强审计系统从诞生的那天开始,其特点就注定了先有应用后有标准,也不会像防外工具防火墙、IDS和反病毒一样,因为病毒爆发而在全球迅速串红。然而,保护内网安全,非强审计莫属。经过2~3年时间的发展,强审计产品市场容量有望突破10亿元大关。
这是发生在珠江三角洲某金融机构的一个真实的故事:一个系统管理员偷偷将一些储户中的少量资金转移到自己亲戚的账户中,然后不留任何痕迹地将所有的相关系统日志删除得一干二净!由于转移的资金数量不多,很多储户开始并未察觉,致使这个管理员胆子越来越大,直到一些储户终于发现自己的账户中短缺了几千元钱,不断告状,才引起了银行的重视并报了案。后来,经过物理跟踪调查,才挖出了这个“内鬼”。
第二个真实的故事是,一个和互联网物理隔离的涉密内网,由于内部人员将外机内连,使震荡波病毒在内网中大面积泛滥。
第三个真实的故事是,另一个和互联网物理隔离的涉密内网,内部人员将内机外连,几个小时内,其中的涉密信息就被黑客截取。
第四个真实的故事是,一家国家大型造船厂的计算机系统中存有大量的机密设计数据,一天,系统忽然报警,有人正在非法拷贝这些机密数据,通过审计系统的跟踪,立刻锁定了拷贝该文件的设备和登录的用户名,在机密文件还没有被传播出去之前,就轻易地抓获了“内鬼”,避免了直接的经济损失。
这是没有应用计算机强审计系统和应用了强审计系统的几个真实案例,由于牵涉到内部机密,单位名称不便公布。
国家信息化专家咨询委员会委员曲成义教授告诉记者:“事实上,这类案例多得举不胜举,由于是内部犯罪或者出错,由于可以理解的原因,基本都捂着,很少有公开的报道。致使外界对内网的安全威胁了解甚少,实际上,70%以上的网络威胁都来自内部。”
“内网资源的误用、滥用和恶用,是内网面临的最大的三大威胁。”
威慑“内鬼”
近年来,黑客攻击手段的多样性和系统的脆弱性,造成全球网络大范围感染病毒和遭受攻击的事件不断发生,这些事件动则迅速传播到全球网络,造成了巨大的社会影响,也引起了人们极大的关注,因此,那些预防外部攻击的网络安全产品就开始获得了巨大的发展机会,防火墙、入侵检测、反病毒等网络安全产品成为“反黑”中的明星。
与此形成巨大反差的是,一些单位的网络系统内部人员有机会接触到一些机密数据,他们以合法的身份、合法的访问权限,因为误操作或故意偷窃数据所引起的各种损失,数据虽然巨大,却鲜有人知道。
权威市场调查机构Gartner Group曾经进行调查,在全球损失金额在5万美元以上的攻击中,70%都涉及网络内部攻击者。2002年,FBI和CSI对全球484家公司的信息系统进行调查,发现有超过85%的安全威胁来自企业内部;有16%来自内部未授权的存取;有14%来自专利信息被窃取;有12%来自内部人员的财务欺骗;而只有5%是来自黑客的攻击。可见,内部计算机犯罪已经到达多么泛滥的程度。
在中国,许多政府机关信息系统中保存着机密文件,行业信息系统中保存着核心数据、关键的技术资料,企业信息系统中保存着大量客户数据,怎样保护这些数据?防火墙、入侵检测、反病毒等防外攻击的“老三样”产品显然不行。
“内网资源的误用、滥用和恶用,是内网面临的最大的三大威胁。” 曲成义教授说。所谓误用就是一些管理员或操作人员粗心大意或不懂IT技术而对系统的无意识伤害;所谓滥用就是明明规定不允许,但某些人员却依然违规做超越自己权限的事情;所谓恶用就是以经济为目的的故意犯罪行为。
“外部攻击影响巨大,但内部攻击危害巨大,为了解决内网安全问题,就出现了强审计产品。”中国信息安全产品测评认证中心副主任陈晓桦博士说,
曲成义教授解释:“简单来说,所谓强审计,就是利用日志对网络上的行为、踪迹进行监控,并能事后取证的技术。但是,与传统的计算机日志相比,强审计的日志是不能随便删除、修改的。如果要修改或删除,必须要系统管理员、审计员以及单位领导同时进入系统才能删除,从而有效保护了内网。”
此外,电子签名法的出台,使得强审计的日志可以作为给犯罪份子定罪的法律依据!
陈晓桦博士将强审计比喻为摄像头,能随时监控网络上人的行为。“也可以叫做‘网络黑匣子’,它能记录内网中人们的上网行为,一旦发现问题,就可调出日志随时取证。”
天津市电子政务网最近刚刚安装了汉邦软科集团生产的强审计系统,天津人民政府信息化办公室安全处处长王德庆介绍:单位主要从涉密安全角度考虑,通过采用审计产品,可以有效控制内部人员的非法外联、非法内联以及越权访问等违规行为。
为了保证物理隔离的内网不受外界病毒和黑客的攻击,保持应用环境的纯洁性,一般电子政务的内网是不允许用内网的设备随意连入互联网,也不允许将外面的非安全设备随意连入内网,但总有一些人,无论是有意还是无意,总会违规操作,给内网造成威胁。
我们的系统有1000多个节点,如果依靠人工检查,很难发现这些违规操作。只有依靠技术手段,才能保证系统的绝对安全。” 王德庆说。
国内最早进入强审计领域、并专注于强审计产品研发和生产的汉邦软科集团公司总裁肖达认为,强审计最重要的作用是“威慑”,过去之所以出现内外勾结的犯罪行为,是因为这些人员都存在侥幸心理,认为不会被发现;有些内网的不安全是因为操作人员的滥用但是,有了强审计系统,犯罪或过失行为都会被记录下来,他们往往不得不收敛,这也是许多信息系统安装了强审计系统之后,内部上网行为规范了许多、犯罪行为极大降低的主要原因。
“此外,强审计解决了对内部人员违规操作行为、网络内入侵行为、数据库访问行为进行有效审计等问题,通过审计日志的分析可以对违规行为进行事后追查,实际上,从某种意义讲是建立了有效的责任认定体系。”王德庆说。
“有内网的地方必有防火墙,就必有强审计产品。”
蛋糕诱人
中国第一个采用强审计系统的用户是上海公务网,这是2002年由国内最早介入强审计领域的汉邦软科集团提供的。此后,强审计系统就开始逐步被用户认可,并步入高速增长时期。
这个市场究竟有多大,目前并没有权威的统计数据。但从2005年开始,国内的一些重要的信息系统,包括电子政务、军队、金融、电信等行业,都将强审计系统作为主要的信息安全系统加以考虑,以至于年初时,一位主管信息安全的处长这样表示,今年信息安全领域有四大热点:等级保护、风险评估、可信计算和强审计。
从国家层面上看,国家非常重视强审计产品的技术研发,近年来投资了巨额资金用于强审计研究项目。比如,在2002年至2003年的两年中,国家“863”重大课题中就投资了几项强审计专题,如“分布式电子政务强审计系统”等;国家发改委也投入资金进行重大安全信息领域课题研究,其中包括“信息安全综合强审计系统”项目;各个行业、系统根据自身的内网需求,也投入巨额资金用于审计系统的建设,最早的上海市公务网安全审计项目、浙江省“宽带网络信息安全实时保护管理系统”、国家保密局的“分布式电子政务强审计系统”等都是在这个过程中具有代表性的项目。
此外,从汉邦集团承担的一些具有代表性的强审计项目中,如:中共中央联络部、国家体育总局、上海市公务网、上海市委组织部、江南造船集团、浙江升华拜克生物股份有限公司等,也可以看出,国家各行各业已经逐渐开始重视强审计系统的建设。
曲成义教授更是认为强审计系统在数量上是一个与防火墙同样大小的市场,“因为,从目前用户的需求来看,在电子政府系统中,有内网的地方就必有防火墙,也必有强审计产品。”
此外,从一些零星的数据中,可以推测出这个市场的大概容量:IDC估计,审计市场容量根据模型预测将占整个网络安全市场的10%以上;艾瑞数据预测2004~2008年,中国网络安全产品市场将以31.7%的年均复合增长率增长,市场规模将从2003年的23.57亿元增长到2008年的93.2亿元。因此,2~3年内网络安全产品市场总额可达100亿左右,审计系统也将达到数10亿元左右的市场前景。
正因为审计的重要性,市场上出现了一些专业的强审计公司,如北京的汉邦软科、上海的复旦光华等;同时,从2005年开始,一些老牌的防火墙厂商,如天融信、联想网御等也宣布进入审计领域;而入侵检测领域的厂商如启明星辰、理工先河等,也于前几年进入了强审计领域。
曲成义教授估计,目前国内从事强审计技术和产品研发的企业已经达到了几十家。
最早进入强审计领域的汉邦软科更是保持每年销售增长超过100%的业绩,其审计产品用户已经达到500家,其中,50%属于军工行业,40%为政府行业,10%为军队。
肖达认为,这些在信息安全领域已经具备一定知名度的品牌进入强审计是有百利而无一害的,应用他们已有的品牌号召力,会号召更多的人来了解、关注强审计市场,相信各家公司一起努力,会让强审计的概念能更广泛地被熟知,这对于繁荣整个信息安全市场有积极的推动作用。
“强审计技术是一种新兴的技术,从出现到发展,也不过2~3年的时间,目前正面临着标准缺乏,产品良莠不齐的局面。”
问题不少
如此众多的厂商进入强审计领域,虽然给审计市场带来了人气,也让许多用户迷惑,如此众多的审计产品,其功能、性能是否都一样?审计产品是否有标准遵循?
强审计产品从诞生的那一天开始,其属性就决定了它不可能有统一的标准,各家厂商完全是根据自己对审计的理解开发产品。
“防火墙刚出现时有标准吗?没有!IDS和反病毒也一样,只有简单的功能描述和互操作的协议,强审计技术是一种新兴的技术,从出现到发展,也不过2~3年的时间,目前正面临着标准缺乏、产品良莠不齐的局面局面。”曲成义教授说。
汉邦软科提供的是综合审计系统,目前算是功能较全面的,汉邦软科集团总裁肖达介绍,汉邦强审计系统分为主机审计子系统、网络审计子系统和数据库审计子系统,并通过统一的管理对这些子系统进行管理。“我们的网络安全审计系统是定位于完整解决责任认定体系、完善授权管理体系。由于目前国内安全综合强审计监控类产品刚刚起步,该系统目前在电子政务领域的市场占有率高达90%,‘汉邦’已经成为国内安全综合强审计监控类产品的第一品牌。”他说。
由于目前安全综合强审计监控技术和产品还属于起步阶段,国内外的一些其他的产品大都侧重于某个方面的审计或监控,并不全面。
事实上,用户也并不清楚强审计系统应该包括哪些重要功能。天津人民政府信息化办公室安全处处长王德庆认为,强审计应该包括:一是针对终端计算机操作记录;二是对外网(互联网)连接记录要有针对性的审计;三是对网络内的流量、网络设备工作状态进行审计;四是对重要的数据库访问记录要进行有效的审计。同时产品要有稳定的性能,并具有大规模部署的体系架构。
可见,用户和厂商对强审计系统的定义并非完全一致。
陈晓桦博士认为,强审计是个非常宽泛的概念,近年来,中国信息安全产品测评认证中心根据一些行业选型的需求,曾经帮助一些行业,比如金融、税务等系统测试过一些强审计系统,“实际上,一些‘防火墙’、防止内连和外连的专项产品,都是属于强审计范畴,只不过不同的厂商有不同的命名方法而已。”他说。
陈晓桦博士介绍,要说强审计没有国际标准,也不完全正确。实际上,国际上对强审计非常重视,在ISO 7498-2(信息安全技术框架)和ISO/IEC 15408(通用评估标准)中,将审计作为一类重要的信息安全机制或功能。可见,国际上非常重视信息安全的审计。同时在ISO/IEC 10181-7:1996(信息技术——开放系统互连——开放系统的安全框架)中已经规定了安全审计和告警的框架;在ISO/IEC 10164-8:1993(信息技术——开放系统互连——系统管理)第8部分,也说明了审计系统应有的功能,这个标准1997年已经变成了国标GB/T 17143.8。
“但是,国际标准只是说明了审计应该具备的一些基本功能,以及与其他系统接口时的一些标准,并没有规定如何实现这些功能。”他说。
曲成义教授认为强审计技术应该包括5个方面的内容:网络审计,防止非法内连和外连;数据库审计,以更加细的粒度对数据库的读取行为进行跟踪;应用系统审计,例如公文流转经过几个环节,必须要有清晰的记录;主机审计,包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等等;介质审计,包括光介质、磁介质和纸介质的审计,防止机密信息通过移动U盘、非法打印或者照相等多个环节从信息系统中泄密。
“目前,虽然汉邦的强审计系统算是完善的,但完整地包括这5个部分的审计系统几乎没有,其他一些公司都是关注某个方面,因此,用户在选择审计技术时,应考虑产品的综合性能和功能。”他说。
这也许代表了审计技术未来的改进方向。
“认为本单位内部人员没有问题,防外最重要,这是目前审计产品发展缓慢的根本原因。”
认识误区
正如专家所言,强审计技术未来是与防火墙、IDS和反病毒同样大的市场,但到目前为止,似乎只有电子政务等一些关键的领域才开始应用强审计技术,难道企业中就不需要吗?
曲成义教授认为,从大环境来说,目前国内的安全产品从品种上来看确实是变化的速度太快,审计概念的提出到现在经历2~3年的时间,但是可以说现在审计产品市场上是鱼龙混杂。参与审计研究的企业往往是按照自己公司对于审计的理解进行研发的,而购买者站在自己的立场上就容易产生迷惑,从而放慢了购买使用的进程。从小环境来说,审计产品主要是对单位内部进行管理监控,许多单位对网络安全的理解还处于防止外部黑客入侵的程度,没有意识到网络内部安全的问题才是最可怕最容易造成严重后果的主要途径。
“认为本单位内部人员没有问题,防外最重要,这是目前审计产品发展缓慢的根本原因。”他说。
天津信息化办公室安全处长王得庆从用户的角度发表意见:由于审计系统大部分属于C/S架构,需在计算机终端安装代理软件,在产品实施执行过程中,被监控的工作人员往往会产生抵触心理,这是强审计产品应用过程中存在的最大障碍。
陈晓桦博士认为,目前国内的一些强审计产品的技术水平还有待提高。强审计系统虽然能够记录网络和计算机系统中的操作和运行踪迹,但由于审计数据量巨大,如果不能够提供有效的查看或数据挖掘工具,就不能帮助发现违反安全策略的行为。完全指望靠人的肉眼从审计数据中来发现情况是极不现实的,这种情况只能导致令人悲哀的结果:有大量的审计数据,但没人看,也没法儿看,强审计系统也就失去了其应有的作用。
此外,还有一些人认为只有涉密网络系统才有应用强审计系统的需求,这也是一个极大的误区。肖达认为,强审计系统在网络安全保障体系中具有普适性。事实上,国外的许多大型企业为了保护企业内部的机密数据不外泄已经悄悄地采用了强审计技术。“在商场如战场的今天,企业的核心技术决定着企业的生死,强审计技术能有效防止企业机密的泄露,是一个极有用的好帮手。”他说。
他认为,强审计系统能应用在几乎所有的、只要存在内网的企业和单位。“但人们首先要做的是:提高内网信息安全意识。”
附件一:强审计应用的十大领域
1、政府内网
按照国家的有关规定,政府内网的安全保密措施建设,应当与信息系统同步规划、同步建设、同步发展,安全保密设施费用原则上不得低于系统建设全部费用的15%。
2、政府外网
政府外网是运行政府日常网上办公的重要载体,目前国家电子政务外网即将启动,将连接26个部委局署和31个省市区政府部门的电子政务外网,支持相关政府部门的专网接入以及下属体系的延伸,并将建设电子政务外网网络安全保障体系和外网管理中心,形成统一的外网服务体系。
3、武器装备科研生产单位
武器装备科研生产单位涉密信息系统是网络安全审计系统产业化后的重点市场定位之一。武器装备科研生产单位是军队提供武器装备的专业化生产单位,是国家重点监管的行业之一,对该行业的涉密信息系统的数据流转、内部人行为强制要求进行授权管理和责任认定。
4、传媒行业
网络安全审计系统将大大加强传媒行业信息化应用中的信息发布流程及信息内容等的审计监控能力,保障媒体发布系统顺利、安全、完整的工作。
5、金融
将有效解决内部网络的审计监控问题。
6、电子商务
电子商务涉及到买卖双方的信息操作、网上付款、商业机密等问题,迫切需要强有力的审计监控技术规范操作流程,以及对重要信息数据传递的监控。
7、公安、消防
目前,审计监控方式大多采用人为管理来完成,缺乏技术支撑,无法满足安全需求,网络安全审计系统将填补公安消防部门在审计监控能力方面的空白。
8、军队
由于环境复杂,人员操作水平参差不齐,网络内部审计监控的需求非常突出。
9、企业信息化
企业重要的决策信息、敏感财务数据比传统模式下更容易被窃取,事故发生后取证困难,缺乏有效措施进行审计监控等。这就需要改进相应的管理制度,并利用安全审计监控系统来保障管理制度的实施与执行,做到技管并重。
10、生产制造业
审计监控产品能够最大限度的保证制造业信息化建设中的信息安全,为制造业提供最基本的安全保障,从而带动制造业信息化更健康的发展。 |