涉密網(wǎng)絡(luò )主機審計系統設計

涉密網(wǎng)絡(luò )主機審計系統設計

　　摘　要： 從系統的、整體的、動(dòng)態(tài)的角度，參照國家對主機審計產(chǎn)品的技術(shù)要求和對部分主機審計軟件的了解，結合實(shí)際的終端信息安全管理需求，從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想，達到對終端用戶(hù)的有效管理和控制。

　　關(guān)鍵詞： 涉密網(wǎng)絡(luò )；安全審計；主機審計；系統設計

　　1 　引　言

　　隨著(zhù)網(wǎng)絡(luò )與信息系統的廣泛使用，網(wǎng)絡(luò )與信息系統安全問(wèn)題逐漸成為人們關(guān)注的焦點(diǎn)。

　　涉密網(wǎng)與因特網(wǎng)之間一般采取了物理隔離的安全措施，在一定程度上保證了內部網(wǎng)絡(luò )的安全性。然而，網(wǎng)絡(luò )安全管理人員仍然會(huì )對所管理網(wǎng)絡(luò )的安全狀況感到擔憂(yōu)，因為整個(gè)網(wǎng)絡(luò )安全的薄弱環(huán)節往往出現在終端用戶(hù)。網(wǎng)絡(luò )安全存在著(zhù)“木桶”效應，單個(gè)用戶(hù)計算機的安全性不足時(shí)刻威脅著(zhù)整個(gè)網(wǎng)絡(luò )的安全 。如何加強對終端用戶(hù)計算機的安全管理成為一個(gè)急待解決的問(wèn)題。

　　本文從系統的、整體的、動(dòng)態(tài)的角度，參照國家對安全審計產(chǎn)品的技術(shù)要求和對部分主機審計軟件的了解，結合實(shí)際的信息安全管理需求，討論主機審計系統的設計，達到對終端用戶(hù)的有效管理和控制。

　　2 　安全審計概念。

　　計算機網(wǎng)絡(luò )信息系統中信息的機密性、完整性、可控性、可用性和不可否認性，簡(jiǎn)稱(chēng)“五性”，安全審計是這“五性”的重要保障之一 。

　　凡是對于網(wǎng)絡(luò )信息系統的薄弱環(huán)節進(jìn)行測試、評估和分析，以找到極佳途徑在最大限度保障安全的基礎上使得業(yè)務(wù)正常運行的一切行為和手段，都可以叫做安全審計 。

　　傳統的安全審計多為“日志記錄”，注重事后的審計，強調審計的威懾作用和安全事件的可核查性。隨著(zhù)國家信息安全政策的改變，美國首先在信息保障技術(shù)框架（ IA TF） 中提出在信息基礎設置中進(jìn)行所謂“深層防御策略（Defense2in2Dept h St rategy） ”，對安全審計系統提出了參與主動(dòng)保護和主動(dòng)響應的要求 。這就是現代網(wǎng)絡(luò )安全審計的雛形，突破了以往“日志記錄”

　　等淺層次的安全審計概念，是全方位、分布式、多層次的強審計概念，符合信息保障技術(shù)框架提出的保護、檢測、反應和恢復（ PDRR） 動(dòng)態(tài)過(guò)程的要求，在提高審計廣度和深度的基礎上，做到對信息的主動(dòng)保護和主動(dòng)響應。

　　3 　主機審計系統設計。

　　安全審計從技術(shù)上分為網(wǎng)絡(luò )審計、數據庫審計、主機審計、應用審計和綜合審計。主機審計就是獲取、記錄被審計主機的狀態(tài)信息和敏感操作，并從已有的主機系統審計記錄中提取信息，依據審計規則分析判斷是否有違規行為。

　　一般網(wǎng)絡(luò )系統的主機審計多采用傳統的審計，涉密系統的主機審計應采用現代綜合審計，做到對信息的主動(dòng)保護和主動(dòng)響應。因此，涉密網(wǎng)絡(luò )的主機審計在設計時(shí)就應該全方位進(jìn)行考慮。

　　3. 1 　體系架構。

　　主機審計系統由控制中心、受控端、管理端等三部分組成。管理端和控制中心間為B/ S架構，管理端通過(guò)瀏覽器訪(fǎng)問(wèn)控制中心。對于管理端，其操作系統應不限于Windows ,瀏覽器也不是只有IE。管理端地位重要，應有一定保護措施，同時(shí)管理端和控制中心的通訊應有安全保障，可考慮隔離措施和SHTTP 協(xié)議。

　　主機審計能夠分不同的角色來(lái)使用，至少劃分安全策略管理員、審計管理員、系統管理員。

　　安全策略管理員按照制定的監控審計策略進(jìn)行實(shí)施；審計管理員負責定期審計收集的信息，根據策略判斷用戶(hù)行為（包括三個(gè)管理員的行為） 是否違規，出審計報告；系統管理員負責分配安全策略管理員和審計管理員的權限。三員的任何操作系統有相應記錄，對系統的操作互相配合，同時(shí)互相監督，既方便管理，又保證整個(gè)監控體系和系統本身的安全�？刂浦行氖菍徲嬒到y的核心，所有信息都保存在控制中心。因此，控制中心的操作系統和數據庫最好是國內自己研發(fā)的�？刂浦行牡拇鎯�空間到一定限額時(shí)報警，提醒管理員及時(shí)備份并刪除信息，保證審計系統能夠采集新的信息。

　　3. 2 　安全策略管理。

　　不同的安全策略得到的審計信息不同。安全策略與管理策略緊密掛鉤，體現安全管理意志。在審計系統上實(shí)施安全策略前，應根據安全管理思想，結合審計系統能夠實(shí)現的技術(shù)途徑，制定詳細的安全策略，由安全員按照安全策略具體實(shí)施。如安全策略可以分部門(mén)、分小組制定并執行。安全策略越完善，審計越徹底，越能反映主機的安全狀態(tài)。

　　主機審計的安全策略由控制中心統一管理，策略發(fā)放采取推拉結合的方式，即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。當安全策略發(fā)生更改時(shí)，控制中心可以及時(shí)將策略發(fā)給受控端。但是，當受控端安裝了防火墻時(shí)，推送方式將受阻，安全策略發(fā)送不到受控端。由受控端向控制中心定期拉策略，可以保證受控端和控制中心的通訊不會(huì )因為安裝個(gè)人防火墻或其他認證保護措施而中斷。聯(lián)網(wǎng)主機（服務(wù)器、聯(lián)網(wǎng)PC 機） 通過(guò)網(wǎng)絡(luò )接收控制中心的管理策略向控制中心傳遞審計信息。單機（桌面PC 或筆記本） 通過(guò)外置磁介質(zhì)（如U 盤(pán)、移動(dòng)硬盤(pán)） 接收控制中心管理策略。審計信息存放在主機內，由管理員定期通過(guò)外置磁介質(zhì)將審計信息傳遞給控制中心。所有通訊采用SSL 加密方式傳輸，確保數據在傳輸過(guò)程中不會(huì )被篡改或欺騙。

　　為了防止受控端脫離控制中心管理，受控端程序應由安全員統一安裝在受控主機，并與受控主機的網(wǎng)卡地址、IP 地址綁定。該程序做到不可隨意卸載，不能隨意關(guān)閉審計服務(wù)，且不影響受控端的運行性能。受控端一旦安裝受控程序，只有重裝操作系統或由安全員卸載，才能脫離控制中心的管理。聯(lián)網(wǎng)時(shí)自動(dòng)將信息傳到控制中心，以保證審計服務(wù)不會(huì )被繞過(guò)。

　　3. 3 　審計主機范圍。

　　涉密信息系統中的主機有聯(lián)網(wǎng)主機、單機等。常用操作系統包括Windows 98 ,Windows2000 ,Windows XP ,Linux ,Unix 等。主機審計系統的受控端支持裝有不同操作系統的聯(lián)網(wǎng)主機、單機等，實(shí)現使用同一軟件解決聯(lián)網(wǎng)機、單機、筆記本的審計問(wèn)題。

　　根據國家有關(guān)規定，涉密信息系統劃分為不同安全域。安全域可通過(guò)劃分虛擬網(wǎng)實(shí)現，也可通過(guò)設置安全隔離設備（如防火墻） 實(shí)現。主機審計系統應考慮不同安全域中主機的管理和控制，即能夠對不同網(wǎng)段的受控端和安裝了防火墻的受控端進(jìn)行控制并將信息收集到控制中心，以便統一進(jìn)行審計。同時(shí)能給出簡(jiǎn)單網(wǎng)絡(luò )拓撲，為管理人員提供方便。

　　3. 4 　主機行為監控。

　　一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多，不清楚計算機的安全狀態(tài)。主機審計系統的受控端軟件應具有主機安全狀態(tài)自檢功能，主要用于檢查終端的安全策略執行情況，包括補丁安裝、弱口令、軟件安裝、殺毒軟件安裝等，形成檢查報告，讓使用人員對本機的安全狀況有一個(gè)清楚的認識，從而有針對性地采取措施。自檢功能可由使用人員自行開(kāi)啟或關(guān)閉。檢查報告上傳給控制中心。

　　主機審計系統對使用受控端主機人員的行為進(jìn)行限制、監控和記錄，包括對文檔的修改、拷貝、打印的監控和記錄，撥號上網(wǎng)行為的監控和記錄，各種外置接口的禁止或啟用（并口、串口、USB 接口等） ,對USB 設備進(jìn)行分類(lèi)管理，如USB 存儲設備（U 盤(pán)，活動(dòng)硬盤(pán)） 、USB 輸入設備（USB 鍵盤(pán)、鼠標） 、USB2KEY以及自定義設備。通過(guò)分類(lèi)和靈活設置，增強實(shí)用性，對受控主機添加和刪除設備進(jìn)行監控和記錄，對未安裝受控端的主機接入網(wǎng)絡(luò )拒絕并報警，防止非法主機的接入。

　　主機審計系統對接入計算機的存儲介質(zhì)進(jìn)行認證、控制和報警。做到經(jīng)過(guò)認證的合法介質(zhì)可以從主機拷貝信息；未通過(guò)認證的非法介質(zhì)只能將信息拷入主機內，不能從主機拷出信息到介質(zhì)內，否則產(chǎn)生報警信息，防止信息被有意或者無(wú)意從存儲設備（尤其是移動(dòng)存儲設備） 泄漏出去。在認證時(shí)，把介質(zhì)分類(lèi)標識為非密、秘密、機密。當合法介質(zhì)從主機拷貝信息時(shí)，判斷信息密級（國家有關(guān)部門(mén)規定，涉密信息必須有密級標識） ,拒絕低密級介質(zhì)拷貝高密級信息。

　　在認證時(shí)，把移動(dòng)介質(zhì)編號，編號與使用人員對應。移動(dòng)介質(zhì)接入主機操作時(shí)記錄下移動(dòng)介質(zhì)編號，以便審計時(shí)介質(zhì)與人對應。涉密信息被拷貝時(shí)會(huì )自動(dòng)加密存儲在移動(dòng)介質(zhì)上，加密存儲在移動(dòng)介質(zhì)上的信息也只能在裝有受控端的主機上讀寫(xiě)，讀寫(xiě)時(shí)自動(dòng)解密。認證信息只有在移動(dòng)介質(zhì)被格式化時(shí)才能清除，否則無(wú)法刪除。有防止系統自動(dòng)讀取介質(zhì)內文檔的功能，避免移動(dòng)介質(zhì)接在計算機上（無(wú)論是合法還是非法計算機） 被系統自動(dòng)將所有文檔讀到計算機上。

　　3. 5 　綜合審計及處理措施。

　　要達到綜合審計，主機審計系統需要通過(guò)標準接口對多種類(lèi)型、多個(gè)品牌的安全產(chǎn)品進(jìn)行管理，如主機IDS、主機防火墻、防病毒軟件等，將這些安全產(chǎn)品的日志、安全事件集中收集管理，實(shí)現日志的集中分析、審計與報告。同時(shí)，通過(guò)對安全事件的關(guān)聯(lián)分析，發(fā)現潛在的攻擊征兆和安全趨勢，確保任何安全事件、事故得到及時(shí)的響應和處理。把主機上一個(gè)個(gè)原本分離的網(wǎng)絡(luò )安全產(chǎn)品聯(lián)結成一個(gè)有機協(xié)作的整體，實(shí)現主機安全管理過(guò)程實(shí)時(shí)狀態(tài)監測、動(dòng)態(tài)策略調整、綜合安全審計、數據關(guān)聯(lián)處理以及恰當及時(shí)的威脅響應，從而有效提升用戶(hù)主機的可管理性和安全水平，為整體安全策略制定和實(shí)施提供可靠依據。

　　系統的安全隱患可以從審計報告反映出來(lái)，因此審計系統的審計報告是很重要的。審計報告應將收集到的所有信息綜合審計，按要求顯示并打印出來(lái)，能用圖形說(shuō)明問(wèn)題，能按標準格式（WORD、HTML 、文本文件等） 輸出。但是，審計信息數據多，直接將收集的信息分類(lèi)整理形成的報告不能很好的說(shuō)明問(wèn)題，還應配合審計員的人工分析。這些信息可以由審計員定期從控制中心數據庫備份恢復。備份的數據自動(dòng)加密，恢復時(shí)自動(dòng)解密。審計信息也可以刪除，但是刪除操作只能由審計員發(fā)起，經(jīng)安全員確認后才執行，以保證審計信息的安全性、完整性。

　　審計系統發(fā)現問(wèn)題的修復措施一般有打補丁、停止服務(wù)、升級或更換程序、去除特洛伊等后門(mén)程序、修改配置和權限、專(zhuān)門(mén)的解決方案等。為了保證所有主機都能得到有效地處理，通過(guò)控制中心統一向受控端發(fā)送軟件升級包、軟件補丁。發(fā)送時(shí)針對不同版本操作系統，由受控端自行選擇是否自動(dòng)執行。因為有些軟件升級包、軟件補丁與應用程序有沖突，會(huì )影響終端用戶(hù)的工作。針對這種情況，只能采取專(zhuān)門(mén)的解決方案。

　　在復雜的網(wǎng)絡(luò )環(huán)境中，一個(gè)涉密網(wǎng)往往由不同的操作系統、服務(wù)器，防火墻和入侵檢測等眾多的安全產(chǎn)品組成。網(wǎng)絡(luò )一旦遭受攻擊后，專(zhuān)業(yè)人員會(huì )把不同日志系統里的日志提取出來(lái)進(jìn)行分析。不同系統的時(shí)間沒(méi)有經(jīng)過(guò)任何校準，會(huì )不必要地增加日志分析人員的工作量。系統應提供全網(wǎng)統一的時(shí)鐘服務(wù)，將控制中心設置為標準時(shí)間，受控端在接收管理的同時(shí)，與控制中心保持時(shí)間同步，實(shí)現審計系統的時(shí)間一致性，從而提供有效的入侵檢測和事后追查機制。

　　4 　結束語(yǔ)

　　涉密系統的終端安全管理是一個(gè)非常重要的問(wèn)題，也是一個(gè)復雜的問(wèn)題，涉及到多方面的因素。本文從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想，旨在與廣大同行交流，共同推進(jìn)主機審計系統的開(kāi)發(fā)和研究，最終開(kāi)發(fā)出一個(gè)全方位的符合涉密系統終端安全管理需求的系統。

　　參考文獻：

　　 　網(wǎng)絡(luò )安全監控平臺技術(shù)白皮書(shū)。 北京理工大學(xué)信息安全與對抗技術(shù)研究中心，2005.

　　 　王雪來(lái)。 涉密計算機信息系統的安全審計。 見(jiàn)：中國計算機學(xué)會(huì )信息保密專(zhuān)業(yè)委員會(huì )論文集，13 :67 - 72.

　　 　侯小東。 安全：防火墻和安全審計是基礎。 中國計算機報，2003.

　　 　電子政務(wù)系統中的安全審計。 保密技術(shù)信息，2004 , （36） :13 - 15.

【涉密網(wǎng)絡(luò )主機審計系統設計】相關(guān)文章：

關(guān)于涉密信息網(wǎng)絡(luò )安全應用系統研究03-02

網(wǎng)絡(luò )教學(xué)系統的設計與開(kāi)發(fā)03-07

移動(dòng)網(wǎng)絡(luò )監控系統的設計與實(shí)現03-05

淺析網(wǎng)絡(luò )招生錄取系統的設計與實(shí)現03-29

基于A(yíng)SP的網(wǎng)絡(luò )考試系統的設計與實(shí)現03-07

網(wǎng)絡(luò )應用系統通用框架的研究與設計12-11

網(wǎng)絡(luò )狀況動(dòng)態(tài)感知反饋系統設計03-07

網(wǎng)絡(luò )購物系統的設計與實(shí)現ASP+SQL03-08

多網(wǎng)絡(luò )智能遠程遙控系統的設計與實(shí)現03-19