学文网网络安全审计范文第1篇
模式。
关键词: 网络安全 数据库 审计技术
随着科技信息化技术的迅速发展,各类网络应用系统也融入日常工作生活中,网络作为各项网络应用的基础凸显出其重要性,网络安全管理是保障网络正常运行的重要工作,在网络安全管理中除了通过设备和配置实现安全防护,对于各种操作行为的安全审计不可忽视,合理运用网络安全审计技术相当于为网络开启“监视系统”,不仅能实现实时监控,对出现的高风险行为及时警示提醒,同时完成设定时间段内的操作行为存档以备分析取证,更重要的是系统中积累的历史数据通过统计和分析,能够为管理者提供真实准确的网络健康报告,为未来建设规划提供依据,在长航局网络建设中运用到网络安全审计技术。
网络安全审计技术概况
在国家出台的信息安全等级保护标准中对网络安全审计提出明确要求,包括对网络设备、安全设备、服务器、应用系统、数据库系统以及相关设备进行安全审计。网络安全审计技术主要可分为日志审计、网络审计和主机审计,通过启用硬件设备和软件系统的日志接口,获取系统广播的日志信息;对于核心网络设备,通过旁路模式开启数据镜像端口或直接串联在网络中,获取网络数据包进行解析;对于用户行为审计可通过安装客户端,直接获取用户行为信息。
在实际使用中,根据网络管理需要运用相应手段获取必要的审计信息,在长航局网络管理中对网络设备、安全设备、重要服务器、重要应用系统、重要数据库系统的安全审计是重点,未采取安装客户端方式获取用户行为信息。
网络安全审计技术实际运用
在长航局网络中网络安全审计主要包括:网络设备日志和操作过程记录、安全设备日志和操作过程记录、重要服务器日志、重要应用系统日志及操作痕迹、重要数据库系统日志及操作痕迹。
1、网络设备和安全设备安全审计
网络设备主要包括出口路由器、核心交换机、汇聚交换机和接入交换机,除部分接入交换机外,大部分网络设备属于可管理网络设备,进入网络设备配置模式,配置只读权限用户,启用SNMP功能,不同厂商设备略有不同。将需要管理的网络设备添加到网络中安全审计系统中,就可以获取到网络设备发送的SNMP数据包,安全审计系统会对收到的数据包按照事件等级进行分类,以便查询。
网络安全设备种类较多,如防火墙、入侵防护设备、防病毒网关、***设备、行为管理设备、流量控制设备等,根据各个厂商设备的设置,开启对应的SNMP功能,添加到网络中安全审计系统中操作和网络设备类似,需要注意的是串联在网络中的设备应设置允许SNMP数据包通过。安全设备通过安全策略和监控功能实现对网络安全保障,其监控信息实时更新,数据量较大,应根据需求确定需要记录的监控信息。
部分安全审计系统能够通过其登录管理网络设备和安全设备,并且记录下用户的操作痕迹,通过指派权限,设备管理员对对应设备的操作能够直观的展现出现,以便出现故障时分析查找问题。
2、服务器、应用系统及数据库安全审计
服务器由于硬件类别不同(如小型机、PC服务器、刀片服务器),安装的操作系统不同(如Windows、Linux),用途不同(如单机、集群、服务器虚拟化),开启SNMP功能方式有所不同,应根据具体情况进行操作。开启SNMP功能的服务器按照安全审计系统对于类别登记并纳入管理。
应用系统类别也比较多,基于不同平台、中间件定制开发的系统各不相同,应按照其提供的手册或通过开发人员沟通,开放日志接口,纳入安全审计系统管理。
数据库主要分为Orcale、MSSQL、DB2等几类,有统一规范的操作方法,按照对应数据库类别的操作方法,将其纳入安全审计系统,实现对数据库查询、读写、会话情况的记录和审计。
对服务器、应用系统、数据库的操作行为安全审计一般通过设置所在网络设备数据镜像接口方式实现。同样,部分安全审计系统能够通过远程登录方式去管理服务器及应用系统、数据库系统,记录下用户的操作痕迹,通过指派权限,设备管理员对对应被管理对象的操作能够直观的展现出现,以便出现故障时分析查找问题。
3、安全审计设备管理
按照网络结构特点,安全审计设备(系统)部署到合适的位置,数量有可能是一台或多台,超过一台时应根据其特点进行功能分工,接入方式以旁路为主。配置好网络后,登录管理安全审计设备,除添加各个被管理对象外,应对各类事件按照重要程度定义好级别或阀值,设置报警相关配置,定义好报表模板和报送方式,形成周期性报表以便保存和分析用。对于审计设备自身管理也应严格权限,按照管理需要分配不同类别管理权限,同时按照设备存储空间设置合理记录保存周期,或定期导出存储的记录。
网络安全审计参考模式
综合网络安全审计技术在实际中的运用方式方法,可以列出网络安全审计的使用参考模式,如***1所示。
对网络设备、安全设备、服务器、应用系统、数据库系统等相关对象可以通过开启日志功能管理。
通过获取网络数据包,可以深入记录分析更多行为操作。
对网络安全设备的分权限管理实现事件定级、分类、报警、形成统计分析报表。
***1
结束语
网络安全审计范文第2篇
关键词:电力系统;网络安全;安全审计;网络监控
中***分类号:TP393.08文献标识码:A文章编号:1009-3044(2008)25-1391-03
The Design and Realization of Network Security Audit and Monitoring System
LIU Chan-juan
(Ludong University Department of Computer Science & Technology, Yantai 264025, China)
Abstract: This paper presents a whole design of network security audit and monitoring system, including the design of monitoring module in Proxy and network capability, etc. And it also proposes the implement flow of these function models including the implement flow of security audit model and network monitoring model, it also gives the design and realization of IP address peculate model and monitoring module in Proxy. This system has greatly improved the level of safety management of network through the practice for an application case and has obtain good actual effect.
Key words: Electrical Power System; Network Security; Audit; Network Monitoring
1 引言
在物理容灾方面, 电力系统目前的防护措施已较为完善, 而在对黑客攻击与网络化病毒的防护方面, 特别是黑客攻击, 虽然已建立了初步的防护体系, 但由于电力系统数据网络在建设和管理中缺乏有效的指导, 同时也因黑客技术的不断发展, 在这方面还远远不能达到应有的效果。因此, 如何优化已有的系统软件和安全产品, 如何建立多层次的安全防护体系, 仍是电力数据网络发展中必须面对的重要问题[1]。保证电力数据网的稳定性、安全性和保密性,需要研究多层次的审计和监控手段,研发高效的网络安全审计与监控技术,研制自己的功能较完备的网络安全监控与审计系统,这是十分有意义的,所以展开对此课题的研究有重要的实用价值。
2 系统的总体设计
在系统开发初期阶段,经过反复调研,分析系统应用的软硬件环境,跟踪相关领域的研究情况,最后本系统确定了基于Unix系统平台,以B/S(Brower/Server)为开发模式,利用SNMP(简单网络管理协议)进行网络监控,运用Unix平台下的C语言的开发监控程序,利用Oracle OCI调用接口进行数据库操纵,结合PHP语言进行数据的网络的整体开发模式和方法[2]。网络安全审计和监控技术有两部分含义:系统安全审计与网络监控。系统的功能需求可归纳为两大部分:即基于日志形式的安全审计部分及基于SNMP的网络监控部分。
3 系统主要模块的设计
3.1 IP地址盗用模块的设计
在本模块开发初始,考虑到由于IP地址盗用只能发生在同一子网(Subnet)中,而网络中以太网卡MAC地址全球唯一不能改变,故通过绑定同一子网中的IP和以太网卡MAC地址便可区分合法用户与非法用户[3]。系统分四步:首先是建立一张IP地址和MAC地址的对应表,对应表中记录了合法用户的IP地址和MAC地址的对应关系。其次运行监测程序,监测子网中的各个IP地址对应的MAC地址是否与先前建立的对应表中的对应情况一致。若相同,说明合法用户正在使用。若发现不一致,说明非法用户正在盗用合法用户的IP地址,此时系统产生报警,记录非法用户的盗用信息。第三步运行阻断程序,对非法用户进行攻击。采用地址分辨协议ARP(Address Resolution Protocol)伪造技术,向非法用户主机发送ARP Spoofing攻击包,断开非法用户主机的网络连接,禁止其继续使用网络。最后是将监测的盗用信息进行网上,这样管理员可以随时通过浏览器查看IP盗用情况。
IP地址盗用监控模块功能结构见***1。数据采集模块利用UCD-SNMP网管软件,通过编写程序,每隔固定时间间隔向路由器等网络设备采集数据,并将采集数据传送给数据处理模块。数据处理模块包括数据分析模块和阻断模块两个子模块。数据分析子模块负责接收来自的数据,分析是否存在IP盗用情况,若存在则产生报警信息,随之调用阻断子模块,对非法用户进行攻击,阻止其继续使用网络。数据模块包括报警信息入库模块和数据浏览模块。入库模块完成盗用信息的存储入库,而浏览模块提供给管理员一个可视界面,用来浏览和管理报警信息,了解网络的使用情况。
3.2 服务器监控模块设计
在具备专线接入的大型局域网中,一般都采取服务器的方式接入Internet。采用服务器形式接入Internet的好处显而易见:可以充分利用现有IP实现更多用户同时访问Internet,但相应的各种各样的问题也随之到来:网络用户增多了,如何对内部用户访问外部网络情况进行统计,如何对网络用户访问的内容进行审计和监察,如何对网络流量进行统计及对数据流向进行监控,以及服务器本身服务情况统计等等。这些问题的出现,直接引出了服务器的监控问题。
在该模块设计时,根据实际需求,设计了该模块的主要功能包括三个部分:
1) 今日访问情况统计:包括最常访问网站统计,用户点击率统计,服务器访问率统计和访问成功和失败情况统计。
2) 客户机监控:包括客户机访问统计,客户机流量统计和客户机访问网站统计。
3) 服务器性能分析:包括服务响应码分析及服务传输时间统计。
为实现上述功能,结合具体的Unix平台,具体设计出了服务器监控模块的功能结构***,如***2所示,主要包含三个方面的功能:日志采集,日志分析及信息三部分。
■
***2 服务器监控功能结构***
4 系统的实现
4.1 系统功能模型的实现流程
本系统设计的主体功能包括两大部分:安全审计模型和网络监控模型。系统的安全审计功能主要基于系统的各种日志信息,如系统日志,用户操作记帐日志,服务器日志等。通过编制数据采集程序采集相关的日志信息,同时利用数据分析程序对审计跟踪文件的信息进行分析处理,经过审计得到计算机系统或网络是否受到攻击或非法访问,并对采集的审计数据进行入库操作,保留安全审计结果,同时利用保存的统计数据绘出各种统计分析***表,最终通过构建Web服务器,将审计结果进行网络,提供给用户直观的浏览界面[4],方面管理员进行综合分析和审计,提高网络管理水平。系统中安全审计模型***如***3所示。
■
***3 安全审计模型***
在本模块开发过程中,首先要做的就是网络数据的采集,经过采集模块得到的数据经通信模块传送给分析过滤模块,经过分析和过滤得到相应的统计数据,同时将统计数据保存到数据库,以方便做数据的纵向分析比较,最后用Web数据方式将监控结果和统计分析情况到网络。网络监控功能模型如***4所示。
■
***4 网络监控模型***
4.2 IP地址盗用监控模块的实现
本模块的数据采集程序是基于UCD-SNMP软件开发平台开发的。UCD-SNMP开发平台提供了非常多封装好的库函数和链接库,这使得程序的开发得到极大方便。在IP盗用监控过程中,程序的主要任务是采集当前网络中处于活动状态的IP地址信息,包括IP地址和以太网卡MAC地址,并将他们绑定在一起,与登记的合法IP和MAC地址对相比较,作为判定IP是否合法的标准。
程序通过SNMP协议定期访问被管设备,取得当前网络中IP使用情况。通过访问设备的MIB(ManagementInformationBase)中IP接口组的IpNetToMediaPhysAddress对象值,获得当前网络中活动主机的IP地址和MAC地址的对应关系,而后将得到的信息发送到数据处理程序。系统中程序实现数据处理的算法流程***如***5所示。
当程序采集到数据后,就将数据传送给数据分析处理模块。数据分析模块负责接收和分析程序返回的数据,并将数据和合法IP和MAC对应表比较,判断是否存在IP地址盗用,此时存在多种情况。经过分析模块的分析,对于IP盗用情况,系统会自动产生报警信息,包括盗用者的原始IP和注册登记信息(在其完成网络登记的情况下)、盗用者主机网卡MAC地址,被盗用主机的IP地址、MAC地址及主机登记信息。这些数据应该妥善的保存起来,并提供给网络管理员查阅,方便其查找盗用IP者起到威慑作用。数据存储入库程序采用C语言结合Oracle OCI(Oracle Call Interface)接口,在UNIX平成了盗用信息的收集和入库工作,将盗用信息存储在Oracle数据库中,为数据的网络做铺垫[5]。
4.3 服务器监控模块的实现
在模块的实现过程中,主要利用队列技术实现高速缓冲区的设计,同时用FIFO(First In First Out)机制来控制对缓冲区的访问,使得日志写入和入库读取高速缓冲区不发生冲突。对于服务器的监控无外乎两个方面的内容,对用户访问网络的统计和对服务器本身服务的监控。本模块中,对日志的分析过程是通过对数据库的查询分析得到的,通过PHP语言,利用复杂的SQL语句操纵数据库,实现数据的统计与分析,最终将结果返回给管理员。
5 结束语
电力营销管理信息系统的不安全因素是由计算机系统的脆弱性以及人为因素造成的。从系统的结构、系统资源与实施及运行环境来分析,实施一个安全的电力营销管理信息系统,需要通过管理手段将人为破坏因素降到最小,通过技术手段降低自然因素对系统的危害。
参考文献:
[1] 姚小兰, 李保奎, 董宁, 等. 网络安全管理与技术防护[M]. 北京:北京理工大学出版,2002.
[2] Peter Kuo. 最新UNIX开发使用手册[M]. 北京:机械工业出版社,2000.
[3] Hansen, Lesley. Network Infrastructure Security[J]. Network Security,1999,12(6):57-61.
[4] 王琛, 等. Unix分布式身份认证和审计系统的设计和实现[M]. 北京:机械工业出版社,1998.
网络安全审计范文第3篇
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理***策、组织安全管理***策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些***的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对***的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。***的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
审计人员可以查询、检查审计日志以形成审计报告。检查的内容包括:审计事件类型;事件安全级;引用事件的用户;报警;指定时间内的事件以及恶意用户表等,上述内容可结合使用。
网络安全审计范文第4篇
[关键词]学校;网络安全;审计
doi:10.3969/j.issn.1673 - 0194.2016.04.041
[中***分类号]F239.1;TP393.18 [文献标识码]A [文章编号]1673-0194(2016)04-00-02
随着我国互联网技术的快速发展,基础的网络设施得到进一步完善,互联网在各企事业单位中得到充分利用。近几年,学校投入大量人力、物力、财力进行信息化建设,利用网络来管理校园工作、信息,提高了学校的工作效率。在信息系统快速发展的同时,网络管理的安全问题日益突出。因为学校的工作人员除了利用网络办公外,还有利用网络购物等一些与办公无关的行为,这之间可能有意无意地泄露了学校的机密,学校很难追查是谁泄密的。因此,如果对网络不进行监管,网络安全问题将成为学校的效率的杀手,并给学校带来很多麻烦。
1 网络审计功能特性概述
1.1 机器分组管理
网络审计可以实现对局域网内IP地址和机器名的搜索,并对搜索到的机器信息进行分组管理。自动分组功能可实现对指定IP段机器的自动分组,可生成多级树形结构的组织架构,针对不同级别来进行分组管理。
1.2 上网人员控制
网络审计支持12种认证和识别方式,包括邮箱认证、AD域认证、本地Web认证等,可以设定部分或全部机器须用账号上网,通过对账号的分组管理,可实现在同一机器上不同用户具有不同的上网活动权限。
1.3 丰富的策略分配机制
网络审计支持针对组织全局和部分的控制,支持对组织内用户账号、IP、MAC、分组的策略分配根据上网人员的账号或机器及上机范围来对其网络活动权限进行控制。
1.4 全系列娱乐应用封堵
网络审计系统支持对魔兽世界、QQ游戏等近百个市场上主流的网络游戏,大智慧、指南针等二十几个财经股票软件,以及MSN、QQ等常用的即时通讯工具进行实时的封堵,保障组织人员的工作学习效率。
1.5 针对关键字的封堵控制
网络审计支持针对内容关键字的各种应用封堵,包括文件传输、远程登陆、邮件收发、即时通讯等,支持针对用户名的关键字模糊匹配,支持对文件传输的文件类型以及文件内容关键字进行封堵控制,支持邮件内容、标题、附件名、附件内容以及发送、抄送、暗送的地址进行关键字封堵,保障组织内部的敏感信息不外泄。
1.6 URL地址关键字过滤
根据上网请求,对URL中的关键字进行智能模糊匹配过滤,与关键字匹配的***将被限制访问。
1.7 流量封堵控制
网络审计支持对用户的日、周、月流量进行上网控制,支持对上行、下行流量进行分别统计控制,用户在每日、周、月流量限额用完后将无法正常上网,控制组织内用户的外网访问流量。
1.8 用户自定义协议控制
对于系统未知的协议类型和网络应用,用户可根据自己的需要,添加相应的协议特征实现对自定义协议的审计和控制。
1.9 审计网络行为
系统的网络数据包通过捕获来分析,不仅可以还原完整原始信息协议,还可以准确地记录关键信息的网络访问。网络审计系统支持几乎所有的网络行为的审计,能识别所有常用网络协议的应用,支持对几乎所有网络搜索引擎关键字的审计,支持对网页登录、聊天工具登录、网络游戏登录等应用登录的账号审计。
1.10 深度内容审计
网络审计系统可获取邮件、论坛发帖、聊天记录等所有内容,支持所有Web邮件、***TP/POP3邮件的内容和附件审计,支持对热点论坛、博客、微博的发帖、留言等的内容及附件审计,支持对网页聊天室、MSN、飞信等聊天工具的聊天内容审计。
1.11 敏感信息告警
网络审计系统可设置行为报警策略和内容关键字审计策略,对触发敏感信息的网络行为进行行为告警处理,对触发敏感内容关键字的论坛发帖、网络聊天、邮件收发等行为进行相应报警处理,支持邮箱和短信的报警方式。
1.12 报表统计与数据分析
网络审计系统支持对用户、行为、关键字、流量及趋势等的数据统计,生成报表及数据分析和展示。通过数据的柱形统计***清晰明了地展现出组织内用户的网络行为情况,IT决策人员通过***形情况了解用户上网行为趋势、了解组织带宽利用分布,可以提出整改网络带宽方案作为参考之用。
2 网络审计部署概述
网络审计系统部署通过分布式部署和串接部署这两种方式进行灵活的结合,如果在不同的网络的环境,可以实现不同的管理模式以及不同的目的控制。下面简单地介绍3种典型的部署方案及其示意***。
2.1 单台旁路铜纤镜像
第一种部署方案是单台旁路铜纤镜像,用户的交换机必须对端口镜像进行支持,它们之间的连接必须以铜缆为介质,这是它的适用环境。该方案主要用于简单的学校和企业的二层和三层网络,审计设备主要是从交换机的镜像端口获取数据,并且该方案旁路部署接入的是最有代表的方案。该方案对原有网络的性能没有影响,而且部署简单、容易维护,如***1所示。
***1 单台旁路铜纤镜像
2.2 单台旁路光纤镜像
第二种部署方案是单台旁路光纤镜像,它适用的环境是用户的交换机必须支持端口的镜像,它们之间必须以光纤作为介质来连接。该方案是审计设备使用光纤作为介质来用于端口镜像最典型的方案,它主要用在学校及企业的二层或三层网络上,和第一种方案一样都是通过镜像端口来获取数据,获取的数据要使用相应的协议对它进行还原分析。该方案部署方便且简单,维护也非常容易,对原来的网络没有影响,如***2所示。
2.3 光纤网络双链路分光
第三种部署方案是光纤网络双链路分光,用户使用的交换机不能用来做端口镜像,必须具备2个或以上,并且***的物理网络,还有就是在一个逻辑的网络中,使用具有核心功能的两台交换机建立一个均衡或热备的网络,通过上面描述的条件才能使用该方案。该方案是在对千兆线路解决的情况下,交换机不能做端口镜像的时候采用的分光的方案,该分光器采用双向的链路对两组分别进行分光,然后使用4个光口捕获审计数据,并对获得的数据进行还原及更深层次地分析。该方案使用一台审计设备可以同时捕获一个很冗余或两个不通的网络数据,此方案是光纤部署最典型的方案,如***3所示。
***2 单台旁路光纤镜像
***3 光纤网络双链路分光
3 结 语
本文介绍了网络审计系统的功能特性及其部署方式,网络审计系统主要包括上网人的控制、全面的网络行为审计、深度内容审计、敏感信息告警等功能;部署方式主要介绍了单台旁路铜纤镜像、单台旁路光纤镜像及光纤网络双链路分光等三种部署方式。学校安装审计系统和使用设计系统,能帮助管理人员对学校上网的人员进行审计、记录及分析,使管理员有针对性地对网络进行管理。
主要参考文献
[1]郝占***.网络流量分析与预测模型研究[D].兰州:西北师范大学,2011.
[2]凌波,柳景超,张志祥.基于Windows终端信息过滤的网络访问控制研究[J].计算机工程与设计,2011(1).
[3]邓小榕,陈龙,王国胤.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).
[4]赵新辉,李祥.捕获网络数据包的方法[J].计算机应用研究,2004(8).
网络安全审计范文第5篇
关键词:安全审计系统;网络安全管理;措施
互联网时代信息技术虽然使人们的生活更加便捷,却带来了网络安全问题。尽管网络外部检测技术和防御系统已经持续建设,在某种程度抵御外部网络的入侵,保护网络数据信息的安全,但是内部网络的违规操作、非法访问等造成的网络安全问题在外部网络的防御措施得不到有效解决。因此可以利用安全审计系统进行网络安全管理,检测访问网络内部系统的用户,监控其网络行为,记录其异常网络行为,针对记录结果解决网络安全问题,对网络安全隐患的评判具有重要作用。本文主要介绍安全审计系统以及作用,阐述其在网络安全管理的必要性以及实际应用。
1网络安全管理的安全审计系统
1.1安全审计系统的组成
①事件产生器;②事件数据库;③事件分析器;④响应单元。事件产生器的作用:将单位网络获得的事件提供给网络安全审计系统;事件分析器的作用:详细地分析所得到的数据;事件响应单元的作用:根据时间分析器得到的分析结果做出相应的反映;事件数据库的作用:保存时间分析器得到的分析结果。
1.2安全审计系统的要求
1.2.1记录与再现记录安全审计系统中全部违规操作、非法行为,再现系统某种状态的主要行为。1.2.2入侵检测审计系统检查出大多数常见的系统入侵的意***,设计相应程序阻止入侵行为。1.2.3记录入侵行为审计系统记录所有的入侵企***,对于成功入侵用户,可以根据入侵记录恢复系统。1.2.4系统本身的安全性安全审计系统必须保证自身系统操作系统和软件安全以及审计数据安全才可以发挥其在网络安全管理的作用。
2网络安全审计的必要性
2.1提高企业数据安全管理绩效
高新科技技术已经渗透到社会方方面面,有利也有弊,其中企业来说,网络信息安全的问题频频出现,这对于企业网络运营和实际经营造成很大的冲击、带来经济损失。防火墙、防病毒软件、反入侵系统虽然可以解决部分内部用户的非法违规网络行为导致的网络信息安全问题,某种程度也保障了网络信息安全。网络信息外部的防卫无法抵御内部用户在没有网络监管时对网络内部的不合法操作,网络外部的安全防卫措施无法解决网络内部出现的故障。所以企业网络要正常运营、企业经营要得到持续发展,必须要建立企业内部的安全审计系统,对内部用户访问网络系统进行严格监控和审计,有必要时可以采取相应措施惩戒造成网络安全问题的人员,让网络信息安全事件不再发生。
2.2提高网络信息安全性
(1)安全审计系统采取访问控制手段对网络信息进行安全审计和监控,从而提高网络信息安全;(2)对网络信息加密实现网络信息安全审计的目的,实现网络数据私有,做到网络安全管理,为了提高网络信息安全水平要经常维护与检查安全日志;(3)安全审计网络中传输的信息,监控网络操作行为,提高网络信息安全性,提供社会组织的网络化行为安全性保障。
3安全审计系统在网络安全管理的应用
安全审计系统和基础网络病毒防护产品相互结合,共同保护网络的整体安全。企业传统的网络安全体系建设只注重网络边界的安全,重点建设针对外部网络向企业内网攻击的防护措施,没有考虑到内网自身存在的安全隐患,企业的网络信息安全无法得到有效保障。因此,借助安全审计系统对企业网络安全进行审计和评估,实现企业网络的全面安全监督。随着互联网科技快速发展,银行金融行业处于信息化时代,信息化推动银行智能化发展,银行网络信息安全对银行安全稳定发展非常重要,如银行数据集中处理有风险、网络金融服务容易受到黑客、病毒攻击等。由于银行涉及到金钱等财务利益上的交易,而且银行作为信息化时代以客户为主导的服务行业,必须严格地对客户信息进行保密,保障客户信息安全。不仅银行关系到国计民生、对社会经济发展也具有重要意义,所以控制银行信息化风险的最有效方法就是建立银行网络信息安全审计系统。网络的广泛应用给教育行业带来很大便利,目前很多高校和发达地区中小学都建立自己的校园网,但是网络问题作为信息化水平发展的附属品,给校园网安全管理造成很大困扰。虽然校园网已经加大网络外部病毒防御系统建设,但是网络内部检测和审计更需要引起重视,为了减少网络有害信息和侵权行为,规范师生上网行为,维护校园网安全稳定运行,非常有必要建立校园网络安全审计系统。
4结语
本文详细介绍了网络安全管理的安全审计系统以及功能,并且阐述了网络安全审计的必要性,安全审计系统的使用,使网络监控力度大大加强,让网络监控效率得到显著提高,为信息化建设提供了良好的保障。
参考文献
[1]付晓坤.网络安全审计技术的运用[J].中国水运,2013(09):50-51.
[2]张文颖.探讨网络安全中安全审计与监控系统的设计与实现[J].电脑知识与技术,2013(16):3738.
[3]伍闽敏.建设企业计算机网络安全审计系统的必要性及其技术要求[J].信息安全与技术,2011(12):34-36.
[4]刘慧蓉.网络安全审计系统的应用研究[J].中国教育技术装备,2013(06):28-29.
网络安全审计范文第6篇
关键词:安全审计;数据挖据;日志分析
中***分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c
Research of the Network Security Audit System Based on Data Mining
(Department of Information and Electronic, Hangzhou polytechnic, Hangzhou 311400, China)
Abstract: In this paper, network security audit was studied as a data analysis process, logs in the network environment is the important data source, some main data mining techniques was considered such as Preprocess, Association, Sequential, Classification, Clustering, a basic structure of network security audit system was proposed and the algorithms for audit data mining was discussed.
Key words: security audit; data mining; log analysis
随着信息化建设的飞速发展,金融机构、***府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高,除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外,对这些数据的合法操作同样有可能导致安全事故的发生,比如泄密、恶意删除、操作失误等。为此,基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据IDC统计,2007-2011年,国内风险管理解决方案市场以22.4%的复合增长率快速增长。
现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动,对与安全相关活动的信息进行识别、记录、存储和分析,并对突发事件进行报警和响应之外,还能通过对系统事件的记录,为事后处理提供重要依据,为网络犯罪行为及泄密行为提供取证基础。同时,通过对安全事件的不断收集与积累并且加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,即事后分析及追查取证,以保证系统的安全。
在TCSEC和CC等安全认证体系中,网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度,是一个安全的网络必须支持的功能特性[1]。
本文以安全审计领域中的数据挖掘应用为研究视角,以操作日志为数据对象,给出了基于多源日志数据挖据的网络安全审计系统的基本架构,并对研究过程中的几个关键技术点进行了分析。
1 系统架构
目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新,这样在安全审计的过程中系统不能自适应地识别出新型异常,使误报警和漏报警问题不断发生。此外,一方面随着网络应用的普及,网络数据流量急剧增加,另一方面有些审计记录本身包含了大量的无关信息,于是,数据过载与检测速度过慢的问题也不无出现。
数据挖掘本身是一项通用的知识发现技术,其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前,操作系统的日益复杂化和网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息,人们希望能够对其进行更高抽象层次的分析,以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型,可以由计算机利用相应的算法判断出当前网络行为的性质。
基于数据挖据的网络安全审计系统的基本架构如下***1所示。
***1 系统架构
系统由ETL、数据仓库、元数据引擎、OLAP引擎、专家知识库、数据挖掘模型、应用接口等部分组成。ETL系统将异构、分散的审计数据日志抽取并清洗后送入数据仓库;数据仓库根据不同的数据分析特点采用星型或雪花型模式存储多维数据模型;元数据引擎负责定制与维护规范的ETL规则定义、数据仓库模型定义及业务流程定义;OLAP引擎通过MDX(Multi Dimensional Expression,多维查询表达式)语句分析器响应用户查询操作,分析器接收客户端提交的MDX语句,并对该MDX语句进行语法和语义分析,然后按照预先定义的多维数据模型转换成相应的SQL(结构化查询语句)语句,最终从关系型数据库中获取有关的数据。如果需要获取的数据已经在缓存中,则直接从缓存中获取。专家知识库记录了典型案例和审计规则,根据知识库中的规则,责任分析模型应用数据挖掘相关算法对数据进行分析,当某用户的行为与知识库中定义的异常规则相一致时,通过应用接口层给出警报信息,当出现与知识库中的任何规则都不匹配的异常规则时,利用聚类和分类挖掘技术将这些知识添加到知识库中。这样可以通过不断修改知识库来发现未知攻击或已知攻击的变种。
2 关键技术分析
2.1 多源日志处理
在信息化建设过程中,由于各业务系统建设和实施数据管理系统的阶段性、技术性以及其它经济和人为因素等影响,操作系统、网络设备、安全设备的使用日益复杂化,这导致产生了大量异构、分散的安全审计数据,包括操作系统日志、安全设备日志、网络设备日志以及应用系统日志等,这给数据分析与决策支持带来了困难。解决方案是对异质异构日志数据格式进行转换,同时使用事件合并机制对系统间相似数据进行合并,并与各案例库和各日志库一起为责任认定系统提供数据服务,为责任认定提供依据。文献2对多源日志数据的采集、范化、分析、过滤、聚类、归并等过程进行了综述,并提出了相应的算法和实例。
2.2 审计数据仓库构建
数据仓库存储模型与传统的业务数据库系统有着本质的区别,数据库技术在存储模型建设方面强调数据模型的规范性和高效存储能力,而数据仓库技术在存储模型建设方面强调数据查询的方便性和快速响应能力。目前通常采用的数据仓库存储模型有:星型模型,雪花模型[3]。星型模型将一个事实表放在中间,周围是有数据相关的维表,事实表是星型模式的核心,数据量很大。维表是事实的附属表,数据量比较小,它提供了事实表中每一条记录的描述性信息。在星型模式中,每个维只用一个表来表示,每个维表包含一组属性,从而造成了一定程度的冗余。为了避免这些冗余数据占用过大的空间,可以用多个维表来表示一个层次复杂的维,从而把数据进一步分解到附加的表中。这种规范化了的星型模式称为雪花模式。虽然雪花模式减少了数据冗余,节省了存储空间,但由于执行查询时需要进行更多的连接操作,降低了浏览的性能。在审计数据仓库中,由于浏览操作的实时性和频繁性,星型模型更为适用。
2.3 数据挖据算法应用
在安全审计中,运用数据挖掘技术,可以利用统计、分类、聚类、关联、序列分析、群集分析等方法,对网络日志中大量的数据进行深层次分析和研究,揭示其本来的特征和内在的联系,使它们转化为网络安全检测所需要的更直接、更有用的信息。
1) 分类与预测算法:分类要解决的问题是为一个事件或对象归类。在使用上,既可以用来分析已有的数据,也可以用它来预测未来的数据。安全审计可以看作是一个分类问题:我们希望能把每一个审计记录分类到可能的类别中,正常或某种特定的入侵或操作异常。一般来讲,分类根据系统特征进行,关键就是选择正确的系统特征,大多数时候还需要根据经验和实验效果确定一个合理的阀值。
2) 关联分析:关联规则挖掘是指发现大量数据中项集之间有意义的相关联系。关联规则可以从海量的日志数据集中发现不同字段之间存在的关系,这些联系反映了用户的某些操作在一段时间内频繁出现的条件,清楚地反映了用户的行为模式。利用关联规则算法挖掘出合法用户的历史正常行为模式,将当前的行为模式与历史正常行为模式进行比较,从而可以分析出用户的潜在异常行为。文献4即根据网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,改变了候选项集的产生顺序,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性。
3) 聚类技术:聚类就是将数据对象分组成多个类或者簇,划分的原则是在同一个类(簇)中的对象之间具有较高的相似度,而不同类(簇)中的对象差别较大。在网络安全审计中,聚类模式的常规做法是通过分析网络资源的受访问情况以及访问次序,来找到用户间相似的浏览模式,并进行安全性识别。文献5针对聚类应用在日志分析中存在的主要问题,从聚类算法的选择标准、改进方向、性能分析3个方面探讨了典型聚类算法k-means算法的研究成果。
3 结束语
本文将网络安全审计与责任分析视为一种数据分析的过程,以网络环境中大量的安全责任日志数据为分析对象,综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术,提出了网络安全审计系统的基本架构,重点对适用于审计数据挖据的相关算法进行了应用分析。
参考文献:
[1] 张旭东.内网安全审计系统及审计数据挖掘研究[D].浙江工业大学,2007.
[2] 刘成山,张秀君,刘怀亮.多源日志的数据挖掘方法研究[J].情报杂志, 2009(3):154-156.
[3] Inmon, W H.数据仓库[M].4版.北京:机械工业出版社,2006.
[4] 周丽,王小玲.基于网络审计日志关联规则挖掘的改进[J].计算机技术与发展, 2011(6):150-153.
网络安全审计范文第7篇
关键词 超大型数据库;性能优化;动态表分区
中***分类号TP392 文献标识码A 文章编号 1674-6708(2013)82-0222-02
0引言
基于内容的网络安全审计系统,为了进行事后统计分析和提供证据,需要将用户指定范围内所有采集到的数据信息存入数据库以及相对应的文件中。能够保存较长时间范围内的历史数据信息对于网络安全审计系统来说是非常重要的,通常情况下需要保存最近三个月的历史数据信息。
经过前期需求和数据测试分析,1G的电信网络中每天大约会增加6 000万个数据文件和数据记录,这样其存储的数据库规模非常大。数据库规模的不断变大,将会导致数据库系统性能的急剧下降,使得数据库维护的成本不断上升,甚至造成周期性的停机。
1表分区
表分区技术就是当数据库中的某个表变得特别大时,可以根据一定的条件或者规则,将一个大表划分为多个包含少量数据的分区,每个分区都是一个逻辑实体,是表的一个子集。通过将一个大表拆分成为多个更小的单个表,使得只访问一小部分数据的查询执行得更快。另外,对于这些小表可以更快地执行维护任务(如重建索引、数据备份或导入导出等)。
在超大型数据库中,通常不使用单个分区中的大数据集,而采用经过优化设计的本地分区和访问策略,能够使查询性能提高一倍以上,甚至几十倍。采用表分区技术的优点:
1)可以极大地缩短查询时间;
2)减少数据加载时间,改善数据库的可维护性;
3)解决从活动数据库中删除历史数据时出现的数据修剪问题。
2动态表分区
表分区按照实现的方式不同可以分为静态和动态两种。所谓静态表分区就是在数据库初始化的时候按照预定格式一次性生成所有分区。而动态表分区则是应用程序根据一定的规则动态创建所需分区,并对这些分区进行动态管理和维护。采用静态表分区技术的应用程序实现比较简单,但是可扩展性较差。采用动态表分区技术的应用程序实现要复杂一些,但是开发出来的应用程序可扩展性较好,能够根据不同的需求进行扩展。
静态表分区是目前超大型数据库系统解决方案中普遍采用的一种技术,到目前为止,还未见一种比较完善的基于动态分区的解决方案。另外,将基于动态分区的超大型数据库系统性能问题的解决方案应用到网络安全领域是一个需要特别研究的问题。
设计开发的网络安全审计系统产品定位于100M~1000M以上的高端网络用户(兼容中低端用户),其数据存储和处理规模非常巨大,为了使得产品具有更好的扩展性能,该系统采用动态表分区技术。
3多表查询
在采用分区视***技术实现多表联合查询之前必须动态创建一个包含多个成员表的分区视***。对于超大型数据库来说,动态创建几个表的分区索引视***需要大量的时间。另外,分区视***技术是通过使用联合查询运算符来实现的,很多个大数据量表的联合查询性能是比较低的,这将在下面的性能测试中进行说明。
采用临时表技术则没有多表联合查询的那些限制,实现也比较简单,性能比执行联合查询要好得多,但是产生的事务日志信息比较多。另外,采用临时表技术的时候还可以利用多表分页查询机制来控制每次数据查询时需要访问的数据范围以及返回的记录数,以提高数据查询的速度。对于性能要求比较高的超大型数据库应用程序来说,建议采用临时表技术来满足动态分区的数据库查询统计的性能要求。
4解决方案
本文采用一种如***2所示的解决方案,来解决基于动态表分区的网络安全审计系统超大型数据库的性能问题,并为开发人员提供***于数据库设计的基于动态表分区的数据库通用访问接口。
此方案在普通数据库应用程序的基础上增加一个的基于动态表分区的访问接口的模块,并对该模块进行优化。
5结论
由于采取了动态表分区技术并对相关接口进行优化,使得网络安全审计系统的性能得到了很大提高。
在千兆环境压力测试中每秒能提交9000条左右的数据记录,各种数据库查询统计操作都能够得到快速响应,经相同环境下的压力测试其性能比同类产品都要响应迅速。
参考文献
[1]求是科技著.SQL Server 2000数据库管理与开发技术大全[M].北京:人民邮件出版社,2004
[2]张长富,孙兵,史炬,等.SQL Server 2000数据库编程[M].北京:北京希望电子出版社,2002.
网络安全审计范文第8篇
关键词:网络安全审计;日志;日志格式
中***分类号:TP311文献标识码:A文章编号:1009-3044(2008)14-20803-02
1 引言
防火墙、入侵检测系统和安全审计系统等安全产品为内部网络提供了良好的保护作用。安全审计系统提供了一种通过收集各种网络信息从而发现有用信息的机制,将这种机制应用于局域网内部,从多种网络安全产品中收集日志和警报信息并分析,从而实现效能的融合,与防火墙、入侵检测系统等安全产品形成合力,为局域网的安全提供强有力的保障。
如何高效的从各种网络设备所生成的海量的日志数据信息中提取有用信息,通过格式的统一整合后为安全审计系统提供统一接口,这是安全审计系统一项十分关键的工作,也是影响整个系统性能的一个重要因素,本文就此进行探讨。
2 安全审计系统的功能需求
安全监控与审计技术通过实时监控网络活动,分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、跟踪识别违反安全法则的行为等功能,使系统管理员可以有效地监控、评估自己的系统和网络。监控审计技术是对防火墙和入侵检测系统的有效补充,弥补了传统防火墙对网络传输内容粗粒度(传输层以下)的控制不足,同时作为一种重要的网络安全防范手段,对检测手段单一的入侵检测系统也是有益的补充,能及时对网络进行监控,规范网络的使用[1]。
目前,安全审计系统是网络安全领域的一个研究热点,许多研究者都提出了不同的系统模型,这包括对内容进行审计的安全审计系统、对用户行为进行审计的安全审计系统以及对各种安全设备生成的日志进行审计的安全审计系统等等。
基于日志的网络安全审计系统是一个日志接收与日志分析的审计系统,该系统能够接收、分析审计局域网内的防火墙、入侵检测系统等网络安全产品生成的日志,审计局域网内的网络信息安全。基于日志的网络安全审计系统的功能需求如下:
(1) 集中管理:审计系统通过提供一个统一的集中管理平台,实现对日志、安全审计中心、日志数据库的集中管理,包括对日包更新、备份和删除等操作。
(2) 能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志,并且具备处理多日志来源、多种不同格式日志的能力。
(3) 审计系统不仅要能对不同来源的日志进行识别、归类和存储,还应能自动将其收集到的各种日志转换为统一的日志格式,以供系统调用。并且能以多种方式查询网络中的日志记录信息,以报表的形式显示。
(4) 能及时发现网络存在的安全问题并通知管理员采取相应措施。系统必须从海量的数据信息中找出可疑或危险的日志信息,并及时以响铃、E-mail或其他方式报警,通知管理员采取应对措施及修复漏洞。
(5) 审计系统的存在应尽可能少的占用网络资源,不对网络造成任何不良的影响。
(6) 具备一定的隐蔽性和自我保护能力。具有隐蔽性是说系统的存在应该合理“隐藏”起来,做到对于入侵者来说是透明而不易察觉系统的存在。
(7) 保证安全审计系统使用的各种数据源的安全性和有效性。若采用未经加密的明文进行数据传输,很容易被截获、篡改和伪造,工作站与服务器之间的通讯应进行加密传输,可采用SSL、AES、3DES等加密方式。
(8) 具有友好的操作界面。
3 安全审计系统的模型概述
如***1所示,基于日志的安全审计系统主要包含如下模块:
(1) :负责收集各种日志数据,包括各种操作系统的日志,防火墙系统日志、入侵检测系统日志、网络交换及路由设备的日志、各种服务和应用系统日志等。定时或实时发送到审计中心。其间,日志数据的传送采用加密方式进行发送,防止数据被截获、篡改和伪造。
(2) 数据预处理模块:将采集到的日志数据经过解密后按照数据来源存入相应的数据库中。
(3) 系统管理模块:负责对日志、安全审计中心、日志数据库的集中管理,包括对日志数据的更新、备份和删除等操作。
(4) 数据处理模块:负责自动将收集到的各种日志转换为统一的日志格式,并且从海量的数据中通过模式匹配,发现并找出可疑或危险的日志信息,交由“日志报警处理模块”进行处理。
(5) 日志报警处理模块:处理已发现的问题,以响铃、E-mail或其他方式报警通知管理员采取应对措施。
(6) 数据库模块:负责接收、保存各种日志数据,包括策略库也存放其中。
(7) 接口模块:供用户访问、查询。
4 安全审计系统中有用数据整合的方法
4.1 安全审计系统的数据源
安全审计系统可以利用的日志大致分为以下四类[2]:
4.1.1 操作系统日志
a) Windows系统日志。Windows NT/2K/XP的系统日志文件有应用程序日志、安全日志和系统日志等,日志默认位置在%systemroot%\system32\config目录下。Windows是使用一种特殊的格式存放它的日志文件,这种格式的文件通常只可以通过事件查看器EVENT VIEWER读取。
b) Linux/Unix系统日志。在Linux/Unix系统中,有三个主要的日志子系统:连接时间日志、进程统计日志和错误日志。错误日志――由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。
4.1.2 安全设备日志
安全设备日志主要是指防火墙,入侵检测系统等网络安全设备产生的日志。这部分日志格式没有统一标准。目前,国内多数防火墙支持WELF(Web Trends Enhanced Log Format)的日志格式,而多数入侵检测系统的日志兼容Snort产生日志格式。
4.1.3 网络设备日志
网络设备日志是指网络中交换机、路由器等网络设备产生的日志,这些设备日志通常遵循RFC3164(TheBSD syslog Protocol)规定的日志格式,可以通过syslogd实现方便的转发和处理。一个典型的syslog记录包括生成该记录的进程名字、文本信息、设备和优先级范围等。
4.1.4 应用系统日志
应用系统日志包含由各种应用程序记录的事件。应用系统的程序开发员决定记录哪一个事件。Web应用程序日志往往是系统管理员最关心的应用系统日志之一。
a) Apache日志。Apache日志记录Apache服务器处理的所有请求和出错信息,它支持两种格式的日志:普通记录格式(Common Log Format),组合记录格式(Combined Log Format)。
b) IIS日志。IIS日志文件记录了所有访问IIS服务程序的信息,IIS日志文件一般位于如下路径:%systemroot%\system32\LogFiles。IIS支持“W3C扩充日志文件格式”、“NCSA通用日志格式”和“ODBC数据库日志格式”。
4.2 日志数据的特点
网络安全审计范文第9篇
[摘要]计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。
[关键词]网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(ChipOperatingSystem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMailforNotes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是NotesDominoServer使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持***S,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署,网络的分析和病毒统计功能以及自动***病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起***的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。②监视键盘:在用户指定的时间段内,截获HostSensorProgram用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP,UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。
网络安全审计范文第10篇
摘要:随着信息技术的迅速发展,经济、文化、***事和社会生活等很多方面越来越多的依赖计算机网络,此时的网络已经成为一个无处不在、无所不用的工具。与此同时,网络安全问题也越来越突出,由于多种因素的影响,计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。计算机网络是信息社会发展的基础,网络安全技术是确保信息的安全与畅通的重要手段。
关键词:网络安全技术防火墙安全审计系统
1 引言
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。要想真正解决网络安全问题,就得要从系统的规划上去考虑它,从技术、产业、***策等方面来发展它。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。运用多种网络安全技术来实现信息传递的安全与可靠是维护网络安全的主要措施。
2 影响网络安全的主要因素
2.1 计算机病毒
计算机病毒的含义是,编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它主要有程序性、传染性、潜伏性、可触发性这四个特点。
2.2 网络资源共享性因素
资源共享是计算机网络应用的最主要的目的,但这又为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长,外部服务请求不可能做到完全的隔离,所以攻击者就利用服务请求的机会很容易获取网络数据包。
2.3 网络开放性因素
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
3 网络安全的主要技术
网络安全的技术是指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段。本论文主要介绍两种网络安全技术:防火墙技术和安全审计系统。
3.1 防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙等类型。
包过滤型防火墙是建立在路由器上,在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型产品是防火墙的初级产品,网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,与网络管理员预先设定的访问控制表进行比较,确定是否符合预定义好的安全策略并决定数据包的放行或丢弃。封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连线作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。
3.2 安全审计系统
安全审计系统是在一个特定的企事业单位的网络环境下,为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取,而运用各种技术手段实时监控网络环境中的网络行为、通信内容,以便集中收集、分析、报警、处理的一种技术手段。
3.2.1 安全审计系统的必要性
防火墙这种网络安全技术,可实现对网络异常行为的管理和监测,如网络连接和访问的合法性进行控制、监测网络攻击事件等,但是不能监控网络内容和已经授权的正常内部网络访问行为,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为(即时通讯、论坛、***视频、P2P***、网络游戏等)也无能为力,也难以实现针对内容、行为的监控管理及安全事件的追查取证。
3.2.2 安全审计系统的特点
1.细粒度的网络内容审计 安全审计系统可对系统访问及操作、网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原。
2.全面的网络行为审计 安全审计系统可对网络行为,如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、***视频、P2P***、网络游戏等,提供全面的行为监控,方便事后追查取证。
3.综合流量分析 安全审计系统可对网络流量进行综合分析,为网络带宽资源的管理提供可靠的策略支持。
3 结束语