第一章引言
1.1课题背景
随着近年来我国网络建设和信息化建设速度的加快,企业、政府机关等组织的业务和信息化的结合越来越紧密,统一的系统防范手段也逐步升级。但是,作为各类恶意攻击和数据失窃源头的计算机服务器由于缺少统一的安全防范策略和安全护理措施,使得服务器的可控性变得越来越差。业务信息化在给组织带来巨大经济和社会效益的同时,也给组织的信息安全和管理带来了严峻的挑战。近年来我国对于信息安全保障工作的重视程度也逐渐增加。1994年,国务院147号令《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2003年,中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发口27号)明确指出“实行信息安全等级保护”要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。同时也提出了将信息安全工作和信息化建设工作同步推进的要求。2004年,公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》(66号文件),开始在全国范围内开展信息安全保护工作。
我国在信息安全与风险管理领域逐步探索,力求寻找适合我国国情的信息安全建设方法。经过相当长一段时间的摸索,风险管理[2](见图1-1所示风险管理模型)的理念逐步被引入到信息安全领域,并迅速得到较为广泛的认可。风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程,是一个识别、控制、降低或消除安全风险的活动。通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。风险评估是对组织存在的威胁进行评估、对安全措施有效性进行评估、以及对系统弱点被利用的可能性进行评估后的综合结果,是风险管理的重要组成部分,是信息安全工作中的重要一环。技术风险评估是整个风险评估的基础。通过技术风险评估,可以准确地了解组织的信息系统安全现状,明确组织当前所面临的各种风险。针对发现的风险点,通过制定相应的安全策略,对安全问题前瞻性地加以处理,降低风险。通过各种手段发现目前存在的风险点,例如采用漏洞扫描工具,但漏洞扫描方式不能发现策略配置方面的风险点。信息安全审计(见图1-2所示通用审计参考模型)是弥补这一缺点的最佳方式,同时也是计算机系统安全机制的一个不可或缺的部分。它依据审计目标制定相关审计项和审计策略,对目标对象进行安全审计并生成审计信息。
1.2课题目标
服务器安全审计系统是为快速解决技术评估中安全审计需求的背景下应运而生的,它的目标是解决windows服务器及主机信息安全审计[4]中需要大量人工审计工作量的问题,实现安全审计自动化,提高安全审计的准确率及审计效率。采用程序自动化审计方式替代传统信息安全审计中人工审计的工作,自动获取包括主机名、CPU、内存、硬盘、进程等相关信息,同时收集信息安全审计项信J息,并依据相关标准进行分析判断,明确指出不符合安全要求的审计项。真实的反应了目标服务器系统的安全现状。服务器安全审计系统实现了审计项可变更、可升级,并随时保持与最新国家政策要求一致。审计人员可以利用审计系统对目标服务器进行自动化安全审计工作,从而使审计人员从反复、繁杂的工作中解脱出来,将精力投放到诸如安全管理[51或组织体系架构评估等需要大量人工的工作中。
鉴于系统未来将分发给各下属单位使用,且由于分发及审计周期不同和各单位技术人员水平差距等原因,本系统在实用性和可扩展性方面提出了更高的要求。系统要求用户界面简单、友好且各种操作功能清晰、简便,所审计的数据真实、准确并且兼容WindowS的三种操作系统,降低甚至杜绝由于审计人员技术水平等原因造成的各种差错出现;鉴于国家相关政策法律及信息安全动态变化的特点,系统必须具有良好的可扩展性,这里所说的可扩展性不仅只对信息安全审计项的变更,同时要求系统可随时增加和修改各种功能;在输出报告方面,本系统所输出的安全审计报告将统一为信息安全审计平台要求的格式报告,它具有语义清晰、便于处理、可扩展、融合性好,生成的审计结果可以上传(见图1-3所示审计结果数据流示意图)到综合分析平台进行汇总分析,从全局的角度对所有检查的服务器安全现状进行分析汇总形成图表式分析报告,为未来开展信息安全工作指明方向。
第二章背景知识
与相关技术服务器安全审计系统以简单、高效、准确为目标。本章首先对服务器安全审计系统进行了介绍,从传统的审计模式的缺陷引进了自动化审计系统的概念,并对它未来所面向的服务对象和具有的特点进行了阐述。最后,介绍了安全审计系统的总体设计,从功能上将审计系统进行了模块划分。下面就将以上内容分节进行讨论。
2.1安全审计系统概述
传统的审计工作主要依靠人工进行信息的获取和判读,将所获取的信息填入预制的表格中,不但效率低下而且准确率也不容乐观,与此同时由于不同审计人员对一些审计项的理解不同,可能导致判断上出现偏差。正是基于为解决上述问题的考虑设计自动化服务器审计系统。服务器安全审计系统主要用于对Windows平台的服务器进行全面的安全审计,针对目前WindowS操作系统存在的策略及配置缺陷,该系统按照一定的安全策略,对安装WindowS操作系统平台的主机、服务器等设备自动进行安全审计,用户通过对安全审计结果的分析,可以全面地考察该主机存在的安全问题,针对这些安全问题及时展开加固措施。系统从功能上分为基本信息模块、审计信息模块、检查项复核和报表模块共四个模块。基本信息模块获取服务器CPU、内存、硬盘等基本信息。审计信息模块根据预先设定的信息审计项获取相关审计信息数据,检查项复核针对无法利用技术手段进行判断的检查项进行人工复核。报表模块将所获取的基本信息和审计信息进行格式整理,并可以导出符合综合分析平台的报表,进行汇总分析。安全审计系统采用程序化设计,严格按照国家信息安全相关标准及公安部关于信息安全检查工作的要求,并总结信息安全检查工作在实际开展过程中所遇到的问题。
3 第三章系统分析与设计............. 20-36
3.1 项目需求分析.......... 20-28
3.1.1 有效性校验.......... 20-22
3.1.2 审计模块 ..........22-25
3.1.3 检查项复核.......... 25-26
3.1.4 生成报告..........26-27
3.1.5 其它需求.......... 27-28
3.2 系统分析.......... 28-29
3.3 系统设计.......... 29-32
3.4 接口设计.......... 32
3.5 开发模式.......... 32-33
3.6 设计模式..........33-34
3.7 本章小节.......... 34-36
4 第四章系统实现.......... 36-57
4.1 开发环境.......... 36
4.2 界面设计..........36-39
4.3 功能模块实现.......... 39-56
4.4 本章小节.......... 56-57
5 第五章系统测试 ..........57-63
5.1 测试目的.......... 57
5.2 测试环境.......... 57
5.3 测试内容及方法.......... 57-58
5.4 测试及分析.......... 58-62
5.5 本章小节 ..........62-63
结论
随着信息技术在生产生活领域的不断深入,信息系统所受到的威胁也逐渐增加。服务器安全审计是信息安全服务中不可或缺的组成部分,它通过查找服务器各项安全配置与安全基线的差距,寻找安全脆弱性,从而提供整改加固建议,弥补安全短板,提升服务器的整体安全水平。自动化的服务器安全审计系统已经成为安全审计工作中的重要辅助工具,它简单高效的提供准确的审计信息。
本文正是针对上述问题,首先分析和论述了服务器安全审计的基本概念与基础知识,之后讨论了有着密切关系的C++和XML技术中的重要细节,并根据安全审计的需求设计方案。最后,根据设计方案,完成了该系统的开发,并投入使用。本人在该项目中主要工作如下:
1.深入理解信息安全审计工作,分析信息安全审计工作的现状及存在问题,指出了由传统人工审计向自动化审计的必然性;
2.整理服务器安全审计系统需求,提出采用自动化工具替代传统人工审计的设计方案;#p#分页标题#e#
3.完成服务器安全审计系统的编码实现,由测试证实自动化工具的可行性和系统设计工作的正确性。
参考文献
[1] Ettredge, M. and R. Greenberg. Determinants of Fee /sjbylw/ Cutting on Initial AuditEngagements. Journal of Accounting Research, 1990.28(1): 198-210
[2]Allen T.Craswell,Jere R.Francis and Stephen L.Taylor.Auditor Brand NameReputation and Industry specialization. Journal of Accounting and Economics,1995(December)20:297-322
[3] Defend M.,T.J.Wong and Shuhua Li.The Impact of Improved AuditorIndependence on Auditor Market Concentration in China. Journal of Accountingand Economics,2000:49-66
[4] Albert L. Nagy,Joseph V. Carcello. Client Size, Auditor Specialization andFraudulent Financial ReportingfJ].Managerial Auditing Journal, 2004, 19(5):651-668
[5] Balsam, S., Krishnan, J. and Yang, J. S. Auditor Industry Specialization andEarnings QualityfJ]. Auditing:a Journal of Practice & Theory, 2003, 22(2):71-79
[6]Brian W. Mayhew, Kimberly A. Dunn. Audit Firm Industry Specialization andClient Disclosure Quality[J].Review of Accounting Studies,2004, 19(1):35-58
[7]Defond, ML.,Francis, J. R. and Wong, T. J. Auditor Industry Specialization andMarket Segmentation: Evidence from Hong Kong[J]. Auditing: a Journal ofPractice & Theory,2000,19(1 ):49-66
[8]Gramling, A. A., Johnson, V. E., Khurana, I. K. The Association between Audit Firm Industry Experience and Financial Reporting Quality[M].Working Paper,Georgia State University,2001
[9]Krishnan, G. V. Does Big 6 Auditor Industry Expertise Constrain EarningsManagement? [J]. Accounting Horizons,2003,17(supplement):1-16
[10]Mark H. Taylor. The Effect of Industry Specialization on Auditor's Inherent RiskAssessments and Confidence Judgments. Contemporary Accounting Research,2000,17(4):693-712