做好企業(yè)網(wǎng)絡(luò)安全的審計(jì)四部曲
俗話說(shuō),沒(méi)有監(jiān)督的權(quán)力就會(huì)導(dǎo)致絕對(duì)的腐敗。這句偉人的名言不僅可以用在政治上,而且,在企業(yè)網(wǎng)絡(luò)安全管理中也可以普遍應(yīng)用。企業(yè)網(wǎng)絡(luò)的安全審計(jì)是指一個(gè)記錄網(wǎng)絡(luò)用戶(hù)進(jìn)行相關(guān)網(wǎng)絡(luò)操作的所有活動(dòng),包括用戶(hù)
俗話說(shuō),沒(méi)有監(jiān)督的權(quán)力就會(huì)導(dǎo)致絕對(duì)的腐敗。這句偉人的名言不僅可以用在政治上,而且,在企業(yè)網(wǎng)絡(luò)安全管理中也可以普遍應(yīng)用。企業(yè)網(wǎng)絡(luò)的安全審計(jì)是指一個(gè)記錄網(wǎng)絡(luò)用戶(hù)進(jìn)行相關(guān)網(wǎng)絡(luò)操作的所有活動(dòng),包括用戶(hù)知道的與背著用戶(hù)做的任何活動(dòng)。企業(yè)網(wǎng)絡(luò)安全審計(jì)是提高企業(yè)網(wǎng)絡(luò)安全性的一個(gè)重要的基礎(chǔ)性工作。
我們之所以要啟用網(wǎng)絡(luò)安全設(shè)計(jì)制度,它的意義在于:
一方面,企業(yè)網(wǎng)絡(luò)安全審計(jì),可以知道現(xiàn)在有哪些用戶(hù)在訪問(wèn)企業(yè)的網(wǎng)絡(luò)。有時(shí)候,非法攻擊者利用后門(mén)訪問(wèn)企業(yè)訪問(wèn)的時(shí)候,通過(guò)其他方式是很難發(fā)現(xiàn)的。而通過(guò)網(wǎng)絡(luò)安全設(shè)計(jì),各種用戶(hù)都可以一覽無(wú)余的顯示出來(lái)。為此,網(wǎng)絡(luò)安全管理員就可以知道哪些用戶(hù)是合法的,哪些用戶(hù)是非法的,從而采取對(duì)應(yīng)的措施。
另一方面,企業(yè)網(wǎng)絡(luò)安全審計(jì)還可以告訴網(wǎng)絡(luò)安全人員,用戶(hù)都在做些什么。一般來(lái)說(shuō),企業(yè)網(wǎng)絡(luò)管理中,包括兩類(lèi)用戶(hù),一是普通用戶(hù),二是網(wǎng)絡(luò)管理員。但是,有時(shí)候,一些普通用戶(hù)通過(guò)一定的手段,也會(huì)獲取網(wǎng)絡(luò)管理員的身份。所以,網(wǎng)絡(luò)安全管理人員也需要知道有哪些普通用戶(hù)在做一些跟他身份不符的操作。而通過(guò)網(wǎng)絡(luò)安全審計(jì),則可以清楚的告訴企業(yè)網(wǎng)絡(luò)安全管理人員這方面的信息。
所以,筆者認(rèn)為,企業(yè)網(wǎng)絡(luò)安全審計(jì)是做好企業(yè)網(wǎng)絡(luò)安全管理的一個(gè)基礎(chǔ)性工作,也是一項(xiàng)非常重要的工作。
那么該如何做好企業(yè)網(wǎng)絡(luò)安全審計(jì)呢?筆者認(rèn)為,該從如下幾個(gè)方面出發(fā)。
一是要考慮,該記錄什么內(nèi)容?
要知道,跟網(wǎng)絡(luò)相關(guān)的操作每秒鐘都在發(fā)生,若一點(diǎn)風(fēng)吹草動(dòng)都記錄的話,則其安全審計(jì)記錄的數(shù)量會(huì)成幾何級(jí)別上升。如此海量的數(shù)據(jù)記錄信息,不僅存儲(chǔ)方面會(huì)帶來(lái)很大的壓力,而且后續(xù)查看起來(lái)也會(huì)有非常大的困難。所以說(shuō),最好安全審計(jì),不一定是要把所有的操作情況都一一的記錄下來(lái)。而是要根據(jù)企業(yè)實(shí)際情況,對(duì)于安全程度的要求不同,選擇記錄不同的信息。
就拿筆者的企業(yè)來(lái)說(shuō),雖然說(shuō)網(wǎng)絡(luò)設(shè)計(jì)比較復(fù)雜,但是,其網(wǎng)絡(luò)安全審計(jì)涉及的面還是比較小的,主要包括以下幾個(gè)方面的內(nèi)容。
一是重要網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。如防火墻、路由器等等關(guān)鍵設(shè)備的運(yùn)行與管理記錄,都會(huì)被一一的進(jìn)行審計(jì)。而一些次要的網(wǎng)絡(luò)設(shè)備,如DHCP服務(wù)器等等,由于相對(duì)來(lái)說(shuō)不易受到攻擊,而且,平時(shí)也做好了相關(guān)的備份工作,所以就沒(méi)有對(duì)他進(jìn)行相關(guān)的安全審計(jì)。
二是一些重要應(yīng)用服務(wù)器的安全審計(jì)。企業(yè)現(xiàn)在有ERP服務(wù)器、Oracle數(shù)據(jù)庫(kù)服務(wù)器、OA服務(wù)器、郵箱服務(wù)器、文件服務(wù)等應(yīng)用服務(wù)器。有些這些服務(wù)器跟企業(yè)的正常工作息息相關(guān)。當(dāng)這些服務(wù)器出現(xiàn)故障的時(shí)候,很可能企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)就會(huì)受到不良影響。所以,對(duì)這些應(yīng)用服務(wù)器進(jìn)行安全審計(jì),是必要的。
總之,筆者認(rèn)為,若要對(duì)所有的網(wǎng)絡(luò)活動(dòng)進(jìn)行安全審計(jì)的話,是一件吃力不討好的工作。在對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行安全審計(jì)的過(guò)程中,要考慮到20/80的原則。即一般來(lái)說(shuō),只要對(duì)20%左右的關(guān)鍵設(shè)備、重要服務(wù)器與企業(yè)級(jí)的活動(dòng)進(jìn)行審計(jì)即可。而完全沒(méi)有必要眉毛胡子一把抓。因?yàn)槿绱耸占^(guò)來(lái)的信息太過(guò)于海量,雖然說(shuō),收集這些信息很簡(jiǎn)單,但是企業(yè)沒(méi)有這么大的精力去統(tǒng)計(jì)、分析這些信息。如此的話,這些信息也就變成了垃圾。
二是要考慮,什么時(shí)候需要記錄什么信息?
我們除了要考慮需要收集什么信息之外,在網(wǎng)絡(luò)安全審計(jì)過(guò)程中,還需要考慮一個(gè)問(wèn)題,就是在什么時(shí)候觸發(fā)網(wǎng)絡(luò)安全審計(jì)這個(gè)動(dòng)作。這也是為了盡量的讓網(wǎng)絡(luò)安全審計(jì)記錄一些有價(jià)值的信息,從而減少后續(xù)的記錄統(tǒng)計(jì)與分析的工作,盡快發(fā)現(xiàn)網(wǎng)絡(luò)的異常行為。
如對(duì)于用戶(hù)登錄文件服務(wù)器這一個(gè)動(dòng)作,若用戶(hù)屬于正常訪問(wèn),則我們沒(méi)有必要對(duì)其進(jìn)行詳細(xì)記錄。相反,若用戶(hù)三次試圖登錄文件服務(wù)器,仍然以失敗告終;或者其試圖訪問(wèn)未經(jīng)授權(quán)的文件時(shí),則就需要記錄這些記錄。很明顯,這可以大幅度的縮小記錄的信息量。而把安全審計(jì)的重點(diǎn)放在一些異常活動(dòng)中。
筆者現(xiàn)在在企業(yè)網(wǎng)絡(luò)的安全審計(jì)中,主要選擇以下事件,作為安全記錄的觸發(fā)時(shí)機(jī),
一是一些失敗訪問(wèn)的動(dòng)作。如某些用戶(hù)試圖多次登陸服務(wù)器或者網(wǎng)絡(luò)設(shè)備,當(dāng)用戶(hù)名或者密碼錯(cuò)誤超過(guò)三次的時(shí)候,這些記錄的話,都需要記錄下來(lái)。這主要是因?yàn)檫@往往可以說(shuō)明是有人試圖采用猜密碼或者使用密碼字典攻擊等工具,想非法登陸這些設(shè)備。
二是一些未經(jīng)授權(quán)的操作。如某個(gè)用戶(hù)雖然可以登錄文件服務(wù)器訪問(wèn)某些文件,但是,其也有權(quán)限的限制。如其不能夠訪問(wèn)某些文件夾,或者對(duì)于某些文件夾不能夠進(jìn)行讀寫(xiě)操作。如果未經(jīng)授權(quán)的用戶(hù)有了這些操作,則它們也將成為我們安全審計(jì)的對(duì)象。這些用戶(hù)以及它們?cè)噲D操作的行為,都將會(huì)被一一的記錄下來(lái)。以后我們就會(huì)分析這些信息,以判斷用戶(hù)是惡意的還是無(wú)意的。
三是一些異常的信息。如在安全審計(jì)中,還會(huì)記錄用戶(hù)的操作是否會(huì)被相應(yīng)的設(shè)備產(chǎn)生比較重大的影響。如是否占用了大量的服務(wù)器資源,等等。如在文件服務(wù)器中,設(shè)置了磁盤(pán)限額的話,當(dāng)用戶(hù)在文件服務(wù)上存儲(chǔ)的數(shù)據(jù)超過(guò)了一定的容量時(shí),安全審計(jì)就需要記錄這方面的信息。網(wǎng)絡(luò)管理人員需要去審查該用戶(hù)的文件信息,若這些文件都是必要的,則就需要調(diào)整該用戶(hù)的磁盤(pán)限額,否則的話,當(dāng)容量達(dá)到磁盤(pán)限額時(shí),就會(huì)給他們的工作帶來(lái)不良的影響。
所以,筆者認(rèn)為,在企業(yè)網(wǎng)絡(luò)安全審計(jì)的過(guò)程中,我們還需要考慮什么時(shí)候觸發(fā)這個(gè)安全審計(jì)的動(dòng)作。合理的選擇這個(gè)觸發(fā)的時(shí)機(jī),可以大大的減少我們的工作量,把時(shí)間與精力都用在刀刃上。
三是要考慮,如何實(shí)現(xiàn)自動(dòng)報(bào)警?
在安全審計(jì)過(guò)程中,有時(shí)候?qū)崿F(xiàn)自動(dòng)報(bào)警也是非常必要的。因?yàn)橛袝r(shí)候若不采取自動(dòng)報(bào)警制度的話,有些異常信息我們無(wú)法及時(shí)發(fā)現(xiàn),而不能夠采取及時(shí)的措施。等到異常情況出現(xiàn)了再去審計(jì)相關(guān)的行為時(shí),損失已經(jīng)造成了,即使找到責(zé)任人的話,也不能夠挽回。所以,通過(guò)自動(dòng)報(bào)警的行為,我們可以把問(wèn)題消除在萌芽狀態(tài),盡量的幫助企業(yè)減少損失。
如對(duì)于服務(wù)器,很多攻擊都會(huì)造成服務(wù)器資源的耗竭,這就是通常所說(shuō)的“拒絕服務(wù)式攻擊”。若我們?cè)谙嚓P(guān)的服務(wù)器上,能夠采用自動(dòng)報(bào)警制度。如到CPU或者內(nèi)存使用率達(dá)到80%以上時(shí),能夠自動(dòng)向網(wǎng)絡(luò)安全管理人員報(bào)警。如此的話,我們網(wǎng)絡(luò)安全管理人員就可以及時(shí)的采取措施。而不是等到服務(wù)器崩潰了,才去想辦解決。
如有時(shí)候,我們?cè)卩]件服務(wù)器安全設(shè)計(jì)的時(shí)候,會(huì)考慮某些郵箱地址不能夠向外部發(fā)送郵件,而只能夠在企業(yè)內(nèi)部發(fā)送郵件。此時(shí),若有些郵箱帳戶(hù)試圖向外部的郵箱發(fā)送郵件的時(shí)候,就需要記錄這些信息。因?yàn)榇藭r(shí),網(wǎng)絡(luò)安全管理人員就需要注意他們是否在把一些機(jī)密信息發(fā)送給他人。這也是我們安全審計(jì)中需要注意的一個(gè)內(nèi)容,需要對(duì)其執(zhí)行自動(dòng)報(bào)警。
所以,為了把問(wèn)題消除在萌芽狀態(tài),而不是等到不可挽回的時(shí)候,才去想解決措施。這就必須要求我們?cè)诎踩珜徲?jì)的過(guò)程中,實(shí)現(xiàn)一定的自動(dòng)報(bào)警功能。
四是要考慮,如何防止這些記錄被非法修改?
我們?cè)趯?shí)現(xiàn)安全審計(jì)的過(guò)程中,大部分都是通過(guò)服務(wù)器的日志來(lái)實(shí)現(xiàn)的。可以這么說(shuō),任何非法攻擊都會(huì)在相關(guān)的日志中,如網(wǎng)絡(luò)日志或者系統(tǒng)日志中,留下一定的痕跡。而很多非法攻擊者,為了隱藏自己的攻擊行為,在事后,他們都會(huì)試圖消除這些痕跡,以方面他們后續(xù)的攻擊。
所以,在安全審計(jì)的實(shí)現(xiàn)過(guò)程中,還需要考慮如何防止這些信息被非法的修改與利用。一般情況下,我們可以采取如下措施來(lái)保證這些審計(jì)信息的安全。
一方面,我們可以修改這些記錄信息的位置與文件名。若我們開(kāi)啟了網(wǎng)絡(luò)日志或者系統(tǒng)日志的話,系統(tǒng)會(huì)自動(dòng)為其創(chuàng)建一個(gè)文件來(lái)存放這些記錄信息。我們?cè)诠芾碇校枰倪@些日志文件的名字已經(jīng)存儲(chǔ)路徑。如此的話,就可以防止非法攻擊者更改這些信息。
另一方面,可以采用一些安全審計(jì)工具。這些安全審計(jì)服務(wù)器會(huì)及時(shí)的把相關(guān)信息收集起來(lái)。如此的話,即使非法攻擊者修改服務(wù)器或者操作系統(tǒng)上的日志,也無(wú)濟(jì)于事。因?yàn)檫@些信息,已經(jīng)被安全審計(jì)服務(wù)器所記錄下來(lái)。他們?cè)龠M(jìn)行修改也無(wú)用。
我們之所以要啟用網(wǎng)絡(luò)安全設(shè)計(jì)制度,它的意義在于:
一方面,企業(yè)網(wǎng)絡(luò)安全審計(jì),可以知道現(xiàn)在有哪些用戶(hù)在訪問(wèn)企業(yè)的網(wǎng)絡(luò)。有時(shí)候,非法攻擊者利用后門(mén)訪問(wèn)企業(yè)訪問(wèn)的時(shí)候,通過(guò)其他方式是很難發(fā)現(xiàn)的。而通過(guò)網(wǎng)絡(luò)安全設(shè)計(jì),各種用戶(hù)都可以一覽無(wú)余的顯示出來(lái)。為此,網(wǎng)絡(luò)安全管理員就可以知道哪些用戶(hù)是合法的,哪些用戶(hù)是非法的,從而采取對(duì)應(yīng)的措施。
另一方面,企業(yè)網(wǎng)絡(luò)安全審計(jì)還可以告訴網(wǎng)絡(luò)安全人員,用戶(hù)都在做些什么。一般來(lái)說(shuō),企業(yè)網(wǎng)絡(luò)管理中,包括兩類(lèi)用戶(hù),一是普通用戶(hù),二是網(wǎng)絡(luò)管理員。但是,有時(shí)候,一些普通用戶(hù)通過(guò)一定的手段,也會(huì)獲取網(wǎng)絡(luò)管理員的身份。所以,網(wǎng)絡(luò)安全管理人員也需要知道有哪些普通用戶(hù)在做一些跟他身份不符的操作。而通過(guò)網(wǎng)絡(luò)安全審計(jì),則可以清楚的告訴企業(yè)網(wǎng)絡(luò)安全管理人員這方面的信息。
所以,筆者認(rèn)為,企業(yè)網(wǎng)絡(luò)安全審計(jì)是做好企業(yè)網(wǎng)絡(luò)安全管理的一個(gè)基礎(chǔ)性工作,也是一項(xiàng)非常重要的工作。
那么該如何做好企業(yè)網(wǎng)絡(luò)安全審計(jì)呢?筆者認(rèn)為,該從如下幾個(gè)方面出發(fā)。
一是要考慮,該記錄什么內(nèi)容?
要知道,跟網(wǎng)絡(luò)相關(guān)的操作每秒鐘都在發(fā)生,若一點(diǎn)風(fēng)吹草動(dòng)都記錄的話,則其安全審計(jì)記錄的數(shù)量會(huì)成幾何級(jí)別上升。如此海量的數(shù)據(jù)記錄信息,不僅存儲(chǔ)方面會(huì)帶來(lái)很大的壓力,而且后續(xù)查看起來(lái)也會(huì)有非常大的困難。所以說(shuō),最好安全審計(jì),不一定是要把所有的操作情況都一一的記錄下來(lái)。而是要根據(jù)企業(yè)實(shí)際情況,對(duì)于安全程度的要求不同,選擇記錄不同的信息。
就拿筆者的企業(yè)來(lái)說(shuō),雖然說(shuō)網(wǎng)絡(luò)設(shè)計(jì)比較復(fù)雜,但是,其網(wǎng)絡(luò)安全審計(jì)涉及的面還是比較小的,主要包括以下幾個(gè)方面的內(nèi)容。
一是重要網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。如防火墻、路由器等等關(guān)鍵設(shè)備的運(yùn)行與管理記錄,都會(huì)被一一的進(jìn)行審計(jì)。而一些次要的網(wǎng)絡(luò)設(shè)備,如DHCP服務(wù)器等等,由于相對(duì)來(lái)說(shuō)不易受到攻擊,而且,平時(shí)也做好了相關(guān)的備份工作,所以就沒(méi)有對(duì)他進(jìn)行相關(guān)的安全審計(jì)。
二是一些重要應(yīng)用服務(wù)器的安全審計(jì)。企業(yè)現(xiàn)在有ERP服務(wù)器、Oracle數(shù)據(jù)庫(kù)服務(wù)器、OA服務(wù)器、郵箱服務(wù)器、文件服務(wù)等應(yīng)用服務(wù)器。有些這些服務(wù)器跟企業(yè)的正常工作息息相關(guān)。當(dāng)這些服務(wù)器出現(xiàn)故障的時(shí)候,很可能企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)就會(huì)受到不良影響。所以,對(duì)這些應(yīng)用服務(wù)器進(jìn)行安全審計(jì),是必要的。
總之,筆者認(rèn)為,若要對(duì)所有的網(wǎng)絡(luò)活動(dòng)進(jìn)行安全審計(jì)的話,是一件吃力不討好的工作。在對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行安全審計(jì)的過(guò)程中,要考慮到20/80的原則。即一般來(lái)說(shuō),只要對(duì)20%左右的關(guān)鍵設(shè)備、重要服務(wù)器與企業(yè)級(jí)的活動(dòng)進(jìn)行審計(jì)即可。而完全沒(méi)有必要眉毛胡子一把抓。因?yàn)槿绱耸占^(guò)來(lái)的信息太過(guò)于海量,雖然說(shuō),收集這些信息很簡(jiǎn)單,但是企業(yè)沒(méi)有這么大的精力去統(tǒng)計(jì)、分析這些信息。如此的話,這些信息也就變成了垃圾。
二是要考慮,什么時(shí)候需要記錄什么信息?
我們除了要考慮需要收集什么信息之外,在網(wǎng)絡(luò)安全審計(jì)過(guò)程中,還需要考慮一個(gè)問(wèn)題,就是在什么時(shí)候觸發(fā)網(wǎng)絡(luò)安全審計(jì)這個(gè)動(dòng)作。這也是為了盡量的讓網(wǎng)絡(luò)安全審計(jì)記錄一些有價(jià)值的信息,從而減少后續(xù)的記錄統(tǒng)計(jì)與分析的工作,盡快發(fā)現(xiàn)網(wǎng)絡(luò)的異常行為。
如對(duì)于用戶(hù)登錄文件服務(wù)器這一個(gè)動(dòng)作,若用戶(hù)屬于正常訪問(wèn),則我們沒(méi)有必要對(duì)其進(jìn)行詳細(xì)記錄。相反,若用戶(hù)三次試圖登錄文件服務(wù)器,仍然以失敗告終;或者其試圖訪問(wèn)未經(jīng)授權(quán)的文件時(shí),則就需要記錄這些記錄。很明顯,這可以大幅度的縮小記錄的信息量。而把安全審計(jì)的重點(diǎn)放在一些異常活動(dòng)中。
筆者現(xiàn)在在企業(yè)網(wǎng)絡(luò)的安全審計(jì)中,主要選擇以下事件,作為安全記錄的觸發(fā)時(shí)機(jī),
一是一些失敗訪問(wèn)的動(dòng)作。如某些用戶(hù)試圖多次登陸服務(wù)器或者網(wǎng)絡(luò)設(shè)備,當(dāng)用戶(hù)名或者密碼錯(cuò)誤超過(guò)三次的時(shí)候,這些記錄的話,都需要記錄下來(lái)。這主要是因?yàn)檫@往往可以說(shuō)明是有人試圖采用猜密碼或者使用密碼字典攻擊等工具,想非法登陸這些設(shè)備。
二是一些未經(jīng)授權(quán)的操作。如某個(gè)用戶(hù)雖然可以登錄文件服務(wù)器訪問(wèn)某些文件,但是,其也有權(quán)限的限制。如其不能夠訪問(wèn)某些文件夾,或者對(duì)于某些文件夾不能夠進(jìn)行讀寫(xiě)操作。如果未經(jīng)授權(quán)的用戶(hù)有了這些操作,則它們也將成為我們安全審計(jì)的對(duì)象。這些用戶(hù)以及它們?cè)噲D操作的行為,都將會(huì)被一一的記錄下來(lái)。以后我們就會(huì)分析這些信息,以判斷用戶(hù)是惡意的還是無(wú)意的。
三是一些異常的信息。如在安全審計(jì)中,還會(huì)記錄用戶(hù)的操作是否會(huì)被相應(yīng)的設(shè)備產(chǎn)生比較重大的影響。如是否占用了大量的服務(wù)器資源,等等。如在文件服務(wù)器中,設(shè)置了磁盤(pán)限額的話,當(dāng)用戶(hù)在文件服務(wù)上存儲(chǔ)的數(shù)據(jù)超過(guò)了一定的容量時(shí),安全審計(jì)就需要記錄這方面的信息。網(wǎng)絡(luò)管理人員需要去審查該用戶(hù)的文件信息,若這些文件都是必要的,則就需要調(diào)整該用戶(hù)的磁盤(pán)限額,否則的話,當(dāng)容量達(dá)到磁盤(pán)限額時(shí),就會(huì)給他們的工作帶來(lái)不良的影響。
所以,筆者認(rèn)為,在企業(yè)網(wǎng)絡(luò)安全審計(jì)的過(guò)程中,我們還需要考慮什么時(shí)候觸發(fā)這個(gè)安全審計(jì)的動(dòng)作。合理的選擇這個(gè)觸發(fā)的時(shí)機(jī),可以大大的減少我們的工作量,把時(shí)間與精力都用在刀刃上。
三是要考慮,如何實(shí)現(xiàn)自動(dòng)報(bào)警?
在安全審計(jì)過(guò)程中,有時(shí)候?qū)崿F(xiàn)自動(dòng)報(bào)警也是非常必要的。因?yàn)橛袝r(shí)候若不采取自動(dòng)報(bào)警制度的話,有些異常信息我們無(wú)法及時(shí)發(fā)現(xiàn),而不能夠采取及時(shí)的措施。等到異常情況出現(xiàn)了再去審計(jì)相關(guān)的行為時(shí),損失已經(jīng)造成了,即使找到責(zé)任人的話,也不能夠挽回。所以,通過(guò)自動(dòng)報(bào)警的行為,我們可以把問(wèn)題消除在萌芽狀態(tài),盡量的幫助企業(yè)減少損失。
如對(duì)于服務(wù)器,很多攻擊都會(huì)造成服務(wù)器資源的耗竭,這就是通常所說(shuō)的“拒絕服務(wù)式攻擊”。若我們?cè)谙嚓P(guān)的服務(wù)器上,能夠采用自動(dòng)報(bào)警制度。如到CPU或者內(nèi)存使用率達(dá)到80%以上時(shí),能夠自動(dòng)向網(wǎng)絡(luò)安全管理人員報(bào)警。如此的話,我們網(wǎng)絡(luò)安全管理人員就可以及時(shí)的采取措施。而不是等到服務(wù)器崩潰了,才去想辦解決。
如有時(shí)候,我們?cè)卩]件服務(wù)器安全設(shè)計(jì)的時(shí)候,會(huì)考慮某些郵箱地址不能夠向外部發(fā)送郵件,而只能夠在企業(yè)內(nèi)部發(fā)送郵件。此時(shí),若有些郵箱帳戶(hù)試圖向外部的郵箱發(fā)送郵件的時(shí)候,就需要記錄這些信息。因?yàn)榇藭r(shí),網(wǎng)絡(luò)安全管理人員就需要注意他們是否在把一些機(jī)密信息發(fā)送給他人。這也是我們安全審計(jì)中需要注意的一個(gè)內(nèi)容,需要對(duì)其執(zhí)行自動(dòng)報(bào)警。
所以,為了把問(wèn)題消除在萌芽狀態(tài),而不是等到不可挽回的時(shí)候,才去想解決措施。這就必須要求我們?cè)诎踩珜徲?jì)的過(guò)程中,實(shí)現(xiàn)一定的自動(dòng)報(bào)警功能。
四是要考慮,如何防止這些記錄被非法修改?
我們?cè)趯?shí)現(xiàn)安全審計(jì)的過(guò)程中,大部分都是通過(guò)服務(wù)器的日志來(lái)實(shí)現(xiàn)的。可以這么說(shuō),任何非法攻擊都會(huì)在相關(guān)的日志中,如網(wǎng)絡(luò)日志或者系統(tǒng)日志中,留下一定的痕跡。而很多非法攻擊者,為了隱藏自己的攻擊行為,在事后,他們都會(huì)試圖消除這些痕跡,以方面他們后續(xù)的攻擊。
所以,在安全審計(jì)的實(shí)現(xiàn)過(guò)程中,還需要考慮如何防止這些信息被非法的修改與利用。一般情況下,我們可以采取如下措施來(lái)保證這些審計(jì)信息的安全。
一方面,我們可以修改這些記錄信息的位置與文件名。若我們開(kāi)啟了網(wǎng)絡(luò)日志或者系統(tǒng)日志的話,系統(tǒng)會(huì)自動(dòng)為其創(chuàng)建一個(gè)文件來(lái)存放這些記錄信息。我們?cè)诠芾碇校枰倪@些日志文件的名字已經(jīng)存儲(chǔ)路徑。如此的話,就可以防止非法攻擊者更改這些信息。
另一方面,可以采用一些安全審計(jì)工具。這些安全審計(jì)服務(wù)器會(huì)及時(shí)的把相關(guān)信息收集起來(lái)。如此的話,即使非法攻擊者修改服務(wù)器或者操作系統(tǒng)上的日志,也無(wú)濟(jì)于事。因?yàn)檫@些信息,已經(jīng)被安全審計(jì)服務(wù)器所記錄下來(lái)。他們?cè)龠M(jìn)行修改也無(wú)用。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷(xiāo)決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷(xiāo) -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》
