2022信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)安全審計(jì)產(chǎn)品技術(shù)要求

信息安全技術(shù)

移動(dòng)互聯(lián)網(wǎng)安全審計(jì)產(chǎn)品技術(shù)要求

目次

前言...................................................................................2

引言...................................................................................3

1范圍................................................................................4

2規(guī)范性引用文件......................................................................4

3術(shù)語(yǔ)和定義..........................................................................4

4縮略語(yǔ)..............................................................................6

5移動(dòng)互聯(lián)網(wǎng)安全審計(jì)體系.............................................................6

5.1移動(dòng)互聯(lián)網(wǎng)安全審計(jì)體系架構(gòu).................................................6

5.2功能框架.....................................................................8

5.3安全審計(jì)模型................................................................11

6功能要求...........................................................................13

6.1綜述........................................................................13

6.2安全要求.....................................................................13

6.3審計(jì)策略定制...............................................................14

6.4審計(jì)跟蹤.....................................................................14

6.5審計(jì)記錄...................................................................16

6.6審計(jì)存儲(chǔ)....................................................................16

6.7審計(jì)分析....................................................................16

6.8審計(jì)代理....................................................................17

6.9審計(jì)響應(yīng)....................................................................17

6.10審計(jì)記錄歸檔..............................................................17

6.11審計(jì)報(bào)告生成..............................................................18

6.12審計(jì)查閱..................................................................18

參考文獻(xiàn).............................................................................19

附錄A（資料性附錄）移動(dòng)互聯(lián)網(wǎng)安全審計(jì)中的角色和職責(zé)..............................20

信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)安全審計(jì)產(chǎn)品技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了移動(dòng)互聯(lián)網(wǎng)安全審計(jì)的技術(shù)要求，主要針對(duì)移動(dòng)互聯(lián)網(wǎng)安全審計(jì)域中各種事件審計(jì)的相

關(guān)技術(shù)進(jìn)行要求，包括：移動(dòng)互聯(lián)網(wǎng)安全審計(jì)體系結(jié)構(gòu)、網(wǎng)絡(luò)架構(gòu)、功能框架和基本流程，并對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)

用安全審計(jì)平臺(tái)及滿足要求的移動(dòng)終端的功能進(jìn)行要求。

本標(biāo)準(zhǔn)適用于安全審計(jì)產(chǎn)品評(píng)測(cè)機(jī)構(gòu)、應(yīng)用審計(jì)產(chǎn)品與服務(wù)提供商等評(píng)估主體對(duì)移動(dòng)互聯(lián)網(wǎng)安全審計(jì)平

臺(tái)和移動(dòng)終端進(jìn)行評(píng)估，也可用于指導(dǎo)移動(dòng)互聯(lián)網(wǎng)安全審計(jì)平臺(tái)及移動(dòng)終端的研制和開(kāi)發(fā)。用戶可以使用評(píng)估

結(jié)果來(lái)幫助決定安全審計(jì)平臺(tái)是否滿足安全審計(jì)的需求。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)

GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T18336.2-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第二部分：安全功能要求GB/T

18794.7-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第7部分：安全審計(jì)和報(bào)警框架GB/T

20271-2006信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求

GB/T20945-2013信息安全技術(shù)信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法

3術(shù)語(yǔ)和定義

GB17859-1999>GB/T25069-2010和GB/T18336.1-2008界定的及以下術(shù)語(yǔ)和定義適用于本文件。

3.1

移動(dòng)互聯(lián)網(wǎng)安全mobiIeinternetsecurity

移動(dòng)互聯(lián)網(wǎng)及其所存儲(chǔ)、傳輸和處理的信息的保密性、完整性和可用性的表征。

3.2

安全審計(jì)securityaudit

對(duì)信息系統(tǒng)的各種事件及行為實(shí)行監(jiān)測(cè)、信息采集、分析，并針對(duì)特定事件及行為采取相應(yīng)的動(dòng)作.

3.3

安全審計(jì)域securityauditdomain

在信息系統(tǒng)和網(wǎng)絡(luò)中，單一安全審計(jì)策略下運(yùn)行的實(shí)體的匯集，即安全審計(jì)管理者負(fù)責(zé)審計(jì)的管理

4

范圍。其范圍小于等于管理域，且應(yīng)在保密域外。進(jìn)入安全審計(jì)域的用戶應(yīng)遵守安全審計(jì)策略定義的審計(jì)規(guī)則,

服從審計(jì)。否則，不予接入。

3.4

移動(dòng)互聯(lián)網(wǎng)安全審計(jì)mobiIeinternetsecurityaudit

對(duì)移動(dòng)互聯(lián)網(wǎng)安全審計(jì)域內(nèi)的各種事件及行為實(shí)行監(jiān)測(cè)、信息采集、分析并針對(duì)特定事件及行為采取

相應(yīng)的響應(yīng)動(dòng)作。

3.5

安全審計(jì)代理securityauditagent

移動(dòng)終端內(nèi)負(fù)責(zé)審計(jì)私有數(shù)據(jù)的模塊。

3.6

安全審計(jì)主體securityauditsubject

安全審計(jì)域的管理者，負(fù)責(zé)定義滿足實(shí)際安全審計(jì)需要的安全審計(jì)策略并執(zhí)行安全審計(jì)，包括審計(jì)者、

系統(tǒng)管理員、安全管理員、審計(jì)管理員等角色。具體的角色和職責(zé)劃分參見(jiàn)附錄Ao

3.7

安全審計(jì)客體managedobject

在安全審計(jì)管理范圍內(nèi)的被管理者，本標(biāo)準(zhǔn)中指移動(dòng)終端。

3.8

安全審計(jì)消息securityauditmessage

一個(gè)功能模塊發(fā)送給另一功能模塊的單次報(bào)文。

3.9

安全審計(jì)信息securityauditinformation

安全審計(jì)存儲(chǔ)中保存的格式化后的安全審計(jì)消息的集合。

3.10

安全審計(jì)項(xiàng)目securityaudittarget

審計(jì)信息源，包括行為、日志、流量、移動(dòng)應(yīng)用等項(xiàng)目。

3.11

私有數(shù)據(jù)privatedata

5

指安全審計(jì)主體私自享有的數(shù)據(jù)，不當(dāng)使用或未經(jīng)授權(quán)被人修改該數(shù)據(jù)會(huì)使審計(jì)者的利益受損。該數(shù)

據(jù)被移動(dòng)終端從安全審計(jì)域下載至本地時(shí)應(yīng)控制知悉范圍，并被安全審計(jì)中心打上私有標(biāo)記，受安全審計(jì)代

理監(jiān)控審計(jì)。

3.12

責(zé)任方responsibIeparty

指在安全審計(jì)過(guò)程中對(duì)安全審計(jì)客體負(fù)責(zé)的人員。責(zé)任方與安全審計(jì)客體（即移動(dòng)終端）是一對(duì)多的

關(guān)系，在進(jìn)入安全審計(jì)域前應(yīng)在安全審計(jì)中心處注冊(cè)備案。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

MAM移動(dòng)應(yīng)用管理(MobileApplicationManagement)

MDM移動(dòng)設(shè)備管理(MobileDeviceManagement)

WLAN無(wú)線局域網(wǎng)(WirelessLocalAreaNetworks)

AP無(wú)線接入點(diǎn)(AccessPoint)

APP移動(dòng)應(yīng)用(MobileApplication)

GGSN網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GatewayGPRSSupportNode)

FTP文件傳輸協(xié)議(FileTransferProtocol)

P2P對(duì)等計(jì)算(PeertoPeer)

5移動(dòng)互聯(lián)網(wǎng)安全審計(jì)體系

5.1移動(dòng)互聯(lián)網(wǎng)安全審計(jì)體系架構(gòu)

5.1.1體系結(jié)構(gòu)

移動(dòng)互聯(lián)網(wǎng)安全審計(jì)架構(gòu)基于“分布式采集、集中式管理”的思想，在不改變現(xiàn)有內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和配

置、不影響網(wǎng)絡(luò)運(yùn)行效率的前提下，實(shí)現(xiàn)跨網(wǎng)絡(luò)的安全審計(jì)機(jī)制。物理上可劃分為安全審計(jì)中心、安全審計(jì)

跟蹤器和安全審計(jì)代理三部分。

安全審計(jì)中心收集所有審計(jì)跟蹤器上報(bào)的實(shí)時(shí)和非實(shí)時(shí)的審計(jì)事件，負(fù)責(zé)安全審計(jì)域內(nèi)所有事件的實(shí)

時(shí)審計(jì)?，對(duì)審計(jì)事件分析、統(tǒng)計(jì)、存儲(chǔ)，完成實(shí)時(shí)審計(jì)事件的響應(yīng)并發(fā)出審計(jì)指令，同時(shí)還應(yīng)提供審計(jì)主體定

制審計(jì)策略的入口。安全審計(jì)中心宜具備對(duì)復(fù)雜記錄的深度挖掘和智能分析能力。當(dāng)移動(dòng)終端請(qǐng)求將安全審計(jì)城

內(nèi)的私有數(shù)據(jù)下載至終端側(cè)時(shí)，安全審計(jì)中心應(yīng)通過(guò)安全審計(jì)*瞬器向移動(dòng)終端下發(fā)審計(jì)代理安裝指令，并對(duì)要下

載的私有數(shù)據(jù)進(jìn)行標(biāo)記。如移動(dòng)終端拒絕下載安裝審計(jì)代理，安全審計(jì)中心應(yīng)拒絕其數(shù)據(jù)下載請(qǐng)求。

安全審計(jì)跟蹤器以旁路方式部署在安全審計(jì)域服務(wù)器內(nèi)網(wǎng)入口處，負(fù)責(zé)安全審計(jì)域內(nèi)審計(jì)數(shù)據(jù)的收集、

簡(jiǎn)單分析、上報(bào)和執(zhí)行響應(yīng)，應(yīng)具備完整、連續(xù)的活動(dòng)采集能力。對(duì)于無(wú)線局域網(wǎng)，安全審計(jì)域服務(wù)器內(nèi)網(wǎng)入

口處對(duì)應(yīng)無(wú)線路由器；對(duì)于移動(dòng)通信網(wǎng)，安全審計(jì)域服務(wù)器內(nèi)網(wǎng)入口處對(duì)應(yīng)基站。

6

安全審計(jì)代理安裝在移動(dòng)終端內(nèi)，負(fù)責(zé)移動(dòng)終端在安全審計(jì)域外時(shí)對(duì)終端內(nèi)部私有數(shù)據(jù)相關(guān)訪問(wèn)操作的

離線實(shí)時(shí)審計(jì)、響應(yīng)和記錄，以及移動(dòng)終端回到安全審計(jì)域內(nèi)時(shí)域外審計(jì)記錄的在線上報(bào)和私有數(shù)據(jù)離線訪問(wèn)操

作審計(jì)。只有當(dāng)移動(dòng)終端下載了安全審計(jì)域的私有數(shù)據(jù)時(shí)才會(huì)安裝安全審計(jì)代理。當(dāng)移動(dòng)終端回歸安全審計(jì)域內(nèi)

時(shí)，安全審計(jì)代理將私有數(shù)據(jù)在線訪問(wèn)操作審計(jì)權(quán)限交還給安全審計(jì)中心，只負(fù)責(zé)私有數(shù)據(jù)離線訪問(wèn)操作審計(jì)。

應(yīng)包括安全審計(jì)域內(nèi)審計(jì)和安全審計(jì)域外審計(jì)，其中安全審計(jì)域內(nèi)審計(jì)包含一般行為事中審計(jì)、私有

數(shù)據(jù)在線操作事中審計(jì)、私有數(shù)據(jù)離線操作事中審計(jì)和私有數(shù)據(jù)域外操作事后備案，安全審計(jì)域外審計(jì)主要是

私有數(shù)據(jù)在線操作事中審計(jì)和私有數(shù)據(jù)離線操作記錄。體系結(jié)構(gòu)如圖1所示。

應(yīng)」"左4*m計(jì)心RMg

妾全宙計(jì)建內(nèi)安全宙計(jì)誠(chéng)外

圖1移動(dòng)互聯(lián)網(wǎng)安全審計(jì)體系結(jié)構(gòu)圖

當(dāng)移動(dòng)終端在安全審計(jì)域內(nèi)時(shí)，用戶在審計(jì)規(guī)則范圍內(nèi)的行為宜從移動(dòng)APP直接通過(guò)審計(jì)跟蹤器實(shí)

時(shí)提交給安全審計(jì)中心進(jìn)行事中審計(jì)，審計(jì)中心將審計(jì)結(jié)果返回給審計(jì)跟蹤器，如果通過(guò)繼續(xù)執(zhí)行，如

果不通過(guò)中斷執(zhí)行并告警。在安全審計(jì)域內(nèi)時(shí)，如果移動(dòng)終端要下載私有數(shù)據(jù)應(yīng)先安裝安全審計(jì)代理，

否則拒絕下載。對(duì)于私有數(shù)據(jù)，當(dāng)行為是在線行為時(shí)應(yīng)通過(guò)審計(jì)跟蹤器實(shí)時(shí)提交給安全審計(jì)中心進(jìn)行事中審

計(jì)，由安全審計(jì)中心判斷行為的合法性；當(dāng)離線操作時(shí)審計(jì)代理對(duì)該操作進(jìn)行審計(jì)、判斷是否合法，如果合法允許

操作繼續(xù)執(zhí)行，如果不合法中斷操作并上報(bào)安全審計(jì)中心；另外，在安全審計(jì)域外的私有數(shù)據(jù)相關(guān)的審計(jì)記錄應(yīng)

在移動(dòng)終端進(jìn)入安全域后第一時(shí)間通過(guò)審計(jì)月瞬器上傳給安全審計(jì)中心備案。

當(dāng)移動(dòng)終端在安全審計(jì)域外時(shí)，移動(dòng)APP的行為不需安全審計(jì)，只有安全審計(jì)主體的私有數(shù)據(jù)相關(guān)

操作需要安全審計(jì)。安全審計(jì)代理負(fù)責(zé)私有數(shù)據(jù)在線操作和離線操作的實(shí)時(shí)審計(jì)，如果合法允許繼續(xù)執(zhí)行，

否則予以阻斷。同時(shí)，所有審計(jì)記錄需存儲(chǔ)，直至到審計(jì)域內(nèi)上傳至安全審計(jì)中心后方可刪除。

5.1.2網(wǎng)絡(luò)架構(gòu)

7

移動(dòng)互聯(lián)網(wǎng)安全審計(jì)根據(jù)接入技術(shù)的不同分為無(wú)線局域網(wǎng)安全審計(jì)和移動(dòng)通信網(wǎng)安全審計(jì)。網(wǎng)絡(luò)架構(gòu)

如圖：

圖2移動(dòng)互聯(lián)網(wǎng)安全審計(jì)網(wǎng)絡(luò)架構(gòu)圖

5.2功能框架

5.2.1功能框架

本標(biāo)準(zhǔn)改進(jìn)了GB/T18336.2-2008中對(duì)安全審計(jì)要求的描述，定義了移動(dòng)互聯(lián)網(wǎng)安全審計(jì)的功能框

架，如圖3?；诒Ｃ苄?、完整性、可追溯性的安全原則，安全審計(jì)應(yīng)包含安全審計(jì)策略定制、安全審

計(jì)跟蹤、安全審計(jì)代理、安全審計(jì)存儲(chǔ)、安全審計(jì)分析、安全審計(jì)響應(yīng)、審計(jì)記錄歸檔和安全審計(jì)查閱八個(gè)

模塊。

8

院李杞、矍攘杞、厘辭溢忙

‘婚濯竺瓢媾煤'

嫡徼嫌懿竺瓶嫩煤'11瘠版勺嫩煤'

________X

博嫡徼常嚷斕徼修槐斕徼福孝斕傲

嫡徼

哂

常音徹媒嬴丁玲

嚷音徹嫩多跳

*

蠕五端逝

斕

徼

媛

婢^

呱

常

徼

媛

綿蠕云&

S^

音徹媒懿

越W

跖泥能嫌闔

婢

徼

^

媒

樸

幕

螂-

緲a

幕

樸

怒音徹嫩常堤媛懿常康媛嬴

-?

嫡徼^^媒偌

斕徼^也延標(biāo)

嫡徼嫩^枉^

圖3移動(dòng)互聯(lián)網(wǎng)安全審計(jì)功能框架圖

具體功能如下:

9

a）安全審計(jì)策略定制，用于審計(jì)主體設(shè)置接受審計(jì)的事件類型和用戶；

b）安全審計(jì)跟蹤，包括事件檢測(cè)和事件鑒別。提供事件的初始分析并確定是否將該事件轉(zhuǎn)發(fā)給審計(jì)

記錄模塊或報(bào)警處理模塊；

c）安全審計(jì)代理，解決移動(dòng)終端移動(dòng)性問(wèn)題，負(fù)責(zé)在安全審計(jì)域外對(duì)移動(dòng)終端進(jìn)行安全審計(jì)，在安

全域內(nèi)第一時(shí)間上傳域外審計(jì)記錄以及域內(nèi)時(shí)私有數(shù)據(jù)的離線操作；

d）安全審計(jì)響應(yīng)，產(chǎn)生回應(yīng)安全報(bào)警的審計(jì)消息以及合適動(dòng)作；

e）安全審計(jì)分析，檢查安全審計(jì)存儲(chǔ)，如果合適，則生成安全報(bào)警和安全審計(jì)消息；f）

安全審計(jì)存儲(chǔ)，存儲(chǔ)格式化后的安全審計(jì)信息；

g）安全審計(jì)記錄歸檔，將安全審計(jì)存儲(chǔ)的某些部分歸檔；

h）審計(jì)查閱，將審計(jì)存儲(chǔ)中的原始審計(jì)數(shù)據(jù)、審計(jì)分析后的結(jié)果、以及審計(jì)歸檔的內(nèi)容呈現(xiàn)給有授

權(quán)的審計(jì)主體。

5.2.2功能說(shuō)明

5.2.2.1安全審計(jì)策略定制

安全審計(jì)中心應(yīng)為審計(jì)主體提供審計(jì)策略配置的入口，審計(jì)主體可以配置接受審計(jì)的事件和對(duì)象。

根據(jù)安全審計(jì)需求，應(yīng)能為特定場(chǎng)合配置特定的審計(jì)事件選擇。應(yīng)能夠維護(hù)被審計(jì)的對(duì)象，能夠維護(hù)、檢

查或修改審計(jì)事件的集合，且事件的集合應(yīng)能夠由經(jīng)授權(quán)的管理用戶進(jìn)行增加、修改或刪除操作。應(yīng)能允

許用戶選擇審計(jì)的安全屬性，例如：與目標(biāo)標(biāo)識(shí)、用戶標(biāo)識(shí)、移動(dòng)終端標(biāo)識(shí)、事件類型、審計(jì)消息產(chǎn)生時(shí)間、

行為發(fā)生次數(shù)等相關(guān)的屬性。

審計(jì)策略定義的審計(jì)規(guī)則所需用戶數(shù)據(jù)應(yīng)在用戶接入安全審計(jì)域時(shí)進(jìn)行告知。當(dāng)某類用戶數(shù)據(jù)的審計(jì)

是審計(jì)域強(qiáng)制規(guī)則時(shí)，如果用戶拒絕審計(jì)，安全審計(jì)中心可拒絕其接入。

5.2.2.2安全審計(jì)跟蹤

審計(jì)跟蹤應(yīng)能按照事件發(fā)生的時(shí)間順序，記錄每個(gè)事件的環(huán)境及活動(dòng)，使安全審計(jì)中心能夠提供事件

從始至終的整個(gè)變化軌跡。宜獲取移動(dòng)終端用戶行為原始數(shù)據(jù)，并根據(jù)安全審計(jì)策略判斷是否是安全審計(jì)事件，

生成安全審計(jì)消息并將其分發(fā)至下一處理單元。按照審計(jì)數(shù)據(jù)源的不同分為行為審計(jì)、流量審計(jì)、日志審計(jì)

和移動(dòng)應(yīng)用（APP）審計(jì)等。

5.2.2.3安全審計(jì)代理

安全審計(jì)代理負(fù)責(zé)監(jiān)控、審計(jì)移動(dòng)終端側(cè)私有數(shù)據(jù)的操作行為，包括安全審計(jì)域外私有數(shù)據(jù)相關(guān)的所有

事件審計(jì)、安全審計(jì)域內(nèi)域外審計(jì)記錄上傳以及安全審計(jì)域內(nèi)私有數(shù)據(jù)離線操作行為等。在移動(dòng)終端下載內(nèi)部

文件至本地前應(yīng)安裝安全審計(jì)代理。

5.2.2.4安全審計(jì)響應(yīng)

當(dāng)審計(jì)中心檢測(cè)出一個(gè)安全違規(guī)事件（或者是潛在的安全攻擊）時(shí)，應(yīng)能根據(jù)安全審計(jì)策略作出響

應(yīng)，對(duì)審計(jì)事件做出反饋，包括報(bào)警和阻斷。根據(jù)審計(jì)事件判斷的不同，安全審計(jì)中心作出不同的響應(yīng)。

5.2.2.5安全審計(jì)存儲(chǔ)

安全審計(jì)中心應(yīng)能夠?qū)Ω袷交蟮陌踩珜徲?jì)消息在保存期內(nèi)集中存放于安全審計(jì)存儲(chǔ)中，并確保其

保密性、完整性、可靠性，用于審計(jì)分析和審計(jì)報(bào)告生成。根據(jù)不同的安全審計(jì)策略和安全審計(jì)項(xiàng)目，安

全審計(jì)記錄的保存期不同，保存期在審計(jì)策略中應(yīng)能夠定義。

10

5.2.2.6安全審計(jì)分析

宜具備對(duì)安全審計(jì)存儲(chǔ)中的同一審計(jì)事件的數(shù)據(jù)或不同的相關(guān)審計(jì)事件的復(fù)雜數(shù)據(jù)進(jìn)行處理、深度挖

掘和智能分析的能力，以尋找可能的或真正的安全審計(jì)策略中定義的安全違規(guī)操作。分析結(jié)果可以用于入侵檢

測(cè)或?qū)Π踩`規(guī)的自動(dòng)響應(yīng)。當(dāng)一個(gè)審計(jì)事件集出現(xiàn)或累計(jì)出現(xiàn)一定次數(shù)時(shí)可以確定為一個(gè)違規(guī)的發(fā)生，并執(zhí)行

審計(jì)分析。

5.2.2.7安全審計(jì)記錄歸檔

對(duì)于在安全審計(jì)存儲(chǔ)中保存期滿足審計(jì)策略規(guī)定的，或者由于審計(jì)策略的改變對(duì)未來(lái)安全審計(jì)無(wú)用的

審計(jì)信息，應(yīng)被傳輸?shù)介L(zhǎng)期存儲(chǔ)介質(zhì)中。

5.2.2.8安全審計(jì)查閱

應(yīng)為經(jīng)過(guò)授權(quán)的審計(jì)主體提供審計(jì)記錄的訪問(wèn)和瀏覽功能。應(yīng)對(duì)審計(jì)數(shù)據(jù)的瀏覽進(jìn)行授權(quán)訪問(wèn)控制。

審計(jì)記錄只能被審計(jì)管理員和被授權(quán)的其他用戶瀏覽，并且對(duì)于審計(jì)數(shù)據(jù)也是部分瀏覽。宜提供數(shù)據(jù)解釋和

條件搜尋等功能。

5.3安全審計(jì)模型

根據(jù)GB/T18794.7-2003中關(guān)于安全審計(jì)和報(bào)警模型的定義，移動(dòng)互聯(lián)網(wǎng)安全審計(jì)模型如圖4：

仲川代代）

全

安

計(jì)

*'1

存

”"______J'Jiit播告

臨訪田病A

<T>T7T

【記3，I科

圖4對(duì)于明確非法的事件的事中審計(jì)流程

對(duì)于明確非法的事件的事中審計(jì)流程如圖4,具體為：

a）審計(jì)跟蹤器獲得事件原始數(shù)據(jù)，并判斷其構(gòu)成一個(gè)事件，且能夠判斷為非法；

b）審計(jì)跟蹤器直接給報(bào)警處理模塊發(fā)送報(bào)警指令，同時(shí)發(fā)送審計(jì)消息給審計(jì)記錄模塊；c）

報(bào)警處理模塊執(zhí)行指令，并發(fā)送備案信息給審計(jì)記錄；

d）審計(jì)記錄將收到的審計(jì)消息和備案信息格式化后存入安全審計(jì)存儲(chǔ)中。

11

3件也不?申件加加

▼

中V記錄

安全

*計(jì)

喻

存

由6終刑

:二分十；|'1

Iid初種J

圖5對(duì)于不明確非法的事件的事中審計(jì)流程

對(duì)于不明確非法的事件的事中審計(jì)流程如圖5,具體為：

a）審計(jì)跟蹤器獲得事件原始數(shù)據(jù)，并判斷其構(gòu)成一個(gè)事件，需進(jìn)一步分析合規(guī)性；b）

審計(jì)?跟蹤器發(fā)送審計(jì)消息給審計(jì)記錄模塊：

c）審計(jì)記錄將審計(jì)消息格式化后存入安全審計(jì)存儲(chǔ)，同時(shí)發(fā)送一份給審計(jì)分析模塊；

d）審計(jì)分析模塊根據(jù)當(dāng)前審計(jì)信息和存儲(chǔ)中的歷史審計(jì)信息進(jìn)行分析挖掘，判斷事件的合規(guī)性;

e）如果合規(guī)，事件繼續(xù)執(zhí)行；如果不合規(guī)，審計(jì)分析模塊發(fā)送非法事件備案消息給審計(jì)記錄模塊，

同時(shí)向報(bào)警處理模塊發(fā)送告警指令；

f）審計(jì)記錄將非法事件備案消息格式化后存入審計(jì)存儲(chǔ)。

12

網(wǎng)管處理A

，土

一

一

安

全

南

計(jì)

存

儲(chǔ)

▼

女全中計(jì)［

id#打科；

圖6事后審計(jì)流程

事后審計(jì)的流程如圖6,具體為：

a）外部觸發(fā)基于某個(gè)安全審計(jì)策略的事后審計(jì)操作；

b）審計(jì)分析模塊提取審計(jì)存儲(chǔ)中所有相關(guān)的安全審計(jì)信息并進(jìn)行分析挖掘，將審計(jì)分析結(jié)果發(fā)送給

審計(jì)記錄模塊和審計(jì)報(bào)告生成模塊；

c）審計(jì)記錄模塊將收到的分析結(jié)果格式化后存入安全審計(jì)存儲(chǔ)中。

審計(jì)分析模塊的事中審計(jì)結(jié)果和事后審計(jì)結(jié)果以及安全審計(jì)存儲(chǔ)中的所有信息可用于審計(jì)報(bào)告生成。

安全審計(jì)存儲(chǔ)中存儲(chǔ)的審計(jì)數(shù)據(jù)超過(guò)審計(jì)策略規(guī)定的存儲(chǔ)時(shí)間后，應(yīng)移至審計(jì)歸檔存儲(chǔ)中長(zhǎng)期保存。

6功能要求

6.1綜述

移動(dòng)互聯(lián)網(wǎng)安全審計(jì)監(jiān)測(cè)移動(dòng)互聯(lián)網(wǎng)安全審計(jì)域內(nèi)與安全有關(guān)的事件，對(duì)審計(jì)域內(nèi)發(fā)生的各種行為變

化進(jìn)行監(jiān)控、管理和審計(jì)，能夠?qū)Π踩趾ζ鸬酵刈饔?。移?dòng)互聯(lián)網(wǎng)安全審計(jì)要求具有安全事件識(shí)別、審

計(jì)數(shù)據(jù)獲取、審計(jì)數(shù)據(jù)記錄、審計(jì)數(shù)據(jù)保護(hù)、侵害報(bào)警以及實(shí)時(shí)、事后分析等功能。

本章詳細(xì)描述各個(gè)功能模塊的具體技術(shù)要求。

安全審計(jì)服務(wù)無(wú)法對(duì)應(yīng)于某一種安全服務(wù)，應(yīng)綜合使用其他安全服務(wù)來(lái)支持安全審計(jì)服務(wù)，在以下章

節(jié)中會(huì)具體說(shuō)明。

6.2安全要求

6.2.1實(shí)體鑒別

在審計(jì)跟蹤器與安全審計(jì)中心之間相互傳送安全審計(jì)消息時(shí)應(yīng)進(jìn)行雙向身份鑒別，以確保安全審計(jì)中

心身份可靠，從而使安全審計(jì)中心向該審計(jì)跟蹤器發(fā)送任務(wù)，以及該審計(jì)跟蹤器接受任務(wù)。

6.2.2數(shù)據(jù)源鑒別

需要使用數(shù)據(jù)源鑒別確認(rèn)安全審計(jì)消息和安全報(bào)警的來(lái)源。安全審計(jì)消息的目的方（如審計(jì)記錄）可

以此拒絕未知來(lái)源的消息，報(bào)警處理模塊可以此拒絕未知來(lái)源的報(bào)警指令。

6.2.3訪問(wèn)控制

在存儲(chǔ)、傳送、查詢安全審計(jì)記錄信息時(shí)應(yīng)使用訪問(wèn)控制服務(wù)，防止安全審計(jì)存儲(chǔ)的未授權(quán)訪問(wèn)。

審計(jì)代理應(yīng)對(duì)下載到移動(dòng)終端的私有數(shù)據(jù)進(jìn)行訪問(wèn)控制。

6.2.4保密性

在傳送安全審計(jì)任務(wù)、選定安全審計(jì)記錄、安全審計(jì)消息和安全報(bào)警的過(guò)程中宜使用保密性服務(wù)。

保密性服務(wù)宜用來(lái)保護(hù)存儲(chǔ)的審計(jì)記錄和審計(jì)歸檔。

審計(jì)主體應(yīng)確保被審計(jì)者的隱私信息保密性，確保不會(huì)泄漏給第三方。

6.2.5完整性

應(yīng)檢測(cè)出對(duì)安全審計(jì)任務(wù)、選定的安全審計(jì)記錄集、安全審計(jì)消息及安全報(bào)警的任何未授權(quán)修改，

確保這些消息傳輸過(guò)程中的完整性。

6.2.6時(shí)間戳

在安全審計(jì)記錄被作為合法證據(jù)的地方，應(yīng)對(duì)安全審計(jì)記錄加時(shí)間戳。

6.2.7其它

對(duì)于涉及國(guó)家秘密的被審計(jì)者，在身份認(rèn)證和手續(xù)確認(rèn)后應(yīng)不予審計(jì)。

6.3審計(jì)策略定制

安全審計(jì)策略用于定義安全相關(guān)事件，以及采集、記錄、分析、存儲(chǔ)、告警各種安全相關(guān)事件的規(guī)則,

如黑白名單定制和管控策略定制。安全審計(jì)主體應(yīng)能夠使用該功能從審計(jì)事件集合中選取被審計(jì)事件因素，包

括客體身份、用戶身份、主體身份、事件類型等。

應(yīng)能提供根據(jù)不同用戶組啟用不同審計(jì)策略的定制服務(wù)。

應(yīng)能提供移動(dòng)終端ID和責(zé)任方對(duì)應(yīng)關(guān)系的配置。責(zé)任方變更或責(zé)任方移動(dòng)終端變更時(shí)，安全管理員應(yīng)

進(jìn)行變更申請(qǐng)備案。

應(yīng)能夠設(shè)置審計(jì)存儲(chǔ)保存期，可根據(jù)不同的審計(jì)事件設(shè)定不同的保存期。

應(yīng)提供對(duì)審計(jì)事件查詢修改權(quán)限的維護(hù)。

在達(dá)到審計(jì)目標(biāo)的前提下，審計(jì)策略宜最小化存儲(chǔ)的安全審計(jì)信息量。

宜滿足多級(jí)別、多類型的安全審計(jì)定義需求。

宜設(shè)置安全審計(jì)缺省策略，對(duì)可審計(jì)事件進(jìn)行審計(jì)。

宜為安全管理員提供多套策略模板供安全管理員制定策略時(shí)參考。

安全審計(jì)策略定制權(quán)限應(yīng)只有安全管理員具有，修改策略應(yīng)通過(guò)雙因素認(rèn)證。

6.4審計(jì)跟蹤

6.4.1要求

14

包括審計(jì)事件檢測(cè)和事件辨別兩部分，事件檢測(cè)器發(fā)現(xiàn)一個(gè)符合審計(jì)策略定義的安全事件，事件辨別

器根據(jù)審計(jì)策略確定適當(dāng)?shù)南乱徊絼?dòng)作方針。該動(dòng)作應(yīng)是下列動(dòng)作之一：

a）無(wú)任何動(dòng)作；

b）產(chǎn)生安全審計(jì)消息；

c）產(chǎn)生安全報(bào)警和安全審計(jì)消息。

如果在檢測(cè)到事件后需要將不同的安全審計(jì)消息轉(zhuǎn)發(fā)給不同的目的地，應(yīng)允許安全管理員設(shè)置目的地

址，由事件辨別器將安全審計(jì)消息發(fā)送給不同的目的地。

根據(jù)審計(jì)對(duì)象的不同，審計(jì)跟蹤可分為行為審計(jì)、流量審計(jì)、日志審計(jì)、移動(dòng)應(yīng)用審計(jì)。

6.4.2行為審計(jì)

行為審計(jì)均是實(shí)時(shí)審計(jì)，即對(duì)當(dāng)前安全審計(jì)域正在發(fā)生的所有聯(lián)網(wǎng)行為進(jìn)行實(shí)時(shí)監(jiān)督、響應(yīng)和記錄。一旦

發(fā)現(xiàn)不良上網(wǎng)行為，立即阻止并報(bào)警。包括但不局限于網(wǎng)頁(yè)瀏覽審計(jì)、郵件收發(fā)審計(jì)、遠(yuǎn)程登陸審計(jì)、文件傳

輸（FTP協(xié)議）審計(jì)、P2P協(xié)議審計(jì)、音視頻審計(jì)、網(wǎng)絡(luò)聊天審計(jì)、網(wǎng)絡(luò)游戲?qū)徲?jì)、交易行為審計(jì)及其它行

為審計(jì)。

6.4.3流量審計(jì)

能夠按照協(xié)議不同對(duì)各個(gè)審計(jì)客體分別記錄協(xié)議流量并統(tǒng)計(jì)分析。特殊地，對(duì)于基于協(xié)議識(shí)別的流量

分析功能，安全審計(jì)中心應(yīng)能夠顯示當(dāng)前網(wǎng)絡(luò)中各個(gè)審計(jì)客體（組）、多種協(xié)議的流量、各種報(bào)文流量，并

且支持對(duì)任意時(shí)間段內(nèi)的移動(dòng)終端進(jìn)行流量排名和綜合流量分析。

6.4.4日志審計(jì)

應(yīng)能具備日志收集、關(guān)聯(lián)分析及存儲(chǔ)備份的功能，通過(guò)收集網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器、移動(dòng)終端、數(shù)據(jù)庫(kù)

和應(yīng)用系統(tǒng)的日志信息并對(duì)其進(jìn)行分析，確保移動(dòng)終端和安全審計(jì)中心的系統(tǒng)環(huán)境安全性以及用戶行為合規(guī)性。

日志應(yīng)包含系統(tǒng)安全事件、用戶訪問(wèn)記錄、系統(tǒng)運(yùn)行情況、系統(tǒng)運(yùn)行狀態(tài)等各類信息。日

志包括操作系統(tǒng)日志、應(yīng)用系統(tǒng)日志、數(shù)據(jù)庫(kù)日志。

移動(dòng)終端和安全審計(jì)跟蹤器均應(yīng)作為安全審計(jì)客體。

應(yīng)以統(tǒng)一的日志格式進(jìn)行集中存儲(chǔ)和管理。

宜能夠從網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器、移動(dòng)終端、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志。

6.4.5移動(dòng)應(yīng)用審計(jì)

采用數(shù)據(jù)流跟蹤、特征分析等方法檢測(cè)移動(dòng)應(yīng)用（APP）的安全漏洞、編碼隱患等，包括APP程序安全、

應(yīng)用數(shù)據(jù)安全、業(yè)務(wù)邏輯安全、系統(tǒng)環(huán)境安全、集成插件安全等。具體宜包括以下內(nèi)容：

a）審計(jì)是否支持自簽名證書(shū)：

b）審計(jì)是否存在URLSchema漏洞；

c）審計(jì)是否訪問(wèn)地址簿；

d）審計(jì)是否輸出移動(dòng)終端應(yīng)用安裝列表：e）

審計(jì)是否使用定位服務(wù)；

f）審計(jì)是否存在不安全的文件存儲(chǔ)；g）

審計(jì)是否采用明文傳輸；

h）應(yīng)用是否可修改，檢查應(yīng)用是否會(huì)自檢測(cè)完整性；

i）應(yīng)用存檔是否可替換，防止用安全性差的低版本替代高版本；j）

封包是否可修改；

15

k）封包是否可重放。

6.5審計(jì)記錄

應(yīng)將收到的來(lái)自事件辨別器的審計(jì)消息進(jìn)行格式化，以便存入安全審計(jì)存儲(chǔ)中進(jìn)行集中管理。應(yīng)至少

包含事件的H期、事件類型、移動(dòng)終端ID、事件的結(jié)果（成功或失效）等字段。

其中，審計(jì)事件類型應(yīng)在安全審計(jì)策略中進(jìn)行明確定義。

移動(dòng)終端ID是移動(dòng)終端首次進(jìn)入審計(jì)域中時(shí)，由安全審計(jì)中心統(tǒng)一分發(fā)，具有唯一性，是移動(dòng)終端的

唯一標(biāo)識(shí)。

要求按照GB/T17143.6T997中定義的規(guī)程組織審計(jì)記錄。

6.6審計(jì)存儲(chǔ)

安全審計(jì)中心服務(wù)器應(yīng)至少支持一種主流的數(shù)據(jù)庫(kù)，用于存儲(chǔ)用戶信息、安全審計(jì)信息和統(tǒng)計(jì)分析信

息等數(shù)據(jù)，方便查閱、檢索和統(tǒng)計(jì)分析。安全審計(jì)存儲(chǔ)中應(yīng)維護(hù)移動(dòng)終端與責(zé)任方的對(duì)應(yīng)關(guān)系，對(duì)于已標(biāo)識(shí)身

份的移動(dòng)終端的行為所產(chǎn)生的審計(jì)事件，應(yīng)能將每個(gè)可審計(jì)事件與引起該事件的用戶身份相關(guān)聯(lián)。

審計(jì)存儲(chǔ)數(shù)據(jù)保存期至少為六個(gè)月。應(yīng)保證安全審計(jì)信息在保存期內(nèi)有效、可用，并提供壓縮存儲(chǔ)機(jī)

制。

應(yīng)對(duì)安全審計(jì)數(shù)據(jù)進(jìn)行嚴(yán)格的授權(quán)訪問(wèn)控制，確保安全審計(jì)信息保密性，不得隨意訪問(wèn)。

應(yīng)確保安全審計(jì)信息完整性，至少采取一種安全機(jī)制，保護(hù)安全審計(jì)存儲(chǔ)中的審計(jì)信息免遭未經(jīng)授權(quán)的

刪除或修改，如采取嚴(yán)格的身份鑒別機(jī)制和適合的文件讀取權(quán)限等，任何對(duì)審計(jì)記錄數(shù)據(jù)的刪除或修改都應(yīng)生

成系統(tǒng)自身安全審計(jì)記錄。

安全審計(jì)信息的修改權(quán)限應(yīng)限定在最小用戶范圍內(nèi)，建議不能修改。

當(dāng)審計(jì)存儲(chǔ)空間耗盡、失效、遭受攻擊等異常，應(yīng)能夠采取相應(yīng)的措施防止數(shù)據(jù)丟失，如忽略可審計(jì)事

件、只允許記錄有特殊權(quán)限的事件、覆蓋以前記錄、停止工作或另存為備份等。

審計(jì)存儲(chǔ)宜與其它應(yīng)用的存儲(chǔ)獨(dú)立使用。如果因客觀原因需要共用存儲(chǔ)，要求審計(jì)存儲(chǔ)支持多對(duì)象審

計(jì)倉(cāng)庫(kù)，其中該倉(cāng)庫(kù)的某一部分可以接受潛在的各種各樣的授權(quán)用戶的訪問(wèn)。

安全審計(jì)信息應(yīng)具有導(dǎo)出功能，在審計(jì)記錄存儲(chǔ)的事件的存儲(chǔ)時(shí)間超過(guò)預(yù)定的最低值時(shí)，應(yīng)將審計(jì)事

件歸檔。

除了安全審計(jì)策略規(guī)定的安全事件外，下列行為也應(yīng)可審計(jì)：a）

因超過(guò)存儲(chǔ)門(mén)限而采取的動(dòng)作；

b）因存儲(chǔ)失效而采取的動(dòng)作。

6.7審計(jì)分析

宜結(jié)合安全審計(jì)存儲(chǔ)中的相關(guān)歷史安全審計(jì)信息以及已歸檔的安全審計(jì)檔案，采用關(guān)聯(lián)分析、數(shù)據(jù)挖

掘等自動(dòng)化手段進(jìn)行事中審計(jì)和事后審計(jì)，指示出可能的或真正的潛在安全侵害，并根據(jù)審計(jì)策略確定合適

的動(dòng)作方針。

應(yīng)能對(duì)照特征事件比對(duì)移動(dòng)終端活動(dòng)記錄，通過(guò)檢查相關(guān)信息辨明移動(dòng)終端活動(dòng)。當(dāng)發(fā)現(xiàn)一個(gè)事件與

一個(gè)預(yù)示可能潛在違反安全功能要求的特征事件匹配時(shí)，應(yīng)能指出潛在的安全威脅。根據(jù)內(nèi)容不同，主要包

括：

a）潛在侵害分析。根據(jù)規(guī)則監(jiān)控安全事件，并發(fā)現(xiàn)潛在的入侵。該規(guī)則是由安全審計(jì)策略定義的可審

計(jì)事件的子集所指示的潛在安全攻擊的積累和組合。

b）基于異常檢測(cè)的輪廓。確定用戶正常行為的輪廓，當(dāng)日志中的事件違反正常訪問(wèn)行為的輪廓，

或超出正常輪廓一定門(mén)限時(shí)，能指出將要發(fā)生的威脅。

16

C）簡(jiǎn)單攻擊探測(cè)。能檢測(cè)到對(duì)安全功能有重大威脅的簽名事件的出現(xiàn)，應(yīng)維護(hù)指出對(duì)安全功能侵害的

簽名事件的內(nèi)部表示。

d）復(fù)雜攻擊探測(cè)。在上述簡(jiǎn)單攻擊探測(cè)的基礎(chǔ)上，應(yīng)能檢測(cè)到多步入侵情況，指出發(fā)現(xiàn)對(duì)安全功能的

潛在侵害的簽名事件或事件序列的時(shí)間。

應(yīng)能維護(hù)設(shè)置移動(dòng)互聯(lián)網(wǎng)使用輪廓，即每個(gè)被審計(jì)用戶類型對(duì)應(yīng)的行為列表及行為模式。同時(shí)，應(yīng)能

維護(hù)一個(gè)與每個(gè)用戶對(duì)應(yīng)的置疑等級(jí)，即用戶的當(dāng)前活動(dòng)與使用輪廓中規(guī)定的行為列表及行為模式不一致的程

度。當(dāng)用戶的置疑等級(jí)超過(guò)門(mén)限條件時(shí)，安全審計(jì)系統(tǒng)應(yīng)能指出對(duì)實(shí)施安全功能規(guī)則的可能侵害即將發(fā)生。

宜提供多維的關(guān)聯(lián)分析功能。面向用戶，宜將一個(gè)用戶在多個(gè)移動(dòng)終端上的操作進(jìn)行橫向關(guān)聯(lián)分析，形成以

用戶為主題的操作行為審計(jì)；面向特定安全事件，宜對(duì)于發(fā)生在多個(gè)移動(dòng)終端上的事件片段進(jìn)行關(guān)聯(lián)分析，形成

一個(gè)完整的事件相關(guān)操作過(guò)程的審計(jì)。

6.8審計(jì)代理

安全審計(jì)代理負(fù)責(zé)移動(dòng)終端在安全審計(jì)域外私有數(shù)據(jù)相關(guān)的安全事件審計(jì)，實(shí)時(shí)記錄并存儲(chǔ)安全審計(jì)

事件，對(duì)私有數(shù)據(jù)進(jìn)行訪問(wèn)控制，在審計(jì)域內(nèi)負(fù)責(zé)將安全審計(jì)域外存儲(chǔ)的安全審計(jì)數(shù)據(jù)上傳至安全審計(jì)中心。

在安全審計(jì)域內(nèi)，安全審計(jì)代理的具體工作包括：

a）與審計(jì)跟蹤器建立安全通道，完成私有數(shù)據(jù)的安全下載；

b）在移動(dòng)終端回到安全審計(jì)域內(nèi)的第一時(shí)間將域外記錄的安全審計(jì)數(shù)據(jù)通過(guò)審計(jì)跟蹤器上報(bào)至安

全審計(jì)中心；

c）私有數(shù)據(jù)的離線訪問(wèn)、操作行為在線實(shí)時(shí)審計(jì)及響應(yīng)。

在安全審計(jì)域外，安全審計(jì)代理的具體工作包括：

a）私有數(shù)據(jù)相關(guān)的互聯(lián)網(wǎng)傳播行為實(shí)時(shí)審計(jì)及響應(yīng)；

b）私有數(shù)據(jù)的離線訪問(wèn)、操作行為實(shí)時(shí)審計(jì)及響應(yīng)；

c）域外產(chǎn)生的所有審計(jì)數(shù)據(jù)的安全存儲(chǔ)。

d）監(jiān)控移動(dòng)終端的系統(tǒng)安全，防止系統(tǒng)漏洞、木馬、病毒或非法APP。

審計(jì)代理的安裝與卸載，相關(guān)規(guī)定如下：

a）當(dāng)移動(dòng)終端在下載內(nèi)部私有文件或數(shù)據(jù)時(shí)，首先應(yīng)安裝安全審計(jì)代理。

b）審計(jì)代理僅對(duì)下載了私有數(shù)據(jù)的移動(dòng)終端進(jìn)行監(jiān)控。當(dāng)私有數(shù)據(jù)被確認(rèn)從移動(dòng)終端清除后，審計(jì)

代理應(yīng)停止監(jiān)控并能夠自刪除。

6.9審計(jì)響應(yīng)

審計(jì)響應(yīng)協(xié)同其它模塊給予反饋，包括限制阻斷和報(bào)警處理。

報(bào)警處理器對(duì)收到的報(bào)警信息進(jìn)行分析，并根據(jù)審計(jì)策略確定要采取的正確動(dòng)作。該動(dòng)作應(yīng)是下列動(dòng)

作之一：

a）無(wú)任何動(dòng)作；

b）當(dāng)檢測(cè)到安全侵害事件時(shí)，生成實(shí)時(shí)報(bào)警