强审计系统捍卫内网的安全_动网_社区论坛·开发者网络源动力

　　　　强审计系统从诞生的那天开始，其特点就注定了先有应用后有标准，也不会像防外工具防火墙、IDS和反病毒一样，因为病毒爆发而在全球迅速串红。然而，保护内网安全，非强审计莫属。经过2~3年时间的发展，强审计产品市场容量有望突破10亿元大关。

　　这是发生在珠江三角洲某金融机构的一个真实的故事：一个系统管理员偷偷将一些储户中的少量资金转移到自己亲戚的账户中，然后不留任何痕迹地将所有的相关系统日志删除得一干二净！由于转移的资金数量不多，很多储户开始并未察觉，致使这个管理员胆子越来越大，直到一些储户终于发现自己的账户中短缺了几千元钱，不断告状，才引起了银行的重视并报了案。后来，经过物理跟踪调查，才挖出了这个“内鬼”。

　　第二个真实的故事是，一个和互联网物理隔离的涉密内网，由于内部人员将外机内连，使震荡波病毒在内网中大面积泛滥。

　　第三个真实的故事是，另一个和互联网物理隔离的涉密内网，内部人员将内机外连，几个小时内，其中的涉密信息就被黑客截取。

　　第四个真实的故事是，一家国家大型造船厂的计算机系统中存有大量的机密设计数据，一天，系统忽然报警，有人正在非法拷贝这些机密数据，通过审计系统的跟踪，立刻锁定了拷贝该文件的设备和登录的用户名，在机密文件还没有被传播出去之前，就轻易地抓获了“内鬼”，避免了直接的经济损失。

　　这是没有应用计算机强审计系统和应用了强审计系统的几个真实案例，由于牵涉到内部机密，单位名称不便公布。

　　国家信息化专家咨询委员会委员曲成义教授告诉记者：“事实上，这类案例多得举不胜举，由于是内部犯罪或者出错，由于可以理解的原因，基本都捂着，很少有公开的报道。致使外界对内网的安全威胁了解甚少，实际上，70%以上的网络威胁都来自内部。”

　　“内网资源的误用、滥用和恶用，是内网面临的最大的三大威胁。”

　　威慑“内鬼”

　　近年来，黑客攻击手段的多样性和系统的脆弱性，造成全球网络大范围感染病毒和遭受攻击的事件不断发生，这些事件动则迅速传播到全球网络，造成了巨大的社会影响，也引起了人们极大的关注，因此，那些预防外部攻击的网络安全产品就开始获得了巨大的发展机会，防火墙、入侵检测、反病毒等网络安全产品成为“反黑”中的明星。

　　与此形成巨大反差的是，一些单位的网络系统内部人员有机会接触到一些机密数据，他们以合法的身份、合法的访问权限，因为误操作或故意偷窃数据所引起的各种损失，数据虽然巨大，却鲜有人知道。

　　权威市场调查机构Gartner Group曾经进行调查，在全球损失金额在5万美元以上的攻击中，70%都涉及网络内部攻击者。2002年，FBI和CSI对全球484家公司的信息系统进行调查，发现有超过85%的安全威胁来自企业内部；有16%来自内部未授权的存取；有14%来自专利信息被窃取；有12%来自内部人员的财务欺骗；而只有5%是来自黑客的攻击。可见，内部计算机犯罪已经到达多么泛滥的程度。

　　在中国，许多政府机关信息系统中保存着机密文件，行业信息系统中保存着核心数据、关键的技术资料，企业信息系统中保存着大量客户数据，怎样保护这些数据？防火墙、入侵检测、反病毒等防外攻击的“老三样”产品显然不行。

　　“内网资源的误用、滥用和恶用，是内网面临的最大的三大威胁。” 曲成义教授说。所谓误用就是一些管理员或操作人员粗心大意或不懂IT技术而对系统的无意识伤害；所谓滥用就是明明规定不允许，但某些人员却依然违规做超越自己权限的事情；所谓恶用就是以经济为目的的故意犯罪行为。

　　“外部攻击影响巨大，但内部攻击危害巨大，为了解决内网安全问题，就出现了强审计产品。”中国信息安全产品测评认证中心副主任陈晓桦博士说，

　　曲成义教授解释：“简单来说，所谓强审计，就是利用日志对网络上的行为、踪迹进行监控，并能事后取证的技术。但是，与传统的计算机日志相比，强审计的日志是不能随便删除、修改的。如果要修改或删除，必须要系统管理员、审计员以及单位领导同时进入系统才能删除，从而有效保护了内网。”

　　此外，电子签名法的出台，使得强审计的日志可以作为给犯罪份子定罪的法律依据！

　　陈晓桦博士将强审计比喻为摄像头，能随时监控网络上人的行为。“也可以叫做‘网络黑匣子’，它能记录内网中人们的上网行为，一旦发现问题，就可调出日志随时取证。”

　　天津市电子政务网最近刚刚安装了汉邦软科集团生产的强审计系统，天津人民政府信息化办公室安全处处长王德庆介绍：单位主要从涉密安全角度考虑，通过采用审计产品，可以有效控制内部人员的非法外联、非法内联以及越权访问等违规行为。

　　为了保证物理隔离的内网不受外界病毒和黑客的攻击，保持应用环境的纯洁性，一般电子政务的内网是不允许用内网的设备随意连入互联网，也不允许将外面的非安全设备随意连入内网，但总有一些人，无论是有意还是无意，总会违规操作，给内网造成威胁。

　　我们的系统有1000多个节点，如果依靠人工检查，很难发现这些违规操作。只有依靠技术手段，才能保证系统的绝对安全。” 王德庆说。

　　国内最早进入强审计领域、并专注于强审计产品研发和生产的汉邦软科集团公司总裁肖达认为，强审计最重要的作用是“威慑”，过去之所以出现内外勾结的犯罪行为，是因为这些人员都存在侥幸心理，认为不会被发现；有些内网的不安全是因为操作人员的滥用但是，有了强审计系统，犯罪或过失行为都会被记录下来，他们往往不得不收敛，这也是许多信息系统安装了强审计系统之后，内部上网行为规范了许多、犯罪行为极大降低的主要原因。

强审计系统 捍卫内网的安全

强审计系统捍卫内网的安全