保密技術概論：第8章 安全監(jiān)控與審計

第8章

安全監(jiān)控與審計1內(nèi)容提要基本概念安全監(jiān)控違規(guī)外聯(lián)和非授權(quán)接入監(jiān)控安全審計28.1基本概念何為安全監(jiān)控與審計？以主機（包括服務器、用戶終端、單機、移動筆記本）和網(wǎng)絡設備、應用系統(tǒng)和數(shù)據(jù)庫的安全為目標，通過基本網(wǎng)絡傳輸、訪問控制和安全審計等技術、對受控主機、網(wǎng)絡設備、應用系統(tǒng)、數(shù)據(jù)庫等進行有效的監(jiān)控，在出現(xiàn)非授權(quán)行為、違規(guī)操作等異常情況下，主動采取有效的阻斷措施，并將違規(guī)操作行為記入日志，以便事后審計。38.2安全監(jiān)控8.2.1作用與分類安全監(jiān)控的作用行為監(jiān)控違規(guī)/異常告警/阻斷事后取證安全監(jiān)控的分類主機監(jiān)控網(wǎng)絡監(jiān)控數(shù)據(jù)庫監(jiān)控應用系統(tǒng)監(jiān)控48.2安全監(jiān)控主機監(jiān)控通過設置安全策略，對受控計算機的移動存儲設備、外部連接設備、各種設備接口、網(wǎng)絡協(xié)議等進行監(jiān)控，通過安全監(jiān)控，可以防止違規(guī)使用移動存儲設備、非授權(quán)文件復制、打印、復印、非授權(quán)外聯(lián)行為的發(fā)生。58.2安全監(jiān)控1）設備安全監(jiān)控USB移動存儲介質(zhì)、光盤等存儲設備的使用監(jiān)控打印機、復印機監(jiān)控外聯(lián)設備監(jiān)控接口監(jiān)控68.2安全監(jiān)控（1）USB移動存儲介質(zhì)、光盤等存儲設備的使用監(jiān)控78.2安全監(jiān)控（1）USB移動存儲介質(zhì)、光盤等存儲設備的使用監(jiān)控U盤應用最廣，出現(xiàn)的安全保密問題最多移動存儲介質(zhì)安全問題主要有五種遺失非法拷貝重要文件內(nèi)外網(wǎng)交叉使用信息未可靠清除導致被恢復病毒“木馬”傳播88.2安全監(jiān)控（1）USB移動存儲介質(zhì)、光盤等存儲設備的使用監(jiān)控應對措施設置合適的安全策略，對USB移動存儲介質(zhì)的使用進行控制，并記錄其使用情況，便于取證部分涉密信息系統(tǒng)中禁止使用USB移動存儲設備中間機用戶涉密信息系統(tǒng)和非涉密信息系統(tǒng)之間的信息交換（CD/DVD光盤）中間機對刻錄沒有任何技術措施進行控制98.2安全監(jiān)控（2）打印機、復印機監(jiān)控打印機、復印機在在辦公室大量使用，隱患大存在的幾種問題打印復印不受控，用戶無認證，任何人可使用打印復印的內(nèi)容沒有限制打印的文檔數(shù)量沒有記錄打印后忘記取回打印資料導致信息泄露用戶私自打印涉密文件和復印涉密文件108.2安全監(jiān)控（2）打印機、復印機監(jiān)控打印監(jiān)控審計技術APIHookAPIHook技術是一種用于改變API執(zhí)行結(jié)果的技術DriverHook虛擬打印機輪詢打印隊列技術118.2安全監(jiān)控（2）打印機、復印機監(jiān)控打印監(jiān)控的技術難點打印機體系結(jié)構(gòu)復雜打印機類型和接口類型多樣具有打印功能的應用程序較多打印方式有多種選擇128.2安全監(jiān)控（2）打印機、復印機監(jiān)控應對策略打印監(jiān)控可設置使用打印機的安全策略審計信息便于泄密后的取證復印監(jiān)控可設置使用復印機的安全策略138.2安全監(jiān)控（3）外聯(lián)設備監(jiān)控應對策略通過設置策略，對外聯(lián)設備（如調(diào)制解調(diào)器、無線網(wǎng)卡、藍牙、紅外等設備）以及各種接口（如串口、并口、USB、1394、PCMCIA等）進行監(jiān)控148.2安全監(jiān)控（4）接口監(jiān)控對計算機各種接口的監(jiān)視和控制在Windows中的主要技術應用層實現(xiàn)驅(qū)動層實現(xiàn)158.2安全監(jiān)控2）網(wǎng)絡端口安全監(jiān)控計算機中的三類端口公認端口：從0到1023，這些端口的通信明確表明了某種服務的協(xié)議注冊端口：從1024到49151，許多服務綁定于這些端口動態(tài)和私有端口：從49152到65535，從1024號端口以后分配動態(tài)端口168.2安全監(jiān)控2）網(wǎng)絡端口安全監(jiān)控在計算機系統(tǒng)環(huán)境中，缺省狀態(tài)開通了許多服務端口非法入侵者可能會利用這些端口入侵設置策略，關閉該端口，停止服務，切斷惡意攻擊的通道也可采用網(wǎng)絡監(jiān)控的辦法，對利用這些端口的通信行為進行監(jiān)控178.2安全監(jiān)控3）網(wǎng)絡協(xié)議安全監(jiān)控不同的網(wǎng)絡協(xié)議分別對應于不同的網(wǎng)絡應用網(wǎng)絡安全監(jiān)控可以根據(jù)涉密信息系統(tǒng)的需要，允許或禁止使用某種網(wǎng)絡協(xié)議對于允許運行的某一協(xié)議，可以進行細粒度的監(jiān)控Http協(xié)議監(jiān)控FTP協(xié)議監(jiān)控TELNET協(xié)議監(jiān)控SMTP/POP3協(xié)議監(jiān)控188.2安全監(jiān)控4）其他監(jiān)控（1）非授權(quán)安裝軟件監(jiān)控通過操作系統(tǒng)提供的軟件維護API函數(shù)，實時對當前操作系統(tǒng)安裝軟件的情況進行監(jiān)控，并根據(jù)安全策略執(zhí)行相應的操作（2）非授權(quán)進程、服務運行監(jiān)控對于明確的非授權(quán)進程和服務，安全監(jiān)控系統(tǒng)能夠禁止其運行或啟動；對于未明確是否合法的進程或服務，安全監(jiān)控系統(tǒng)應能夠向管理員告警198.2安全監(jiān)控8.2.2安全監(jiān)控基本組成及功能20服務器程序控制臺程序客戶端代理程序一般安裝在管理主機上，用于與客戶端代理程序通信，收集和存儲審計日志安裝在管理主機上，用于管理服務器程序，并可實現(xiàn)監(jiān)控策略的制定、下發(fā)以及審計日志的管理安裝在受控主機上，用于收集受控主機基本配置信息和運行狀態(tài)信息，執(zhí)行并執(zhí)行控制臺程序下發(fā)的監(jiān)控與審計策略，并將有關信息發(fā)往管理主機8.2安全監(jiān)控8.2.3安全監(jiān)控保密性要求不應具有屏幕監(jiān)視功能不應具有鼠標、鍵盤監(jiān)控功能不應具有對監(jiān)控對象的設備、服務和進程實時監(jiān)控功能218.3違規(guī)外聯(lián)和非授權(quán)接入監(jiān)控違規(guī)外聯(lián)和非授權(quán)接入的安全隱患外部攻擊者能繞過內(nèi)網(wǎng)自身的防護手段，順利侵入違規(guī)外聯(lián)的內(nèi)網(wǎng)計算機，竊取內(nèi)部敏感信息利用該計算機做跳板，入侵整個網(wǎng)絡，植入病毒和竊取信息228.3違規(guī)外聯(lián)和非授權(quán)接入監(jiān)控違規(guī)外聯(lián)方式撥號：內(nèi)網(wǎng)計算機通過PSTN,ISDN,ADSL,CDMA,GPRS等撥號方式接入互聯(lián)網(wǎng)外設：內(nèi)網(wǎng)計算機通過1394接口，串口，并口，紅外，藍牙或其他可交換數(shù)據(jù)的信息設備等外設接口接入外網(wǎng)網(wǎng)卡：內(nèi)網(wǎng)計算機通過雙網(wǎng)卡同時連接內(nèi)網(wǎng)、外網(wǎng)或?qū)?nèi)網(wǎng)網(wǎng)線直接接入互聯(lián)網(wǎng)23撥號、外設方式可通過直接禁用相應設備的方式實現(xiàn)阻斷，網(wǎng)卡違規(guī)外聯(lián)監(jiān)控技術實現(xiàn)難度較大8.3違規(guī)外聯(lián)和非授權(quán)接入監(jiān)控非授權(quán)接入監(jiān)控技術基于代理服務器技術在局域網(wǎng)內(nèi)部核心服務器群前段，安裝接入服務器或接入網(wǎng)關，結(jié)合客戶端登錄認證，實現(xiàn)C/S模式的安全接入認證系統(tǒng)基于網(wǎng)絡層技術基于網(wǎng)絡互聯(lián)設備的安全特性來實現(xiàn)的，主要包括基于端口綁定的防非授權(quán)接入技術，基于IEEE802.1X協(xié)議的防非授權(quán)接入技術和基于動態(tài)VLAN的防非授權(quán)接入技術248.3違規(guī)外聯(lián)和非授權(quán)接入監(jiān)控非授權(quán)接入監(jiān)控技術基于網(wǎng)絡層技術基于端口綁定的防非授權(quán)接入技術：對交換機物理端口進行MAC和IP地址綁定基于IEEE802.1X協(xié)議的防非授權(quán)接入技術：基于用戶ID來進行交換機端口通信的身份認證基于動態(tài)VLAN的防非授權(quán)接入技術：基于源MAC地址動態(tài)地在交換機端口上劃分VLAN的方法，包括VMPS認證服務器、網(wǎng)絡交換機和接入客戶端258.3違規(guī)外聯(lián)和非授權(quán)接入監(jiān)控8.3.1違規(guī)外聯(lián)系統(tǒng)的基本組成及功能268.3違規(guī)外聯(lián)和非授權(quán)接入監(jiān)控8.3.1違規(guī)外聯(lián)系統(tǒng)的基本組成及功能客戶端軟件：安裝在要求物理隔離的網(wǎng)絡的所有計算機上，主要任務是檢測計算機連接互聯(lián)網(wǎng)的行為服務器端軟件：安裝在內(nèi)網(wǎng)管理主機上，負責生成監(jiān)控策略，升級客戶端軟件等互聯(lián)網(wǎng)報警端：位于互聯(lián)網(wǎng)上，一般以監(jiān)控服務器的形式存在278.3違規(guī)外聯(lián)和非授權(quán)接入監(jiān)控8.3.2非授權(quán)接入監(jiān)控的基本組成及功能288.3違規(guī)外聯(lián)和非授權(quán)接入監(jiān)控8.3.2非授權(quán)接入監(jiān)控的基本組成及功能服務器程序：對客戶端用戶進行網(wǎng)絡訪問認證，下發(fā)網(wǎng)絡訪問控制策略，記錄網(wǎng)絡訪問日志管理控制程序：負責下發(fā)網(wǎng)絡訪問策略，檢索和管理審計日志客戶端程序：安裝在客戶端主機上，用于提交用戶網(wǎng)絡訪問認證信息給服務器程序，并執(zhí)行服務器程序下發(fā)的網(wǎng)絡訪問控制策略298.4安全審計安全審計的功能審計網(wǎng)絡內(nèi)部的用戶活動，偵察系統(tǒng)中現(xiàn)有和潛在的威脅，對于安全有關的活動的相關信息進行識別、記錄、存儲和分析308.4安全審計TCSEC安全審計要求國際通用準則CC的安全審計要求國標GB17859-1999的安全審計要求可信計算基與安全審計318.4安全審計8.4.1作用與分類安全審計：是指通過審計產(chǎn)品對計算機網(wǎng)絡的管理、防護、監(jiān)控、恢復等行為，以及對有可能帶來的風險進行系統(tǒng)的、獨立的檢查驗證，并做出相應評價的過程審計范圍：服務器，用戶終端，應用系統(tǒng)，網(wǎng)絡設備，外部設備/介質(zhì)的使用以及操作系統(tǒng)328.4安全審計安全審計產(chǎn)品分類主機審計網(wǎng)絡審計數(shù)據(jù)庫審計應用審計日志審計綜合審計338.4安全審計（1）主機審計348.4安全審計（2）網(wǎng)絡安全審計35網(wǎng)絡安全審計系統(tǒng)串聯(lián)部署模式網(wǎng)絡拓撲圖8.4安全審計（2）網(wǎng)絡安全審計36網(wǎng)絡安全審計系統(tǒng)旁路部署模式網(wǎng)絡拓撲圖8.4安全審計（2）網(wǎng)絡安全審計主要采取以下技術高速抓包技術協(xié)議分析技術會話重組技術優(yōu)化數(shù)據(jù)庫結(jié)構(gòu)設計378.4安全審計（3）數(shù)據(jù)庫審計數(shù)據(jù)庫審計可以實時獲取被審計數(shù)據(jù)庫系統(tǒng)的狀態(tài)信息和操作行為，從已有的數(shù)據(jù)庫審計記錄中獲取信息并進行分析，將記錄針對數(shù)據(jù)庫的敏感操作，監(jiān)控是否有違規(guī)行為。388.4安全審計（3）數(shù)據(jù)庫審計數(shù)據(jù)庫直接訪問審計對直接進行訪問數(shù)據(jù)的操作行為和該數(shù)據(jù)庫的狀態(tài)信息進行審計，審計信息應包括操作發(fā)生時間、人員、操作數(shù)據(jù)項和具體操作行為等，但不應記錄操作數(shù)據(jù)項的具體內(nèi)容398.4安全審計（3）數(shù)據(jù)庫審計數(shù)據(jù)庫網(wǎng)絡訪問審計對通過網(wǎng)絡訪問數(shù)據(jù)庫的操作行為和該數(shù)據(jù)庫的狀態(tài)信息進行審計，審計信息應包括訪問對象，被訪問對象，訪問十佳，訪問類型等，但不應記錄訪問數(shù)據(jù)項的具體內(nèi)容408.4安全審計（3）數(shù)據(jù)庫審計常見的數(shù)據(jù)庫安全審計技術基于日志的審計技術基于代理的審計技術基于網(wǎng)絡監(jiān)聽的審計技術基于網(wǎng)關的審計技術418.4安全審計（3）數(shù)據(jù)庫審計基于日志的審計技術428.4安全審計（3）數(shù)據(jù)庫審計基于代理的審計技術438.4安全審計（3）數(shù)據(jù)庫審計基于網(wǎng)絡監(jiān)聽的審計技術448.4安全審計（3）數(shù)據(jù)庫審計基于網(wǎng)關的審計技術458.4安全審計（4）應用審計應用審計一般通過調(diào)用應用系統(tǒng)提供的審計接口，對用戶在使用應用系統(tǒng)過程中的登錄、操作、退出的一切行為，通過內(nèi)部截取和跟蹤等相關方式，進行監(jiān)控和詳細記錄，從而獲取、記錄被審計應用系統(tǒng)的狀態(tài)信息和敏感操作，依據(jù)審計規(guī)則分析判斷是否有違規(guī)行為和異常行為。468.4安全審計（4）應用審計主要功能能夠?qū)τ脩舨僮髦匾蜕婷軘?shù)據(jù)的行為進行審計通過實時或靜態(tài)分析數(shù)據(jù)庫和各種應用系統(tǒng)的審計記錄，檢測系統(tǒng)入侵和誤用行為能夠?qū)⒎植荚诟鱾€系統(tǒng)中的審計日志轉(zhuǎn)換成標準審計記錄格式，然后存儲在中央數(shù)據(jù)庫中478.4安全審計（5）日志收集與分析日志審計系統(tǒng)能夠?qū)崿F(xiàn)網(wǎng)絡時間和信息的全面管理、審計。系統(tǒng)為不同的審計對象提供一個統(tǒng)一的時間管理分析平臺，實現(xiàn)從網(wǎng)絡設備到應用系統(tǒng)的安全審計，在統(tǒng)一采集、保存安全時間的基礎上，進行安全時間后的關聯(lián)分析，有效實現(xiàn)全網(wǎng)的安全預警、入侵行為的實時發(fā)現(xiàn)以及安全時間的動態(tài)相應機制488.4安全審計（5）日志收集與分析存在的技術難點統(tǒng)一日志格式日志的快速處理海量日志存儲與分析498.4安全審計（6）綜合審計綜合審計是指獲取并記錄網(wǎng)絡、主機、數(shù)據(jù)庫、應用系統(tǒng)、安全保密設備自身產(chǎn)生的審計信息等兩種以上審計對象的狀態(tài)信息和敏感操作，進行統(tǒng)一分析，依據(jù)審計規(guī)則判斷是否有違規(guī)行為。508.4安全審計8.4.2安全審計基本組成及功能代理代理安裝在