做好企業(yè)網(wǎng)絡安全的審計四部曲
俗話說,沒有監(jiān)督的權力就會導致絕對的腐敗。這句偉人的名言不僅可以用在政治上,而且,在企業(yè)網(wǎng)絡安全管理中也可以普遍應用。企業(yè)網(wǎng)絡的安全審計是指一個記錄網(wǎng)絡用戶進行相關網(wǎng)絡操作的所有活動,包括用戶
俗話說,沒有監(jiān)督的權力就會導致絕對的腐敗。這句偉人的名言不僅可以用在政治上,而且,在企業(yè)網(wǎng)絡安全管理中也可以普遍應用。企業(yè)網(wǎng)絡的安全審計是指一個記錄網(wǎng)絡用戶進行相關網(wǎng)絡操作的所有活動,包括用戶知道的與背著用戶做的任何活動。企業(yè)網(wǎng)絡安全審計是提高企業(yè)網(wǎng)絡安全性的一個重要的基礎性工作。
我們之所以要啟用網(wǎng)絡安全設計制度,它的意義在于:
一方面,企業(yè)網(wǎng)絡安全審計,可以知道現(xiàn)在有哪些用戶在訪問企業(yè)的網(wǎng)絡。有時候,非法攻擊者利用后門訪問企業(yè)訪問的時候,通過其他方式是很難發(fā)現(xiàn)的。而通過網(wǎng)絡安全設計,各種用戶都可以一覽無余的顯示出來。為此,網(wǎng)絡安全管理員就可以知道哪些用戶是合法的,哪些用戶是非法的,從而采取對應的措施。
另一方面,企業(yè)網(wǎng)絡安全審計還可以告訴網(wǎng)絡安全人員,用戶都在做些什么。一般來說,企業(yè)網(wǎng)絡管理中,包括兩類用戶,一是普通用戶,二是網(wǎng)絡管理員。但是,有時候,一些普通用戶通過一定的手段,也會獲取網(wǎng)絡管理員的身份。所以,網(wǎng)絡安全管理人員也需要知道有哪些普通用戶在做一些跟他身份不符的操作。而通過網(wǎng)絡安全審計,則可以清楚的告訴企業(yè)網(wǎng)絡安全管理人員這方面的信息。
所以,筆者認為,企業(yè)網(wǎng)絡安全審計是做好企業(yè)網(wǎng)絡安全管理的一個基礎性工作,也是一項非常重要的工作。
那么該如何做好企業(yè)網(wǎng)絡安全審計呢?筆者認為,該從如下幾個方面出發(fā)。
一是要考慮,該記錄什么內(nèi)容?
要知道,跟網(wǎng)絡相關的操作每秒鐘都在發(fā)生,若一點風吹草動都記錄的話,則其安全審計記錄的數(shù)量會成幾何級別上升。如此海量的數(shù)據(jù)記錄信息,不僅存儲方面會帶來很大的壓力,而且后續(xù)查看起來也會有非常大的困難。所以說,最好安全審計,不一定是要把所有的操作情況都一一的記錄下來。而是要根據(jù)企業(yè)實際情況,對于安全程度的要求不同,選擇記錄不同的信息。
就拿筆者的企業(yè)來說,雖然說網(wǎng)絡設計比較復雜,但是,其網(wǎng)絡安全審計涉及的面還是比較小的,主要包括以下幾個方面的內(nèi)容。
一是重要網(wǎng)絡設備的運行情況。如防火墻、路由器等等關鍵設備的運行與管理記錄,都會被一一的進行審計。而一些次要的網(wǎng)絡設備,如DHCP服務器等等,由于相對來說不易受到攻擊,而且,平時也做好了相關的備份工作,所以就沒有對他進行相關的安全審計。
二是一些重要應用服務器的安全審計。企業(yè)現(xiàn)在有ERP服務器、Oracle數(shù)據(jù)庫服務器、OA服務器、郵箱服務器、文件服務等應用服務器。有些這些服務器跟企業(yè)的正常工作息息相關。當這些服務器出現(xiàn)故障的時候,很可能企業(yè)的生產(chǎn)經(jīng)營活動就會受到不良影響。所以,對這些應用服務器進行安全審計,是必要的。
總之,筆者認為,若要對所有的網(wǎng)絡活動進行安全審計的話,是一件吃力不討好的工作。在對網(wǎng)絡活動進行安全審計的過程中,要考慮到20/80的原則。即一般來說,只要對20%左右的關鍵設備、重要服務器與企業(yè)級的活動進行審計即可。而完全沒有必要眉毛胡子一把抓。因為如此收集過來的信息太過于海量,雖然說,收集這些信息很簡單,但是企業(yè)沒有這么大的精力去統(tǒng)計、分析這些信息。如此的話,這些信息也就變成了垃圾。
二是要考慮,什么時候需要記錄什么信息?
我們除了要考慮需要收集什么信息之外,在網(wǎng)絡安全審計過程中,還需要考慮一個問題,就是在什么時候觸發(fā)網(wǎng)絡安全審計這個動作。這也是為了盡量的讓網(wǎng)絡安全審計記錄一些有價值的信息,從而減少后續(xù)的記錄統(tǒng)計與分析的工作,盡快發(fā)現(xiàn)網(wǎng)絡的異常行為。
如對于用戶登錄文件服務器這一個動作,若用戶屬于正常訪問,則我們沒有必要對其進行詳細記錄。相反,若用戶三次試圖登錄文件服務器,仍然以失敗告終;或者其試圖訪問未經(jīng)授權的文件時,則就需要記錄這些記錄。很明顯,這可以大幅度的縮小記錄的信息量。而把安全審計的重點放在一些異常活動中。
筆者現(xiàn)在在企業(yè)網(wǎng)絡的安全審計中,主要選擇以下事件,作為安全記錄的觸發(fā)時機,
一是一些失敗訪問的動作。如某些用戶試圖多次登陸服務器或者網(wǎng)絡設備,當用戶名或者密碼錯誤超過三次的時候,這些記錄的話,都需要記錄下來。這主要是因為這往往可以說明是有人試圖采用猜密碼或者使用密碼字典攻擊等工具,想非法登陸這些設備。
二是一些未經(jīng)授權的操作。如某個用戶雖然可以登錄文件服務器訪問某些文件,但是,其也有權限的限制。如其不能夠訪問某些文件夾,或者對于某些文件夾不能夠進行讀寫操作。如果未經(jīng)授權的用戶有了這些操作,則它們也將成為我們安全審計的對象。這些用戶以及它們試圖操作的行為,都將會被一一的記錄下來。以后我們就會分析這些信息,以判斷用戶是惡意的還是無意的。
三是一些異常的信息。如在安全審計中,還會記錄用戶的操作是否會被相應的設備產(chǎn)生比較重大的影響。如是否占用了大量的服務器資源,等等。如在文件服務器中,設置了磁盤限額的話,當用戶在文件服務上存儲的數(shù)據(jù)超過了一定的容量時,安全審計就需要記錄這方面的信息。網(wǎng)絡管理人員需要去審查該用戶的文件信息,若這些文件都是必要的,則就需要調(diào)整該用戶的磁盤限額,否則的話,當容量達到磁盤限額時,就會給他們的工作帶來不良的影響。
所以,筆者認為,在企業(yè)網(wǎng)絡安全審計的過程中,我們還需要考慮什么時候觸發(fā)這個安全審計的動作。合理的選擇這個觸發(fā)的時機,可以大大的減少我們的工作量,把時間與精力都用在刀刃上。
三是要考慮,如何實現(xiàn)自動報警?
在安全審計過程中,有時候?qū)崿F(xiàn)自動報警也是非常必要的。因為有時候若不采取自動報警制度的話,有些異常信息我們無法及時發(fā)現(xiàn),而不能夠采取及時的措施。等到異常情況出現(xiàn)了再去審計相關的行為時,損失已經(jīng)造成了,即使找到責任人的話,也不能夠挽回。所以,通過自動報警的行為,我們可以把問題消除在萌芽狀態(tài),盡量的幫助企業(yè)減少損失。
如對于服務器,很多攻擊都會造成服務器資源的耗竭,這就是通常所說的“拒絕服務式攻擊”。若我們在相關的服務器上,能夠采用自動報警制度。如到CPU或者內(nèi)存使用率達到80%以上時,能夠自動向網(wǎng)絡安全管理人員報警。如此的話,我們網(wǎng)絡安全管理人員就可以及時的采取措施。而不是等到服務器崩潰了,才去想辦解決。
如有時候,我們在郵件服務器安全設計的時候,會考慮某些郵箱地址不能夠向外部發(fā)送郵件,而只能夠在企業(yè)內(nèi)部發(fā)送郵件。此時,若有些郵箱帳戶試圖向外部的郵箱發(fā)送郵件的時候,就需要記錄這些信息。因為此時,網(wǎng)絡安全管理人員就需要注意他們是否在把一些機密信息發(fā)送給他人。這也是我們安全審計中需要注意的一個內(nèi)容,需要對其執(zhí)行自動報警。
所以,為了把問題消除在萌芽狀態(tài),而不是等到不可挽回的時候,才去想解決措施。這就必須要求我們在安全審計的過程中,實現(xiàn)一定的自動報警功能。
四是要考慮,如何防止這些記錄被非法修改?
我們在實現(xiàn)安全審計的過程中,大部分都是通過服務器的日志來實現(xiàn)的。可以這么說,任何非法攻擊都會在相關的日志中,如網(wǎng)絡日志或者系統(tǒng)日志中,留下一定的痕跡。而很多非法攻擊者,為了隱藏自己的攻擊行為,在事后,他們都會試圖消除這些痕跡,以方面他們后續(xù)的攻擊。
所以,在安全審計的實現(xiàn)過程中,還需要考慮如何防止這些信息被非法的修改與利用。一般情況下,我們可以采取如下措施來保證這些審計信息的安全。
一方面,我們可以修改這些記錄信息的位置與文件名。若我們開啟了網(wǎng)絡日志或者系統(tǒng)日志的話,系統(tǒng)會自動為其創(chuàng)建一個文件來存放這些記錄信息。我們在管理中,往往需要更改這些日志文件的名字已經(jīng)存儲路徑。如此的話,就可以防止非法攻擊者更改這些信息。
另一方面,可以采用一些安全審計工具。這些安全審計服務器會及時的把相關信息收集起來。如此的話,即使非法攻擊者修改服務器或者操作系統(tǒng)上的日志,也無濟于事。因為這些信息,已經(jīng)被安全審計服務器所記錄下來。他們再進行修改也無用。
我們之所以要啟用網(wǎng)絡安全設計制度,它的意義在于:
一方面,企業(yè)網(wǎng)絡安全審計,可以知道現(xiàn)在有哪些用戶在訪問企業(yè)的網(wǎng)絡。有時候,非法攻擊者利用后門訪問企業(yè)訪問的時候,通過其他方式是很難發(fā)現(xiàn)的。而通過網(wǎng)絡安全設計,各種用戶都可以一覽無余的顯示出來。為此,網(wǎng)絡安全管理員就可以知道哪些用戶是合法的,哪些用戶是非法的,從而采取對應的措施。
另一方面,企業(yè)網(wǎng)絡安全審計還可以告訴網(wǎng)絡安全人員,用戶都在做些什么。一般來說,企業(yè)網(wǎng)絡管理中,包括兩類用戶,一是普通用戶,二是網(wǎng)絡管理員。但是,有時候,一些普通用戶通過一定的手段,也會獲取網(wǎng)絡管理員的身份。所以,網(wǎng)絡安全管理人員也需要知道有哪些普通用戶在做一些跟他身份不符的操作。而通過網(wǎng)絡安全審計,則可以清楚的告訴企業(yè)網(wǎng)絡安全管理人員這方面的信息。
所以,筆者認為,企業(yè)網(wǎng)絡安全審計是做好企業(yè)網(wǎng)絡安全管理的一個基礎性工作,也是一項非常重要的工作。
那么該如何做好企業(yè)網(wǎng)絡安全審計呢?筆者認為,該從如下幾個方面出發(fā)。
一是要考慮,該記錄什么內(nèi)容?
要知道,跟網(wǎng)絡相關的操作每秒鐘都在發(fā)生,若一點風吹草動都記錄的話,則其安全審計記錄的數(shù)量會成幾何級別上升。如此海量的數(shù)據(jù)記錄信息,不僅存儲方面會帶來很大的壓力,而且后續(xù)查看起來也會有非常大的困難。所以說,最好安全審計,不一定是要把所有的操作情況都一一的記錄下來。而是要根據(jù)企業(yè)實際情況,對于安全程度的要求不同,選擇記錄不同的信息。
就拿筆者的企業(yè)來說,雖然說網(wǎng)絡設計比較復雜,但是,其網(wǎng)絡安全審計涉及的面還是比較小的,主要包括以下幾個方面的內(nèi)容。
一是重要網(wǎng)絡設備的運行情況。如防火墻、路由器等等關鍵設備的運行與管理記錄,都會被一一的進行審計。而一些次要的網(wǎng)絡設備,如DHCP服務器等等,由于相對來說不易受到攻擊,而且,平時也做好了相關的備份工作,所以就沒有對他進行相關的安全審計。
二是一些重要應用服務器的安全審計。企業(yè)現(xiàn)在有ERP服務器、Oracle數(shù)據(jù)庫服務器、OA服務器、郵箱服務器、文件服務等應用服務器。有些這些服務器跟企業(yè)的正常工作息息相關。當這些服務器出現(xiàn)故障的時候,很可能企業(yè)的生產(chǎn)經(jīng)營活動就會受到不良影響。所以,對這些應用服務器進行安全審計,是必要的。
總之,筆者認為,若要對所有的網(wǎng)絡活動進行安全審計的話,是一件吃力不討好的工作。在對網(wǎng)絡活動進行安全審計的過程中,要考慮到20/80的原則。即一般來說,只要對20%左右的關鍵設備、重要服務器與企業(yè)級的活動進行審計即可。而完全沒有必要眉毛胡子一把抓。因為如此收集過來的信息太過于海量,雖然說,收集這些信息很簡單,但是企業(yè)沒有這么大的精力去統(tǒng)計、分析這些信息。如此的話,這些信息也就變成了垃圾。
二是要考慮,什么時候需要記錄什么信息?
我們除了要考慮需要收集什么信息之外,在網(wǎng)絡安全審計過程中,還需要考慮一個問題,就是在什么時候觸發(fā)網(wǎng)絡安全審計這個動作。這也是為了盡量的讓網(wǎng)絡安全審計記錄一些有價值的信息,從而減少后續(xù)的記錄統(tǒng)計與分析的工作,盡快發(fā)現(xiàn)網(wǎng)絡的異常行為。
如對于用戶登錄文件服務器這一個動作,若用戶屬于正常訪問,則我們沒有必要對其進行詳細記錄。相反,若用戶三次試圖登錄文件服務器,仍然以失敗告終;或者其試圖訪問未經(jīng)授權的文件時,則就需要記錄這些記錄。很明顯,這可以大幅度的縮小記錄的信息量。而把安全審計的重點放在一些異常活動中。
筆者現(xiàn)在在企業(yè)網(wǎng)絡的安全審計中,主要選擇以下事件,作為安全記錄的觸發(fā)時機,
一是一些失敗訪問的動作。如某些用戶試圖多次登陸服務器或者網(wǎng)絡設備,當用戶名或者密碼錯誤超過三次的時候,這些記錄的話,都需要記錄下來。這主要是因為這往往可以說明是有人試圖采用猜密碼或者使用密碼字典攻擊等工具,想非法登陸這些設備。
二是一些未經(jīng)授權的操作。如某個用戶雖然可以登錄文件服務器訪問某些文件,但是,其也有權限的限制。如其不能夠訪問某些文件夾,或者對于某些文件夾不能夠進行讀寫操作。如果未經(jīng)授權的用戶有了這些操作,則它們也將成為我們安全審計的對象。這些用戶以及它們試圖操作的行為,都將會被一一的記錄下來。以后我們就會分析這些信息,以判斷用戶是惡意的還是無意的。
三是一些異常的信息。如在安全審計中,還會記錄用戶的操作是否會被相應的設備產(chǎn)生比較重大的影響。如是否占用了大量的服務器資源,等等。如在文件服務器中,設置了磁盤限額的話,當用戶在文件服務上存儲的數(shù)據(jù)超過了一定的容量時,安全審計就需要記錄這方面的信息。網(wǎng)絡管理人員需要去審查該用戶的文件信息,若這些文件都是必要的,則就需要調(diào)整該用戶的磁盤限額,否則的話,當容量達到磁盤限額時,就會給他們的工作帶來不良的影響。
所以,筆者認為,在企業(yè)網(wǎng)絡安全審計的過程中,我們還需要考慮什么時候觸發(fā)這個安全審計的動作。合理的選擇這個觸發(fā)的時機,可以大大的減少我們的工作量,把時間與精力都用在刀刃上。
三是要考慮,如何實現(xiàn)自動報警?
在安全審計過程中,有時候?qū)崿F(xiàn)自動報警也是非常必要的。因為有時候若不采取自動報警制度的話,有些異常信息我們無法及時發(fā)現(xiàn),而不能夠采取及時的措施。等到異常情況出現(xiàn)了再去審計相關的行為時,損失已經(jīng)造成了,即使找到責任人的話,也不能夠挽回。所以,通過自動報警的行為,我們可以把問題消除在萌芽狀態(tài),盡量的幫助企業(yè)減少損失。
如對于服務器,很多攻擊都會造成服務器資源的耗竭,這就是通常所說的“拒絕服務式攻擊”。若我們在相關的服務器上,能夠采用自動報警制度。如到CPU或者內(nèi)存使用率達到80%以上時,能夠自動向網(wǎng)絡安全管理人員報警。如此的話,我們網(wǎng)絡安全管理人員就可以及時的采取措施。而不是等到服務器崩潰了,才去想辦解決。
如有時候,我們在郵件服務器安全設計的時候,會考慮某些郵箱地址不能夠向外部發(fā)送郵件,而只能夠在企業(yè)內(nèi)部發(fā)送郵件。此時,若有些郵箱帳戶試圖向外部的郵箱發(fā)送郵件的時候,就需要記錄這些信息。因為此時,網(wǎng)絡安全管理人員就需要注意他們是否在把一些機密信息發(fā)送給他人。這也是我們安全審計中需要注意的一個內(nèi)容,需要對其執(zhí)行自動報警。
所以,為了把問題消除在萌芽狀態(tài),而不是等到不可挽回的時候,才去想解決措施。這就必須要求我們在安全審計的過程中,實現(xiàn)一定的自動報警功能。
四是要考慮,如何防止這些記錄被非法修改?
我們在實現(xiàn)安全審計的過程中,大部分都是通過服務器的日志來實現(xiàn)的。可以這么說,任何非法攻擊都會在相關的日志中,如網(wǎng)絡日志或者系統(tǒng)日志中,留下一定的痕跡。而很多非法攻擊者,為了隱藏自己的攻擊行為,在事后,他們都會試圖消除這些痕跡,以方面他們后續(xù)的攻擊。
所以,在安全審計的實現(xiàn)過程中,還需要考慮如何防止這些信息被非法的修改與利用。一般情況下,我們可以采取如下措施來保證這些審計信息的安全。
一方面,我們可以修改這些記錄信息的位置與文件名。若我們開啟了網(wǎng)絡日志或者系統(tǒng)日志的話,系統(tǒng)會自動為其創(chuàng)建一個文件來存放這些記錄信息。我們在管理中,往往需要更改這些日志文件的名字已經(jīng)存儲路徑。如此的話,就可以防止非法攻擊者更改這些信息。
另一方面,可以采用一些安全審計工具。這些安全審計服務器會及時的把相關信息收集起來。如此的話,即使非法攻擊者修改服務器或者操作系統(tǒng)上的日志,也無濟于事。因為這些信息,已經(jīng)被安全審計服務器所記錄下來。他們再進行修改也無用。
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡
