《数据安全实践指南》- 通用安全实践-监控与审计

监控与审计

• 监控与审计是对访问控制的必要补充，是访问控制的一个重要内容。该阶段会记录与监控用户使用的数据信息资源、使用的时间，以及使用的过程（即执行了何种操作）。审计和监控是实现数据安全的最后一道防线，处于数据安全治理的最高层。审计与监控能够再现原有的数据操作问题，这一点对于责任追查和数据恢复非常重要。

建立负责监控与审计的职能部门

• 定期分析所处的内外部风险环境，并对组织整体所面临的重大数据安全风险进行评估。
• 对各部门报送的数据安全风险信息进行统一的筛选、提炼和规范管理，提供专业的分析和判断，并追加必要的扩展审计操作，对组织层面的重大数据安全风险进行提示和告警。
• 对组织层面的重大数据安全风险进行持续监控和报告，持续关注组织新出现的数据安全风险或原有数据安全风险的重大变化、既定数据安全风险应对方案的执行情况及执行效果，以及关键数据安全风险指标的变化情况等。
• 对数据安全风险监控结果进行审计及分析评价，包括风险变化的原因、潜在影响、变化趋势，以及对跨部门风险应对方案提供调整建议等。
• 监督和检查组织风险管理体系的建设和运转情况，定期开展组织层面风险管理工作的自我评价，对风险管理职责分工的合理性、风险管理流程的完备性、风险信息沟通的效率和效果等体系要素进行分析和总结，提出改进方案和改进计划，并在组织年度风险报告中向管理层汇报。
• 定期进行内部审计，并于每年年底拟定《年度风险报告》，经审计委员会审批后，按要求报送相关机构，并定期接受相关机构的外部审计。

监控与审计岗位的建设及人员能力的评估方法

• 调研访谈

• 监控与审计阶段的调研访谈，需要针对策略层、管理层、执行层各层级人员分别进行，具体访谈内容如下。
• 访谈策略层、管理层、执行层各层级人员，确认组织机构是否已经设立了监控和审计的岗位，负责管理数据安全生命周期各阶段数据访问和操作的安全；访谈上述岗位人员，确认其是否具备组织机构所要求的操作监控、日志记录技术的实践能力，并了解IT审计的常规操作手段等。

• 问卷调查

• 数据安全监控与审计阶段的问卷调查，通常采用如下两种方式来进行。
• 对数据安全生命周期各阶段的数据访问和操作的安全风险进行监控和审计的工作人员进行问卷调查，调查内容主要是确认相关人员是否具备一定的操作监控和日志记录技术实践能力，并了解IT审计的常规操作手段，对调研访谈进行问卷化处理，通过问卷式调查确认工作人员现有的监控与审计能力是否与组织预期的目标一致。
• 向各部门的领导层和基层员工进行问卷调查，调查内容主要包含日常数据操作监控设置及日志设置相关的实际情况，并与数据安全生命周期各阶段的数据访问和操作的安全风险进行监控和审计的实际要求进行比对，确认数据安全监控和审计的要求是否能够得到真正的落实，从而确认其在组织数据安全监控与审计能力操作中的实际执行情况。

• 流程观察

• 监控与审计阶段的流程观察，主要是观察执行层团队的工作流程，并从中寻找可能的问题点和改善点，具体观察内容如下。
• 以中立的视角观察组织执行层日常数据操作相关的技术监控和日志记录流程，并调阅组织内部已制定的对数据安全生命周期各阶段的数据访问和操作的安全风险进行监控和审计的实际要求，确认两者的相符度，以及组织制定的实际要求是否符合组织数据业务监控和审计的需求，从而反推组织相关人员的实际执行能力。

• 技术检测

• 监控与审计阶段的技术检测，需要使用技术工具确认组织数据安全生命周期各阶段的数据访问和操作的安全风险是否切实有效地进行了相关的监控和审计记录，是否存在错误或伪造等情况，制度规范的实际执行覆盖范围是否全面，是否存在因业务或外部供应商自行更改规范而导致其失效的情况等。

明确监控与审计管理的内容

• 数据安全保护的一个前提是了解数据在组织内的安全状态，由于数据风险通过数据流动，贯穿于多个系统和阶段，形成了一个难以分割的风险整体，因此组织机构需要在数据安全生命周期的各个阶段都开展数据安全监控和审计操作，以实现对数据安全风险的防控。

明确安全监控要求

• 组织机构应明确要求对数据操作进行安全监控，并根据组织在数据生命周期各个阶段所设置的实际技术工具实现，明确对应应进行操作监控的监控点，确保数据操作安全监控能够覆盖数据全生命周期，且能够满足相关监控项目对应数据操作的需求。

明确日志记录要求

• 在安全监控的基础上，组织机构需要明确各监控点所需记录日志数据的具体字段内容。在理想情况下，日志应该记录每一个可能的事件，以便分析所发生的所有事件，并能够追溯任何时刻的历史情况。然而，这样做显然是不现实的，因为要记录每一个数据包、每一条命令和每一次存取操作，所需要的存储量将远远超出业务系统的能力范围，并且还会严重影响系统的性能。因此，日志中记录的内容应该是有选择地进行记录。一般情况下，日志记录的内容应该满足以下原则。

• 日志应该记录任何必要的事件，以检测已知的攻击模式。
• 日志应该记录任何必要的事件，以检测异常的攻击模式。
• 日志应该记录关于记录系统连续可靠工作的信息。

• 在这些原则的指导下，日志系统可根据安全要求的强度选择记录下列事件的部分或全部信息。

• 审计功能的启动和关闭。
• 使用身份鉴别机制。
• 将客体引入主体的地址空间。
• 删除客体。
• 管理员、安全员、审计员和一般操作人员的操作。
• 其他专门定义的可审计事件。

• 通常，对于一个事件而言，日志应该包括事件发生的日期和时间、引发事件的用户（地址）、事件、原位置和目的位置、事件类型、事件成败结果等。

• 对于日志文件的处理，通常的处理方法可以遵循如下几种情况。
• 将日志放进文件中。
• 通过网络传输将日志记录到另一台计算机上。
• 将日志写入系统控制台。
• 将日志发给具有特定身份或职责的用户。

明确安全审计要求

• 日志审计
• 基于日志的安全审计技术是通过SNMP（简单网络管理协议）、SYSLOG（系统日志）或其他的日志接口从网络设备、主机服务器、用户终端、数据库、应用系统和网络安全设备中收集日志，对收集的日志进行格式标准化、统一分析和安全风险报警，并形成多种格式和类型的审计报表，主要内容如下。

• 潜在侵害分析：日志分析应该能利用一些规则去监控审计事件，并根据规则发现潜在的入侵和不安全的数据操作。这种规则可以是已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合，或者其他规则。
• 基于异常检测的区间边界：日志分析应能够确定用户正常行为的区间边界，即用户正常行为的操作集合，当日志中的事件违反正常访问行为的区间边界，或者超出正常区间边界的限定时，日志分析系统要能指出将要发生的威胁，目前基于共识的日志分析技术便是基于此类原理而实现的。
• 简单攻击探测：日志分析应对重大威胁事件的特征进行明确的描述，当这类攻击现象出现时，能够及时指出和告警。
• 复杂攻击探测：要求较高的日志分析系统还应该能够检测到多步入侵序列，当攻击序列出现时，能够预测其发生的步骤。

• 网络行为审计

• 基于网络技术的安全审计是指通过旁路和串接的方式捕获网络数据包，继而对协议进行分析和还原，以达到审计服务器、用户终端、数据库和应用系统等的安全漏洞，以及合法、非法或入侵等操作的目的，从而更好地监控用户的上网行为和内容，以及用户的

• 非工作行为等。网络行为审计更偏重于网络行为，优点是部署比较简单。

  网络行为审计的部署方式可分为旁路式和串联式。旁路式网络行为审计是通过在交换机端口镜像取得原始数据包，记录所有用户在该链路上的网络行为，并还原会话连接，恢复相应的通信协议，进而重现通过该链路所进行的网络行为。旁路式网络行为审计一般是在网络的主要通道上（如核心交换机和重点监控区域），对网络行为安全进行记录。

• 串联式网络行为审计的工作原理是指在网络链路上识别流经它的各种网络协议，将协议数据严格按照会话进行重组并且记录下来，然后对会话协议的回放和报表记录进行审计。串联式网络行为审计一般是部署在需要审计的网络链路中（如核心交换机的前段和重要网段上），对网络行为进行审计。

• 主机审计

• 主机安全审计主要是通过在主机服务器、用户终端、数据库或其他审计对象中安装客户端的方式来进行审计，可达到审计安全漏洞、审计各种合法、非法或入侵操作、监控上网的行为和内容、监控向外复制文件的行为、监控用户的非法行为等目的。主机审计包括主机的漏洞扫描产品、主机防火墙和主机IDS／IPS（入侵检测系统/入侵防御系统）的安全审计功能，以及主机上网和上机的行为监控、终端管理等。
• 目前，主机安全审计可以与认证系统，如令牌、PKI／CA（公钥基础设施/电子认证服务）、RADIUS（远程认证拨号用户服务）等结合部署，以实现用户访问控制和登录审计的效果。

• 应用系统审计

• 应用系统安全审计是指通过内部截取和跟踪等相关方式对用户在业务应用过程中的登录、操作和退出等一切行为进行监控和详细记录，并对这些记录按时间段、地址段、用户、操作命令和操作内容等分别进行审计。
• 目前，市场上并没有成熟的独立应用系统安全审计的产品。针对应用系统安全审计的特点，网络行为审计和一般的主机审计很难实现业务应用层面的相关要求，而日志审计则需要应用系统自身将相关操作形成日志。最好的方法是通过开发应用系统自身，对用户在系统中的操作和修改行为进行记录和取证，同时为了减少应用系统因审计而产生的性能降低的负面影响，可以配合第三方登录审计功能和日志审计来完成审计工作。

• 合规性审计

• 为了有效控制IT风险，尤其是操作风险，对业务进行安全运营至关重要，因此，合规性审计已成为备受行业推崇的有效方法。安全合规性审计是一种检测方法，可用于检测建设与运行IT系统的过程是否符合相关的法律、标准、规范、文件精神的要求。其作为风险控制的主要内容之一，是检查安全策略落实情况的一种手段。
• 一般来说，信息安全审计的主要依据是信息安全管理相关的标准，例如，IS0／IEC27000、C0SO、COBIT、ITIL、NISTSP800系列、国家等级保护相关标准、企业内控规范等，数据安全依据的标准通常为欧盟GDPR、ISO/IEC27701等。这些标准和规范实际上是从不同的角度提出的控制体系，这些控制体系可以有效地控制信息安全风险，从而提高系统的安全性。根据相关标准和法规进行合规性安全审计，可以实现标识事件、分析事件和收集相关证据的作用，从而为策略的调整和优化提供依据。合规性审计的范围至少应该包括：安全策略的一致性检查，人工操作的记录与分析，程序行为的记录与分析等。
• 合规性审计只有与信息安全策略的制订和落实紧密结合在一起，才能有效地控制安全风险。目前，市场上根据相关标准形成了较多合规性审计产品，如基线扫描和针对性的COBIT审计系统等。

• 审计过程访问控制与审计结果保存

• 审计操作对原始数据的查阅应该受到严格限制，不得篡改日志等原始数据。审计系统提供了以下不同的查阅层次来保证查阅操作的安全性。
• 审计查阅：审计系统以可理解的方式为授权用户提供查阅日志和分析结果的功能。
• 有限审计查阅：审计系统只能提供对内容的读权限，因此收到具有读以外权限的用户访问的请求时，审计系统应拒绝。
• 可选审计查阅：在有限审计查阅的基础上限制查阅的范围。
• 同时，审计事件的存储也应满足相应的安全要求，具体包括如下几种情况。
• 受保护的审计踪迹存储：即要求存储系统对日志事件具有保护功能，防止未授权的修改和删除，并且具有检测修改删除的能力。
• 审计数据的可用性保证：在审计存储系统遭受意外时，能够防止或检测审计记录的修改，当存储介质存满或存储失败时，能够确保存储记录不被破坏。
• 防止审计数据丢失：当审计踪迹超过预定的限制时，应采取相应的措施防止数据丢失。这种措施可以是忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前的记录或停止工作等。

使用技术工具

• 数据安全监控与审计要求组织机构建立相关的措施对非法采集、未授权访问、数据滥用、数据泄露等问题进行监控和审计。数据分析将用于支持有效的安全合规决策，从而降低数据的安全风险。
• 组织机构需要建立数据安全监控审计平台，对组织内所有的网络、系统、应用、数据平台等核心资产中的数据流动进行监控和审计，并进行风险识别与预警，以实现数据全生命周期各阶段的安全风险防控。数据安全监控审计平台主要包含数据采集、数据整合、数据分析、平台运营、风险大图等几大类功能，具体说明如下。
• 数据采集：数据来源包括了员工的基础数据、网络数据、终端数据、系统和应用数据等；日志数据的获取方式支持JDBC、文本文件、Syslog、SNMP、API、Agent、Windows事件日志、Netflow等，日志内容支持文本、XML、JSON等格式，可针对特殊采集场景进行定制化。
• 数据整合：通过关联业务数据对采集的信息进行补全和数据的标准化定义，按照5W1H的方法进行数据统一的操作，并根据行为定性，抽象出归一化的数据流动和行为主题域。
• 数据分析：以敏感数据为中心，建立多维度行为基线，利用机器学习算法和预定义规则找出严重偏离基线的异常行为，及时发现内部用户或合作伙伴窃取数据等违规行为。

• 平台运营：建立发现、审计、处置和反馈的运营循环机制。

  风险大图：提供可视化、可感知的功能使得风险能够进行统一监控、告警、处置和恢复。

数据采集

• 数据采集技术主要分为主动采集和被动采集两种模式。主动采集方式是指直接从物理存储空间（比如，员工基础数据、日志文件、数据库等）获取数据。该方式可以实现对日志文件的采集和基础数据元数据的获取。被动采集方式是指需要通过协议接收产生的日志，然后再从物理空间获取，通过Syslog、SNMP和OPSEC等协议来实现日志的采集。由于数据安全监控审计平台涉及多种数据，因此需要结合多种方式进行采集。
• 主动采集技术：是一种基于文件读取的采集技术，该技术针对日志或内容，以文件或数据库的形式存储在一个固定位置的情况，可以直接对文件进行读取以获取需要采集的数据。
• 被动采集技术：通过协议实现对日志数据的收集，主要包括Syslog协议、SNMP协议和OPSEC协议。
• 基于Syslog协议的日志采集技术：Syslog提供了一种传输方式，使机器能够通过IP网络将事件通知消息发送到Syslog服务器，即通过配置网络设备，将日志数据以Syslog协议的方式发送到指定的Syslog服务器，日志数据也将以Syslog的形式存在。
• 基于SNMP协议的日志采集技术：SNMP提供了一种从网络设备中收集网络管理信息的方法，即对支持SNMP协议的网络设备进行配置，在设备中侦听UDP端口（161和162），取得特定的日志数据，然后将日志数据传送到日志服务器中。
• 基于OPSEC协议的日志采集技术：OPSEC Software Develeopment Kit（软件开发工具包，SDK）是由OPSEC LEA提供的，它定义了采集日志的接口，并且将所有网络通信的具体实现全部封装了起来。该技术可以利用SDK采集支持OPSEC协议的防火墙和VPN设备中的日志数据。

数据整合

• 由于采集获得的数据具有异构性，因此当通过数据采集获得对重要数据的监控日志后，数据整合的第一步是对日志进行识别和信息提取，对于数据库等具有标准格式的数据，可以直接获取数据字段，对于文本数据，则需要采用正则表达式进行字段的识别和抽取操作。
• 正则表达式是一种基于模式匹配和替换的强有力的字符串分析工具，它能够提供功能强大、灵活而又高效的方法来处理文本，它能够通过全面模式匹配的方式快速分析大量的文本以找到特定的模式，再根据特定模式匹配从文本中提取特定字符串。采用正则表达式来实现日志格式解析，可以降低日志内容的识别难度，减少程序中可能存在的错误；另外，采用正则表达式还可以提高程序的灵活性和通用性。
• 直接获取或通过正则表达式整合数据的方法，可以按照5W1H的方法进行数据统一。所谓5W1H，即对象（What）、场所（Where）、时间（When）、人员（Who）、原因（Why）和方式（How）。获取到的所有监控数据都可以通过该方式进行统一，从而得到被监控数据的整体流动图。

数据分析

• 在完成数据的采集及整合之后，采用自动审计和人工审计相结合的方式或手段对数据的高风险操作进行监控，可以实现对数据异常访问和操作的告警功能。数据分析可以通过预定义的规则，对数据操作等日志进行匹配，若存在未授权或越权等数据操作的情况，则可以采取告警等相应措施。

技术工具的使用目标和工作流程

• 数据安全监控审计平台应能实现以下目标。

• 应采用自动或人工审计相结合的方法或手段对数据的高风险操作进行监控。
• 应建立针对数据访问和操作的日志监控技术工具，实现对数据异常访问和操作的告警功能，高敏感及特权账户对数据的访问和操作都将纳入重点监控范围。
• 应部署必要的数据防泄露实时监控技术手段，监控及报告个人信息和重要数据等的外发行为。
• 应采用技术工具对数据交换服务流量数据进行安全监控和分析。