(机械工业第四设计研究院有限公司,河南洛阳471039)
摘要:本文主要针对企业信息化在提高公司效益随之而来的数据安全问题,在网络安全威胁、国内外安全审计技术等方面进行深入的分析和研究,大胆提出了公司内网安全审计系统的功能需求及概念,对建立中汽公司网络监管和安全审计系统具有一定参考价值。
关键词:信息资源;安全管理;软件漏洞;黑客技术;安全审计;数据库;认证;日志
前言
随着计算机技术的不断发展,计算机功能的多样化与信息处理的复杂程度显著提高。我院各项业务对信息化工具的应用逐年增多,如OA、RTX等。在带来极大便利和效益的同时,随之而来的是这些信息数据的安全问题,公开化的网络平台和较为粗放式的内网管理,不但会对重要的信息资源造成损坏,同时也会给整个网络带来相当大的安全隐患。
1网络安全威胁分析
我院依赖于高速带宽和移动计算环境进行各种业务工作,重要非重要的各类大小信息都以数据形式存放于电脑中。需要时只需通过U盘、Email等方式就能方便快捷的提取出来,其的确提高了办公效率,同时也在无形中威胁着我院的信息安全,如果处理不慎就会遭受损失。经调查统计,公司近千台电脑,每年至少会发生十多起敏感数据丢失,综合分析,其主要来自以下几个方面。
1.1计算机网络安全管理上存在缺陷,网络建设时,我们更多考虑资源共享和各项业务的互联互通,基本安全意识及监督机制有漏洞,造成现有网络架构不安全。
1.2软件存在设计漏洞和后门,软件规模越大,软件开发的复杂度也就越来越大,软件系统中存在漏洞也就在所难免,微软公司的Windows系列操作系统就一直都存在着各式各样的安全漏洞和为了网络主要安全威胁之一。
1.3黑客技术泛滥,使得网络中的黑客行为越来越猖獗,蓄意破坏电脑终端系统,删除和篡改重要数据导致系统崩溃达到不正当的目的,由于缺乏相应的追踪和取证措施,使得黑客攻击存在隐蔽性,难于防范。
1.4病毒具有传播和攻击能力,不但会造成内网数据丢失泄露,还会造成系统软件崩溃,或者耗尽网络资源甚至阻断网络通信的危害。
但是通过调查,我发现,大部分信息安全事件都是因为计算机使用者的习惯造成的,30%安全问题由终端引起,而公司重要数据丢失、泄露几乎都是内部造成。有关机构统计内幕重要数据泄密85%来自内部人员不规范行为。例如聊天、游戏和P2P资源下载,这都极大的影响了网络的利用效率,却给我院内部网络带来了安全威胁。
2国内外安全审计技术研究现状分析
一个典型的网络环境有网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备等组成部分,我们把这些组成部分称为审计对象。要对该网络进行网络安全审计就必须对这些审计对象的安全性都采取相应的技术和措施进行审计,对于不同的审计对象有不同的审计重点,下面一一介绍:对网络设备的安全审计:我们需要从中收集日志,以便对网络流量和运行状态进行实时监控和事后查询。对服务器的安全审计:为了安全目的,审计服务器的安全漏洞,监控对服务器的任何合法和非法操作,以便发现问题后查找原因。
2.1对用户电脑的安全审计
(1)为了安全目的,审计用户电脑的安全漏洞和入侵事件。
(2)为了防泄密和信息安全目的,监控上网行为和内容,以及向外拷贝文件行为。
(3)为了提高工作效率目的,监控用户非工作行为。
2.2对数据库的安全审计
对合法和非法访问进行审计,以便事后检查。对应用系统的安全审计:应用系统的范围较广,可以是业务系统,也可以是各类型的服务软件。这些软件基本可以知道各种合法和非法访问。对网络安全设备的安全审计:网络安全设备包括防火墙、网闸、IDS/IPS、灾难备份、VPN、加密设备、网络安全审计系统等等,这些产品都会形成运行日志,我们对日志进行收集,就能统一分析网络的安全状况。
2.3安全审计技术有以下三种
(1)日志审计:目的是收集日志,通过SNMP、SYSLOG、OPSEC或者其他的日志接口从各种网络设备、服务器、用户电脑、数据库、应用系统和网络安全设备中收集日志,进行统一管理、分析和报警。
(2)主机审计:通过在服务器、用户电脑或其他审计对象中安装客户端的方式来进行审计,可达到审计安全漏洞、审计合法和非法或入侵操作、监控上网行为和内容以及向外拷贝文件行为、监控用户非工作行为等目的。根据该定义,事实上主机审计已经包括了主机日志审计、主机漏洞扫描产品、主机防火墙和主机DS/IPS的安全审计功能、主机上网和上机行为监控等类型的产品。
(3)网络审计:通过旁路和串接的方式实现对网络数据包的捕获,而且进行协议分析和还原,可达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户非工作行为等目的。根据该定义,事实上网络审计已经包括了网络漏洞扫描产品、防火墙和 IDS/IPS中的安全审计功能、互联网行为监控等类型的产品。
目前,国内外已经有许多安全审计的产品,其中的入侵检测产品也能提供安全审计的功能实现。国外的产品如TNT Software公司开发的Event Log Monitor产品,Dorian Software Creations公司开发的Event Archiver产品,以及Ripple Techa.公司的Log Caster产品;国内的产品有西安交大捷普公司的JUMP安全审计系统,汉邦的信息安全综合强审计系统,中软HuaTech安全审计预警系统,启明星辰公司的TA(TOPSEC Auditor),以及杭州九州方圆的IT Audit电脑桌面行为审计系统等等。
3安全审计系统分析
安全事件发生的原因很复杂,它是由一系列事件构成的,这包括内网非法外联、木马、病毒等通过外部网络和主机外部端口进入到内部网络感染主机、泄密、发现泄密事件等阶段。要防止泄密事件的发生,就要阻断木马传播、主动预防、检测和清除木马,形成一个纵深的防御体系。
信息安全管理工作包括技术和管理两方面因素,较为薄弱的一般是管理方面。大多数的信息安全事件的发生都是因为管理不到位,责任无法落实而造成的。要通过大力发展信息安全技术方面的技术,来弥补管理方面的不足。信息安全的根本是信息共享和信息保密之间的相互制约,能够使两者都能得到改善,才是解决问题的根本。其分为事前对隐患发现,事中的积极防范及事后审计取证三个重要过程。事前发现隐患主要使用网络漏洞扫描系统,病毒防范系统等。事中积极防范主要使用防火墙,入侵检测系统。而事后审计取证则必须使用内网安全监管审计系统。因此,通过电脑监控和审计技术手段的有机结合,将打破保密管理缺乏技术手段,不能进行事前预防,只能进行事后追查的局限性。结合其它网络边界安全设备,就可以建立起一个简洁高效的内部网络安全解决方案。
内网主机行为监管和审计系统主要包括主机行为监管和日志审计两个方面的内容。系统应包括六个功能模块:主机设备管理、网络共享监管、移动存储介质认证、日志采集、日志分析和日志存储。如图:
4功能需求分析
4.1主机设备管理
对USB分类进行监管以及其它设备进行监管,前面已经论述了,造成泄密的一个重要途径是:通过移动存储介质造成重要的信息的泄露移动存储介质包括:U盘、MP3/4、移动硬盘、SD/TF卡、光盘、手机、带存储功能的照相机、摄像机等等。为此安全审计系统必须加强对这类外储设备的监管。另外,像扫描仪,打印机也有可能造成信息的泄露,通过保证信息不从这些途径泄漏,相当重要。解决设备监控模块如何稳定工作,与系统兼容,并具有很大灵活性,可对所有可更改状态设备进行控制管理,也可定制所监控的设备。目前信息安全界一个共识就是:要想有效管理内网信息,防止外泄,必须严格区分内外网络(外网是指和 Internet等公共网络连接的企业网络,内网指组织内部网络),有效界定信息安全边界。
4.2网络共享监管
对局域网中计算机之间的共享资源和访问行为进行记录查询,该模块是主机审计系统功能扩展模块,是基于SMB协议的网络访问行为的监管模块,嵌入在客户端中,保障计算机间能够通畅共享信息,但同时也要保障泄密文件的安全,黑客渗透。
4.3移动存储设备认证
移动存储设备认证是在设备管理的基础上对其功能进行扩展,加入了移动存储设备认证功能模块;对企业内部已经经过认证许可的移动存储设备允许它在已经安装过代理程序的安全域中自由使用,对未经过认证或非法的移动存储设备禁止它安全域中使用并将其信息上报至控制台端。系统能够对1394设备、并口设备、红外通讯设备及一些新增加设备的管理问题。可识别出单位的USB移动存储设备和个人的USB移动存储设备,单位自己的移动存储设备在受控的安全域中是可以正常的使用的,但员工自己的移动存储设备则无法使用。记录内网中每一台受控主机的开关机使用情况;记录内网中每一台受控主机中文件及文件夹的增加、删除和修改操作;对受控主机上的文件及文件夹的共享使用情况进行记录。
4.4日志采集
日志(Log)是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件。通常情况下,系统日志是用户可以直接阅读的文本文件,其中包含一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。日志审计模块能够收集内部网络中的所有受控主机与安全相关的重要日志数据,并对这些日志数据进行统一管理和分析,实现准确高效的主机行为审计,使用户能够了解内网中各受控主机和设备的安全风险状况。
4.5日志分析
日志分析是对采集来的系统日志进行筛选过滤,根据一定的规则进行排序归档,最终呈现给系统审计管理员进行综合的分析审计,从而达到能够预先发现系统中存在的隐患,能够在安全危害发生时对其有效的制止和在安全危害发生后提供有效帮助和追踪信息。
4.6日志存储
日志存储是将大量有效的日志信息进行统一存储,为后续的分析展现功能提供数据支持,依靠统一的日志存储使系统更加的稳定高效。如图。
5结语
本文通过我在信息中心工作中取得的经验,大胆提出了公司内网安全审计系统的功能需求及概想。计算机网络安全监管与审计涉及到多方面的知识,是一个十分复杂而广泛的研究课题。随着公司信息化不断的进步及计算机操作系统和网络通讯技术复杂性的不断增加,网络安全审计问题的复杂性也在不断增加。因此,如何提升中汽网络监管和安全审计系统效能,以满足工作人员的需求,还有待不断的探索与研究。
论文作者:张娜
论文发表刊物:《建筑建材装饰》2015年10月上
论文发表时间:2016/9/12
标签:系统论文; 日志论文; 网络论文; 主机论文; 目的论文; 信息安全论文; 信息论文; 《建筑建材装饰》2015年10月上论文;