMP協定的日志采集技術：SNMP提供了一種從網絡裝置中收集網絡管理資訊的方法，即對支援SNMP協定的網絡裝置進行配置，在裝置中偵聽UDP端口（161和162），取得特定的日志資料，然後将日志資料傳送到日志伺服器中。
• 基于OPSEC協定的日志采集技術：OPSEC Software Develeopment Kit（軟體開發工具包，SDK）是由OPSEC LEA提供的，它定義了采集日志的接口，并且将所有網絡通信的具體實作全部封裝了起來。該技術可以利用SDK采集支援OPSEC協定的防火牆和VPN裝置中的日志資料。

資料整合

• 由于采集獲得的資料具有異構性，是以當通過資料采集獲得對重要資料的監控日志後，資料整合的第一步是對日志進行識别和資訊提取，對于資料庫等具有标準格式的資料，可以直接擷取資料字段，對于文本資料，則需要采用正規表達式進行字段的識别和抽取操作。
• 正規表達式是一種基于模式比對和替換的強有力的字元串分析工具，它能夠提供功能強大、靈活而又高效的方法來處理文本，它能夠通過全面模式比對的方式快速分析大量的文本以找到特定的模式，再根據特定模式比對從文本中提取特定字元串。采用正規表達式來實作日志格式解析，可以降低日志内容的識别難度，減少程式中可能存在的錯誤；另外，采用正規表達式還可以提高程式的靈活性和通用性。
• 直接擷取或通過正規表達式整合資料的方法，可以按照5W1H的方法進行資料統一。所謂5W1H，即對象（What）、場所（Where）、時間（When）、人員（Who）、原因（Why）和方式（How）。擷取到的所有監控資料都可以通過該方式進行統一，進而得到被監控資料的整體流動圖。

資料分析

• 在完成資料的采集及整合之後，采用自動審計和人工審計相結合的方式或手段對資料的高風險操作進行監控，可以實作對資料異常通路和操作的告警功能。資料分析可以通過預定義的規則，對資料操作等日志進行比對，若存在未授權或越權等資料操作的情況，則可以采取告警等相應措施。

技術工具的使用目标和工作流程

• 資料安全監控審計平台應能實作以下目标。

• 應采用自動或人工審計相結合的方法或手段對資料的高風險操作進行監控。
• 應建立針對資料通路和操作的日志監控技術工具，實作對資料異常通路和操作的告警功能，高敏感及特權賬戶對資料的通路和操作都将納入重點監控範圍。
• 應部署必要的資料防洩露實時監控技術手段，監控及報告個人資訊和重要資料等的外發行為。
• 應采用技術工具對資料交換服務流量資料進行安全監控和分析。