1引言
隨著網路與資訊系統的廣泛使用,網路與資訊系統安全問題逐漸成為人們關注的焦點。
涉密網與因特網之間一般採取了物理隔離的安全措施,在一定程度上保證了內部網路的安全性。然而,網路安全管理人員仍然會對所管理網路的安全狀況感到擔憂,因為整個網路安全的薄弱環節往往出現在終端使用者。網路安全存在著“木桶”效應,單個使用者計算機的安全性不足時刻威脅著整個網路的安全。如何加強對終端使用者計算機的安全管理成為一個急待解決的問題。
本文從系統的、整體的、動態的角度,參照國家對安全審計產品的技術要求和對部分主機審計軟體的瞭解,結合實際的資訊保安管理需求,討論主機審計系統的設計,達到對終端使用者的有效管理和控制。
2安全審計概念。
計算機網路資訊系統中資訊的機密性、完整性、可控性、可用性和不可否認性,簡稱“五性”,安全審計是這“五性”的重要保障之一。
凡是對於網路資訊系統的薄弱環節進行測試、評估和分析,以找到極佳途徑在最大限度保障安全的基礎上使得業務正常執行的一切行為和手段,都可以叫做安全審計。
傳統的安全審計多為“日誌記錄”,注重事後的審計,強調審計的威懾作用和安全事件的可核查性。隨著國家資訊保安政策的改變,美國首先在資訊保障技術框架(IATF)中提出在資訊基礎設定中進行所謂“深層防禦策略(Defense2in2DepthStrategy)”,對安全審計系統提出了參與主動保護和主動響應的要求。這就是現代網路安全審計的雛形,突破了以往“日誌記錄”等淺層次的安全審計概念,是全方位、分散式、多層次的強審計概念,符合資訊保障技術框架提出的保護、檢測、反應和恢復(PDRR)動態過程的要求,在提高審計廣度和深度的基礎上,做到對資訊的主動保護和主動響應。
3主機審計系統設計。
安全審計從技術上分為網路審計、資料庫審計、主機審計、應用審計和綜合審計。主機審計就是獲取、記錄被審計主機的狀態資訊和敏感操作,並從已有的主機系統審計記錄中提取資訊,依據審計規則分析判斷是否有違規行為。
一般網路系統的主機審計多采用傳統的審計,涉密系統的主機審計應採用現代綜合審計,做到對資訊的主動保護和主動響應。因此,涉密網路的主機審計在設計時就應該全方位進行考慮。
3.1體系架構。
主機審計系統由控制中心、受控端、管理端等三部分組成。管理端和控制中心間為B/S架構,管理端通過瀏覽器訪問控制中心。對於管理端,其作業系統應不限於Windows,瀏覽器也不是隻有IE。管理端地位重要,應有一定保護措施,同時管理端和控制中心的通訊應有安全保障,可考慮隔離措施和SHTTP協議。
主機審計能夠分不同的角色來使用,至少劃分安全策略管理員、審計管理員、系統管理員。
安全策略管理員按照制定的監控審計策略進行實施;審計管理員負責定期審計收集的資訊,根據策略判斷使用者行為(包括三個管理員的行為)是否違規,出審計報告;系統管理員負責分配安全策略管理員和審計管理員的許可權。三員的任何作業系統有相應記錄,對系統的操作互相配合,同時互相監督,既方便管理,又保證整個監控體系和系統本身的安全。控制中心是審計系統的核心,所有資訊都儲存在控制中心。因此,控制中心的作業系統和資料庫最好是國內自己研發的。控制中心的儲存空間到一定限額時報警,提醒管理員及時備份並刪除資訊,保證審計系統能夠採集新的資訊。
3.2安全策略管理。
不同的安全策略得到的審計資訊不同。安全策略與管理策略緊密掛鉤,體現安全管理意志。在審計系統上實施安全策略前,應根據安全管理思想,結合審計系統能夠實現的技術途徑,制定詳細的安全策略,由安全員按照安全策略具體實施。如安全策略可以分部門、分小組制定並執行。安全策略越完善,審計越徹底,越能反映主機的安全狀態。
主機審計的安全策略由控制中心統一管理,策略發放採取推拉結合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。當安全策略發生更改時,控制中心可以及時將策略發給受控端。但是,當受控端安裝了防火牆時,推送方式將受阻,安全策略傳送不到受控端。由受控端向控制中心定期拉策略,可以保證受控端和控制中心的通訊不會因為安裝個人防火牆或其他認證保護措施而中斷。聯網主機(伺服器、聯網PC機)通過網路接收控制中心的管理策略向控制中心傳遞審計資訊。單機(桌面PC或筆記本)通過外接磁介質(如U盤、行動硬碟)接收控制中心管理策略。審計資訊存放在主機內,由管理員定期通過外接磁介質將審計資訊傳遞給控制中心。所有通訊採用SSL加密方式傳輸,確保資料在傳輸過程中不會被篡改或欺騙。
為了防止受控端脫離控制中心管理,受控端程式應由安全員統一安裝在受控主機,並與受控主機的網絡卡地址、IP地址繫結。該程式做到不可隨意解除安裝,不能隨意關閉審計服務,且不影響受控端的執行效能。受控端一旦安裝受控程式,只有重灌作業系統或由安全員解除安裝,才能脫離控制中心的管理。聯網時自動將資訊傳到控制中心,以保證審計服務不會被繞過。
3.3審計主機範圍。
涉密資訊系統中的主機有聯網主機、單機等。常用作業系統包括:Windows98,Windows2000,WindowsXP,Linux,Unix等。主機審計系統的受控端支援裝有不同作業系統的聯網主機、單機等,實現使用同一軟體解決聯網機、單機、筆記本的審計問題。
根據國家有關規定,涉密資訊系統劃分為不同安全域。安全域可通過劃分虛擬網實現,也可通過設定安全隔離裝置(如防火牆)實現。主機審計系統應考慮不同安全域中主機的管理和控制,即能夠對不同網段的受控端和安裝了防火牆的.受控端進行控制並將資訊收集到控制中心,以便統一進行審計。同時能給出簡單網路拓撲,為管理人員提供方便。
3.4主機行為監控。
一般計算機使用人員對計算機軟硬體尤其是資訊保安知識瞭解不多,不清楚計算機的安全狀態。主機審計系統的受控端軟體應具有主機安全狀態自檢功能,主要用於檢查終端的安全策略執行情況,包括補丁安裝、弱口令、軟體安裝、防毒軟體安裝等,形成檢查報告,讓使用人員對本機的安全狀況有一個清楚的認識,從而有針對性地採取措施。自檢功能可由使用人員自行開啟或關閉。檢查報告上傳給控制中心。
主機審計系統對使用受控端主機人員的行為進行限制、監控和記錄,包括對文件的修改、拷貝、列印的監控和記錄,撥號上網行為的監控和記錄,各種外接介面的禁止或啟用(並口、串列埠、USB介面等),對USB裝置進行分類管理,如USB儲存裝置(U盤,活動硬碟)、USB輸入裝置(USB鍵盤、滑鼠)、USB2KEY以及自定義裝置。通過分類和靈活設定,增強實用性,對受控主機新增和刪除裝置進行監控和記錄,對未安裝受控端的主機接入網路拒絕並報警,防止非法主機的接入。
主機審計系統對接入計算機的儲存介質進行認證、控制和報警。做到經過認證的合法介質可以從主機拷貝資訊;未通過認證的非法介質只能將資訊拷入主機內,不能從主機拷出資訊到介質內,否則產生報警資訊,防止資訊被有意或者無意從儲存裝置(尤其是移動儲存裝置)洩漏出去。在認證時,把介質分類標識為非密、祕密、機密。當合法介質從主機拷貝資訊時,判斷資訊密級(國家有關部門規定,涉密資訊必須有密級標識),拒絕低密級介質拷貝高密級資訊。
在認證時,把移動介質編號,編號與使用人員對應。移動介質接入主機操作時記錄下移動介質編號,以便審計時介質與人對應。涉密資訊被拷貝時會自動加密儲存在移動介質上,加密儲存在移動介質上的資訊也只能在裝有受控端的主機上讀寫,讀寫時自動解密。認證資訊只有在移動介質被格式化時才能清除,否則無法刪除。有防止系統自動讀取介質內文件的功能,避免移動介質接在計算機上(無論是合法還是非法計算機)被系統自動將所有文件讀到計算機上。
3.5綜合審計及處理措施。
要達到綜合審計,主機審計系統需要通過標準介面對多種型別、多個品牌的安全產品進行管理,如主機IDS、主機防火牆、防病毒軟體等,將這些安全產品的日誌、安全事件集中收集管理,實現日誌的集中分析、審計與報告。同時,通過對安全事件的關聯分析,發現潛在的攻擊徵兆和安全趨勢,確保任何安全事件、事故得到及時的響應和處理。把主機上一個個原本分離的網路安全產品聯結成一個有機協作的整體,實現主機安全管理過程實時狀態監測、動態策略調整、綜合安全審計、資料關聯處理以及恰當及時的威脅響應,從而有效提升使用者主機的可管理性和安全水平,為整體安全策略制定和實施提供可靠依據。
系統的安全隱患可以從審計報告反映出來,因此審計系統的審計報告是很重要的。審計報告應將收集到的所有資訊綜合審計,按要求顯示並打印出來,能用圖形說明問題,能按標準格式(WORD、HTML、文字檔案等)輸出。但是,審計資訊資料多,直接將收集的資訊分類整理形成的報告不能很好的說明問題,還應配合審計員的人工分析。這些資訊可以由審計員定期從控制中心資料庫備份恢復。備份的資料自動加密,恢復時自動解密。審計資訊也可以刪除,但是刪除操作只能由審計員發起,經安全員確認後才執行,以保證審計資訊的安全性、完整性。
審計系統發現問題的修復措施一般有打補丁、停止服務、升級或更換程式、去除特洛伊等後門程式、修改配置和許可權、專門的解決方案等。為了保證所有主機都能得到有效地處理,通過控制中心統一向受控端傳送軟體升級包、軟體補丁。傳送時針對不同版本作業系統,由受控端自行選擇是否自動執行。因為有些軟體升級包、軟體補丁與應用程式有衝突,會影響終端使用者的工作。針對這種情況,只能採取專門的解決方案。
在複雜的網路環境中,一個涉密網往往由不同的作業系統、伺服器,防火牆和入侵檢測等眾多的安全產品組成。網路一旦遭受攻擊後,專業人員會把不同日誌系統裡的日誌提取出來進行分析。不同系統的時間沒有經過任何校準,會不必要地增加日誌分析人員的工作量。系統應提供全網統一的時鐘服務,將控制中心設定為標準時間,受控端在接收管理的同時,與控制中心保持時間同步,實現審計系統的時間一致性,從而提供有效的入侵檢測和事後追查機制。
4結束語
涉密系統的終端安全管理是一個非常重要的問題,也是一個複雜的問題,涉及到多方面的因素。本文從體系架構、安全策略管理、審計主機範圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想,旨在與廣大同行交流,共同推進主機審計系統的開發和研究,最終開發出一個全方位的符合涉密系統終端安全管理需求的系統。