WO2004051929A1 - Audit platform system for application process based on components - Google Patents

Description

基于构件的应用过程审计平台系统 技术领域

本发明是针对并应用于各种行业的计算机信息系统的运行跟踪、 监测的 审计平台系统， 尤其是一种对各种计算机信息系统运行过程中各种行为遗留 的痕迹信息进行实时扫描处理、 审计的平台系统， 属于计算机信息安全防范 技术领域。 技术背景

与计算机信息安全有关的安全防范技术发展至今， 已经形成如下典型有 效的技术方案：

1、 防火墙技术——这是近年发展起来的重要安全技术， 其特点是在网络 入口点检査网络通讯， 根据客户设定的安全规则， 在保护内部网络安全的前 提下， 提供内外网络通讯。

2、 病毒防护技术——病毒历来是信息系统安全的主要问题之一， 病毒防 护技术的特点是可以阻止病毒的传播、 检查和清除病毒、 病毒数据库的升级、 在防火墙、 代理服务器及 PC上安装 Java及 ActiveX控件扫描软件、 禁止未 许可的控件下载和安装。

3、 入侵检测技术——入侵检测系统是近年出现的新型网络安全技术， 可 分为基于主机和基于网络两类， 目的是提供实时的入侵检测及采取相应的防 护手段， 如记录证据用于跟踪和恢复、 断开网络连接等， 其特点是具有协议 分析及检测能力、 自身安全的完备性、 精确度及完整度、 防欺骗能力以及解

1

替换页（细则第 26条) 码效率和模式更新速度快。

4、安全扫描技术——网络安全技术中，另一类重要技术为安全扫描技术， 该技术也有基于服务器和基于网络之分， 当与防火墙、 安全监控系统互相配 合时， 能够极大的提高网络的安全性。 基于服务器的扫描器主要扫描服务器 相关的安全漏洞， 并给出相应的解决办法建议； 而基于网络的安全扫描器主 要扫描设定网络内的服务器、 路由器、 网桥、 交换机、 访问服务器、 防火墙 等设备的安全漏洞， 并可设定模拟攻击， 以测试系统的防御能力。

此外还有：

5、 电子邮件系统安全技术——该技术保证电子邮件的安全。

6、操作系统安全技术——信息网内通常会运行许多种操作系统， 该技术 包括访问控制、 安全策略、 数据完整、 审计技术等。

计算机信息系统在各个行业的普及应用， 使得这些行业的信息化程度迅 速提高， 同时利用计算机犯罪和信息系统的安全问题越来越突出。 据申请人 了解， 各行业中的越轨计算机犯罪行为大多有如下一些特点： 常利用职务便 利条件（这一点同许多犯罪的主体是特殊主体有关） ； 常使用捏造事实、 隐 瞒真相的诈骗手段； 大多使用积极行动的作为方式实施犯罪； 职务上的渎职 行为较为多见； 大多数都以数额较大、 金额巨大或造成重大损失为犯罪既遂 的标准。 而上述行业中的计算机犯罪与传统犯罪手段相比， 又有以下特点- 一是高智能、 高技术、 高攫取； 二是作案手段多样化； 三是不受时间和地域 的限制； 四是隐蔽性强、 潜伏期长、 低风险， 毁灭犯罪证据容易、 取证与侦 破难等特点， 它所产生的影响和后果比其它手段的犯罪严重得多。

尽管为了保障计算机信息系统的安全，可以采取一些预防控制措施,如： 防火墙、 网络隔离、 访问控制技术等， 也可以综合采用加密技术、 身份鉴别 技术等。 然而， 分析应用系统面对的安全问题可以发现， 来自内部的基于业 务流程的烕胁目前还没有有效的措施来预防，这些烕胁有： 非法登录、 违规操 作、 擅自修改数据、 擅自恢复历史数据、 擅自删除数据、 程序、 系统配置、 非法修改软件、 擅自改变软件部署和更新软件版本、 擅自删除日志文件、 故 意钻业务操作空子、 内部联手作案等等 系列为取得非法经济利益或 达到非法目的而泛用合法业务操作系统权的行为。

因为传统的信息安全防范措施往往是基于网络通信、 操作系统和传输层 次的， 很少有针对特定业务流程应用层面的安全防范策略。 而业务信息系统 安全是个多层次多角度的系统工程， 需要综合考虑涉及系统安全的方方面面。 现有的各种解决方案往往都是基于数据通信和数据存储的， 难以做到针对应 用行为过程的信息审计； 同时， 也缺乏一个灵活的能对应用系统中的关键应 用进行多层次、 多角度的事中监管审计平台系统。 发明内容

本发明的目的在于： 提出一种基于构件的应用过程审计平台系统， 该系 统以信息技术为手段， 可以对各种特定行业应用系统、 应用过程、 应用结果， 就其系统安全的合理性、 过程行为的合法性、 结果数据的真实性， 按照业务 处理的安全、 规范、 真实性等要求进行客观、 适时的监测与审核， 将各种违 规、 可疑事件及时报警， 并提交各种审计报告， 从而有效预防和制止计算机 业务犯罪。

研究表明， 任何对业务信息系统安全构成威胁的行为， 在其发生的过程 中， 总会在应用系统的各个层面上留下一些痕迹信息， 借助于这些痕迹信息， 采取适当的审计策略， 就可以及时地发现系统中正在实施或即将实施的业务 犯罪隐患， 避免犯罪等事件的发生。 具体说， 在来自内部的业务系统安全问 题中， 对业务信息系统的使用过程中必然会在系统层或应用层留下如身份、 地点、 时间、 事件操作痕迹、 事件发生频度、 操作动作时序信息、 关键数据 项的突变信息等等痕迹信息， 通过监测和审计这些信息便可及时发现业务信 息系统安全问题， 预防和制止计算机业务犯罪。 此即本发明使用的应用过程 审计方法。

在此认识基础上， 为了达到以上目的， 本发明基于构件的应用过程审计 平台系统包括公知计算机系统， 还包括：

^ AGENT: 安装在用户业务应用环境中、 管理用户业务审计规则配置信 息和构件包的下载、 调度管理数据探测器 （Probe)、 与控制服务器连接的数 据采集代理， 该数据采集代理 （AGENT) 提供了数据探测器 （Probe) 构件管 理调度功能；

—— Probe (又称为探针）： 安装在数据采集节点上、 基于构件化、 根据 用户的配置情况进行数据采集并实时上传控制服务器的数据探测器；

—— Control Server: 安装在独立的系统上、 由内控部门管理、 提供规 则配置库和构件库的管理、 动态调用各类数据分析器、 数据挖掘器等辅助构 件功能包进行数据的分析和挖掘的控制服务器， 其中包含：

A、 存放探针采集的、 经过过滤器过滤以及格式化后的审计记录数据的业 务数据库；

B、完成对采集的数据按审计规则库定义的分析策略进行实时分析处 理、 判定风险等级并触发审计事件的实时分析器；

C、 按审计规则完成对采集的数据以及应用系统原始数据库的进一步挖 掘、 分析的功能的事后数据分析工具； D、 根据用户需要定制报表、 生成信息审计报告的自动报表工具；

E、 用以与其他系统连接的实时报警或 SNMP接口；

F 定义探针数据采集策略、 实时分析器的过滤、 分析策略以及事后数据 分析工具工作方式的审计规则库；

—— User Console: 供用户配置规则和查看报表以及其它相关信息的可 视化图形的用户控制台。

以上用户业务应用环境为各种行业的计算机业务信息系统， 数 据探测器包括监控应用服务器的服务器探针、 监控网络的网络探针、 监控数 据库的数据库探针、 监控应用软件以及监控业务流程的应用层探针等。

平台使用 ORB并符合 C0RBA规范， 对构件使用刻面描述方法描述应用构 件， 采用库方式管理与并使用自动发布技术。 平台通过领域工程方法， 建立 领域审计构件库， 以可复用软件构件为组装块， 组装完成审计数据采集、 分 析、 报表功能。 在 Agent端， 平台使用网络透明侦听方式截获网络上的各种 数据包， 并对系统活动的各种日志记录信息进行分析和处理。 在 Control Server端，通过应用过程审计的方法对信息进行搜集、分析和处理， 并从中识 别并提取出系统活动信息中所隐含的特定活动特征并识别各种已发生的和潜 在的违规活动。

工作时， 安装在现有业务应用环境中的数据采集节点下载用户业务审计 规则配置信息和构件包、 启动数据探测器， 并完成数据探测器的调度和管理; 数据探测器根据用户的配置情况调度探针进行数据采集， 并实时上传到控制 服务器； 控制服务器根据审计规则库定义的探针数据采集策略、 实时分析器 的过滤、 分析策略以及事后数据分析工具工作方式， 由业务数据库存放探针 采集的、 经过过滤器过滤以及格式化后的审计记录数据； 实时分析器完成对 采集的数据按审计规则库定义的分析策略进行实时分析处理、 判定风险等级 并触发审计事件； 事后数据分析工具按审计规则完成对采集的数据以及应用 系统原始数据库的进一步挖掘、 分析； 自动报表工具根据用户需要定制报表、 生成信息审计报告； 通过实时报警 /S丽 P接口传输到用户控制台， 供用户配置 规则和查看报表以及其它相关信息， 从而实现对各种应用系统、 应用过程、 应用结果安全的合理性、 过程行为的合法性、 结果数据的真实性进行客观、 适时的监测与审核， 将各种违规、 可疑事件及时报警， 并提交各种审计报告。

由此可见， 本发明是面向特定业务流程应用的安全审计平台， 综合应用 了构件技术、 安全管理和安全体系架构技术、 安全审计和入侵检测预警技术， 采用了应用过程审计的方法， 提供了面向领域应用安全审计的一个通用平台， 把基于业务规则的安全审计引入安全管理体系， 为审计人员提供了完整的事 中、 事后系统审计的工具， 其构件化、 规则配置化、 知识库化所提供的灵活 性与可组合性为适应千差万别的行业运用提供了保障条件； 构件库、 审计规 则库、 知识管理库的开放性、 可升级性为适应不同行业运用的变化发展提供 了技术保障。

与上述各种现有计算机安全防范技术相比， 本发明具有通过事中过程审 计对业务系统运行过程中各种内部、 外部行为过程在信息系统各个层面上 (应 用系统、 数据库、 操作系统、 网络)所遗留的痕迹信息进行实时和准实时扫描 分析处理和预警的特点， 因此可以及时发现各种违规、 可疑事件， 进而从根 本上预防和杜绝计算机犯罪， 确保信息系统的安全。 与目前商业银行使用的 各种属于事后结果审计范畴的事后监髻系统相比， 显然具有显著的特点和实 质性的进步。

与入侵检测系统相比可以下表反映其本质区别： 比较项目 APA系统 入侵检测系统 应用层中的应用软件系统、数 针对 0SI七层协议中链路层、 据库、操作系统及网络电子业 网络层及上四层中除应用软件 关注的内容

务流程中的非规范操作、非正 系统、数据库等外的操作系统、 常业务行为等 通用基本软件系统 对审计数据按业务规则进行 不关心具体业务特性及行为， 分析和关联，发现行为特性的 只关心通用网络行为 （如 WEB 管理的对象 非法性 浏览、发 E- mail、 FTP、共享文 件等） 中是否蕴含危及基本网 络的行为 实现的方式 应用过程分析 内容过滤、 规则匹配 关注的焦点 业务应用为中心 网络、 系统为中心 用户 业务审计人员 网络管理人员 针对基本网络之上的特定领 与业务无关， 只管理承载网， 域应用， 由构件化、模块化的 适应于各行各业的基本网络 针对的对象

灵活性来适应各种行业的不

同应用 适应性 构件化平台， 可二次开发 功能单一， 不可二次开发 可调整审计规则描述或进行 不能应对应用系统的多样性 可演化性 构件调整，适应需求变化，具

有良好的演化性

附图说明

下面结合附图对本发明作进一步的说明：

图 1为本发明实施例一的系统结构示意图。

图 2是图 1实施例一的拓朴示意图。

图 3是实施例一中银行储蓄取款业务应用环境示意图。

图 4是实施例一中银行储蓄取款业务分解过程示意图。

图 5是本发明实施例二的拓朴示意图。 具体实施方式

实施例一

本实施例为应用于金融大型网络系统基于构件的应用过程审计平台系 统， 其基本构成如图所示， 以下主要部分构成：

——安装在现有中央服务器集群上、 下载用户业务审计规则配置信息和构件 包、 调度和管理数据探测器， 并与控制服务器连接的数据采集代理； ——位于包括服务器网络、 分支机构服务器、 分支机构网络在内的各数据采 集节点上、 基于构件化、 根据用户的配置情况进行数据采集并实时上传控制 服务器的数据探测器；

——安装独立操作系统并提供自动配置库和构件库的管理、 动态调用各类数 据分析器、 数据挖掘器等辅助构件功能包进行数据的分析和挖掘的控制服务 器 （Control Server) ， 其中包含：

A、 存放探针采集的、 经过过滤器过滤后以及格式化后的审计记录数据的业务 数据库；

B、 完成对采集的数据按审计规则库定义的分析策略进行实时分析处理、 判 定风险等级并触发审计事件的实时分析器；

C、 按审计规则完成对采集的数据以及应用系统原始数据库的进一步挖掘、 分 析的功能的事后数据分析工具；

D、 根据用户需要定制报表、 生成信息审计报告的自动报表工具；

E、 集成了多种事件响应接口、 可以提供自动程序运行、 S丽 P安全事件报警、 移动短消息、 EMAIL报警等方式的实时报警 /SNMP接口；

F、 包含探针构件部署的管理以及构件自动生成工具在内、 可以由用户方便地 对系统进行扩充、 以应对应用系统复杂性和多变性的审计构件库； G、 定义探针数据采集策略、 实时分析器的过滤、 分析策略以及事后数据分析 工具工作方式的审计规则库；

H、 保存领域（行业）应用审计模板、审计业务描述、审计事件风险等级定义、 审计事件的处理结果等内容的审计知识管理库， 从而通过模板组合、 审计 知识管理库更新来适应各种不同业务领域；

一一供用户配置规则和查看报表以及其它相关信息的可视化用户控制台 (User Console)。

该系统可以用形象的拓朴图 2表示， 其具体的配置情况如下：

1、 数据采集代理——安装在现有金融大型网络系统的中央服务器集群 上， 数据采集代理 （Agent )提供了基于构件的数据采集探针的运行管理支持 平台， 数据采集代理 （Agent) 安装完成后， 所有数据采集探针构件以及数据 采集规则配置信息都在用户控制台统一配置部署分发到数据采集代理

(Agent ) 。 支持的操作系统有 UNIX、 SCO UNIX, UNIWARE, WIN98/NT/2000/XP 等， 所有的数据采集代理均连接到独立的信息审计控制服务器上。

2、 控制服务器" ~~ ^装在一台独立的服务器上，是整个系统的核心，完成 审计数据的过滤、 格式化、 存储、 分析、 报警等功能， 存储审计数据的数据 库服务器视数据压力可以使用独立服务器或与控制服务器合并。

3、 用户控制台 （User Console)——可视化的图形用户终端， 供用户配 置规则和查看报表以及其它相关信息。 所有的管理都在用户控制台上进行。

下面以银行储蓄取款业务为例， 具体说明本实施例的系统工作情况。 本 例完整的银行储蓄取款业务可以应用环境如图 3所示， 业务过程分解如图 4所 本实施例基于构件的应用过程审计平台系统通过以下几个关键域要素对

Claims

过程行为进行安全审计：

1、 身份。 通常应用系统根据用户的身份决定是否执行其提出的访问要求， 用 户身份是安全策略的核心问题之一。

2、 地点。 通过网络设备的识别码建立起一个可管理的网络， 从而可以准确了 解和控制访问设备的访问位置及访问权限。

3、 时间。 操作时间常常与应用行为的合理性相关联。

4、 行为过程特征： 事件发生频度、 关键数据项的突变、 操作动作时序信息等 业务动作行为特征。

当银行储蓄取款业务开展时， 在终端前置机、 中心交换机网络、 业务主机上 部署的相应探针构件从审计知识管理库中调入相应的领域应用审计规则模 板、 配置完数据采集策略和实时分析策略后， 可以通过 ΑΡΑ监控以下各业务 环节并实时审计其中的可疑行为： '

. 1、 操作员登录， 该动作的合法性与身份、 地点、 时间、 过程行为特征相 关， 如有人在柜台终端正常工作时间 8 : 30-5 : 30以外登录储蓄应用系统、 反 复尝试登录 5次以上、 一个登录名在多个柜台终端登录等。

2、 输入取款操作， 该动作的合法性与身份、 地点、 时间、 过程行为特征 相关， 如有人在柜台终端在工作日的 8 : 30-5 : 30以外时间进行取款操作、 取 款金额大于 5000以上等。

3、 连接数据库操作， 如在信息中心外直接连接后台数据库、 反复尝试登 录 5次以上等。

4、 扣除账户操作， 如取款金额大于 5000、 一日累加扣除账户操作大于 10000、 在多个地点以相同账户取款间隔时间小于 1分钟等。

一旦安装在终端前置机、 中心交换机网络、 业务主机各数据采集节点上 的相应探针构件发现以上可疑事件， 即实时上传到控制服务器， 并由控制服 务器（Control Server)通过实时报警 /SNMP接口向用户控制台（User Console) 发出相应报警信号以及所需的报表或其他相关的可视化图形信息。

由此可以看出， 本实施例的系统具有如下创新之处：

1、 对各种领域应用系统运行过程中存在的各种安全隐患和业务风险， 建 立基于应用行为过程的审计体系。 通过对业务系统运行过程中各种内部、 外 部行为过程在信息系统各个层面上 (应用系统、 数据库、 操作系统、 网络)所 遗留的痕迹信息进行实时和准实时扫描处理， 并依据业务处理的合理性、 合 法性、 真实性审计策略和方法， 进行信息的实时分析和预警。

2、 将领域应用的业务处理特性与安全审计规则相结合。 通过可视化的审 计规则定制， 定义探针的数据采集策略、 实时分析器的过滤、 分析策略以及 事后数据分析工具的工作方式， 驱动探针、 分析器工作； 并与主机层、 网络 层安全措施结合， 可以形成一套完整的信息安全审计体系。

3、 实现构件化的信息审计平台。 平台融入了软件框架技术、 分布式计算 模型和接口标准的先进思想， 可以在平台基础上快速开发、 部署新的探针、 分析器等构件， 从而灵活扩展系统功能， 适应各种应用的复杂性。

4、 建立领域应用审计知识管理库。 知识管理库中保存了领域应用审计规 则模板、 审计业务描述、 审计事件风险等级定义、 审计事件的处理结果等内 容， 从而不断地积累安全审计知识， 实现信息审计知识的复用。 ' 简言之， 本实施例采用应用行为过程审计的方法， 对业务系统的应用行为特征， 就其 业务处理的安全、 规范、 真实性等要求进行监测与审核， 并对各种违规、 可 疑事件进行报警。

通过以上对本实施例的描述可见， 首先基于构件的应用过程审计平台系 统是针对领域应用系统的基于应用行为过程的审计平台。 由于应用系统本身 千差万别、 开放程度有限以及关注点不同等因素， 使得针对领域应用系统的 信息审计非常困难， 传统的对计算机信息系统进行的审计跟踪、 保存审计记 录和维护审计日志工作主要集中在网络层、 系统层， 而且更多的是针对日志。 虽然应用系统自身或多或少都实现了部分日志功能， 但日志的全面性很难保 证， 而且缺乏相应的日志分析、 预警处理手段， 日志的存储管理、 防止篡改 也存在问题。 而基于构件的应用过程审计平台系统采用平台化的手段， 通过 对业务系统应用行为过程审计的方法， 超越单纯的事后日志审计。

其次， 基于构件的应用过程审计平台系统将领域应用的业务处理特性与 安全审计规则相结合。 在现实环境中， 存在大量的以合法用户的身份非法使 用信息系统的案例， 对其单纯按照传统的安全审计方法进行审计是无效的。 而结合领域应用的业务处理特性和业务规则， 可以将这些可疑、 异常的业务 操作甄别出来。 然而， 由于业务系统的复杂性， 需要对整个领域应用有比较 透彻的理解并且有一套方法来实现审计规则定制。 基于构件的应用过程审计 平台系统与主机层、 网络层安全措施结合， 可以形成一套完整的信息安全审 计体系。

另外， 基于构件的应用过程审计平台系统是构件化的信息审计平台。 基 于构件的应用过程审计平台系统是面向应用的， 为了应对应用的复杂性和变 化， 构件化是自然的选择。 基于构件的应用过程审计平台系统是一个分布式 系统， 平台需要实现构件的集中管理、 自动部署以及快速开发、 组装能力， 基于构件的应用过程审计平台系统在因为构件化而大大提高了安全审计的产 品化程度和可扩展性的同时， 也给系统实现带来了一定的复杂性。 实施例二

本实施例为应用于企业、 政府内部局域网络中的基于构件的应用过程审 计平台系统， 其构成参见图 5， 基本结构与实施例一相同， 不同之处在于：

1、 数据不是集中式管理， 应用也是分布式的， 即分布在各应用系统中； 相应的网络也分成几个功能子网； 所以需要在每个子网上部署单独的网络探 针， 在应用服务器上部署相对应的应用探针；

2、 应用主要是电子政务、 企业 ERP、 办公自动化等。 由于与上例金融领 域的业务有所不同， 安全需求也不一样， 所以审计规则不同。

本实施例的具体工作情况可以结合不同的审计规则、 根据实施例一类推， 不另赘述。

除上述实施例外， 本发明还可以有其他实施方式。 凡采用等同替换或等 效变换形成的技术方案， 均落在本发明要求的保护范围内。