行为审计” 应用有两个部分,分别是 “行为记录” 和 “行为审计”。

(一)行为记录

行为记录就是把 Mixiot 用户在使用 Mixiot 应用的各种行为进行记录。这些行为包括:创建了什么新的东西?修改了什么已经有的东西?或者删除了什么已经有的东西。

我们可以看到,用户使用 MixIoT 的行为信息包括:

  • 行为时间,就是从事某个操作行为的时间;
  • 记录编号,该行为备档的编号;
  • 用户,从事该项行为的 MixIoT 注册用户名;
  • 应用,该用户行为发生的应用是哪一个;
  • 行为,该用户的具体行为是什么;
  • 项目编号,该行为具体的应用中的项目是哪一个。

比如,我们记录了使用 “对象管理” 应用,并修改了某个对象的行为记录:

这个 “行为记录” 的详细信息,还包括用户所在的 IP 地址,发起操作的请求信息,以及 MixIoT 系统对此请求的响应信息。

(二)审计

这里所说的 “审计”,就是 “异常审计”,也就是对该应用所记录的内容进行扫描和甄别,把扫描的异常结果放到行为的 “审计” 列表字段里面。

我们这里关注的审计异常行为有四类:

(1)登入登出异常

登入登出异常,是指用户登录到 Mixiot 平台,或退出 Mixiot 平台的种种异常情况,包括:

  • AD11 已经过期,或已经被禁用的无效用户仍然,能登入到 Mixiot 系统;
  • AD12 同一个用户,在同一个 IP 频繁登入或登出 Mixiot 系统;
  • AD13 同一个用户,频繁更换 IP 登入或登出 Mixiot 系统;
  • AD14 同一个用户,同时在多个 不同 IP 登入或登出 Mixiot 系统。

(2)同一用户操作间隔异常

操作间隔异常,是指用户在短时间内进行的操作次数有悖常规,过于频繁。这种操作的审计,就是要去判断是否有可能是恶意行为,包括:

  • AD21 同一个用户名,在短时间内进行多次相同的操作;
  • AD22 同一个用户名,在短时间内进行多次不同的操作。

(3)超出授权异常

超出授权异常,是指用户实际的操作行为并没有获得该行为的授权,包括:

  • AD31 用户使用了未经授权的应用;
  • AD31 用户在授权的应用中,访问了未经授权的项目(数据)。

(4)操作后结果异常**

操作后结果异常,是指操作的结果并非操作预期的结果,包括:

  • AD41 创建某新项目操作,但实际上并没有增加新的项目;
  • AD42 编辑某项目操作,修改了不能修改的字段或内容;
  • AD43 删除某项目操作,但该项目本身不能被删除;或者,删除某项目后,该项目仍然存在。

行为审计应用,是 Mixiot 为系统管理员提供的非常重要的应用,为系统的操作使用安全提供了可跟踪的保障。

文档更新时间: 2024-08-08 10:21   作者:Mixiot