试题80（2010年下半年试题18）

某高校决定开发网络安全审计系统，希望该系统能够有选择地记录任何通过网络对应用系统进行的操作并对其进行实时与事后分析和处理；具备入侵实时阻断功能，同时不对应用系统本身的正常运行产生任何影响，能够对审计数据进行安全的保存；保证记录不被非法删除和篡改。该高校的安全审计系统最适合采用__（18）__.

（18）

A.基于网络旁路监控的审计 B.基于应用系统独立程序的审计
C.基于网络安全入侵检测的预警系统 D.基于应用系统代理的审计

试题80分析

目前对重要应用系统运行情况的审计主要有4种，分别是基于主机操作系统代理、基于应用系统代理、基于应用系统独立程序和基于网络旁路监控方式。

（1）基于主机操作系统代理。数据库操作系统（如Oracle、SQLServer）、电子邮件系统（如Microsoft Exchange）在启动自身审计功能之后自动将部分系统审核数据（如：用户登录活动、对象访问活动）传送到主机系统审计日志。然后，再通过运行于主机操作系统下一个实时监控代理程序来读取并分析系统审计日志中的相关数据。此方案与应用系统编程无关，所以通用性、实时性好，但审计粒度较粗，并且对确认的违规行为不能实现阻断控制。

（2）基于应用系统代理。此种解决方案与基于主机操作系统代理不同之处在于：首先根据不同应用，设计开发不同的应用代理程序，并在相应应用系统内运行。应用系统产生的审计数据不是直接传送给主机操作系统审核，而是首先由应用代理程序接收，再由其传送给主机操作系统审核，也可直接传送给主机操作系统实时监控代理程序处理。此方案优点是：实时性好，且审计粒度由用户控制，可以减少不必要的审核数据。缺点在于要为每个应用单独编写代理程序，因而与应用系统编程相关，通用性不如前者好。

（3）基于应用系统独立程序。在应用系统内部嵌入一个与应用服务同步运行专用的审计服务应用进程，用以全程跟踪应用服务进程的运行。以数据库系统为例，审计人员通过它建立一个监视文档库，作用是指定需要监视的数据库；指定需要监视的数据库的某个域（记录）；选择需要记录的数据库对象操作行为（OPEN、CREATE、UPDATE、DELETE）；选择需要记录的用户级行为（登录、创建、删除、授权）；选择审计日志产生后，通知审计人员的方式（人工查看、电子邮件、寻呼）。此方案与应用系统密切相关，每个应用系统都需开发相应的独立程序，通用性、实时性不好，价格将会较高。但审计粒度可因需求而设置，并且用户工作界面与应用系统相同。现在最为有效的应用系统审计程序，已经解决了实时性问题，即在审计程序内增加一个能够和外部监控台保持实时通信的代理进程（Agent），外部监控台的作用一是在网络上实时监控若干个应用系统审计进程的运行，二是实时接受、处理各Agent传送过来的审计数据。这种解决方案实际上是"基于应用程序代理" 方案的扩充。

（4）基于网络旁路监控方式。此方式与基于网络监测的安全审计实现原理及系统配置相同，仅是作用目标不同而已。其系统结构由网络探测器和安全控制中心组成。网络探测器从网上获得用户访问应用系统的指令数据包，根据预先设置的规则分析数据包，进行应用操作的还原，经过数据处理后把实际的操作数据按一定格式提交给安全控制中心；安全控制中心对获得的数据情报据进行智能分析，当发现有可疑的操作时，自动进行记录入库、报警、阻断等操作。安全控制中心的控制台负责设置系统的各项工作参数；进行规则匹配设定以确定哪些操作是违法的，并且起到实时监视、响应的作用。这种方式的主要优点是：能够有选择地记录任何通过网络对应用系统进行的操作并对其进行实时与事后分析和处理（如：报警、阻断、筛选可疑操作以及对审计数据进行数据挖掘等），无论系统采用的是C/S 模式还是B/W/DB 模式；能够记录完整的信息，包括操作者的IP 地址，时间，MAC地址以及完整的数据操作（如数据库的完整SQL语句）；审计系统的运行不对应用系统本身的正常运行产生任何影响，不需要占用数据库主机上的CPU 、内存和硬盘；能够对审计数据进行安全的保存，能够保证记录不被非法删除和篡改。

试题80答案

（18）A