做好企業(yè)網(wǎng)絡(luò)安全的審計(jì)四部曲

2013-10-22 10:15:27 eNet硅谷動(dòng)力　點(diǎn)擊量：評論 (0)

俗話說，沒有監(jiān)督的權(quán)力就會(huì)導(dǎo)致絕對的腐敗。這句偉人的名言不僅可以用在政治上，而且，在企業(yè)網(wǎng)絡(luò)安全管理中也可以普遍應(yīng)用。企業(yè)網(wǎng)絡(luò)的安全審計(jì)是指一個(gè)記錄網(wǎng)絡(luò)用戶進(jìn)行相關(guān)網(wǎng)絡(luò)操作的所有活動(dòng)，包括用戶知道的與背著用戶做的任何活動(dòng)。企業(yè)網(wǎng)絡(luò)安全審計(jì)是提高企業(yè)網(wǎng)絡(luò)安全性的一個(gè)重要的基礎(chǔ)性工作。

　　我們之所以要啟用網(wǎng)絡(luò)安全設(shè)計(jì)制度，它的意義在于：

　　一方面，企業(yè)網(wǎng)絡(luò)安全審計(jì)，可以知道現(xiàn)在有哪些用戶在訪問企業(yè)的網(wǎng)絡(luò)。有時(shí)候，非法攻擊者利用后門訪問企業(yè)訪問的時(shí)候，通過其他方式是很難發(fā)現(xiàn)的。而通過網(wǎng)絡(luò)安全設(shè)計(jì)，各種用戶都可以一覽無余的顯示出來。為此，網(wǎng)絡(luò)安全管理員就可以知道哪些用戶是合法的，哪些用戶是非法的，從而采取對應(yīng)的措施。

　　另一方面，企業(yè)網(wǎng)絡(luò)安全審計(jì)還可以告訴網(wǎng)絡(luò)安全人員，用戶都在做些什么。一般來說，企業(yè)網(wǎng)絡(luò)管理中，包括兩類用戶，一是普通用戶，二是網(wǎng)絡(luò)管理員。但是，有時(shí)候，一些普通用戶通過一定的手段，也會(huì)獲取網(wǎng)絡(luò)管理員的身份。所以，網(wǎng)絡(luò)安全管理人員也需要知道有哪些普通用戶在做一些跟他身份不符的操作。而通過網(wǎng)絡(luò)安全審計(jì)，則可以清楚的告訴企業(yè)網(wǎng)絡(luò)安全管理人員這方面的信息。

　　所以，筆者認(rèn)為，企業(yè)網(wǎng)絡(luò)安全審計(jì)是做好企業(yè)網(wǎng)絡(luò)安全管理的一個(gè)基礎(chǔ)性工作，也是一項(xiàng)非常重要的工作。

　　那么該如何做好企業(yè)網(wǎng)絡(luò)安全審計(jì)呢？筆者認(rèn)為，該從如下幾個(gè)方面出發(fā)。

　　一是要考慮，該記錄什么內(nèi)容？

　　要知道，跟網(wǎng)絡(luò)相關(guān)的操作每秒鐘都在發(fā)生，若一點(diǎn)風(fēng)吹草動(dòng)都記錄的話，則其安全審計(jì)記錄的數(shù)量會(huì)成幾何級別上升。如此海量的數(shù)據(jù)記錄信息，不僅存儲方面會(huì)帶來很大的壓力，而且后續(xù)查看起來也會(huì)有非常大的困難。所以說，最好安全審計(jì)，不一定是要把所有的操作情況都一一的記錄下來。而是要根據(jù)企業(yè)實(shí)際情況，對于安全程度的要求不同，選擇記錄不同的信息。

　　就拿筆者的企業(yè)來說，雖然說網(wǎng)絡(luò)設(shè)計(jì)比較復(fù)雜，但是，其網(wǎng)絡(luò)安全審計(jì)涉及的面還是比較小的，主要包括以下幾個(gè)方面的內(nèi)容。

　　一是重要網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。如防火墻、路由器等等關(guān)鍵設(shè)備的運(yùn)行與管理記錄，都會(huì)被一一的進(jìn)行審計(jì)。而一些次要的網(wǎng)絡(luò)設(shè)備，如DHCP服務(wù)器等等，由于相對來說不易受到攻擊，而且，平時(shí)也做好了相關(guān)的備份工作，所以就沒有對他進(jìn)行相關(guān)的安全審計(jì)。

　　二是一些重要應(yīng)用服務(wù)器的安全審計(jì)。企業(yè)現(xiàn)在有ERP服務(wù)器、Oracle數(shù)據(jù)庫服務(wù)器、OA服務(wù)器、郵箱服務(wù)器、文件服務(wù)等應(yīng)用服務(wù)器。有些這些服務(wù)器跟企業(yè)的正常工作息息相關(guān)。當(dāng)這些服務(wù)器出現(xiàn)故障的時(shí)候，很可能企業(yè)的生產(chǎn)經(jīng)營活動(dòng)就會(huì)受到不良影響。所以，對這些應(yīng)用服務(wù)器進(jìn)行安全審計(jì)，是必要的。

　　總之，筆者認(rèn)為，若要對所有的網(wǎng)絡(luò)活動(dòng)進(jìn)行安全審計(jì)的話，是一件吃力不討好的工作。在對網(wǎng)絡(luò)活動(dòng)進(jìn)行安全審計(jì)的過程中，要考慮到20/80的原則。即一般來說，只要對20%左右的關(guān)鍵設(shè)備、重要服務(wù)器與企業(yè)級的活動(dòng)進(jìn)行審計(jì)即可。而完全沒有必要眉毛胡子一把抓。因?yàn)槿绱耸占^來的信息太過于海量，雖然說，收集這些信息很簡單，但是企業(yè)沒有這么大的精力去統(tǒng)計(jì)、分析這些信息。如此的話，這些信息也就變成了垃圾。

　　二是要考慮，什么時(shí)候需要記錄什么信息？

　　我們除了要考慮需要收集什么信息之外，在網(wǎng)絡(luò)安全審計(jì)過程中，還需要考慮一個(gè)問題，就是在什么時(shí)候觸發(fā)網(wǎng)絡(luò)安全審計(jì)這個(gè)動(dòng)作。這也是為了盡量的讓網(wǎng)絡(luò)安全審計(jì)記錄一些有價(jià)值的信息，從而減少后續(xù)的記錄統(tǒng)計(jì)與分析的工作，盡快發(fā)現(xiàn)網(wǎng)絡(luò)的異常行為。

　　如對于用戶登錄文件服務(wù)器這一個(gè)動(dòng)作，若用戶屬于正常訪問，則我們沒有必要對其進(jìn)行詳細(xì)記錄。相反，若用戶三次試圖登錄文件服務(wù)器，仍然以失敗告終；或者其試圖訪問未經(jīng)授權(quán)的文件時(shí)，則就需要記錄這些記錄。很明顯，這可以大幅度的縮小記錄的信息量。而把安全審計(jì)的重點(diǎn)放在一些異常活動(dòng)中。

　　筆者現(xiàn)在在企業(yè)網(wǎng)絡(luò)的安全審計(jì)中，主要選擇以下事件，作為安全記錄的觸發(fā)時(shí)機(jī)，

　　一是一些失敗訪問的動(dòng)作。如某些用戶試圖多次登陸服務(wù)器或者網(wǎng)絡(luò)設(shè)備，當(dāng)用戶名或者密碼錯(cuò)誤超過三次的時(shí)候，這些記錄的話，都需要記錄下來。這主要是因?yàn)檫@往往可以說明是有人試圖采用猜密碼或者使用密碼字典攻擊等工具，想非法登陸這些設(shè)備。

　　二是一些未經(jīng)授權(quán)的操作。如某個(gè)用戶雖然可以登錄文件服務(wù)器訪問某些文件，但是，其也有權(quán)限的限制。如其不能夠訪問某些文件夾，或者對于某些文件夾不能夠進(jìn)行讀寫操作。如果未經(jīng)授權(quán)的用戶有了這些操作，則它們也將成為我們安全審計(jì)的對象。這些用戶以及它們試圖操作的行為，都將會(huì)被一一的記錄下來。以后我們就會(huì)分析這些信息，以判斷用戶是惡意的還是無意的。

　　三是一些異常的信息。如在安全審計(jì)中，還會(huì)記錄用戶的操作是否會(huì)被相應(yīng)的設(shè)備產(chǎn)生比較重大的影響。如是否占用了大量的服務(wù)器資源，等等。如在文件服務(wù)器中，設(shè)置了磁盤限額的話，當(dāng)用戶在文件服務(wù)上存儲的數(shù)據(jù)超過了一定的容量時(shí)，安全審計(jì)就需要記錄這方面的信息。網(wǎng)絡(luò)管理人員需要去審查該用戶的文件信息，若這些文件都是必要的，則就需要調(diào)整該用戶的磁盤限額，否則的話，當(dāng)容量達(dá)到磁盤限額時(shí)，就會(huì)給他們的工作帶來不良的影響。

　　所以，筆者認(rèn)為，在企業(yè)網(wǎng)絡(luò)安全審計(jì)的過程中，我們還需要考慮什么時(shí)候觸發(fā)這個(gè)安全審計(jì)的動(dòng)作。合理的選擇這個(gè)觸發(fā)的時(shí)機(jī)，可以大大的減少我們的工作量，把時(shí)間與精力都用在刀刃上。

　　三是要考慮，如何實(shí)現(xiàn)自動(dòng)報(bào)警？

　　在安全審計(jì)過程中，有時(shí)候?qū)崿F(xiàn)自動(dòng)報(bào)警也是非常必要的。因?yàn)橛袝r(shí)候若不采取自動(dòng)報(bào)警制度的話，有些異常信息我們無法及時(shí)發(fā)現(xiàn)，而不能夠采取及時(shí)的措施。等到異常情況出現(xiàn)了再去審計(jì)相關(guān)的行為時(shí)，損失已經(jīng)造成了，即使找到責(zé)任人的話，也不能夠挽回。所以，通過自動(dòng)報(bào)警的行為，我們可以把問題消除在萌芽狀態(tài)，盡量的幫助企業(yè)減少損失。

　　如對于服務(wù)器，很多攻擊都會(huì)造成服務(wù)器資源的耗竭，這就是通常所說的“拒絕服務(wù)式攻擊”。若我們在相關(guān)的服務(wù)器上，能夠采用自動(dòng)報(bào)警制度。如到CPU或者內(nèi)存使用率達(dá)到80%以上時(shí)，能夠自動(dòng)向網(wǎng)絡(luò)安全管理人員報(bào)警。如此的話，我們網(wǎng)絡(luò)安全管理人員就可以及時(shí)的采取措施。而不是等到服務(wù)器崩潰了，才去想辦解決。

　　如有時(shí)候，我們在郵件服務(wù)器安全設(shè)計(jì)的時(shí)候，會(huì)考慮某些郵箱地址不能夠向外部發(fā)送郵件，而只能夠在企業(yè)內(nèi)部發(fā)送郵件。此時(shí)，若有些郵箱帳戶試圖向外部的郵箱發(fā)送郵件的時(shí)候，就需要記錄這些信息。因?yàn)榇藭r(shí)，網(wǎng)絡(luò)安全管理人員就需要注意他們是否在把一些機(jī)密信息發(fā)送給他人。這也是我們安全審計(jì)中需要注意的一個(gè)內(nèi)容，需要對其執(zhí)行自動(dòng)報(bào)警。

　　所以，為了把問題消除在萌芽狀態(tài)，而不是等到不可挽回的時(shí)候，才去想解決措施。這就必須要求我們在安全審計(jì)的過程中，實(shí)現(xiàn)一定的自動(dòng)報(bào)警功能。

　　四是要考慮，如何防止這些記錄被非法修改？

　　我們在實(shí)現(xiàn)安全審計(jì)的過程中，大部分都是通過服務(wù)器的日志來實(shí)現(xiàn)的。可以這么說，任何非法攻擊都會(huì)在相關(guān)的日志中，如網(wǎng)絡(luò)日志或者系統(tǒng)日志中，留下一定的痕跡。而很多非法攻擊者，為了隱藏自己的攻擊行為，在事后，他們都會(huì)試圖消除這些痕跡，以方面他們后續(xù)的攻擊。

　　所以，在安全審計(jì)的實(shí)現(xiàn)過程中，還需要考慮如何防止這些信息被非法的修改與利用。一般情況下，我們可以采取如下措施來保證這些審計(jì)信息的安全。

　　一方面，我們可以修改這些記錄信息的位置與文件名。若我們開啟了網(wǎng)絡(luò)日志或者系統(tǒng)日志的話，系統(tǒng)會(huì)自動(dòng)為其創(chuàng)建一個(gè)文件來存放這些記錄信息。我們在管理中，往往需要更改這些日志文件的名字已經(jīng)存儲路徑。如此的話，就可以防止非法攻擊者更改這些信息。

　　另一方面，可以采用一些安全審計(jì)工具。這些安全審計(jì)服務(wù)器會(huì)及時(shí)的把相關(guān)信息收集起來。如此的話，即使非法攻擊者修改服務(wù)器或者操作系統(tǒng)上的日志，也無濟(jì)于事。因?yàn)檫@些信息，已經(jīng)被安全審計(jì)服務(wù)器所記錄下來。他們再進(jìn)行修改也無用。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊