安全審計機制范文

序論：在您撰寫安全審計機制時，參考他人的優秀作品可以開闊視野，小編為您整理的7篇范文，希望這些建議能夠激發您的創作熱情，引導您走向新的創作高度。

第1篇

    信息安全綜合審計工作涉及的對象和場景很多,其全過程是一個非常復雜的多維集合體,為形成體系化的綜合審計框架,十分有必要建立一個多維的綜合審計模型,并通過模型確定達到信息安全綜合審計治理預期目標需要涉及的詳細研究對象和研究內容,確定綜合審計體系包含的具體審計模式,確定各研究內容間的具體依賴關系,為信息安全綜合審計工作的開展提供科學合理的全局視圖[2]。多維信息安全綜合審計模型的建立,旨在對系統保密性、完整性、可用性、可控性、不可否認性和可核查性這6個方面的要求,最終的目標是對信息安全的整體性保障。在此目標下,根據信息安全審計全過程所涉及的各要素特征,劃分為審計對象、審計模式和審計管理3個維度,同時為各維度確立了4個屬性,體現各維度的信息構成完整性,以立方體形式對信息安全綜合審計體系全過程進行描述。

    1.1審計對象維度

    審計對象是信息安全活動的核心標識載體,是描述信息安全事件不可或缺的要素,根據信息安全活動的特點,將審計對象劃分為人員、時間、地點、資源4個屬性。人員人員是信息安全活動產生的源頭,除了廣義上的人員姓名、性別、年齡等基本信息外,還需延伸到其在信息安全活動中使用的賬號、令牌、證書等個人標識信息。時間時間是信息安全活動的窗口,任何信息安全活動都會產生時間戳,可用以標識信息安全活動的開始、結束及其中間過程。地點地點是信息安全活動發生的位置,不僅包括傳統意義上的地理位置信息,還包括網絡空間中源IP、目的IP等位置信息。資源資源是信息安全活動所依賴的先決條件,包括計算機硬件、操作系統、工具軟件等一切必要的資產。

    1.2審計模式維度

    審計模式是綜合審計的具體運用,是綜合審計模型的關鍵集成點,根據信息安全活動的具體類型和場景,將審計模式劃分為運維操作、數據庫應用、網絡應用、終端應用4個屬性。運維操作運維工作是支撐網絡和信息系統穩定運行的重要前提,但運維人員掌握著系統的高級權限,由此帶來的運維風險壓力也越來越大,因此必須引入運維操作審計管理機制。運維操作審計的核心是加強對運維人員賬號和權限的管控,即在集中運維模式下實現運維人員與目標系統的邏輯分離,構建“運維人員主賬號(集中運維賬號)授權從賬號(目標系統賬號)目標系統”的管理架構,并對具有唯一身份標識的集中運維賬號設置相應的權限,在此架構下實現精細化運維操作審計管理[3]。數據庫應用在大數據時代,數據庫是最具有戰略性的資產,其黃金價值不言而喻,數據一旦被非法竊取,將造成難以估量的損失。運維層面的數據庫安全可通過運維操作審計來實現,數據庫審計的核心應是加強業務應用對數據庫訪問合規性的管控,建立“業務系統SQL語句數據實例返回結果”的識別監聽架構,將采集到的業務系統信息、目標實例對象、SQL操作動作等信息進行基于正常操作規則的模式匹配,并對應用層訪問和數據庫操作請求進行多層業務關聯審計,實現業務系統對數據庫訪問的全追溯[4]。網絡應用無論數據中心內的信息系統還是辦公區內的辦公終端都會產生大量的網絡流量,加強對網絡流量的識別和分析,是發現違規行為的重要途徑。網絡應用審計的核心是通過網絡監聽技術,建立“用戶(業務系統)交互對象網絡流量分類識別”的管理架構,對各類網絡數據包進行協議分析,其重點是要對網站訪問、郵件收發、文件傳輸、即時通信、論壇博客、在線視頻、網絡游戲等典型應用進行區分和記錄,達到對用戶及業務系統間雙向網絡應用的跟蹤審計[5]。終端應用終端是信息安全的最后一道防線,同時也是最薄弱的一個環節,無論是服務器還是辦公機,要么是應用的發起者要么是接受者,是信息安全事件的落腳點。終端應用審計的核心是通過掃描和監控收單,建立“主機安全基線+介質數據交換”的管控架構,對終端補丁安裝、防病毒軟件、文件下載、文檔內容的安全基線進行記錄審查,并對移動存儲介質與外界發生的數據交換進行跟蹤記錄,實現對終端各類行為審計的全覆蓋。

    1.3審計管理維度

    綜合審計管理的目的是要實現對信息安全風險的全面治理,需包括事前規劃預防,事中實時監控、違規行為阻斷響應,事后追蹤回溯、改進保護措施,根據綜合審計管理事前、事中、事后三個階段的特點,將控制、監控、響應、保護定義為該維度的4個屬性。控制指按照權限最小化原則,采取措施對一切必要的信息資產訪問權限進行嚴格控制,僅對合法用戶按需求授權的管理規則。監測指對各類交互行為進行實時監控,以便及時發現信息安全事件的管理規則。響應指對監測過程中發現的違規行為進行及時阻斷、及時處理的管理規則。保護指對監測到的各類交互行為進行記錄回放、并積極采取改進保護措施的管理規則。

    2信息安全綜合審計治理閉環管理機制

    在多維信息安全綜合審計模型基礎之上,按照全過程的管理思路,應以綜合治理為目標導向,對存在的信息安全問題進行閉環管理,研究事前、事中、事后各環節的關聯關系,形成相互補充、層層遞進的閉環管理機制。

    2.1事前階段

    制定統一的安全審計策略,以保證信息系統的可用性、完整性和保密性為核心,實現對用戶身份和訪問入口的集中管理,嚴格權限管理,堅持用戶權限最小化原則,注重將用戶身份信息與網絡和信息系統中的各種應用與操作行為相結合,保證審計過程與審計結果的可靠性與有效性。

    2.2事中階段

    實時監測運維操作、數據庫應用、網絡應用和終端應用產生的數據,通過規則及時發現違規信息安全事件,做到實時響應、實時處理,并通過多個維度將各種基礎審計后的安全事件有機地整合起來,做到信息安全事件的全記錄、全審計。

    2.3事后階段

    對各類審計數據進行標準化處理及歸檔入庫,為安全事件的準確追蹤和回溯提供有力支持。同時,對信息安全事件進行深度分析,查找事件發生的深層次原因,執行有針對性的彌補措施,并更新信息安全審計策略,形成良性的管理機制。

    3信息安全綜合審計系統架構設計

    3.1技術架構

    信息安全綜合審計系統面臨的一大問題就是各業務系統與網絡設備運行獨立,信息集成和交互程度較低,服務器、交換機、辦公終端都是獨立的審計對象,均會產生大量的審計數據,但又缺乏集中統一的審計數據管理視角,構建對審計數據的統一處理能力應是綜合審計體系建設的核心思路,信息安全綜合審計體系有效運行的關鍵就在于對可審計數據的采集,以及對數據分析處理的能力。因此必須在多維信息安全綜合審計模型框架下,建設“原始數據收集數據標準化處理審計事件分析事件響應與展現”的全過程處理過程,實現從采集到展現的一體化綜合審計系統,包括數據采集、數據處理、事件分析和事件響應4大功能模塊。數據采集對網絡中的數據包、主機中的重要數據的操作行為、操作系統日志、安全設備日志、網絡設備日志等原始數據進行收集;數據處理將采集到的原始數據進行標準化處理,將處理后的數據變為日志,存儲到數據庫中,并交付“事件分析”模塊;事件分析對標準化處理后的事件進行分析、匯總,同時結合人員信息做出綜合判斷,有選擇地將分析結果發送到“事件響應”單元,并進行存儲與展現;事件響應對分析后的結果做出反應的單元,可以結合其他的安全措施對事件做出中斷會話、改變文件屬性、限制流量等操作。

    3.2業務架構

    安全綜合審計應保證審計范圍的完整性,只有范圍覆蓋得合理且全面,才能保證信息安全審計的充分性和有效性,才能達到綜合治理的目的。同時,過大的系統覆蓋維度又會使審計點過多,導致審計體系無法貫徹落實。因此,應在多維信息安全綜合審計模塊框架下對運維操作、數據庫應用、網絡應用和終端應用開展審計工作。通過對運維操作、數據庫應用、網絡應用、終端應用等各類審計關鍵技術的整合,充分運用數據統計、數據分析、數據展現等手段,構建完備的綜合審計知識庫,再結合信息安全實際環境和治理策略,制定科學合理的審計規則,實現信息安全治理工作技術與管理的統一,從根本上提高信息安全綜合治理能力[6]。

第2篇

關鍵詞：系統日志；回調機制；松耦合

中圖分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)24-1150-02

The Application of Callback Mechanism in the Security System Log

LI Jian-hui1, DENG Zhao-hui2

(1.Yueyang Radio and TV University,Yueyang 414000,China;2.Chenzhou Vocational Technical College,Chenzhou 423000,China)

Abstract: Inside a complete information system, the diary system is an extremely important function constituent. Under it may record all behaviors which the system produces, and defers to some way to preserve. We may use the information which the diary system records for the system to carry on misprinting, the optimized system performance. In the security domain, the diary system status is more important, it is one of safe audit aspect most main tools. This article introduced adjusts callback utilization in the diary system.

Key words: systems log;call-back;lax-coupling

系統的日志記錄提供了對系統活動的詳細審計，這些日志用于評估、審查系統的運行環境和各種操作。對于一般情況，日志記錄包括記錄用戶登錄時間、登錄地點、操作內容等項目，在一個完整的安全審計系統里面，日志系統是一個非常重要的功能組成部分。

1 問題地提出

通常，借助于面向對象的分析、設計和實現技術，開發者可以將用戶的需求轉換為軟件系統中的模塊，從而很自然地完成從需求到軟件的轉換。但是，在軟件系統中，往往有很多模塊，或者很多類共享某個行為，或者是某個行為存在于軟件的各個模塊中，這個行為可以看作是“橫向”存在于軟件之中，它所關注的是軟件的各個部分的一些共有的行為，而且，這種行為在很多情況下不屬于業務邏輯的一部分(如圖1)，系統日志的記錄就屬于這種行為。這種操作并不是業務邏輯調用的必須部分，但是，開發者卻往往不得不在代碼中顯式進行調用，并承擔由此帶來的后果（例如，當日志記錄的接口發生變化時，必須對調用代碼進行修改）。這種問題，使用傳統的面向對象的方法是很難解決的。本文就討論在Delphi中如何將這些“橫切面”與業務邏輯代碼相分離，從而得到松耦合軟件結構以及更好的性能、穩定性等方面的好處。

圖1 業務邏輯示意圖

2 分析問題

對于日志系統，為了得到好的程序結構，通常使用面向對象的方法，將系統日志過程封裝在一個類中，這個類包含了一個系統日志的代碼，例如：

TLog=class//日志類

procedure exepre(Sender: TObject);//執行業務邏輯前的系統日志

procedure exeback(Sender: TObject);//執行業務邏輯后的系統日志end;

TBusiness =class(TLog)//業務邏輯類

procedure Business (Sender: TObject);//業務邏輯

end;

……//處理業務邏輯

exeback(Sender);//處理業務邏輯后記錄系統日志

end;

procedure TForm1.Button1Click(Sender: TObject);

begin

mybusiness:= TBusiness.Create();

mybusiness. Business (Memo1);//調用業務邏輯

end;

procedure TLog.exepre(Sender: TObject);

begin

TMemo(Sender).Lines. Add('業務邏輯開始')

end;

procedure TLog.exeback(Sender: TObject);

begin

TMemo(Sender).Lines. Add('業務邏輯結束')

end;

end.

通常情況下，實現日志系統的最直接的方法：創建一個類，將日志功能放在其中，并讓所有需要日志功能的類繼承這個類。這樣的方法有如下問題：

1) 如果這個需求是后期提出的，需要修改的地方就會分散在多達數十個分散的文件中。巨大的修改量，無疑會增加出錯的幾率，并且加大系統維護的難度。

2) 代碼混亂：軟件系統中的模塊可能要同時兼顧幾個方面的需要。舉例來說，開發者經常要同時考慮業務邏輯和日志問題，兼顧各方面的需要會導致兩種實現元素同時出現，從而引起代碼混亂。

3) 緊耦合：使用這種方法，我們必須在業務邏輯代碼必須繼承自TLog類，這就造成了業務邏輯代碼同TLog類的緊耦合，這意味著，當TLog發生變化時，例如，當系統進化需要對exepre和exeback的方法進行改動時，可能會影響到所有引用代碼。

3 解決方案

為了解決上述問題，考慮引入Delphi中的回調機制[1]?；卣{機制的基本思想就是調用者在初始化一個對象（這里的對象是泛指，包括OOP中的對象、全局函數等）時，將一些參數傳遞給對象，同時將一個調用者可以訪問的函數地址傳遞給該對象。這個函數就是調用者和被調用者之間的一種通知約定，當約定的事件發生時，被調用者（一般會包含一個工作線程）就會按照回調函數地址調用該函數。如下是回調函數的一個簡單實例：

1) 回調函數類型定義：

TCalcFunc=function (a:integer;b:integer):integer;

2) 按照回調函數的格式自定義函數的實現，如

function Add(a:integer;b:integer):integer

begin

result:=a+b;

end;

function Sub(a:integer;b:integer):integer

begin

result:=a-b;

end;

3) 回調的使用

function Calc(mycalc:TcalcFunc;a:integer;b:integer):integer

begin

mycalc(a,b);……………………………..③

end;

4) 下面，我們就可以在我們的程序里按照需要調用這兩個函數了

c:=calc(@add,a,b);//c=a+b…………………①

c:=calc(@sub,a,b);//c=a-b………………….②

通過上面的實例我們可以看出：程序中在①②處分別兩次調用了calc()函數，第一次采用add()函數的地址和兩個數作為參數，第二次采用sub()函數的地址和兩個數作為參數。相當于通過調用一個函數calc()，傳遞了不同的函數地址參數，得到了不同函數的調用。

以上是回調函數的的基本思想，如果將系統日志操作語句放在③處的上面和下面，這樣在不改動業務邏輯add()、sub()函數的基礎上增加了系統日志。下面將本文第一個例子采用回調機制重新改寫，結果如下。

為了實現松散耦合結構，利用兩個類分別實現日志功能和業務邏輯。

type

THDProcedure = procedure(Sender: TObject) of object;

TLog=class//日志類

procedure Mylog(mypro:THDProcedure;Sender: TObject);//處理系統日志

end;

TBusiness=class //業務邏輯類

…….. //處理業務邏輯

End;

procedure TForm1.FormCreate(Sender: TObject);

begin

rz:=TLog.Create();

dz:=TBusiness.Create();

end;

end.（下轉第1154頁）

（上接第1151頁）

以上日志類和業務邏輯類的定義中，需要說明的是：

1) 回調函數類型定義：THDProcedure = procedure(Sender: TObject) of object，這個定義中的參數必須與業務邏輯類中的處理業務邏輯方法的參數一致。

2) 因為定義的回調函數不是一個普通的函數，它是業務邏輯類對象的方法，所以of object關鍵字是表示這個方法屬于對象方法（不是類方法），也就是說這個函數類型的參數列表中將包括隱含的self參數（其中參數為對象方法中要使用的對象指針）。

3) 業務邏輯類中的處理業務邏輯方法必須聲明為Published[2]，否則就會發生錯誤，這是為什么呢？因為對象方法的地址不能簡單的通過“@”符號得到，必須使用TObject.MethodAddress方法，MethodAddress 使用RTTI通過對象方法名獲取一個對象方法的地址，但MethodAddress方法只能取出Published型的方法，如果沒有聲明為Published，則MethodAddress(對象方法名)會返回空，導致錯誤。

4) Routine變量是方法指針，它實際上是一對指針：第一個存儲方法的地址，第二個存儲方法所屬的對象的引用。

通過利用回調機制的重新改寫，系統主要由三個大模塊組成：日志模塊（Tlog類）、業務邏輯模塊（Tbusiness類）和組合模塊（TForm1類）。那么系統的開發包括三個清晰的開發步驟：

第一步：功能分解：本步驟中，把核心模塊級和系統模塊級的功能分離開來，就上述的例子來說明，即可以分解出兩個功能模塊：核心級的業務邏輯功能模塊、系統級的日志功能模塊。

第二步：功能實現：各自獨立的實現這些功能模塊，仍然沿用上面的例子，即實現業務邏輯處理單元和日志單元。

第三步：功能的重新組合：本步驟中，通過創建一個模塊單元，一方面來指定重組的規則，另一方面則使用這些信息來構建最終系統。以上述例子說明，即指定哪些操作需要記錄。

4 結論

總而言之，回調機制不僅可幫助我們解決傳統方法對系統日志操作中出現的代碼后期維護、代碼混亂、緊耦合等問題，它還有更多的優勢：

1) 系統容易擴展：由于日志功能模塊和業務邏輯功能模塊根本不知道彼此的存在，所以很容易通過建立新的功能模塊加入新的功能，使系統易于擴展。

2) 更好的代碼重用性：把每個功能實現為獨立的模塊，模塊之間是松散耦合的。舉例來說，我們可以用另外一個獨立的日志寫入器功能來替換當前的模塊，用于把日志寫入數據庫，以滿足不同的日志寫入要求。松散藕合的實現通常意味著更好的代碼重用性。

回調機制不僅僅可以在系統日志中發揮重要作用，而且它還可以運用在系統安全、模式匹配的性能分析[3-4]、驗證等方面。

參考文獻：

[1] Steve Teixeira,Xavier Pacheco.Delphi 5開發人員指南[M].北京:機械工業出版社,2001.

[2] 耿宏運,陳站林,趙宗福,等.Delphi6組件大全[M].北京:電子工業出版社,2002.

第3篇

關鍵詞：網絡安全審計；日志；日志格式

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2008)14-20803-02

1 引言

防火墻、入侵檢測系統和安全審計系統等安全產品為內部網絡提供了良好的保護作用。安全審計系統提供了一種通過收集各種網絡信息從而發現有用信息的機制，將這種機制應用于局域網內部，從多種網絡安全產品中收集日志和警報信息并分析，從而實現效能的融合，與防火墻、入侵檢測系統等安全產品形成合力，為局域網的安全提供強有力的保障。

如何高效的從各種網絡設備所生成的海量的日志數據信息中提取有用信息，通過格式的統一整合后為安全審計系統提供統一接口，這是安全審計系統一項十分關鍵的工作，也是影響整個系統性能的一個重要因素，本文就此進行探討。

2 安全審計系統的功能需求

安全監控與審計技術通過實時監控網絡活動，分析用戶和系統的行為、審計系統配置和漏洞、評估敏感系統和數據的完整性、識別攻擊行為、對異常行為進行統計、跟蹤識別違反安全法則的行為等功能，使系統管理員可以有效地監控、評估自己的系統和網絡。監控審計技術是對防火墻和入侵檢測系統的有效補充，彌補了傳統防火墻對網絡傳輸內容粗粒度(傳輸層以下)的控制不足，同時作為一種重要的網絡安全防范手段，對檢測手段單一的入侵檢測系統也是有益的補充，能及時對網絡進行監控，規范網絡的使用[1]。

目前，安全審計系統是網絡安全領域的一個研究熱點，許多研究者都提出了不同的系統模型，這包括對內容進行審計的安全審計系統、對用戶行為進行審計的安全審計系統以及對各種安全設備生成的日志進行審計的安全審計系統等等。

基于日志的網絡安全審計系統是一個日志接收與日志分析的審計系統，該系統能夠接收、分析審計局域網內的防火墻、入侵檢測系統等網絡安全產品生成的日志，審計局域網內的網絡信息安全?；谌罩镜木W絡安全審計系統的功能需求如下：

(1) 集中管理：審計系統通過提供一個統一的集中管理平臺，實現對日志、安全審計中心、日志數據庫的集中管理，包括對日包更新、備份和刪除等操作。

(2) 能采集各種操作系統的日志，防火墻系統日志，入侵檢測系統日志，網絡交換及路由設備的日志，各種服務和應用系統日志，并且具備處理多日志來源、多種不同格式日志的能力。

(3) 審計系統不僅要能對不同來源的日志進行識別、歸類和存儲，還應能自動將其收集到的各種日志轉換為統一的日志格式，以供系統調用。并且能以多種方式查詢網絡中的日志記錄信息，以報表的形式顯示。

(4) 能及時發現網絡存在的安全問題并通知管理員采取相應措施。系統必須從海量的數據信息中找出可疑或危險的日志信息，并及時以響鈴、E-mail或其他方式報警，通知管理員采取應對措施及修復漏洞。

(5) 審計系統的存在應盡可能少的占用網絡資源，不對網絡造成任何不良的影響。

(6) 具備一定的隱蔽性和自我保護能力。具有隱蔽性是說系統的存在應該合理“隱藏”起來，做到對于入侵者來說是透明而不易察覺系統的存在。

(7) 保證安全審計系統使用的各種數據源的安全性和有效性。若采用未經加密的明文進行數據傳輸，很容易被截獲、篡改和偽造，工作站與服務器之間的通訊應進行加密傳輸，可采用SSL、AES、3DES等加密方式。

(8) 具有友好的操作界面。

3 安全審計系統的模型概述

如圖1所示，基于日志的安全審計系統主要包含如下模塊：

(1) ：負責收集各種日志數據，包括各種操作系統的日志，防火墻系統日志、入侵檢測系統日志、網絡交換及路由設備的日志、各種服務和應用系統日志等。定時或實時發送到審計中心。其間，日志數據的傳送采用加密方式進行發送，防止數據被截獲、篡改和偽造。

(2) 數據預處理模塊：將采集到的日志數據經過解密后按照數據來源存入相應的數據庫中。

(3) 系統管理模塊：負責對日志、安全審計中心、日志數據庫的集中管理，包括對日志數據的更新、備份和刪除等操作。

(4) 數據處理模塊：負責自動將收集到的各種日志轉換為統一的日志格式，并且從海量的數據中通過模式匹配，發現并找出可疑或危險的日志信息，交由“日志報警處理模塊”進行處理。

(5) 日志報警處理模塊：處理已發現的問題，以響鈴、E-mail或其他方式報警通知管理員采取應對措施。

(6) 數據庫模塊：負責接收、保存各種日志數據，包括策略庫也存放其中。

(7) 接口模塊：供用戶訪問、查詢。

4 安全審計系統中有用數據整合的方法

4.1 安全審計系統的數據源

安全審計系統可以利用的日志大致分為以下四類[2]：

4.1.1 操作系統日志

a) Windows系統日志。Windows NT/2K/XP的系統日志文件有應用程序日志、安全日志和系統日志等，日志默認位置在%systemroot%\system32\config目錄下。Windows是使用一種特殊的格式存放它的日志文件，這種格式的文件通常只可以通過事件查看器EVENT VIEWER讀取。

b) Linux/Unix系統日志。在Linux/Unix系統中，有三個主要的日志子系統：連接時間日志、進程統計日志和錯誤日志。錯誤日志――由syslogd(8)執行。各種系統守護進程、用戶程序和內核通過syslog向文件/var/log/messages報告值得注意的事件。

4.1.2 安全設備日志

安全設備日志主要是指防火墻，入侵檢測系統等網絡安全設備產生的日志。這部分日志格式沒有統一標準。目前，國內多數防火墻支持WELF(Web Trends Enhanced Log Format)的日志格式，而多數入侵檢測系統的日志兼容Snort產生日志格式。

4.1.3 網絡設備日志

網絡設備日志是指網絡中交換機、路由器等網絡設備產生的日志，這些設備日志通常遵循RFC3164(TheBSD syslog Protocol)規定的日志格式,可以通過syslogd實現方便的轉發和處理。一個典型的syslog記錄包括生成該記錄的進程名字、文本信息、設備和優先級范圍等。

4.1.4 應用系統日志

應用系統日志包含由各種應用程序記錄的事件。應用系統的程序開發員決定記錄哪一個事件。Web應用程序日志往往是系統管理員最關心的應用系統日志之一。

a) Apache日志。Apache日志記錄Apache服務器處理的所有請求和出錯信息，它支持兩種格式的日志：普通記錄格式(Common Log Format)，組合記錄格式(Combined Log Format)。

b) IIS日志。IIS日志文件記錄了所有訪問IIS服務程序的信息，IIS日志文件一般位于如下路徑：%systemroot%\system32\LogFiles。IIS支持“W3C擴充日志文件格式”、“NCSA通用日志格式”和“ODBC數據庫日志格式”。

第4篇

論文關鍵詞：安全審計　日志　數據挖掘

論文摘要：該文提出了無線網關安全審計系統的系統模型，詳細介紹了該系統的設計思想和流程。在系統中通過改進syslog機制，引入有學習能力的數據挖掘技術，實現對無線網關的安全審計。

無線網關作為無線網絡與布線網絡之間的橋梁，所有的通信都必須經過無線網關的審計與控制。在無線網絡中，無線網關放置在無線網絡的邊緣，相當于無線網絡的大門，當無線網關遭到攻擊和入侵時，災難會殃及整個無線網絡，使無線網絡不能工作或異常工作，由此可見，對無線網關進行安全審計是十分有意義的。

一、系統概述

本文研究的安全審計系統是北京市重點實驗室科研項目智能化無線安全網關的一部分。智能化無線安全網關在無線網關上集成具有IDS和防火墻功能的模塊，以及控制和阻斷模塊，這些功能模塊在統一操作系統的基礎上，既各司其職，又密切合作，共同完成防范、預警、響應和自學習的功能，構成一個有機的安全體系。

無線網關的安全審計系統，其主要功能就是在事后通過審計分析無線安全網關的日志信息，識別系統中的異?；顒樱貏e是那些被其他安全防范措施所遺漏的非法操作或入侵活動，并采取相應的報告，以有利于網絡管理員及時有效地對入侵活動進行防范，確保網絡的安全。無線網關安全審計系統是針對無線網絡的安全運作而提出的，主要包括數據控制、數據采集、日志歸類、日志的審計與報警等幾大基本功能。

首先，審計系統的數據控制模塊對進出的數據信息進行嚴格的控制，根據預定義的規則進行必要的限制，適當地降低風險。其次，安全審計系統的數據采集模塊收集無線安全網關的網絡日志、系統日志、及用戶和應用日志。隨后，采集部件收集到的日志記錄被送到日志歸類模塊，根據日志記錄行為的不同層次來進行分類。最后，使用審計與報警模塊對日志記錄進行審計分析。這時可以根據預先定義好的安全策略對海量的日志數據進行對比分析，以檢測出無線網關中是否存在入侵行為、異常行為或非法操作。管理員可以初始化或變更系統的配置和運行參數，使得安全審計系統具有良好的適應性和可操作性。

二、系統設計

1、系統結構組成

2、設計思想

系統從數據采集點采集數據，將數據進行處理后放入審計數據庫，采用有學習能力的數據挖掘方法，從“正?！钡娜罩緮祿邪l掘“正?！钡木W絡通信模式，并和常規的一些攻擊規則庫進行關聯分析，達到檢測網絡入侵行為和非法操作的目的。

3、系統的詳細設計

(1)數據的控制

數據控制模塊使用基于Netfilter架構的防火墻軟件iptables對進出的數據信息進行嚴格的控制，適當地降低風險。

(2)數據的采集

數據采集模塊，即日志的采集部件，為了實現日志記錄的多層次化，即需記錄網絡、系統、應用和用戶等各種行為來全面反映黑客的攻擊行為，所以在無線安全網關中設置了多個數據捕獲點，其主要有系統審計日志、安全網關日志、防火墻日志和入侵檢測日志4種。

(3)日志的歸類

日志歸類模塊主要是為了簡化審計時的工作量而設計的，它的主要功能是根據日志記錄行為的不同層次來進行分類，將其歸為網絡行為、系統行為，應用行為、用戶行為中的一種，同時進行時間歸一化。進行日志分類目的是對海量信息進行區分，以提高日志審計時的分析效率。

(4)日志審計與報警

日志審計與報警模塊側重對日志信息的事后分析，該模塊的主要功能是對網關日志信息進行審計分析，即將收到的日志信息通過特定的策略進行對比，以檢測出不合規則的異常事件。隨著審計過程的進行，若該異常事件的可疑度不斷增加以致超過某一閾值時，系統產生報警信息。該模塊包括日志信息的接收、規則庫的生成、日志數據的預處理、日志審計等幾個功能。

三、系統的實現

1、系統的開發環境

智能無線安全網關安全審計系統是基于linux操作系統開發的B/S模式的日志審計系統。開發工具為前臺：Windows XPprofessional+html+php后臺：Linux+Apache+Mysql+C++。

2、系統的處理流程

前面已經詳細介紹了該系統的設計思想，系統的處理流程如圖2所示：

3、日志歸類模塊的實現

無線網關的日志采用linux的syslog機制進行記錄，syslog記錄的日志中日期只包含月和日，沒有年份。在本模塊中，對日志記錄的syslog機制進行一些改進，克服其在日志中不能記錄年的問題。

下面以無線網關的日志為例，說明其實現過程。網關日志的保存文件為gw.log，用一個shell腳本，在每月的第一天零點，停止syslogd進程，在原來的文件名后面加上上一個月的年和月，如gw.log200603，再新建一個gw.log用于記錄當月的日志，再重啟syslogd記錄日志。這樣就把每月的日志存放在有標志年月的文件中，再利用C++處理一下，在記錄中加入文件名中的年份。

4、日志審計與報警模塊的實現

(1)日志審計模塊的處理流程

(2)規則庫生成的實現

安全審計系統所采用的審計方法主要是基于對日志信息的異常檢測，即通過對當前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來鑒別是否有非法入侵或者越權操作的存在。該方法的優點是無需了解系統的缺陷，有較強的適應性。

這里所說的規則庫就是指存儲在檢測異常數據時所要用到的正常的網絡通信及操作規則的數據庫。規則庫的建立主要是對正常的日志信息通過數據挖掘的相關算法進行挖掘來完成。首先系統從數據采集點采集數據，將數據進行處理后放入審計數據庫，通過執行安全審計讀入規則庫來發現入侵事件，將入侵時間記錄到入侵時間數據庫，而將正常日志數據的訪問放入安全的歷史日志庫，并通過數據挖掘來提取正常的訪問模式。最后通過舊的規則庫、入侵事件以及正常訪問模式來獲得最新的規則庫。可以不停地重復上述過程，不斷地進行自我學習的過程，同時不斷更新規則庫，直到規則庫達到穩定。

(3)日志信息審計的實現

日志審計主要包括日志信息的預處理和日志信息的異常檢測兩個部分。在對日志進行審計之前，我們首先要對其進行處理，按不同的類別分別接收到日志信息數據庫的不同數據表中。此外，由于我們所捕獲的日志信息非常龐大，而系統中幾乎所有的分析功能都必須建立在對這些數據記錄進行處理的基礎上。而這些記錄中存在的大量冗余信息，在對它們進行的操作處理時必將造成巨大的資源浪費，降低了審計的效率。因此有必要在進行審計分析之前盡可能減少這些冗余信息。所以，我們在異常檢測之前首先要剔除海量日志中對審計意義不大及相似度很大的冗余記錄，從而大大減少日志記錄的數目，同時大大提高日志信息的含金量，以提高系統的效率。采用的方式就是將收集到的日志分為不同類別的事件，各個事件以不同的標識符區分，在存放日志的數據庫中將事件標識設為主鍵，如有同一事件到來則計數加一，這樣就可以大大降低日志信息的冗余度。

在日志信息經過預處理之后，我們就可以對日志信息進行審計了。審計的方法主要是將日志信息與規則庫中的規則進行對比，如圖3所示，對于檢測出的不合規則的記錄，即違反規則的小概率事件，我們記錄下其有效信息，如源，目的地址等作為一個標識，并對其設置一懷疑度。隨著日志審計的進行，如果屬于該標識的異常記錄數目不斷增加而達到一定程度，即懷疑度超過一定閾值，我們則對其產生報警信息。

四、數據挖掘相關技術

數據挖掘是一個比較完整地分析大量數據的過程，它一般包括數據準備、數據預處理、建立數據挖掘模型、模型評估和解釋等，它是一個迭代的過程，通過不斷調整方法和參數以求得到較好的模型。

本系統中的有學習能力的數據挖掘方法，主要采用了三個算法：

（1）分類算法　該算法主要將數據影射到事先定義的一個分類之中。這個算法的結果是產生一個以決策樹或者規則形式存在的“判別器”。本系統中先收集足夠多的正常審計數據，產生一個“判別器”來對將來的數據進行判別，決定哪些是正常行為，哪些是入侵或非法操作。

（2）相關性分析　主要用來決定數據庫里的各個域之間的相互關系。找出被審計數據間的相互關聯，為決定安全審計系統的特征提供很重要的依據。

（3）時間序列分析　該算法用來建立本系統的時間順序模型。這個算法幫助我們理解審計事件的時間序列一般是如何產生的，這些所獲取的常用時間標準模型可以用來定義網絡事件是否正常。

本系統通過改進syslog機制，使無線網關的日志記錄更加完善，采用有學習能力的數據挖掘技術對無線網關正常日志數據進行學習，獲得正常訪問模式的規則庫，檢測網絡入侵行為和非法操作，減少人為的知覺和經驗的參與，減少了誤報出現的可能性。該系統結構靈活，易于擴展，具有一定的先進性和創新性。此外，使用規則合并可以不斷更新規則庫，對新出現的攻擊方式也可以在最快的時間內做出反應。下一步的工作是進一步完善規則庫的生成以及審計的算法，增強系統對攻擊的自適應性，提高系統的執行效率。

參考文獻

[1]Branch，JW，Petroni，NL，VanDoorn，L.，Safford，D.，Auto-nomic802.11WirelessLANSecurityAuditing，IEEESecurity&Privacy，May/June 2004，pp.56-65.

[2]李承，王偉釗.　基于防火墻日志的網絡安全審計系統研究與實現.計算機工程　2002.6.

第5篇

經過近幾年的努力，中國礦山企業的安全生產狀況總體上呈現出相對穩定、趨于好轉的態勢。但重、特大事故時有發生，事故總量仍然偏大，礦山安全生產形勢依然嚴峻。實踐證明，要實現礦山安全生產的長治久安，就必須建立礦山安全生產長效機制。積極有效地開展礦山安全審計工作，發揮審計的監督檢查作用，促進礦山切實落實安全生產主體責任，認真執行安全生產的各項法律法規，保證安全生產的必要投入，落實各項安全防范措施，不斷改善安全生產條件。使礦山生產的運行方式、管理形式和監督體制等走上正軌，才能使礦山安全生產狀況實現真正意義上的根本好轉。安全審計作為一項專門針對企業安全生產進行監督和評價的獨立審計活動，有助于督促企業遵守安全生產法律法規，有助于督促企業執行安全設施“三同時”，有助于督促企業生產責任事故賠償及時到位，有助于督促企業安全投入及時、足額等。從而保證安全生產形勢根本好轉。借鑒相關學科知識建立完善的評價指標體系，是開展安全審計的關鍵。

一、構建礦山安全審計評價指標體系應遵循的原則

安全審計有別于常規的財政、財務審計，安全審計是企業安全生產主體責任的人格化，審計客體由靜態的會計資料，到動態審計對象（企業）的主體責任和社會責任，從有形到無形，從客觀反映到抽象分析。安全審計評價指標體系是度量企業安全生產活動的有效工具。為了提高這一測度工具的信度與效度，構建該評價體系時，必須滿足以下幾個原則：

（一）重要性原則

在中國礦山企業開展安全審計工作還僅僅處于探討階段，筆者認為與要求評價指標體系的全面性相比較，強調重要性原則對實踐工作的開展更具有指導意義。同時，重要性原則也是在指標設定過程中對安全審計工作重點、成本與效率的綜合考慮。當然，隨著中國安全審計工作的發展與完善，該指標評價體系將進一步改進，以滿足全面性原則的要求。

（二）責任性原則

礦山安全審計評價指標體系應準確考評被審計單位及內部各部門和個人必須履行的安全生產責任，即所衡量、評價的安全生產活動及其結果應是審計對象的職責范圍，是其應當全部或部分負責，是可以控制和調節的，是其通過主觀努力可以改變的結果和過程。事故的發生具有偶然性、不確定性及外部不經濟性等特點，進一步造成一些企業盲目追求經濟效益，重生產輕安全，安全管理薄弱；無證或證照不全非法生產，超能力、超強度、超定員違法違規生產。所有這些安全生產主體責任不落實是礦山事故易發、多發、頻發，重特大事故集中、長期以來尚未得到切實有效遏制的根源。責任性原則是保證安全審計評價結論切實有效必須遵循原則之一。

（三）簡明性原則

安全審計評價指標體系中應選擇具有代表性、能夠準確清楚反映問題的指標。由于安全審計評價涉及的領域非常廣泛，評價指標雖然要求全面，但并不是越多越好。如果所選指標變量過多，一方面資料難以獲取，另一方面綜合分析過程也很困難。同時不便于決策者應用，而且大大增加了安全審計工作的復雜性和冗余度。如果所選指標變量過少，就有可能不足以或不能充分表征系統的真實行為或真實的行為軌跡。所以指標的設置要圍繞評價的目的有針對性地加以選擇，每個指標的含義要求明確，代表特征要求清楚，無相互交叉重疊現象。

（四）相關性原則

評價體系應與礦山安全審計的目標緊密相關，評價標準能夠反映信息使用者的需求，能揭示被審計對象的具體安全生產狀況及被審單位安全生產主體責任實現程度。相關性原則與簡明性原則具有內在一致性要求。

（五）動態性原則

安全審計評價是一個隨著審計項目的發展而發展以及安全生產形勢變化而變化的動態過程，客觀上要求設置的指標體系具有動態特點，既能反映該審計項目的歷史狀況和現狀，在一定的時期內保持相對的穩定性，又能對未來的變化發展做出評價。同時能夠適應安全生產形勢變化、安全監管工作要求做出相應調整。

（六）地域性原則

不同地區的自然環境和社會環境不同，所處地區的地理位置、經濟狀況、水文地質等條件不同，對安全的影響因子也不同，因此應按照因地制宜原則，針對所研究地區及其主要問題選擇評價指標。礦山安全評價指標體系的構建尤其注意遵循地域性原則。

二、構建礦山安全審計評價指標體系設計思路

（一）評價指標體系的維度定位

根據建立礦山安全審計評價體系的目標與原則，從范圍層次上劃分，安全審計評價標準分為總體評價標準和具體評價標準。所以在試圖建立安全審計評價標準時，也分別從這兩個方面考慮，先確立總體評價標準，再逐步完善具體標準。在指標體系架構中，不僅在礦山安全生產的規范性、效用管理以及外部效應三個維度進行了體系的構建（如圖1所示）。并且從安全生產法律法規、安全內控制度、安全設施“三同時”、事故處理、安全投入等五個層面進行了體系的設計。當然，安全審計評價指標體系應該是動態的、可擴充的，審計人員可以隨時按照實際情況增減，以增強其科學性、有效性，但主要指標需保留。

（二）評價權重的分配

評價權重的分配涉及到各評價維度的權重分配以及每一維度內各評價指標之間的權重分配。在構建安全審計評價指標體系過程中，要確定評價指標的權重值。各項指標的權重值，反映了該指標在整個安全審計評價指標體系中所占的比重。權重值應根據該指標對企業安全生產水平的影響程度及其實施的難易程度來確定。指標權重的確定有主觀法和客觀法兩大類，主觀法主要包括專家調查法、層次分析法等，客觀法主要包括主成分分析法、熵值法和數據包絡法等。

安全審計評價指標體系的構建過程，應該是主觀分析法和客觀分析法相結合的過程。此外，指標體系的構造過程可分為指標體系框架的構建和指標篩選兩個階段，即指標初選和指標完善的過程。該過程可以概述為：分解總目標、構造層次結構、建立預選指標集篩選指標、最終確立評價指標體系。

在構建安全審計評價指標體系過程中，要確定定量指標的評價基準值。并應按照下列原則確定：凡是國家或行業管理部門在有關政策、規劃等文件中對該指標已有明確要求值的就應選用國家要求的數值；凡是國家或行業管理部門對該指標尚無明確要求值的，則選用國內重點大型企業近年來滿足安全管理要求所實際達到的中上等以上水平的指標值。確保定量指標的基準值代表了行業安全生產活動的平均水平。

需要說明的是，評價權重的分配會因不同階段、發展重點、礦山生產特點的不同而有所差別。而對情況各異的礦山安全生產管理，我們不可能確定一成不變的安全審計評價指標體系，也不存在統一的指標權重，即使同一評價對象在不同的歷史時期也會有所不同。盡管卓越的績效評價系統對每個組織都是獨特的，即按每個組織的需要和特點“量體裁衣”，但是反映社會滿意度的指標，應該在安全審計評價體系中占據絕對的比重，社會評議信息應是評價結論的主要證據資料。

三、構建礦山安全審計評價指標體系

（一）安全審計內容

安全審計評價指標體系應緊緊圍繞安全審計內容設定?？紤]到中國礦山安全生產實際以及政府安全監管過程中存在的突出問題，筆者主張礦山安全審計主要內容應包括以下五部分：

1.安全生產法律法規遵守和執行情況審計

該審計主要是對礦山企業在生產經營過程中遵守相關安全生產法律法規的情況進行評價，包括定性指標和定量指標。評價時只需考慮法律法規的執行情況及效果，而不對法律法規本身進行過多地評價。評價時需遵循兩條原則：首先，企業能否執行相關安全生產法律法規；其次，企業能否做到持續、全面執行安全生產法律法規。這也符合性測試重點之一。

2.安全內部控制制度設計及運行情況審計

該審計主要是對礦山企業安全內控制度是否健全，能否保證整個業務處理系統控制目標的實現，制度與制度之間的銜接是否緊密協調以及內控制度是否有效執行進行評價。從而判定礦山企業各種安全內控制度的履行結果是否達到預期目標，是否結合企業安全生產實際及時自查修訂完善。為進一步確定安全審計的重點提供決策依據。

3.安全設施“三同時”情況審計

在安全設施“三同時”審計中，應該重點審查和評價與被審計單位安全設施“三同時”相關的下列內容：（1）被審計單位在生產經營過程中對相關的安全生產法律法規、規章制度、政策、計劃、預算、程序、合同等的遵守情況；（2）安全設施項目風險的識別、評估及應對措施；（3）相關安全控制活動的適當性和有效性；（4）有關安全資產、安全負債、安全支出項目等財務信息和非財務信息的獲取、處理、傳遞情況。

4.事故損失及事故責任履行情況審計

該審計主要是對礦山企業事故損失及事故責任履行情況進行評價。為事故責任認定及事故賠償提供決策依據。工傷事故賠償審計主要集中在兩點：（1）賠償標準是否合法合規。（2）賠償額度是否足額、及時。這一點往往也是事故雙方爭執的焦點。有第三方出具相應審計意見，有助于安全監管部門執法，切實保障受傷員工合法權益。

5.安全投入情況審計

安全投入情況審計是安全審計的重點。眾所周知，安全投入不足是造成中國安全生產形勢依然嚴峻的主要原因之一。造成企業安全投入不足重要原因之一就在于缺乏有效監督。近幾年，中國為擴大礦山企業安全投入資金來源及數量，建立穩定的安全保障資金渠道，頒布了一系列規定制度。由于安全投入效益的隱蔽性、滯后性、不確定性及其他原因（經濟效益不佳、領導不重視、短期行為等），一些企業（尤其小型礦山企業）往往在安全投入方面“勤儉節約”。企業為了應付針對安全投入狀況的檢查弄虛作假。通過安全投入審計，能夠有效監督礦山企業安全生產費用提取及使用情況，確保安全投入足額、及時。

（二）分級設立評價指標

礦山安全審計評價體系的建立是一項系統工程，需要花很大力氣進行研究和實踐。在這里我們先構思一個指標框架，許多指標還有待于討論和完善。安全審計評價指標體系包括一級評價指標和二級評價指標兩個層次。一級評價指標包括安全生產法律法規執行情況評價指標、企業安全內部控制情況評價指標、安全設施“三同時”、事故損失及事故責任履行情況評價指標和安全投入情況評價指標。二級評價指標是一級評價指標的具體化。具體內容（見表1）。

安全審計的綜合評價，應該以評價年度各項二級定量指標的實際數據和各項二級定性指標的專家評分為基礎，按照各二級指標的基準值和權重值計算各單項指標得分，再綜合得出該企業安全管理水平的評價總分值。

單項指標評價分值=權重值× （1）

當>1時，按1計算。

二級定性指標和定量指標都采用百分制測評。定性指標采用專家評分平均值。

第6篇

論文關鍵詞：安全審計　日志　數據挖掘

論文摘要：提出了無線網關安全審計系統的系統模型，介紹了該系統的設計思想，從數據的控制、數據的采集、日志的歸類、日志的審計與報警4個方面描述了設計流程.在系統中通過改進syslog機制，引入有學習能力的數據挖掘技術，實現對無線網關的安全審計.

0　引言

無線網關是無線網絡與布線網絡之間的橋梁，所有的通信都必須經過無線網關的審計與控制.在無線網絡中，無線網關放置在無線網絡的邊緣，相當于無線網絡的大門，當無線網關遭到攻擊和入侵時，災難會殃及整個無線網絡，使無線網絡不能工作或異常工作，由此可見，對無線網關進行安全審計是十分有意義的.

本文中研究的安全審計系統是北京市重點實驗室科、研項目“智能化無線安全網關”的一部分.智能化無線安全網關在無線網關上集成具有IDS和防火墻功能的模塊，以及控制和阻斷模塊，這些功能模塊在統一操作系統的基礎上，既各司其職，又密切合作，共同完成防范、預警、響應和自學習的功能，構成一個有機的安全體系.

無線網關的安全審計系統，其主要功能就是在事后通過審計分析無線安全網關的日志信息，識別系統中的異?；顒?，特別是那些被其它安全防范措施所遺漏的非法操作或入侵活動，并采取相應的報告，以有利于網絡管理員及時有效地對入侵活動進行防范，確保網絡的安全[1].

1　系統功能概述

無線網關安全審計系統是針對無線網絡的安全運作而提出的，主要包括數據控制、數據采集、日志歸類、日志的審計與報警等幾大基本功能.首先，審計系統的數據控制模塊對進出的數據信息進行嚴格的控制，根據預定義的規則進行必要的限制，適當地降低風險.其次，安全審計系統的數據采集模塊收集無線安全網關的網絡日志、系統日志及用戶和應用日志.隨后，采集部件收集到的日志記錄被送到日志歸類模塊，根據日志記錄行為的不同層次來進行分類.最后，使用審計與報警模塊對日志記錄進行審計分析.這時可以根據預先定義好的安全策略對海量的日志數據進行對比分析，以檢測出無線網關中是否存在入侵行為、異常行為或非法操作.管理員可以初始化或變更系統的配置和運行參數，使得安全審計系統具有良好的適應性和可操作性.

2　系統設計

2.1　系統結構組成(見圖1)

2.2　設計思想

系統從數據采集點采集數據，將數據進行處理后放入審計數據庫，采用有學習能力的數據挖掘方法，從“正?！钡娜罩緮祿邪l掘“正?！钡木W絡通信模式，并和常規的一些攻擊規則庫進行關聯分析，達到檢測網絡入侵行為和非法操作的目的.

2.3　系統的詳細設計

系統的處理流程如圖2所示:

2.3.1　數據的控制.數據控制模塊使用基于Netfilter架構的防火墻軟件iptables對進出的數據信息進行嚴格的控制，適當地降低風險.

2.3.2　數據的采集.數據采集模塊，即日志的采集部件.為了實現日志記錄的多層次化，需要記錄網絡、系統、應用和用戶等各種行為來全面反映黑客的攻擊行為，所以在無線安全網關中設置了多個數據捕獲點，其中主要有系統審計日志、安全網關日志、防火墻日志和入侵檢測日志4種.2.3.3　日志的歸類.日志歸類模塊主要是為了簡化審計時的工作量而設計的，它的主要功能是根據日志記錄行為的不同層次來進行分類，將其歸為網絡行為、系統行為、應用行為、用戶行為中的一種，同時進行時間歸一化.進行日志分類目的是對海量信息進行區分，以提高日志審計時的分析效率.

2.3.4　日志審計與報警.日志審計與報警模塊側重對日志信息的事后分析.該模塊的主要功能是對網關日志信息進行審計分析，即將收到的日志信息通過特定的策略進行對比，以檢測出不合規則的異常事件.隨著審計過程的進行，若該異常事件的可疑度不斷增加以致超過某一閾值時，系統產生報警信息.該模塊包括日志信息的接收、規則庫的生成、日志數據的預處理、日志審計等幾個功能.

3　系統的實現

3.1　系統的開發環境

智能無線安全網關安全審計系統是基于linux操作系統開發的B/S模式的日志審計系統.開發工具為:前臺:Windows XP professional+html+php，后臺:Linux+Apache+Mysql + C++.

3.2　日志歸類模塊的實現[2-3]

無線網關的日志采用linux的syslog機制進行記錄，sys-log記錄的日志中日期只包含月和日，沒有年份.在該模塊中，對日志記錄的syslog機制進行一些改進，克服其在日志中不能記錄年的問題.

下面以無線網關的日志為例，說明其實現過程.網關日志的保存文件為gw.log，用一個shell腳本，在每月的第一天零點，停止syslogd進程，在原來的文件名后面加上上一個月的年和月，如gw.log200603，再新建一個gw.log用于記錄當月的日志，再重啟syslogd記錄日志.這樣就把每月的日志存放在有標志年月的文件中，再利用C++處理一下，在記錄中加入文件名中的年份.

3.3　日志審計與報警模塊的實現

3.3.1　日志審計模塊的處理流程(見圖3).

3.3.2　規則庫生成的實現.安全審計系統所采用的審計方法主要是基于對日志信息的異常檢測，即通過對當前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來鑒別是否有非法入侵或者越權操作的存在.該方法的優點是無需了解系統的缺陷，有較強的適應性.這里所說的規則庫就是指存儲在檢測異常數據時所要用到的正常的網絡通信及操作規則的數據庫.規則庫的建立主要是對正常的日志信息通過數據挖掘的相關算法進行挖掘來完成.

首先系統從數據采集點采集數據，將數據進行處理后放入審計數據庫，通過執行安全審計讀入規則庫來發現入侵事件，將入侵時間記錄到入侵時間數據庫，而將正常日志數據的訪問放入安全的歷史日志庫，并通過數據挖掘來提取正常的訪問模式.最后通過舊的規則庫、入侵事件以及正常訪問模式來獲得最新的規則庫.可以不停地重復上述過程，不斷地進行自我學習的過程，同時不斷更新規則庫，直到規則庫達到穩定.

3.3.3　日志信息審計的實現.日志審計主要包括日志信息的預處理和日志信息的異常檢測兩個部分.在對日志進行審計之前，首先要對其進行處理，按不同的類別分別接收到日志信息數據庫的不同數據表中.此外，由于所捕獲的日志信息非常龐大，系統中幾乎所有的分析功能都必須建立在對這些數據記錄進行處理的基礎上，而這些記錄中存在的大量冗余信息，在對它們進行的操作處理時必將造成巨大的資源浪費，降低了審計的效率，因此有必要在進行審計分析之前盡可能減少這些冗余信息.所以，在異常檢測之前首先要剔除海量日志中對審計意義不大及相似度很大的冗余記錄，從而大大減少日志記錄的數目，同時大大提高日志信息的含金量，以提高系統的效率.采用的方式就是將收集到的日志分為不同類別的事件，各個事件以不同的標識符區分，在存放日志的數據庫中將事件標識設為主鍵，如有同一事件到來則計數加一，這樣就可以大大降低日志信息的冗余度.

在日志信息經過預處理之后，就可以對日志信息進行審計.審計的方法主要是將日志信息與規則庫中的規則進行對比，如圖3所示.對于檢測出的不合規則的記錄，即違反規則的小概率事件，記錄下其有效信息，如源、目的地址等作為一個標識，并對其設置一懷疑度.隨著日志審計的進行，如果屬于該標識的異常記錄數目不斷增加而達到一定程度，即懷疑度超過一定閾值，則對其產生報警信息.

4　數據挖掘相關技術

數據挖掘是一個比較完整地分析大量數據的過程，一般包括數據準備、數據預處理、建立數據挖掘模型、模型評估和解釋等，是一個迭代的過程，通過不斷調整方法和參數以求得到較好的模型[4].

本系統中的有學習能力的數據挖掘方法主要采用了3種算法:

1)分類算法.該算法主要將數據影射到事先定義的一個分類之中.這個算法的結果是產生一個以決策樹或者規則形式存在的“判別器”.本系統中先收集足夠多的正常審計數據，產生一個“判別器”來對將來的數據進行判別，決定哪些是正常行為，哪些是入侵或非法操作.

2)相關性分析.主要用來決定數據庫里的各個域之間的相互關系.找出被審計數據間的相互關聯，為決定安全審計系統的特征集提供很重要的依據.

3)時間序列分析.該算法用來建立本系統的時間順序模型.這個算法有利于理解審計事件的時間序列一般是如何產生的，這些所獲取的常用時間標準模型可以用來定義網絡事件是否正常.

5　結束語

該系統通過改進syslog機制，使無線網關的日志記錄更加完善.采用有學習能力的數據挖掘技術對無線網關正常日志數據進行學習，獲得正常訪問模式的規則庫，檢測網絡入侵行為和非法操作，減少人為的知覺和經驗的參與，減少了誤報出現的可能性.該系統結構靈活，易于擴展，具有一定的先進性和創新性，此外，使用規則合并可以不斷更新規則庫，對新出現的攻擊方式也可以在最快的時間內做出反應.下一步的工作是進一步完善規則庫的生成以及審計的算法，增強系統對攻擊的自適應性，提高系統的執行效率.

參考文獻:

[1]　Branch J W， Petroni N L， Doorn Van L， et al.Autonomic802.11 Wireless LAN Security Auditing[J]. IEEE Security&Privacy， 2004(5/6):56-65.

[2]　李承，王偉釗，程立.基于防火墻日志的網絡安全審計系統研究與實現[J].計算機工程，2002，28(6):17-19.

[3]　劉.無線網絡安全防護[M].北京:機械工業出版社，2003.

第7篇

Abstract： With the rapid development of China's economy， the living environment causes people's more and more attention， which is a big challenge for the development of coal enterprises. The production of Chinese enterprises is not inseparable from the coal， and the coal enterprises production safety situation is still very grim nowadays. Internal audit system， as an important component of supervision system in coal enterprises， plays a crucial role. From the current development of coal mining enterprises， this paper talks about the importance of internal audit， and carries out the internal audit system design for coal mine safe production.

關鍵詞： 煤礦企業；安全生產；內部審計；制度設計

Key words： coal mining enterprises；safe production；internal audit；system design

中圖分類號：F239.45 文獻標識碼：A 文章編號：1006-4311（2014）14-0153-02

0 引言

我國當前的煤礦安全生產問題仍然十分嚴峻，安全事故的發生率雖然有所下降，但是還沒到完全有效控制的地步。要想實現煤礦企業的安全生產，企業內部機制上需要下很大的功夫，對安全管理方面進一步加強。內部審計作為內部監督系統中重要的組成部分，對煤礦企業的結構優化和企業的安全發展起著至關重要的作用。

1 我國煤礦企業發展現狀

隨著經濟的快速發展，為煤炭企業帶來了機遇與挑戰，在全球經濟一體化的發展前景下，我國各大企業的快速發展，如：鋼鐵企業、電力公司等，這些企業快速發展的同時所需的基礎物質有一種就是煤炭。相對的，這些企業的快速發展也帶動了煤炭企業的發展與煤炭的生產。在目前社會中，人們生活注重環保，對煤炭的排放污染物比較在意，在不斷的提倡低碳和環保，所以，新能源應運而生，對煤礦企業是強有力的競爭對手。煤礦企業在激烈的競爭之下，有所改良，在資源綜合利用與節能減排方面有突破性的進展，這也促進了煤礦企業的進一步發展。

2 我國煤礦企業開展內部審計重要性

2.1 是煤炭企業提高安全管理的需要 我國對煤炭企業的安全問題日益重視，通過一系列的整治力度，近些年來安全事故發生率總體呈現下降的趨勢，但是并沒有徹底地保證煤炭安全生產事故零發生，安全事故給國家和人民生命帶來了巨大的威脅與損失，我國煤炭企業的安全生產基礎較薄弱，法規上存在一定漏洞，對隱患的排查不徹底，對安全的投入掉以輕心，都會引起重大安全事故的發生。那么，建立安全生產內部審計制度，能夠有效的保障安全法律的貫徹和落實，督促及時排除安全隱患，進一步實現企業的安全生產，是煤礦企業提高自身價值的新舉措。

2.2 是煤炭企業提高內部控制的需要 在《企業內部控制配套指引》中，提出將安全生產列入企業內部范疇，企業內部審計是內部控制體系中的重要部分，行使著監督的責任，針對企業內部控制發表檢查的意見。煤礦企業內部審計部門對企業在生產經營中的安全控制制度和措施開展監督和評價，是內部審計完善企業的內部控制和安全隱患發生的重要行為。

2.3 是風險導向審計方法的需要 對與煤礦企業而言，其審計風險主要來源于財務舞弊和安全生產，現在的內部審計要在傳統的“查錯防弊”基礎上有了更好的要求，風險導向審計方法是保證風險評估的整個審計流程，對財務信息的真實性和完整性開展評價。煤礦企業的發展應時應時代的腳步，所以需要應用風險導向審計方法，提高安全生產意識，將工作重心前移。

3 煤炭企業安全生產的內部審計制度設計

3.1 目標方面的設計

3.1.1 煤礦企業內部審計總體目標的設計 內部審計在企業內部是獨立的、客觀的監督和評價體系，通過審查和評價企業經營和企業內部控制的合法性、有效性以及適當性來推動企業目標的實現。內部審計實施的目的就是協助企業在管理上要履行自己的職責，改善企業的運營。因此，內部審計會審核并評價活動，對其提出建議、分析等。內部審計的總體目標就是企業的安全生產，推動企業目標的實現，在煤礦企業中推動煤礦企業在安全生產的前提基礎上，實現利益最大化、企業價值最大化。所以，內部審計的總體目標就是保證企業的安全生產，實現企業價值最大化。

3.1.2 煤礦企業內部審計具體目標的設計 首先，在煤礦企業的安全生產投入方面，來審計安全生產的資金是否充足、合法、真實；在安全生產資金用途上進行追蹤和監督。其次，在煤礦安全生產制度和措施上的有效性、充分性、適宜性進行審計。第三，在安全生產合規性方面來審計職能部門獲取安全生產法規標準等方面的及時性，也審計企業是否將安全生產法律法規傳達給工作人員的及時性，有效性；審計企業能否及時遵循守法并貫徹落實到各個階層的工作中去。第四，通過安全生產責任的有效履行，來對涉及到安全生產的執行人員和部門管理機構的審計。

3.2 職能方面的設計 煤礦企業內部審計職能是在審計本身固有的功能之上，反映出內部審計部門的本質。由于內部審計的職能為審計的目標服務，隨著審計的目標的變化而變化。在煤炭企業中的安全生產的內部審計目標是在煤炭企業的安全生產基礎上，來實現社會效益。與其他的內部審計職能有點區別。

3.2.1 監督職能，國務院提出了加強煤炭企業監管的方針和政策，煤炭企業自己本身也應該加強安全生產的內部監管機制，最大力度上實現安全生產。內部審計對企業的經營管理進行監督，如：安全生產活動、安全生產內部的控制。在企業內部如果發現內部控制的偏差可直接、間接的糾正。

3.2.2 防范職能，煤礦企業中的內部審計是在事前、事中進行的審計，主要針對煤炭生產的安全設計、人員安全培訓、安全設施的維護等來進行審計，更加偏向預防風險事故的發生，把生產中的安全隱患消除。

3.2.3 評價職能，內部審計為煤炭企業的正常運行生產經營活動和提高經濟效益來提供服務，煤炭企業的安全生產是企業一切活動的基礎，也是內部審計所評價的對象。內部審計的評價職能是針對煤礦企業安全生產的目標、操作流程、制度等進行評價，從而促進不完善的地方進行修改，來達到提高企業安全生產的目標。

3.3 內部審計方法設計 傳統的報表、賬冊、記錄方法已經不再適用于煤炭企業內部安全生產的內部審計。內部審計的方法可以分為以下幾種：

①內部審計方法。在煤炭企業內部審計更注重工作人員親自在現場的檢查，這種模式也是源于煤炭安全生產方面具有很強的針對性，在傳統的方法中不足以表現出來，而在工作人員現場的審計中將所能影響安全生產的因素現場進行審計，可以有效的杜絕安全隱患的發生。那么，內部審計的方法可以采取兩種，既詳細檢查法、現場鑒定法。②內部審計后的分析方法。在科學性的前提下，內部審計人員就煤礦企業安全生產的書面資料，在分類、比較等手段下，根據現有的安全生產標準來進行分析和評價的一種方法。③內部審計查詢法。是內部審計的工作人員面對面詢問、提問、質疑等行為方式來獲取安全生產的和書面資料和客觀事實，在此基礎上又分為口頭查詢和書面查詢兩種方法。

4 結語

現階段我國經濟體制改革不斷加深，這就需要煤礦企業去適用改革的腳步，并隨著改革來進行自身的制度完善。健全的制度對任何的企業來講都非常重要，內部審計在煤礦企業中起著至關重要的作用，是控制企業內部穩定的有效手段。內部審計本身有非常強大的功能，煤礦企業中在利用內部審計的同時，也應該加強內部審計人員的專業素養，使內部審計在煤礦企業安全生產中發揮最大作用，更好的預防安全隱患，促進煤礦企業的健康平穩發展。

參考文獻：

[1]劉云金.礦產資源企業安全生產內部審計初探[J].現代經濟信息，2012.

[2]吳進華，肖興祥.開展安全生產內部審計相關問題思考[J].財會月刊，2011.

[3].煤礦安全審計研究[A].中國煤炭經濟研究（2005～2008）（上冊）[C].2009.