近期以来，苹果数据泄露、顺丰速递用户信息外泄、微盟“删库跑路”等“内鬼事件”频发，再次证明“堡垒最容易从内部攻克”。安全审计机制对于分析排查隐患，及时扼制风险，其作用日趋重要，对于电子政务内网安全建设更是如此。

在安全审计内容中，用户级安全审计是电子政务内网用户在与应用系统交互过程中实行监测、信息采集、分析，并针对特定事件及行为采取相应动作的安全防护过程。它是电子政务内网安全重要保障，实际也是最薄弱、最不易实施的部分，原因有四点：1、无论是等保2.0基本要求还是分保管理办法，对于用户级安全审计部分缺乏详细设计指导意见；2、在应用系统开发设计过程中，对用户行为信息缺乏需求分析和设计，没有参考模型，造成审计点不足，审计信息不完整;3、在对用户行为审计分析过程中，没有从用户行为轨迹的角度分析和综合各种用户行为属性信息，导致分析结论价值有限；4、在对电子政务内网应用系统建设过程中，缺乏系统集成视角，造成用户行为安全审计孤岛。因此，加强用户级安全审计的研究和实现，对于做好电子政务内网安全的主动防护具有重要现实意义。

1. 如何正确描述用户行为

电子政务内网用户行为包括七大要素:1、时间，包括应用系统用户行为处理开始、结束和持续的时间等；2、空间，指用户使用应用系统时的物理空间或以IP地址表征的IP网络空间；3、主体，指应用系统使用的用户。在这里主要指使用电子政务内网应用系统的党政机关工作人员；4、客体，指电子政务内网涉密信息资源；5、操作，指对电子政务内网涉密信息所做的转换，比如增、改、删、查等；6、结果，是对用户行为(被处理后)的评定或度量；7、状态，指行为的状态。

对于应用系统而言，重点关注用户行为特征包括：1、行为类型、行为主体、行为客体、行为条件、行为属性等识别特性；2、对偶操作行为；3、行为的保密性；4、行为的过程不被非授权的主体修改；5、行为记录真实反映主体行为是否违约、违规、违法、超越权限以及超范围等统计信息；6、考察行为对客体状态的改变是否与期望的状态相符。采用用户行为分析视角，结合行为特征和行为要素，建立捕获用户行为描述模板，在系统实际运行中，根据事件触发和行为状态的变化生成内容，为应用系统安全审计提供依据。

2. 如何对用户行为安全审计分析

用户行为安全审计分析是行为认证的基础，通过分析，了解行为主体的行为基础属性，分类属性和更加宏观的服

务性质，以掌握行为主体的全面情况。为防范风险，对行为的输入、过程与输出、行为环境、行为特性和其他内容与行为关联性(时空关联性和环境属性相关性)进行综合研究、分析、监控、管理，最终为发现问题隐患提供参考依据。关键分析技术包括：信息内容安全审计、安全审计代理、安全审计代理服务和安全审计代理平台。

用户行为分析的关键在于客观记录用户自身信息、访问及其权限操作，并依据这种数据记录的特点实施相应的数据分析方法，得到能真实反映某种用户属性的知识。安全审计对电子政务系统中各组成要素进行事件采集，将采集数据进行自动综合和系统分析，能够提高电子政务系统安全管理的效率。在复杂电子政务系统中，用户经常会在多个分系统中进行一串连贯的行为活动，在原有分系统中的审计系统所形成的单一审计日志无疑是片面、不连贯的。整合平台，不仅提高了系统安全性，同时在对于了解用户行为、分析用户在访问系统时的行为轨迹、进行合理的系统规划，提高用户体验，提升系统性能。

3. 如何实现用户级安全审计

中孚网络安全审计系统为保障系统安全提供审计服务支撑，在电子政务内网，可建立审计平台对不同系统的审计信息进行统一分析、处理，提供日志信息采集、系统响应监测、攻击取证、安全评估等功能，以满足网络整体安全需求。用户级安全审计平台包括：

应用层：包括策略配置、分级管理、告警配置、流程配置四大部分。

分析层:对用户行为审计日志进行详细的筛选、分析，是整个架构中最为重要的部分。

数据层:为分析层提供数据源的基础，实现格式处理及转换，是平台的支撑部分。

基础层：包括分布于各系统中的响应器、日志采集器、规则知识库和各个生成审计日志的系统。

用户级安全审计平台逻辑结构

平台中采用Hadoop计算技术，支持平台海量数据的分布式存储和计算，用户可在不了解底层分布式细节的情况下运用其集群的优势进行高速存储和计算。该架构适应于安全审计平台高度的稳定性及高速的读写数据能力的系统要求，便于维持系统长期的稳定，对用户级异常行为及时判断分析，并及时地给予合理预警。

4. 用户级审计在政务内网综合监管中的运用

中孚信息针对政务内网可能存在跨地域、跨单位攻击事件和窃、泄密隐患，立足保密监管业务需求，以用户行为安全审计分析为重点，通过情报数据驱动机制，构建防护监管协同机制，确保网络边界清晰、设备可观控、风险可感知、威胁可预警、事件可应对，有效提升了网络整体安全监管能力。

中孚保密技术综合监管方案架构

用户行为分析界面

综合监管方案实现了内网运维和监管防护高度协同，优势如下：一是细粒度监控分析各类动态行为，深入检查应用运行过程中，用户级复杂行为，生成详尽日志记录；二是实时网络流量、日志、事件监控和数据情报分析，捕获关键内网活动并记录操作行为，使威胁防范、风险排查、行为追溯、事件处置更加便捷；三是全面基于大数据技术，综合情报挖掘分析进行用户行为画像，并提供全网安全态势、网络和终端状态的全方位可视化展示，实现静态评估到动态监管的转变，进而提升网络整体防护和安全管理能力。