黑客入侵攻防详解 (3)

五、安全审计 

安全审计是在网络中模拟社会活动的监察机构，对网络系统的活动进行监视、记录并提出安全意见和建议的一种机制。利用安全审计可以有针对性地对网络运行状态和过程进行记录、跟踪和审查。通过安全审计不仅可以对网络风险进行有效评估，还可以为制定合理的安全策略和加强安全管理提供决策依据，使网络系统能够及时调整对策。 

　　在网络安全整体解决方案日益流行的今天，安全审计是网络安全体系中的一个重要环节。网络用户对网络系统中的安全设备、网络设备、应用系统及系统运行状况进行全面的监测、分析、评估，是保障网络安全的重要手段。 

　　计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计，以及加强安全教育，增强安全责任意识。 

　　网络安全是动态的，对已经建立的系统，如果没有实时的、集中的可视化审计，就不能及时评估系统的安全性和发现系统中存在的安全隐患。 

　　目前，网络安全审计系统包含的主要功能和所涉及的共性问题如下： 

　　1.网络安全审计系统的主要功能 

　　(1)采集多种类型的日志数据。能够采集各种操作系统、防火墙系统、入侵检测系统、网络交换机、路由设备、各种服务及应用系统的日志信息。 

　　(2)日志管理。能够自动收集多种格式的日志信息并将其转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。 

　　(3)日志查询。能以多种方式查询网络中的日志信息，并以报表形式显示。 

　　(4)入侵检测。使用多种内置的相关性规则，对分布在网络中的设备产生的日志及报警信息进行相关性分析，从而检测出单个系统难以发现的安全事件。 

　　(5)自动生成安全分析报告。根据日志数据库记录的日志信息，分析网络或系统的安全性，并向管理员提交安全性分析报告。 

　　(6)网络状态实时监视。可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。 

　　(7)事件响应机制。当安全审计系统检测到安全事件时，能够及时响应和自动报警。 

　　(8)集中管理。安全审计系统可利用统一的管理平台，实现对日志代理、安全审计中心和日志数据库的集中管理。 

　　2.网络安全审计系统所涉及的共性问题 

　　(1)日志格式兼容问题。通常情况下，不同类型的设备或系统所产生的日志格式互不兼容，这为网络安全事件的集中分析带来了巨大难度。 

　　(2)日志数据的管理问题。日志数据量非常大，不断地增长，当超出限制后，不能简单地丢弃。需要一套完整的备份、恢复、处理机制。 

　　(3)日志数据的集中分析问题。一个攻击者可能同时对多个网络目标进行攻击，如果单个分析每个目标主机上的日志信息，不仅工作量大，而且很难发现攻击。如何将多个目标主机上的日志信息关联起来，从中发现攻击行为是安全审计系统所面临的重要问题。 

　　(4)分析报告及统计报表的自动生成问题。网络中每天会产生大量的日志信息，巨大的工作量使得管理员手工查看并分析各种日志信是不现实的。因此，提供一种直观的分析报告及统计报表的自动生成机制是十分必要的，它可以保证管理员能够及时和有效地发现网络中出现的各种异常状态。 

　　六、安全管理 

　　1.信息安全管理的内涵 

　　根据我国计算机信息系统安全等级保护管理要求(GA/T 391—2002)中的描述，信息安全管理的内涵是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理，它包括： 

　　(1)落实安全组织及安全管理人员，明确角色与职责，制定安全规划； 

　　(2)开发安全策略； 

　　(3)实施风险管理； 

(4)制定业务持续性计划和灾难恢复计划； 

　　(5)选择与实施安全措施； 

　　(6)保证配置、变更的正确与安全； 

　　(7)进行安全审计； 

　　(8)保证维护支持； 

　　(9)进行监控、检查，处理安全事件； 

　　(10)安全意识与安全教育； 

　　(11)人员安全管理。 

　　一般意义上讲，安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段，包括安全检测、监控、响应和调整的全部控制过程。而对整个系统进行风险分析和评估是明确信息安全目标要求的重要手段。 

　　2.信息安全管理的基本原则 

　　需要明确指出的一点是：不论多么先进的安全技术，都只是实现信息安全管理的手段而已。信息安全源于有效的管理，要使先进的安全技术发挥较好的效果，就必须建立良好的信息安全管理体系，这是一个根本问题。一直以来人们(特别是高层领导者)总是认为信息安全是一个技术上的问题，并将信息安全管理的责任限制在技术人员身上，事实上这种观点和做法是十分错误的。 

　　现在，信息已成为企业发展的重要资产，企业高层领导必须重视信息安全管理，必须参与信息安全管理工作，将信息安全管理视为现有管理措施的一个重要组成部分。 

　　在我国，加强对信息安全工作的领导，建立、健全信息安全管理责任制，通常以谁主管谁负责、谁运营谁负责和谁使用谁负责为基本要求，坚持的总原则是：主要领导人负责原则；规范定级原则；依法行政原则；以人为本原则；适度安全原则；全面防范、突出重点原则；系统、动态原则；以及控制社会影响原则。而信息安全管理的主要策略是：分权制衡、最小特权、选用成熟技术和普遍参与。 

　　3.信息安全管理的基本过程 

　　安全管理是一个不断发展、不断修正的动态过程，贯穿于信息系统生命周期，涉及信息系统管理层面、物理层面、网络层面、操作系统层面、应用系统层面和运行层面的安全风险管理。在这些层面上的安全管理是保证信息系统安全技术、安全工程运行正确、安全、有效的基础。总的安全目标是防止国家秘密和单位敏感信息的失密、泄密和窃密，防止数据的非授权修改、丢失和破坏，防止系统能力的丧失、降低，防止欺骗，保证信息及系统的可信度和资产的安全。