保密技術概論：第8章 安全監(jiān)控與審計

第8章

安全監(jiān)控與審計1內容提要基本概念安全監(jiān)控違規(guī)外聯和非授權接入監(jiān)控安全審計28.1基本概念何為安全監(jiān)控與審計？以主機（包括服務器、用戶終端、單機、移動筆記本）和網絡設備、應用系統和數據庫的安全為目標，通過基本網絡傳輸、訪問控制和安全審計等技術、對受控主機、網絡設備、應用系統、數據庫等進行有效的監(jiān)控，在出現非授權行為、違規(guī)操作等異常情況下，主動采取有效的阻斷措施，并將違規(guī)操作行為記入日志，以便事后審計。38.2安全監(jiān)控8.2.1作用與分類安全監(jiān)控的作用行為監(jiān)控違規(guī)/異常告警/阻斷事后取證安全監(jiān)控的分類主機監(jiān)控網絡監(jiān)控數據庫監(jiān)控應用系統監(jiān)控48.2安全監(jiān)控主機監(jiān)控通過設置安全策略，對受控計算機的移動存儲設備、外部連接設備、各種設備接口、網絡協議等進行監(jiān)控，通過安全監(jiān)控，可以防止違規(guī)使用移動存儲設備、非授權文件復制、打印、復印、非授權外聯行為的發(fā)生。58.2安全監(jiān)控1）設備安全監(jiān)控USB移動存儲介質、光盤等存儲設備的使用監(jiān)控打印機、復印機監(jiān)控外聯設備監(jiān)控接口監(jiān)控68.2安全監(jiān)控（1）USB移動存儲介質、光盤等存儲設備的使用監(jiān)控78.2安全監(jiān)控（1）USB移動存儲介質、光盤等存儲設備的使用監(jiān)控U盤應用最廣，出現的安全保密問題最多移動存儲介質安全問題主要有五種遺失非法拷貝重要文件內外網交叉使用信息未可靠清除導致被恢復病毒“木馬”傳播88.2安全監(jiān)控（1）USB移動存儲介質、光盤等存儲設備的使用監(jiān)控應對措施設置合適的安全策略，對USB移動存儲介質的使用進行控制，并記錄其使用情況，便于取證部分涉密信息系統中禁止使用USB移動存儲設備中間機用戶涉密信息系統和非涉密信息系統之間的信息交換（CD/DVD光盤）中間機對刻錄沒有任何技術措施進行控制98.2安全監(jiān)控（2）打印機、復印機監(jiān)控打印機、復印機在在辦公室大量使用，隱患大存在的幾種問題打印復印不受控，用戶無認證，任何人可使用打印復印的內容沒有限制打印的文檔數量沒有記錄打印后忘記取回打印資料導致信息泄露用戶私自打印涉密文件和復印涉密文件108.2安全監(jiān)控（2）打印機、復印機監(jiān)控打印監(jiān)控審計技術APIHookAPIHook技術是一種用于改變API執(zhí)行結果的技術DriverHook虛擬打印機輪詢打印隊列技術118.2安全監(jiān)控（2）打印機、復印機監(jiān)控打印監(jiān)控的技術難點打印機體系結構復雜打印機類型和接口類型多樣具有打印功能的應用程序較多打印方式有多種選擇128.2安全監(jiān)控（2）打印機、復印機監(jiān)控應對策略打印監(jiān)控可設置使用打印機的安全策略審計信息便于泄密后的取證復印監(jiān)控可設置使用復印機的安全策略138.2安全監(jiān)控（3）外聯設備監(jiān)控應對策略通過設置策略，對外聯設備（如調制解調器、無線網卡、藍牙、紅外等設備）以及各種接口（如串口、并口、USB、1394、PCMCIA等）進行監(jiān)控148.2安全監(jiān)控（4）接口監(jiān)控對計算機各種接口的監(jiān)視和控制在Windows中的主要技術應用層實現驅動層實現158.2安全監(jiān)控2）網絡端口安全監(jiān)控計算機中的三類端口公認端口：從0到1023，這些端口的通信明確表明了某種服務的協議注冊端口：從1024到49151，許多服務綁定于這些端口動態(tài)和私有端口：從49152到65535，從1024號端口以后分配動態(tài)端口168.2安全監(jiān)控2）網絡端口安全監(jiān)控在計算機系統環(huán)境中，缺省狀態(tài)開通了許多服務端口非法入侵者可能會利用這些端口入侵設置策略，關閉該端口，停止服務，切斷惡意攻擊的通道也可采用網絡監(jiān)控的辦法，對利用這些端口的通信行為進行監(jiān)控178.2安全監(jiān)控3）網絡協議安全監(jiān)控不同的網絡協議分別對應于不同的網絡應用網絡安全監(jiān)控可以根據涉密信息系統的需要，允許或禁止使用某種網絡協議對于允許運行的某一協議，可以進行細粒度的監(jiān)控Http協議監(jiān)控FTP協議監(jiān)控TELNET協議監(jiān)控SMTP/POP3協議監(jiān)控188.2安全監(jiān)控4）其他監(jiān)控（1）非授權安裝軟件監(jiān)控通過操作系統提供的軟件維護API函數，實時對當前操作系統安裝軟件的情況進行監(jiān)控，并根據安全策略執(zhí)行相應的操作（2）非授權進程、服務運行監(jiān)控對于明確的非授權進程和服務，安全監(jiān)控系統能夠禁止其運行或啟動；對于未明確是否合法的進程或服務，安全監(jiān)控系統應能夠向管理員告警198.2安全監(jiān)控8.2.2安全監(jiān)控基本組成及功能20服務器程序控制臺程序客戶端代理程序一般安裝在管理主機上，用于與客戶端代理程序通信，收集和存儲審計日志安裝在管理主機上，用于管理服務器程序，并可實現監(jiān)控策略的制定、下發(fā)以及審計日志的管理安裝在受控主機上，用于收集受控主機基本配置信息和運行狀態(tài)信息，執(zhí)行并執(zhí)行控制臺程序下發(fā)的監(jiān)控與審計策略，并將有關信息發(fā)往管理主機8.2安全監(jiān)控8.2.3安全監(jiān)控保密性要求不應具有屏幕監(jiān)視功能不應具有鼠標、鍵盤監(jiān)控功能不應具有對監(jiān)控對象的設備、服務和進程實時監(jiān)控功能218.3違規(guī)外聯和非授權接入監(jiān)控違規(guī)外聯和非授權接入的安全隱患外部攻擊者能繞過內網自身的防護手段，順利侵入違規(guī)外聯的內網計算機，竊取內部敏感信息利用該計算機做跳板，入侵整個網絡，植入病毒和竊取信息228.3違規(guī)外聯和非授權接入監(jiān)控違規(guī)外聯方式撥號：內網計算機通過PSTN,ISDN,ADSL,CDMA,GPRS等撥號方式接入互聯網外設：內網計算機通過1394接口，串口，并口，紅外，藍牙或其他可交換數據的信息設備等外設接口接入外網網卡：內網計算機通過雙網卡同時連接內網、外網或將內網網線直接接入互聯網23撥號、外設方式可通過直接禁用相應設備的方式實現阻斷，網卡違規(guī)外聯監(jiān)控技術實現難度較大8.3違規(guī)外聯和非授權接入監(jiān)控非授權接入監(jiān)控技術基于代理服務器技術在局域網內部核心服務器群前段，安裝接入服務器或接入網關，結合客戶端登錄認證，實現C/S模式的安全接入認證系統基于網絡層技術基于網絡互聯設備的安全特性來實現的，主要包括基于端口綁定的防非授權接入技術，基于IEEE802.1X協議的防非授權接入技術和基于動態(tài)VLAN的防非授權接入技術248.3違規(guī)外聯和非授權接入監(jiān)控非授權接入監(jiān)控技術基于網絡層技術基于端口綁定的防非授權接入技術：對交換機物理端口進行MAC和IP地址綁定基于IEEE802.1X協議的防非授權接入技術：基于用戶ID來進行交換機端口通信的身份認證基于動態(tài)VLAN的防非授權接入技術：基于源MAC地址動態(tài)地在交換機端口上劃分VLAN的方法，包括VMPS認證服務器、網絡交換機和接入客戶端258.3違規(guī)外聯和非授權接入監(jiān)控8.3.1違規(guī)外聯系統的基本組成及功能268.3違規(guī)外聯和非授權接入監(jiān)控8.3.1違規(guī)外聯系統的基本組成及功能客戶端軟件：安裝在要求物理隔離的網絡的所有計算機上，主要任務是檢測計算機連接互聯網的行為服務器端軟件：安裝在內網管理主機上，負責生成監(jiān)控策略，升級客戶端軟件等互聯網報警端：位于互聯網上，一般以監(jiān)控服務器的形式存在278.3違規(guī)外聯和非授權接入監(jiān)控8.3.2非授權接入監(jiān)控的基本組成及功能288.3違規(guī)外聯和非授權接入監(jiān)控8.3.2非授權接入監(jiān)控的基本組成及功能服務器程序：對客戶端用戶進行網絡訪問認證，下發(fā)網絡訪問控制策略，記錄網絡訪問日志管理控制程序：負責下發(fā)網絡訪問策略，檢索和管理審計日志客戶端程序：安裝在客戶端主機上，用于提交用戶網絡訪問認證信息給服務器程序，并執(zhí)行服務器程序下發(fā)的網絡訪問控制策略298.4安全審計安全審計的功能審計網絡內部的用戶活動，偵察系統中現有和潛在的威脅，對于安全有關的活動的相關信息進行識別、記錄、存儲和分析308.4安全審計TCSEC安全審計要求國際通用準則CC的安全審計要求國標GB17859-1999的安全審計要求可信計算基與安全審計318.4安全審計8.4.1作用與分類安全審計：是指通過審計產品對計算機網絡的管理、防護、監(jiān)控、恢復等行為，以及對有可能帶來的風險進行系統的、獨立的檢查驗證，并做出相應評價的過程審計范圍：服務器，用戶終端，應用系統，網絡設備，外部設備/介質的使用以及操作系統328.4安全審計安全審計產品分類主機審計網絡審計數據庫審計應用審計日志審計綜合審計338.4安全審計（1）主機審計348.4安全審計（2）網絡安全審計35網絡安全審計系統串聯部署模式網絡拓撲圖8.4安全審計（2）網絡安全審計36網絡安全審計系統旁路部署模式網絡拓撲圖8.4安全審計（2）網絡安全審計主要采取以下技術高速抓包技術協議分析技術會話重組技術優(yōu)化數據庫結構設計378.4安全審計（3）數據庫審計數據庫審計可以實時獲取被審計數據庫系統的狀態(tài)信息和操作行為，從已有的數據庫審計記錄中獲取信息并進行分析，將記錄針對數據庫的敏感操作，監(jiān)控是否有違規(guī)行為。388.4安全審計（3）數據庫審計數據庫直接訪問審計對直接進行訪問數據的操作行為和該數據庫的狀態(tài)信息進行審計，審計信息應包括操作發(fā)生時間、人員、操作數據項和具體操作行為等，但不應記錄操作數據項的具體內容398.4安全審計（3）數據庫審計數據庫網絡訪問審計對通過網絡訪問數據庫的操作行為和該數據庫的狀態(tài)信息進行審計，審計信息應包括訪問對象，被訪問對象，訪問十佳，訪問類型等，但不應記錄訪問數據項的具體內容408.4安全審計（3）數據庫審計常見的數據庫安全審計技術基于日志的審計技術基于代理的審計技術基于網絡監(jiān)聽的審計技術基于網關的審計技術418.4安全審計（3）數據庫審計基于日志的審計技術428.4安全審計（3）數據庫審計基于代理的審計技術438.4安全審計（3）數據庫審計基于網絡監(jiān)聽的審計技術448.4安全審計（3）數據庫審計基于網關的審計技術458.4安全審計（4）應用審計應用審計一般通過調用應用系統提供的審計接口，對用戶在使用應用系統過程中的登錄、操作、退出的一切行為，通過內部截取和跟蹤等相關方式，進行監(jiān)控和詳細記錄，從而獲取、記錄被審計應用系統的狀態(tài)信息和敏感操作，依據審計規(guī)則分析判斷是否有違規(guī)行為和異常行為。468.4安全審計（4）應用審計主要功能能夠對用戶操作重要和涉密數據的行為進行審計通過實時或靜態(tài)分析數據庫和各種應用系統的審計記錄，檢測系統入侵和誤用行為能夠將分布在各個系統中的審計日志轉換成標準審計記錄格式，然后存儲在中央數據庫中478.4安全審計（5）日志收集與分析日志審計系統能夠實現網絡時間和信息的全面管理、審計。系統為不同的審計對象提供一個統一的時間管理分析平臺，實現從網絡設備到應用系統的安全審計，在統一采集、保存安全時間的基礎上，進行安全時間后的關聯分析，有效實現全網的安全預警、入侵行為的實時發(fā)現以及安全時間的動態(tài)相應機制488.4安全審計（5）日志收集與分析存在的技術難點統一日志格式日志的快速處理海量日志存儲與分析498.4安全審計（6）綜合審計綜合審計是指獲取并記錄網絡、主機、數據庫、應用系統、安全保密設備自身產生的審計信息等兩種以上審計對象的狀態(tài)信息和敏感操作，進行統一分析，依據審計規(guī)則判斷是否有違規(guī)行為。508.4安全審計8.4.2安全審計基本組成及功能代理代理安裝在