淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全

淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全

1什么是計(jì)算機(jī)數(shù)據(jù)安全隨著計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛。與此同時(shí)，網(wǎng)絡(luò)系統(tǒng)也越來(lái)越成為攻擊者，系統(tǒng)安全也是一個(gè)必須盡快解決的問(wèn)題。國(guó)際標(biāo)準(zhǔn)化組織(ISO)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的定義為:“計(jì)算機(jī)系統(tǒng)有保護(hù)計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞?！倍靶畔⒓夹g(shù)安全評(píng)級(jí)準(zhǔn)則”從保密性、完整性和可用性來(lái)衡量計(jì)算機(jī)安全。1網(wǎng)絡(luò)安全是動(dòng)態(tài)的,對(duì)已經(jīng)建立的系統(tǒng),如果沒(méi)有實(shí)時(shí)的、集中的、可視化審計(jì),就不能有效、及時(shí)的評(píng)估系統(tǒng)究竟是不是安全的,并及時(shí)發(fā)現(xiàn)安全隱患。所以安全系統(tǒng)需要集中的審計(jì)系統(tǒng)。電子數(shù)據(jù)安全審計(jì)工作是保障計(jì)算機(jī)信息安全的重要手段。凡是用戶(hù)在計(jì)算機(jī)系統(tǒng)上的活動(dòng)、上機(jī)下機(jī)時(shí)間,與計(jì)算機(jī)信息系統(tǒng)內(nèi)敏感的數(shù)據(jù)、資源、文本等安全有關(guān)的事件,可隨時(shí)記錄在日志文件中,便于發(fā)現(xiàn)、調(diào)查、分析及事后追查責(zé)任,當(dāng)計(jì)算機(jī)系統(tǒng)受到攻擊時(shí),這些審計(jì)記錄就成為有效的計(jì)算機(jī)證據(jù)。2系統(tǒng)的安全機(jī)制計(jì)算機(jī)審計(jì)技術(shù)就是在計(jì)算機(jī)系統(tǒng)中模擬社會(huì)的審計(jì)工作,對(duì)每個(gè)用戶(hù)在計(jì)算機(jī)系統(tǒng)上的操作做一個(gè)完整的記錄的一種安全技術(shù)。運(yùn)用計(jì)算機(jī)審計(jì)技術(shù)的目的就是讓對(duì)計(jì)算機(jī)系統(tǒng)的各種訪問(wèn)留下痕跡,使計(jì)算機(jī)犯罪行為留下證據(jù)。計(jì)算機(jī)審計(jì)技術(shù)的運(yùn)用形成了計(jì)算機(jī)審計(jì)系統(tǒng),計(jì)算機(jī)審計(jì)系統(tǒng)可以用硬件和軟件兩種方式實(shí)現(xiàn)。計(jì)算機(jī)系統(tǒng)完整的審計(jì)功能一般由操作系統(tǒng)層次的審計(jì)系統(tǒng)和應(yīng)用軟件層次的審計(jì)系統(tǒng)共同完成,兩者互相配合、互為補(bǔ)充。審計(jì)系統(tǒng)把對(duì)計(jì)算機(jī)系統(tǒng)的所有活動(dòng)以文件形式保存在存儲(chǔ)設(shè)備上,形成系統(tǒng)活動(dòng)的監(jiān)視記錄。監(jiān)視記錄是系統(tǒng)活動(dòng)的真實(shí)寫(xiě)照,是搜尋潛在入侵者的依據(jù),也是入侵行為的有力證據(jù)。監(jiān)視記錄本身被實(shí)施最嚴(yán)密的保護(hù)。在保護(hù)監(jiān)視記錄的問(wèn)題上,應(yīng)該堅(jiān)持獨(dú)立性的原則,即只有審計(jì)員才能訪問(wèn)監(jiān)視記錄。安全審計(jì)工作的流程是:收集來(lái)自?xún)?nèi)核和核外的事件,根據(jù)相應(yīng)的審計(jì)條件,判斷是否是審計(jì)事件。對(duì)審計(jì)事件的內(nèi)容按日志的模式記錄到審計(jì)日志中。當(dāng)審計(jì)事件滿足報(bào)警閥的報(bào)警值時(shí),則向?qū)徲?jì)人員發(fā)送報(bào)警信息并記錄其內(nèi)容。當(dāng)事件在一定時(shí)間內(nèi)連續(xù)發(fā)生,滿足逐出系統(tǒng)閥值,則將引起該事件的用戶(hù)逐出系統(tǒng)并記錄其內(nèi)容。審計(jì)人員可以查詢(xún)、檢查審計(jì)日志以形成審計(jì)報(bào)告。檢查的內(nèi)容包括:審計(jì)事件類(lèi)型;事件安全級(jí);引用事件的用戶(hù);報(bào)警;指定時(shí)間內(nèi)的事件以及惡意用戶(hù)表等,上述內(nèi)容可結(jié)合使用。審計(jì)有人工審計(jì),計(jì)算機(jī)手動(dòng)分析、處理審計(jì)記錄并與審計(jì)人員最后決策相結(jié)合的半自動(dòng)審計(jì),依靠專(zhuān)家系統(tǒng)作出判斷結(jié)果的自動(dòng)化的智能審計(jì)等。為了支持審計(jì)工作,要求數(shù)據(jù)庫(kù)管理系統(tǒng)具有高可靠性和高完整性。數(shù)據(jù)庫(kù)管理系統(tǒng)要為審計(jì)的需要設(shè)置相應(yīng)的特性。系統(tǒng)安全審計(jì)在整個(gè)網(wǎng)絡(luò)安全體系中的位置及關(guān)系如圖1所示:操作系統(tǒng)提供的是面向整個(gè)系統(tǒng)的審計(jì)功能,目前常用的操作系統(tǒng)包括網(wǎng)絡(luò)操作系統(tǒng)如NetWare、WindowsNT、UNIXE等及典型的個(gè)人操作系統(tǒng)Windows系列,均提供了審計(jì)功能。3用戶(hù)違反安全規(guī)則的行為電子數(shù)據(jù)安全審計(jì)是對(duì)每個(gè)用戶(hù)在計(jì)算機(jī)系統(tǒng)上的操作做一個(gè)完整的記錄,以備用戶(hù)違反安全規(guī)則的事件發(fā)生后,有效地追查責(zé)任。作為一種安全策略安全審計(jì)的主要目的是:(1)修改信息造成的錯(cuò)誤數(shù)據(jù)完整性是指數(shù)據(jù)能夠滿足規(guī)定的條件,防止錯(cuò)誤信息的輸入和輸出,以及非授權(quán)狀態(tài)下修改信息所造成的無(wú)效操作和錯(cuò)誤后果。審計(jì)體系有助于控制信息處理系統(tǒng)的風(fēng)險(xiǎn)、加強(qiáng)事務(wù)處理的完整性,實(shí)現(xiàn)組織目標(biāo)。(2)第三方的角度系統(tǒng)的有效性表明系統(tǒng)能否獲得預(yù)期的目標(biāo)。信息系統(tǒng)IS審計(jì)從獨(dú)立、客觀、公正的第三方的角度,以目標(biāo)驅(qū)動(dòng),對(duì)信息的質(zhì)量進(jìn)行審查,對(duì)產(chǎn)生信息的系統(tǒng)、信息的產(chǎn)生過(guò)程及相應(yīng)的內(nèi)部控制進(jìn)行評(píng)價(jià)、審計(jì),為管理者了解用戶(hù)的特征和決策環(huán)境提供了依據(jù)。(3)分析系統(tǒng)效率系統(tǒng)效率是指系統(tǒng)達(dá)到預(yù)定目標(biāo)所消耗的資源,一個(gè)效率高的信息系統(tǒng)能夠以盡量少的資源達(dá)到需要的目標(biāo)。通過(guò)介入獨(dú)立的IS審計(jì),可以分析系統(tǒng)效率。安全審計(jì)的主要功能是:4windows安全審計(jì)Windows目前是我們最常用的一種操作系統(tǒng),因此它是安全性是我們系統(tǒng)安全審計(jì)中的重要內(nèi)容。(1)生成審計(jì)結(jié)果的會(huì)計(jì)分析審計(jì)是作用“組策略”,在站點(diǎn)、域、組織單元(OU)或本地計(jì)算機(jī)系統(tǒng)上啟用的,可在下面的目錄中找到審計(jì)策略設(shè)置:LocalPolicies\AuditPolicy。一般來(lái)講,應(yīng)在ActiveDirectory層次結(jié)構(gòu)中的一個(gè)較高級(jí)別實(shí)施審計(jì),因?yàn)檫@樣有助于保持審計(jì)設(shè)置的一致性。我們會(huì)在后面討論“成員服務(wù)器”與“域控制器”O(jiān)U級(jí)別實(shí)施的審計(jì)。有的服務(wù)器可能與域分開(kāi),可以通過(guò)編輯本地計(jì)算機(jī)的“組策略”或者通過(guò)使用Windows2000ServerRosourceKit(資源工具包)中的Auditpol.exe實(shí)用工具,在這些計(jì)算機(jī)上配置審計(jì)。如要訪問(wèn)本地計(jì)算機(jī)的“組策略”,請(qǐng)啟動(dòng)MMC,然后添加“組策略”管理單元,并使本地計(jì)算機(jī)成為該管理單元的焦點(diǎn)。(2)“事件查取”單元設(shè)置通過(guò)審計(jì)生志的每一個(gè)事件都將出現(xiàn)“事件查看器”中。應(yīng)確定事件日志在存儲(chǔ)所生成的事件時(shí)采用的方式,可以直接在“事件查看器”中,也可以在“組策略”中對(duì)其中的每一個(gè)單元設(shè)置進(jìn)行定義?！笆录榭雌鳌笔窃凇敖M策略”中定義設(shè)置的。對(duì)于希望修改在“組策略”中定義的設(shè)置或者希望在不同的級(jí)別應(yīng)用設(shè)置,例如可能發(fā)現(xiàn)IIS服務(wù)器上安全日志將被寫(xiě)滿,導(dǎo)致系統(tǒng)關(guān)閉。為防止這種情況發(fā)生,需修改IIS服務(wù)器OU中的組策略以增大安全日志,或者更改該策略使系統(tǒng)在安全日志寫(xiě)滿的情況下不會(huì)關(guān)閉。(3)右擊希望創(chuàng)建審計(jì)策略ou①選擇“開(kāi)始”→“控制面板”→“管理工具”→“ActiveDirectory用戶(hù)和計(jì)算機(jī)”。②在控制臺(tái)根目錄中,右擊希望在此定義審計(jì)策略的OU,然后單擊“屬性”。③選擇“組策略”選項(xiàng)卡,選擇希望編輯的“組策略對(duì)象”,然后單擊“編輯”。⑤根據(jù)要求對(duì)設(shè)置進(jìn)行修改。如果從“組策略”中刪除“事件查看器”設(shè)置,則可以改為直接在“事件查看器”中對(duì)它們進(jìn)行定義。但建議在“組策略”中定義“事件查看器”設(shè)置,以確保類(lèi)似的計(jì)算機(jī)之間的設(shè)置一致。(4)安全審計(jì)事件類(lèi)別提供了多種安全事件審計(jì)類(lèi)別。在設(shè)計(jì)審計(jì)策略時(shí),需要確定是否要包括下面的安全審計(jì)事件類(lèi)別:登錄事件、賬戶(hù)登錄事件、對(duì)象訪問(wèn)、目錄服務(wù)訪問(wèn)、特權(quán)使用、進(jìn)程跟蹤、系統(tǒng)事件、策略更改。5啟動(dòng)程序檢查除對(duì)系統(tǒng)審計(jì)進(jìn)行配置外,為了有效地審計(jì)服務(wù)器環(huán)境安全,還有以下做法:(1)檢查日志文件是否有來(lái)自異常位置的連接或異常行為。啟動(dòng)“事件查看器”,檢查奇數(shù)登錄信息、服務(wù)失敗信息及奇數(shù)系統(tǒng)重啟信息。(2)檢查臨時(shí)用戶(hù)賬號(hào)和組信息,啟動(dòng)“用戶(hù)管理器”程序,或者在命令行狀態(tài)下執(zhí)行netuser、netgroup和netlocalgroup命令,查看當(dāng)前用戶(hù)和組清單,確保內(nèi)置Guest賬號(hào)被禁用。(3)對(duì)所有組信息進(jìn)行查看,是否有非法組成員存在,是否存在不合適的用戶(hù)權(quán)限。(4)檢查是否有非授權(quán)的應(yīng)用程序正在運(yùn)行。攻擊者為了啟動(dòng)后門(mén)程序,通常將啟動(dòng)選項(xiàng)存放在啟動(dòng)文件夾、注冊(cè)表或ini文件中,故要檢查啟動(dòng)文件夾和注冊(cè)表。(5)對(duì)系統(tǒng)中的重要二進(jìn)制文件進(jìn)行檢查,看文件的大小和時(shí)間標(biāo)記是否與原始備份的信息相同。(6)檢查系統(tǒng)和網(wǎng)絡(luò)配置中是否存在非授權(quán)信息,如WINS配置、DNS配置及IPforwarding配置?？梢栽诿钚袪顟B(tài)下執(zhí)行:ipconfig/all,快速獲得這些信息如圖2:另外,可以通過(guò):Netstatan來(lái)獲得端口信息。(1)檢查是否存在非授權(quán)的共享。執(zhí)行命令程序:netshare是個(gè)簡(jiǎn)便的方法,可以很完整地顯示出系統(tǒng)中的所有共享資源。如圖3所示。(2)檢查定時(shí)任務(wù)中是否存在可疑程序。執(zhí)行命令程序:at可以很快看到相關(guān)信息。(3)檢查是否存在臨時(shí)進(jìn)程。獲取相關(guān)信息,可以借助任務(wù)管理器,也可在命令行執(zhí)行pulist.exe和tlist.exe。pulist可查看每個(gè)進(jìn)程由誰(shuí)啟動(dòng),tlist-f可查看哪個(gè)進(jìn)程又啟動(dòng)了子進(jìn)程,這兩個(gè)程序都來(lái)自resourcekti。(4)全面檢查系統(tǒng)中隱藏的文件、檢查文件和注冊(cè)表鍵值的權(quán)限是否被修改、用戶(hù)和計(jì)算機(jī)策略設(shè)置信息是否發(fā)生變化及系統(tǒng)是否被重定義為一個(gè)不同的域。6安全審計(jì)系統(tǒng)的應(yīng)用系統(tǒng)的安全防護(hù)是一項(xiàng)非常復(fù)雜的工程,圍繞它目前已經(jīng)形成了眾多安全技術(shù),主要安全技術(shù)包括身份認(rèn)證、訪問(wèn)控制、內(nèi)容安全、審計(jì)和跟蹤、響應(yīng)和恢復(fù)幾個(gè)部分。網(wǎng)絡(luò)信息安全未來(lái)的趨勢(shì)是SCM(SecurityComplianceManagement,安全合規(guī)性管理)。從被動(dòng)響應(yīng)到主動(dòng)合規(guī)、從日志協(xié)議到業(yè)務(wù)行為審計(jì)、從單一系統(tǒng)到異構(gòu)平臺(tái)、從各自為政到整體運(yùn)維,使安全達(dá)到真正的“可信”。安全審計(jì)技術(shù)主要是從二十世紀(jì)九十年代以后發(fā)展起來(lái)的,但發(fā)展迅速。目前已經(jīng)提出了安全審計(jì)系統(tǒng)的設(shè)計(jì)目標(biāo),從系統(tǒng)結(jié)構(gòu)、邏輯模型、通信協(xié)議和系統(tǒng)安全等方面對(duì)系統(tǒng)進(jìn)行了研究與設(shè)計(jì),詳細(xì)闡述了日志管理模塊的設(shè)計(jì)和具體實(shí)現(xiàn),并已經(jīng)通過(guò)了公安部的驗(yàn)證。如今系統(tǒng)安全審計(jì),正從傳統(tǒng)的安全審計(jì)或網(wǎng)絡(luò)審計(jì)向行為審計(jì)的發(fā)展。在集中式的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)基礎(chǔ)上出現(xiàn)了分布式的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。在應(yīng)用方面,研究了Agent技術(shù)在安全審計(jì)系統(tǒng)中的應(yīng)用,從主機(jī)、網(wǎng)絡(luò)和其它設(shè)備三個(gè)方面對(duì)對(duì)審計(jì)信息的來(lái)源進(jìn)行了研究,重點(diǎn)對(duì)操作系統(tǒng)日志進(jìn)行了深入研究,提出了基于系統(tǒng)API替換的安全審計(jì)技術(shù),有效地解決了在Windows平臺(tái)上對(duì)用戶(hù)行為進(jìn)行獨(dú)立審計(jì)的問(wèn)題。另外,基于智能化、神經(jīng)化的安全審計(jì)系統(tǒng)也在飛速發(fā)展中?！癫杉喾N類(lèi)型的日志數(shù)據(jù):能采集各種操作系統(tǒng)的日志,防火墻系統(tǒng)日志,入侵檢測(cè)系統(tǒng)日志,網(wǎng)絡(luò)交換及路由設(shè)備的日志,各種服務(wù)和應(yīng)用系統(tǒng)日志?！袢罩竟芾砑叭罩静樵?xún):自動(dòng)將其收集到的各種日志格式轉(zhuǎn)換為統(tǒng)一的日志格式,支持以多種方式查詢(xún)網(wǎng)絡(luò)中的日志記錄信息,以報(bào)表的形式顯示?！袢肭謾z測(cè):使用多種內(nèi)置的相關(guān)性規(guī)則,對(duì)分布在網(wǎng)絡(luò)中的設(shè)備產(chǎn)生的日志及報(bào)警信息進(jìn)行相關(guān)性分析,從而檢測(cè)出單個(gè)系統(tǒng)難以發(fā)現(xiàn)的安全事件?！褡詣?dòng)生成安全分析報(bào)告:根據(jù)日志數(shù)據(jù)庫(kù)記錄的日志數(shù)據(jù),分析網(wǎng)絡(luò)或系統(tǒng)的安全性,并輸出安全性分析報(bào)告?！窬W(wǎng)絡(luò)狀態(tài)實(shí)時(shí)監(jiān)視:可以監(jiān)視運(yùn)行有代理