摘要：安全审计及责任认定方案以密码技术和大数据分析技术为基础，基于网络空间主体行为事件，全天候、全方位监控密码应用系统的安全状态，从全局视角对应用安全威胁进行发现识别、精确分析、应急处理和责任认定，增强密码应用安全的防御能力、追责能力和威慑能力。本方案探究了安全审计及责任认定系统的需求和作用，阐述了系统的关键技术、技术架构、方案特色和部署应用。

关键词：应用支撑、责任认定、安全审计、日志分析、应用安全

1、概述

国办2006[11]号文《关于网络信任体系建设的若干意见》中明确提出，加强我国网络信任体系研究和建设工作的要求。为建立起我国网络空间安全可信的网络信任体系，相关部门已推动建立网络空间领域从上至下，纵横贯通的网络身份认证和信任体系。

安全审计和责任认定作为网络信任体系的重要组成部分，是实现网络行为可核查、网络事件责任可追究和打击网络犯罪的重要途径。本解决方案以密码技术和大数据分析技术为基础，建立基于环境、动态、整体的责任追踪系统，全天候、全方位监控密码应用系统的安全态势，从全局视角对应用安全威胁进行发现识别、精确分析、应急处理和责任认定，增强密码应用安全的防御能力、追责能力和威慑能力。

安全审计及责任认定解决方案基于数字证书和电子签名技术，对密码应用系统提供审计服务、预警服务以及责任认定服务。系统通过对系统日志、操作日志、主机日志、网络设备日志等进行收集，运用密码技术，对签名日志进行验证追踪，防止用户操作行为抵赖，并结合大数据分析技术，挖掘行为事件中关联信息，排查违规行为事件，进行风险预警，为行为事件的责任认定提供依据，为组织和企业构建清洁、健康的网络生态环境提供有力支撑。

2. 需求分析

当前，组织和企业在信息安全领域面临比以往更为复杂的局面，这既有来自于组织和企业外部的层出不穷的入侵和攻击，也有来自于组织和企业内部的违规和泄漏，还有来自应用的设计缺陷导致的安全问题等。

为了不断应对新的安全挑战，解决应用安全问题，一些组织和企业部署了身份认证系统、授权管理系统、访问控制系统、可信时间服务系统、签名服务系统、电子印章系统等密码应用系统，直接或间接为用户提供安全服务保障。但用户仍然面临如下几个方面的问题：

（1）各密码应用系统都独自从某一方面对组织和企业应用进行安全防护，没有产生协同效应，形成了一个个安全防御孤岛。

（2）密码应用系统自身也面临设计漏洞、管理不规范、违规操作等安全风险。

（3）现有网络审计和行为审计系统仅仅对网络流量、地址、端口、上网时间等基本网络行为事件进行了汇总，没有对业务系统操作系统进行记录，更没有关联分析功能。

（4）海量日志信息彼此割裂，仅靠日志管理员从单个系统查看，工作效率极低,难以通过日志发现潜在的安全隐患。

（5）现有网络日志审计基本没有采用密码技术，未作任何签名，不具电子签名法保护的效力。

为了全天候、全方位的监控密码应用态势，增强组织和企业对密码安全应用的整体控制和应急响应能力，需要整合资源，对密码应用系统业务日志进行归总，对操作签名日志进行抗抵赖验证、分析研判、溯源取证，并在此基础上实现预警，在出现安全事故时可以高效精准定位事件责任，为密码应用系统和业务应用系统提供安全审计及责任认定服务。

3. 方案架构

3.1 技术架构

图 1技术架构图

如图1所示，安全审计及责任认定系统构建在密钥管理基础设施和电子认证基础设施之上，与身份认证、资源授权访问、可信时间、电子等签章等构成安全应用支撑层，对上层应用提供信任支撑服务。安全审计及责任认定系统主要由数据采集器、数据预处理系统、数据分析系统、审计及责任认定中心和系统配置管理组成。系统通过从业务应用系统、数据库、服务器、终端设备、网络设备等收集数据，经过分析处理，形成审计报告、风险预警，并采用电子签名技术，对业务操作签名日志进行验证鉴别，可形成责任认定依据。

3.2 部署说明

图 2系统部署图

安全审计及责任认定系统部署如图2所示，安全审计及责任认定系统服务器与身份认证、授权管理、资源管理、可信时间服务、电子印章服务独立部署在安全应用支撑服务区，业务应用服务区、操作管理区均部署数据采集器。密钥管理基础设施和电子认证基础设施在组织或企业中心，为整个网络应用提供基础支撑服务。安全应用支撑服务区各系统为业务应用和操作管理区的设备和应用提供安全支撑服务。安全应用支撑服务支撑级联模式，可以在异地进行跨区域部署。

3.3 主要功能

(1）数据采集器

数据采集器对数据库、应用系统、服务器或终端设备等的日志进行采集，各采集器按照数据采集系统的数据采集服务协商的数据格式进行数据封装，并按照数据采集服务协议进行数据转发。

(2)数据预处理系统

数据预处理系统负责实体对象的管理，数据采集策略管理，控制数据采集器的采集行为，开放数据采集服务。数据预处理系统可以对数据采集器采集到的日志原始数据进行存储、查询、筛选等管理，同时还会对采集到的原始数据进行归一化、清理、集成、转换和规约等预处理。

(3)数据分析系统

数据分析系统可按照收集对象、日志级别、事件属性和系统自定义的规则对日志数据进行统计，并对签名日志进行验证分析，生成统计信息并以丰富的图表进行展示。针对安全事件按照预定义或自定义的关联规则进行数据关联分析，形成分析报告，发现和捕获各种敏感信息和违规网络行为等。

(4)审计及责任认定中心

安全审计模块根据安全策略、知识库识别和分析用户风险行为，并采用电子签名技术对签名日志进行验签，检查操作日志是否被篡改，防止操作行为人抵赖。责任认定中心提供违规、违法等安全事件责任认定的支撑服务，通过关联分析、智能检索形成的关联事件分析报告和统计数据,与预设的安全事件类型、范围条件、安全级别、主体对象进行匹配，形成安全事件行为主体的行为轨迹，呈现事件相关的以时间、主体、客体等为主线的行为过程和行为内容，实现安全事件的智能倒查追溯/取证/认定，并生成安全事件的责任认定报告，并通过电子签名技术对责任认定报告进行签名，保证生成报告的安全性，辅助用户进行安全事件的责任认定工作。

(5)系统配置管理

系统配置管理模块负责对数据采集器、数据预处理系统、数据分析系统和审计责任认定中心进行集中配置管理。管理员角色采用三权分立，通过数字证书进行身份认证登录系统，实现系统的配置管理、业务操作和安全审计，以保障系统自身安全。

3.4 技术指标

（1）数据接收性能

支持千个以上采集器同时工作上报日志信息。

（2）数据存储容量

支持PB级数据存储量。

（3）数据分析性能

支持PB级的数据分析查询。

（4）系统可靠性

保持7*24小时稳定运行。

（5）密码算法

支持国产SM2/SM3/SM4算法。

3.5 关键技术

(1) 密码技术

系统自身管理采用数字证书进行身份认证，对责任认定报告及证据文件等敏感数据进行加密和签名保护，对密码应用系统的操作日志采用签名验签技术进行防篡改检查，并防止操作行为抵赖。密码运算采用国家密码主管部门认可的密码设备和算法。

(2) 大数据技术

运用大数据采集、大数据预处理、大数据存储和大数据分析对大数据生命周期进行管理。大数据采集针对来源各异的海量异构数据进行采集。大数据预处理会对数据进行清理、集成、转换和规约。大数据存储采用关系型和非关系型数据库结合的方式对大数据进行存储。大数据分析挖掘是从可视化分析、数据挖掘算法、预测性分析、语义引擎、数据质量管理等方面，对杂乱无章的数据，进行萃取、提炼和分析的过程。

(3) 关联分析

使用关联分析技术，对用户操作行为进行还原，追踪安全责任事件的证据链。

4. 方案特色

（1）基于密码技术构建安全基础设施

建立基于密码技术的底层安全基础设施，应用符合国家密码主管部门要求的密码产品加强身份认证和数据保护，确保安全可控。

（2）基于用户行为的责任分析

方案提供基于用户行为的责任分析。用户行为提炼自各类日志，通过对各类日志的关联分析和深度挖掘，还原用户行为轨迹，对安全事件定责提供事实依据。

（3）协查取证

方案提供跨区域的协查取证，支持异地发起请求，本地进行责任分析并生成分析报告。

5. 适用领域

本方案可广泛适用于金融、交通、医疗、能源、教育、住建、社保、民生、保险、证券、基金、电信、公安、互联网等领域，构建信任服务体系，实现对用户行为的安全审计和责任认定等。

6. 企业分工

安全审计及责任认定系统为软件产品，需要服务器平台（也可以部署在云平台）、数据库、密码设备和操作系统支持。软件由我公司自主研发设计开发。系统支持多种服务器平台（X86平以及龙芯、飞腾、鲲鹏等国产平台）；支持Windows、Linux、Unix以及国产麒麟、UOS操作系统；支持多款国产数据库，如武汉达梦、人大金仓等；密码设备支持卫士通的商密服务器密码机（SHJ0901-B/C），北京三未信安密码卡（SJK1967-G、SJK1828-G）和山东渔翁密码卡（SJK1917-GS）。

7. 应用案例

该方案目前已在某省级电子政务应用安全体系部署应用。

成都启航信息技术有限公司

联系人：陈娇

联系电话：028-85564869