保密技术概论：第8章 安全监控与审计

第8章

安全监控与审计1内容提要基本概念安全监控违规外联和非授权接入监控安全审计28.1基本概念何为安全监控与审计？以主机（包括服务器、用户终端、单机、移动笔记本）和网络设备、应用系统和数据库的安全为目标，通过基本网络传输、访问控制和安全审计等技术、对受控主机、网络设备、应用系统、数据库等进行有效的监控，在出现非授权行为、违规操作等异常情况下，主动采取有效的阻断措施，并将违规操作行为记入日志，以便事后审计。38.2安全监控8.2.1作用与分类安全监控的作用行为监控违规/异常告警/阻断事后取证安全监控的分类主机监控网络监控数据库监控应用系统监控48.2安全监控主机监控通过设置安全策略，对受控计算机的移动存储设备、外部连接设备、各种设备接口、网络协议等进行监控，通过安全监控，可以防止违规使用移动存储设备、非授权文件复制、打印、复印、非授权外联行为的发生。58.2安全监控1）设备安全监控USB移动存储介质、光盘等存储设备的使用监控打印机、复印机监控外联设备监控接口监控68.2安全监控（1）USB移动存储介质、光盘等存储设备的使用监控78.2安全监控（1）USB移动存储介质、光盘等存储设备的使用监控U盘应用最广，出现的安全保密问题最多移动存储介质安全问题主要有五种遗失非法拷贝重要文件内外网交叉使用信息未可靠清除导致被恢复病毒“木马”传播88.2安全监控（1）USB移动存储介质、光盘等存储设备的使用监控应对措施设置合适的安全策略，对USB移动存储介质的使用进行控制，并记录其使用情况，便于取证部分涉密信息系统中禁止使用USB移动存储设备中间机用户涉密信息系统和非涉密信息系统之间的信息交换（CD/DVD光盘）中间机对刻录没有任何技术措施进行控制98.2安全监控（2）打印机、复印机监控打印机、复印机在在办公室大量使用，隐患大存在的几种问题打印复印不受控，用户无认证，任何人可使用打印复印的内容没有限制打印的文档数量没有记录打印后忘记取回打印资料导致信息泄露用户私自打印涉密文件和复印涉密文件108.2安全监控（2）打印机、复印机监控打印监控审计技术APIHookAPIHook技术是一种用于改变API执行结果的技术DriverHook虚拟打印机轮询打印队列技术118.2安全监控（2）打印机、复印机监控打印监控的技术难点打印机体系结构复杂打印机类型和接口类型多样具有打印功能的应用程序较多打印方式有多种选择128.2安全监控（2）打印机、复印机监控应对策略打印监控可设置使用打印机的安全策略审计信息便于泄密后的取证复印监控可设置使用复印机的安全策略138.2安全监控（3）外联设备监控应对策略通过设置策略，对外联设备（如调制解调器、无线网卡、蓝牙、红外等设备）以及各种接口（如串口、并口、USB、1394、PCMCIA等）进行监控148.2安全监控（4）接口监控对计算机各种接口的监视和控制在Windows中的主要技术应用层实现驱动层实现158.2安全监控2）网络端口安全监控计算机中的三类端口公认端口：从0到1023，这些端口的通信明确表明了某种服务的协议注册端口：从1024到49151，许多服务绑定于这些端口动态和私有端口：从49152到65535，从1024号端口以后分配动态端口168.2安全监控2）网络端口安全监控在计算机系统环境中，缺省状态开通了许多服务端口非法入侵者可能会利用这些端口入侵设置策略，关闭该端口，停止服务，切断恶意攻击的通道也可采用网络监控的办法，对利用这些端口的通信行为进行监控178.2安全监控3）网络协议安全监控不同的网络协议分别对应于不同的网络应用网络安全监控可以根据涉密信息系统的需要，允许或禁止使用某种网络协议对于允许运行的某一协议，可以进行细粒度的监控Http协议监控FTP协议监控TELNET协议监控SMTP/POP3协议监控188.2安全监控4）其他监控（1）非授权安装软件监控通过操作系统提供的软件维护API函数，实时对当前操作系统安装软件的情况进行监控，并根据安全策略执行相应的操作（2）非授权进程、服务运行监控对于明确的非授权进程和服务，安全监控系统能够禁止其运行或启动；对于未明确是否合法的进程或服务，安全监控系统应能够向管理员告警198.2安全监控8.2.2安全监控基本组成及功能20服务器程序控制台程序客户端代理程序一般安装在管理主机上，用于与客户端代理程序通信，收集和存储审计日志安装在管理主机上，用于管理服务器程序，并可实现监控策略的制定、下发以及审计日志的管理安装在受控主机上，用于收集受控主机基本配置信息和运行状态信息，执行并执行控制台程序下发的监控与审计策略，并将有关信息发往管理主机8.2安全监控8.2.3安全监控保密性要求不应具有屏幕监视功能不应具有鼠标、键盘监控功能不应具有对监控对象的设备、服务和进程实时监控功能218.3违规外联和非授权接入监控违规外联和非授权接入的安全隐患外部攻击者能绕过内网自身的防护手段，顺利侵入违规外联的内网计算机，窃取内部敏感信息利用该计算机做跳板，入侵整个网络，植入病毒和窃取信息228.3违规外联和非授权接入监控违规外联方式拨号：内网计算机通过PSTN,ISDN,ADSL,CDMA,GPRS等拨号方式接入互联网外设：内网计算机通过1394接口，串口，并口，红外，蓝牙或其他可交换数据的信息设备等外设接口接入外网网卡：内网计算机通过双网卡同时连接内网、外网或将内网网线直接接入互联网23拨号、外设方式可通过直接禁用相应设备的方式实现阻断，网卡违规外联监控技术实现难度较大8.3违规外联和非授权接入监控非授权接入监控技术基于代理服务器技术在局域网内部核心服务器群前段，安装接入服务器或接入网关，结合客户端登录认证，实现C/S模式的安全接入认证系统基于网络层技术基于网络互联设备的安全特性来实现的，主要包括基于端口绑定的防非授权接入技术，基于IEEE802.1X协议的防非授权接入技术和基于动态VLAN的防非授权接入技术248.3违规外联和非授权接入监控非授权接入监控技术基于网络层技术基于端口绑定的防非授权接入技术：对交换机物理端口进行MAC和IP地址绑定基于IEEE802.1X协议的防非授权接入技术：基于用户ID来进行交换机端口通信的身份认证基于动态VLAN的防非授权接入技术：基于源MAC地址动态地在交换机端口上划分VLAN的方法，包括VMPS认证服务器、网络交换机和接入客户端258.3违规外联和非授权接入监控8.3.1违规外联系统的基本组成及功能268.3违规外联和非授权接入监控8.3.1违规外联系统的基本组成及功能客户端软件：安装在要求物理隔离的网络的所有计算机上，主要任务是检测计算机连接互联网的行为服务器端软件：安装在内网管理主机上，负责生成监控策略，升级客户端软件等互联网报警端：位于互联网上，一般以监控服务器的形式存在278.3违规外联和非授权接入监控8.3.2非授权接入监控的基本组成及功能288.3违规外联和非授权接入监控8.3.2非授权接入监控的基本组成及功能服务器程序：对客户端用户进行网络访问认证，下发网络访问控制策略，记录网络访问日志管理控制程序：负责下发网络访问策略，检索和管理审计日志客户端程序：安装在客户端主机上，用于提交用户网络访问认证信息给服务器程序，并执行服务器程序下发的网络访问控制策略298.4安全审计安全审计的功能审计网络内部的用户活动，侦察系统中现有和潜在的威胁，对于安全有关的活动的相关信息进行识别、记录、存储和分析308.4安全审计TCSEC安全审计要求国际通用准则CC的安全审计要求国标GB17859-1999的安全审计要求可信计算基与安全审计318.4安全审计8.4.1作用与分类安全审计：是指通过审计产品对计算机网络的管理、防护、监控、恢复等行为，以及对有可能带来的风险进行系统的、独立的检查验证，并做出相应评价的过程审计范围：服务器，用户终端，应用系统，网络设备，外部设备/介质的使用以及操作系统328.4安全审计安全审计产品分类主机审计网络审计数据库审计应用审计日志审计综合审计338.4安全审计（1）主机审计348.4安全审计（2）网络安全审计35网络安全审计系统串联部署模式网络拓扑图8.4安全审计（2）网络安全审计36网络安全审计系统旁路部署模式网络拓扑图8.4安全审计（2）网络安全审计主要采取以下技术高速抓包技术协议分析技术会话重组技术优化数据库结构设计378.4安全审计（3）数据库审计数据库审计可以实时获取被审计数据库系统的状态信息和操作行为，从已有的数据库审计记录中获取信息并进行分析，将记录针对数据库的敏感操作，监控是否有违规行为。388.4安全审计（3）数据库审计数据库直接访问审计对直接进行访问数据的操作行为和该数据库的状态信息进行审计，审计信息应包括操作发生时间、人员、操作数据项和具体操作行为等，但不应记录操作数据项的具体内容398.4安全审计（3）数据库审计数据库网络访问审计对通过网络访问数据库的操作行为和该数据库的状态信息进行审计，审计信息应包括访问对象，被访问对象，访问十佳，访问类型等，但不应记录访问数据项的具体内容408.4安全审计（3）数据库审计常见的数据库安全审计技术基于日志的审计技术基于代理的审计技术基于网络监听的审计技术基于网关的审计技术418.4安全审计（3）数据库审计基于日志的审计技术428.4安全审计（3）数据库审计基于代理的审计技术438.4安全审计（3）数据库审计基于网络监听的审计技术448.4安全审计（3）数据库审计基于网关的审计技术458.4安全审计（4）应用审计应用审计一般通过调用应用系统提供的审计接口，对用户在使用应用系统过程中的登录、操作、退出的一切行为，通过内部截取和跟踪等相关方式，进行监控和详细记录，从而获取、记录被审计应用系统的状态信息和敏感操作，依据审计规则分析判断是否有违规行为和异常行为。468.4安全审计（4）应用审计主要功能能够对用户操作重要和涉密数据的行为进行审计通过实时或静态分析数据库和各种应用系统的审计记录，检测系统入侵和误用行为能够将分布在各个系统中的审计日志转换成标准审计记录格式，然后存储在中央数据库中478.4安全审计（5）日志收集与分析日志审计系统能够实现网络时间和信息的全面管理、审计。系统为不同的审计对象提供一个统一的时间管理分析平台，实现从网络设备到应用系统的安全审计，在统一采集、保存安全时间的基础上，进行安全时间后的关联分析，有效实现全网的安全预警、入侵行为的实时发现以及安全时间的动态相应机制488.4安全审计（5）日志收集与分析存在的技术难点统一日志格式日志的快速处理海量日志存储与分析498.4安全审计（6）综合审计综合审计是指获取并记录网络、主机、数据库、应用系统、安全保密设备自身产生的审计信息等两种以上审计对象的状态信息和敏感操作，进行统一分析，依据审计规则判断是否有违规行为。508.4安全审计8.4.2安全审计基本组成及功能代理代理安装在