一种基于强审计技术的内网安全管理系统模型
开篇:润墨网以专业的文秘视角,为您筛选了一篇一种基于强审计技术的内网安全管理系统模型范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
1 引言
近年来,由于黑客攻击而造成全球网络大范围感染病毒或瘫痪的事件时有发生,产生了巨大的社会影响,也引起了人们极大的关注,因此防火墙、入侵检测等防外部攻击的网络安全产品获得了巨大的发展机会。
但据权威市场调查机构Gartner Group的调查,在全球损失金额在5万美元以上的攻击中,70%都涉及网络内部攻击者。一些单位的内部人员以合法的身份、合法的访问权限,因为误操作或故意偷窃内部数据而给单位造成巨大的损失。
外部攻击影响巨大,但内部攻击危害巨大,为了解决内网安全问题,就出现了强审计产品。
强审计最重要的作用是“威慑”,有了强审计系统,犯罪或过失行为都会被记录下来,原来心存侥幸心理的往往不得不收敛,这也是许多信息系统安装了强审计系统之后,内部上网行为规范了许多,犯罪行为极大降低的主要原因。
2 强审计的概念
简单来说,所谓强审计,就是利用日志对网络上的行为、踪迹进行监控,并能事后取证的技术。但是,与传统的计算机日志相比,强审计的日志是不能随便删除、修改的。
强审计技术应该包括5个方面的内容:
(1) 网络审计,防止非法内连和外连;
(2) 数据库审计,以更加细的粒度对数据库的读取行为进行跟踪;
(3) 应用系统审计,例如公文流转经过几个环节,必须要有清晰的记录;
(4) 主机审计,包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等等;
(5) 介质审计,包括光介质、磁介质和纸介质的审计,防止机密信息通过移动U盘、非法打印或者照相等多个环节从信息系统中泄密。
本文将从网络审计、应用系统审计、主机审计、介质审计四个方面入手,介绍一种内网安全管理系统模型。
3 系统组成与部署
系统由中心服务器、网络探测器和终端安全三个部分组成。
网络探测器的硬件为Intel兼容的多网口专用硬件,操作系统为经过系统裁减和安全增强的Linux,运行网络探测、数据截获及数据流分析程序,实现接入审计、流量分析、阻断等功能。
终端安全安装并运行于x86架构的Windows操作系统上,负责搜集终端主机的基本信息和安全事件,并根据策略对外部设备进行相应控制,同时将审计、告警信息发送到中心服务器。
中心服务器是内网安全管理系统的核心,其硬件平台为Intel服务器架构,有两个以太网络接口,运行经过裁减和安全增强的Linux核心。负责对网内所有的网络探测器进行配置和管理,各种安全策略的集中配置和分发,管理上传的所有审计日志和告警信息,提供简便灵活的日志管理工具。
系统部署如图所示。
图中上方连接中心服务器和网络探测器的为系统内部通信管理网络,承担系统部件间的主要通信和管理,通过交叉线直接连接或者内部通信交换机连接;图的下半部分为用户单位的工作网络,各设备和工作主机通过交换机连接。
4 系统功能
4.1 网络层审计
网络层审计主要实现了网络探测、非法接入监控、数据截获、流量统计和网络行为审计。这些功能都由网络探测器来实现,并将相关数据通过内部通信管理网络发送到中心服务器。
(1) 网络地址的探测
网络地址的发现通过接入子网内部的网络探测器主动扫描和被动监听arp包实现,能发现网络内所有主机的IP和MAC地址,有利于管理员从宏观上掌握整个网络的具体情况。
(2) 非法接入的发现和阻断
对于非法接入的主机,系统提供人工干预方式和托管方式。在人工方式下,对非法主机接入行为进行告警,由管理员确定是否需要阻断。在托管方式下,对非法接入主机通过一定的策略自动对其进行阻断。
(3) 网络数据的截获
对于需要监听的子网,在交换机上配置相应的镜像口,同时将网络探测器的一个网口连到该镜像口上,启动网络监听程序以旁路方式截获内外网的通信数据。
(4) 流量的统计
网络探测器根据监听到的内外网通信的IP数据报文分析内网中主机的网络行为。流量审计记载的信息有内网IP和端口、协议、外网IP和端口,以及发送和接收的字节数等。可通过直观的图表方式反映网络行为的变化和趋势。
(5) 文件传输及邮件审计
分析网络中的pop3、smtp、ftp、http等协议数据流,从而还原出内网主机上传下载文件和收发邮件的行为。
4.2 应用层审计
应用层审计主要实现了受控终端安全事件的审计。这些审计信息都由终端安全来收集,并定时发送到中心服务器上。
(1) URL历史审计
URL历史审计记录终端用户IE浏览的历史信息。审计的同时将浏览信息分类为http浏览、https浏览、ftp浏览和最近打开的文档。
(2) 应用程序审计
为了让管理员掌握内网中各个终端的应用情况,终端安全通过获取终端进程信息定时审计本终端正在运行哪些程序。该审计对系统运转必须的一些进程进行了过滤,并且根据一般经验将终端运行的应用程序分为三类:安全相关的应用、工作相关的应用和其它应用。
(3) 文件操作审计
文件操作审计通过远程注入相关进程并拦截执行文件操作的函数,实时记录终端用户通过命令行方式或GUI方式创建、拷贝、移动(重命名)、删除文件的操作。审计过程中对临时目录文件、回收站文件进行过滤,避免了过量审计。
(4) 系统共享审计
“共享”作为一种开放资源,为终端用户提供方便的同时也给恶意程序以可乘之机。系统共享审计通过创建异步事件通知接收器捕获创建、取消系统共享的操作事件及时间,再通过获取事件实例属性审计其共享名和共享路径名,帮助管理员了解内网某台终端当前开启了哪些共享以及共享开启/关闭的历史情况。
(5) 系统服务修改审计
Windows服务能够创建在它们自己的Windows会话中长时间运行的可执行应用程序,一些恶意程序常以服务的形式创建和运行。系统服务修改审计通过创建异步事件通知接收器捕获系统服务修改事件,再通过获取事件实例属性审计服务的名称、服务描述、启动属性、运行状态,帮助管理员了解是否有可疑的服务修改动作。
(6) 注册表审计
注册表中存储了系统的大量重要信息,在很大程度上“指挥”电脑怎样工作,而一些恶意程序也通过修改注册表来达到其目的。通过审计注册表的修改,可以捕捉到这些恶意程序的蛛丝马迹。注册表修改的审计是通过在系统内核中实时截获系统服务实现的,通过该方法可以截获到通过手工或软件实现的注册表修改操作。将截获到的操作进行过滤,只记录其中与安全密切相关的部分操作的信息。
(7) 安全软件执行审计
为了防止内网主机绕过边界防护从外界感染病毒或木马,随后又成为向内网传播病毒、木马的源头,终端的安全防护十分必要,终端安全防护的强度和普及率从整体上反映了内网安全的一个重要方面。终端安全定时审计各个终端防病毒软件、防火墙软件的运行情况,为管理员掌握内网安全软件执行情况提供信息。
(8) 非法外连的控制和审计
一般政府部门的内网是不允许随意连入互联网的,但总有一些人有意或无意进行违规操作,给内网造成威胁。终端安全中加入了非法外连控制模块,一旦检测到主机能连上互联网,就立刻切断它与互联网的连接,并对外连行为进行记录。
4.3 主机系统审计
主机系统审计搜集的信息主要包括CPU类型、内存大小、磁盘分区、网络接口、操作系统类型、已安装的应用软件和系统升级补丁的相关信息。其中,CPU类型、内存大小、磁盘分区、网络接口、操作系统类型等信息是通过调用相应的WIN32 API获得的;而已安装的应用软件和系统升级补丁等信息则是通过查询注册表获得的。
4.4 介质审计和控制
这里的介质主要包括光盘、U盘、移动硬盘、网络驱动器,这些设备的使用方便了数据的移动,但任意使用的同时也给管理带来了问题。介质审计通过获取“设备接入”或“设备撤销”的系统消息,实时获知移动存储设备的启用和撤销,随后获取接入设备类型和所分配到的盘符,为分析移动存储设备上的数据流动提供必要信息。
介质控制是根据策略对光驱、软盘、USB移动存储盘、串口、并口、红外、1394、PCMCIA卡、调制解调器、蓝牙等设备进行禁用,从而避免了内网数据被有意或者无意泄漏出去。对接入主机的USB存储介质可以进行单向控制,管理员根据需要设定存储设备的使用权限(只读或者读写),既保留了移动设备的方便性,又堵截了移动存储设备可能带来的安全隐患。
5 系统特点
(1) 全面的系统自身安全防护体系
系统使用精简系统、身份认证、加密通信、操作系统安全性增强和隔离等多种技术和管理手段保证自身安全。系统通过对Linux核心的精简和安全加固,首先确保硬件平台操作系统的安全性;系统所有设备的通信口单独组成管理网络,从架构上保证系统的安全性;基于软、硬件的身份认证,从管理上维护系统的安全性。
终端安全从注册表保护、文件保护、进程保护、防卸载四个方面完成对自身的保护。
(2) 科学的内部安全策略管理机制
支持内部网络的组群工作模式,能够将计算机根据安全策略的不同分成安全组进行管理,对相同的组采用系统定制的策略模板或自定义策略模板进行集中的管理和审计,极大地提高了管理效率。
(3) 强大的终端控制功能
根据监察与审计管理中心的策略配置,可以对非法接入网络的主机进行网络阻断;为了防止信息外泄,可以禁用主机的串口、并口、1394、红外、USB、蓝牙等外部设备,可以对USB存储设备进行读写控制;为了杜绝内部网与Internet网的连接,所有安装终端安全的主机的非法外连将被切断。
6 结束语
本系统对内网的管理具有策略灵活和高效的特点,能够将各单位的绝大多数基于Windows架构的个人桌面系统纳入管理的范畴。通过本系统的应用,能够增强内部网络整体的安全性能,提供安全、方便的内网安全管理,解决目前内网中亟待解决的安全隐患,并且形成防范与威慑力量,防止内部人员的违规操作。
作者简介
沈婕(1974-),女,江苏兴化人,工程师,硕研,主要研究方向:信息安全。
许敏(1981-),男,湖南衡东人,本科,主要研究方向:网络与信息安全。