4.2 应用层审计
应用层审计主要实现了受控终端安全事件的审计。这些审计信息都由终端安全代理来收集,并定时发送到中心服务器上。
(1) URL历史审计
URL历史审计记录终端用户IE浏览的历史信息。审计的同时将浏览信息分类为http浏览、https浏览、ftp浏览和最近打开的文档。
(2) 应用程序审计
为了让管理员掌握内网中各个终端的应用情况,终端安全代理通过获取终端进程信息定时审计本终端正在运行哪些程序。该审计对系统运转必须的一些进程进行了过滤,并且根据一般经验将终端运行的应用程序分为三类:安全相关的应用、工作相关的应用和其它应用。
(3) 文件操作审计
文件操作审计通过远程注入相关进程并拦截执行文件操作的函数,实时记录终端用户通过命令行方式或GUI方式创建、拷贝、移动(重命名)、删除文件的操作。审计过程中对临时目录文件、回收站文件进行过滤,避免了过量审计。
(4) 系统共享审计
“共享”作为一种开放资源,为终端用户提供方便的同时也给恶意程序以可乘之机。系统共享审计通过创建异步事件通知接受器捕获创建、取消系统共享的操作事件及时间,再通过获取事件实例属性审计其共享名和共享路径名,帮助管理员了解内网某台终端当前开启了哪些共享以及共享开启/关闭的历史情况。
(5) 系统服务修改审计
Windows服务能够创建在它们自己的Windows会话中长时间运行的可执行应用程序,一些恶意程序常以服务的形式创建和运行。系统服务修改审计通过创建异步事件通知接受器捕获系统服务修改事件,再通过获取事件实例属性审计服务的名称、服务描述、启动属性、运行状态,帮助管理员了解是否有可疑的服务修改动作。
(6) 注册表审计
注册表中存储了系统的大量重要信息,在很大程度上“指挥”电脑怎样工作,而一些恶意程序也通过修改注册表来达到其目的。通过审计注册表的修改,可以捕捉到这些恶意程序的蛛丝马迹。注册表修改的审计是通过在系统内核中实时截获系统服务实现的,通过该方法可以截获到通过手工或软件实现的注册表修改操作。将截获到的操作进行过滤,只记录其中与安全密切相关的部分操作的信息。
(7) 安全软件执行审计
为了防止内网主机绕过边界防护从外界感染病毒或木马,随后又成为向内网传播病毒、木马的源头,终端的安全防护十分必要,终端安全防护的强度和普及率从整体上反映了内网安全的一个重要方面。终端安全代理定时审计各个终端防病毒软件、防火墙软件的运行情况,为管理员掌握内网安全软件执行情况提供信息。
(8) 非法外连的控制和审计
一般政府部门的内网是不允许随意连入互联网的,但总有一些人有意或无意进行违规操作,给内网造成威胁。终端安全代理中加入了非法外连控制模块,一旦检测到主机能连上互联网,就立刻切断它与互联网的连接,并对外连行为进行记录。
4.3 主机系统审计
主机系统审计搜集的信息主要包括CPU类型、内存大小、磁盘分区、网络接口、操作系统类型、已安装的应用软件和系统升级补丁的相关信息。其中,CPU类型、内存大小、磁盘分区、网络接口、操作系统类型等信息是通过调用相应的WIN32
API获得;而已安装的应用软件和系统升级补丁等信息则是通过查询注册表获得。
4.4 介质审计和控制
这里的介质主要包括光盘、U盘、移动硬盘、网络驱动器,这些设备的使用方便了数据的移动,但任意使用的同时也给管理带来了问题。介质审计通过获取“设备接入”或“设备撤销”的系统消息,实时获知移动存储设备的启用和撤销,随后获取接入设备类型和所分配到的盘符,为分析移动存储设备上的数据流动提供必要信息。
介质控制是根据策略对光驱、软盘、USB移动存储盘、串口、并口、红外、1394、PCMCIA卡、调制解调器、蓝牙等设备进行禁用,从而避免了内网数据被有意或者无意泄漏出去。对接入主机的USB存储介质可以进行单向控制,管理员根据需要设定存储设备的使用权限(只读或者读写),既保留了移动设备的方便性,又堵截了移动存储设备可能带来的安全隐患。
5 系统特点
(1) 全面的系统自身安全防护体系
系统使用精简系统、身份认证、加密通信、操作系统安全性增强和隔离等多种技术和管理手段保证自身安全。系统通过对Linux核心的精简和安全加固,首先确保硬件平台操作系统的安全性;系统所有设备的通信口单独组成管理网络,从架构上保证系统的安全性;基于软、硬件的身份认证,从管理上维护系统的安全性。
终端安全代理从注册表保护、文件保护、进程保护、防卸载四个方面完成对自身的保护。
(2) 科学的内部安全策略管理机制
支持内部网络的组群工作模式,能够将计算机根据安全策略的不同分成安全组进行管理,对相同的组采用系统定制的策略模板或自定义策略模板进行集中的管理和审计,极大的提高了管理效率。
(3) 强大的终端控制功能
根据监察与审计管理中心的策略配置,可以对非法接入网络的主机进行网络阻断;为了防止信息外泄,可以禁用主机的串口、并口、1394、红外、USB、蓝牙等外部设备,可以对USB存储设备进行读写控制;为了杜绝内部网与Internet网的连接,所有安装终端安全代理的主机的非法外连将被切断。
6 结束语
本系统对内网的管理具有策略灵活和高效的特点,能够将各单位的绝大多数基于Windows架构的个人桌面系统纳入管理的范畴。通过本系统的应用,能够增强内部网络整体的安全性能,提供安全、方便的内网安全管理,解决目前内网中亟待解决的安全隐患,并且形成防范与威慑力量,防止内部人员的违规操作。
————————
作者简介
沈婕(1974-),女,江苏兴化人,工程师,硕研,主要研究方向:信息安全。
许敏(1981-),男,湖南衡东人,本科,主要研究方向:网络与信息安全。
|
