移动应用的安全审计机制研究
2018-08-31方圆蒋明蔡梦臣张亮
方圆 蒋明 蔡梦臣 张亮
摘 要:安全审计作为安全系统中的一个必备安全措施,与其他安全管理之间是存在密切的关联。但是就其自身而言,其又具有不同于其他安全措施的独特性。本文分别通过建立移动平台和移动终端安全审计机制,能够增强电力企业对故障、风险的预警能力和监控能力,也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。
关键词:移动平台;移动终端;安全审计
中图分类号:TP309 文献标识码:A 文章编号:1671-2064(2018)13-0039-01
电力系统经过多年对信息系统的大力建设,已经形成了覆盖企业经营、生产、管理诸方面的综合管理信息系统。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。信息系统的安全、稳定运行是企业正常业务开展的基础,也是涉及到社会稳定、经济发展的大问题。
1 安全审计机制
安全审计作为安全系统中的一个必备安全措施,与其他安全管理之间是存在密切的关联。但是就其自身而言,其又具有不同于其他安全措施的独特性。具体表现在两个方面:一是安全审计作为其他安全措施的补充,与系统其他安全管理之间协同合作,为整个系统的安全提供保障;二是安全审计作为系统各种安全措施的审计,即审计的审计;因此决定了安全审计需要保持一定的独立性。但是就安全审计本身来说主要涵盖两个方面:第一安全审计主要是指对特定阶段,对系统的安全防护能力做出评估,目的是对系统的安全现状提供一个合理的评价。对系统内部是的各种安全措施、安全管理判断是否合适、有效;第二指在整个系统的生命管理过程中,对系统进行一种全生命周期的审计跟踪监控过程,其主要目的是及时发现、记录危害系统安全的事故、事件,并查明相关事件发生的内在原因。
2 移动应用的安全审计机制
2.1 移动平台中的安全审计机制
随着智能电网、业务网及各支撑系统的不断发展,各类设备产生的日志信息也越来越多。为了更好的对移动平台进行管理,提高移动平台安全性,以满足审计要求,需要建立統一的日志集中管理与审计系统。移动平台日志集中管理与审计需求主要包括:
(1)全面的日志采集需求:根据智能电网、业务网和各支撑系统中的主机、网络设备、应用系统类型和网络分布,采取基于各设备自身产生的日志文件的本地型日志采集方式和基于网络流量抓取的网络型日志采集方式,对全网设备、应用以及网络中的各类操作进行全面的日志采集。
(2)审计记录的规范化需求:由于全网设备种类繁多,各设备日志信息存储格式、字段含义、通信协议差异较大。需要对采集到的各种设备日志进行归一化处理,提取审计记录完整信息,为后续审计分析提供依据。
(3)本地型日志审计与网络型日志审计相结合的审计体:本地型日志,主要采用设备自身能力,记录较为详细的本地操作,各设备提供商可以更好地理解、确定重要操作类型、重要操作指令和关键词等,然后通过多种采集机制汇总到日志集中管理与审计系统,但缺点是开启数据库审计等功能,会导致系统性能快速下降,尤其不适合于已建系统的审计;网络型日志则通过网络旁路抓包的方式获取网络操作,较适应于标准指令如telnet、SQL的审计,不会影响所审计的系统性能,但难以识别非标准应用软件层面的关键操作。两者互补、结合,构成移动平台的审计体系。
(4)多维关联分析需求:对于来自各个资源的日志信息,提供多维的关联分析功能。面向系统用户,将一个用户在多个设备上的操作进行横向关联分析,形成以用户为主题的操作行为审计;面向特定安全事件,对于发生在多个设备上的事件痕迹进行关联分析,形成一个完整的事件相关操作过程的审计;从设备角度,形成本设备全部访问情况的安全审计报告。
2.2 移动终端中的安全审计机制
审计系统为移动终端中的用户行为或系统行为生成相应的记录,记录相关状态,称之为审计状态。移动终端的审计可分为数据采集,审计分析,异常处理几大部分。
(1)数据采集。移动终端可以通过读取操作系统的日志文件,记录用户的操作行为,以及收集应用软件的业务数据等方式进行采集数据。
(2)审计分析。审计分析是通过对采集的数据进行有效地处理,经过一定的分析判断当前状态是否正常。审计分析常用的手段是使用模式匹配算法进行数据分析。模式匹配算法是将釆集到的数据信息与提前设定好的安全规则进行比较,检测出违反安全规则的行为和内容,模式匹配算法包括单模式匹配算法和多模式匹配算法两种。单模式匹配顾名思义就是一次只能在文本串中匹配一个模式串,单模式匹配算法按搜索方式可以分为基于前缀搜索的方法、基于后缀搜索的方法和基于子串搜索的方法三种。多模式匹配算法区别于单模式匹配的就是可以在文本串中同时进行多个模式串匹配。
(3)异常处理。经过审计分析后,一旦判断异常出现,就必须立刻采用有效手段去控制并解决异常,避免安全问题进一步扩大。通常的处理方式是通过沙箱隔离异常源,监控异常源的行为,对异常源的行为进行观察,一旦异常源有明确的破坏行为就立即清除。
3 结语
综上所述,一个完整电力安全保障体系,主要由安全预警、以及相应的监控、响应等多个部分所组成。安全审计作为整个系统特别是安全监控及预警的重要组成部分,加强安全审计的建设管理,有助于极大的提升电力企业应对网络风险的能力;同时也可为企业内部的管理提供重要改进依据。
