2024年5月6日发(作者：)

Industry Observation

产业观察

DCW

场景审计：数字化时代企业运维安全审计模式

张 滢

（山西电信分公司，山西 太原 030006）

数字化时代，企业不仅要时刻抵御外部网络攻击，而且还要控制内部运维管理中的安全风险。根据权威机构对

摘要：

全球安全事件统计，85%的安全风险来自企业内部，其中大部分内部风险主要是由于企业缺乏访问控制机制、数据安全防护

手段、统一认证授权机制和日志审计能力。文章对企业的运维安全风险现状进行了探讨，并且分析了操作行为中的风险点以

及场景审计模型的构建。

安全风险；运维安全；场景审计

关键词：

10.3969/.1672-7274.2023.01.055

doi：

TP 311.5

文献标示码：

A

文章编码：

1672-7274（2023）01-

0169

-03

中图分类号：

Scenario Audit: Enterprise Operation and Maintenance Security Audit in the

Digital Era Pattern

ZHANG Ying

(Shanxi Telecom Branch, Taiyuan 030006, China)

Abstract: In the digital era, enterprises should not only resist network attacks at all times, but also control security risks

in internal operation and maintenance management. According to the statistics of global security incidents by authoritative

institutions, 85% of security risks come from internal sources, most of which are mainly due to the lack of effective control

and audit means to manage operational behavior. This paper discusses the current situation of enterprise operation and

maintenance security, and analyzes the risk points in operation behavior and the construction of scenario audit model.

Key words: security risk; operation and maintenance security; scenario audit

1 电信企业运维安全风险

1.1 网络结构复杂风险

随着网络技术不断更新，电信企业从几十年前以

固话语音和宽带上网的传统业务为主的时代，过渡到

了传统业务与新兴业务并存的时代。特别是云计算、

5G技术的兴起，各种基于云底座和“互联网+”的业务

不断涌现，新技术潜在的安全风险难以预知，而且网

络结构日趋复杂、内部接口繁多、攻击源多样化，运维

人员跟踪和防护变得更加困难。

片、操作系统、数据库大多数是国外生产设计的，这些

国外软硬件资源的底层工作机制、是否含有后门风险

等，企业都无法获知。如美国阿帕奇公司的log4j2漏

洞，被证实可以产生严重危害，如被利用可能会造成

企业数据失窃风险。

1.4 身份认证管理风险

管理员、运维人员设置的口令过于简单或强度不

够，容易被攻击者利用。账号共用、权限设置不当也给

攻击者提供了主机提权的机会，所谓主机提权，就是

将原本的低权限通过系统的漏洞或本地溢出等方法将

自身建立的用户提升为管理员或root权限的机会，甚

至能够获得管理权限，实现对主机的控制进行信息的

窃取，给企业带来巨大的损失。

1.2 业务敏感信息风险

因电信业务发展迅速，用户数量剧增，积累了海

量的运营数据，其中含有企业及用户的敏感信息。

这些敏感数据时刻面临泄露的风险，而风险有的来

自于外部的攻击，有的来自于内部工作人员操作不

当等。

1.5 安全防护手段分散

为了筑牢安全底座，企业会对重要业务系统增加

防护手段，如部署WAF、设置防火墙、安装主机防病

毒软件等。但是各类安全产品只对局部网络或某类安

全问题有效，不能发挥最大能力形成整体防护体系。

1.3 资产隐匿通道风险

电信企业有大量的硬件资源和软件资源，其中芯

作者简介：张 滢（1982-），女，汉族，天津人，通信工程师，研究生，研究方向为网络安全。

Copyright©博看网. All Rights Reserved.

2023.01

数字通信世界

169

产业

观察

IGITCW

Industry Observation

而且各类安全产品之间存在兼容性和协同性问题，总

会出现漏报、错报情况，并对后期的追溯产生巨大影

响，无法发挥应有作用。

3 场景审计模型的建立

场景审计是“以数据为基础，算法为支撑，场景为

导向”理念的落实

[2]

，是通过大数据和智能化分析进

行运维安全审计的。

2 运维安全风险点控制方法

针对上述列举的企业运维安全风险，下面提出了

对企业运维安全风险点的控制方法。

3.1 大数据审计模型的建立

通过对数据进行有效挖掘操作，有针对性地对基

础数据进行融合操作、归并操作，对一些数据进行关

联分析，然后采用科学算法发现问题，进行不断优化，

最终形成审计模型

[3]

，如图１所示。

2.1 数据存储和传输安全

一方面，在复杂的网络中从数据产生的源头对各

类数据加密存储、加密传输，减少因新技术潜在安全

漏洞被利用带来的风险；另一方面，对网内资产生成的

主机日志、数据库日志、中间件日志、接口日志和应用

日志集中收集，以便进行关联分析。

2.2 数据处理安全

通过数据脱敏技术使数据本身的安全等级降

级，这样就可以在开发、测试和其他非生产环境以及

外包等计算环境中安全地使用脱敏后的数据集。借

助数据脱敏技术屏蔽敏感信息，并使屏蔽的信息保留

其原始数据格式和属性，以确保应用程序可在使用脱

敏数据的开发与测试过程中正常运行。同时，根据细粒

度的数据授权，配置合适的脱敏规则，以控制不同的

人员访问不同安全等级的数据，从而保护数据安全，

防止泄密。

图

1

大数据审计模型

3.1.1 数据采集

将主机日志、数据库日志、中间件日志、网络设备

日志、安全设备日志、应用日志和资产基础信息等数据

源通过FTP、DB、syslog、文件、数据流等格式进行采

集、配置。

2.3 资产管理安全

定期对企业资产进行安全评估，仅开放必要业务

端口，及时修补漏洞，是资产安全管理的基础。对资

产归属资源组、归属业务系统、IP地址、资源类型（主

机、数据库、网络设备、安全设备、应用系统）、资源责

任人、资源名称等信息详细记录，统一资产访问入口，

并进行全程监控、管理和分析。

3.1.2 数据分析

根据正则、关键字规则等进行数据分类、数据拆

解、数据拼装、数据转发。

3.1.3 数据建模

采用数据算法进行相应的数据清洗；应用各种建

模技术进行参数调优，对比建模效果；从海量数据中

分析规律、查找异常、挖掘信息以分析数据，发现数据

中存在的问题。

2.4 身份认证安全

对运维人员进行身份识别、强制访问控制，保证

身份合法的人员能够访问指定的组件和数据；对运维

人员访问敏感数据、执行关键操作及其结果进行真

实、全面的记录。基于角色的访问控制的授权原则，通

过资源与用户角色进行关联，最终将细粒度（达到数

据表、字段级，或者文件系统文件夹、文件级）的权限

赋给运维人员。

3.1.4 模型优化

通过对模型的反复验证，提升数据模型质量；基

于业务场景验证、模型调优；将最优的模型应用于相

关业务场景中。

3.2 场景审计模型

大数据审计从审计目标、审计内容和审计思维模

式方面带来了一系列变革。首先，大数据审计不仅要发

现违法违规行为，还要透过看似合法的行为评估潜在

的安全风险；其次，大数据审计除了审计结构化数据，

还可以对非结构化数据进行审计，如html、文本、音

频、视频等；最后，大数据审计针对的数据是全面的，

2.5 安全防护数据结合分析

将分散在网络各处的安全防护设备产生的告警

日志进行关联分析，建立集中的威胁分析审计模型，

构建综合威胁分析能力

[1]

，结合对用户行为的审计，根

据自定义告警规则实现的针对特定异常行为的告警通

知，以达到快速定位问题的目的。

170

DIGITCW

2023.01

Copyright©博看网. All Rights Reserved.

Industry Observation

审计的数据具有高度混杂性特点，审计结果反映数据

之间的相关性。

场景审计是根据业务场景分析策略，在中间数据

或标准化日志中找出异常行为的过程，分析的结果可

供审计预警、审计报表、日志查询、专题审计和关联分

析使用。例如，根据营业员在一段时间内的操作日志，

进行数据分析并建立模型；通过分析模型将比对出的

偏离正常区间、正常时间段的异常行为日志进行统计，

生成营业员的行为画像。

常态化的场景审计如图2所示，从账号授权、认证

审计、设备审计、金库审计、第三方人员审计、敏感系统

审计、流量审计等七个维度入手，开展日常安全审计。

序号

1

策略名称

高频操作疑似违规

IP地址切换频繁疑

似违规

只查询客户基本资

3

料不办理关联业务

疑似违规

4

未经授权操作敏感

信息违规

低

低

风险级别

高

产业观察

表

1

部分审计场景的审计策略

描述

DCW

如果从账号当天操作次数超过阈值，则认

为属于疑似高频操作

一天内使用一定阈值及以上IP地址对客户

2 高

敏感信息进行操作的从账号，识别为IP地

址切换频繁异常账号

如果一天内同一账号通过前台操作客户敏感信

息，只查询客户基本资料不办理关联业务的次

数大于一定阈值，则作为疑似异常账号输出

当天进行敏感操作的从账号，不在各单位

的涉敏人员库里，则认为该账号为未经授

权操作敏感信息，产生的日志为违规日志

如果当天状态正常的主账号中，存在多个

5

多个主账号绑定同

一手机号码违规

低

主账号绑定同一手机号，则该手机号对应

的多个主账号为违规账号

在当天产生的金库申请日志与敏感操作日

6

金库申请人与操作

账号不一致违规

低

志中，如果金库申请人与对应的敏感数据

操作人不一致，则相应的申请人与操作人

被判别为违规

3.3 场景审计的效益

将场景审计聚焦于解决某一类具体问题，目的更

直观、效率更高。场景审计不仅能实现实时审计、风险

管控前移、审计自动化管理，还能对审计进行全流程

管理，对运维安全审计进行端到端管控。场景审计效

果如表2所示。

表

2

场景审计效果

审计效果 人工

人工提取与比对

工作日人工提取与

比对，审核效率低

持续人工投入进行

统计分析

依赖人工发现，风

险发现延迟大

自动化

脚本提取与比对，

程序进行校验

程序24小时工作数

据提取与校验

仅需前期模型训练

与固化

根据预制策略自动

发现风险，发现早

提升/降低率

↑90%

↑85%

↓67%

↓25%

图

2

网络安全审计维度

提高精准

不同的审计场景引用不同数据源，采用不同的审

计策略进行数据分析，发现其中隐含的模式和规律。

如关键词分析是根据分析规则对标准化日志或中间

数据进行匹配的过程，以发现异常和违规行为，并通

过预警策略进行预警提醒。如聚类分析根据数据的

相似性原则，将数据划分为若干类别，使同类数据差

别极小，不同类别数据差异尽可能大。关联分析可发

现隐藏在数据间的相互关系，通过挖掘发现不同数

据间的密切度或关系。序列分析可发现数据出现时

间、出现序列的规律，分析数据间的关联性

[4]

。均值

分析基于标准化日志，根据均值统计策略对历史数据

进行统计分析，计算出策略的均值结果，并将其动态

存入中间数据中，作为阈值供后续统计分析场景和报

表使用。

例如，在进行多IP地址登录场景审计时，将主账

号名称、归属人所在地市、人员组织机构、主账号类

型、登录时间、登录IP地址等信息关联分析，统计出同

一账号在一段时间内登录的IP地址数量超过一定阈值

的异常日志，从中发现可能的账号盗用、账号共用的违

规行为。部分审计场景的审计策略如表1所示。

提高效率

降低成本

降低风险

4 结束语

本文主要对大数据时代企业面临的运维安全风

险进行了详细的讨论，对风险点控制提出了具体应对

方法，并提出基于大数据的场景审计模型以解决前述

风险和落实应对方法。希望本文对改善企业运维安全

风险的现状有一定的推动和促进作用。■

参考文献

[1] 罗少康．浅析大数据审计[J]．今日财富，2021,25(17):1-9.

[2] 谌力．智能运维：从场景中积蓄运维变革的未来[J]．新金融世界，

2019,11(4):1-4.

[3] 王燕君，杨恒翔，杨大伟，等．大数据安全审计框架及关键技术研究

[J]．电力设备，2019,15(5):1-5.

[4] 王勇君．电信企业数据库审计及内部安全[J]．中国学术期刊网，

2021,21(5):1927-1932.

Copyright©博看网. All Rights Reserved.

2023.01

数字通信世界

171