浅谈计算机网络安全

浅谈计算机网络安全

1什么是计算机数据安全随着计算机和计算机网络技术的发展，计算机和计算机网络的应用越来越广泛。与此同时，网络系统也越来越成为攻击者，系统安全也是一个必须尽快解决的问题。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”而“信息技术安全评级准则”从保密性、完整性和可用性来衡量计算机安全。1网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效、及时的评估系统究竟是不是安全的,并及时发现安全隐患。所以安全系统需要集中的审计系统。电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,当计算机系统受到攻击时,这些审计记录就成为有效的计算机证据。2系统的安全机制计算机审计技术就是在计算机系统中模拟社会的审计工作,对每个用户在计算机系统上的操作做一个完整的记录的一种安全技术。运用计算机审计技术的目的就是让对计算机系统的各种访问留下痕迹,使计算机犯罪行为留下证据。计算机审计技术的运用形成了计算机审计系统,计算机审计系统可以用硬件和软件两种方式实现。计算机系统完整的审计功能一般由操作系统层次的审计系统和应用软件层次的审计系统共同完成,两者互相配合、互为补充。审计系统把对计算机系统的所有活动以文件形式保存在存储设备上,形成系统活动的监视记录。监视记录是系统活动的真实写照,是搜寻潜在入侵者的依据,也是入侵行为的有力证据。监视记录本身被实施最严密的保护。在保护监视记录的问题上,应该坚持独立性的原则,即只有审计员才能访问监视记录。安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。审计人员可以查询、检查审计日志以形成审计报告。检查的内容包括:审计事件类型;事件安全级;引用事件的用户;报警;指定时间内的事件以及恶意用户表等,上述内容可结合使用。审计有人工审计,计算机手动分析、处理审计记录并与审计人员最后决策相结合的半自动审计,依靠专家系统作出判断结果的自动化的智能审计等。为了支持审计工作,要求数据库管理系统具有高可靠性和高完整性。数据库管理系统要为审计的需要设置相应的特性。系统安全审计在整个网络安全体系中的位置及关系如图1所示:操作系统提供的是面向整个系统的审计功能,目前常用的操作系统包括网络操作系统如NetWare、WindowsNT、UNIXE等及典型的个人操作系统Windows系列,均提供了审计功能。3用户违反安全规则的行为电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。作为一种安全策略安全审计的主要目的是:(1)修改信息造成的错误数据完整性是指数据能够满足规定的条件,防止错误信息的输入和输出,以及非授权状态下修改信息所造成的无效操作和错误后果。审计体系有助于控制信息处理系统的风险、加强事务处理的完整性,实现组织目标。(2)第三方的角度系统的有效性表明系统能否获得预期的目标。信息系统IS审计从独立、客观、公正的第三方的角度,以目标驱动,对信息的质量进行审查,对产生信息的系统、信息的产生过程及相应的内部控制进行评价、审计,为管理者了解用户的特征和决策环境提供了依据。(3)分析系统效率系统效率是指系统达到预定目标所消耗的资源,一个效率高的信息系统能够以尽量少的资源达到需要的目标。通过介入独立的IS审计,可以分析系统效率。安全审计的主要功能是:4windows安全审计Windows目前是我们最常用的一种操作系统,因此它是安全性是我们系统安全审计中的重要内容。(1)生成审计结果的会计分析审计是作用“组策略”,在站点、域、组织单元(OU)或本地计算机系统上启用的,可在下面的目录中找到审计策略设置:LocalPolicies\AuditPolicy。一般来讲,应在ActiveDirectory层次结构中的一个较高级别实施审计,因为这样有助于保持审计设置的一致性。我们会在后面讨论“成员服务器”与“域控制器”OU级别实施的审计。有的服务器可能与域分开,可以通过编辑本地计算机的“组策略”或者通过使用Windows2000ServerRosourceKit(资源工具包)中的Auditpol.exe实用工具,在这些计算机上配置审计。如要访问本地计算机的“组策略”,请启动MMC,然后添加“组策略”管理单元,并使本地计算机成为该管理单元的焦点。(2)“事件查取”单元设置通过审计生志的每一个事件都将出现“事件查看器”中。应确定事件日志在存储所生成的事件时采用的方式,可以直接在“事件查看器”中,也可以在“组策略”中对其中的每一个单元设置进行定义。“事件查看器”是在“组策略”中定义设置的。对于希望修改在“组策略”中定义的设置或者希望在不同的级别应用设置,例如可能发现IIS服务器上安全日志将被写满,导致系统关闭。为防止这种情况发生,需修改IIS服务器OU中的组策略以增大安全日志,或者更改该策略使系统在安全日志写满的情况下不会关闭。(3)右击希望创建审计策略ou①选择“开始”→“控制面板”→“管理工具”→“ActiveDirectory用户和计算机”。②在控制台根目录中,右击希望在此定义审计策略的OU,然后单击“属性”。③选择“组策略”选项卡,选择希望编辑的“组策略对象”,然后单击“编辑”。⑤根据要求对设置进行修改。如果从“组策略”中删除“事件查看器”设置,则可以改为直接在“事件查看器”中对它们进行定义。但建议在“组策略”中定义“事件查看器”设置,以确保类似的计算机之间的设置一致。(4)安全审计事件类别提供了多种安全事件审计类别。在设计审计策略时,需要确定是否要包括下面的安全审计事件类别:登录事件、账户登录事件、对象访问、目录服务访问、特权使用、进程跟踪、系统事件、策略更改。5启动程序检查除对系统审计进行配置外,为了有效地审计服务器环境安全,还有以下做法:(1)检查日志文件是否有来自异常位置的连接或异常行为。启动“事件查看器”,检查奇数登录信息、服务失败信息及奇数系统重启信息。(2)检查临时用户账号和组信息,启动“用户管理器”程序,或者在命令行状态下执行netuser、netgroup和netlocalgroup命令,查看当前用户和组清单,确保内置Guest账号被禁用。(3)对所有组信息进行查看,是否有非法组成员存在,是否存在不合适的用户权限。(4)检查是否有非授权的应用程序正在运行。攻击者为了启动后门程序,通常将启动选项存放在启动文件夹、注册表或ini文件中,故要检查启动文件夹和注册表。(5)对系统中的重要二进制文件进行检查,看文件的大小和时间标记是否与原始备份的信息相同。(6)检查系统和网络配置中是否存在非授权信息,如WINS配置、DNS配置及IPforwarding配置。可以在命令行状态下执行:ipconfig/all,快速获得这些信息如图2:另外,可以通过:Netstatan来获得端口信息。(1)检查是否存在非授权的共享。执行命令程序:netshare是个简便的方法,可以很完整地显示出系统中的所有共享资源。如图3所示。(2)检查定时任务中是否存在可疑程序。执行命令程序:at可以很快看到相关信息。(3)检查是否存在临时进程。获取相关信息,可以借助任务管理器,也可在命令行执行pulist.exe和tlist.exe。pulist可查看每个进程由谁启动,tlist-f可查看哪个进程又启动了子进程,这两个程序都来自resourcekti。(4)全面检查系统中隐藏的文件、检查文件和注册表键值的权限是否被修改、用户和计算机策略设置信息是否发生变化及系统是否被重定义为一个不同的域。6安全审计系统的应用系统的安全防护是一项非常复杂的工程,围绕它目前已经形成了众多安全技术,主要安全技术包括身份认证、访问控制、内容安全、审计和跟踪、响应和恢复几个部分。网络信息安全未来的趋势是SCM(SecurityComplianceManagement,安全合规性管理)。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维,使安全达到真正的“可信”。安全审计技术主要是从二十世纪九十年代以后发展起来的,但发展迅速。目前已经提出了安全审计系统的设计目标,从系统结构、逻辑模型、通信协议和系统安全等方面对系统进行了研究与设计,详细阐述了日志管理模块的设计和具体实现,并已经通过了公安部的验证。如今系统安全审计,正从传统的安全审计或网络审计向行为审计的发展。在集中式的网络安全审计系统基础上出现了分布式的网络安全审计系统。在应用方面,研究了Agent技术在安全审计系统中的应用,从主机、网络和其它设备三个方面对对审计信息的来源进行了研究,重点对操作系统日志进行了深入研究,提出了基于系统API替换的安全审计技术,有效地解决了在Windows平台上对用户行为进行独立审计的问题。另外,基于智能化、神经化的安全审计系统也在飞速发展中。●采集多种类型的日志数据:能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志。●日志管理及日志查询:自动将其收集到的各种日志格式转换为统一的日志格式,支持以多种方式查询网络中的日志记录信息,以报表的形式显示。●入侵检测:使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。●自动生成安全分析报告:根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。●网络状态实时监视:可以监视运行有代理