1 引言
近年来,由于黑客攻击而造成全球网络大范围感染病毒或瘫痪的事件时有发生,产生了巨大的社会影响,也引起了人们极大的关注,因此防火墙、入侵检测等防外部攻击的网络安全产品获得了巨大的发展机会。
但据权威市场调查机构Gartner Group的调查,在全球损失金额在5万美元以上的攻击中,70%都涉及网络内部攻击者。一些单位的内部人员以合法的身份、合法的访问权限,因为误操作或故意偷窃内部数据而给单位造成巨大的损失。
外部攻击影响巨大,但内部攻击危害巨大,为了解决内网安全问题,就出现了强审计产品。
强审计最重要的作用是“威慑”,有了强审计系统,犯罪或过失行为都会被记录下来,原来心存侥幸心理的往往不得不收敛,这也是许多信息系统安装了强审计系统之后,内部上网行为规范了许多、犯罪行为极大降低的主要原因。
2 强审计的概念
简单来说,所谓强审计,就是利用日志对网络上的行为、踪迹进行监控,并能事后取证的技术。但是,与传统的计算机日志相比,强审计的日志是不能随便删除、修改的。
强审计技术应该包括5个方面的内容:
(1) 网络审计,防止非法内连和外连;
(2) 数据库审计,以更加细的粒度对数据库的读取行为进行跟踪;
(3) 应用系统审计,例如公文流转经过几个环节,必须要有清晰的记录;
(4) 主机审计,包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等等;
(5) 介质审计,包括光介质、磁介质和纸介质的审计,防止机密信息通过移动U盘、非法打印或者照相等多个环节从信息系统中泄密。
本文将从网络审计、应用系统审计、主机审计、介质审计四个方面入手,介绍一种内网安全管理系统模型。
3 系统组成与部署
系统由中心服务器、网络探测器和终端安全代理三个部分组成。
网络探测器的硬件为Intel兼容的多网口专用硬件,操作系统为经过系统裁减和安全增强的Linux,运行网络探测、数据截获及数据流分析程序,实现接入审计、流量分析、阻断等功能。
终端安全代理安装并运行于x86架构的Windows操作系统上,负责搜集终端主机的基本信息和安全事件,并根据策略对外部设备进行相应控制,同时将审计、告警信息发送到中心服务器。
中心服务器是内网安全管理系统的核心,其硬件平台为Intel服务器架构,有两个以太网络接口,运行经过裁减和安全增强的Linux核心。负责对网内所有的网络探测器进行配置和管理、各种安全策略的集中配置和分发、管理上传的所有审计日志和告警信息、提供简便灵活的日志管理工具。
系统部署如图所示。
图中上方连接中心服务器和网络探测器的为系统内部通信管理网络,承担系统部件间的主要通信和管理,通过交叉线直接连接或者内部通信交换机连接;图下半部分为用户单位的工作网络,各设备和工作主机通过交换机连接。
4 系统功能
4.1 网络层审计
网络层审计主要实现了网络探测、非法接入监控、数据截获、流量统计、和网络行为审计。这些功能都由网络探测器来实现,并将相关数据通过内部通信管理网络发送到中心服务器。
(1) 网络地址的探测
网络地址的发现通过接入子网内部的网络探测器主动扫描和被动监听arp包实现,能发现网络内所有主机的IP和MAC地址,有利于管理员从宏观上掌握整个网络的具体情况。
(2) 非法接入的发现和阻断
对于非法接入的主机,系统提供人工干预方式和托管方式。在人工方式下,对非法主机接入行为进行告警,由管理员确定是否需要阻断。在托管方式下,对非法接入主机通过一定的策略自动对其进行阻断。
(3) 网络数据的截获
对于需要监听的子网,在交换机上配置相应的镜像口,同时将网络探测器的一个网口连到该镜像口上,启动网络监听程序以旁路方式截获内外网的通信数据。
(4) 流量的统计
网络探测器根据监听到的内外网通信的IP数据报文分析内网中主机的网络行为。流量审计记载的信息有内网IP和端口、协议、外网IP和端口,以及发送和接收的字节数等。可通过直观的图表方式反映网络行为的变化和趋势。
(5) 文件传输及邮件审计
分析网络中的pop3、smtp、ftp、http等协议数据流,从而还原出内网主机上传下载文件和收发邮件的行为。
|
