安全監(jiān)控
系統(tǒng)安全監(jiān)控是指對(duì)系統(tǒng)的運(yùn)行狀況和系統(tǒng)中的用戶的行為進(jìn)行監(jiān)視、控制和記錄。通過系統(tǒng)安全監(jiān)控,安全管理人員可以有效地監(jiān)視、控制和評(píng)估信息系統(tǒng)的安全運(yùn)行狀況,并為進(jìn)一步提高系統(tǒng)安全性提供參考和依據(jù)。
安全監(jiān)控通過實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)或主機(jī)活動(dòng),監(jiān)視分析用戶和系統(tǒng)的行為,審計(jì)系統(tǒng)配置和漏洞,評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性,識(shí)別攻擊行為,對(duì)異常行為進(jìn)行統(tǒng)計(jì)和跟蹤,識(shí)別違反安全法規(guī)的行為,使用誘騙服務(wù)器記錄黑客行為等功能,使得管理員能夠更有效地監(jiān)視、控制和評(píng)估網(wǎng)絡(luò)或主機(jī)系統(tǒng)。
安全監(jiān)控的分類
安全監(jiān)控可以分為網(wǎng)絡(luò)安全監(jiān)控和主機(jī)安全監(jiān)控兩大類。
一、網(wǎng)絡(luò)安全監(jiān)控
網(wǎng)絡(luò)安全監(jiān)控主要實(shí)現(xiàn)以下幾種功能:
1)全面的網(wǎng)絡(luò)安全控制:除了簡(jiǎn)單的訪問控制意外,還應(yīng)該有入侵檢測(cè)等功能。
2)細(xì)粒度的控制:除了根據(jù)數(shù)據(jù)抱頭為依據(jù),還應(yīng)該對(duì)應(yīng)用層協(xié)議和數(shù)據(jù)包內(nèi)容進(jìn)行過濾。
3)網(wǎng)絡(luò)審計(jì):對(duì)所有網(wǎng)絡(luò)活動(dòng)進(jìn)行跟蹤,對(duì)應(yīng)用層協(xié)議(如 HTTP , FTP, SMTP,POP3 、 TELNET 等)會(huì)話過程進(jìn)行實(shí)時(shí)與歷史的重現(xiàn)。
4)其他:包括日志、報(bào)警、報(bào)告和攔截等功能。
二、主機(jī)安全監(jiān)控
主機(jī)安全監(jiān)控主要實(shí)現(xiàn)以下幾種功能:
1)訪問控制:加強(qiáng)用戶訪問系統(tǒng)資源及服務(wù)時(shí)的安全控制,防止非法用戶的入侵及合法用戶的非法訪問。
2)系統(tǒng)監(jiān)控:實(shí)時(shí)監(jiān)控系統(tǒng)的運(yùn)行狀態(tài),包括運(yùn)行進(jìn)程、系統(tǒng)設(shè)備、系統(tǒng)資源和網(wǎng)絡(luò)服務(wù)等,判斷在線用戶的行為,禁止其非法操作。
3)系統(tǒng)審計(jì):對(duì)用戶的行為及系統(tǒng)事件進(jìn)行記錄審計(jì)。
4)系統(tǒng)漏洞檢查:檢測(cè)主機(jī)系統(tǒng)的安全漏洞,防止因主機(jī)設(shè)置不當(dāng)帶來的安全隱患。
安全監(jiān)控的內(nèi)容主要有以下幾點(diǎn):
第一,主機(jī)系統(tǒng)監(jiān)視:通過系統(tǒng)狀態(tài)監(jiān)視可以實(shí)現(xiàn)對(duì)主機(jī)當(dāng)前用戶信息、系統(tǒng)信息、設(shè)備信息、系統(tǒng)進(jìn)程、系統(tǒng)服務(wù)、系統(tǒng)事件、系統(tǒng)窗口、安裝程序以及實(shí)時(shí)屏幕等信息的監(jiān)視和記錄。
第二,網(wǎng)絡(luò)狀態(tài)監(jiān)視:查看受控主機(jī)當(dāng)前活動(dòng)的網(wǎng)絡(luò)連接、開放的系統(tǒng)服務(wù)以及端日,從而全面了解主機(jī)的網(wǎng)絡(luò)狀態(tài)。
第三,用戶操作監(jiān)視:對(duì)用戶的系統(tǒng)配置和操作、應(yīng)用程序操作和文件操作等進(jìn)行監(jiān)視和記錄。
第四,主機(jī)應(yīng)用監(jiān)控:對(duì)主祝中的進(jìn)程、服務(wù)和應(yīng)用程序窗口進(jìn)行控制。
第五,主機(jī)外設(shè)監(jiān)視:對(duì)受控主機(jī)的 USB 端口、串行端口、并行端口等外設(shè)接口,以及 USB 盤、軟驅(qū)、光驅(qū)等外設(shè)實(shí)施存取控制。
第六,網(wǎng)絡(luò)連接監(jiān)控:實(shí)現(xiàn)對(duì)非法主機(jī)接入的隔離和對(duì)合法主機(jī)網(wǎng)絡(luò)行為的管控。
一方面對(duì)非法接入的主機(jī)進(jìn)行識(shí)別、報(bào)警和隔離;
另一方面實(shí)現(xiàn)對(duì)合法主機(jī)網(wǎng)絡(luò)訪問行為的監(jiān)控,包括網(wǎng)絡(luò)地址端口控制、網(wǎng)絡(luò) URL 控制、郵件控制、撥號(hào)連接控制、網(wǎng)絡(luò)共享控制以及網(wǎng)絡(luò)鄰居控制等。