做好企業網絡安全的審計四部曲

2013-10-22 10:15:27 eNet硅谷動力　點擊量：評論 (0)

俗話說，沒有監督的權力就會導致絕對的腐敗。這句偉人的名言不僅可以用在政治上，而且，在企業網絡安全管理中也可以普遍應用。企業網絡的安全審計是指一個記錄網絡用戶進行相關網絡操作的所有活動，包括用戶

俗話說，沒有監督的權力就會導致絕對的腐敗。這句偉人的名言不僅可以用在政治上，而且，在企業網絡安全管理中也可以普遍應用。企業網絡的安全審計是指一個記錄網絡用戶進行相關網絡操作的所有活動，包括用戶知道的與背著用戶做的任何活動。企業網絡安全審計是提高企業網絡安全性的一個重要的基礎性工作。

　　我們之所以要啟用網絡安全設計制度，它的意義在于：

　　一方面，企業網絡安全審計，可以知道現在有哪些用戶在訪問企業的網絡。有時候，非法攻擊者利用后門訪問企業訪問的時候，通過其他方式是很難發現的。而通過網絡安全設計，各種用戶都可以一覽無余的顯示出來。為此，網絡安全管理員就可以知道哪些用戶是合法的，哪些用戶是非法的，從而采取對應的措施。

　　另一方面，企業網絡安全審計還可以告訴網絡安全人員，用戶都在做些什么。一般來說，企業網絡管理中，包括兩類用戶，一是普通用戶，二是網絡管理員。但是，有時候，一些普通用戶通過一定的手段，也會獲取網絡管理員的身份。所以，網絡安全管理人員也需要知道有哪些普通用戶在做一些跟他身份不符的操作。而通過網絡安全審計，則可以清楚的告訴企業網絡安全管理人員這方面的信息。

　　所以，筆者認為，企業網絡安全審計是做好企業網絡安全管理的一個基礎性工作，也是一項非常重要的工作。

　　那么該如何做好企業網絡安全審計呢？筆者認為，該從如下幾個方面出發。

　　一是要考慮，該記錄什么內容？

　　要知道，跟網絡相關的操作每秒鐘都在發生，若一點風吹草動都記錄的話，則其安全審計記錄的數量會成幾何級別上升。如此海量的數據記錄信息，不僅存儲方面會帶來很大的壓力，而且后續查看起來也會有非常大的困難。所以說，最好安全審計，不一定是要把所有的操作情況都一一的記錄下來。而是要根據企業實際情況，對于安全程度的要求不同，選擇記錄不同的信息。

　　就拿筆者的企業來說，雖然說網絡設計比較復雜，但是，其網絡安全審計涉及的面還是比較小的，主要包括以下幾個方面的內容。

　　一是重要網絡設備的運行情況。如防火墻、路由器等等關鍵設備的運行與管理記錄，都會被一一的進行審計。而一些次要的網絡設備，如DHCP服務器等等，由于相對來說不易受到攻擊，而且，平時也做好了相關的備份工作，所以就沒有對他進行相關的安全審計。

　　二是一些重要應用服務器的安全審計。企業現在有ERP服務器、Oracle數據庫服務器、OA服務器、郵箱服務器、文件服務等應用服務器。有些這些服務器跟企業的正常工作息息相關。當這些服務器出現故障的時候，很可能企業的生產經營活動就會受到不良影響。所以，對這些應用服務器進行安全審計，是必要的。

　　總之，筆者認為，若要對所有的網絡活動進行安全審計的話，是一件吃力不討好的工作。在對網絡活動進行安全審計的過程中，要考慮到20/80的原則。即一般來說，只要對20%左右的關鍵設備、重要服務器與企業級的活動進行審計即可。而完全沒有必要眉毛胡子一把抓。因為如此收集過來的信息太過于海量，雖然說，收集這些信息很簡單，但是企業沒有這么大的精力去統計、分析這些信息。如此的話，這些信息也就變成了垃圾。

　　二是要考慮，什么時候需要記錄什么信息？

　　我們除了要考慮需要收集什么信息之外，在網絡安全審計過程中，還需要考慮一個問題，就是在什么時候觸發網絡安全審計這個動作。這也是為了盡量的讓網絡安全審計記錄一些有價值的信息，從而減少后續的記錄統計與分析的工作，盡快發現網絡的異常行為。

　　如對于用戶登錄文件服務器這一個動作，若用戶屬于正常訪問，則我們沒有必要對其進行詳細記錄。相反，若用戶三次試圖登錄文件服務器，仍然以失敗告終；或者其試圖訪問未經授權的文件時，則就需要記錄這些記錄。很明顯，這可以大幅度的縮小記錄的信息量。而把安全審計的重點放在一些異?；顒又?。

　　筆者現在在企業網絡的安全審計中，主要選擇以下事件，作為安全記錄的觸發時機，

　　一是一些失敗訪問的動作。如某些用戶試圖多次登陸服務器或者網絡設備，當用戶名或者密碼錯誤超過三次的時候，這些記錄的話，都需要記錄下來。這主要是因為這往往可以說明是有人試圖采用猜密碼或者使用密碼字典攻擊等工具，想非法登陸這些設備。

　　二是一些未經授權的操作。如某個用戶雖然可以登錄文件服務器訪問某些文件，但是，其也有權限的限制。如其不能夠訪問某些文件夾，或者對于某些文件夾不能夠進行讀寫操作。如果未經授權的用戶有了這些操作，則它們也將成為我們安全審計的對象。這些用戶以及它們試圖操作的行為，都將會被一一的記錄下來。以后我們就會分析這些信息，以判斷用戶是惡意的還是無意的。

　　三是一些異常的信息。如在安全審計中，還會記錄用戶的操作是否會被相應的設備產生比較重大的影響。如是否占用了大量的服務器資源，等等。如在文件服務器中，設置了磁盤限額的話，當用戶在文件服務上存儲的數據超過了一定的容量時，安全審計就需要記錄這方面的信息。網絡管理人員需要去審查該用戶的文件信息，若這些文件都是必要的，則就需要調整該用戶的磁盤限額，否則的話，當容量達到磁盤限額時，就會給他們的工作帶來不良的影響。

　　所以，筆者認為，在企業網絡安全審計的過程中，我們還需要考慮什么時候觸發這個安全審計的動作。合理的選擇這個觸發的時機，可以大大的減少我們的工作量，把時間與精力都用在刀刃上。

　　三是要考慮，如何實現自動報警？

　　在安全審計過程中，有時候實現自動報警也是非常必要的。因為有時候若不采取自動報警制度的話，有些異常信息我們無法及時發現，而不能夠采取及時的措施。等到異常情況出現了再去審計相關的行為時，損失已經造成了，即使找到責任人的話，也不能夠挽回。所以，通過自動報警的行為，我們可以把問題消除在萌芽狀態，盡量的幫助企業減少損失。

　　如對于服務器，很多攻擊都會造成服務器資源的耗竭，這就是通常所說的“拒絕服務式攻擊”。若我們在相關的服務器上，能夠采用自動報警制度。如到CPU或者內存使用率達到80%以上時，能夠自動向網絡安全管理人員報警。如此的話，我們網絡安全管理人員就可以及時的采取措施。而不是等到服務器崩潰了，才去想辦解決。

　　如有時候，我們在郵件服務器安全設計的時候，會考慮某些郵箱地址不能夠向外部發送郵件，而只能夠在企業內部發送郵件。此時，若有些郵箱帳戶試圖向外部的郵箱發送郵件的時候，就需要記錄這些信息。因為此時，網絡安全管理人員就需要注意他們是否在把一些機密信息發送給他人。這也是我們安全審計中需要注意的一個內容，需要對其執行自動報警。

　　所以，為了把問題消除在萌芽狀態，而不是等到不可挽回的時候，才去想解決措施。這就必須要求我們在安全審計的過程中，實現一定的自動報警功能。

　　四是要考慮，如何防止這些記錄被非法修改？

　　我們在實現安全審計的過程中，大部分都是通過服務器的日志來實現的?？梢赃@么說，任何非法攻擊都會在相關的日志中，如網絡日志或者系統日志中，留下一定的痕跡。而很多非法攻擊者，為了隱藏自己的攻擊行為，在事后，他們都會試圖消除這些痕跡，以方面他們后續的攻擊。

　　所以，在安全審計的實現過程中，還需要考慮如何防止這些信息被非法的修改與利用。一般情況下，我們可以采取如下措施來保證這些審計信息的安全。

　　一方面，我們可以修改這些記錄信息的位置與文件名。若我們開啟了網絡日志或者系統日志的話，系統會自動為其創建一個文件來存放這些記錄信息。我們在管理中，往往需要更改這些日志文件的名字已經存儲路徑。如此的話，就可以防止非法攻擊者更改這些信息。

　　另一方面，可以采用一些安全審計工具。這些安全審計服務器會及時的把相關信息收集起來。如此的話，即使非法攻擊者修改服務器或者操作系統上的日志，也無濟于事。因為這些信息，已經被安全審計服務器所記錄下來。他們再進行修改也無用。