曾 愚
(国网四川省电力公司信息通信公司,四川 成都 610041)
工作研究
电力信息系统中行为安全审计体系的建立与应用
曾 愚
(国网四川省电力公司信息通信公司,四川 成都 610041)
随着电力企业对信息系统行为安全审计的认知和应用不断深入,行为安全审计中心的设计、建设也日益成熟,相关行为安全审计制度和规范也得到了进一步的修正和完善。但是,由于电力企业业务领域的不断融合,各应用子系统的数量逐年递增,这给行为日志数据的统一集成和接入带来不小的挑战;同时,已建成的大量业务子应用的行为数据的格式、字段、存储并未使用统一的规范,因此对行为数据质量的治理工作还亟待加快推进。
电力信息;行为安全;审计体系;实践
计算机信息系统作为信息的载体和传递手段,已经成为企业最重要的资源和财富,它信息的安全事关企业生产安全,乃至国家和社会的稳定。因此, 必须采取措施确保信息系统的安全[1]。信息系统在建设发展初期,企业对信息系统的安全防护主要集中于防患外部侵入,且取得了一定成果;但是,对于来自企业内部的威胁,却一直没有得足够的重视,随着当前各类信息泄露事件的频发,企业开始逐步认识到,防护来自内部的威胁已经成为保障信息安全的核心关键[2]。
1.1 行为安全的定义
在审计学中,行为审计的主题是具体行为,主要是从众多的行为中查找违规行为[3]。行为审计核心要素应当包括审计本质、审计需求、审计目标、审计主体、审计客体、审计内容和审计机制。
对电力企业的而言,行为审计应当结合信息安全审计,聚焦信息系统用户的行为安全,运用技术手段协助定位信息安全事件源头,加强企业内部对相关规章制度以及国家法律法规的落实,降低各类安全风险与经济损失。因为信息系统中的行为都是来自用户,所以用户是唯一具有主观能动性的责任主体,即审计客体;审计的范围应当覆盖电力企业内所有涉及核心业务及敏感资源的信息系统;审计主体应当包括企业内、外部的专业审计组织以及信息安全部门的人员;审计内容涵盖进行业务操作的用户和负责运行维护的运维用户的所有行为日志数据(以下简称“行为数据”);审计机制是依照国家的安全法律法规以及企业内部的安全制度,在对用户的行为进行定性的基础上进行处罚,同时对现有的审计管理制度提出合理化的建议[4]。
因此,信息系统行为安全审计(以下简称“行为安全审计”)可以解释为:审核监督电力企业内部信息系统用户(以下简称“用户”)在授权许可和使用过程中所发生的行为,及其行为产生的数据和记录是否符合企业行为安全相关制度的活动。
1.2 行为安全审计现状
当前信息系统中,用户的非法操作及异常行为往往具有特异性弱和隐蔽性强等特点。例如,企业内部人员以合法用户身份登录系统,进行非法操作,窃取涉密资料,并对外传播,这会为企业带来重大负面影响和损失。另一方面,我国电力行业早期信息化建设缺乏统一的规划与规范,同时由于电力企业专业跨度大,业务广泛,导致各类信息系统建设水平参差不齐,针对用户行为的日志没有制定统一的字段、格式,行为审计数据模型不完整;各系统之间缺乏关联分析机制,无法反映行为安全的全貌,并且多数行为安全审计的进行是通过人工进行的,耗时多、效率低并且日志本身的数据安全没有保障。这就导致信息安全事件频发而无法对其进行追溯、定论和预防。同时,行为安全审计的技术上的缺陷也造成行为安全规章制度的修订和完善停滞不前,给电力企业的安全生产和运行带来诸多隐患。
因此,电力企业当前迫切需求运用行为审计的方法论来建立一个完整的行为安全审计体系,以完善和提升企业内部的信息安全管理水平与降低各类安全事件导致的经济损失。
1.3 行为安全的审计体系
行为安全审计体系是建立在电力企业信息系统基础上的闭环管理体系,由三个相互独立而又循环作用的环节组成。通过对已发生的异常、违规行为的监控日志进行分析和评估,确定事件发生的源头与行为轨迹,同时对潜在风险因子及安全威胁进行模拟与估测,然后将其抽象化为预警策略,并部署成为新的监控对象,建立行为安全审计的自我完善机制,提出合理化的审计建议,迭代更新相关的行为安全审计制度与标准,从而实现异常行为预警从被动到主动防御的完整闭环管理。
1.3.1 行为安全的监控
监控环节在时间特征上属于事中审计,审计过程中得出的结论的必然建立在客观系统日志数据基础上,目的是强化“管理”企业行为安全治理中的作用。监控的对象是异常的用户行为,可用于常态化的行为安全分析、检查工作,包括根据用户的不同类型制定相应的越权访问、绕行访问、权限互斥、异地登陆等告警策略,辅助内控人员对用户行为分析和评估,并对高危操作启用阻断机制,实现对用户异常行为准实时管控。
1.3.2 行为安全的追踪
然而,由于信息系统安全隐患的不确定性,通常会存在诸多异常行为未被纳入到监控环节的告警策略当中,无法在发生时采取告警动作。为了解决此类问题,追踪环节作为核心的取证模式,用于对已发生的异常行为或暴露的信息安全事件开展行为溯源与轨迹重现。追踪环节属于事后审计,是基于对各类数据关联分析的协同工作。目的是准确定位到异常行为的操作人,即责任主体。追踪分为反向追踪与正向复原两个过程:反向追踪是根据被泄露或是窜改的数据线索追踪到责任主体;正向复原是从具有嫌疑的责任主体中,复原一个或多个主体在一定时间范围内且在电力企业信息网络中完整的活动轨迹。这两个过程都需借助下两个基础手段来实现:
(1)账号实名制管理。实名制管理可以理解为一种是“人防”手段,是建立责任主体(即用户)与每一个信息系统账号(以下简称“账号”)在其全生命周期当中一一对应的关系,范围包括企业内部的业务系统以及主机、数据库、中间件、网络及安全设备等账号。这种管理机制的施行,是展开行为溯源的理论基础以及审计结论的关键支撑[5]。
(2)用户行为日志分析。日志分析过程是将从客户端、服务器端、中间件、网络设备等采集到的用户行为日志数据进行基于统计方法和网络挖掘的关联分析,为精准定位责任主体提供依据[6];或是对嫌疑责任主体进行异常行为的全过程重现,为审计定性提供有价值的证据。
1.3.3 行为安全的预测
预测是通过对客观事实历史和现状进行科学的调查和分析,由过去和现在去推测未来,由已知去推测未知,从而揭示客观事实未来发展的趋势和规律,因此,预测环节是将行为安全管理由被动提升为主动的核心环节。
首先是运用已有的行为数据,对信息系统中的用户进行模拟画像,建立对应的行为安全风险控制模型。用户画像是真实用户的虚拟代表,是建立在一系列真实数据之上的目标用户模型,通过调研去了解用户,根据他们的目标、行为和习惯的差异,将他们分为不同的类型,然后在每种类型中抽取出典型特征,赋予名称、场景以及统计学要素等描述,以形成了一个基础原型。简而言之,用户画像就是信息标签化,用户画像的核心工作是为用户添加标签,目的是为了使计算机能够程序化处理与用户相关的信息,通过算法、模型能够“识别”用户的行为,提供分类统计和数据挖掘的服务。其次是利用大数据运算的优势,分析用户行为包含的风险因子与相关性,对行为安全风险的发生趋势做出预见性的判断,同时采用机器学习的技术,优化行为风险预测的准确性。机器学习是一门人工智能的科学,专门研究如何在经验学习中改善具体算法的性能[7]。由此,整个预测环节形成一套完整的管理流程,包括确定预测目标、制订预测计划、选择预测算法、计算预测数据、检验和修正预测结果等;这种预测是建立在深入分析海量历史数据和先进算法的合理判断之上,同时能够对异常行为的预防机制提供指导意见,降低其发生的概率和频率。
以某电力企业为例,该企业拥有70余个应用子系统,大部分信息系统采用企业门户单点登录、统一身份认证方式,个别系统拥有独立登陆渠道,对应的用户责任主体十余万人。由于企业的应用子系统构成复杂,用户数量庞大,对用户的行为安全进行有效地管理存在较大困难。
该企业依照行为安全审计体系的管理思想,对其内部用户的行为源数据进行了设计,运用传统的E-R数据模型与用户画像多维数据模型相结合,构建了信息系统行为安全审计中心系统(以下简称“行为安全审计中心”)。该系统基于B/S结构设计,通过在终端计算机中植入自主开发代理程序(Agent)实现桌面管理功能,主动采集主机类、网络类、安全类、应用类、平台类、机房类、终端类、存储类等数据源的行为数据,随后通过WebService、ActiveMQ和RESTful消息服务的配置管理将数据进行接收和存入统一的日志中心;在日志中心内,实时分析部分采用Kafka消息机制来实现所存入数据的分发,并通过ElaticSearch进行准实时分析和查询。针对离线数据部分,通过与该企业自有的大数据平台做数据对接进行分析,形成行为特征标签,在此基础上形成行为预测标签,并选择了MongoDB用于存储所有的标签,而元数据存储依旧使用传统的结构化数据库MySQL。
从系统功能角度,行为安全审计中心从下至上分为四层,分别是采集层、存储层、应用层和展现层:采集层负责行为数据源的采集,通过统一的接口,可以将采集的信息进行标准化后,接入行为日志中心库。存储层是对实时和离线的数据进行存储管理。依托大数据存储组件和技术,存储采集层获取的用户行为日志历史数据,包括结构化日志数据和视频、文本、图片等非结构化数据,用于用户行为追踪;而实时数据库,则是用于存储安全产品及用户终端代理实时采集的数据。应用层通过基础应用建模、计算、分析海量的用户行为数据进行离线分析。分析用户操作行为,并实现信息系统行为安全及时预警。展现层则是利用该企业自主开发的集中监控展示系统对应用层的数据进行及时展现。
从业务应用角度,该系统分为追踪调查、异常监控、违规预测模块和内控管理四部分,分别从四个维度出具不同的阶段性审计报告,供企业内、外部审计人员使用:追踪调查用于安全事件发生后的调查取证,包括实名追溯和身份管理、终端监控管理、行为轨迹重现和行为过滤模型管理,最终形成《追踪调查报告》;异常监控用于常态化的监测、分析工作,负责越权访问、异常指令、阻断操作、互斥等策略的制定和管理,最终形成《异常监控报告》。违规预测功能包括行为风险控制应用、风险行为模型管理,最终形成《违规预测报告》。内控管理使用PDCA(计划、实施、检查、整改)理论对行为安全审计进行闭环管理,用于提升整体应用效果,最终形成《内控管理报告》[8]。
随着电力企业对信息系统行为安全审计的认知和应用不断深入,行为安全审计中心的设计、建设也日益成熟,相关行为安全审计制度和规范也得到了进一步的修正和完善。但是,由于电力企业业务领域的不断融合,各应用子系统的数量逐年递增,这给行为日志数据的统一集成和接入带来不小的挑战;同时,已建成的大量业务子应用的行为数据的格式、字段、存储并未使用统一的规范,因此对行为数据质量的治理工作还亟待加快推进。另一方面,信息技术的不断进步同时也导致违规行为种类和方式不断更新,对于行为安全预测中涉及的机器学习算法还需要进一步提高和优化。
[1] 沈昌祥,张焕国,冯登国,曹珍富,黄继武. 信息安全综述[J]. 中国科学(E辑:信息科学),2007,02:129-150.
[2] 王扬,俞烽. 信息系统行为审计管理[J]. 指挥信息系统与技术,2012,02:44-48.
[3] 夏明. 行为审计发展的四个维度[J]. 中国注册会计师,2012,07:59-65.
[4] 郑石桥. 行为审计理论框架:基于系统论视角的理论要素及相互关系[J]. 会计之友,2016,6:88-92.
[5] 杨伟明,袁劲松. 应用系统内部行为审计模型的构建[J]. 成都信息工程学院学报,2006,03:398-400.
[6] 土佳琪. 移动互联网行为审计关键技术研究[D].北京交通大学,2015.
[7] 江伟,陈龙,王国胤. 用户行为异常检测在安全审计系统中的应用[J]. 计算机应用,2006,07:1637-1639+1642.
[8] 杨洁. 基于PDCA循环的内部控制有效性综合评价[J]. 会计研究,2011,04:82-87.
(责任编辑:卓政昌)
学会活动园地及信息
川南西部创业园分布式能源项目开工建设
近日,川南首个正式核准的分布式能源项目--西部创业园分布式能源项目在南溪区裴石镇正式开工建设,2017年9月该项目首台燃气轮机将投入运行。该项目由四川能投分布式能源有限公司负责建设,项目占地30亩,总投资约1.9亿元,计划建设2台7 MW(兆瓦)级燃气轮发电机组、2台15吨/小时的余热锅炉,配套建设3台15吨/小时、2台4吨/小时的备用和调峰燃气锅炉,蒸汽管网等辅助设施。项目建成后将为园区企业集中提供电力、蒸汽、热水、冷水等清洁能源产品。
中国电建累计向大渡河投放珍稀鱼苗80万尾
8月25日,中国电建投资的大渡河安谷、沙湾水电站举行年度鱼类增殖放流活动,此次活动共计放流胭脂鱼、黄颡鱼、长薄鳅、中华倒刺鲃、白甲鱼等珍稀鱼苗30万尾,这是自2014、2015年之后的第三次放流,三年共投放珍惜鱼苗80万尾。此次投放,是贯彻落实新环保法和国家环评要求的实际行动,也是按照环保部要求,在安谷电站建设“水电工程生态保护试验场和教育示范基地”的重要举措,将初步改善大渡河下游河段的鱼类分布状况。目前多渠道的信息表明,一些多年不见的珍稀鱼类,如今已时有发现。
国电大渡河沙坪二级水电站主厂房桥式起重机负荷试验圆满完成
9月8日,国电大渡河流域水电开发公司沙坪二级水电站主厂房两台200吨桥式起重机负荷试验圆满完成,标志着电站机电安装工程水轮发电机组的安装工作全面启动。沙坪二级水电站主厂房设计布置两台200吨桥式起重机,按照同轨道方式运行,承担电站主厂房永久机电设备的吊装任务。主厂房桥机主要由大车行走机构、主梁、起升机构、小车架、司机室、电动葫芦等组成,整机总重量约176.5吨、轨距23.5米,本桥机总起重量为200吨,最大试验负荷250吨。
长河坝大坝工程提前4个月填筑到顶
9月10日,由中国电建集团公司承建的西川电东送控制工程--长河坝水电站大坝工程提前合同工期四个月全线填筑到顶,为长河坝水电站工程2017年首台机组按时发电目标创造了条件。上午10点,长河坝电站大坝工程坝顶上彩旗猎猎,长河坝电站建设者在坝顶举行了简单热烈的大坝填筑到顶庆贺仪式。仪式上,大唐国际甘孜水电开发有限公司总经理熊雄表示,长河坝砾石土心墙大坝技术复杂、质量要求高、施工难度大,但是水电五局攻坚克难取得了提前4个月填筑到顶的业绩,展示了该公司“水电先锋”风采。
四川全面停止小型水电项目开发
作为我国最大的水电生产和“西电东送”基地,四川省近日结合新常态下水电消纳矛盾日益突出的实际,对该省水电开发总体思路作出调整。“十三五”期间,四川将严格控制中型水电项目核准,全面停止小型水电项目开发。 近年来,随着电力需求增长缓慢,外送通道建设滞后,四川水电的消纳矛盾也日益突出,需着力优化电源结构,积极调整水电开发时序,加强水电建设过程管理。
国电大渡河革什扎公司吉牛大坝首次注册为甲级大坝
9月20日,国电四川革什扎水电开发公司收到国家能源局大坝安全监测中心颁发的《水电站大坝安全注册登记证》,标志着吉牛电站大坝注册工作圆满顺利完成,吉牛电站大坝从此获得了安全状况及运行许可的正式法律凭证。吉牛电站大坝首次安全注册登记为甲级大坝,有效期为五年。
国电四川南桠河流域梯级水电站统一调度获批复
8月29日,国电四川公司南桠河流域梯级水电站实行统一调度正式获得四川省经济和信息化委员会批复。 该公司冶勒、栗子坪、姚河坝、南桠河四个水电站同属南桠河流域,距离较近,水力联系良好,龙头水库冶勒电站调节能力强,实施梯级水电站统一调度可以充分发挥冶勒多年水库的调节作用,提高流域整体的调峰、调频容量,增发枯季电量,为南桠河流域带来更多的经济效益。
金沙水电站全面进入主体工程施工阶段
9月3日,随着挖掘机深深挖下第一铲土,金沙水电站厂坝主体工程正式开工,标志着金沙水电站全面进入主体工程施工阶段。 金沙水电站是国家西部大开发的重点工程,是合理开发利用金沙江水能资源,加快西部地区和民族地区经济社会发展的重要工程。工程的主要任务是以发电为主,同时兼有供水、改善城市水域景观和取水条件、对观音岩电站进出反调节等,对保障流域防洪安全以及生态环境意义重大。
2016-09-26
TM732;TU714;E232.6
B
1001-2184(2016)05-0129-03
曾 愚(1986-),男,福建长汀人,计算机科学与技术、计算机通信双硕士,工程师,从事信息系统运维技术管理工作.