電信企業(yè)應(yīng)用系統(tǒng)安全行為審計的探索與研究

李佳華 彭雅

摘要：毋庸置疑，信息數(shù)據(jù)是企業(yè)核心業(yè)務(wù)開展過程中最具有戰(zhàn)略性的資產(chǎn)，是企業(yè)構(gòu)建和發(fā)展競爭力的關(guān)鍵，這些信息需要被保護起來，以防止競爭者和其他非法者獲取。本文通過用戶對應(yīng)用系統(tǒng)的行為軌跡進(jìn)行審計，豐富的審計數(shù)據(jù)來源和分析規(guī)則算法模型，多維度的數(shù)據(jù)分析，使行為審計工作卓有成效，變被動為主動，通過提前主動預(yù)防式的工作，快速降低通訊信息詐騙涉案涉訴量。

關(guān)鍵詞：信息;審計;行為;風(fēng)險;泄露

中圖分類號：TP311? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）26-0243-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

在數(shù)據(jù)驅(qū)動的DT時代，企業(yè)積累起來的海量數(shù)據(jù)成了不可或缺的寶貴資產(chǎn)，以數(shù)據(jù)進(jìn)行決策，以數(shù)據(jù)資產(chǎn)進(jìn)行價值變現(xiàn)，運用海量數(shù)據(jù)來分析業(yè)務(wù)、客戶行為和供用鏈，以此制定戰(zhàn)略的能力，成為企業(yè)增強洞察力、驅(qū)動業(yè)務(wù)持續(xù)發(fā)展的重要武器。

然而，企業(yè)信息數(shù)據(jù)觸點多，大數(shù)據(jù)產(chǎn)業(yè)鏈各個生態(tài)環(huán)節(jié)平臺、接口、應(yīng)用、網(wǎng)絡(luò)、終端等都可能流轉(zhuǎn)和存放數(shù)據(jù)信息，海量的數(shù)據(jù)和日志缺乏針對性防護手段，應(yīng)用、終端、網(wǎng)絡(luò)等前臺出口無有效審計方式，發(fā)生了數(shù)據(jù)泄露事件后，無法形成安全事件，也無法進(jìn)行關(guān)聯(lián)分析、溯源、責(zé)任到人。因此，針對各種泄露途徑，對異常用戶進(jìn)行偵測、發(fā)現(xiàn)和告警，便成為當(dāng)務(wù)之急。為有效解決企業(yè)大數(shù)據(jù)安全問題，需要構(gòu)建一套基于應(yīng)用系統(tǒng)的業(yè)務(wù)行為審計平臺，對業(yè)務(wù)數(shù)據(jù)和用戶進(jìn)行監(jiān)控審計，及時發(fā)現(xiàn)數(shù)據(jù)泄露行為，同時也解決人工安全監(jiān)管的低效、耗時、審計面狹窄等痛點。

1 審計目標(biāo)

1.1 信息泄漏可溯源

對敏感信息全生命周期（生成、存儲、使用、共享、銷毀）進(jìn)行實時監(jiān)控，當(dāng)發(fā)生敏感信息泄露時，能夠?qū)π孤缎畔⑦M(jìn)行溯源（能夠還原出什么時間、什么人、在什么地方、通過什么方式泄露了什么數(shù)據(jù)），并自動固定證據(jù)。

1.2 異常操作可實時監(jiān)控并處理

對賬號、行為、時段、操作等異常行為可實時審計、監(jiān)控和分析;對經(jīng)梳理確定的違規(guī)操作可預(yù)警并處理。

1.3 賬號權(quán)限可管可控

從員工崗位與賬號、權(quán)限制度設(shè)計，系統(tǒng)賬號及權(quán)限的管理與執(zhí)行落地，及時審計、監(jiān)控和發(fā)現(xiàn)賬號共用、未實名、高危越權(quán);非涉敏賬號對敏感數(shù)據(jù)操作未脫敏隔離等違規(guī)問題，及時審計和監(jiān)控賬號權(quán)限的申請及變更流程和實際賬號權(quán)限開通情況不符等違規(guī)情況。

需要辨識所有用戶及系統(tǒng)管理員的真實身份，完整記錄包含應(yīng)用系統(tǒng)用戶及數(shù)據(jù)庫管理員等所有用戶的數(shù)據(jù)使用行為痕跡，協(xié)助IT系統(tǒng)做好「人事時地物」5W證據(jù)保存，達(dá)到應(yīng)用關(guān)聯(lián)審計的目的。在不更改或少更改應(yīng)用系統(tǒng)及不影響數(shù)據(jù)庫系統(tǒng)性能的前提下，提供數(shù)據(jù)庫全程自動化審計、追蹤和保護，達(dá)到信息審計的層層防護與交互監(jiān)控。

2 信息安全審計——業(yè)務(wù)場景分析

2.1 信息泄露場景分析

1）敏感信息

個人用戶信息：如身份證、手機、郵箱、住址等;

商機信息：寬帶到期續(xù)費、合約到期續(xù)費、月度鎖定寬帶計費用戶續(xù)費;

企業(yè)風(fēng)險信息：月度寬帶高風(fēng)險流失、營業(yè)網(wǎng)點超轄區(qū)經(jīng)營、高危賬號權(quán)限;

資金類信息：風(fēng)險預(yù)存金、傭金、一次性費用等。

2）泄露途徑

2.2 異常操作場景分析

異常操作是指對前臺應(yīng)用、后臺指令集、接口流轉(zhuǎn)數(shù)據(jù)、終端輸出數(shù)據(jù)等，按照關(guān)鍵命令、關(guān)鍵賬號、關(guān)鍵參數(shù)、關(guān)鍵數(shù)據(jù)操作等，進(jìn)行實時審計、監(jiān)控和分析，及時發(fā)現(xiàn)異常時間、異常IP登錄、異常賬號變更、異常敏感信息變更及查詢等違規(guī)操作，并預(yù)警和處理。

1）對敏感信息進(jìn)行大量、高頻的操作。

例如：高頻率連續(xù)輸單、高頻率查詢敏感信息、高頻率更改業(yè)務(wù)數(shù)據(jù)、高頻積分調(diào)整、高頻積分兌換等操作。例如：BSS受理中心查詢客戶信息。

2）對非營業(yè)時段、非工作時段進(jìn)行敏感信息查詢、更改、刪除等操作。

例如：批量業(yè)務(wù)查詢、批量客戶信息查詢。 在非工作時間對網(wǎng)格、EDC、BSS受理中心等系統(tǒng)進(jìn)行敏感信息查詢、導(dǎo)出等操作。

3）在未經(jīng)授權(quán)從前臺或后臺導(dǎo)出敏感信息（涉及敏感信息的數(shù)據(jù)文件、報表、表單等）、導(dǎo)出敏感信息超過授權(quán)范圍等異常行為;例如：從網(wǎng)格和EDC系統(tǒng)導(dǎo)出寬帶續(xù)費情況日報等。

4）非正常授權(quán)、非正常區(qū)域等超出常規(guī)和歷史的異常業(yè)務(wù)場景。例如：營業(yè)網(wǎng)點超轄區(qū)范圍進(jìn)行寬帶到期續(xù)費、移動合約到期續(xù)費，風(fēng)險預(yù)存金套取、一次性費用轉(zhuǎn)出、套取傭金等。

5）通過對VPN數(shù)據(jù)中的IP、時間、用戶名等緯度，重點發(fā)現(xiàn)對VPN賬戶暴力破解、異常登錄等異常行為。防止外部攻擊和信息泄露到外網(wǎng)。

2.3 賬號權(quán)限場景分析

賬號權(quán)限異常是指賬號借用、賬號共用、賬號未實名制、特殊權(quán)限非授權(quán)使用、賬號權(quán)限未審批、低權(quán)限賬號訪問高權(quán)限業(yè)務(wù)、賬號長期未使用突然使用、同一賬號同時段多IP登錄、同IP多賬號登錄、賬號繞行、賬號復(fù)用行為等異常行為。

1）同一賬號多IP地址登錄，存在一人賬號被多人使用。如IT系統(tǒng)前端超級管理員賬號（高危權(quán)限）在一周共有近40個IP地址登陸系統(tǒng)，部分IP地址為同網(wǎng)段IP，存在一人賬號多人使用的問題。

2）賬號信息未完整記錄姓名、身份證、工作單位、崗位、手機等相關(guān)信息。

3）IT系統(tǒng)未對高風(fēng)險操作（如指批量導(dǎo)入、導(dǎo)出、查詢、修改、刪除等操作）未管理到位，存在普通權(quán)限操作人員濫用高危權(quán)限違規(guī)獲取、篡改數(shù)據(jù)，且未完整留痕，泄漏數(shù)據(jù)等風(fēng)險.如普通營業(yè)員（原無查看敏感信息權(quán)限），頻繁免密查看敏感信息。

4）對高風(fēng)險操作（如指批量導(dǎo)入、導(dǎo)出、查詢、修改、刪除等操作）未進(jìn)行留痕和審計稽核。如未對批量拆機、批量受理等操作進(jìn)行操作后留痕稽核。

5）臨時性批量信息數(shù)據(jù)傳遞過程沒有進(jìn)行加密、脫敏處理，使用過程未進(jìn)行防打印或使用人水印等安全措施，保存過程未對數(shù)據(jù)文件設(shè)置使用有效期限制。存在數(shù)據(jù)泄漏風(fēng)險。

6）IT系統(tǒng)未完整記錄前端應(yīng)用賬號登錄、查詢、導(dǎo)出等日志，未進(jìn)行相關(guān)審計。如僅記錄登錄日志，無批量數(shù)據(jù)導(dǎo)出日志。

7）非正常授權(quán)高危賬號，超常規(guī)操作。如系統(tǒng)未對高風(fēng)險操作（如指批量導(dǎo)入、導(dǎo)出、查詢、修改、刪除等操作）未進(jìn)行審批。如對數(shù)據(jù)庫表進(jìn)行手工數(shù)據(jù)更新、數(shù)據(jù)刪除操作未進(jìn)行操作前審批與操作后稽核流程。

8）臨時性事項開通的各類賬號未及時關(guān)閉，長期未登陸未使用的賬號未注銷。

3 系統(tǒng)架構(gòu)設(shè)計

3.1 系統(tǒng)架構(gòu)

系統(tǒng)采用主流的大數(shù)據(jù)混合平臺架構(gòu)，主要包括：數(shù)據(jù)源系統(tǒng)、數(shù)據(jù)獲取層、數(shù)據(jù)存儲層以及上層應(yīng)用層和訪問接口層。自動化審計可基于日志、流量分析等，常用日志需通過采集、處理（格式規(guī)范化，以及分類、過濾，歸并等）、存儲、分析展現(xiàn)實現(xiàn)。 日志不完善部分，可補充流量分析。

3.2 數(shù)據(jù)采集

3.2.1日志采集

數(shù)據(jù)源系統(tǒng)數(shù)據(jù)的種類多樣性以及量大、快速實時性，涉及的部分有網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫以及一些中間件等，必須先進(jìn)行日志的規(guī)范化，將日志按照統(tǒng)一標(biāo)準(zhǔn)分類，并根據(jù)相關(guān)先驗規(guī)則進(jìn)行過濾，然后歸并處理，最后將日志存儲轉(zhuǎn)發(fā)，提供上分進(jìn)行自動化日志分析，并展示輸出相應(yīng)的日志審計報表。

審計平臺將大量采集日志，通過對異常行為特征建立場景模型，設(shè)計實現(xiàn)關(guān)聯(lián)算法對行為進(jìn)行分析，輸出告警事件等一系列分析結(jié)果。

3.2.2 流量采集

由應(yīng)用協(xié)議采集探針、元數(shù)據(jù)采集器及應(yīng)用威脅分析增強功能模塊三部分組成：

應(yīng)用協(xié)議采集探針：針對指定應(yīng)用協(xié)議提供解析及分發(fā)功能，一方面與元數(shù)據(jù)采集器聯(lián)動，實現(xiàn)原始流量數(shù)據(jù)采集及解析存儲功能，另一方面可共享鏡像其他安全類設(shè)備進(jìn)行后續(xù)分析;

元數(shù)據(jù)采集器：與應(yīng)用協(xié)議采集探針聯(lián)動，采集解析后的指定協(xié)議原始鏡像數(shù)據(jù)，完成流量數(shù)據(jù)深度解析工作，并提供大數(shù)據(jù)平臺數(shù)據(jù)共享接口;

應(yīng)用威脅分析增強功能模塊：與元數(shù)據(jù)采集器聯(lián)動，針對會話日志、HTTP日志及DNS日志進(jìn)行深度分析，提供針隱蔽通信監(jiān)測、設(shè)備行為基線、異常訪問流量監(jiān)測等安全事件的深度威脅分析能力。

3.3 系統(tǒng)層級

對各類安全數(shù)據(jù)的采集、處理、匯聚、存儲、檢索能力，并向上提供數(shù)據(jù)展現(xiàn)。

采集、處理： 不同數(shù)據(jù)源，因格式的不一致、不完整等問題，需要對數(shù)據(jù)進(jìn)行轉(zhuǎn)換和加工、過濾、清洗和存儲。

分析：可采用分析引擎、分析場景、分析輸出的分別定義，依據(jù)不同安全場景需求進(jìn)行分析檢測。

匯聚展現(xiàn)：將分析、處理、整合的數(shù)據(jù)根據(jù)不同業(yè)務(wù)場景需求進(jìn)行可視化的呈現(xiàn)，同時提供智能搜索、審計、監(jiān)控等所需數(shù)據(jù)。

3.4技術(shù)要點

3.4.1高性能機器學(xué)習(xí)

專門構(gòu)建的機器學(xué)習(xí)算法產(chǎn)生較少的誤報提供廣泛的覆蓋并產(chǎn)生高度可信的結(jié)果，這有助于事件響應(yīng)和尋找威脅。

3.4.2異常抑制與評分

通過應(yīng)用自定義分?jǐn)?shù)確定檢測到異常的優(yōu)先級，并抑制觸發(fā)的異常，以獲得更高的保真度威脅。

3.4.3上下文感知技術(shù)

對用戶、終端、文件、應(yīng)用和其他實體構(gòu)建上下文的接口。以用戶上下文的組件為核心實現(xiàn)驅(qū)動或關(guān)聯(lián)數(shù)據(jù)，實現(xiàn)行為分析和異常檢測等功能。

3.4.4多維度行為基線

以部門、個人、資產(chǎn)、資產(chǎn)群等為單位建立多維度行為基線，關(guān)聯(lián)用戶與資產(chǎn)的行為，用機器學(xué)習(xí)算法和預(yù)定義規(guī)則找出嚴(yán)重偏離基線的異常行為。

3.4.5風(fēng)險行為回溯

提供基于用戶的調(diào)查分析工具，全面掌握用戶信息和行為軌跡，讓異常用戶無所遁形。

4 結(jié)束語

開展業(yè)務(wù)系統(tǒng)操作行為審計，對違規(guī)行為進(jìn)行調(diào)查取證，追根溯源。滿足企業(yè)內(nèi)部審計要求以及法律政策監(jiān)管的合規(guī)性要求。根據(jù)不同的業(yè)務(wù)場景、不同的分析方法選取不同的挖掘算法，識別違規(guī)的業(yè)務(wù)操作。利用大數(shù)據(jù)技術(shù)，提高違規(guī)行為識別的精準(zhǔn)度。圍繞風(fēng)險態(tài)勢感知，指導(dǎo)安全審計工作方向。

參考文獻(xiàn)：

[1] 殷存舉.淺析網(wǎng)絡(luò)環(huán)境下的個人隱私泄露防護措施[J].電腦知識與技術(shù)，2018（14）：45-47.

[2] 崔英波，胡治寰.淺談當(dāng)今我國高校內(nèi)部審計存在的問題與對策[J].中國管理信息化，2017（3）.

[3] 張紅英，陳東.中國內(nèi)部審計準(zhǔn)則——闡釋與應(yīng)用[M].上海：立信會計出版社，2017（1）.

[4] 王海兵，董倩，楊娛.企業(yè)內(nèi)部控制審計信息化風(fēng)險與應(yīng)對策略研究[J].會計之友，2015（9）：57-61.

[5] 湯建榮，徐靈.大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計：機遇、挑戰(zhàn)與方法[J].電腦知識與技術(shù)，2018，14（17）：18-19.

【通聯(lián)編輯：唐一東】