专利名称:基于构件的应用过程审计平台系统的制作方法
技术领域:
本发明是针对并应用于各种行业的计算机业务信息系统(诸如金融业务、海关业务、证券业务等)的运行跟踪、监测的平台系统,尤其是一种对各种具有特定业务流程的计算机信息系统运行过程中各种行为过程遗留的痕迹信息实时扫描处理、审计的平台系统,属于计算机信息安全防范技术技术领域。
2、病毒防护技术——病毒历来是信息系统安全的主要问题之一,病毒防护技术的特点是可以阻止病毒的传播、检查和清除病毒、病毒数据库的升级、在防火墙、代理服务器及PC上安装Java及ActiveX控件扫描软件、禁止未许可的控件下载和安装。
3、入侵检测技术——入侵检测系统是近年出现的新型网络安全技术,可分为基于主机和基于网络两类,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等,其特点是具有协议分析及检测能力、自身安全的完备性、精确度及完整度、防欺骗能力以及解码效率和模式更新速度快。
4、安全扫描技术——网络安全技术中,另一类重要技术为安全扫描技术,该技术也有基于服务器和基于网络之分,当与防火墙、安全监控系统互相配合时,能够极大的提高网络的安全性。紧密相关。基于服务器的扫描器主要扫描服务器相关的安全漏洞,并给出相应的解决办法建议;而基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
此外还有5、电子邮件系统安全技术——该技术也是信息网与外部必须开放的服务系统。
6、操作系统安全技术——企业信息网内通常会运行许多种操作系统,联网功能也许是目前最重要的功能之一。
计算机信息系统在税务、金融等行业的普及应用,使得这些行业的信息化程度迅速提高,同时利用计算机犯罪和信息系统的安全问题越来越突出。据申请人了解,上述行业中的越轨犯罪行为大多有如下一些特点常利用职务便利条件(这一点同许多犯罪的主体是特殊主体有关);常使用捏造事实、隐瞒真相的诈骗手段;大多使用积极行动的作为方式实施犯罪;职务上的渎职行为较为多见;大多数都以数额较大、金额巨大或造成重大损失为犯罪既遂的标准。而上述行业中的计算机犯罪与传统犯罪手段相比,又有以下特点一是高智能、高技术、高攫取;二是作案手段多样化;三是不受时间和地域的限制;四是隐蔽性强、潜伏期长、低风险,毁灭犯罪证据容易、取证与侦破难等特点,它所产生的影响和后果比其它手段的犯罪严重得多。
尽管为了保障计算机信息系统的安全,可以采取一些预防控制措施,如防火墙、网络隔离、访问控制技术等,也可以综合采用加密技术、身份鉴别技术等。然而,分析应用系统面对的安全问题可以发现,来自内部的基于业务流程的威胁目前还没有有效的措施来预防,这些威胁有非法登录、违规操作、擅自修改数据、擅自恢复历史数据、擅自删除数据、程序、系统配置、非法修改软件、擅自改变软件部署和更新软件版本、擅自删除日志文件、故意钻业务操作空子、内部联手作案等等----一系列为取得非法经济利益或达到非法目的而泛用合法业务操作系统权的行为。
因为传统的信息安全防范措施往往是基于网络通信、操作系统和传输层次的,很少有针对特定业务流程应用层面的安全防范策略。而业务信息系统安全是个多层次多角度的系统工程,需要综合考虑涉及系统安全的方方面面。现有的各种解决方案往往都是基于数据通信和数据存储的,难以做到针对应用行为过程的信息审计;同时,也缺乏一个灵活的能对应用系统中的关键应用进行多层次、多角度的事中监管审计系统平台。
研究表明,任何对业务信息系统安全构成威胁的行为,在其发生的过程中,总会在应用系统的各个层面上留下一些痕迹信息,借助于这些痕迹信息,采取适当的审计策略,就可以及时地发现系统中正在实施或即将实施的业务犯罪隐患,避免犯罪等事件的发生。具体些说,在来自内部的业务系统安全问题中,对业务信息系统的使用过程中必然会在系统层或应用层留下如身份、地点、时间、事件操作痕迹、事件发生频度、操作动作时序信息、关键数据项的突变信息等等痕迹信息,通过监测和审计这些信息便可及时发现业务信息系统安全问题,预防和制止计算机业务犯罪。
在此认识基础上,为了达到以上目的,本发明基于构件的应用过程审计平台系统由以下主要部分构成——AGENT安装在用户业务应用环境中、管理用户业务审计规则配置信息和构件包的下载、调度管理数据探测器(Probe)、与控制服务器连接的数据采集节点,该数据采集节点(AGENT)提供了数据探测器(Probe)一个组件管理调度的平台;——Probe(又称为探针)位于数据采集节点上、基于构件化、根据用户的配置情况进行数据采集并实时上传控制服务器的数据探测器;——Control Server安装在独立的系统上、由审计部门管理、提供自动配置库和构件库的管理、动态调用各类数据分析器、数据挖掘器等辅助构件功能包进行数据的分析和挖掘的控制服务器,其中包含A、存放探针采集的、经过过滤器过滤以及格式化后的审计记录数据的业务数据库;B、完成对采集的数据按审计规则库定义的分析策略进行实时分析处理、判定风险等级并触发审计事件的实时分析器;C、按审计规则完成对采集的数据以及应用系统原始数据库的进一步挖掘、分析的功能的事后数据分析工具;D、根据用户需要定制报表、生成信息审计报告的自动报表工具;E、用以与用户控制台(User Console)连接的实时报警或SNMP接口;F、定义探针数据采集策略、实时分析器的过滤、分析策略以及事后数据分析工具工作方式的审计规则库;——User Console供用户配置规则和查看报表以及其它相关信息的可视化图形的用户控制台。
以上用户业务应用环境为各种行业的计算机业务信息系统,而非业务信息系统的通用承载计算机网络;数据探测器包括监控应用服务器的服务器探针、监控各子网络的网络探针、监控数据库的数据库探针、监控应用软件的软件探针以及监控业务流程的事件触发探针。
工作时,安装在现有业务应用环境中的数据采集节点下载用户业务审计规则配置信息和构件包、启动数据探测器,并完成数据探测器的调度和管理;数据探测器根据用户的配置情况进行数据采集,并实时上传到控制服务器;控制服务器根据审计规则库定义的探针数据采集策略、实时分析器的过滤、分析策略以及事后数据分析工具工作方式,由业务数据库存放探针采集的、经过过滤器过滤以及格式化后的审计记录数据;实时分析器完成对采集的数据按审计规则库定义的分析策略进行实时分析处理、判定风险等级并触发审计事件;事后数据分析工具按审计规则完成对采集的数据以及应用系统原始数据库的进一步挖掘、分析;自动报表工具根据用户需要定制报表、生成信息审计报告;通过实时报警/SNMP接口传输到用户控制台,供用户配置规则和查看报表以及其它相关信息,从而实现对各种应用系统、应用过程、应用结果安全的合理性、过程行为的合法性、结果数据的真实性进行客观、适时的监测与审核,将各种违规、可疑事件及时报警,并提交各种审计报告。
由此可见,本发明是面向特定业务流程应用的安全平台,综合应用了构件技术、安全管理和安全体系架构技术、安全审计和入侵检测预警技术,采用了应用过程审计的方法,提供了面向领域应用安全审计的一个通用平台,把基于业务规则的安全审计引入安全管理体系,为审计人员提供了完整的事中、事后系统审计的工具,其构件化、知识库化所提供的灵活性与可组合性为适应千差万别的基于计算机信息系统的行业运用提供了保障条件;构件库、知识库的开放性、可升级性为适应不同行业运用的变化发展提供了技术保障。
与上述各种现有计算机安全防范技术相比,本发明具有通过事中过程审计对业务系统运行过程中各种内部、外部行为过程在信息系统各个层面上(应用系统、数据库、操作系统、网络)所遗留的痕迹信息进行实时和准实时扫描分析处理和预警的特点,因此可以及时发现各种违规、可疑事件,进而从根本上预防和杜绝计算机犯罪,确保信息系统的安全。与目前商业银行使用的各种属于事后结果审计范畴的事后监督系统相比,显然具有显著的特点和实质性的进步。
与入侵检测系统相比可以下表反映其本质区别
下面结合附图对本发明作进一步的说明。
图1为本发明实施例一的系统结构示意图。
图2是图1实施例一的拓朴示意图。
图3是实施例一中银行储蓄取款业务应用环境示意图。
图4是实施例一中银行储蓄取款业务分解过程示意图。
图5是本发明实施例二的拓朴示意图。
该系统可以用形象的拓朴图2表示,其具体的配置情况如下1、数据采集节点——安装在现有金融大型网络系统的中央服务器集群上,数据采集节点(Agent)提供了基于构件的数据采集探针的运行管理支持平台,数据采集节点(Agent)安装完成后,所有数据采集探针构件以及数据采集规则配置信息都在用户控制台统一配置部署分发到数据采集节点(Agent)。其支持平台为IBM AIX,所有的数据采集节点均连接到独立的信息审计控制服务器上。
除了IBM AIX外,其他可支持的平台还有SCO UNIX、UNIWARE、WIN98/NT/2000/XP。如需要实现网络监听,则必须安装在一台独立的WIN98/NT/2000/XP工作站上。
2、控制服务器——基本硬件配置为CPU PIII800、内存256M、硬盘10G、显示器14寸;运行软件需求为操作系统WINDOWNS2000/NT/XP。数据库服务器视数据压力可以使用独立服务器或与控制服务器合并,系统数据库使用MYSQL 4 MAX版本,也可以使用ORACLE、SYBASE、SQL SERVER、INFORMIX的WINDOWS版本。
3、网络——支持网络协议TCP/IP(考虑数据传输问题,最好在局域网内运行,也可以基于高速率的广域网环境。)4、用户控制台(User Console)——可视化的图形用户终端,供用户配置规则和查看报表以及其它相关信息。所有的管理都在用户控制台上进行。基本配置为CPU PII800、内存128M、硬盘20G。运行软件环境为操作系统WINDOWNS 98/NT2000/XP。
下面以银行储蓄取款业务为例,具体说明本实施例的系统工作情况。本例完整的银行储蓄取款业务可以应用环境如图3所示,业务过程分解如图4所示。
本实施例基于构件的应用过程审计平台系统(APA)通过以下几个关键域要素对过程行为进行安全审计1、身份。通常应用系统根据用户的身份决定是否执行其提出的访问要求,用户身份是安全策略的核心问题之一。
2、地点。通过网络设备的识别码建立起一个可管理的网络,从而可以准确了解和控制访问设备的访问位置及访问权限。
3、时间。操作时间常常与应用行为的合理性相关联。
4、过程行为特征事件发生频度、关键数据项的突变、操作动作时序信息等业务动作行为特征。
当银行储蓄取款业务开展时,在终端前置机、中心交换机网络、业务主机上部署的相应探针构件从审计知识管理库中调入相应的领域应用审计规则模板、配置完数据采集策略和实时分析策略后,可以通过APA监控以下各业务环节并实时审计其中的可疑行为1、操作员登录,该动作的合法性与身份、地点、时间、过程行为特征相关,如只有柜员才能在柜台终端在工作日的8:30-5:30登录储蓄应用系统、反复尝试登录5次以上、一个登录名在多个柜台终端登录等。
2、输入取款操作,该动作的合法性与身份、地点、时间、过程行为特征相关,如只有柜员才能在柜台终端在工作日的8:30-5:30进行取款操作、取款金额不大于5000以上等。
3、连接数据库操作,如在信息中心外不允许直接连接后台数据库、反复尝试登录5次以上等。
4、扣除账户操作,如取款金额不大于5000、一日累加扣除账户操作大于10000、在多个地点以相同账户取款间隔时间小于1分钟等。
一旦安装在终端前置机、中心交换机网络、业务主机各数据采集节点上的相应探针构件发现以上可疑事件,即实时上传到控制服务器,并由控制服务器(Control Server)通过实时报警/SNMP接口向用户控制台(User Console)发出相应报警信号以及所需的报表或其他相关的可视化图形信息。
由此可以看出,本实施例的系统具有如下创新之处1、对各种领域应用系统运行过程中存在的各种安全隐患和业务风险,建立基于应用行为过程的审计体系。通过对业务系统运行过程中各种内部、外部行为过程在信息系统各个层面上(应用系统、数据库、操作系统、网络)所遗留的痕迹信息进行实时和准实时扫描处理,并依据业务处理的合理性、合法性、真实性审计策略和方法,进行信息的实时分析和预警。
2、将领域应用的业务处理特性与安全审计规则相结合。通过可视化的审计规则定制,定义探针的数据采集策略、实时分析器的过滤、分析策略以及事后数据分析工具的工作方式,驱动探针、分析器工作;并与主机层、网络层安全措施结合,可以形成一套完整的信息安全审计体系。
3、实现构件化的信息审计平台。平台融入了软件框架技术、分布式计算模型和接口标准的先进思想,可以在平台基础上快速开发、部署新的探针、分析器等构件,从而灵活扩展系统功能,适应各种应用的复杂性。
4、建立领域应用审计知识管理库。知识管理库中保存了领域应用审计规则模板、审计业务描述、审计事件风险等级定义、审计事件的处理结果等内容,从而不断地积累安全审计知识,实现信息审计知识的复用。
通过以上对本实施例的描述可见,首先基于构件的应用过程审计平台系统是针对领域应用系统的基于应用行为过程的审计平台。由于应用系统本身千差万别、开放程度有限以及关注点不同等因素,使得针对领域应用系统的信息审计非常困难,传统的对计算机信息系统进行的审计跟踪、保存审计记录和维护审计日志工作主要集中在网络层、系统层,而且更多的是针对日志。虽然应用系统自身或多或少都实现了部分日志功能,但日志的全面性很难保证,而且缺乏相应的日志分析、预警处理手段,日志的存储管理、防止篡改也存在问题。而基于构件的应用过程审计平台系统采用平台化的手段,通过对业务系统应用行为过程审计的方法,超越单纯的事后日志审计。
其次,基于构件的应用过程审计平台系统将领域应用的业务处理特性与安全审计规则相结合。在现实环境中,存在大量的以合法用户的身份非法使用信息系统的案例,对其单纯按照传统的安全审计方法进行审计是无效的。而结合领域应用的业务处理特性和业务规则,可以将这些可疑、异常的业务操作甄别出来。然而,由于业务系统的复杂性,需要对整个领域应用有比较透彻的理解并且有一套方法来实现审计规则定制。基于构件的应用过程审计平台系统与主机层、网络层安全措施结合,可以形成一套完整的信息安全审计体系。
另外,基于构件的应用过程审计平台系统是构件化的信息审计平台。基于构件的应用过程审计平台系统是面向应用的,为了应对应用的复杂性和变化,构件化是自然的选择。基于构件的应用过程审计平台系统是一个分布式系统,平台需要实现构件的集中管理、自动部署以及快速开发、组装能力,基于构件的应用过程审计平台系统在因为构件化而大大提高了安全审计的产品化程度和可扩展性的同时,也给系统实现带来了一定的复杂性。
本实施例的具体工作情况可以结合不同的审计规则、根据实施例一类推,不另赘述。
除上述实施例外,本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围内。
权利要求
1.一种基于构件的应用过程审计平台系统,由以下主要部分构成——安装在用户业务应用环境中、管理用户业务审计规则配置信息和构件包的下载、调度管理数据探测器(Probe)、与控制服务器连接的数据采集节点,该数据采集节点(AGENT)提供了数据探测器(Probe)一个组件管理调度的平台;——位于数据采集节点上、基于构件化、根据用户的配置情况进行数据采集并实时上传控制服务器的数据探测器;——安装在独立的系统上、由审计部门管理、提供自动配置库和构件库的管理、动态调用各类数据分析器、数据挖掘器等辅助构件功能包进行数据的分析和挖掘的控制服务器,其中包含A、存放探针采集的、经过过滤器过滤以及格式化后的审计记录数据的业务数据库;B、完成对采集的数据按审计规则库定义的分析策略进行实时分析处理、判定风险等级并触发审计事件的实时分析器;C、按审计规则完成对采集的数据以及应用系统原始数据库的进一步挖掘、分析的功能的事后数据分析工具;D、根据用户需要定制报表、生成信息审计报告的自动报表工具;E、用以与用户控制台(User Console)连接的实时报警或SNMP接口F、定义探针数据采集策略、实时分析器的过滤、分析策略以及事后数据分析工具工作方式的审计规则库;——User Console供用户配置规则和查看报表以及其它相关信息的可视化图形的用户控制台。
2.根据权利要求1所述基于构件的应用过程审计平台系统,其特征在于所述用户业务应用环境为各种行业的计算机业务信息系统。
3.根据权利要求2所述基于构件的应用过程审计平台系统,其特征在于所述数据探测器包括监控应用服务器的服务器探针、监控各子网络的网络探针、监控数据库的数据库探针、监控应用软件的软件探针以及监控业务流程的事件触发探针。
4.根据权利要求3所述基于构件的应用过程审计平台系统,其特征在于所述控制服务器(Control Server)中还包含探针构件部署的管理以及构件自动生成工具在内、可以由用户方便地对系统进行扩充、以应对应用系统复杂性和多变性的审计构件库。
5.根据权利要求4所述基于构件的应用过程审计平台系统,其特征在于所述控制服务器(Control Server)中还包含定义探针数据采集策略、实时分析器的过滤、分析策略以及事后数据分析工具工作方式的审计规则库。
6.根据权利要求5所述基于构件的应用过程审计平台系统,其特征在于所述控制服务器(Control Server)中还包含保存领域(行业)应用审计模板、审计业务描述、审计事件风险等级定义、审计事件的处理结果等内容的审计知识管理库。
全文摘要
本发明是针对并应用于各种行业的计算机业务信息系统(诸如金融业务、海关业务、证券业务等)的运行跟踪、监测的平台系统,属于计算机信息安全防范技术技术领域。该系统的主要组成部分有连接控制服务器的数据采集节点,位于数据采集节点上的探针,包含业务数据库、实时分析器、事后数据分析工具、自动报表工具、审计规则库的控制服务器,以及用户控制台。本发明具有通过事中过程审计,对业务系统运行过程中各种内部、外部行为过程在业务系统各个层面上所遗留的痕迹信息进行实时和准实时扫描分析处理和预警的特点,因此可以及时发现各种业务违规、可疑及可能的犯罪事件,进而从根本上预防和杜绝计算机业务犯罪,确保业务系统的安全运行。
文档编号H04L12/26GK1417690SQ0214841
公开日2003年5月14日 申请日期2002年12月3日 优先权日2002年12月3日
发明者吕军, 李伟奇, 薛伟生 申请人:南京金鹰国际集团软件系统有限公司